1. 国家互联网信息办公室就《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见,促进个人信息保护审计活动规范化
【内容概述】2023年8月3日,国家互联网信息办公室就《个人信息保护合规审计管理办法(征求意见稿)》(以下简称《征求意见稿》)公开征求意见。《征求意见稿》旨在规范个人信息保护合规审计活动,提高个人信息处理活动合规水平,并以附件的形式提出《个人信息保护合规审计参考要点》。
《征求意见稿》主要内容包括以下三方面。第一,《征求意见稿》明确了个人信息处理者开展合规审计的情形,包括自行定期开展审计和应监管要求开展审计两种。第二,《征求意见稿》规定了个人信息保护合规审计的适用对象及开展频次,包括处理超过100万人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每两年至少开展一次个人信息保护合规审计。第三,《征求意见稿》提出了个人信息保护合规审计的审计机构和时限要求,包括个人信息处理者自行定期开展审计的,可根据实际情况,由本组织内部机构或委托专业机构开展;个人信息处理者应监管要求开展审计的,应在收到通知后按要求选定专业机构进行审计,且强制外部审计在90个工作日内完成审计。
【导读分析】个人信息保护一向是网络和数据安全的重要领域之一。此前我国在个人信息保护领域先后出台了《个人信息保护法》《个人信息出境标准合同办法》等法规政策,并持续开展了多项个人信息保护专项行动。不同于以往,此次《征求意见稿》所规范的“个人信息保护审计”更加侧重于对个人信息保护的事前防范,强调个人信息处理者的常态化合规。
《征求意见稿》法律依据为《个人信息保护法》第五十四条:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,旨在建立健全我国个人信息保护合规审计制度。对于个人信息处理者以及第三方专业机构开展个人信息合规审计工作具有重要实践意义。
目前,《个人信息保护合规审计管理办法(征求意见稿)》尚处于征求意见阶段,对网络安全行业来说,可重点关注以下两点。一方面,可关注后续相关政策的更新与落实,如个人信息保护合规审计专门的国家标准、个人信息保护合规审计专业机构推荐目录的制定,以及与个人信息保护影响评估等制度的衔接等。另一方面,企业可优化产品布局,寻找新的市场机会点。如针对个人信息处理者,尤其是大型互联网平台等重点监管对象,提供个人信息保护合规审计咨询服务,定制化的开发安全教育和培训课程等;针对个人信息保护合规审计专业机构,提供专业技术手段和解决方案保障系统数据安全等。
2.国家互联网信息办公室发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,属首部人脸识别技术应用安全监管政策
【内容概述】2023年8月8日,国家互联网信息办公室就《人脸识别技术应用安全管理规定(试行)(征求意见稿)》(以下简称《征求意见稿》)公开征求意见。《征求意见稿》旨在规范人脸识别技术应用,保护个人信息权益及其他人身和财产权益。
《征求意见稿》明确了相关组织或个人使用人脸识别技术的具体原则。一是“最小使用原则”,即只有在具有特定目的和充分必要性,并采取严格保护措施的情形下,方可使用人脸识别技术处理人脸信息。二是“告知-同意原则”,即使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。法律、行政法规规定不需取得个人同意的除外。三是“最小存储原则”,即除法定条件或者取得个人单独同意外,人脸识别技术使用者不得保存人脸原始图像、图片、视频,经过匿名化处理的人脸信息除外。
此外,《征求意见稿》还对在公共场所安装图像采集、个人身份识别设备提出具体要求,包括建设、使用、运行维护单位对获取的个人图像、身份识别信息负有保密义务,不得非法泄露或者对外提供。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,取得个人单独同意的除外。
【导读分析】近年来,随着人脸识别技术应用的推广,人脸数据滥用等问题层出不穷,比如2021年“3·15”晚会曝光了多起商家滥用人脸识别数据的现象。各国针对人脸识别均出台了相应监管政策,如美国联邦贸易委员会就“滥用生物特征信息及其对消费者造成的危害”发布政策声明、欧洲数据保护委员会通过《关于在执法领域使用面部识别技术的指南》等。
《征求意见稿》是我国首部针对人脸识别技术应用安全的专项政策草案,其提出的事前影响评估、备案管理、设备安全检测等制度,对建立健全我国人脸识别安全管理体系具有重要作用。当然,目前《征求意见稿》在内容上还是更侧重于网络层面,而对于数据层面的问题诸如存储安全、个人信息数据使用情况监测检查等,尚未设置相关专属监管机制,这或许是下一步完善的一个方向。
对网络安全行业而言,可重点关注两方面问题。一方面,需深入学习《征求意见稿》有关要求,提前进行合规自查,确保满足通用合规要求以及特殊场景合规要求,合理管控合规风险。另一方面,安全需求的明确或将为网络安全相关产业带来增量机会,如采取技术措施确保特定场景下的人脸识别技术服务系统的信息安全、为相关系统的网络安全等级保护提供解决方案、针对图像采集等人脸识别专用设备研发检测评估工具等。
3.工业和信息化部发布《关于开展移动互联网应用程序备案工作的通知》,启动移动互联网信息服务准入管理
【内容概述】2023年8月8日,工业和信息化部发布《关于开展移动互联网应用程序备案工作的通知》(以下简称《通知》)。《通知》适用于在中国境内从事互联网信息服务的APP主办者。《通知》规定,APP备案通过APP主办者在填写有关备案材料并实名核验后,由其网络接入服务提供者或应用分发平台通过“国家互联网基础资源管理系统”(即ICP/IP地址/域名信息备案管理系统),向APP主办者住所所在地通信管理局在线提交备案申请。
《通知》提出以下三方面要求。第一,《通知》规定了APP备案的具体内容,包括备案主体信息、APP基础信息、APP特征信息和APP接入信息等。第二,《通知》明确了APP备案的时间要求,一是在《通知》发布前已开展业务的APP,应在2024年4月前完成备案手续;二是在《通知》发布后拟开展业务的APP,应先履行备案手续后再开展业务。第三,《通知》提出备案监管要求,包括网络接入者不得为未备案APP提供网络接入服务、分发平台不得为未备案APP提供分发服务、智能终端生产企业不得为未备案APP提供预置服务等。
【导读分析】APP备案是移动互联网监督管理的一项重要制度,其意义堪称移动互联网领域的“网站备案”。该监管机制源于《中华人民共和国反电信网络诈骗法》第二十三条“设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续”。
本次《通知》的发布旨在落实《反电信网络诈骗法》的规定,并进一步细化移动互联网应用程序备案制度相关要求。除了申请备案需提交相关资料外,《通知》尤其开宗明义地明确了“未履行备案手续的,不得从事APP互联网信息服务”。可见,对“APP主办者”而言,备案是从业的起始“动作”,否则无法开展相关业务。与此同时,从《通知》的立法依据来看,《互联网信息服务管理办法》(国务院令第292号)将是实施备案工作的重要操作准则之一。
对网络安全行业来说,有两点需要重点关注。一是备案实施工作中的能力匹配和保障,如支撑相关备案实施机构强化数据安全监测和防护、开展相关突发事件的应急处置等。二是密切关注相关法规的修订衔接,《互联网信息服务管理办法》(国务院令第292号)上次修订距今已超过十年,此间已有多部有关移动互联网监管的法规和政策文件发布,如《移动互联网应用程序信息服务管理规定》等等,如何强化这些法规政策间的协调衔接,或将是备案领域法规清理的一项重要工作。
4.国家认证认可监督管理委员会发布《关于修订<网络关键设备和网络安全专用产品安全认证实施规则>的公告》,相关安全认证工作迎来重大更新
【内容概述】2023年8月10日,国家认证认可监督管理委员会发布《关于修订<网络关键设备和网络安全专用产品安全认证实施规则>的公告》(以下简称《公告》)。《公告》规定,此前已经颁发的有效安全认证证书可继续使用,证书转换工作采取到期换证、产品变更、标准换版等自然过渡的方式完成。同时发布的还有修订后的《网络关键设备和网络安全专用产品安全认证实施规则》(以下简称新版《实施规则》),自发布之日起实施。
新版《实施规则》明确规定了网络关键设备和网络安全专用产品的适用范围、认证依据及认证实施程序等内容。第一,新版《实施规则》的适用范围为“国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会等部门发布的网络关键设备和网络安全专用产品”。第二,网络关键设备认证依据的标准为《网络关键设备安全通用要求》(GB 40050),网络安全专用产品认证依据的标准为《信息安全技术 网络安全专用产品安全技术要求》(GB 42250)。第三,新版《实施规则》规定,网络关键设备和网络安全专用产品安全的认证实施程序包括认证委托、型式试验、认证结果评价与批准、获证后监督等。
【导读分析】长久以来,网络安全产品重复检测认证问题是有关部门着力解决的困扰企业发展的突出问题之一。此前,国家网信办已会同有关部门先后发布了《关于调整网络安全专用产品安全管理有关事项的公告》《网络关键设备和网络安全专用产品目录》等政策文件,分别就检测认证工作机制衔接、产品范围等问题做出专门规定。本次《公告》的发布,对实施规则进行了明确,又朝着优化并推进认证工作迈出了坚实一步,也为后续认证工作的实际落地奠定了基础。
与2018版《实施规则》相比,新版《实施规则》在认证模式、认证流程、认证时限等方面进行了全面更新。如认证模式减少“工厂检查”环节,变为“型式试验+获证后监督”;认证流程将“认证申请及受理、文档审核”等简化为“认证委托”程序;认证时限由90个工作日缩短为60天等。此外,该规则还要求认证机构编制认证实施细则,包括细化监督频次、评价内容及评价方式等方面。
统一检测认证事关产品资质,因此《信息安全技术 网络安全专用产品安全技术要求》(GB 42250)、《网络关键设备和网络安全专用产品目录》等相关要求的落地,以及后续或将出台的相关检测认证实施细则、机构管理办法等,都无疑会成为引导网络安全厂商乃至网络安全产业发展的重要风向标,值得认真学习领会。
5.国家互联网信息办公室等五部门联合发布《关于规范货币经纪公司数据服务有关事项的通知》,强化金融领域数据安全治理
【内容概述】2023年8月25日,国家金融监督管理总局、中国人民银行、中国证券监督管理委员会、国家互联网信息办公室、国家外汇管理局五部门联合发布《关于规范货币经纪公司数据服务有关事项的通知》(以下简称《通知》)。《通知》旨在规范货币经纪公司提供数据服务,鼓励数据依法合理利用,确保数据安全,提升市场信息透明度,促进市场公平竞争,推动行业高质量发展。
《通知》包括四个方面具体要求。一是加强数据治理,确保数据安全;二是规范提供数据标准,提高数据服务质量;三是明确可接受数据服务的机构范围,加强合作管理;四是签订服务协议,规范数据使用。此外,《通知》还附有“货币经纪公司提供数据标准”、“货币经纪公司可提供数据服务的机构名单”和“货币经纪公司提供数据服务协议框架”等三份文件。
【导读分析】货币经纪公司因其业务属性,决定了其会接触大量金融原始数据、以及相关数据的跨境流动,由此会带来相应的数据安全潜在风险。本次多部门联合下发《通知》,也凸显了金融数据安全问题的复杂性和高关注度。
《通知》明确了货币经纪公司应当履行的数据安全保护义务,包括管理和依据两个方面。在管理方面,重点是建立健全数据治理机制确保数据安全、强化协议管理;在依据方面,明确了提供数据标准和数据服务机构名单两类准则依据。
《通知》或将产生以下两方面的影响。一方面,将在一定程度上促进货币经纪公司提高对数据安全落地的自觉性,主动构建和完善自身数据安全防护体系。对此,数据安全企业可重点关注数据安全合规建设、信息系统风险管理等业务机会。另一方面,由于货币经纪公司多涉及数据跨境传输,因此,面向货币经纪公司的专业化数据出境安全服务,如数据出境安全自评估咨询、出境数据资产审计等也有机会迎来一波新的发展。