6月1日,《中华人民共和国网络安全法》(后称 “网安法”),作为我国网络安全的基本法,正式实施2周年了。从2017年6月1日起,在这正式生效的这2年中,网络安全相关配套政策法规逐渐完善,各执法机关也进一步加强了日常监管巡查,启动了多项专项活动对网络空间的非法、违规行为进行整治,成效显著。
借网安法生效2周年之际,ATLAS Academy 对过去一年多的网络安全合规态势进行回顾,也将结合目前的现状和发展趋势对未来进行展望,形成了《2019年网络合规态势回顾与展望》报告。本文将摘取部分内容与大家进行分享。
1. 浅析
国内外网络空间安全态势
近一年多来,国际网络空间格局发生了重大变化,而国内网络安全威胁也暗涌不断,态势复杂而严峻。无论从国际形势,还是国内现状,都影响着我国网络安全合规的关注重点和发展态势。
国际形势:
1. 网络空间早已成为新的作战平台,全球各国在体系战略布局层面动作不断。在2018年至2019年,多个国家从国家体系战略、实战力量建设层面对网络空间安全进行了强调和新策略的部署。美国的新版《网络安全战略》,相比往年新增了许多网络安全相关篇幅,并将中国、俄罗斯、伊朗和朝鲜并列为其网络空间的主要对手。同时,加拿大、澳大利亚、新西兰、日本等国家地区也均发布或更新了网络空间战略。种种迹象显示,网络空间的对抗已不可避免。
2. “数据保护潮”势不可挡,个人信息保护立法逐渐完善。2018年既是数据保护元年,又是数据泄露的灰色之年。受欧盟《通用数据保护条例》的影响,个人隐私的保护已引起了各国政府和民众的高度重视,不少国家和地区都逐步加强了数据保护的法律监管措施。截至2018年底,全球已有近120个国家和独立的司法管辖区采用了全面的数据保护或隐私法律来保护个人数据,另有近40个国家和司法管辖区存在有待批准的此类法案或倡议。我们列举了2018年部分数据保护相关政策法规,如下图:
3. 网络攻击已不仅仅是网络空间的技术行为,已成为国际政治博弈的一种方式: 除了部分黑客自发的攻击行为以及少数有组织的网络经济犯罪行为,当前很多有组织的攻击行动最终是为了实现某些政治目标,甚至会影响到国际关系。如今年3月份委内瑞拉发生了全境大面积断电事件,造成该国居民日常生活面临困境,国家接近崩溃,该国将该事件归咎于美国精心策划的网络攻击。
国内现状:
1. 随着中美贸易战的蔓延,科技主导权的争夺不断升级:美国对中国科技领域的重重遏制行为在近期轮番登场,加征关税、技术封锁甚至学术交流中断等,这都将极大影响到中国在高新科技产业及其供应链上的政策和发展。为了应对美国的高压威慑,进一步增强关键信息基础设施的安全性,提高科技供应链条上的自主可控,成为一个必然的趋势。
2. 随着信息化的不断推进,国内关键信息基础设施面临着严峻的网络安全威胁:据国家互联网应急中心CNCERT的数据,2018年全年捕获计算机恶意程序样本数量超过1亿个。这一年来,我国的政府机构或关键信息基础设施多次成为境外黑客组织的目标。如在2019年3月11日,境外某黑客组织对我国有关政府部门和医院机构开展勒索病毒邮件攻击,多个政府单位和企业收到邮件如下:
邮件主题:你必须在3月11日下午3点向警察局报到!
发件人:Min,GapRyong(有报告称还有其他假冒发件人约70余个)
邮件附件名:03-11-19.rar
3. 新兴科技的应用和推广对网络安全监管领域提出了更严格的要求:区块链、机器人自动化(Robotic process automation, RPA)、人工智能(AI)、5G等技术从概念到落地,为国家、企业和个人带来便利与发展机遇的同时,也带来了更多的安全威胁。如不安全的IoT接口可能导致关键数据和基础设施的非授权暴露;AI应用过程中恶意的目的将导致现有威胁的增加、变质,以及新威胁的引入;大数据的应用让隐私保护和公民权益面临严重威胁,如大数据杀熟等。
2. 回顾
网安法实施2周年立法与执法
近一年来,网络安全法配套制度的建设和执法行动全面铺开,多管齐下,网络信息安全也成为了监管执法的重点。
网络安全相关配套制度文件的梳理(2018年6月至2019年5月)
国家各部门,包括国家互联网信息办公室、工业和信息化部、公安部、信息安全标准化委员、各行业监管部门等,已出台或正在制定一系列重要的配套规定,这些配套规定各有偏重,对各领域的监管要求和执行方式进行了细化。我们梳理了部分政策文件如下:
各部门的行政监督执法活动相当活跃,“网络信息安全”是一大关注点
从2018年6月至2019年5月,各部门开展了多个专项活动,如 “剑网2018”、第二次隐私条款专项工作、App违法违规收集使用个人信息专项治理、“净网2019” 等,旨在净化网络空间、排除网络安全风险隐患、提升网络运营者对个人信息保护的意识和能力。
行政执法处罚案例的分析 (2018年1月至2019年5月)
通过对2018年1月至今的行政执法处罚案例的梳理和分析,我们发现违反网络信息发布管理、网络安全运行及个人信息保护义务的执法案例明显高于其他执法依据的案例;从时间维度看,2019年至今发生的行政执法案例较于2018年更加集中在网络安全等级保护和个人信息保护领域。
从处罚措施进行分析,最主要的处罚措施为责令整改,占据了55%;紧接着是罚款和约谈,其中对未按要求管理用户发布信息的几家科技公司罚款较重,分别给予了两个50万的 “最高罚” 以及一个 “从重罚”;而约谈更多针对一些未产生严重后果但存在较大安全风险而引发市场关注的不合规行为。
3. 展望
网络安全合规趋势和新动态
网安法实施2年以来,出台了许多配套立法和规定,但有很多仍处于制定或讨论过程中;我国的关键信息基础设施面临着较大的安全威胁,公民的个人权益保护意识逐渐增强;加之全球网络安全格局日益严峻,国家之间对抗与较量不断升级。基于对当前现状和形势的分析,我们对未来的网络安全合规趋势和新动态提出了以下展望:
1. 受到国内外政治形势的发展和变化趋势的推动,为维护国家政治安全和社会稳定,相应政策法规逐步发布、落地:2019年5月24日,《网络安全审查办法(征求意见稿)》零点出台,强调“提高关键信息基础设施安全可控水平,维护国家安全”;2019年5月28日,网信办再次零点出台《数据安全管理办法(征求意见稿)》,提出“网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准”,强调了跨境数据评估及批准。随着国内外政治形式的变化,想必更多维护国家网络空间主权、提高关键信息基础设施安全可控水平、保障公民个人信息保护权益的政策法规会进一步出台。
2. 国家标准的研制、修订和验证将集中在数据安全、个人信息保护、关键信息基础设施保护和前沿技术领域:根据《信息安全标准化技术委员会2019年工作重点》,我们可关注三个方面的工作:重点标准研制修订,前沿技术标准研究和标准验证宣传和推广,其中“数据安全和个人信息保护”在这三方面的工作中都占有一席之地。如网络安全实践指南的制定中强调了“围绕移动互联网应用程序安全、个性化定向推送、网络信息自动化采集等有关个人信息保护和数据安全主题”。
3. 关键行业(如医疗、金融、交通等)将出台更多行业监管细则以提升立法和执法的有效性:随着网安法配套文件的逐渐出台,关键行业的监管部门需要出台实施细则以指导企业的具体实践。新兴技术(如大数据、AI、VR、IoT等)在关键行业的推广和使用,将促使监管部门加快标准的制定和更新,以适应新的业务使用场景。如在2019年4月16日,中国人民银行发布的2019年规章制定工作计划,将在今年修订/制定12项规章,其中个人金融信息保护、客户身份识别、消费者权益保护等相关法律法规备受关注,包括《个人金融信息(数据)保护试行办法》《中国人民银行金融消费者权益保护实施办法》。
4. 个人信息保护和数据安全已提上立法议程,与之相关的监管行动将不断延续,执法力度持续加强:2018月9月7日,全国人大常委会发布了《十三届全国人大常委会立法规划》,将《个人信息保护法》和《数据安全法》纳入一类项目(需要抓紧工作、条件成熟时提请审议的法律草案)。而就在昨日(2019年5月31日),网信办发布了《儿童个人信息网络保护规定(征求意见稿)》,规范收集使用儿童个人信息等行为,保护儿童合法权益。由于个人信息的窃取已成为各类犯罪产业链的上游支柱,依托个人信息实施的网络诈骗也层出不穷,多地警方在 “净网2019” 专项行动中,均会加大对各类网络违法犯罪的打击力度。
5. 网络安全等级保护(等保2.0)的正式实施将加强各地公安机关和主管部门的检查和指导,以推进新标准的过渡和实践:等保2.0引入了多个新概念,今后可能会出台更多细则以进行实施落地的支撑,如在编的《信息安全技术 信息系统密码应用基本要求》,征求意见中的《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》。同时,鉴于等保2.0将在2019年12月1日方正式生效,在此之前,等保测评工作可能会有不同版本(等保1.0和等保2.0)的交叉过渡,企业在预评估、备案、整改过程重点应考虑等保2.0的安全要求,增强企业主动防御的能力。
6. 网络安全和数据保护责任制的强调,将极大促进不同类型的企业在资源(人力、财务等)的投入:比如,在 2019年3月7日,国务院国有资产监督管理委员会发布了新版《中央企业负责人经营业绩考核办法》。新的考核办法中增加了对网络安全事件的考核要求,将极大的增强相关企业负责人的网络安全意识并增加网络安全相关的投入,为《网络安全法》的贯彻落实提供支撑。
以上是我们对过去一年网络安全合规的回顾与展望。可以看到,无论从立法层面还是执法层面,都有了更多的细则以指导相关机构、企业及个人的实践。我们也看到,在过去一年里,众多企业也极为重视网络安全合规工作,在不同程度上开展了网络安全合规的评估、建设、落地实施的工作,包括网安法的合规差异分析、个人信息保护合规分析、信息系统等级保护、应急响应机制建设和演练等。我们相信,在接下来的一年中,会有越来越多的企业在网络安全合规和隐私保护方面有更多的关注和行动!
文章来源于微信公众号: