年度回顾:2020信息安全新政策、新法规盘点
2020年即将过去,在新基建、数字化转型加速的一年,网络安全态势面临更复杂的挑战,数据安全问题日益严峻、安全防御体系随着数字化进程脆弱性凸显,在此背景下,国家日益重视网络与信息安全的法制建设和政策力量布局,几十份网络安全与信息化建设的法律、法规、政策文件相继出台发布。
对此,本文将对2020年网络与信息安全主要法律法规、政策文件进行汇总、梳理,帮助行业用户回顾过去一年安全政策现状和发展趋势。
《中华人民共和国密码法》
1月1日,《中华人民共和国密码法》正式实施,这是我国密码领域的第一部法律,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律。
密码法是总体国家安全观框架下,国家安全法律体系的重要组成部分,它的颁布实施将极大的提升密码工作的科学化、规范化、法制化水平,有力促进密码技术进步,产业发展和规范应用,切实维护国家安全、社会公共利益,以及公民、法人及其他社会组织的合法权益,同时也为密码部门工作提供了坚实的法治保障。
《个人金融信息保护技术规范》
2月13日,中国人民银行正式发布《个人金融信息保护技术规范》(JR/T 0171—2020),该规范由中国人民银行提出,全国金融标准化技术委员会归口管理,中国人民银行科技司提出并负责起草。
该规范的发布,有助于规范金融业机构个人金融信息保护工作,提升金融数据风险防控能力,促进我国金融市场的健康发展。同时,有助于提高金融机构个人账户信息、银行卡信息安全管理水平,加大互联网交易风险防控力度,防范各类金融交易风险,切实维护金融稳定,保护金融消费者合法权益。
《信息安全技术 个人信息安全规范》
3月6日,国家市场监督管理总局、国家标准化管理委员会发布新版国家标准《信息安全技术个人信息安全规范》(GB/T35273-2020),并定于 2020年10月1日实施。分别从事件驱动及和政策驱动的角度,提醒IT、互联网乃至全社会公民重视个人信息的安全保护。
与17版《规范》相比,20版《规范》开篇即明确了主要技术变化,并有“两大一小”三个变化。“两大一小”三个变化中,小的变化“个人信息控制者”的定义值得我们关注,在17版中描述为“有权决定个人信息处理目的、方式等的组织或个人”,20版中则是“有能力决定个人信息处理目的、方式等的组织或个人。”
一个是“权”,一个是“能力”,而从民法学上讲,权利能力反映了权利主体取得权利和承担义务的资格,行为能力则是指权利主体能够通过自己的行为取得权利和承担义务的能力,所以两者相较,可以看出20版的规范对象更加宽泛。
《信息安全技术 防火墙安全技术要求和测试评价办法》
4月28日,由全国信息安全标准化技术委员会归口管理的GB/T 20281-2020《信息安全技术 防火墙安全技术要求和测试评价办法》获批正式发布,并于2020年11月1日正式实施。本标准在GB/T 20281-2015基础上,结合GB/T 20010-2005、GB/T 31505-2015和GB/T 32917-2016的要求,统一明确了各类防火墙:网络型防火墙、WEB应用防火墙、数据库防火墙、主机型防火墙的定义、安全技术要求、测试评价方法及安全等级划分。
可以看到,网络型防火墙、WEB应用型防火墙、主机型防火墙都是对原有国家标准的修订、升级,而数据库防火墙则是首次以国家标准形式明确定义和相关要求,这将直接改观数据库防火墙产品水平参差不齐的市场现状,解决用户选择数据库防火墙产品缺乏国家标准指导的困境,为落地等保2.0数据安全建设、落实关键基础设施数据安全保护提供了产品层面标准依据。
《网络安全审查办法》
6月1日,由国家互联网信息办公室、发展改革委、工信部等12部门联合发布的《网络安全审查办法》正式实施。《办法》明确指出,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查。
《网络安全审查办法》的发布,是落实《网络安全法》要求、构建国家网络安全审查工作机制的重要举措,是确保关键信息基础设施供应链安全的关键手段,更是保障国家安全、经济发展和社会稳定的现实需要。《网络安全审查办法》的发布实施,将为我国关键信息基础设施的持续稳定运行筑起一道安全底线,将在维护国家安全、经济发展和社会稳定方面持续发挥关键作用。
《中华人民共和国数据安全法(草案)》
7月2日,中国人大网发布《中华人民共和国数据安全法 (草案) 》并公开征求意见,内容涉及7章51条,包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。
《数据安全法(草案)》的发布,是我国数据时代的重要一步,体现了国家对支持数字经济的决心与信心,是数字经济“安全与发展”并重的体现。在《中华人民共和国数据安全法(草案)》的契机下,未来数字经济发展、数据交易市场、数据安全检测与认证等服务机会将大有可为。
《电信和互联网行业数据阿暖标准体系建设指南(征求意见稿)》
8月11日,工信部发布了《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》,该指南旨在落实相关法律法规要求,指导电信和互联网行业数据安全标准化工作,由中国信息通信研究院、中国通信标准化协会等单位起草。
指南为保障电信和互联网行业数据安全、促进数据合理有序流动、助力数字经济高质量发展提供了有力支撑。也为未来国际数据流通和数字经济全球化提供了参考。
《金融数据安全 数据安全分级指南》
2020年9月23日,中国人民银行正式发布《金融数据安全 数据安全分级指南》(JR/T0197—2020)金融行业标准。标准给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,同时明确标准适用于金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。
本标准的发布,进一步完整了金融数据安全制度体系的拼图,传达了行业主管部门对金融数据安全的重视,促进了金融业相关业务稳健发展,也为建立覆盖数据生命周期全过程的安全管控体系奠定基础。美创在数据安全领域深耕多年,持续跟进国内外数据安全政策及前沿技术发展,致力为金融行业客户提供所需的数据安全产品、咨询及服务,共同深挖数据价值、释放数据潜能,推动金融实现高质量发展。
《中华人民共和国个人信息保护法(草案)》
10月13日,《中华人民共和国个人信息保护法(草案)》在全国人大常委会会议上首次亮相,从确立“告知——同意”为核心的个人信息处理一系列规则、严格限制处理敏感个人信息、明确国家机关对个人信息的保护义务等方面,全面加强个人信息的法律保护。
《中华人民共和国个人信息保护法(草案)》重点在于明确个人信息的处理规则,规范信息处理活动,但仍有相当篇幅涉及到个人信息的安全保护措施,并对安全审计、个人信息处理的风险评估等提出了新要求。草案的出台,一方面对我国国内互联网企业的合规提出了新的期待,另一方面也对我国政府监管提出了更高要求。同时,对我国信息经济发展的也起到了极大的促进作用。
《信息安全技术政务信息共享 数据安全技术要求》
11月25日,由全国信息安全标准化技术委员会归口上报及执行的GB/T 39477-2020《信息安全技术政务信息共享 数据安全技术要求》获批正式发布,并将于2021年6月1日正式实施。
该标准是“国家政务信息共享标准”的重要组成部分,针对政务信息数据流转的全过程和面临的数据安全风险,明确了包括身份鉴别、访问控制、安全传输、数据加密、脱敏处理、安全审计等方面涉及的安全技术要求,后续在国家各级政府电子政务领域具备较强推广意义,可以有效提升政务信息资源采集、共享、使用过程的安全防护能力,全面保障政务信息资源共享交换数据安全。