通知 | 《网络安全审查办法(修订草案征求意见稿)》公开征求意见(附全文) 云安全

通知 | 《网络安全审查办法(修订草案征求意见稿)》公开征求意见(附全文)

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规,我办会同有关部门修订了《网络安全审查办法》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。2.通过电子邮件方式发送至:[email protected]。3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局,邮编100044,并在信封上注明“网络安全审查办法征求意见”。意见反馈截止日期为2021年7月25日。附件:网络安全审查办法(修订草案征求意见稿)国家互联网信息办公室2021年7月10日网络安全审查办法(修订草案征求意见稿)第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。第六条 掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。第七条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。第八条 运营者申报网络安全审查,应当提交以下材料:(一)申报书;(二)关于影响或可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同或拟提交的IPO材料等;(四)网络安全审查工作需要的其他材料。第九条 网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。第十条 网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;(七)其他可能危害关键信息基础设施安全和国家数据安全的因素。第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。第十二条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。第十四条 特别审查程序一般应当在3个月内完成,情况复杂的可以延长。第十五条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。第十七条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。第十八条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。第十九条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。第二十条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。第二十一条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。第二十三条 本办法自2021年 月 日起实施,《网络产品和服务安全审查办法(试行)》同时废止。(来源:中国网信网)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):通知 | 《网络安全审查办法(修订草案征求意见稿)》公开征求意见(附全文)
阅读全文
《网络安全审查办法(修订草案征求意见稿)》修订要点与影响分析 云安全

《网络安全审查办法(修订草案征求意见稿)》修订要点与影响分析

本文 8287字   阅读约需 23分钟在网络安全审查办公室宣布对滴滴出行等互联网平台实施网络安全审查数日后,国家互联网信息办公室在7月10日发布了《网络安全审查办法(修订草案征求意见稿)》(《征求意见稿》),结合刚刚颁布的《数据安全法》对《网络安全审查办法》(《审查办法》)的内容进行相应调整。《征求意见稿》的多处修改均体现着对数据安全问题的高度重视。其主要修订要点如下:增加《数据安全法》作为立法依据及处罚依据。扩大网络安全审查范围,对于数据处理者开展数据处理活动,影响或可能影响国家安全的,纳入网络安全审查审查范围,落实《数据安全法》的数据安全审查制度。新增网络安全审查适用情形,掌握超过100万用户个人信息的运营者赴国外上市,须申报网络安全审查。网络安全审查重点从网络安全扩展至数据安全,增加对“核心数据、重要数据或大量个人信息”以及“关键信息基础设施”可能遭遇的数据安全风险因素的考量。将中国证券监督管理委员会纳入网络安全审查工作组。变更申报材料及审查时间,增补申报网络安全审查应提交的材料,特别审查程序由45个工作日延长为3个月。下文对《征求意见稿》的主要变化与影响进行简要评述。01增加《数据安全法》作为法律依据《网络安全审查办法》于2020年6月1日生效,这次修订有上位法发生变化的大背景,即我国《数据安全法》已经通过并即将于2021年9月1日生效。《征求意见稿》第一条增加了《数据安全法》作为法律依据。根据即将生效的《数据安全法》相关规定,对原《网络安全审查办法》进行修订,增加了网络安全审查中需要根据《数据安全法》规定予以配套的内容。因此,本次修订从根本上来是为了落实《数据安全法》第二十四条“建立数据安全审查制度”的要求:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”此外,《征求意见稿》第二十条增加《数据安全法》作为处罚依据:“运营者违反本办法规定的,依照《网络安全法》《数据安全法》的规定处理。”《数据安全法》将在2021年9月1日实施,《审查办法》的修订表明《数据安全法》进入实施前紧锣密鼓的准备阶段,法律中设立的重大制度将逐步通过法规和细则予以落实。《网络安全法》与《数据安全法》通过不同角度立法共同完善覆盖网络信息和数据领域,两者互相补充配合使用。02扩大网络安全审查的适用范围 (一) 审查范围扩大至包括数据处理者根据《网络安全法》和《审查办法》,网络安全审查制度审查的重点对象是关键信息基础设施运营者(CIIO)采购网络产品和服务(《审查办法》第二条),但相关监管部门可以依职权将其认为有可能影响国家安全的网络产品和服务纳入审查(《审查办法》第十五条)。在《审查办法》基础上,《征求意见稿》第二条规定扩大了适用网络安全审查的范围,明确将数据处理者(“运营者”)开展数据处理活动,影响或可能影响国家安全的,纳入了网络安全审查范围。《征求意见稿》第二条规定:关键信息基础设施运营者采购网络产品和服务,以及数据处理者开展数据处理活动,影响或可能影响国家安全的,应当进行网络安全审查。后者可涵盖的对象可能远远大于前者。根据《数据安全法》的规定,所谓数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。(二)  审查要点和标准从网络安全扩展至数据安全《审查办法》主要针对CIIO采购特定网络产品和服务相关的供应链安全风险,而《征求意见稿》明确将《数据安全法》补充为立法依据,且将审查范围扩展至CIIO、数据处理者数据处理活动以及赴国外上市相关的国家安全风险,特别是“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。“核心数据”和“重要数据”均系近期出台并将于9月1日正式实施的《数据安全法》提出的重要概念,目前均未界定其具体范畴。(三)  明确掌握100万用户个人信息的运营者赴国外上市的强制网络安全审查申报义务《征求意见稿》第六条规定:“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。 这意味着,即使不属于非关键信息基础设施运营者的企业,如果处理个人信息达到规定的数量要求,其在赴国外上市前亦必须申报网络安全审查。国家标准GB/T 35273 - 2020《信息安全技术个人信息安全规范》中规定企业“处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息”应当设立专职的个人信息保护负责人和个人信息保护工作机构,《征求意见稿》似乎参考了此项个人信息数据标准。此外,《征求意见稿》中使用的是“掌握”而非《数据安全法》、《个人信息保护法(草案)》(第二次审议稿)中的“处理”概念,可解释范围更广。根据第六条的规定,仅“赴国外上市”的行为触发强制的网络安全审查。从文义解释的角度看,由于香港和澳门特别行政区不属于“国外”的范围,拟赴香港上市的企业应不会受到本条的限制。03增加证监会作为网络安全审查的成员单位为应对新增的审查范围,《征求意见稿》明确将证监会纳入中央网络安全和信息化委员会领导网络安全审查工作机制的范畴,与此前的网信办等十二部委联合开展审查。就在数日前,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》(“《意见》”),明确提出“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”,“压实境外上市公司信息安全主体责任”,“加强跨境信息提供机制与流程的规范管理”的工作要求。《征求意见稿》将证监会纳为工作机制成员单位,有助于证监会在贯彻落实《意见》的过程中发现影响或可能影响国家安全的国外上市行为,并根据《征求意见稿》第十六条的规定,依职权主动申请发起网络安全审查。全球主要国家上市的信息披露和合规要求各有不同,但都有通过行政执法、投资者发起证券民事诉讼,甚至刑事追责等手段,强制上市企业必须强调真实、完整、准确披露拟上市公司的信息。高科技企业掌握的科技数据、用户数据,业务涉及的敏感数据,关系到所在国家的网络数据安全甚至是国家安全。对企业来说,如何平衡好上市信息披露等法律合规和监管要求与业务属地的业务合规与监管要求,是企业面临的重要课题。04新增审查要点《《征求意见稿》第十条进一步增加了网络安全审查中考虑的国家安全风险因素,即“(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”,以及“(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。《征求意见稿》第十条规定了网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素(注:新增的考虑因素已经突出提示):产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;其他可能危害关键信息基础设施安全和国家数据安全的因素。05特别审查程序期限延长总体而言,《征求意见稿》的审查流程总体沿用了现行《审查办法》确定的审查材料和审查流程,只是将在出现网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致情况下,需征求有关部门意见并报中央网络安全和信息化委员会批准的特别审查流程期限由45个工作日延长至3个月,且情况复杂的仍可以延长。无论是主动申报的审查,还是面临网络安全审查办公室依职权发起的审查,有关企业均应将3个月的期限考虑在内,以免实质性地影响商业计划的进程。06明确“重要通信产品”属于“网络产品和服务”《征求意见稿》在“网络产品和服务”中新增了“重要通信产品”,但仍然没有对网络产品和服务的具体范围给出进一步的说明。目前,网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。由于网络安全审查工作办公室有权根据《征求意见稿》第十六条,直接对“影响或可能影响国家安全的”网络产品和服务,以及数据处理活动和国外上市行为启动审查,如某项网络产品和服务在行业属性上具备敏感性且已经或可能进入关键信息基础设施运营者的供应链体系,或者其数据处理规模较大、处理的数据性质较为敏感,将有可能被认为“影响或可能影响国家安全”而面临审查,同样值得企业关注。06相关建议若企业相关业务涉及处理个人信息或核心数据、重要数据,特别是掌握了大量个人信息数据的基础互联网服务企业,应当重视网络安全审查的相关规定,应当按照《网络安全法》、《数据安全法》以及未来出台的《个人信息保护法》等相关法律规定做好个人信息保护及数据安全、网络安全工作;同时,组织或委托专业机构对数据处理的合规性,特别是数据处理是否可能影响国家安全,抓紧开展自评估。附:《网络安全审查办法(修订草案征求意见稿)》修改前后对比参考文章https://mp.weixin.qq.com/s/foM3Jw2OOnlBuOxWL03DeQ https://mp.weixin.qq.com/s/VfUj60UIy7IMn7g8_LCuSwhttps://mp.weixin.qq.com/s/oYmWaawy3eUMCB3AoiO87A 本文始发于微信公众号(虎符智库):《网络安全审查办法(修订草案征求意见稿)》修订要点与影响分析
阅读全文
行业动态 | 工信部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见 云安全

行业动态 | 工信部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见

工信部官网4月26日消息,在国家互联网信息办公室的统筹指导下,工业和信息化部会同公安部、市场监管总局起草了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。现向社会公开征求意见,请于2021年5月26日前反馈意见。征求意见稿指出,App个人信息处理活动应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。原文移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)第一条 为保护个人信息权益,规范移动互联网应用程序(以下简称App)个人信息处理活动,促进个人信息合理利用,依据《中华人民共和国网络安全法》等法律法规,制定本规定。第二条 在中华人民共和国境内开展的App个人信息处理活动,应当遵守本规定。法律、行政法规对个人信息处理活动另有规定的,从其规定。第三条 本规定所称App个人信息处理活动,是指移动智能终端中运行的应用程序收集、存储、使用、加工、传输个人信息的活动。本规定所称App开发运营者,是指从事App开发和运营活动的主体。本规定所称App分发平台,是指通过应用商店、应用市场、网站等方式提供App下载、升级服务的软件服务平台。本规定所称App第三方服务提供者,是指相对于用户和App以外的,为App提供软件开发工具包(SDK)、封装、加固、编译环境等第三方服务的主体。本规定所称移动智能终端生产企业,是指生产能够接入公众网络,提供预置App或者具备安装App能力的移动智能终端设备的主体。本规定所称网络接入服务提供者,是指从事互联网数据中心(IDC)业务、互联网接入服务(ISP)业务和内容分发网络(CDN)业务,为App提供网络接入服务的电信业务经营者。第四条 国家互联网信息办公室负责统筹协调App个人信息保护工作和相关监督管理工作,会同工业和信息化部、公安部、市场监管总局建立健全App个人信息保护监督管理联合工作机制,统筹推进政策标准规范等相关工作,加强信息共享及对App个人信息保护工作的指导。各部门在各自职责范围内负责App个人信息保护和监督管理工作。省、自治区、直辖市网信办、通信管理局、公安厅(局)、市场监管局负责本行政区域内App个人信息保护监督管理工作。前两款规定的部门统称为App个人信息保护监督管理部门。第五条 App个人信息处理活动应当采用合法、正当的方式,遵循诚信原则,不得通过欺骗、误导等方式处理个人信息,切实保障用户同意权、知情权、选择权和个人信息安全,对个人信息处理活动负责。相关行业组织和专业机构按照有关法律法规、标准及本规定,开展App个人信息保护能力评估、认证。第六条 从事App个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,作出自愿、明确的意思表示。(一)应当在App登录注册页面及App首次运行时,通过弹窗、文本链接及附件等简洁明显且易于访问的方式,向用户告知涵盖个人信息处理主体、处理目的、处理方式、处理类型、保存期限等内容的个人信息处理规则;(二)应当采取非默认勾选的方式征得用户同意;(三)应当尊重用户选择权,在取得用户同意前或者用户明确表示拒绝后,不得处理个人信息;个人信息处理规则发生变更的,应当重新取得用户同意;(四)应当在对应业务功能启动时,动态申请App所需的权限,不应强制要求用户一揽子同意打开多个系统权限,且未经用户同意,不得更改用户设置的权限状态;(五)需要向本App以外的第三方提供个人信息的,应当向用户告知其身份信息、联系方式、处理目的、处理方式和个人信息的种类等事项,并取得用户同意;(六)处理种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等敏感个人信息的,应当对用户进行单独告知,取得用户同意后,方可处理敏感个人信息。第七条 从事App个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。(一)处理个人信息的数量、频次、精度等应当为服务所必需,不得超范围处理个人信息;(二)个人信息的本地读取、写入、删除、修改等操作应当为服务所必需,不得超出用户同意的操作范围;(三)用户拒绝相关授权申请后,不得强制退出或者关闭App,不得提前申请超出其业务功能或者服务外的权限,不得利用频繁弹窗反复申请与当前服务场景无关的权限;(四)在非服务所必需或者无合理场景下,不得自启动或者关联启动其他App;(五)用户拒绝提供非该类服务所必需的个人信息时,不得影响用户使用该服务;(六)不得以改善服务质量、提升使用体验、研发新产品、定向推送信息、风险控制等为由,强制要求用户同意超范围或者与服务场景无关的个人信息处理行为。第八条 App开发运营者应当履行以下个人信息保护义务:(一)切实提升产品和服务个人信息保护意识,将个人信息保护要求落实在产品设计、开发及运营环节;以显著、清晰的方式定期向用户呈现App的个人信息收集使用情况;(二)基于个人信息向用户提供商品或者服务的搜索结果的,应当保证结果公平合理,同时向该用户提供不针对其个人特征的选项,尊重和平等保护用户合法权益;(三)使用第三方服务的,应当制定管理规则,明示App第三方服务提供者的名称、功能、个人信息处理规则等内容;应与第三方服务提供者签订个人信息处理协议,明确双方相关权利义务,并对第三方服务提供者的个人信息处理活动和信息安全风险进行管理监督;App开发运营者未尽到监督义务的,应当依法与第三方服务提供者承担连带责任;(四)对于不影响其他服务功能的独立服务功能模块,应当向用户提供关闭或者退出该独立服务功能的选项,不得因用户采取关闭或者退出操作而拒绝提供其他服务;(五)加强前端和后端安全防护、访问控制、技术加密、安全审计等工作,主动监测发现个人信息泄露等违规行为,及时响应处置要求;(六)国家规定的其他个人信息保护义务。第九条 App分发平台应当履行以下个人信息保护义务:(一)登记并核验App开发运营者、提供者的真实身份、联系方式等信息;(二)在显著位置标明App运行所需获取的用户终端权限列表和个人信息收集的类型、内容、目的、范围、方式、用途及处理规则等相关信息;(三)不得欺骗误导用户下载App;(四)对新上架App实行上架前个人信息处理活动规范性审核,对已上架App在本规定实施后1个月内完成补充审核,并根据审核结果进行更新或者清理;(五)建立App开发运营者信用积分、风险App名单、平台信息共享及签名验证等管理机制;(六)按照监督管理部门的要求,完善报送机制,及时配合监督管理部门开展问题App上报、响应和处置工作;(七)设置便捷的投诉举报入口,及时处理公众对本平台所分发App的投诉举报;(八)国家规定的其他个人信息保护义务。第十条 App第三方服务提供者应当履行以下个人信息保护义务:(一)制定并公开个人信息处理规则;(二)以明确、易懂、合理的方式向App开发运营者公开其个人信息处理目的、处理方式、处理类型、保存期限等内容,其个人信息处理活动应当与公开的个人信息处理规则保持一致;(三)未经用户同意或者在无合理业务场景下,不得自行进行唤醒、调用、更新等行为;(四)采取足够的管理措施和技术手段保护个人信息,发现安全风险或者个人信息处理规则变更时应当及时进行更新并告知App开发运营者;(五)未经用户同意,不得将收集到的用户个人信息共享转让;(六)国家规定的其他个人信息保护义务。第十一条 移动智能终端生产企业应当履行以下个人信息保护义务:(一)完善终端权限管控机制,及时弥补权限管理漏洞,持续优化和规范敏感行为的记录能力,主动为用户权限申请和告知提供便利;(二)建立终端启动和关联启动App管理机制,为用户提供关闭自启动和关联启动的功能选项;(三)持续优化个人信息权限在用状态,特别是录音、拍照、视频等敏感权限在用状态的显著提示机制,帮助用户及时准确了解个人信息权限的使用状态;(四)建立重点App关注名单管理机制,完善移动智能终端App管理措施;(五)对预置App进行审核,持续监测预置App的个人信息安全风险;(六)在安装过程中以显著方式告知用户App申请的个人信息权限列表;(七)完善终端设备标识管理机制;(八)国家规定的其他个人信息保护义务。第十二条 网络接入服务提供者应当履行以下个人信息保护义务:(一)在为App提供网络接入服务时,登记并核验App开发运营者的真实身份、联系方式等信息;(二)按照监督管理部门的要求,依法对违规App采取停止接入等必要措施,阻止其继续违规侵害用户个人信息和其他合法权益;(三)国家规定的其他个人信息保护义务。第十三条 从事App个人信息处理活动的相关主体,应当加强人员教育培训,制定个人信息保护内部管理制度,落实网络安全等级保护和应急预案等制度要求;采取加密、去标识化等安全技术措施,防止未经授权的访问及个人信息泄露或者被窃取、篡改、删除等风险;需要认证用户真实身份信息的,应当通过国家统一建设的公民身份认证基础设施所提供的网上公民身份核验认证服务进行。第十四条 任何组织和个人发现违反本规定行为的,可以向监督管理部门或者中国互联网协会、中国网络空间安全协会投诉举报,监督管理部门和相关组织应当及时受理并调查处理。从事App个人信息处理活动的相关主体应当自觉接受社会监督。第十五条 根据公众投诉举报情况和监管中发现的问题,监督管理部门可以对存在问题和风险的App实施个人信息保护检查。从事App个人信息处理活动的相关主体应当对监督管理部门依法实施的监督检查予以配合。第十六条 发现从事个人信息处理活动的相关主体违反本规定的,监督管理部门可依据各自职责采取以下处置措施:责令整改与社会公告。对检测发现问题App的开发运营者、App分发平台、第三方服务提供者及相关主体提出整改,要求5个工作日内进行整改及时消除隐患;未完成整改的,向社会公告。下架处置。对社会公告5个工作日后,仍拒绝整改或者整改后仍存在问题的,可要求相关主体进行下架处置;对反复出现问题、采取技术对抗等违规情节严重的,将对其进行直接下架;被下架的App在40个工作日内不得通过任何渠道再次上架。断开接入。下架后仍未按要求完成整改的,将对其采取断开接入等必要措施。恢复上架。被下架的App完成整改,并完善技术和管理机制及作出企业自律承诺后,可向作出下架要求的监督管理部门申请恢复上架。恢复接入。被断开网络接入的App完成整改后,可向作出断开接入要求的监督管理部门申请恢复接入。信用管理。对相应违规主体,可纳入信用管理,实施联合惩戒。第十七条 对整改反复出现问题的App及其开发运营者开发的相关App,监督管理部门可以指导组织App分发平台和移动智能终端生产企业在集成、分发、预置和安装等环节进行风险提示,情节严重的采取禁入措施。第十八条 从事App个人信息处理活动侵害个人信息权益的,将依照有关规定予以处罚;构成犯罪的,公安机关依法追究刑事责任。第十九条 监督管理部门应当对履行职责中知悉的用户个人信息予以保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供。第二十条 本规定自 年 月 日起施行。本文来自:工信部网站 本文始发于微信公众号(安世加):行业动态 | 工信部公开征求对《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》的意见
阅读全文
行业动态 | 国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知 云安全

行业动态 | 国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!欢迎各位添加微信号:asj-jacky加入安世加 交流群 和大佬们一起交流安全技术  依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法律法规,我办会同有关部门修订了《网络安全审查办法》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:  1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。  2.通过电子邮件方式发送至:[email protected]。  3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络安全协调局,邮编100044,并在信封上注明“网络安全审查办法征求意见”。  意见反馈截止日期为2021年7月25日。  附件:网络安全审查办法(修订草案征求意见稿)国家互联网信息办公室2021年7月10日网络安全审查办法(修订草案征求意见稿)  第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。  第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。  第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。  第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。  网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。  第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。  关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。  第六条 掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。  第七条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。  第八条 运营者申报网络安全审查,应当提交以下材料:  (一)申报书;  (二)关于影响或可能影响国家安全的分析报告;  (三)采购文件、协议、拟签订的合同或拟提交的IPO材料等;  (四)网络安全审查工作需要的其他材料。  第九条 网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。  第十条 网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:  (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;  (二)产品和服务供应中断对关键信息基础设施业务连续性的危害;  (三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;  (四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;  (五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;  (六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;  (七)其他可能危害关键信息基础设施安全和国家数据安全的因素。  第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。  第十二条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。  网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。  第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。  第十四条 特别审查程序一般应当在3个月内完成,情况复杂的可以延长。  第十五条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。  第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。  第十七条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。  第十八条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。  第十九条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。  网络安全审查办公室通过接受举报等形式加强事前事中事后监督。  第二十条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。  第二十一条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。  本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。  第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。  第二十三条 本办法自2021年 月 日起实施,《网络产品和服务安全审查办法(试行)》同时废止。本文转自:“网信中国”微信公众号审核:赵 娟编辑:赵雅琪校对:陈金丹 本文始发于微信公众号(安世加):行业动态 | 国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知
阅读全文
国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知 云安全

国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知

为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,我办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式反馈意见:  1.通过电子邮件将意见发送至:[email protected]。  2.通过信函将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络数据管理局,邮编:100044,并在信封上注明“网络数据安全管理条例征求意见”。  意见反馈截止时间为2021年12月13日。  附件:《网络数据安全管理条例(征求意见稿)》国家互联网信息办公室2021年11月14日网络数据安全管理条例(征求意见稿)第一章  总则  第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。  第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。  在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:  (一)以向境内提供产品或者服务为目的;  (二)分析、评估境内个人、组织的行为;  (三)涉及境内重要数据处理;  (四)法律、行政法规规定的其他情形。  自然人因个人或者家庭事务开展数据处理活动,不适用本条例。  第三条 国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。  第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。  国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。  第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。  国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。  各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。  第六条 数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。  数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。  第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。  国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。第二章  一般规定  第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:  (一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;  (二)侵害他人名誉权、隐私权、著作权和其他合法权益等;  (三)通过窃取或者以其他非法方式获取数据;  (四)非法出售或者非法向他人提供数据;  (五)制作、发布、复制、传播违法信息;  (六)法律、行政法规禁止的其他行为。  任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。  第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。  数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。  数据处理者应当使用密码对重要数据和核心数据进行保护。  第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。  第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。  发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:  (一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;  (二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。  第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:  (一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;  (二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;  (三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。  数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。  第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:  (一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;  (二)处理一百万人以上个人信息的数据处理者赴国外上市的;  (三)数据处理者赴香港上市,影响或者可能影响国家安全的;  (四)其他影响或者可能影响国家安全的数据处理活动。  大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。  第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。  第十五条 数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。  第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。  第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。  自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。  第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。  数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。第三章  个人信息保护  第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:  (一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;  (二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;  (三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。  第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。  个人信息处理规则应当包括但不限于以下内容:  (一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;  (二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;  (三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;  (四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;  (五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;  (六)个人信息安全风险及保护措施;  (七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。  第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:  (一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;  (二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;  (三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;  (四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;  (五)不得通过误导、欺诈、胁迫等方式获得个人的同意;  (六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;  (七)不得超出个人授权同意的范围处理个人信息;  (八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。  个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。  对个人同意行为有效性存在争议的,数据处理者负有举证责任。  第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:  (一)已实现个人信息处理目的或者实现处理目的不再必要;  (二)达到与用户约定或者个人信息处理规则明确的存储期限;  (三)终止服务或者个人注销账号;  (四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。  删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。  法律、行政法规另有规定的从其规定。  第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:  (一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;  (二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;  (三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。  法律、行政法规另有规定的从其规定。  第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:  (一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;  (二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;  (三)能够验证请求人的合法身份。  数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。  请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。  第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。  法律、行政法规另有规定的从其规定。  第二十六条 数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。第四章  重要数据安全  第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。  第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:  (一)研究提出数据安全相关重大决策建议;  (二)制定实施数据安全保护计划和数据安全事件应急预案;  (三)开展数据安全风险监测,及时处置数据安全风险和事件;  (四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;  (五)受理、处置数据安全投诉、举报;  (六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。  数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。  第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:  (一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;  (二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;  (三)国家网信部门和主管、监管部门规定的其他备案内容。  处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。  依据部门职责分工,网信部门与有关部门共享备案信息。  第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。  第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。  第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:  (一)处理重要数据的情况;  (二)发现的数据安全风险及处置措施;  (三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;  (四)落实国家数据安全法律、行政法规和标准情况;  (五)发生的数据安全事件及其处置情况;  (六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;  (七)数据安全相关的投诉及处理情况;  (八)国家网信部门和主管、监管部门明确的其他数据安全情况。  数据处理者应当保留风险评估报告至少三年。  依据部门职责分工,网信部门与有关部门共享报告信息。  数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:  (一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;  (二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;  (三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;  (四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;  (五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。  评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。  第三十三条 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。  第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。第五章  数据跨境安全管理  第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:  (一)通过国家网信部门组织的数据出境安全评估;  (二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;  (三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;  (四)法律、行政法规或者国家网信部门规定的其他条件。  数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。  第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。  收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。  第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:  (一)出境数据中包含重要数据;  (二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;  (三)国家网信部门规定的其它情形。  法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。  第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。  第三十九条 数据处理者向境外提供数据应当履行以下义务:  (一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;  (二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;  (三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;  (四)接受和处理数据出境所涉及的用户投诉;  (五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;  (六)存留相关日志记录和数据出境审批记录三年以上;  (七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;  (八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;  (九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。  非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。  第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:  (一)全部数据接收方名称、联系方式;  (二)出境数据的类型、数量及目的;  (三)数据在境外的存放地点、存储期限、使用范围和方式;  (四)涉及向境外提供数据的用户投诉及处理情况;  (五)发生的数据安全事件及其处置情况;  (六)数据出境后再转移的情况;  (七)国家网信部门明确向境外提供数据需要报告的其他事项。  第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。  任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。  境内用户访问境内网络的,其流量不得被路由至境外。  第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。第六章  互联网平台运营者义务  第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。  平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。  日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。  第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。  第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。  移动通信终端预装第三方产品适用本条前两款规定。  第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。  第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动:  (一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;  (二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;  (三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;   (四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。  第四十七条 提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。  第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。  第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:  (一)收集个人信息用于个性化推荐时,应当取得个人单独同意;  (二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;  (三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。  第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。  互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。  第五十一条 互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。  第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。  互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。  第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。  第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。第七章  监督管理  第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。  公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。  工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。  主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。  主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。  第五十六条 国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。  第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查:  (一)要求数据处理者相关人员就监督检查事项作出说明;  (二)查阅、调取与数据安全有关的文档、记录;  (三)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;  (四)核验数据出境类型、范围等;  (五)法律、行政法规、规章规定的其他必要方式。  有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。  数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。  第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。  主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。  第五十九条 国家支持相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。  国家支持成立个人信息保护行业组织,开展以下活动:  (一)接受个人信息保护投诉举报并进行调查、调解;  (二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼;  (三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督;  (四)向有关部门反映个人信息保护情况、提供咨询、建议;  (五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。第八章  法律责任  第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者导致危害数据安全等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。  第六十一条 数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。  有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。  第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务;拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。  有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。  第六十三条 关键信息基础设施运营者违反第三十四条的规定,由有关部门责令改正,依照有关法律、行政法规的规定予以处罚。  第六十四条 数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定,由有关部门责令改正,给予警告,暂停数据出境,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。  第六十五条 违反本条例第三十九条第二款的规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。  第六十六条 个人和组织违反第四十一条的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。  第六十七条 互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。  第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。  第六十九条 互联网平台运营者违反第四十九条、第五十四条的规定,由有关主管部门责令改正,予以警告;拒不改正,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。  第七十条 数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。  第七十一条 国家机关不履行本法规定的数据安全保护义务的,由其上级机关或者履行数据安全管理职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。  第七十二条 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。第九章  附则  第七十三条 本条例下列用语的含义:  (一)网络数据(简称数据)是指任何以电子方式对信息的记录。  (二)数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。  (三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:  1.未公开的政务数据、工作秘密、情报数据和执法司法数据;  2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;  3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;  4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;  5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;  6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;  7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。  (四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。  (五)数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。  (六)公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。  (七)委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。  (八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。  (九)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。  (十)大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。  (十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。  (十二)公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。  第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。  第七十五条 本条例自  年  月  日起施行。来源:“网信中国”微信公众号 原文始发于微信公众号(网络安全和信息化):国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知
阅读全文
《网络安全审查办法(修订草案征求意见稿)》解读 云安全

《网络安全审查办法(修订草案征求意见稿)》解读

全文共4718字,阅读大约需要9分钟。近日,国家互联网信息办公室(以下简称“网信办”)发布了《关于<网络安全审查办法(修订草案征求意见稿)>公开征求意见的通知》(以下简称《征求意见稿》),对《网络安全审查办法》内容提出了重要修订。从此次修订的变化,能够看出网络安全和数据安全发展情势的变化,也可读出其对数据安全政策和产业的影响。一内容修订情况:一条主线此次《征求意见稿》相比之前的《网络安全审查办法》,其核心修订,也是最为重要的内容变化是加强了对数据安全的关注和规范。具体表现在以下三个方面。一是将数据安全法增加为立法依据。《征求意见稿》第一条规定:“依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法”,将《中华人民共和国数据安全法》增加为制定依据,直接表明了本次修订的主旨就是通过网络安全审查制度、机制加强对数据安全相关行为的规范。这不仅仅是法规间衔接的要求,更是切实强化数据安全的必然举措。二是将数据处理活动作为重点规范对象。《征求意见稿》第二条规定:“数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”。可见,下一步《网络安全审查办法》的管理范围将有很大拓展,其在规范主体、规范行为两大方面都有扩大。结合近期国家主管部门先后宣布对多家互联网厂商进行审查的情况来看,办法修订生效后,也极有可能成为主管部门加强数据安全执法行动在操作层面的主要法律依据。三是对数据运营者作出了定量描述。《征求意见稿》第六条规定:“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。从该条规定可以看出,《征求意见稿》将掌握一定数量个人信息的企业赴国外上市,作为应当进行网络安全审查的一种数据处理行为,而且从相关修订条文比重来看,满足特定条件的国内企业赴国外上市很可能成为下一步网络安全审查的重点规范。此外,《征求意见稿》还涉及到其他重要内容补充修订,如:将证监会增加进审查机制、审查提交材料增加了“拟提交的IPO材料”、特别审查程序由45天延长至3个月等。可见,这些修订内容,也均与数据安全的修订直接相关。二内容修订分析:三个要素《征求意见稿》立足数据安全主线,其修订内容还充分反映了与数据安全存在密切关联的三个逻辑要素。(一)数据安全审查——明确机制首先从法理上看,加强数据安全管理、完善数据安全审查机制是落实《数据安全法》的重要步骤。6月10日颁布的《数据安全法》即将于9月1日正式生效施行,此次《征求意见稿》将数据安全相关内容作为修订重点,无疑是数据安全法正式实施前的一项重要制度准备。《数据安全法》第二十四条明确规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,尽管此处的“国家安全审查”的方式和范围尚不得而知,但网络安全审查作为国家安全审查的重要组成部分应该是没有异议的。将数据安全纳入网络安全审查范畴,在具体操作中也符合管理效率原则和网络安全保障工作实情。其次从数据安全的双重含义来看,在审查中不应偏废。理解数据安全应包含两层含义,一个是数据信息本身的安全属性要求,即通常所说的机密性、完整性、可用性、真实性、可控性等属性,可称之为直接安全或内在安全;另一个是因对数据的不当处理行为而带来的安全风险,可以称之为间接安全或外在安全。《网络安全审查办法》此前对于第一种情形即数据的内在安全性已经作出了规定,如第九条第一款“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险”。而此次《征求意见稿》对于数据安全的补充修订,很大程度上是对数据安全的第二层含义,即外在安全性的贯彻。可见,《征求意见稿》对数据安全进行的补充修订,其实质上是完善了数据安全的定义涵盖,而非无根据的随意扩展。因此从本质逻辑上看,数据安全的两个方面均是安全审查的重要对象,二者是一致的也是不可分割的。(二)国外上市——重要审查场景从《征求意见稿》内容侧重上不难发现,国外上市是其明确列出的数据运营者所从事的、可能影响国家安全的一种主要行为。加强对特定企业赴国外上市的安全监管,不仅是为了落实《关于依法从严打击证券违法活动的意见》政策要求,更是为管控国外上市带来数据安全风险隐患的客观需要。尽管对“国外上市”含义的具体界定还有待进一步明确,而仅从近期主管部门宣布启动的几起网络安全审查来看,企业在国外上市的行为,会极大加剧相关重要数据面临的安全风险、以及被政治化歪曲利用的可能。以美国为例,目前美国证券交易相关的管理规定主要包括《塞班斯法案(Sarbanes-Oxley Act)》、《外国公司问责法案(Holding Foreign Companies Accountable Act)》等,其要求上市公司的核心披露义务主要涉及“财务和管理弱点报告”和“审计底稿”等。这些披露材料乍看似乎与事关安全的重要数据、核心数据等没有太直接的联系,深入分析则会发现,安全隐患主要来源于两个方面。一方面,要求披露的内容本身可能包含某些安全敏感数据,如“审计底稿”通常包括被审计对象的组织机构及管理人员结构、重要合同、董事会会议纪要等,其中可能会包含我国行业数据和消费者信息,能反映我国关键信息基础的运行等情况,若任由美国收集难免影响到我国家安全利益。另一方面,也是风险最大的情况,即在美上市的公司除了负担直接的信息披露义务之外,还有面临各种调查的潜在风险。美国建立了相对体系化的审查调查机制,主导部门包括商务部(贸易调查)、司法部(不正当竞争调查、海外反腐败调查、知识产权调查等)等,一旦上市公司被纳入相关的审查调查,其调查的内容范围就极有可能扩大,也就会加大相关重要数据暴露或被政治化歪曲等的风险。(三)个人信息——界定审查对象《征求意见稿》对于数据安全的修订,还有很重要的一条线索就是个人信息保护。从字面上理解,似乎数据安全和个人信息保护的界线相对清晰,前者属于公法范畴,侧重保护公共利益;后者属于私法范畴,侧重保护个人隐私。但二者的密切联系也不容忽视。首先,掌握个人信息的数量,将直接影响数据运营者的行为性质。正如前所述《征求意见稿》第六条规定了:“掌握超过100万用户个人信息的运营者赴国外上市”的时候,要必须向网络安全审查办公室申报网络安全审查。可见,按照《征求意见稿》该条内容理解,个人信息的定量情况将直接决定着数据运营者的海外上市行为是否影响国家安全,是判定数据运营者在海外上市能否触发网络安全审查的先决条件。其次,个人信息在一定条件下,将直接转化为重要数据。因为二者在某些情况下存在一定的交集,如特定人物的个人信息、特定群体个人信息的汇聚等都有可能使个人信息转化为重要或核心数据,这些数据因能够反映地区或行业、设施运行情况,从而必须纳入国家安全的视野范围加以保护。例如网络上曝光的对某些国家部委工作人员上下班出行情况的分析,这些出行信息具有很强的个人属性,本属于个人信息的范畴,但对这些信息进行汇聚和分类分析,就成了能够反映国家重要机构运行情况的数据,就不能再单纯视作个人信息了。在此意义上也可看出,个人信息与数据安全关系密不可分。三影响分析:构建数据安全供需发展新格局当前“十四五”规划已经开局,将《征求意见稿》与即将生效的《数据安全法》结合起来并置于“十四五”新发展格局大背景中进行思考,对经济社会发展、产业提振将有更加实际的意义。“十四五”规划明确部署了新发展格局的实施路径:“把实施扩大内需战略同深化供给侧结构性改革有机结合起来,以创新驱动、高质量供给引领和创造新需求,加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局”,此次网络安全审查制度的修订,也将从供给、需求两个方面对数据安全发展带来积极影响,推动我国数据安全行业发展新格局的加速构建。(一)强化数据安全供给:技术创新、管理机制缺一不可数据安全的供给侧主要偏重于构建数据安全保障能力,包括管理规范、技术手段、管理队伍等要素供给能力。从管理规范供给能力看。一方面现有的数据安全管理法规政策之间将进一步衔接,从国家近期相继发布《关于依法从严打击证券违法活动的意见》(两办)、《征求意见稿》、《数字经济对外投资合作工作指引》(商务部、中央网信办、工信部联合印发)等重磅政策法规不难看出,数据安全与证券跨境监管、关键基础设施采购等的关系正在更加紧密地协同。另一方面,数据安全管理法规体系的健全工作将进一步提速,覆盖面也将逐步扩展,如关键基础设施数据处理活动风险评估管理、境外发行证券的保密和档案管理、跨境信息提供机制与流程管理、跨境审计监管合作等。从技术手段供给能力来看。将有力促进数据安全相关技术产品和服务能力的创新发展,围绕不同层面需求,数据安全产品技术和服务供给能力将进一步深化。在满足企事业单位自身数据安全保护需求方面,重点发展方向包括:数据防泄露、数据脱敏、数据库防火墙,以及以数据资产识别、管理为核心的数据安全管理平台等;在满足主管部门监管需求方面,重点发展方向包括:数据分级分类管理、敏感数据发现、数据安全风险评估、数据安全审计、数据追踪溯源等;在满足公共数据安全能力提升需求方面,重点发展方向包括:数据安全灾备、数据安全培训、数据安全运营等服务保障能力。从管理队伍供给能力来看。数据安全在审查工作中的重要性日益增强,管理队伍的专业化水平将亟待同步提升。与之相适应的数据安全队伍供给体系重点方向将包括:数据安全类专业人才培养体系、选拔任用机制、培训实战体系、绩效考核机制等。(二)拓展数据安全需求:多管齐下应用引领数据安全的需求侧主要偏重于建立数据安全应用体系,可归纳为三个“需求”:管理需求、合规需求和攻防需求。未来围绕数据安全需求的挖掘,不仅是主管部门引导数据安全健康有序发展的重要依据,也是深化数据安全技术创新和壮大数据安全产业能力的重要方向。01管理需求对数据要做到“心中有数”。“底数不清”往往是出现数据安全问题的重要根源之一,明确数据安全管理需求的重点就是要做到对自身数据及其安全情况有较为清晰的了解。这类需求将主要围绕数据分类、数据分级、数据资产构成分析、数据防护现状分析等展开。02合规需求数据安全应符合“法规红线”。网络安全等级保护、关键信息基础设施保护、保密管理等制度规范,对于数据都提出了相应的安全要求及相应防护手段。除了等保、关基、保密等传统合规要求之外,针对数据应用的重要典型场景,如工业数据、交通数据、能源数据等,也将成为法规关注的重点需求领域。03攻防需求数据安全当满足“实战有效”。数据安全保障手段的最终目的是其能够化解潜在数据风险或有效防御数据攻击。在此类需求方面,除了事中防御和事后补救手段之外,事前的发现、检验需求将成为数据安全建设需求的重中之重,与之相对应的数据安全态势监测、数据安全仿真检测、数据安全保护实效检验等也将日益受到更多关注。“东方欲晓,莫道君行早”。《征求意见稿》汇总各方面意见后的最终内容如何,仍需拭目以待。而其对于我国网络安全审查制度的完善、对于社会各界数据安全保护意识提升的影响已经显现并将持续,数据安全政策法规体系和数据安全技术产业也将以此为契机,迎来发展的新阶段。 本文始发于微信公众号(绿盟科技):《网络安全审查办法(修订草案征求意见稿)》解读
阅读全文
全文对比:《网络安全审查办法》修订草案都有哪些更新? 云安全

全文对比:《网络安全审查办法》修订草案都有哪些更新?

关注我们带你读懂网络安全2021年7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知。我们整理对比文件以飨读者。以下为修订意见的重点提示:《数据安全法》列入法律依据;中国证券监督管理委员会纳入网络安全审查工作组;强调数据处理活动和上市行为纳入网络安全审查内容和风险考虑;掌握超过100万用户个人信息的运营者赴国外上市,必须申报安全审查。特别审查时间从45个工作日延长为3个月《网络安全审查办法》征求意见稿对比版《网络安全审查办法》2020年6月1日施行《网络安全审查办法》征求意见稿2021年7月10日征求意见第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。第一条:为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。第二条:关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。第三条:网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。第四条:在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。  网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。第五条:运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。  关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。第六条:掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。第七条:对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。第七条 运营者申报网络安全审查,应当提交以下材料:(一)申报书;(二)关于影响或可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同等;(四)网络安全审查工作需要的其他材料。第八条:运营者申报网络安全审查,应当提交以下材料:(一)申报书;(二)关于影响或可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同或拟提交的IPO材料等;(四)网络安全审查工作需要的其他材料。第八条 网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。第九条:网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(五)其他可能危害关键信息基础设施安全和国家安全的因素。第十条:网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:  (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;  (二)产品和服务供应中断对关键信息基础设施业务连续性的危害;  (三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;  (四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;  (五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;  (六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;  (七)其他可能危害关键信息基础设施安全和国家数据安全的因素。第十条 网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。第十一条:网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。   第十一条 网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。第十二条:网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。  网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。第十二条 按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。第十三条:按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。  第十三条 特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。第十四条:特别审查程序一般应当在3个月内完成,情况复杂的可以延长。  第十四条 网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。第十五条:网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。第十六条:网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。第十六条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。第十七条:参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。第十七条 运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。第十八条:运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。第十八条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。第十九条:运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。  网络安全审查办公室通过接受举报等形式加强事前事中事后监督。第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。第二十条:运营者违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。第二十条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。第二十一条:本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。  本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。第二十一条 涉及国家秘密信息的,依照国家有关保密规定执行。第二十二条:涉及国家秘密信息的,依照国家有关保密规定执行。  第二十二条 本办法自2020年6月1日起实施,《网络产品和服务安全审查办法(试行)》同时废止。第二十三条:本办法自2021年 月 日起实施,《网络产品和服务安全审查办法(试行)》同时废止。文章来源:享法互联网JoyLegal点击下方卡片关注我们,带你一起读懂网络安全 ↓ 本文始发于微信公众号(互联网安全内参):全文对比:《网络安全审查办法》修订草案都有哪些更新?
阅读全文
网联车辆 | 网联车辆采集和产生的数据类型概览 云安全

网联车辆 | 网联车辆采集和产生的数据类型概览

编者按5月12日,国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》(以下简称“若干规定”),并向社会公开征求意见。公号君将撰写系列文章对该若干规定做出分析,并尝试提出建议,在此分享供大家参考。本系列已经发表的文章如下:《汽车数据安全管理若干规定(征求意见稿)》 | 规范对象和基本原则《汽车数据安全管理若干规定(征求意见稿)》 | 个人信息和重要数据的细化规范《汽车数据安全管理若干规定(征求意见稿)》 | 数据出境和监管手段《汽车数据安全管理若干规定(征求意见稿)》 | 配套制度《汽车数据安全管理若干规定(征求意见稿)》 | “汽车数据”与EDPB指南中的联网车辆《汽车数据安全管理若干规定(征求意见稿)》 | “车内处理”与EDPB指南中“终端设备”《汽车数据安全管理若干规定(征求意见稿)》 | 个人信息的分类分级规则《汽车数据安全管理若干规定(征求意见稿)》 | 向车外提供数据的规则此外,EDPB发布了《车联网个人数据保护指南》,见:EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB《车联网个人数据保护指南2.0》比较翻译(DPO社群出品)接下来,公号君将围绕着网联车辆(包括自动驾驶车辆)的安全问题不定期撰写分析文章,供大家参考和批评指正。本篇关注网联车辆采集和产生的数据类型。从之前的分析可知,《汽车数据安全管理若干规定(征求意见稿)》按照个人信息和重要数据的维度展开监管逻辑,体现的是中央网信办对数据的监管职责。具体来说:个人信息(定义为:“本规定所称个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息”。)敏感个人信息(定义为:包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等)生物特征数据(定义为:驾驶人指纹、声纹、人脸、心律等)重要数据(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;(二)高于国家公开发布地图精度的测绘数据;(三)汽车充电网的运行数据;(四)道路上车辆类型、车辆流量等数据;(五)包含人脸、声音、车牌等的车外音视频数据;(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。那么,网联车辆到底能采集和产生多少类型的数据?以及业界是否有比较为人接受的数据类型描述方式?公号君近期做了一些粗浅的研究,与大家分享。美国业界的一种分类方法1、大多数车辆已经开始采集和产生的数据事件数据记录器(Event Data Recorders,简称EDR)EDR自20世纪90年代以来已被整合到汽车中,目前90%以上的车辆都安装了EDR。EDR记录了车辆在碰撞前后几秒钟内的操作技术信息。这些信息包括速度、油门和刹车位置、安全带使用情况以及安全气囊是否展开。EDR旨在为车祸调查人员和其他人提供关键信息。获取EDR信息需要对车辆进行物理访问,以及特定的EDR读取工具,此外还需要满足特定国家的任何同意要求。如果配备了EDR,车辆的系统必须符合某些联邦要求,而且各州关于EDR数据所有权的其他法律也各不相同。车载诊断信息(On-Board Diagnostic Information)1996年以后生产的所有车辆都被法律要求有一个车载诊断端口,或 "OBD-II"。OBD-II端口通常位于汽车驾驶员侧的仪表板下方,它所包含的信息可以通过将一个兼容的设备插入该端口来检索。这个端口可以获取信息,帮助维修技术人员测量排放,诊断性能问题,或维修您的车辆。车主也可以选择将第三方设备插入一些车辆的OBD-II端口,以收集或与他们选择的第三方分享有关其车辆的信息(例如,与他们的保险公司合作,以获得安全驾驶折扣)。可获取的信息可能包括司机的行为信息(开多快,踩刹车有多猛,等等)以及地理位置数据(你在哪里,你的路径,以及你的速度)。2、较为先进的车辆已经开始采集和产生的数据位置信息(location information)导航和相关系统可能会收集车辆和目的地的位置,以便将驾驶员和乘客送到目的地。外部信息(external information)现代汽车可能包含摄像头和传感器,用于收集汽车周围环境的信息。这些传感器可以检测道路或天气状况,车道标记和障碍物,周围的交通,等等。依靠这种外部环境信息的关键技术包括盲点检测、车道偏离警告、辅助制动和后方停车检测。车厢内信息(in-cabin information)今天的许多车辆在车厢内也含有传感器。麦克风、照相机和其他设备可能会记录有关车内人员的信息。这些传感器可能被要求与紧急服务机构进行沟通,或利用诸如免提电话的功能。 用户识别(user recognition)有些系统通过指纹或脸部等物理特征识别用户,因此可能有关于用户的生理或生物识别信息。生物识别信息也可用于确定谁是驾驶者,并相应地调整系统。例如,不是要求驾驶员按下座椅位置按钮,而是在驾驶员的脸被位于车内的传感器识别后,座椅可以自动调整。这些技术还可以跟踪眼睛的运动,检测驾驶员的注意力,以确定驾驶员是否在驾驶时睡着了。应用程序(Apps)您的车辆可能包括与第三方系统的接口,如苹果CarPlay、安卓汽车或其他服务。车辆也可能允许手机上的应用程序和车辆之间有一个接口。如果启用通过这些接口提供的应用程序,或在手机上使用与汽车互动的应用程序,可能会导致汽车数据暴露给这些第三方应用程序供应商。这些供应商有自己的政策,说明他们收集哪些信息,以及他们如何处理这些信息。其他汽车制造商和他们的技术合作伙伴正在不断地更新和改进汽车。今天收集的传感器、功能和数据,明天可能会有很大的不同。澳大利亚业界的一种分类方法澳大利亚国家交通委员会在2020年的一份文件中提出下列分类:运动/定位数据:车辆的精确地理位置(位置、时间戳、方向)。事件/行动数据:车辆的运行功能,包括但不限于防抱死制动系统(ABS)、电子稳定控制(ESC)传感器的激活、挡风玻璃雨刷或危险灯的激活。驾驶行为:有关驾驶员的身体状态(例如眼球运动)或一个人如何驾驶车辆的信息(速度、加速度、安全带状态、猛烈刹车、车道偏离事件)。这些信息可能直接来自于车辆的系统或衍生信息。碰撞分析:储存并记录在事件数据记录器(EDR)或自动驾驶数据存储系统(DSSAD)中的数据,用于道路安全和用户信息。这也可能包括目前没有存储在车上,但由车辆数据服务器远程存储的其他传感器数据。碰撞反应:由安全气囊部署触发的碰撞数据信息,并发送至公共当局,用于紧急碰撞响应(eCall或自动碰撞通知系统)资产感应:关于汽车如何感知其远程环境的数据,包括基础设施和其他道路使用者。例如,雷达/激光雷达/机器视觉、轮胎压力或由该数据衍生的信息包。这可用于指示坑洞或道路表面的恶化。V2X信息:由车辆产生的数据包,以结构化的格式,可由其他车辆或设备,或基础设施消费。主要是:合作意识信息(CAM)——位置数据分散事件通知信息(DENM)——-危险警告信号请求信息(SRM)——绿灯请求信号相位和时间,MAP(道路几何信息),车辆标志自动驾驶:目前还不完全清楚自动驾驶系统具体会产生哪些数据,或者如何报告。我们推测,它可能包括安全报告义务要求、车辆交接请求或与车辆运行设计领域有关的数据。简单的分析讨论上述分类基本上是站在客观描述的视角来而开展的。但我们也知道在数据安全管理视角下的数据分类的重要意义【数据安全管理视角下的数据分类研究:研究报告全文】【对《数据安全法》的理解和认识 | 数据分级分类】。因此,将来开展网联汽车安全标准化工作时,首要一步是将业界客观的数据分类映射到数据安全管理视角下提出的数据分类。这部工作某种意义上是一种艺术,而不仅仅是一种简单的工程化的工作。(完)数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过300人。关于DPO社群和沙龙更多的情况如下:域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)“美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)“108号公约”全文翻译(DPO沙龙出品)美国司法部“云法案”白皮书全文翻译(DPO社群出品)新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)“FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)FTC与Facebook“2019和解令”全文翻译(DPO社群出品)英国ICO《数据共享行为守则》中译文(DPO社群出品)“hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)新版《个人信息安全规范》(35273-2020)正式发布英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之一英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之二《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布《英国ICO人工智能与数据保护指引》选译 | 如何保护人工智能系统中的个人权利?《英国ICO人工智能与数据保护指引》选译 | 如何评估AI的安全性和数据最小化?西班牙数据保护局《默认数据保护指南》全文翻译(DPO社群出品)DPO线下沙龙的实录见:数据保护官(DPO)沙龙第一期纪实第二期数据保护官沙龙纪实:个人信息安全影响评估指南 第三期数据保护官沙龙纪实:数据出境安全评估第四期数据保护官沙龙纪实:网络爬虫的法律规制第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论数据保护官(DPO)沙龙走进燕园系列活动第一期第六期数据保护官沙龙纪实:2018年隐私条款评审工作第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势与欧美一流数据保护专家面对面(DPO沙龙特别活动)第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径第十八期DPO沙龙纪实:生物识别信息的安全保护第十九期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之一第二十期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之二美国电信行业涉及外国参与的安全审查系列文美国电信行业涉及外国参与的安全审查(一):基本制度介绍美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令中国的网络安全审查系列文章:网络安全审查制度利刃出鞘对《网络安全审查办法(征求意见稿)》的几点观察网络安全审查制度吹响了向网络安全强国迈进的号角我国网络安全审查制度走向前台网络安全审查的中欧比较:以5G为例网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨:以5G安全为例自动驾驶系列文章:自动驾驶数据共享:效用与障碍自动驾驶数据共享:效用与障碍(附文字实录)北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB《车联网个人数据保护指南2.0》比较翻译(DPO社群出品)数据安全法系列文章:对《数据安全法》的理解和认识 | 立法思路对《数据安全法》的理解和认识 | 数据分级分类对《数据安全法》的理解和认识 | 中国版的封阻法令对《数据安全法》的理解和认识 | 重要数据如何保护个人数据与域外国家安全审查系列文章个人数据与域外国家安全审查初探(一):美欧概览个人数据与域外国家安全审查初探(二):CFIUS实施条例详解个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)美国司法部“中国计划”的概况介绍突发 | 特朗普签署关于TIKTOK和WECHAT的行政令理解特朗普禁令中的Transactions白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑《国际紧急经济权力法》(IEEPA)的起源、演变和应用个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议(全文翻译)外媒编译 | 诡秘的美国外国投资委员会如何成为贸易战的有力武器?围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:突发 | 特朗普签署关于TIKTOK和WECHAT的行政令理解特朗普禁令中的Transactions白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式外媒编译 | TikTok 零点时间:最后一刻的交易TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复第29条工作组/EDPB关于GDPR的指导意见的翻译:第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)EDPB | 《GDPR下数据控制者及数据处理者概念的指南(07/2020)》全文翻译EDPB | 《针对向社交媒体用户定向服务的指南(第8/2020号)》全文翻译数据安全的法律要求 | DPB关于数据泄露通知示例的01/2021号指引关于美国出口管制制度,本公号发表过系列文章:美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则美国出口管制制度系列文章之二:适用EAR的步骤美国出口管制制度系列文章之三:苏联油气管道的“华为”事件美国出口管制制度 | 允许华为和美国公司共同制定5G标准美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈美国出口管制...
阅读全文
关注 | 《上海市数据条例(草案)》征求意见 云安全

关注 | 《上海市数据条例(草案)》征求意见

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786上海市人大常委会办公厅公告上海市第十五届人大常委会第三十五次会议对《上海市数据条例(草案)》进行了审议。为进一步发扬立法民主,现将条例草案征求意见稿及相关说明在解放日报、上海法治报、东方网(www.eastday.com)、新民网(www.xinmin.cn)、上海人大网、“上海人大”微信公众号上全文公布,向社会广泛征求意见,以便进一步研究修改,再提请以后的常委会会议审议。现将有关事项告知如下:一、公开征求意见的时间2021年9月30日至10月20日二、反映意见的方式(一)来信地址:上海市人民大道200号,市人大常委会法制工作委员会立法二处;邮政编码:200003(二)电子邮件:[email protected](三)传 真:63586583上海市人大常委会办公厅2021年9月30日上海市数据条例(草案)(征求意见稿)第一章 总 则第一条(立法目的)为了保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育和数字经济发展,根据《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律、行政法规,结合本市实际,制定本条例。第二条(基本定义)本条例中下列用语的含义:(一)数据,是指任何以电子或者其他方式对信息的记录。(二)数据处理,是指数据的收集、存储、使用、加工、传输、共享、开放、流通等。(三)数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。(四)公共数据,是指本市国家机关,事业单位,经依法授权具有管理公共事务职能的组织,以及提供供水、供电、供气、公共交通等公共服务的组织(以下统称公共管理和服务机构)在履行公共管理和服务职责过程中,收集和产生的各类数据。第三条(总体要求和基本原则)本市统筹推进数据权益保护、数据流通利用、数据安全管理,充分发挥数据在城市治理、优化营商环境和推动经济社会发展中的作用。本市遵循数据资源开发与保护并举,统筹安全与发展、坚持创新突破与包容审慎监管并举的原则,促进数据开放应用,实施分类分级保护,突出公共利益优先,强化个人信息保护。第四条(政府职责)市人民政府应当将数据开发利用和产业发展、数字经济发展纳入国民经济和社会发展规划,建立健全数据治理和流通利用体系,协调解决数据开发利用、产业发展和数据安全工作中的重大问题,促进以数据为关键要素的数字经济发展,推动城市数字化转型。区人民政府和乡镇人民政府、街道办事处应当按照全市总体要求和部署,做好本行政区域数据发展和管理相关工作。第五条(部门职责)市政府办公厅负责统筹规划、综合协调全市数据发展和管理工作,推进、指导、监督全市公共数据工作。市发展改革部门负责统筹本市数字新型基础设施规划建设和数字经济发展,推进本市数字化重大体制机制改革、综合政策制定以及区域联动等工作。市经济信息化部门负责协调推进本市公共数据开放、社会经济各领域数据开发应用和产业发展,统筹推进信息基础设施建设、推动产业数字化、数字产业化等工作。市网信部门负责统筹协调本市网络数据安全和相关监管工作。市公安、国家安全机关依法在各自职责范围内承担数据安全监管职责。市财政、人力资源社会保障、市场监管、统计、物价等部门依照有关法律、法规,在各自职责范围内履行相关职责。市大数据中心具体承担本市公共数据的集中统一管理,推动数据的融合应用。第六条(专家委员会)市人民政府设立由高校、科研机构、企业、相关部门的专家组成的数据专家委员会。数据专家委员会开展数据权益保护、数据流通利用、数据安全管理等方面的研究,为本市数据发展和管理工作提供专业意见。第七条(基础设施建设)本市加强和完善数字基础设施规划和布局,提升电子政务云、电子政务外网等政务基础设施能力,建设新一代通信网络、数据中心、人工智能平台、智能终端等新型基础设施,建立完善网络、存储、计算、安全等数字基础设施体系,推动数字基础设施共建共享、互联互通。第八条(人才保障与宣传教育)市、区有关部门应当将数据领域高层次、高学历、高技能以及紧缺人才纳入人才支持政策体系;完善专业技术职称体系,创新数据人才评价与激励机制,健全数据人才服务和保障机制。本市加强数据领域相关知识和技术的宣传、教育、培训,提升公众数字素养和数字技能,将数字化能力培养纳入公共管理和服务机构教育培训体系。第九条(行业组织)本市支持数据相关行业协会和组织发展。行业协会和组织应当依法制定并推动实施相关团体标准和行业规范,反映会员企业合理诉求和建议,加强行业自律,提供信息、技术、培训等服务,引导会员依法开展数据处理活动,配合有关部门开展行业监管,促进行业健康发展。第十条(数据标准化)市标准化行政主管部门应当会同市政府办公厅、市有关部门加强数据标准体系的统筹建设和管理。市数据标准化技术组织应当借鉴国际标准,运用国家标准和行业标准,推动建立和完善本市数据基础性、通用性地方标准。第十一条(首席数据官)鼓励各区、各部门、各企业事业单位建立首席数据官制度。首席数据官由本区域、本部门、本单位相关负责人担任,首席数据官应当加强本区域、本部门、本单位数据工作与业务工作的协同管理。第二章 数据权益保障第一节 一般规定第十二条(通用原则)自然人对涉及其个人信息的数据,依法享有人格权益。自然人、法人和非法人组织对其以合法方式获取的数据,以及合法处理数据形成的数据产品和服务,依法享有财产权益。自然人、法人和非法人组织行使相关数据权益,应当遵守法律、法规,尊重社会公德和伦理,遵守商业道德,诚实守信,不得危害国家安全和公共利益,不得损害他人的合法权益。第十三条(数据收集权益)自然人、法人和非法人组织可以收集个人自行公开或者其他已经合法公开的数据,但不得违反法律、行政法规的规定或者侵犯他人的合法权益。自然人、法人和非法人组织可以依法通过约定或者其他合法、正当的方式收集其他数据,但应当在法律、行政法规规定的目的和范围内,不得超过必要的限度。第十四条(数据使用、加工权益)自然人、法人和非法人组织对其依法收集和自身产生的数据,可以依法使用、加工。第十五条(数据交易权益)自然人、法人和非法人组织对其以合法方式获取的数据,以及经过合法处理数据形成的数据产品和服务,可以依法进行交易。本市依法保护自然人、法人和非法人组织通过数据交易获取的财产权益。第十六条(突发事件中的数据收集)为了应对自然灾害、事故灾难、公共卫生事件和社会安全事件等突发事件,市、区人民政府以及有关部门可以依法要求自然人、法人和非法人组织提供突发事件处置工作所必需的数据。相关部门要求自然人、法人和非法人组织提供数据时,应当明确数据使用的目的、范围、方式。获取的数据不得用于与突发事件处置工作无关的事项;未经数据提供方同意,不得向第三方提供。第二节 个人信息特别保护第十七条(知情和同意)收集、使用、加工、交易涉及自然人个人信息的数据的,应当依法保障自然人的知情权。收集自然人非公开数据的,应当以有效方式告知自然人,并取得其同意。处理涉及自然人公开的个人信息数据的,应当符合该数据被公开时的用途,超出与该用途相关的合理范围的,应当取得自然人同意。但法律、行政法规另有规定的除外。第十八条(更正和删除)自然人发现其信息不准确或者不完整的,有权请求数据处理者进行更正、补充;数据处理者应当核实并及时处理。自然人发现数据处理者违反法律、法规规定或者约定处理涉及其个人信息的数据的,有权请求数据处理者进行删除;数据处理者应当在核实确定后立即予以删除。法律、行政法规另有规定的,从其规定。第十九条(禁止过度收集)取得自然人的同意的,可以收集涉及个人信息的数据。数据处理者应当保证自然人在充分知情的前提下自愿、明确作出同意,不得通过误导、欺诈、胁迫等违背其真实意愿的方式取得。有下列情形的,可以不需自然人的同意依法收集涉及个人信息的数据:(一)为订立、履行自然人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(二)为履行法定职责或者法定义务所必需;(三)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(四)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(五)依照国家法律规定在合理的范围内处理自然人自行公开或者其他已经合法公开的个人信息。没有法律、行政法规规定和前两款情形的,不得收集涉及个人信息的数据。数据处理者在处理涉及个人信息的数据时,不得以自然人不同意为由拒绝提供相关产品或服务,除非该个人信息为提供产品或服务所必需。第二十条(数据处理者的有效告知义务)数据处理者在处理涉及个人信息的数据时,应当向自然人告知下列事项:(一)数据处理者的名称或者姓名和联系方式;(二)处理个人信息的目的、方式;(三)处理的个人信息种类、保存期限;(四)自然人依法享有的权利以及行使权利的方式和程序;(五)法律、行政法规规定应当告知的其他事项。数据处理者在向自然人告知前款事项时,不得使用晦涩难懂、冗长繁琐、难以理解的文字。通过网络方式进行告知的,应当提供简体中文版,文字大小、颜色、清晰度等设置应当便于阅读,访问路径应当便捷。第二十一条(生物识别信息保护)处理涉及自然人生物识别信息的数据的,应当具有特定的目的和充分的必要性,并取得自然人的单独同意。处理涉及自然人生物识别信息的数据的,应当同时提供实现该处理目的的其他替代方案,以充分保障自然人的选择权。第二十二条(人脸识别技术运用规范)数据处理者在本市商场、超市、公园、景区、公共文化体育场馆、宾馆等公共场所,以及居住小区、商务楼宇等区域,安装人脸识别设备的,应当为维护公共安全所必需。在公共场所及相关区域安装人脸识别设备的,应当充分保障自然人的知情权,设置显著标识,并以书面或者语音等形式明示告知人脸识别设备应用的责任主体、使用目的、方式、范围、存储时间及技术应用者的联系方式等信息。处理通过人脸识别技术获取生物识别信息的,应当限于告知范围,不得超出范围自行或者委托第三方进行。第二十三条(自动化决策规范)数据处理者开展用户画像、算法推荐等自动化决策,应当遵循合法、正当、必要、诚信的原则,保证决策的透明度和处理结果的公平、公正。不得通过计算机程序自动分析、评估自然人的行为习惯、兴趣爱好或者经济、健康、信用状况等,对自然人在交易价格等交易条件上实行不合理的差别待遇。通过自动化决策向自然人进行信息推送、商业营销的,应当同时提供不针对其个人特征的选项,或者向自然人提供便捷的拒绝方式。第三章 公共数据第一节 一般规定第二十四条(责任部门)负责本系统、行业公共数据管理的市级部门(以下简称市级责任部门)应当依据业务职能,制定本系统、行业公共数据资源规划,完善管理制度和标准规范,组织开展本系统、行业数据的收集、归集、治理、共享、开放、应用及其相关质量和安全管理。公共数据管理涉及多个部门或者责任不明确的,由市政府办公厅指定市级责任部门。区人民政府明确的公共数据主管部门,负责统筹开展本行政区域公共数据管理工作,接受市政府办公厅的业务指导。第二十五条(大数据资源平台)市大数据资源平台和区大数据资源分平台(以下统称大数据资源平台)是本市依托电子政务云实施全市公共数据归集、整合、共享、开放、运营的统一基础设施,由市大数据中心负责统一规划。本市财政资金保障运行的公共管理和服务机构不得新建跨部门、跨层级的公共数据资源平台和共享开放渠道;已经建成的,应当按照有关规定进行整合。第二十六条(公共数据目录)本市建立全市统一的公共数据目录管理体系。公共管理和服务机构在依法履行公共管理和服务过程中收集和产生的数据,以及依法委托第三方收集和产生的数据,应当纳入公共数据目录。市政府办公厅负责制定目录编制规范。市级责任部门应当按照数据与业务对应的原则,编制本系统、行业公共数据目录,明确公共数据的来源、更新频率、安全分级、共享开放属性等要素。区公共数据主管部门可以根据实际需要,对未纳入市级责任部门公共数据目录的公共数据进行梳理,编制区域补充目录。第二十七条(公共数据分类管理)本市对公共数据实行分类管理。市大数据中心应当根据公共数据的通用性、基础性、重要性和数据来源属性等制定公共数据分类规则和标准,明确不同类别公共数据的管理要求,在公共数据全生命周期采取差异化管理措施。市级责任部门应当按照公共数据分类规则和标准确定公共数据类别,落实差异化管理措施。第二十八条(公共数据收集和存储)公共管理和服务机构收集数据应当符合本单位法定职责,遵循合法、正当、必要原则。可以通过共享方式获得的公共数据,不得重复收集。需要依托区有关部门收集的视频、物联等数据量大、实时性强的公共数据,由区公共数据主管部门根据市级责任部门需求统筹开展收集,并依托区大数据资源分平台存储。第二十九条(公共数据回传)通过市大数据资源平台治理的公共数据,可以按照数据的区域属性回传至大数据资源分平台,支持各区开展数据应用。第三十条(数据采购)本市财政资金保障运行的公共管理和服务机构为依法履行职责,可以申请采购非公共数据。市政府办公厅负责统筹市级公共管理和服务机构的非公共数据采购需求,由市大数据中心负责统一实施。市大数据中心通过大数据资源平台对采购的非公共数据进行目录编制,并共享给有需求的部门和单位。区公共数据主管部门负责统筹本行政区域个性化采购需求,自行组织采购。第三十一条(公共数据归集)本市国家机关、事业单位以及经依法授权具有管理公共事务职能的组织应当及时向大数据资源平台归集公共数据。其他公共管理和服务机构的公共数据可以按照逻辑集中、物理分散的方式实施归集,但具有公共管理和服务应用需求的公共数据应当向大数据资源平台归集。市大数据中心根据公共数据分类管理要求对相关数据实施统一归集,保障数据向大数据资源平台归集的实时性、完整性和准确性。已归集的公共数据发生变更、失效等情形的,公共管理和服务机构应当及时更新。第三十二条(数据库建设)市大数据中心应当统筹规划并组织实施自然人、法人、自然资源和空间地理等基础数据库建设。市级责任部门应当按照本市公共数据管理要求,规划和建设本系统、行业业务应用专题库,并会同相关部门规划和建设重点行业领域主题库。第三十三条(质量管理)市大数据中心应当组织开展公共数据的质量监督,对数据质量进行实时监测和定期评估,并建立异议与更正管理制度。市级责任部门应当建立健全本系统、行业公共数据质量管理体系,加强数据质量管控。第三十四条(监督检查和考核评价)市政府办公厅应当建立日常公共数据管理工作监督检查机制,对公共管理和服务机构的公共数据目录编制工作、质量管理、共享、开放等情况开展监督检查。市政府办公厅应当对市级责任部门和各区开展公共数据工作的成效情况定期组织考核评价,考核评价结果纳入各级领导班子和领导干部年度绩效考核。第三十五条(经费保障)本市财政资金保障运行的公共管理和服务机构开展公共数据收集、归集、治理、共享、开放及其质量和安全管理等工作涉及的经费,纳入市、区财政预算。第二节 公共数据共享和开放第三十六条(共享原则和机制)公共管理和服务机构之间共享公共数据,应当以共享为原则,不共享为例外。公共数据应当通过大数据资源平台进行共享。公共管理和服务机构应当根据履职需要,提出数据需求清单;根据法定职责,明确本单位可以共享的数据责任清单;对法律、法规明确规定不能共享的数据,经市政府办公厅审核后,列入负面清单。市政府办公厅应当建立以共享需求清单、责任清单和负面清单为基础的公共数据共享机制。第三十七条(便捷共享)公共管理和服务机构提出共享需求的,应当明确应用场景,并承诺其真实性、合规性、安全性。对未列入负面清单的公共数据,可以直接共享,但不得超出依法履行职责的必要范围;对未列入公共数据目录的公共数据,市级责任部门应当在收到共享需求之日起十五个工作日内进行确认后编入公共数据目录并提供共享。公共管理和服务机构超出依法履行职责的必要范围共享其他机构数据的,市大数据中心应当立即停止其共享超出必要范围的数据。第三十八条(共享数据的使用)公共管理和服务机构向自然人、法人和非法人组织提供服务时,需要使用其他部门数据的,应当使用大数据资源平台提供的最新数据。公共管理和服务机构应当建立共享数据管理机制,对通过共享获得的公共数据应当用于本单位依法履行职责的需要,不得以任何形式提供给第三方,也不得用于其他任何目的。第三十九条(分类开放)本市依托市大数据资源平台向社会开放公共数据。公共数据按照开放类型分为无条件开放、有条件开放和非开放三类。涉及商业秘密、个人隐私、能识别到具体自然人的个人信息,或者法律、法规规定不得开放的,列入非开放类;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据,列入有条件开放类;其他公共数据列入无条件开放类。非开放类公共数据依法进行脱密、脱敏处理,或者相关权利人同意开放的,可以列入无条件开放或者有条件开放类。第四十条(开放清单)市级责任部门、区人民政府以及其他公共管理和服务机构分别负责本系统、行业、本行政区域和本单位的公共数据开放,应当在公共数据目录范围内,制定公共数据开放清单,明确数据的开放范围、开放类型、开放条件和更新频率等,并通过市大数据资源平台予以公布。第三节 公共数据授权运营第四十一条(授权运营机制)本市建立公共数据授权运营机制。市政府办公厅采用竞争方式确定被授权运营主体,授权其在一定期限和范围内以市场化方式运营公共数据,提供数据产品、数据服务并获得收益。授权运营应当签订授权协议,约定相关权利义务。市政府办公厅应当组织制定公共数据授权运营管理办法,明确授权标准、条件和具体程序要求,建立授权运营评价和退出机制。市大数据中心应当根据公共数据授权运营管理办法实施日常监督管理。授权运营的数据包含个人信息的,处理该数据应当符合法律、行政法规和本条例第十七条的规定。数据包含的信息经匿名化处理后不构成个人信息的除外。第四十二条(开发利用规范)被授权运营主体根据市场需求规划应用场景,经市政府办公厅组织相关行业主管部门和数据专家委员会评估后,实施公共数据开发利用。开发利用活动应当符合公共数据授权运营管理办法规定和授权协议约定的行为规范。第四十三条(数据开发利用和产品服务提供)数据产品和服务供需双方可以通过公共数据运营平台进行交易撮合、签订合同、业务结算等;通过其他途径签订合同的,应当在公共数据运营平台备案。第四十四条(数据产品和服务定价)市政府办公厅应当组织数据专家委员会编制数据产品和服务的价格评估导则,被授权运营主体应当根据价格评估导则,合理确定数据产品和服务的价格。第四十五条(平台服务费)被授权运营主体使用市大数据资源平台提供服务的,应当向平台建设方支付相应的平台服务费。收费办法由市有关主管部门另行制定。第四章 数据要素市场第一节 一般规定第四十六条(建设目标)市人民政府应当按照国家要求深化数据要素市场化配置改革,制定促进政策,培育公平、开放、有序、诚信的数据要素市场,建立资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,促进数据要素依法有序流动。第四十七条(数据流通利用)市政府办公厅应当制定政策,鼓励和引导市场主体依法开展数据共享、开放、交易、合作,促进跨区域、跨行业的数据流通利用。第四十八条(市场主体培育)本市制定相关政策,鼓励和引导自然人、法人和非法人组织参与数据要素市场建设,促进数据采集、清洗、挖掘、应用、资产管理、数据治理、合规咨询、安全评估等全产业链环节数据要素市场主体的发展。本市鼓励市场主体研发数据技术、加强数据交流合作、推进数据应用,深度挖掘数据价值,通过实质性加工和创新性劳动形成数据产品和服务。第四十九条(数据资产评估)本市探索构建数据资产评估指标体系,建立数据资产评估制度,开展数据资产凭证试点,准确反映数据要素的资产价值。第五十条(数据生产要素统计核算)市相关主管部门应当建立健全数据要素配置的统计指标体系和评估评价指南,科学评价各区、各部门、各领域的数据对经济社会发展的贡献度。第五十一条(市场主体义务)市场主体应当加强数据质量管理,确保数据真实、准确、完整。市场主体对数据的使用应当遵循公平竞争原则,不得利用数据垄断地位从事操纵市场、设置排他性合作条款等活动;不得滥用大数据分析等技术手段,基于个人消费数据和消费偏好设置不公平交易条件,侵犯消费者合法权益。第二节 数据交易第五十二条(数据交易服务体系)本市支持数据交易服务机构有序发展,为数据交易提供数据资产、数据合规性、数据质量等第三方评估以及交易撮合、交易代理、专业咨询、数据经纪、数据交付等专业服务。本市建立健全数据交易服务机构管理制度,加强对服务机构的监管,规范服务人员的执业行为。第五十三条(数据交易服务机构要求)数据交易服务机构应当建立规范透明、安全可控、可追溯的数据交易服务环境,制定交易服务流程、内部管理制度以及机构自律规则,并采取有效措施保护个人隐私、商业秘密、重要数据和国家核心数据。第五十四条(数据交易内容)市场主体以合法方式获取的数据,以及合法处理数据形成的数据产品和服务,可以依法交易,但有下列情形之一的除外:(一)包含未依法获得授权的个人信息;(二)包含未经依法开放的公共数据;(三)法律、法规规定禁止交易的其他情形。第五十五条(交易定价)从事数据交易活动的市场主体可以依法自主定价。市相关主管部门应当组织相关行业协会等制订数据交易价格评估导则,构建交易价格评估指标。第五章 数据资源开发和应用第五十六条(数据资源开发与应用规划)市人民政府应当结合数字化转型工作推进,编制全社会数据资源开发与应用的发展规划,明确政策举措。区人民政府应当将数据资源开发应用纳入本区国民经济和社会发展规划。第五十七条(数据资源设施和平台建设)本市鼓励重点领域产业大数据基础设施建设,布局数据、算法和算力一体的综合性创新平台,构建行业数据中心,促进产业链供应链数据互联互通。本市推动国家和地方大数据实验室建设,发展以数据资源开发应用为导向的产业创新中心、技术创新中心、工程研究中心、企业技术中心,以及研发与转化功能型平台、新型研发组织等创新载体。第五十八条(数据技术与数字产业创新发展)本市通过政策扶持、标准制定等方式,支持数据基础研究和关键技术攻关,打造高质量数据集,发展高端数据产品和服务。本市培育壮大数据采集存储、数据加工处理、数据交易流通等数据核心产业,发展云计算、人工智能、区块链、高端软件、物联网、量子通信等数据关联产业,支持数字贸易、数字医疗、数字办公等在线新经济发展,提升数据资源开发应用对数字产业的贡献度和辐射力。第五十九条(数据赋能产业数字化转型)本市推进数据技术与实体经济深度融合,鼓励各类企业数据的融合应用,加快生产制造、科技研发、金融服务、商贸流通、航运物流、农业等领域的模式创新,推动产业互联网和消费互联网贯通发展。本市建立面向各类市场主体的数据双向开放赋能机制,推动公共数据与企业数据的融合应用创新,促进企业数字化转型,推进降本提质增效。第六十条(数据赋能生活数字化转型)本市促进数据技术和服务业深度融合,推动公共卫生、医疗、教育、养老、就业等基本民生领域的数据资源深度开发和应用,以数字化促进公共服务均衡、精准、充分发展。本市加强政府、企业、社会等各领域的数据融合应用,促进商业、文娱、体育、旅游等质量民生领域的数字化转型,创新业态模式,提升高品质、个性化的数字生活体验。本市设立支持政策,推动消除“数字鸿沟”。支持网站、手机应用程序、公共场所智慧终端设施等面向残疾人群体和适老化数字改造。第六十一条(数据赋能治理数字化转型)本市依托全社会数据资源的开发应用,推动建立科学化、精细化、智能化的经济治理、社会治理、城市治理体系。本市推动治理大系统大平台整体规划,推动数字技术在企业全周期服务、综合经济运行、综合监管等领域的深度应用,提升基层治理、个人服务、法治建设的数字化能力,建设涵盖城市规划、建设、管理、运行的数字化综合应用体系。第六十二条(空间载体)本市建设数字化转型示范区,创新数据资源综合利用的业态模式,重塑城市经济、生活、治理的新型空间载体,引领打造具有全球影响力的“国际数字之都”。支持新城等重点区域同步规划关键信息基础设施,完善城市空间、产业空间、生活空间等领域数据资源的全生命周期管理机制,组织实施“全域感知、全数融通、全时响应、全景赋能”的建设指引,推动区域整体性转变。市、区人民政府应当根据本市产业功能布局,推动特色园区整体数字化转型,鼓励开展数据产业集聚区规划,发展人工智能、智能制造、在线新经济、大数据等数字产业特色园区。第六章 浦东新区数据改革第六十三条(创新探索)本市支持浦东新区高水平改革开放、打造社会主义现代化建设引领区,推进数据权属界定、开放共享、交易流通、监督管理等标准制定和系统建设。第六十四条(公共数据深度共享)本市支持浦东新区探索与海关、统计、税务、人民银行、银保监、证监等国家有关部门建立数据共享使用机制,通过接口调用等方式实现浦东新区公共数据的实时共享。浦东新区应当结合重大风险防范、营商环境提升、公共服务优化等重大改革创新工作,提出数据应用场景需求清单。浦东新区应当健全各个区级公共管理和服务机构之间的公共数据共享机制。第六十五条(数据交易所)本市按照国家要求在浦东新区设立数据交易所,开展实质化运营。数据交易所应当按照相关法律、行政法规和有关主管部门的规定,为数据集中交易提供场所与设施,组织和监管数据交易。数据交易所应当制订数据交易规则和其他有关业务规则,探索建立分类分层的新型大数据综合交易机制,组织对数据交易进行合规性审查、登记清算、信息披露,确保数据交易公平有序、安全可控、全程可追溯。浦东新区鼓励和引导自然人、法人和非法人组织依法通过数据交易所进行交易。浦东新区政府部门和国有企业应当通过数据交易所进行数据采购和流通交易。第六十六条(国际数据港建设)本市根据国家部署,推进国际数据港建设,聚焦中国(上海)自由贸易试验区临港新片区(以下简称临港新片区),构建国际互联网数据专用通道、功能型数据中心等新型基础设施,打造全球数据汇聚流转枢纽平台。第六十七条(数据跨境流动)本市按照国家相关法律、法规的规定,在临港新片区内探索制定低风险跨境流动数据目录,促进数据跨境安全、自由流动。在临港新片区依法开展跨境数据活动的自然人、法人和非法人组织,应当按照要求报送相关信息。本市在临港新片区建设离岸数据中心,按照国际协定和法律规定引进境外数据,支持企业开展相关数据处理活动。第六十八条(产业发展)本市按照国家相关要求,采取相关措施,支持浦东新区培育国际化数据产业,引进相关企业和项目。本市支持浦东新区加强应用基础研究,有序放宽应用领域数据开发和利用的限制,促进浦东新区特色产业发展。本市支持浦东新区建立算法评价标准体系,推动算法知识产权保护。本市支持在浦东新区建设行业性数据枢纽,打造基础设施和平台,促进重大产业链供应链数据互联互通。第六十九条(数字信任体系)本市支持浦东新区建立数据交易的数字信任体系,创新融合大数据、区块链、零信任等数字化技术,构建数字信任基础设施,保障可信数据交易服务。第七章 长三角区域数据合作第七十条(建设全国一体化大数据中心体系长三角国家枢纽节点)本市按照国家部署,协同长三角区域其他省建设全国一体化大数据中心体系长三角国家枢纽节点,优化数据中心和存算资源布局,引导数据中心集约化、规模化、绿色化发展,推动算力、数据、应用资源集约化和服务化创新,全面支撑长三角区域各行业数字化升级和产业数字化转型。第七十一条(长三角区域数据标准规范体系)本市会同长三角区域其他省加强长三角区域数据标准化体系建设,按照区域数据共享需要,共同建立数据资源目录、基础库、专题库、主题库、数据共享、数据质量和安全管理等基础性标准和规范,促进数据资源共享和利用。第七十二条(长三角区域数据共享)本市依托全国一体化政务服务平台建设长三角一体化数据共享交换平台,支撑长三角区域数据共享共用、业务协同和场景应用建设,推动数据有效流动和开发利用。本市会同长三角区域其他省推动建立以需求清单、责任清单和共享数据资源目录为基础的长三角区域数据共享机制。第七十三条(长三角区域数据质量管理)本市会同长三角区域其他省推动建立跨区域数据异议核实与处理、数据对账机制,确保各省级行政区域提供的数据与长三角数据共享交换平台数据的一致性,实现数据可对账、可校验、可稽核,问题可追溯、可处理。第七十四条(数字认证等跨区域协同)本市会同长三角区域其他省促进数字认证体系、电子证照等的跨区域互认互通,支撑政务服务和城市运行管理跨区域协同。第七十五条(长三角区域数字发展合作)本市会同长三角区域其他省推动区块链、隐私计算等数据安全流通技术的利用,建立跨区域的数据融合开发利用机制,发挥数据在跨区域协同发展中的创新驱动作用。第八章 数据安全第七十六条(数据安全责任主体)本市实行数据安全责任制,数据处理者是数据安全责任主体。数据同时存在多个处理者的,各数据处理者分别承担各自的安全责任。数据处理者因合并、分立、并购等方式变更的,由新的数据处理者继续承担数据安全保护责任。第七十七条(数据安全保护义务)开展数据处理活动,应当履行以下义务,保障数据安全:(一)依照法律、法规的规定,建立健全全流程数据安全管理制度;(二)组织开展数据安全教育培训;(三)采取相应的技术措施和其他的必要措施,确保数据安全,防止数据泄露、篡改、丢失;(四)加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;(五)发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;(六)利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务;(七)法律、法规规定的其他数据安全保护义务。第七十八条(数据分类分级保护制度)本市按照国家要求建立健全数据分类分级保护制度,推动本地区数据安全治理工作。本市建立重要数据目录管理机制,对列入目录的数据进行重点保护。具体目录由市政府办公厅会同有关部门编制。第七十九条(重要数据安全)重要数据处理者应当明确数据安全责任人和管理机构,定期对其数据处理活动开展风险评估,并向行业主管部门、市网信部门和公安机关报送风险评估报告。处理重要数据应当按照法律、行政法规及国家有关规定执行。第八十条(公共数据安全管理的特别规定)市级责任部门应当制定本系统、行业公共数据安全管理制度,并根据国家和本市相关标准规范对公共数据进行安全分级,在数据收集、使用和人员管理等业务环节承担安全责任。属于市大数据中心实施信息化工作范围的,市大数据中心应当对公共数据的传输、存储、加工等技术环节承担安全责任,并按照数据安全等级提供安全防护措施。第八十一条(监测预警)本市按照国家统一部署,建立健全集中统一的数据安全风险评估、报告、信息共享、监测预警机制,加强本地区数据安全风险信息的获取、分析、研判、预警工作。数据处理者应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。第八十二条(安全事件的应急处置)本市按照国家统一部署,建立健全数据安全应急处置机制。发生数据安全事件,市网信部门应当会同市公安机关依照相关应急预案,采取应急处置措施,防止危害扩大,消除安全隐患,并及时向社会发布与公众有关的警示信息。第八十三条(安全检测评估与认证)本市支持数据安全检测评估、认证等专业机构依法开展服务活动。本市支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。第九章 法律责任第八十四条(指引规定)违反本条例规定,法律、行政法规有规定的,从其规定。第八十五条(公共管理和服务机构的法律责任)国家机关、履行公共管理和服务职能的事业单位及其工作人员有下列行为之一的,由本级人民政府或者上级主管部门责令改正;情节严重的,由有权机关对直接负责的主管人员和其他直接责任人员依法给予处分:(一)未按照本条例第十六条规定明确突发事件处置所需数据的使用目的、范围和方式或者使用数据的;(二)违反本条例第二十五条第二款规定,擅自新建跨部门、跨层级的数据资源平台、共享交换和开放渠道,或者未按规定进行整合的;(三)未按照本条例第二十六条规定编制公共数据目录的;(四)未按照本条例第二十八条、第三十一条、第三十六条、第三十七条、第三十八条、第四十条规定收集、归集、共享、开放公共数据的;(五)未按照本条例第三十三条第二款规定履行公共数据质量管理义务的;(六)未通过公共数据开放或者授权运营等法定渠道,擅自将公共数据提供给市场主体的。第八十六条(设置不公平交易条件的处罚)市场主体违反本条例第五十一条第二款的规定,滥用技术手段设置不公平交易条件,侵害消费者合法权益,由市市场监督管理部门责令改正,没收违法所得;拒不改正的,处十万元以上一百万元以下罚款;情节严重的,处上一年度营业额百分之五以下罚款,最低不低于一百万元,最高不超过五千万元。第八十七条(违反规定交易数据的处罚)市场主体违反本条例第五十四条规定交易数据的,由市市场监督管理部门或者相关行业主管部门按照各自职责责令改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款。第八十八条(信用惩戒)对侵犯个人信息、构成数据垄断等违反本条例禁止性规定行为的,相关信息纳入本市公共信用信息服务平台,由有关部门依法开展联动惩戒。第八十九条(公益诉讼)对于数据处理者违反本条例规定处理个人信息,侵害众多个人权益的,人民检察院、市消费者权益保护委员会,以及由网信部门确定的组织,可以依法向人民法院提起诉讼。第十章 附 则第九十条(参照执行)除本条例第二条第四项规定的公共管理和服务机构外,运行经费由本市各级财政保障的单位、中央国家机关派驻本市的相关管理单位以及通信、民航、铁路等单位在依法履行公共管理和服务职责过程中收集和产生的各类数据,参照公共数据的有关规定执行。法律、行政法规另有规定的,从其规定。第九十一条(施行日期)本条例自XX年X月X日起施行。(来源:上海人大网)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 《上海市数据条例(草案)》征求意见
阅读全文
通知 | 国家网信办发布《汽车数据安全管理若干规定(征求意见稿)》全文 云安全

通知 | 国家网信办发布《汽车数据安全管理若干规定(征求意见稿)》全文

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786国家互联网信息办公室关于《汽车数据安全管理若干规定(征求意见稿)》公开征求意见的通知为加强个人信息和重要数据保护,规范汽车数据处理活动,根据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。2.通过电子邮件方式发送至:[email protected]。3.通过信函方式将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室,邮编100044,并在信封上注明“汽车数据安全管理若干规定征求意见”。意见反馈截止时间为2021年6月11日。附件:汽车数据安全管理若干规定(征求意见稿)国家互联网信息办公室2021年5月12日汽车数据安全管理若干规定(征求意见稿)第一条 为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益,根据《中华人民共和国网络安全法》等法律法规,制定本规定。第二条 运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。第三条 本规定所称运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。本规定所称个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。本规定所称重要数据包括:(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;(二)高于国家公开发布地图精度的测绘数据;(三)汽车充电网的运行数据;(四)道路上车辆类型、车辆流量等数据;(五)包含人脸、声音、车牌等的车外音视频数据;(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。第四条 运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。第五条 运营者应当落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务。第六条 倡导运营者处理个人信息和重要数据过程中坚持:(一)车内处理原则,除非确有必要不向车外提供;(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。第七条 运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供以下信息:(一)收集每种类型数据的触发条件以及停止收集的方法;(二)收集各类型数据的目的、用途;(三)数据保存地点、期限,或者确定保存地点、期限的规则;(四)删除车内、请求删除已经提供给车外的个人信息的方法步骤。第八条 运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下要求:(一)以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等;(二)默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效;(三)通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息;(四)驾驶人能够随时、方便地终止收集;(五)允许车主方便查看、结构化查询被收集的敏感个人信息;(六)驾驶人要求运营者删除时,运营者应当在2周内删除。第九条 运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。第十条 仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式。第十一条 运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。第十二条 个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的,适用其规定,我国声明保留的条款除外。第十三条 运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。第十四条 运营者向境外提供个人信息或者重要数据的,应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。第十五条 运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者应当以明文、可读方式予以展示。第十六条 科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。第十七条 处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门,内容包括:(一)数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式;(二)处理数据的类型、规模、目的及必要性;(三)数据的安全防护和管理措施,包括保存地点、期限等;(四)与境内第三方共享数据情况;(五)数据安全事故及处理情况;(六)与个人信息和数据相关的用户投诉及处理情况;(七)国家网信部门明确的其他数据安全情况。第十八条 如果存在向境外提供数据的情况,运营者应当在本规定第十七条基础上,报告以下情况:(一)接收者的名称和联系方式;(二)出境数据的类型、数量及目的;(三)数据在境外的存放地点、使用范围和方式;(四)涉及向境外提供数据的用户投诉及处理情况;(五)国家网信部门明确的向境外提供数据需要报告的其他情况。第十九条 国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,运营者应当予以配合。参与安全评估的机构和人员不得披露评估中获悉的运营者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。第二十条 运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。第二十一条 本规定自2021年 月 日起施行。(来源:中国网信网)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):通知 | 国家网信办发布《汽车数据安全管理若干规定(征求意见稿)》全文
阅读全文
关注 | 工信部就《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》公开征求意见 云安全

关注 | 工信部就《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》公开征求意见

扫码订阅《中国信息安全》杂志权威刊物 重要平台 关键渠道邮发代号 2-786公开征求对《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》的意见为贯彻《中华人民共和国网络安全法》,落实《新能源汽车产业发展规划(2021-2035年)》《智能汽车创新发展战略》《车联网(智能网联汽车)产业行动计划》,加强车联网(智能网联汽车)网络安全管理工作,提升网络安全保障能力,促进车联网(智能网联汽车)产业规范健康发展,工业和信息化部起草了《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。如有意见或建议,请于2021年7月2日前反馈。传    真:010-66022774邮    箱:[email protected]地    址:北京市西城区西长安街13号工业和信息化部网络安全管理局(邮编:100804)。请在信封上注明“《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》意见反馈”。附件:关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿).wps工业和信息化部2021年6月22日关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)各省、自治区、直辖市工业和信息化主管部门、通信管理局,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司,有关车联网运营企业、智能网联汽车生产企业:为贯彻《中华人民共和国网络安全法》,落实《新能源汽车产业发展规划(2021-2035年)》《智能汽车创新发展战略》《车联网(智能网联汽车)产业行动计划》,指导基础电信企业、车联网运营企业、智能网联汽车生产企业加强车联网(智能网联汽车)网络安全管理工作,加快提升网络安全保障能力,促进车联网(智能网联汽车)产业规范健康发展。现将有关事项通知如下。一、加强车联网网络安全防护(一)保护车联网网络设施和系统安全。落实企业网络安全主体责任,建立车联网网络安全管理制度和操作规程,确定网络安全负责人,定期开展符合性评测和风险评估,及时消除网络安全风险隐患。严格落实分级防护要求,加强网络设施和系统资产管理,合理划分网络安全域,加强访问控制管理,做好网络边界安全防护,采取防范木马病毒和网络攻击、网络侵入等危害车联网安全行为的技术措施。(二)保障车联网通信安全。建立企业车联网身份认证和安全信任机制,强化车与车、车与路、车与云、车与设备等场景安全通信能力建设,推动跨车型、跨设施、跨企业互联互认互通。加强商用密码应用,开展商用密码应用安全性评估。(三)开展车联网安全监测预警。建立网络安全监测预警机制和技术手段,面向智能网联汽车、联网系统等,开展运行安全监测、流量与行为监测分析,及时发现预警安全状态异常、恶意软件传播、网络通信异常、网络攻击等网络安全事件或异常行为,并按照规定留存相关的网络日志不少于6个月。(四)做好车联网安全应急处置。建立网络安全应急响应机制,制定网络安全事件应急预案。定期开展应急演练,及时处置安全威胁、网络攻击、网络侵入等网络安全风险。在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照《公共互联网网络安全突发事件应急预案》向有关主管部门报告。(五)做好车联网网络安全防护定级备案。按照车联网网络安全防护相关标准,对所属网络设施和系统开展网络安全防护定级工作,并向省级电信主管部门备案。对新建网络设施和系统,应当在规划设计阶段确定网络安全防护等级。各省级电信主管部门会同工业和信息化主管部门做好定级备案审核工作。二、加强平台安全防护(一)加强平台网络安全管理。采取必要的安全技术措施,加强智能网联汽车、边缘侧设备等平台接入安全,主机、数据存储系统等平台设施安全,以及微服务、资源管理、应用程序编程接口(API)访问等平台应用安全防护能力,防范网络侵入、数据窃取、远程控制安全风险。涉及在线数据处理与交易处理、信息服务业务等电信业务的,应依法取得电信业务经营许可。认定为关键信息基础设施的,要落实国家关于关键信息基础设施安全保护有关规定。(二)加强OTA服务安全和漏洞检测评估。开展OTA服务及软件包网络安全检测,及时发现服务和产品安全漏洞。加强OTA服务安全校验能力,采取身份认证、加密传输等技术措施,保障传输环境和执行环境的网络安全。加强OTA服务全过程网络安全监测和应急响应,及时评估网络安全状况,防范软件被篡改、损毁、泄露和病毒感染等网络安全风险。(三)强化应用程序安全管理。建立车联网(智能网联汽车)应用程序开发、上线、使用、升级等安全管理制度,提升应用程序身份鉴别、通信安全、关键数据保护等安全能力。加强车联网(智能网联汽车)应用程序安全检测,及时处置安全风险,防范恶意应用程序攻击和传播。三、保障数据安全(一)加强数据安全管理。建立健全数据安全管理制度,建立完善权限管理、监测预警、应急响应、投诉受理等保障措施,明确责任部门和责任人,加强人员教育培训。建立数据资产管理台账,实施数据分类分级管理,加强个人信息与重要数据保护。定期开展数据安全风险评估,强化隐患排查整改。(二)提升数据安全技术保障能力。坚持“最小必要”原则采集数据,针对数据全生命周期采取有效技术保护措施,防范数据泄露、毁损、丢失、篡改、误用、滥用等风险。强化数据安全监测预警能力建设,提升异常流动分析、违规跨境传输监测、安全事件追踪溯源等水平。及时处置数据安全事件,向省级电信主管部门、工业和信息化主管部门报告,并配合开展相关监督检查,提供必要技术支持。(三)规范数据开发利用和共享使用。合理开发利用数据资源,防范在使用自动化决策技术处理数据时,侵犯用户隐私权和知情权。明确数据共享和开发利用的安全管理和责任要求,对数据合作方的资质和能力进行审核评估,对数据共享使用情况进行监督管理。(四)强化数据出境安全管理。在中华人民共和国境内收集和产生的个人信息和重要数据应当依法在境内存储。因业务需要确需向境外提供数据的,应当通过数据出境安全评估并向省级电信、工业和信息化等有关主管部门报备。各省级电信主管部门会同工业和信息化主管部门做好数据出境备案、安全评估、监督检查等工作。四、强化安全漏洞管理(一)建立安全漏洞管理机制。落实国家关于网络产品安全漏洞管理有关规定,建立车联网(智能网联汽车)安全漏洞管理机制,明确漏洞发现、分析、修补等工作程序,加强漏洞管理资源保障投入,确保漏洞得到及时修补和合理披露。(二)加强安全漏洞发现收集。加强漏洞风险的主动监测、风险评估、技术验证等能力建设。建立漏洞信息接收渠道并保持畅通,主动收集用户、上下游供应商、网络安全企业、研究机构等发现的漏洞信息,加强与漏洞收集平台的协同联动。鼓励建立漏洞奖励机制。(三)强化安全漏洞协同处置。发现或获知本企业网络设施和业务系统、智能网联汽车产品存在漏洞后,应当立即采取补救措施,并向工业和信息化部网络安全威胁和漏洞信息共享平台报送漏洞信息。加强上下游产品或组件存在漏洞的协同处置。对需要用户采取软件、固件升级等措施修补漏洞的,应当及时将漏洞风险及修补方式告知可能受影响的用户,并提供必要的技术支持。(来源:工信部网站)扫码关注我们更多信息安全资讯请关注“中国信息安全” 本文始发于微信公众号(中国信息安全):关注 | 工信部就《关于加强车联网(智能网联汽车)网络安全工作的通知(征求意见稿)》公开征求意见
阅读全文
网联车辆 | 法国数据保护局(CNIL)的一揽子合规方案 云安全

网联车辆 | 法国数据保护局(CNIL)的一揽子合规方案

编者按5月12日,国家互联网信息办公室会同有关部门起草了《汽车数据安全管理若干规定(征求意见稿)》(以下简称“若干规定”),并向社会公开征求意见。公号君将撰写系列文章对该若干规定做出分析,并尝试提出建议,在此分享供大家参考。本系列已经发表的文章如下:《汽车数据安全管理若干规定(征求意见稿)》 | 规范对象和基本原则《汽车数据安全管理若干规定(征求意见稿)》 | 个人信息和重要数据的细化规范《汽车数据安全管理若干规定(征求意见稿)》 | 数据出境和监管手段《汽车数据安全管理若干规定(征求意见稿)》 | 配套制度《汽车数据安全管理若干规定(征求意见稿)》 | “汽车数据”与EDPB指南中的联网车辆《汽车数据安全管理若干规定(征求意见稿)》 | “车内处理”与EDPB指南中“终端设备”《汽车数据安全管理若干规定(征求意见稿)》 | 个人信息的分类分级规则《汽车数据安全管理若干规定(征求意见稿)》 | 向车外提供数据的规则此外,EDPB发布了《车联网个人数据保护指南》,见:EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB《车联网个人数据保护指南2.0》比较翻译(DPO社群出品)接下来,公号君将围绕着网联车辆(包括自动驾驶车辆)的安全问题不定期撰写分析文章,供大家参考和批评指正,已分享的文章包括:网联车辆 | 网联车辆采集和产生的数据类型概览网联车辆 | 美国联邦贸易委员会(FTC)对数据隐私的原则性观点网联车辆 | 德国官方和行业协会在数据保护方面的联合声明网联车辆 | 英国信息专员办公室(ICO)就个人数据保护的立场和意见本篇关注法国数据保护局(简称“CNIL”)制定的“网联汽车”的一揽子合规方案。本文译者为智能科技风险法律防控工信部重点实验室(北京理工大学)研究员王磊。导 读法国数据保护局(简称“CNIL”)为了鼓励自动驾驶汽车领域的创新生态系统(innovation ecosystems)并以及保障汽车用户的个人数据,在2016年3月,CNIL创建了一个工作小组,制定“网联汽车”的一揽子合规方案。该合规方案是在与汽车行业、保险和电信行业的企业以及公共机构的利益相关者一起协商制定的,目的是提出一个行业参考框架,以此保障合法、合规、安全地使用个人数据。该合规方案中的指南即是在适用于网联汽车的前提下,CNIL对法国数据保护法以及通用数据保护条例的解释,反映了CNIL的评估可能违法行为的分析框架,成为了数据控制者必须考虑在内的法律安全要素。该合规方案提供了对应于该行业专业人士会遇到的三个场景下的工作指南:一是关于车辆数据不会传输给服务提供商的情形;二是关于车辆数据传输给服务提供商,但不会触发自动操作的情形;三是关于车辆数据传输到服务提供商以远程触发车内的自动操作的情形。该合规方案规定了每个场景下可能会遇到的问题的解决方案,如关于预期目的、收集的数据类别、此类数据的保留期限、数据主体的权利、要实施的安全措施以及信息的接收者等。数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已超过300人。关于DPO社群和沙龙更多的情况如下:域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)“美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)“108号公约”全文翻译(DPO沙龙出品)美国司法部“云法案”白皮书全文翻译(DPO社群出品)新加坡《防止网络虚假信息和网络操纵法案》中文翻译(DPO沙龙出品)英国ICO《广告技术和实时竞价的更新报告》中译文(DPO社群出品)“FTC与Facebook达成和解令的新闻通告”全文翻译(DPO社群出品)CJEU认定网站和嵌入的第三方代码成为共同数据控制者(DPO沙龙出品)FTC与Facebook“2019和解令”全文翻译(DPO社群出品)英国ICO《数据共享行为守则》中译文(DPO社群出品)“hiQ Labs诉LinkedIn案上诉判决”中译文(DPO社群出品)法国数据保护监管机构(CNIL)有关cookies和其他追踪方式的指引(全文翻译)美加州消费者隐私法案(CCPA) 修正案汇总中译文(DPO沙龙出品)FTC“首次针对追踪类App提起诉讼”的官方声明中文翻译(DPO社群出品)ICDPPC关于隐私和消费者保护、竞争维护交叉问题决议的中文翻译(DPO社群出品)德国关于确定企业GDPR相关罚款数额官方指南的中文翻译(DPO社群出品)亚洲十四个国家和地区数据跨境制度报告中译本(DPO社群出品)印度《个人数据保护法》(2019年草案)全文翻译(DPO社群出品)法国数据保护局(CNIL)关于人脸识别报告的中译文(DPO社群出品)AEPD和EDPS | “哈希函数简介——用于个人数据假名化技术”中译文(DPO社群出品)欧盟基本权利局“人脸识别技术”报告中文翻译(DPO社群出品)联合发布 |《2020数字医疗:疫情防控新技术安全应用分析报告》技术主权视野下的欧盟数字化转型战略探析(DPO社群出品)意大利数据保护机关就新冠疫情联防联控中个人信息问题的意见(DPO社群出品)新版《个人信息安全规范》(35273-2020)正式发布英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之一英国ICO | 《儿童适龄设计准则:在线服务实业准则》全文翻译之二《个人信息安全影响评估指南》(GB/T 39335-2020)正式发布《英国ICO人工智能与数据保护指引》选译 | 如何保护人工智能系统中的个人权利?《英国ICO人工智能与数据保护指引》选译 | 如何评估AI的安全性和数据最小化?西班牙数据保护局《默认数据保护指南》全文翻译(DPO社群出品)DPO线下沙龙的实录见:数据保护官(DPO)沙龙第一期纪实第二期数据保护官沙龙纪实:个人信息安全影响评估指南 第三期数据保护官沙龙纪实:数据出境安全评估第四期数据保护官沙龙纪实:网络爬虫的法律规制第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论数据保护官(DPO)沙龙走进燕园系列活动第一期第六期数据保护官沙龙纪实:2018年隐私条款评审工作第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全第九期数据保护官沙龙纪实:《个人信息安全规范》修订研讨第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东第十一期数据保护官沙龙纪实:企业如何看住自家的数据资产?这里有份权威的安全指南第十二期数据保护官纪实:金融数据保护,须平衡个人隐私与公共利益第十三期DPO沙龙纪实:厘清《数据安全管理办法》中的重点条款第十四期DPO沙龙纪实:梳理《个人信息出境安全评估办法(征求意见稿)》的评估流程第十五期DPO沙龙纪实:SDK非洪水猛兽,但如果“作恶”乱收集信息,谁来管?第十六期DPO沙龙纪实:查询App收集个人信息类型、禁止收集IMEI号是未来监管趋势与欧美一流数据保护专家面对面(DPO沙龙特别活动)第十七期DPO沙龙纪实:数据统一确权恐难实现 部门立法或是有效途径第十八期DPO沙龙纪实:生物识别信息的安全保护第十九期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之一第二十期DPO沙龙纪实:《个人信息保护法(草案)》专题研讨会之二美国电信行业涉及外国参与的安全审查系列文美国电信行业涉及外国参与的安全审查(一):基本制度介绍美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令中国的网络安全审查系列文章:网络安全审查制度利刃出鞘对《网络安全审查办法(征求意见稿)》的几点观察网络安全审查制度吹响了向网络安全强国迈进的号角我国网络安全审查制度走向前台网络安全审查的中欧比较:以5G为例网络安全审查 | 中国《网络安全审查办法》的逻辑和要旨:以5G安全为例自动驾驶系列文章:自动驾驶数据共享:效用与障碍自动驾驶数据共享:效用与障碍(附文字实录)北京市关于自动驾驶车辆道路测试的立法综述及动态(DPO社群成员观点)自动驾驶的基建工程 — 高精地图产业促进与国家管控的平衡(DPO社群成员观点)EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB《车联网个人数据保护指南2.0》比较翻译(DPO社群出品)数据安全法系列文章:对《数据安全法》的理解和认识 | 立法思路对《数据安全法》的理解和认识 | 数据分级分类对《数据安全法》的理解和认识 | 中国版的封阻法令对《数据安全法》的理解和认识 | 重要数据如何保护个人数据与域外国家安全审查系列文章个人数据与域外国家安全审查初探(一):美欧概览个人数据与域外国家安全审查初探(二):CFIUS实施条例详解个人数据与域外国家安全审查初探(三):从美国《确保ICT技术与服务供应链安全》        个人数据与域外国家安全审查初探(四):从美国《2019年安全与可信通信网络法案》看个人数据与域外国家安全审查初探(五):禁止中国公司对StayNTouch的收购个人数据与域外国家安全审查初探(六):《2019国家安全和个人数据保护法案》个人数据与域外国家安全审查初探(七):美国众议院荒唐的决议草案个人数据与域外国家安全审查初探(八):《2020安全的5G和未来通信》法案个人数据与域外国家安全审查初探(九):澳大利亚《协助和访问法》美国司法部狙击中国内幕(Inside DOJ's nationwide effort to take on China)美国司法部“中国计划”的概况介绍突发 | 特朗普签署关于TIKTOK和WECHAT的行政令理解特朗普禁令中的Transactions白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑《国际紧急经济权力法》(IEEPA)的起源、演变和应用个人数据与域外国家安全审查 | 美国安局对地理位置信息的建议(全文翻译)外媒编译 | 诡秘的美国外国投资委员会如何成为贸易战的有力武器?围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:突发 | 特朗普签署关于TIKTOK和WECHAT的行政令理解特朗普禁令中的Transactions白宫决策内幕 | TIKTOK的命运是由一场"击倒、拖出"的椭圆形办公室争斗所形塑TikTok和甲骨文合作中的“可信技术提供商” | 微软和德国电信合作的模式TikTok和甲骨文合作中的“可信技术提供商” | 苹果和云上贵州合作模式外媒编译 | TikTok 零点时间:最后一刻的交易TikTok和甲骨文合作中的“可信技术提供商” | 来自EPIC的质疑和两家公司的回复第29条工作组/EDPB关于GDPR的指导意见的翻译:第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)EDPB《关于GDPR适用地域范围(第3条)的解释指南》全文翻译(DPO沙龙出品)EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)EDPB《车联网个人数据保护指南》全文翻译(DPO社群出品)EDPB关于GDPR中合同必要性指引的中文翻译(DPO沙龙出品)EDPB关于“疫情场景中使用位置数据和接触追踪工具”指南:全文翻译(DPO沙龙出品)EDPB | 《对第2016/679号条例(GDPR)下同意的解释指南v1》中文翻译(DPO社群出品)第29条工作组 | 《关于匿名化技术的意见》中文全文翻译(DPO社群出品)欧盟委员会关于GDPR实施两周年评估报告中文翻译(DPO社群出品)EDPB | 《GDPR下数据控制者及数据处理者概念的指南(07/2020)》全文翻译EDPB | 《针对向社交媒体用户定向服务的指南(第8/2020号)》全文翻译数据安全的法律要求 | DPB关于数据泄露通知示例的01/2021号指引关于美国出口管制制度,本公号发表过系列文章:美国出口管制制度系列文章之一:对“外国生产的产品”的相关规则美国出口管制制度系列文章之二:适用EAR的步骤美国出口管制制度系列文章之三:苏联油气管道的“华为”事件美国出口管制制度 | 允许华为和美国公司共同制定5G标准美国出口管制 | BIS发布针对“基础性技术”出口管制的“拟议制定规则预先通知”《华盛顿邮报》披露《美国对中国的战略路径》背后的决策博弈美国出口管制 |...
阅读全文