目录

2022年网安政策标准汇总

一月

  • 2022年1月,国务院《“十四五”数字经济发展规划》,部署了八项重点任务,在数字经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,系统阐述了网络安全对于数字经济的独特作用及重要性。

二月

  • 2月15日,由国家网信办、国家发展改革委等13部门修订的《网络安全审查办法》正式实施,修订后的《办法》不仅增加了网络平台运营者,还增加了多项数据安全相关条文,对数据安全的重视程度更高、覆盖对象的范围更广、审查指标更加量化。

三月

  • 3月1日,工信部等四部门联合发布的《互联网信息服务算法推荐管理规定》正式实施,《规定》明确,事前监管,确立算法备案、算法评估等制度;区分监管,确立分级分类的思路;系统监管,建立多元共治的局面。
  • 3月14日,国家互联网信息办公室就《未成年人网络保护条例(征求意见稿)》再次公开征求意见。征求意见稿提出,网络产品和服务提供者应当建立健全防沉迷制度,不得向未成年人提供诱导其沉迷的产品和服务。

四月

  • 4月29日,中国证监会就《证券期货业网络安全管理办法(征求意见稿)》公开征求意见,《办法》对证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面提出了要求,规定了核心机构和经营机构应当依法履行网络安全保护义务。
  • 2021年4月26日,工业和信息化部发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》。《征求意见稿》对App开发运营者、App分发平台、App第三方服务提供者、移动智能终端生产企业、网络接入服务提供者提出了一系列在个人信息的收集、存储、使用、加工、传输过程中的相应要求,同时也明确了相应的整改期限和责任。

五月

  • 5月11日,国家药监局发布《药品监管网络安全与信息化建设“十四五”规划》(国药监综〔2022〕23号),《规划》提出五项重点任务,其中一项为夯实网络安全综合保障能力。要求健全网络安全管理制度,建立网络安全责任体系,落实网络安全管理主体责任,升级信息系统安全建设、安全测评、容灾备份等保障措施,完善电子政务内网和外网管理,构建全方位、多层次的安全防护体系。
  • 5月26日,全国信息安全标准化技术委员会发布了《信息安全技术 互联网平台及产品服务隐私协议要求》的征求意见稿。该要求规定了互联网平台及产品服务隐私协议编制程序、具体内容、发布形式,增加隐私协议的可读性、透明性,以及处理隐私协议相关的争议纠纷等方面的要求。

六月

  • 6月5日,市场监管总局、网信办公开发布《关于开展数据安全管理认证工作的公告》(2022年第18号)及《数据安全管理认证实施规则》,《公告》鼓励网络运营者通过认证方式规范网络数据处理活动(数据收集、存储、使用、加工、传输、提供、公开等),加强网络数据安全保护。其认证依据为GB/T 41479-2022《信息安全技术 网络数据处理安全要求》及相关标准规范。
  • 6月13日,全国信息安全标准化技术委员会发布了《信息安全技术 移动智能终端的移动互联网应用程序 (App) 个人信息处理活动管理指南(征求意见稿)》,提出移动智能终端的个人信息安全管理措施,增强 App 处理个人信息行为明示程度,为 App 用户提供更多个人信息保护控制机制,以加强移动终端操作系统上运行的移动互联网应用程序的个人信息安全。
  • 6月14日,网信办发布新修订的《移动互联网应用程序信息服务管理规定》,《规定》要求应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。
  • 6月17日,全国信息安全标准化技术委员会发布国家标准《信息安全技术 应用商店的移动互联网应用程序(App)个人信息处理规范性审核与管理指南》并公开征求意见。该文件给出了应用商店运营者对App个人信息处理活动的审核与管理指南,适用于指导应用商店运营者审核管理App个人信息处理活动,也适用于第三方机构对应用商店运营者审核管理App个人信息处理活动的能力进行审查和评估。
  • 6月24日,全国信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。指南依据有关政策法规要求,为落实《个人信息保护法》建立个人信息保护认证制度提供认证依据。申请个人信息保护认证的个人信息处理者应当符合GB/T 35273《信息安全技术 个人信息安全规范》的要求;对于开展跨境处理活动的个人信息处理者,还必须符合本指南的要求。
  • 6月27日,网信办发布《互联网用户账号信息管理规定》(国家互联网信息办公室令 第10号),《规定》要求互联网信息服务提供者应当履行互联网用户账号信息管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全并严格落实身份信息认证、账号信息核验、应急处置、个人信息保护等管理制度。依法保护和处理互联网用户账号信息中的个人信息,并采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失。
  • 6月30日,网信办就《个人信息出境标准合同规定(征求意见稿)》公开征求意见,《规定》明确个人信息处理者向境外提供个人信息的应当依据标准合同开展个人信息出境活动,依法保障个人信息有序自由流动。要求个人信息处理者事前开展个人信息保护影响评估,重点评估内容包括出境的目的、必要性等,以及个人信息出境可能对个人信息权益带来的风险和个人信息出境后泄露、损毁、篡改、滥用的风险等。

七月

  • 2022年7月,国家互联网信息办公室《数据出境安全评估办法》,明确了适用对象、规定应当申报数据出境安全评估的情形、提出了数据出境安全评估的具体要求。
  • 7月11日,国家标准GB/T 41574-2022《信息技术 安全技术 公有云中个人信息保护实践指南》发布,本标准给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081基础上给出了公有云中的个人信息保护指南,并且本标准应与GB/T 22080结合使用,其中给出的额外控制措施作为实施基于GB/T 22080的信息安全管理体系的组成部分。
  • 7月14日,国务院办公厅发布关于印发《国务院2022年度立法工作计划》的通知。其中,由网信办组织起草的《网络数据安全管理条例》和《未成年人网络保护条例》被列入2022年立法计划。
  • 7月29日,工业和信息化部网络安全产业发展中心正式发布由其牵头组织编制的《数据传输安全白皮书》,旨在为各界数据传输安全管理工作提供参考。
  • 7月14日,市场监管总局、国家密码管理局发布《商用密码产品认证目录(第二批)》,旨在贯彻落实《密码法》,进一步健全完善商用密码产品认证体系,更好满足商用密码产业发展需要。此次发布六类商用密码产品,分别是可信密码模块、智能IC卡密钥管理系统、云服务器密码机、随机数发生器、区块链密码模块、安全浏览器密码模块。

八月

  • 8月12日,国家互联网信息办公室发布《关于互联网信息服务算法备案信息的公告》。此次共发布30项经过备案的互联网信息服务算法信息,包括个性化推送类、检索过滤类、排序精选类、调度决策类、生成合成类五类算法类别,涉及新闻类、视频类、招聘类、浏览器、办公软件等应用产品。
  • 8月31日,国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。

九月

  • 9月8日,中国网络安全产业联盟(CCIA)数据安全工作委员会发布其制定的《数据安全和个人信息保护社会责任指南(征求意见稿)》,其旨在帮助组织在遵守法律法规和基本道德规范的基础上实现更高的组织社会价值,最大限度地致力于可持续发展。
  • 9月14日,国家互联网信息办公室发布关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》意见的通知。为做好《中华人民共和国网络安全法》与新实施的法律之间衔接协调,完善法律责任制度,进一步保障网络安全,拟对其作四方面的修改。
  • 9月14日,全国信息安全标准化技术委员会归口的国家标准《信息安全技术网络数据分类分级要求》征求意见稿发布。《标准》进一步明确了数据分类分级框架和考虑要素,细化了分类分级工作的参考规则和实施流程,对行业领域数据和个人信息分类分级等具体工作提供了指引,是数据分类分级保护制度的进一步落地。
  • 9月27日,全国信息安全标准化技术委员会《信息安全技术 网络安全众测服务要求》(征求意见稿),面向社会征求意见。《众测要求》确立了网络安全众测服务的角色及其职责,描述了服务流程,规定了服务要求,众测需求方、众测组织方、授权测试方和众测审计方开展网络安全众测服务时使用。
  • 9月28日,全国信息安全标准化技术委员会发布了《信息安全技术 网络安全信息报送指南(征求意见稿)》。《报送指南》描述了网络安全信息报送的信息类型、要素、格式规范,以及网络安全信息报送活动的参与角色、基本流程、报送方式;为网络安全信息报送活动中的各参与角色提供参考。
  • 9月30日,由国家互联网信息办公室、工业和信息化部、国家市场监督管理总局联合发布的《互联网弹窗信息推送服务管理规定》正式实施,《规定》明确提供互联网弹窗信息推送服务的应当遵守9项要求。

十月

  • 10月12日,国家市场监督管理总局(国家标准化管理委员会)发布公告,批准2项国家标准。其中,《信息安全技术 关键信息基础设施安全保护要求》作为2021年9月1日《关键信息基础设施安全保护条例》正式发布后的第一个关基标准,将于2023年5月1日实施。《信息安全技术 关键信息基础设施安全保护要求》规定了关键信息基础设施运营者在识别分析、安全防护、检测评估、监测预警、主动防御、事件处置等方面的安全要求。

十一月

  • 11月1日,《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求(GB/T 41391-2022)》正式实施,标准给出了39种常见类型App必要个人信息范围和使用要求,提出了12种特定类型个人信息的收集要求,并将App收集个人信息的要求细化为7个主要方面:最小必要收集、必要个人信息、特定类型个人信息收集要求、告知同意、系统权限、第三方收集管理。

十二月

  • 12月1日,《中华人民共和国反电信网络诈骗法》正式施行。该法是一部从根本上、制度上预防、遏制和惩治电信网络诈骗活动,将全方位筑劳反电信网络诈骗法治防火墙。
  • 12月15日,国家互联网信息办公室发布新修订的《互联网跟帖评论服务管理规定》正式实施,新《规定》旨在加强对互联网跟帖评论服务的规范管理,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进互联网跟帖评论服务健康发展。

https://dappstore.tongfudun.com/#/poster/13

文章来自:https://www.freebuf.com/