互联网时代,人们在享受网络带来便利的同时,也要面临各种网络攻击。网络安全事件的频发,也让人们意识到网络安全的重要性。而在即将过去的2019年中,也相继出台了关于网络与信息安全新的法律法规及政策。

 没有网络安全就没有国家安全,没有信息化就没有现代化。

随着网络安全形势飞速变化,新威胁层出不穷,应对网络泄密频发、网络谣言肆散等网络安全突出问题,我们看到,国家对信息安全的监管与考核越来越严格,中央关于信息安全的法律法规、规范性文件、政策等不断加码,网络与信息安全保障体系逐步健全、完善。

那么,2019年,有哪些在国内引发热议的网络与信息安全新的法律法规、政策文件?以下我们就来简单了解!

 全国人大常委会正式通过《密码法》

10月26日,第十三届全国人大常委会第十四次会议正式通过《密码法》,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益。

《密码法》共五章四十四条,重点规范了以下内容:第一章总则部分,规定了本法的立法目的、密码工作的基本原则、领导和管理体制,以及密码发展促进和保障措施;第二章核心密码、普通密码部分,规定了核心密码、普通密码使用要求、安全管理制度以及国家加强核心密码、普通密码工作的一系列特殊保障制度和措施;第三章商用密码部分,规定了商用密码标准化制度、检测认证制度、市场准入管理制度、使用要求、进出口管理制度、电子政务电子认证服务管理制度以及商用密码事中事后监管制度;第四章法律责任部分,规定了违反本法相关规定应当承担的相应的法律后果;第五章附则部分,规定了国家密码管理部门的规章制定权,解放军和武警部队密码立法事宜以及本法的施行日期。

 网络安全等级保护制度2.0系列标准正式发布

5月13日,《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》三项国家标准正式发布,并将于2019年12月1日正式实施。

原来的等级保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等,在此基础上,等保2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。

 十部门联合发布《加强工业互联网安全工作的指导意见》

8月28日,工信部、教育部、人力资源和社会保障部、生态环境部、国家卫生健康委员会、应急管理部、国务院国有资产监督管理委员会、国家市场监督管理总局、国家能源局、国家国防科技工业局十部门联合发布《加强工业互联网安全工作的指导意见》。

《指导意见》规定工业互联网安全工作应坚持筑牢安全、保障发展;统筹指导、协同推进;分类施策、分级管理;融合创新、重点突破的基本原则。计划到2020年底,工业互联网安全保障体系初步建立。到2025年,制度机制健全完善,技术手段能力显著提升,安全产业形成规模,基本建立起较为完备可靠的工业互联网安全保障体系。

《指导意见》提出七项主要任务,分别是:1)推动工业互联网安全责任落实;2)构建工业互联网安全管理体系;3)提升企业工业互联网安全防护水平;4)强化工业互联网数据安全保护能力;5)建设国家工业互联网安全技术手段;6)加强工业互联网安全公共服务能力;以及7)推动工业互联网安全科技创新与产业发展。

 国资委发布《中央企业负责人经营业绩考核办法》,网络安全纳入考核指标

3月7日,国务院国有资产监督管理委员会官网上发布新版《中央企业负责人经营业绩考核办法》(以下简称“办法”),自2019年4月1日起施行。《办法》将网络安全纳入考核指标。相关条款主要体现在第34条和第48条。

第34条规定,企业发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大及以上质量事故、重大资产损失、重大法律纠纷案件、重大投融资和资产重组等,对经营业绩产生重大影响的,应及时向国资委报告。

第48条规定,企业发生下列情形之一的,国资委根据具体情节给予降级或者扣分处理;违规经营投资造成国有资产损失或其他严重不良后果,按照有关规定对相关责任人进行责任追究处理;情节严重的,给予纪律处分或者对企业负责人进行调整;涉嫌犯罪的,依法移送国家监察机关或司法机关查处:
(一)违反《中华人民共和国会计法》《企业会计准则》等有关法律法规规章,虚报、瞒报财务状况的;
(二)企业法定代表人及相关负责人违反国家法律法规和规定,导致发生较大及以上生产安全责任事故和网络安全事件、重大及以上突发环境事件、重大质量责任事故、重大违纪和法律纠纷案件、境外恶性竞争、偏离核定主业盲目投资等情形,造成重大不良影响或者国有资产损失的。



 公安部发布《公安机关办理刑事案件电子数据取证规则》

1月2日,公安部发布《公安机关办理刑事案件电子数据取证规则》,自2019年2月1日起施行。

《规则》共五章六十一条,分别是总则、收集提取电子数据、电子数据的检查和侦查实验、电子数据委托检验与鉴定等内容,旨在规范公安机关办理刑事案件电子数据取证工作,确保电子数据取证质量,提高电子数据取证效率。

 贵州省出台《贵州省大数据安全保障条例》

8月1日,贵州省通过《贵州省大数据安全保障条例》,对大数据安全责任、监督管理、支持与保障、法律责任等进行了明确。《条例》于2019年10月1日起施行。

《条例》引入了“大数据所有人”、“持有人”、“管理人”、“使用人”等概念,并对大数据安全保障做出了界定。《条例》规定,大数据安全责任,按照谁所有谁负责、谁持有谁负责、谁管理谁负责、谁使用谁负责以及谁采集谁负责的原则确定。此外,《条例》还规定明知是通过攻击、窃取、恶意访问等非法方式获取的数据,不得使用。违者由县级以上公安机关或者有关部门责令改正,给予警告,没收违法所得,可处违法所得1倍以上5倍以下罚款;没有违法所得的,处5万元以上50万元以下罚款。

《条例》建立了大数据安全情况报告制度,要求关键信息基础设施经营者、公共数据平台、企业数据中心等集中式大数据存储中心以及其他重要单位大数据安全责任人定期向行业主管部门和县级以上公安机关报告大数据安全情况。



 国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》

5月28日,国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》(以下简称“征求意见稿”),意见反馈截止时间为2019年6月28日。

《征求意见稿》分为总则、数据收集、数据处理使用、数据安全监督管理、附则五章,共包含四十条规定。《征求意见稿》在个人信息收集、爬虫抓取、广告精准推送、APP过度索取权限、账户注销难等经常涉及隐私的问题均做出明确规定。

《征求意见稿》提出,网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。《征求意见稿》明确,在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动,以及数据安全的保护和监督管理,适用本办法。

在数据收集方面,《征求意见稿》提出,网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则应当明确具体、简单通俗、易于访问,突出网络运营者基本信息;收集使用个人信息的目的、种类、数量、频度、方式、范围等;个人信息保存地点、期限及到期后的处理方式;个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;投诉、举报渠道和方法等内容。同时,网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围,对个人信息主体采取歧视行为,包括服务质量、价格差异等。

在数据安全监督管理方面,《征求意见稿》指出,发生个人信息泄露、毁损、丢失等数据安全事件,或者发生数据安全事件风险明显加大时,网络运营者应当立即采取补救措施,及时以电话、短信、邮件或信函等方式告知个人信息主体,并按要求向行业主管监管部门和网信部门报告。网络运营者违反本办法规定的,由有关部门依照相关法律、行政法规的规定,根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚;构成犯罪的,依法追究刑事责任。

 国家互联网信息办公室正式发布《儿童个人信息网络保护规定》

8月23日,《儿童个人信息网络保护规定》正式出台,并将于2019年10月1日起施行。

该规定主要规范在中华人民共和国境内网上儿童个人信息的有关活动,规定了“任何组织和个人”“网络运营者”“儿童监护人”“互联网行业组织”等主体的责任和义务,覆盖了儿童个人信息的收集、存储、使用、转移、披露等全生命周期,确定了儿童个人信息网络保护的原则和具体处理规则,明确了网信部门和其他有关部门的监管职责,同时也规定了违法责任以及信用记录等内容。

 工信部发布《工业互联网网络建设及推广指南》

1月18日,工信部发布《工业互联网网络建设及推广指南》,明确提出将以构筑支撑工业全要素、全产业链、全价值链互联互通的网络基础设施为目标,着力打造工业互联网标杆网络、创新网络应用,规范发展秩序,加快培育新技术、新产品、新模式、新业态。到2020年,形成相对完善的工业互联网网络顶层设计。

工信部提出,到2020年,初步建成工业互联网基础设施和技术产业体系,包括建设满足试验和商用需求的工业互联网企业外网标杆网络,建设一批工业互联网企业内网标杆网络,建成一批关键技术和重点行业的工业互联网网络实验环境,建设20个以上网络技术创新和行业应用测试床,形成先进、系统的工业互联网网络技术体系和标准体系等。

工信部特别提出,建立工业互联网网络发展监测评估机制,加强网络资源管理和安全保障,提升安全防护能力。

 全国信息安全标准化技术委员会发布27项国家标准

2018年12月28日,全国信息安全标准化技术委员会(“信安标委”)归口的27项国家标准正式发布,自2019年7月1日起施行。这27项国家标准涉及数字签名、网络安全等级保护、公民网络电子身份标识、物联网、病毒防治、网络攻击、密码等多项内容。