1. 前言
在当今数字化高速发展的时代,网络安全已成为关乎国家、企业和个人的重要议题。为了应对日益复杂的网络安全挑战,一系列网络安全法律法规应运而生,它们如同坚实的盾牌,守护着我们的数字世界。现在是2024年10月,我列举了最近几年中国出台的网络安全有关的法律法规。
以下是按照时间顺序提到的法律法规:
- 2017 年 6 月:《网络安全法》;
- 2017 年 11 月:《互联网域名管理办法》;
- 2019 年 5 月:国家标准《信息安全技术 个人信息安全规范》;
- 2020 年 10 月:国家标准《网络安全等级保护制度 2.0 国家标准》;
- 2021 年 9 月:《数据安全法》《关键信息基础设施安全保护条例》;
- 2021 年 11 月:《个人信息保护法》;
- 2023 年 1 月:《工业和信息化领域数据安全管理办法 (试行)》;
- 2023 年 7 月:《工业和信息化部关于开展移动互联网应用程序备案工作的通知》;
- 2024 年 3 月:《促进和规范数据跨境流动规定》。
2.法律法规
2.1 中华人民共和国网络安全法
2.1.1 时间节点
《中华人民共和国网络安全法》已由中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,现予公布,自2017年6月1日起施行。
2022年9月12日,国家互联网信息办公室发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知。
2.1.2 法律内容解读
《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。《网络安全法》将近年来一些成熟的好做法制度化,并为将来可能的制度创新做了原则性规定,为网络安全工作提供切实法律保障。本法在以下几个方面值得特别关注:
一、《网络安全法》的基本原则
第一,网络空间主权原则。《网络安全法》第1条“立法目的”开宗明义,明确规定要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的自然延伸和表现。《联合国宪章》确立的主权平等原则是当代国际关系的基本准则,覆盖国与国交往各个领域,其原则和精神也应该适用于网络空间。各国自主选择网络发展道路、网络管理模式、互联网公共政策和平等参与国际网络空间治理的权利应当得到尊重。第2条明确规定《网络安全法》适用于我国境内网络以及网络安全的监督管理。这是我国网络空间主权对内最高管辖权的具体体现。
第二,网络安全与信息化发展并重原则。安全是发展的前提,发展是安全的保障,安全和发展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。《网络安全法》第3条明确规定,国家坚持网络安全与信息化并重,遵循积极利用、科学发展、依法管理、确保安全的方针;既要推进网络基础设施建设,鼓励网络技术创新和应用,又要建立健全网络安全保障体系,提高网络安全保护能力,做到“双轮驱动、两翼齐飞”。
第三,共同治理原则。网络空间安全仅仅依靠政府是无法实现的,需要政府、企业、社会组织、技术社群和公民等网络利益相关者的共同参与。《网络安全法》坚持共同治理原则,要求采取措施鼓励全社会共同参与,政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。
二、《网络安全法》提出制定网络安全战略,明确网络空间治理目标,提高了我国网络安全政策的透明度
《网络安全法》第4条明确提出了我国网络安全战略的主要内容,即:明确保障网络安全的基本要求和主要目标,提出重点领域的网络安全政策、工作任务和措施。第7条明确规定,我国致力于“推动构建和平、安全、开放、合作的网络空间,建立多边、民主、透明的网络治理体系。”这是我国第一次通过国家法律的形式向世界宣示网络空间治理目标,明确表达了我国的网络空间治理诉求。上述规定提高了我国网络治理公共政策的透明度,与我国的网络大国地位相称,有利于提升我国对网络空间的国际话语权和规则制定权,促成网络空间国际规则的出台。
三、《网络安全法》进一步明确了政府各部门的职责权限,完善了网络安全监管体制
《网络安全法》将现行有效的网络安全监管体制法制化,明确了网信部门与其他相关网络监管部门的职责分工。第8条规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作,国务院电信主管部门、公安部门和其他有关机关依法在各自职责范围内负责网络安全保护和监督管理工作。这种“1+X”的监管体制,符合当前互联网与现实社会全面融合的特点和我国监管需要。
四、《网络安全法》强化了网络运行安全,重点保护关键信息基础设施
《网络安全法》第三章用了近三分之一的篇幅规范网络运行安全,特别强调要保障关键信息基础设施的运行安全。关键信息基础设施是指那些一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的系统和设施。网络运行安全是网络安全的重心,关键信息基础设施安全则是重中之重,与国家安全和社会公共利益息息相关。为此,《网络安全法》强调在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护,明确关键信息基础设施的运营者负有更多的安全保护义务,并配以国家安全审查、重要数据强制本地存储等法律措施,确保关键信息基础设施的运行安全。
五、《网络安全法》完善了网络安全义务和责任,加大了违法惩处力度
《网络安全法》将原来散见于各种法规、规章中的规定上升到人大法律层面,对网络运营者等主体的法律义务和责任做了全面规定,包括守法义务,遵守社会公德、商业道德义务,诚实信用义务,网络安全保护义务,接受监督义务,承担社会责任等,并在“网络运行安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步明确、细化。在“法律责任”中则提高了违法行为的处罚标准,加大了处罚力度,有利于保障《网络安全法》的实施。
六、《网络安全法》将监测预警与应急处置措施制度化、法制化
《网络安全法》第五章将监测预警与应急处置工作制度化、法制化,明确国家建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练。这为建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制提供了法律依据,为深化网络安全防护体系,实现全天候全方位感知网络安全态势提供了法律保障。
相关链接:
关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知_部门政务_中国政府网
2.2 互联网域名管理办法
2.2.1 时间节点
《互联网域名管理办法》已经2017年8月16日工业和信息化部第32次部务会议审议通过,,自2017年11月1日起施行。原信息产业部2004年11月5日公布的《中国互联网络域名管理办法》(原信息产业部令第30号)同时废止。
2.2.2 法律内容解读
《互联网域名管理办法》是为规范互联网域名服务,保护用户合法权益,保障互联网域名系统安全、可靠运行而制定的重要法规。
该办法明确了工业和信息化部对全国域名服务的监督管理职责,以及各省、自治区、直辖市通信管理局对本行政区域内域名服务的监督管理职责。工业和信息化部负责制定规章政策、规划域名体系、管理重要机构、保障网络与信息安全、保护用户权益、进行国际协调等;地方通信管理局则贯彻执行相关法规,管理本区域内的域名注册服务机构,协助上级部门管理相关机构,并负责本区域内的网络与信息安全管理等。
在域名管理方面,境内设立域名根服务器及相关机构需取得相应许可。申请设立域名根服务器运行机构,要满足服务器设置在境内且符合要求,申请单位为法人且信用良好,具备保障服务器安全运行的场地、资金、人员、技术能力和信息管理系统,以及健全的网络与信息安全保障、用户个人信息保护、服务退出机制等条件。域名注册管理机构和域名注册服务机构也有类似的严格申请条件。申请流程包括向相应管理机构提交材料,材料齐全则受理,不齐全需补正,不予受理要说明理由。审查期限一般为 20 个工作日,可延长 10 个工作日。许可有效期为 5 年,期间信息变更需及时办理手续,拟终止服务要提前通知并做好善后工作,有效期届满可申请延续。域名注册服务机构可委托代理机构开展工作,但要做好监督管理,同时相关机构需设立应急备份系统并公示许可信息。
域名服务方面,要求各机构向用户提供安全、稳定的服务。域名注册管理机构应制定实施细则并公开,通过许可的服务机构开展注册服务,注册原则一般为 “先申请先注册”,并建立保留字制度。禁止注册含有反对宪法基本原则、危害国家安全等内容的域名,服务机构不得采用不正当手段要求注册,要核验注册信息,公布服务内容和费用,保护用户个人信息,设立投诉受理机制。域名持有者有权变更服务机构,解析服务需遵守法规标准,具备相应能力和保障措施,不得擅自篡改解析信息、恶意指向他人 IP 地址或为违法域名提供跳转。从事互联网信息服务使用域名应合法,相关机构要配合检查工作,对违法域名采取处置措施。出现安全事件应及时报告,因特殊情况需服从统一指挥协调。争议可通过申请裁决或诉讼解决,符合条件的域名应予以注销。
在监督检查方面,电信管理机构加强监督检查,相关机构应接受配合。鼓励行业自律和公众监督,机构需定期报送信息,管理机构可委托第三方专业机构检查,建立信用记录制度,检查不得妨碍正常经营服务活动且不得收费和泄露信息。
《互联网域名管理办法》的实施,对于规范域名服务市场秩序、保护用户权益、维护国家网络安全具有重要意义。它为域名服务的各个环节提供了明确的规范和要求,确保域名服务在合法、安全、稳定的轨道上运行,推动中国互联网健康发展,促进中文域名和国家顶级域名的应用与发展。同时,该办法也为相关管理部门提供了有力的监管依据,有助于加强对域名服务行业的管理,打击违法违规行为,营造良好的网络环境。
参考链接:
中华人民共和国工业和信息化部令(第43号) 互联网域名管理办法__2017年第33号国务院公报_中国政府网
2.3 信息安全技术 个人信息安全规范
2.3.1 时间节点
2019年7月12日,国家标准计划《信息安全技术—个人信息安全规范》(20192183-T-469)下达,项目周期24个月,由TC260(全国信息安全标准化技术委员会)归口上报及执行,主管部门为中国国家标准化管理委员会。全国标准信息公共服务平台显示,该计划已完成网上公示、起草、征求意见、审查、批准、发布工作。
2020年3月6日,国家标准《信息安全技术—个人信息安全规范》(GB/T 35273-2020)由中华人民共和国国家市场监督管理总局、中国国家标准化管理委员会发布。
2020年10月1日,国家标准《信息安全技术—个人信息安全规范》(GB/T 35273-2020)实施,全部代替标准《信息安全技术—个人信息安全规范》(GB/T 35273-2017)。
2.3.2 法律内容解读
主要内容
明确个人信息的范围
《规范》明确了个人信息的定义和范围,包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信联系方式等可单独或与其他信息结合识别特定自然人的各种信息。
规定个人信息处理的原则
《规范》提出了个人信息处理应遵循的原则,包括合法、正当、必要、诚信、目的明确、最小化、公开透明、准确、完整、安全等。这些原则为个人信息处理活动提供了基本的准则和要求。
规范个人信息处理的各个环节
收集:个人信息控制者在收集个人信息时,应明确告知用户收集目的、方式和范围,并获得用户同意。同时,应采取必要的技术和管理措施,确保收集的个人信息的准确性和完整性。
存储:个人信息应存储在安全的环境中,采取加密等安全措施,确保信息的保密性和完整性。存储期限应符合法律法规的要求,不得超出必要的期限。
使用:个人信息的使用应在授权范围内,不得超范围使用。同时,应采取必要的技术和管理措施,确保个人信息的安全。
共享、转让和公开披露:个人信息的共享、转让和公开披露应进行安全评估,并明确告知用户。接收方应具备相应的安全保护能力,确保个人信息的安全。公开披露个人信息应取得个人信息主体的明确同意,且遵循最小化原则。
强调个人信息主体的权利
《规范》强调了个人信息主体的权利,包括知情权、决定权、查询权、更正权、删除权、撤回同意权、注销账户权等。个人信息控制者应建立健全响应机制,及时响应用户的请求。
要求建立安全管理制度
个人信息控制者应建立健全安全管理制度,明确责任人和内部管理流程,对个人信息处理活动进行记录。同时,应定期进行安全评估,及时发现和解决安全隐患。
重要意义
保护个人隐私和权益
《规范》为个人信息的保护提供了具体的标准和要求,有助于防止个人信息的泄露、滥用等问题,保护个人的隐私和权益。
规范企业和组织的行为
《规范》对企业和组织的个人信息处理活动进行了规范,促使其建立健全安全管理制度,提高个人信息保护意识和能力,规范自身行为。
促进信息产业的健康发展
个人信息的安全保护是信息产业健康发展的基础。《规范》的实施有助于营造良好的信息安全环境,促进信息产业的可持续发展。
参考链接:
http://nic.swu.edu.cn/__local/1/FE/8B/5DC92A975E617561B685BDDE3DA_B7B6D500_FE10A.pdf
2.4 网络安全等级保护制度 2.0 国家标准
2.4.1 时间节点
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。
2.4.2 法律内容解读
网络安全等级保护制度2.0标准的核心内容
网络安全等级保护制度2.0标准(以下简称“等保2.0”)是对旧版等保标准的修订版,旨在建立更加完善的网络安全保护体系,提高信息系统的防护能力。等保2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
网络安全等级保护制度2.0标准的实施步骤
实施等保2.0一般包括以下几个步骤:
评估与分类:首先需要对信息系统进行评估,确定其所处的安全等级,并根据等级要求制定相应的保护措施。
整改与建设:根据评估结果,组织需要对现有的安全设施进行整改,建立符合要求的安全体系。
监测与维护:实施之后,必须持续监测系统的安全状态,定期进行安全检查和评估,确保系统能够有效应对不断变化的安全威胁。
培训与意识提升:组织还需要对员工进行网络安全培训,提高其安全意识和应对能力。
网络安全等级保护制度2.0标准的挑战与前景
尽管等保2.0提供了全面的安全保护框架,但在实际应用中,组织仍面临一些挑战,如技术更新带来的复杂性、人员培训的不足等。然而,随着技术的进步和经验的积累,等保2.0有望在保障信息安全方面发挥更大的作用。
网络安全等级保护制度2.0标准的具体应用场景
等保2.0适用于各种类型的网络系统和应用场景,包括但不限于:
企业网络:对企业内部网络进行等级保护,确保企业数据的安全。
政府机构:对政府网站和重要信息系统进行等级保护,保障政府工作的顺利进行。
金融机构:对金融机构的网络和信息系统进行等级保护,确保金融交易的安全。
医疗机构:对医疗机构的网络和信息系统进行等级保护,确保患者信息的隐私和安全。
教育机构:对教育机构的网络和信息系统进行等级保护,确保教育资源的安全和稳定。
网络安全等级保护制度2.0标准的五级划分为:一级、二级、三级、四级和五级。
一级(自主保护级):适用于对信息系统安全保护要求最低的基本级别,主要针对个人或小型组织使用的信息系统。当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
二级(指导保护级):适用于需要保护的一般级别,主要针对提供公共服务的信息系统,如教育、医疗、金融等领域的信息系统。当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
三级(监督保护级):适用于需要较高安全保护的信息系统,这类系统一旦遭受破坏,可能会对社会秩序、公共利益造成严重影响。当等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
四级(强制保护级):适用于对安全保护要求较高的信息系统,通常涉及国家安全、经济运行等关键领域。当等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
五级(专控保护级):适用于对安全保护要求极高的信息系统,通常涉及国家关键基础设施。当等级保护对象受到破坏后,会对国家安全造成特别严重损害。
参考链接:
2.5 数据安全法
2.5.1 时间节点
《中华人民共和国数据安全法》由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日通过,自2021年9月1日起施行。
2.5.2 法律内容解读
共七章五十一条,主要内容包括:
(一)关于本法的适用范围
草案明确在我国境内开展的数据活动适用本法,其中数据是任何以电子或者非电子形式对信息的记录,数据活动是指数据的收集、存储、加工、使用、提供、交易、公开等行为。同时,草案赋予本法必要的域外适用效力,规定:中华人民共和国境外的组织、个人开展数据活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
(二)关于支持、促进数据安全与发展的措施
草案坚持安全与发展并重,设专章对支持促进数据安全与发展的措施作了规定,保护个人、组织与数据有关的权益,提升数据安全治理和数据开发利用水平,促进以数据为关键要素的数字经济发展。包括:实施大数据战略,制定数字经济发展规划;支持数据相关技术研发和商业创新;推进数据相关标准体系建设,促进数据安全检测评估、认证等服务的发展;培育数据交易市场;支持采取多种方式培养专业人才等。
(三)关于数据安全制度
为有效应对境内外数据安全风险,有必要建立健全国家数据安全管理制度,完善国家数据安全治理体系。对此,草案主要作了以下规定:一是,建立数据分级分类管理制度,确定重要数据保护目录,对列入目录的数据进行重点保护。二是,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制,加强数据安全风险信息的获取、分析、研判、预警工作。三是,建立数据安全应急处置机制,有效应对和处置数据安全事件。四是,与相关法律相衔接,确立数据安全审查制度和出口管制制度。五是,针对一些国家对我国的相关投资和贸易采取歧视性等不合理措施的做法,明确我国可以根据实际情况采取相应的措施。
(四)关于数据安全保护义务
保障数据安全,关键是要落实开展数据活动的组织、个人的主体责任。对此,草案主要作了以下规定:一是,开展数据活动必须遵守法律法规,尊重社会公德和伦理,有利于促进经济社会发展,增进人民福祉,不得违法收集、使用数据,不得危害国家安全、公共利益,不得损害公民、组织的合法权益。二是,开展数据活动应当按照规定建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。三是,开展数据活动应当加强数据安全风险监测、定期开展风险评估,及时处置数据安全事件,并履行相应的报告义务。四是,对数据交易中介服务和在线数据处理服务等作出规范。五是,对公安机关和国家安全机关因依法履行职责需要调取数据以及境外执法机构调取境内数据时,有关组织和个人的相关义务作了规定。
(五)关于政务数据安全与开放
为保障政务数据安全,并推动政务数据开放利用,草案主要作了以下规定:一是,对推进电子政务建设,提升运用数据服务经济社会发展的能力提出要求。二是,规定国家机关收集、使用数据应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行,并落实数据安全保护责任,保障政务数据安全。三是,对国家机关委托他人存储、加工或者向他人提供政务数据的审批要求和监督义务作出规定。四是,要求国家机关按照规定及时准确公开政务数据,制定政务数据开放目录,构建政务数据开放平台,推动政务数据开放利用。
(六)关于数据安全工作职责
数据安全涉及各行业各领域,涉及多个部门的职责,草案明确中央国家安全领导机构对数据安全工作的决策和统筹协调等职责,加强对数据安全工作的组织领导;同时对有关行业部门和有关主管部门的数据安全监管职责作了规定。
此外,草案还对违反本法规定的法律责任等作了规定。
参考链接:
2.6 关键信息基础设施安全保护条例
2.6.1 时间节点
2021年4月27日,经国务院第133次常务会议通过,2021年7月30日,国务院总理签署中华人民共和国国务院令第745号 ,公布《关键信息基础设施安全保护条例》,自2021年9月1日起施行。
2.6.2 法律内容解读
参考链接:
中华人民共和国国务院令(第745号) 关键信息基础设施安全保护条例__2021年第25号国务院公报_中国政府网
2.7 个人信息保护法
2.7.1 时间节点
该法于2021年8月20日由十三届全国人大常委会第三十次会议表决通过,自2021年11月1日起施行。
2.7.2 法律内容解读
《中华人民共和国个人信息保护法》是为了保护个人信息权益,规范个人信息处理活动,促进个人信息合理利用,根据宪法制定的法规。
《中华人民共和国个人信息保护法》首次在法律中明确了自然人的个人信息权益,规定自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。该法适用于在中华人民共和国境内处理自然人个人信息的活动,以及在境外处理境内自然人个人信息的特定情形。
根据《中华人民共和国个人信息保护法》的具体条款,处理个人信息应当遵循合法、正当、必要和诚信原则,不得通过误导、欺诈、胁迫等方式处理个人信息。收集个人信息应当限于实现处理目的的最小范围,不得过度收集。处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围。
个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。向境外提供个人信息的,需满足特定条件,如通过国家网信部门组织的安全评估或与境外接收方订立合同等。此外,个人信息处理者还需采取必要措施,保障境外接收方处理个人信息的活动达到法律规定的个人信息保护标准。
参考链接:
2.8 工业和信息化领域数据安全管理办法 (试行)
2.8.1 时间节点
2021年9月30日,工信部官网发布消息,为贯彻落实《数据安全法》等法律法规,加快推动工业和信息化领域数据安全管理工作制度化、规范化,提升工业、电信行业数据安全保护能力,防范数据安全风险,工业和信息化部研究起草了《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》,面向社会公开征求意见。
2.8.2 法律内容解读
《征求意见稿》分为八章四十四条,在第二章数据分类分级管理方面,《征求意见稿》提及工业和电信数据处理者应当坚持先分类后分级,定期梳理,根据行业要求、业务需求、数据来源和用途等因素对数据进行分类和标识,形成数据分类清单。数据分类类别包括但不限于研发数据、生产运行数据、 管理数据、运维数据、业务服务数据、个人信息等。工业和信息化部按照国家有关规定,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信数据分为一般数据、重要数据和核心数据三级。
在第三章数据全生命周期安全管理方面,《征求意见稿》提到工业和电信数据处理者应当对数据处理活动负安全主体责任,根据数据的类型、数量、安全 级别、处理方式以及对国家安全、公共利益或者个人、组织合法权益带来的影响和安全风险等,采取必要措施确保数据持续处于有效保护和合法利用的状态。
在《意见稿》中第十七条关于数据收集中:工业和电信数据处理者收集数据应当遵循合法、正当、必要的原则,不得窃取或者以其他非法方式收集数据。
数据收集过程中,应当采取配备技术手段、签署安全协议等措施加强对数据收集人员、设备的管理,并对数据收集的时间、类型、数量、频度、流向等进行记录。通过间接途径获取数据的,应当要求数据提供方做出数据源合法性的书面承诺,并承担相应的法律责任。
第二十四条关于数据出境中,《征求意见稿》明确提出工业和电信数据处理者在中华人民共和国境内收集和产生的重要数据,应当依照法律、行政法规要求在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。核心数据不得出境。
参考链接:
工业和信息化部关于印发《工业和信息化领域数据安全管理办法(试行)》的通知_国务院部门文件_中国政府网
2.9 工业和信息化部关于开展移动互联网应用程序备案工作的通知
2.9.1 时间节点
成文日期: 2023年07月21日
2.9.2 法律内容解读
来自 工业和信息化部官方网站。
近日,工业和信息化部印发了《工业和信息化部关于开展移动互联网应用程序备案工作的通知》(以下简称《通知》)。现就《通知》有关内容解读如下:
一、《通知》出台的背景是什么?
为贯彻落实*关于网络强国的重要思想、*关于打击治理电信网络诈骗犯罪工作的重要指示批示精神,落实《中华人民共和国反电信网络诈骗法》第二十三条“设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续”有关要求,制定印发《通知》。
工业和信息化部全面调研我国移动互联网应用程序(以下简称APP)有关情况,在广泛征集APP主办者等互联网信息服务提供者、网络接入服务提供者、应用分发平台、智能终端生产企业等各方意见的基础上,组织开展APP备案工作,着力提升对APP监管效能,促进互联网行业高质量发展,助力网络强国和数字中国建设。
二、APP备案是指什么?
自2000年起,依据《互联网信息服务管理办法》(国务院令第292号)规定,电信主管部门对从事互联网信息服务的网站开展备案核准工作(即ICP备案)。经过20多年的持续优化完善,已形成“电信主管部门-网络接入服务提供者-互联网信息服务提供者”三级架构的ICP备案核准管理体系,运行机制成熟稳定高效,对促进互联网行业规范健康发展发挥了积极作用。
随着移动互联网快速发展,APP已成为互联网信息服务的重要载体,APP与网站同属于提供互联网信息服务,应按照国家法律法规要求,向电信主管部门参照网站备案的方式履行备案手续,登记实名、网络资源和业务等信息。
三、怎样办理APP备案?
为方便APP主办者办理备案,APP主办者在填写有关备案材料并实名核验后,由其网络接入服务提供者或应用分发平台通过“国家互联网基础资源管理系统”(即ICP/IP地址/域名信息备案管理系统,以下简称备案系统),向APP主办者住所所在地通信管理局在线提交备案申请,APP主办者无需到通信管理局窗口排队办理。
同时,为降低主办者负担,减少信息填报量,APP备案信息沿用了原有网站备案信息,对于已履行网站备案手续的主办者,不需要重新填报主体身份信息,仅需补充APP有关信息即可。
四、如何获取备案结果?
省级通信管理局在收到APP主办者提交的备案材料后,材料齐全并准确的,在二十个工作日内予以备案,发放备案编号,并通过短信、邮件形式告知,主办者也可以通过备案系统网站http://beian.miit.gov.cn自行查询。材料不齐全或不准确的,省级通信管理局不予备案,并说明理由。
此外,APP主办者应在显著位置标注其备案编号,分发平台应在显著位置标注其分发的APP备案编号。
五、APP需要何时完成备案?
综合考虑APP主办者、网络接入服务提供者、应用分发平台、智能终端生产企业实际业务情况,《通知》中预留了10个月时间作为APP备案工作的过渡期。
2023年9月至2024年3月底,《通知》发布前开展业务的APP向其住所所在地省级通信管理局履行备案手续。2024年4月至2024年6月底,电信主管部门将组织对APP备案情况开展监督检查,对仍未履行备案手续的APP依法进行处置。
《通知》发布后拟开展业务的APP,应先履行备案手续后再开展业务。
六、有关单位还须遵守的其他要求
网络接入服务提供者、应用分发平台、智能终端生产企业不得为未履行备案手续的APP提供网络接入、分发、预置等服务。
APP主办者、网络接入服务提供者、应用分发平台、智能终端生产企业应当建立健全违法违规信息监测和处置机制,发现法律、行政法规禁止发布或者传输的信息,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向电信主管部门报告,依据电信主管部门要求进行处置。
参考链接:
工业和信息化部关于开展移动互联网应用程序备案工作的通知_国务院部门文件_中国政府网
2.10 促进和规范数据跨境流动规定
2.10.1 时间节点
《促进和规范数据跨境流动规定》已经2023年11月28日国家互联网信息办公室2023年第26次室务会议审议通过,现予公布,自公布之日起施行。
国家互联网信息办公室主任 庄荣文
2024年3月22日
2.10.2 法律内容解读
解读人:张新宝 中国人民大学网络信息法中心主任,中国法学会网络信息法学研究会副会长
数据跨境流动是指数据处理者向境外提供个人信息等数据。一般将数据跨境流动理解为“数据从一法域被转移至另一法域的行为”或“跨境对存储在计算机中的机器可读数据进行处理”。数据跨境流动主要包括两种情形:(1)数据跨境的传输、转移行为;(2)尽管数据尚未跨境,但能够被境外的主体进行访问处理。
《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》都对数据跨境流动作出了规定,国家网信办为落实上述法律的相关规定,于2022年7月7日公布了《数据出境安全评估办法》,于2023年2月22日公布了《个人信息出境标准合同办法》。这些是处理数据跨境流动的重要部门规章。国家网信办近日公布了《促进和规范数据跨境流动规定》(以下简称《规定》),旨在对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度的施行进行调整,保障数据安全,保护个人信息权益,促进数据依法有序自由流动。
新出台的《规定》有以下主要内容:
符合规定情形的重要数据出境需要经过安全评估。数据跨境流动管理的基础是区别重要数据和非重要数据。依据《规定》,重要数据的跨境流动需要经过安全评估,数据处理者应当按照相关规定识别、申报重要数据。但是,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
不包含个人信息或者重要数据的出境豁免。依据《规定》,国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据向境外提供,如果不包含个人信息或者重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。数据处理者在境外收集和产生的个人信息传输至境内处理后向境外提供的,如果处理过程中没有引入境内个人信息或者重要数据,也免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
部分个人信息出境豁免。《规定》规定,为订立或者履行个人作为一方当事人的合同确需向境外提供个人信息、按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理确需向境外提供员工个人信息、紧急情况下为保护自然人的生命健康和财产安全确需向境外提供个人信息、关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人非敏感个人信息,只要不包含重要数据,免予申报数据出境安全评估、订立个人信息出境标准合同以及通过个人信息保护认证。
自贸区特别立法权与负面清单制度。《规定》指出,自由贸易试验区在国家数据分类分级保护制度框架下可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,即负面清单,经省级网络安全和信息化委员会批准后报国家网信部门、国家数据管理部门备案。自贸区内数据处理者向境外提供负面清单之外的数据可以免予数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
细化数据出境安全评估和个人信息出境标准合同及认证制度。《规定》对需要进行数据出境安全评估的情形作出了明确规定:(1)关键信息基础设施运营者向境外提供个人信息或者重要数据;(2)关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上非敏感个人信息或1万人以上敏感个人信息。通过数据出境安全评估的结果有效期为3年,满期后可以申请延长。
关键信息基础设施运营者以外的数据处理者,自当年1月1日起累计向境外提供10万人以上不满100万人非敏感个人信息或者不满1万人敏感个人信息的,应当依法与境外接收方订立个人信息出境标准合同或者通过个人信息保护认证。
《规定》还以专门条文重申了数据处理者向境外提供个人信息和数据的法律义务,强调各地网信部门的监管职责。
《规定》的公布与实施,体现了优化营商环境、方便数据(个人信息)处理者经营活动的指导思想,对于非重要数据和特定个人信息的出境规定了方便快捷的路径,对重要数据和敏感个人信息提供了更加精确的保护,有利于实现发展与安全的平衡,更好地保障数据安全,保护个人信息权益,促进数据依法有序自由流动。
参考链接:
国家互联网信息办公室令(第16号) 促进和规范数据跨境流动规定__2024年第15号国务院公报_中国政府网
3.最后
在数字化时代的浪潮下,网络安全法律法规的不断完善对国家、企业和个人都具有至关重要的意义。
从 2017 年到 2024 年,我国陆续出台了一系列网络安全相关的法律法规。2017 年的《网络安全法》作为我国网络空间安全管理的基础性法律,确立了网络空间主权等原则,规范了网络运行安全、明确了政府职责、强化了网络主体的义务和责任,并将监测预警与应急处置措施制度化。《互联网域名管理办法》则针对域名服务的各个环节进行规范,明确了管理职责、域名管理流程以及服务要求,保障了域名系统的安全和稳定运行,维护了用户权益。
2019 年发布的国家标准《信息安全技术 个人信息安全规范》为个人信息处理活动提供了准则,从明确个人信息范围、规定处理原则、规范处理环节、强调个人信息主体权利以及要求建立安全管理制度等方面,全面保护个人信息隐私和权益,促进信息产业健康发展。《网络安全等级保护制度 2.0 国家标准》建立了更完善的网络安全保护体系,将多种网络系统纳入等级保护对象,规定了实施步骤以及不同等级的适用范围,尽管在实施中面临挑战,但对保障信息安全具有重要作用。
2021 年是网络安全立法的重要年份,《数据安全法》聚焦数据活动,涵盖适用范围、支持促进措施、安全制度、保护义务以及政务数据安全与开放等内容,旨在保障数据安全与发展。《关键信息基础设施安全保护条例》对关键信息基础设施进行重点保护。《个人信息保护法》明确了自然人的个人信息权益,规范了个人信息处理活动,强调了处理原则和向境外提供个人信息的条件。
2023 年,《工业和信息化领域数据安全管理办法 (试行)》对工业和电信数据进行分类分级管理,并规范了数据全生命周期的安全管理。《工业和信息化部关于开展移动互联网应用程序备案工作的通知》加强了对 APP 的监管,明确了备案流程、要求和时间节点等。2024 年的《促进和规范数据跨境流动规定》对数据跨境流动进行了详细规定,区分不同情形,平衡了数据安全与自由流动的关系。
这些法律法规共同构成了我国网络安全的法治屏障。它们规范了网络空间的各种行为,明确了各方的权利和义务,为网络安全提供了坚实的法律保障。无论是网络运营者、数据处理者还是普通用户,都应当深入了解这些法律法规,遵守相关规定,共同维护网络空间的安全和稳定,促进数字经济的健康发展。