合规指引3近年来，国家大力推动数字政府建设。自2018年以来，《关于加快推进全国一体化在线政务服务平台建设的指导意见》《关于加快推进政务服务“跨省通办”的指导意见》等一系列文件相继印发。2021年12月国家发展改革委印发《“十四五”推进国家政务信息化规划》提出“要加快建设数字政府、提升政务服务水平。”2022年6月国务院发布《关于加强数字政府建设的指导意见》要求构建数字政府全方位安全保障体系，加强关键信息基础设施安全保障，强化安全防护技术应用，切实筑牢数字政府建设安全防线。数字政府基础设施是包括云、网、数据共享、应用支撑一体化的基础支撑体系，政务云是其关键基础支撑。具体来说，政务云是指运用云计算技术，统筹使用政府已有的机房、计算、存储、网络、安全、应用支撑、信息数据等资源，为政府部门提供基础设施、支撑软件、应用系统、信息资源、运行保障和信息安全等综合服务的平台。 1云服务商可以充分利用新一代信息技术，积极参与到数字政府政务云建设中。目前我国已发布《网络安全法》《数据安全法》《个人信息保护法》等网络安全领域法律法规，为政务云的网络安全工作提供了基础法律依据。本指引旨在梳理法律相关规定，以具体场景为牵引，为企业参与数字政府政务云建设提供网络安全法律风险合规指引。参编单位 中国移动通信集团有限公司法律与监管事务部 中国移动通信集团有限公司信息安全管理与运行中心 1云计算开源产业联盟：《中国政务云发展白皮书（2018）》 数字政府政务云建设网络安全法律风险4（一）《中华人民共和国网络安全法》 01（二）《中华人民共和国数据安全法》 02（三）《中华人民共和国个人信息保护法》 02（四）《中华人民共和国反电信网络诈骗法》 04（五）《关键信息基础设施安全保护条例》 05（一）法律法规要求 07（二）合规风险分析 08（三）合规管理建议 09（一）法律法规要求 11（二）合规风险分析 13（三）合规管理建议 15网络安全“四法一条例”关于政务云建设的规定党政部门与云服务商之间的法律关系云服务牌照管理010203 合规指引5（一）法律法规要求 22（二）合规风险分析 23（三）合规管理建议 24（一）法律法规要求 17（二）合规风险分析 19（三）合规管理建议 20（一）法律法规要求 26（二）合规风险分析 29（三）合规管理建议 30（一）法律法规要求 32（二）合规风险分析 33（三）合规管理建议 34（一）法律法规要求 36（二）合规风险分析 28（三）合规管理建议 39云计算服务安全评估云平台定级备案商用密码应用供应链安全政务数据安全0504060708 （一）《中华人民共和国网络安全法》（二）《中华人民共和国数据安全法》（三）《中华人民共和国个人信息保护法》（四）《中华人民共和国反电信网络诈骗法》（五）《关键信息基础设施安全保护条例》01网络安全“四法一条例”关于政务云建设的规定 合规指引1网络安全“四法一条例”关于政务云建设的规定（全国人民代表大会常务委员会，2016年11月7日通过）《中华人民共和国网络安全法》（以下简称《网络安全法》）由全国人民代表大会常务委员会于 2016年 11月7 日通过，自2017年6月1日起施行。《网络安全法》是我国第一部全面规范网络空间安全的基础性法律，是我国网络空间法治建设的重要里程碑，是让互联网在法治轨道上健康运行的重要保障。根据《网络安全法》的要求，政务云的安全建设需要重点关注以下几个方面：《中华人民共和国网络安全法》（一）应遵循国家网络安全等级保护制度。作为关键信息基础设施的政务云，采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的安全审查。建立网络安全监测预警和信息通报制度，深化政务云网络安全防护体系，实现全天候全方位感知网络安全态势。作为关键信息基础设施的政务云，其安全建设应在网络安全等级保护建设的基础上，实行重点防护。涉及大量公民个人信息的政务云，应建立健全信息管理制度与体系。13524 数字政府政务云建设网络安全法律风险2（全国人民代表大会常务委员会，2021年6月10日通过）《中华人民共和国数据安全法》（以下简称《数据安全法》）由全国人民代表大会常务委员会于 2021年 6月10日通过，自2021年9月1日起施行。《数据安全法》明确提出“建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全”，要求国家机关依照法律、行政法规的规定，建立健全数据安全管理制度，保障政务数据安全。根据《数据安全法》的要求，政务云的安全建设需要重点关注以下几个方面：（全国人民代表大会常务委员会，2021年8月20日通过）《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》（二）（三）应建立健全政务云数据安全管理制度，落实数据安全保护主体责任，保障政务数据安全。应构建统一规范、互联互通、安全可控的政务数据开放平台，按照国家规定推动政务数据开放利用。委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。132 合规指引3涉及处理个人信息的，应当遵守个人信息保护法的一般规定，合法收集和使用个人信息。不得公开其处理的个人信息，除非已取得个人单独同意。可以在合理范围内处理个人已公开的个人信息，但涉及个人重大权益的，应当取得个人同意。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，并且应当在处理前取得个人的单独同意，法律、行政法规规定应当取得书面同意的，从其规定。关键信息基础设施处理的个人信息应当在国内存储，确需向境外提供的，应当进行数据出境安全评估。存在向第三方提供个人信息情况的，如政务云服务方的个人信息是以告知-同意为基础，则应当在对外提供前，向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。134562《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）由全国人民代表大会常务委员会于 2021 年 8 月 20 日通过，自 2021 年 11月1日起施行。《个人信息保护法》明确提出“任何组织、个人不得非法收集、使用、加工、传输他人个人信息”，数字政府业务系统中往往承载着大量个人信息，需要采取有效的技术手段和管理措施来保证个人信息安全。根据《个人信息保护法》的要求，政务云的安全建设需要重点关注以下几个方面： 数字政府政务云建设网络安全法律风险4（全国人民代表大会常务委员会，2022年9月2日通过）《中华人民共和国反电信网络诈骗法》（以下简称《反电信网络诈骗法》）由全国人民代表大会常务委员会于 2022年9月2日通过，自2022年12月1日起施行。《反电信网络诈骗法》强调预防、遏制和惩治电信网络诈骗活动的工作，要求地方各级人民政府组织领导本行政区域内反电信网络诈骗工作，确定反电信网络诈骗目标任务和工作机制，开展综合治理。根据《反电信网络诈骗法》的要求，政务云的安全建设需要重点关注以下几个方面：（国务院，2021年8月17日发布）《关键信息基础设施安全保护条例》（以下简称《条例》）由国务院于 2021年8月17日发布，自2021年9月1日起施行。《条例》明确指出电子《中华人民共和国反电信网络诈骗法》《关键信息基础设施安全保护条例》（四）（五）不得为他人针对境内实施电信网络诈骗活动提供帮助。应推进反制技术措施研发、推进涉电信网络诈骗样本信息数据共享，加强涉诈用户信息交叉核验，建立有关涉诈异常信息、活动的监测识别、动态封堵和处置机制。应承担风险防控责任，建立反电信网络诈骗内部控制机制和安全责任制度，加强涉诈风险安全评估。132 合规指引5应当建立健全网络安全保护制度和责任制，保障人力、财力、物力的投入。设立专业安全管理机构，履行相应的安全保护职责。发生重大网络安全事件或者发现重大网络安全威胁时，关键信息基础设施运营者应当按照有关规定向保护工作部门、公安机关报告。应当自行或者委托网络安全服务机构每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。采购网络产品和服务，应当按照国家