数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
1. 工业和信息化部|发布《电子认证服务管理办法(征求意见稿)》
2024年9月2日,工业和信息化部发布《电子认证服务管理办法(征求意见稿)》(以下简称“《办法》”)公开征求意见。
《办法》框架调整后的结构为:第一章是总则,第二章是资质认定,第三章是行为规范,第四章是监督管理,第五章是投诉举报,第六章是跨境互认,第七章是法律责任,第八章是附则。主要修订情况包括:
(一)明确行政监管范围。通过明确监管外延,界定监管的电子认证服务范围(第二条)。
(二)提升CA机构业务能力。一是调整CA机构申请条件(第五条、第六条);二是完善行政许可审批程序(第七条、第八条、第九条);三是明确许可条件变更相关要求(第十四条)。
(三)压实CA机构责任义务。一是明确CA机构义务范围(第二十条);二是规定业务委托限制(第二十二条);三是规定服务网点要求(第三十条)。
(四)完善行政监管机制。一是发挥信息技术监管效能(第二十九条);二是形成部省联动监管体系(第三十三条、第三十八条);三是建立健全投诉举报处理机制(第四十条至第四十六条)。
(五)规范行政处罚措施。一是新增未依法进行证书链备案和重大事项报告的处罚情形(第五十二条);二是细化未依法开展业务的处罚情形(第五十三条)。
(六)合理设定退出机制。通过失信惩戒措施,依法依规实施从业限制或行业禁入(第五条、第三十九条)。
(七)明确证书跨境互认核准。通过规定境外电子签名认证证书互认核准程序,明确提交的材料以及互认程序(第四十七条、第四十八条、第四十九条)。
2. 民政部、国家网信办、工业和信息化部、公安部、金融监管总局|联合发布《个人求助网络服务平台管理办法》
民政部、国家网信办、工业和信息化部、公安部、金融监管总局5日联合公布《个人求助网络服务平台管理办法》(以下简称“《办法》”)。办法细化了求助信息的真实性查验相关规定。
根据5日施行的新修改的《中华人民共和国慈善法》规定,从事个人求助网络服务的平台应当对通过其发布的求助信息真实性进行查验。《办法》从个人求助网络服务平台、求助人、信息发布人等多个角度细化了规定。
《办法》在申请指定条件中明确平台需具备查验通过其发布的求助信息真实性的能力,规定平台应当明确告知求助人、信息发布人对求助信息的真实性负责,明确告知求助人、信息发布人不得通过虚构、隐瞒事实等方式骗取救助。
《办法》还明确求助人、信息发布人需要提交的求助信息和相关材料;规定平台应当建立审核团队,对求助信息的真实性进行查验;平台查验求助信息的真实性后,应当及时向社会公开相关信息,接受社会监督;平台发现求助人、信息发布人涉嫌诈骗等犯罪行为的,应当及时向公安机关反映。
此外,《办法》还对个人求助网络服务平台的主要规则、个人求助网络服务平台的指定流程等进行了规定。
3. 国务院|公布《网络数据安全管理条例》
2024年9月30日,国务院总理李强日前签署国务院令,公布《网络数据安全管理条例》(以下简称《条例》),自2025年1月1日起施行。
《条例》旨在规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益。《条例》共9章64条,主要规定了以下内容。
一是提出网络数据安全管理总体要求和一般规定。明确鼓励网络数据在各行业、各领域的创新应用,对网络数据实行分类分级保护,积极参与网络数据安全相关国际规则和标准的制定,加强行业自律,禁止非法网络数据处理活动。要求网络数据处理者履行建立健全网络数据安全管理制度、安全风险报告、安全事件处置等义务。
二是细化个人信息保护规定。明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务,细化个人信息转移请求实现途径等。
三是完善重要数据安全制度。明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务。规定网络数据安全管理机构和网络数据安全负责人的责任。明确重要数据风险评估具体要求。
四是优化网络数据跨境安全管理规定。明确网络数据处理者可以向境外提供个人信息的条件,规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息。规定未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
五是明确网络平台服务提供者义务。规定网络平台服务提供者、第三方产品和服务提供者等主体的网络数据安全保护要求。明确通过自动化决策方式向个人进行信息推送的规则,规定大型网络平台服务提供者发布个人信息保护社会责任年度报告、防范网络数据跨境安全风险等要求。
链接:《网络数据安全管理条例》
4. 国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局|联合发布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》
2024年9月10日,为落实《中华人民共和国国家互联网信息办公室与澳门特别行政区政府经济财政司 关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织推动实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》。
粤港澳大湾区个人信息处理者及接收方可以按照《指引》要求,通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。
链接:《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》
5. 国家互联网信息办公室|发布《人工智能生成合成内容标识办法(征求意见稿)》
2024年9月14日,为规范人工智能生成合成内容标识,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,国家互联网信息办公室就《人工智能生成合成内容标识办法(征求意见稿)》公开征求意见。意见反馈截止时间为2024年10月14日。
征求意见稿提出,人工智能生成合成内容是指利用人工智能技术制作、生成、合成的文本、图片、音频、视频等信息。人工智能生成合成内容标识包括显式标识和隐式标识。
根据征求意见稿,网络信息服务提供者应当按照有关强制性国家标准的要求进行标识。服务提供者提供生成合成内容下载、复制、导出等方式时,应当确保文件中含有满足要求的显式标识。
征求意见稿指出,提供网络信息内容传播平台服务的服务提供者应当采取措施,规范生成合成内容传播活动。包括提供必要的标识功能,并提醒用户主动声明发布内容中是否包含生成合成内容等。
6. 国家金融监督管理总局|发布《关于加强银行业保险业移动互联网应用程序管理的通知》
2024年9月12日,金融监管总局印发了《关于加强银行业保险业移动互联网应用程序管理的通知》,从加强统筹管理、加强全生命周期管理、落实风险管理责任、加强监督管理四方面提出18条工作要求。一是加强统筹管理,要求金融机构明确移动应用管理牵头部门、建立移动应用台账、完善准入退出机制、控制移动应用数量;二是加强全生命周期管理,要求金融机构规范移动应用的需求分析、设计开发、测试验证、上架发布、监控运行等环节,强化移动应用与运行环境的兼容性、适配性管理;三是落实风险管理责任,要求金融机构落实移动应用备案、网络安全、数据安全、外包管理、业务连续性及个人信息保护等监管要求;四是加强监督管理,要求金融监管总局各级派出机构加强移动应用监管工作。
7. 全国网络安全标准化技术委员会|发布《网络安全标准实践指南——敏感个人信息识别指南》
2024年9月18日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《网络安全标准实践指南——敏感个人信息识别指南》(以下简称“《敏感个人信息识别指南》”)。
敏感个人信息的识别问题至关重要。《个人信息保护法》就敏感个人信息处理规定了诸多合规义务,如要求具有特定的目的和充分的必要性、采取严格保护措施、向个人告知处理敏感个人信息的必要性以及对个人权益的影响、获得单独同意(如以“同意”为合法性基础)、开展个人信息保护影响评估(PIA)等。同时,敏感个人信息的识别及其出境量级的计算,也是确定数据出境机制的关键环节。
根据《个人信息保护法》第28条,敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。《敏感个人信息识别指南》遵循该定义,进一步细化敏感个人信息定义中明确的识别标准:容易导致自然人人格尊严受到侵害的情形可能包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇等,歧视性差别待遇可能因个人信息主体的特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致;容易导致自然人的人身安全受到危害,例如泄露、非法使用个人的行踪轨迹信息,可能会导致个人信息主体的人身安全受到危害;容易导致自然人财产安全受到危害,例如泄露、非法使用金融账户信息,可能会造成个人信息主体的财产损失。
声明:本文来自网络,版权归作者所有。文章内容仅代表作者独立观点,不代表数字化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。数字化转型网www.szhzxw.cn
数字化转型网数据专题包含哪些内容
数字化转型网信息安全研习社关注网络攻击与防御、网络协议安全、数据存储安全、数据加密、数据传输安全、数据备份与恢复策略、数据完整性保护、软件漏洞与补丁管理、身份认证与授权、设备物理访问控制、环境安全与灾难恢复、安全策略框架、安全审计与合规性、安全事件管理与应急响应、设备安全、数据隐私和管理、数据存储和隔离、加密算法安全、云计算安全等多个方面。
本文由数字化转型网(www.szhzxw.cn)转载而成,来源于网络;编辑/翻译:数字化转型网默然。
