2019年网络安全立法和执法状态总结
一、《网络安全法》配套法规完善
- 等保2.0:2019年12月1日,《GB/T 22239-2019信息安全技术 网络安全等级保护基本要求》、《GB/T 28448-2019信息安全技术 网络安全等级保护测评要求》和《GB/T 25070-2019信息安全技术 网络安全等级保护安全设计技术要求》三个国家标准正式生效,标志着“等保2.0”制度体系完成实质性构建。
- 个人信息安全规范:2018年5月《GB/T 35273-2017信息安全技术个人信息安全规范》正式实施。2019年进行了多次调整,以适应大数据时代的新技术应用场景。
- 个人信息出境安全评估办法:2019年《个人信息出境安全评估办法(征求意见稿)》发布,打破了2017年的立法框架,推动了个人信息和重要数据分开管理。
- 网络安全审查办法:2019年《网络安全审查办法(征求意见稿)》发布,重点关注关键信息基础设施运营者(CIIO)采购网络产品和服务的审查。
- 儿童个人信息保护规定:2019年《儿童个人信息网络保护规定》出台,明确面向未成年人尤其是在校学生的个人信息收集行为。
二、网安执法运动
- App个人信息保护:中央网信办、工信部、公安部、市场监管总局四部委在2019年1月至12月期间开展了App违法违规收集使用个人信息专项治理行动。
- App用户权益执法行动:2019年11月,工信部主导的“App用户权益执法行动”被视为对全年App执法检查工作的年度考核。
- 网络安全执法检查:公安部部署了网络安全执法检查工作,重点检查国家关键信息基础设施、重要信息系统和大数据应用系统。
- 净网行动:各地网警支队陆续公布行政执法案例,为企业网安合规工作划定实务“红线”。
三、密码产品管理
- 密码法:2019年10月26日,《中华人民共和国密码法》发布并将于2020年1月1日正式施行。
- 放管措施:《密码法》从立法层面取消了商用密码产品生产单位审批、销售单位许可等审批,但监管重点转向“管产品”,如增强CIIO的商用密码应用安全性评估和国家安全审查。
四、数据爬取业务
- 刑事风险:2019年9月以来,公安部门加大对大数据服务公司的执法力度,部分数据服务提供商面临警方调查,高管人员被要求协助调查。
- 合规风险:数据爬虫技术的使用边界问题、数据源合规、用户授权获取、合法对外提供个人金融信息等常见合规问题值得关注。
五、行业标准及指南构建
- 互联网个人信息安全保护指南:2019年4月10日,公安部网络安全保卫局发布了《互联网个人信息安全保护指南》,为企业提供更全面的数据合规指引。
- App安全认证及合规管理:国家认证认可监督管理委员会、全国信息安全标准化技术委员会和国家标准化委员会分别发布了多项App安全认证及数据合规管理的标准和指南。
