1、 主办单位:主办单位:公安部第三研究所网络安全法律研究中心 联合主办:联合主办:北京网络空间安全协会网安联发展工作委员会 协办单位:协办单位:网安联认证中心 技术支持:技术支持:北京关键信息基础设施安全保护中心 广东关键信息基础设施保护中心 顾顾 问:问:严 明 公安部第一、第三研究所 原所长、研究员 中国计算机学会计算机安全专业委员会 荣誉主任 指导专家:指导专家:袁旭阳 北京网络行业协会 会长 总总 编编 辑:辑:黄道丽 公安部第三研究所网络安全法律研究中心 主任 副总编辑:副总编辑:鲍 亮 公安部第三研究所网络安全技术研发中心 副主任 编委会主任:编委会主任:黄丽玲 北京网络空间安全协会
2、 理事长 编委会副主任:(排名不分先后)编委会副主任:(排名不分先后)林小博 北京网络空间安全协会 秘书长 朱方园 上海市信息安全行业协会 副秘书长 于永丰 辽宁省信息网络安全协会 秘书长 闫 东 辽宁省网络安全保障工作联盟 秘书长 孙甲子 黑龙江省网络安全协会 会长 吴晓文 安徽省计算机信息网络安全协会 刘长久 湖北省网络安全协会 副秘书长 邓庭波 湖南省网络空间安全协会 秘书长 林勇忠 广东省网络空间安全协会 党支部书记 冯 伟 广西网络安全协会 秘书长 李春报 海南省网络安全和信息化信协会 常务副理事长 戴 勇 贵州省网络安全和信息化协会 常务副秘书长 孙大跃 陕西省信息网络安全协会 会
3、长 卢建宙 甘肃省商用密码行业协会 会长 郑 方 甘肃烽侦网络安全研究院 院长 李学锋 新疆维吾尔自治区互联网协会 秘书长 胡俊涛 郑州市网络安全协会 秘书长 乔 奇 武汉市网络安全协会 副秘书长 樊建功 南昌市网络信息安全协会 会长 王胜军 南宁市信息网络安全协会 会长 邓开旭 成都信息网络安全协会 副秘书长 陈建设 贵阳市信息网络协会 秘书长 杨建东 昆明市网络安全协会 秘书长 沈 泓 宁波市计算机信息网络安全协会 秘书长 卜庆亚 徐州市网络安全协会 理事长 孙 逊 佛山市信息协会 秘书长 谢照光 惠州市计算机信息网络安全协 会长 程 谦 河源市网络空间安全协会 秘书长 孔德剑 曲靖市网络
4、安全协会 会长 贾辉民 榆林市网络安全协会 会长 编委会委员:(排名不分先后)编委会委员:(排名不分先后)黄汝锡 广东关键信息基础设施保护中心 党支部专职副书记 方满意 广东网络空间安全协会副会长 王 嫣 上海市信息网络安全管理协会 部长 贺 锋 广东中证声像资料司法鉴定所 主任 成珍苑 网安联认证中心 副主任 黎明瑶 广东新兴国家网络安全和信息化发展研究院 研究员 陈菊珍 广东计安信息网络培训中心 黄丽佳 揭阳网络空间安全协会 秘书长 编辑部主任:编辑部主任:梁思雨 编编 辑辑 部:部:何治乐 胡文华 王彩玉 王明一 胡柯洋 李培刚 薛 波 孙翊伦 林 晴 徐瑞雪 发行部主任:发行部主任:周
5、贵招 发发 行行 部:部:林永健 张 彦 高梓源 声明:声明:本刊定位于网络与数据安全前沿动态梳理,侧重全面跟踪、及时掌握,如需针对特定领域或前沿动态进行针对性专题研究,请将需求发送至 。1 目目 录录 境内前沿观察一:政策立法境内前沿观察一:政策立法 .6 6 (一)国家层面动向.8 1.保守国家秘密法正式修订通过,完善网络信息、数据保密管理.8 2.国务院印发关于进一步规范和监督罚款设定与实施的指导意见.9(二)部委层面动向.9 1.中央网信办等四部门联合印发2024 年提升全民数字素养与技能工作要点.9 2.工信部印发工业领域数据安全能力提升实施方案(2024-2026年).10 3.国
6、家邮政局发布寄递服务用户个人信息安全管理办法(征求意见稿).11 4.自然资源部印发自然资源数字化治理能力提升总体方案,要求统筹信息化高质量发展与安全.12 5.财政部发布关于加强行政事业单位数据资产管理的通知 12 6.全国信安标委发布 信息安全技术 云计算服务安全能力评估方法(征求意见稿).13 7.网络安全技术 生成式人工智能服务安全基本要求等 17 项网络安全国家标准项目立项.14(三)地方层面动向.14 2 1.上海市印发 上海市落实的实施方案:探索开展公共数据开发利用.14 2.临港新片区管委会印发中国(上海)自由贸易试验区临港新片区公共数据管理办法.15 3.临港新片区管委会印发
7、中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行).16 4.天津市商务局、自贸试验区管委会印发中国(天津)自由贸易试验区企业数据分类分级标准规范.17 5.北京市发布北京市关于进一步优化外商投资环境加大吸引外商投资力度的若干措施,试点探索便利化数据跨境流动安全管理机制.18 6.贵州省大数据发展管理局印发 贵州算力券管理办法(试行).18 境内前沿观察二:治理实践境内前沿观察二:治理实践 .2020 (一)公安机关治理实践.22 1.广州 20 万网约车司机信息遭公开售卖,犯罪嫌疑人已被警方控制.22 2.北京网警通报 5 起网络安全行政处罚案例.23 3.陕西西安、香
8、港警方破获两起“AI 换脸”诈骗案.24(二)网信部门治理实践.25 1.浙江省网信办公布 2023 年执法工作成效.25 2.上海市网信办公布 2023 年执法工作成效.26 3 3.因误导消费者“入会”索要手机号,上海市网信办约谈餐饮连锁企业“半天妖烤鱼”.27 4.因存在系统漏洞和弱口令,重庆市涪陵区网信办依法约谈某区级行业主管部门及行业相关单位.28 5.因存在弱口令漏洞,重庆市高新区网信办联合多部门约谈属地某公司负责人.29 6.因连续出现网站网页被篡改等网络安全问题,重庆市北碚区网信办依法约谈某区级部门.29 7.因多家单位存在弱口令漏洞问题,重庆市秀山县网信办依法约谈某行业单位.
9、30 8.因未履行网络安全保护义务等,江西省南昌市网信办对属地某连锁超市作出行政处罚.30(三)通信管理部门治理实践.31 1.多地通信管理局提示:4 月 1 日起未备案 App 将下架关停.31 2.多地通信管理局通报问题 App.32 3.上海市通信管理局:已建立本市首批电信领域重要数据目录 34(四)其他部门治理实践.34 1.国家数据局等四部门联合开展全国数据资源调查.34 2.多地成立省级数据局.35 3.最高检:当前网络犯罪呈多发高发态势.37 4.最高检印发第五十批指导性案例,含一起利用网络侵犯公民个人信息案.37 4 5.财政部:推动数据资产开发利用,鼓励依法依规推进公共数据资
10、产有效供给.38 境外前沿观察:月度速览十则境外前沿观察:月度速览十则 .4040 1.美国白宫发布行政令,加强港口、船舶、海滨设施网络安全保护.41 2.美国白宫发布行政令,限制向中国传输特定类型数据.41 3.美国拟对内嵌中国信息通信技术或服务的智能网联汽车启动国家安全审查.42 4.克罗地亚网络安全法施行,强化网络安全关键和重要实体风险管控.43 5.日本公布负责任的人工智能促进基本法案(暂定).43 6.欧盟就选举过程中超大型在线平台和超大型在线搜索引擎提供者应遵循的系统性风险缓解指南(草案)公开征求意见.44 7.全球多家科技企业签署协议,承诺打击滥用人工智能干扰 2024年选举.4
11、5 8.因网络攻击,马拉维移民局暂停护照服务.45 9.2024 年以来已有约 5 亿条俄罗斯人记录被泄露.46 10.加拿大皇家骑警遭受网络攻击.46 行业前沿观察一:中央网信办部署开展行业前沿观察一:中央网信办部署开展 20242024 年“清朗”系列专项行动、年“清朗”系列专项行动、中央网信办等中央网信办等 1111 部门联合印发 关于开展第二批国家数字乡村试点工作的部门联合印发 关于开展第二批国家数字乡村试点工作的通知通知 、国安部解读网络安全法亮点、国安部解读网络安全法亮点、20232023“安满周”“安满周”4 4 月中旬全国线上月中旬全国线上线下同步举办线下同步举办 .4747
12、1.中央网信办部署开展 2024 年“清朗”系列专项行动.49 5 2.中央网信办等 11 部门联合印发关于开展第二批国家数字乡村试点工作的通知.52 3.明确对关键信息基础设施重点保护,国安部解读网络安全法亮点.54 4.2023安满周4 月中旬全国线上线下同步举办 亮点纷呈.67 行业前沿观察二:各地协会动态行业前沿观察二:各地协会动态 .6161 1.多家网安联成员单位协会参与黑猫投诉联合各地公检法特别策划“法制赋能 315”普法活动.62 2.湖北省信息网络安全协会组织 2024 年网络安全管理员第一期考试.63 3.江苏省信息网络安全协会走访江苏省国信数字科技有限公司,探索会企共建新
13、机制.63 4.上海市信息安全行业协会成功举办 2024 上海网络安全产业创新大会数据安全产业创新论坛.64 5.携手奋进 共赢未来“第三届广东信创大赛”融企对接会(第一场)召开.65 6.徐州网络公共安防技术协会召开工业互联网信息安全工作贯标与分级分类战略分析座谈会.67 7.佛山市信息协会承办“2024 年佛山市中小企业服务机构宣贯服务活动(第一期).68 6 境内前沿观察一:政策立法境内前沿观察一:政策立法 导读:2 月,修订后的保守国家秘密法正式通过。此次修订高度重视涉密信息系统、涉密数据、网络信息保密管理等方面,要求涉密信息系统规划、建设、运行、维护全流程应当符合国家保密规定和标准,
14、并配备保密设施、设备,明确涉密信息系统定期风险评估要求,避免 带病运行。国务院印发关于进一步规范和监督罚款设定与实施的指导意见,指出行政执法工作面广量大,一头连着政府,一头连着群众,直接关系群众对党和政府的信任、对法治的信心。就网络执法而言,网络安全法 数据安全法 个人信息保护法均规定了罚款这一行政处罚类型,个人信息保护法更加将罚款数额与个人信息处理者上一年度营业额相挂钩,赋予包括公安机关在内的执法部门较大的自由裁量权。因此,严格监督罚款的实施十分重要,指导意见要求严格按照法律规定和违法事实实施罚款,不得随意给予顶格罚款或者高额罚款,不得随意降低对违法行为的认定门槛,不得随意扩大违法行为的范围
15、。其中,临港新片区管委会印发的中国(上海)自由贸易试验区临港新片区公共数据管理办法中规定公共数据授权运营管理部门严格按照原始数据不出域,数据可用不可见要求,在保护个人隐私和确保公共数据安全前提下,开展公共数据授权运营。天津市商务局、自贸试验区管委会印发的 中国(天津)自由贸易试验区企业数据分类分级标准规范中给出重要数据识别标准,天津自贸试验区企业掌握的 1000 万人以上个人 7 信息/100 万人以上个人敏感信息/被国家认定为关键信息基础设施的运营者掌握的个人信息等应识别为重要数据。此外,贵州省大数据发展管理局印发 贵州算力券管理办法(试行)。具体来说,贵州算力券是一种政策工具和数字化凭证,
16、将用于支持省内外企业、高校、科研机构等购买贵州算力服务时抵扣一定比例服务费用。关键词:保守国家秘密法、罚款、公共数据开放利用、数据分类分级、算力券 8(一)(一)国家层面动向国家层面动向 1.保守国家秘密法正式修订通过,完善网络信息、数据保密管理 2 月 27 日,第十四届全国人民代表大会常务委员会第八次会议修订通过保守国家秘密法,自 2024 年 5 月 1 日起施行。此次修订高度重视保密科技创新和科技防护:一是新增条款支持保密科技创新;二是完善保密科技防护制度措施。一方面,规定涉密信息系统规划、建设、运行、维护全流程应当符合国家保密规定和标准,并配备保密设施、设备,明确涉密信息系统定期风险
17、评估要求,避免带病运行;另一方面,规定机关、单位加强对信息系统、信息设备的保密管理,建设保密自监管设施,及时发现并处置安全保密风险隐患;三是规范用于保护国家秘密的安全保密产品和保密技术装备管理。此次修订还进一步完善网络信息保密管理制度:一是明确网络信息的制作、复制、发布、传播等各个环节均应当遵守国家保密规定;二是规定网络运营者应当配合有关部门对涉嫌泄露国家秘密案件进行调查处理;发现利用互联网及其他公共信息网络发布的信息涉嫌泄露国家秘密的,应当及时处置报告,并根据要求删除涉及泄露国家秘密的信息,对有关设备进行技术处理等。此次修订还加强与数据安全法的协同衔接,新增涉密数据管理及汇聚、关联后涉及国家
18、秘密数据管理的原则规定。(来源:中国政府网)9 2.国务院印发关于进一步规范和监督罚款设定与实施的指导意见 2 月 9 日,国务院印发关于进一步规范和监督罚款设定与实施的指导意见,对行政法规、规章中罚款设定与实施作出全面系统规范。意见以 罚款设定更加科学,罚款实施更加规范,罚款监督更加有力,全面推进严格规范公正文明执法,企业和群众的满意度显著提升为主要目标,从依法科学设定罚款、严格规范罚款实施、全面强化罚款监督三方面提出十二项意见。具体来说,意见要求政府立法要严守罚款设定权限,科学适用过罚相当原则,新设罚款和确定罚款数额时,该宽则宽、当严则严,避免失衡;能够通过教育劝导、责令改正、信息披露等方
19、式管理的,一般不设定罚款。合理确定罚款数额,规定处以一定幅度的罚款时,罚款的最低数额与最高数额之间一般不超过 10 倍。任何行政机关都不得随意给予顶格罚款或者高额罚款,不得随意降低对违法行为的认定门槛,不得随意扩大违法行为的范围。制定罚款等处罚清单或者实施罚款时,要确保过罚相当、法理相融。坚持处罚与教育相结合。(来源:中国政府网)(二)(二)部委层面动向部委层面动向 1.中央网信办等四部门联合印发2024 年提升全民数字素养与技能工作要点 2 月 21 日消息,中央网信办、教育部、工信部、人力资源社会保障部联合印发2024 年提升全民数字素养与技能工作要点。10 工作要点部署 6 个方面 17
20、 项重点任务。一是培育高水平复合型数字人才,包括全面提升师生数字素养与技能、提高领导干部和公务员数字化履职能力、培育高水平数字工匠、培育乡村数字人才、壮大行业数字人才队伍;二是加快弥合数字鸿沟,包括建设数字无障碍环境、提供普惠包容的公益服务;三是支撑做强做优做大数字经济,包括加快企业数字化转型升级、扩展数字消费需求空间;四是拓展智慧便捷的数字生活场景,包括推动数字公共服务普惠高效、提升重点生活领域数字化水平;五是打造积极健康有序的网络空间,包括营造共建共享社会氛围、构建数字法治道德规范、维护安全有序数字环境;六是强化支撑保障和协调联动,包括完善协同支撑体系、加大优质数字资源供给、积极参与国际交
21、流合作。(来源:中国网信网)2.工信部印发工业领域数据安全能力提升实施方案(2024-2026年)2 月 23 日,工信部印发工业领域数据安全能力提升实施方案(2024-2026 年)。方案是指导未来三年工业领域数据安全工作的纲领性规划文件,以构建完善工业领域数据安全保障体系为主线,以落实企业主体责任为核心,以保护重要数据、提升监管能力、强化产业支撑等为重点,从总体要求、重点任务、保障措施三方面提出主要内容。重点任务方面,方案围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力,明确提出 11 项任务。其中,关于提升工业企业数据保护能力,提出增强安全意识、开展重要数据保护、强化重点
22、企业管理、深化重点场景保护 4 项任务;关于提升数据安全监管能力,提出完善政策标准、加强风险防控、推进技术手段建设、锻造监管执法能力 4 项任 11 务;关于提升数据安全产业支撑能力,提出加大技术产品和服务供给、促进应用推广和供需对接、健全人才培养体系 3 项任务。(来源:工信部)3.国家邮政局发布寄递服务用户个人信息安全管理办法(征求意见稿)2 月 1 日,国家邮政局发布寄递服务用户个人信息安全管理办法(征求意见稿)。征求意见稿共三十二条,对经营和使用寄递服务涉及用户个人信息安全的活动以及邮政管理部门监督管理工作作出规定。征求意见稿明确,除征得用户个人同意外,寄递企业保存用户个人信息的期限不
23、得超过收集之日起三年,法律、行政法规另有规定的,从其规定。保存期限届满,寄递企业应当主动删除用户个人信息。删除个人信息从技术上难以实现的,寄递企业应当停止除存储和采取必要的安全保护措施之外的处理。征求意见稿规定,寄递企业应当对用户个人信息依法进行去标识化处理。快递电子运单的去标识化应当考虑正常寄递服务的需求。寄递企业授权电商使用本企业的快递单号资源时,应当要求电商对快递电子运单中的个人信息执行去标识化。寄递企业应当与电商等第三方签订协议,明确去标识化执行主体、数据传输以及数据转化等相关事项。(来源:国家邮政局)12 4.自然资源部印发自然资源数字化治理能力提升总体方案,要求统筹信息化高质量发展
24、与安全 2 月 5 日,自然资源部印发 自然资源数字化治理能力提升总体方案,旨在推动自然资源整体治理数字化转型升级,高效保障两统一核心职责履行,切实提高政府履职能力、协同共享水平。总体方案聚焦六方面主要任务,分别是建设集约高效数字化基础设施、完善全域全周期数据要素体系、提高国土空间基础信息平台智能化水平、构建多维数字化应用场景、筑牢全方位安全体系、健全完善制度标准规范体系。数据要素方面,方案要求为数据驱动的业务规则重构、数据新型生产要素作用发挥、国土空间高效治理奠定基础。包括提升自然资源和国土空间变化态势感知能力,丰富一张图数据资源,推进数据汇聚治理融合,创新数据开放共享模式等。安全方面,方案
25、要求统筹信息化高质量发展与安全。包括增强网络安全保障能力,强化数据安全保护能力,健全密码应用保障体系、加强新技术新业态安全保护(云安全、算法安全、模型安全等)。(来源:中国政府网)5.财政部发布关于加强行政事业单位数据资产管理的通知 2 月 8 日,财政部发布 关于加强行政事业单位数据资产管理的通知。通知要求明晰管理责任,健全管理制度。各部门应当根据工作需要和实际情况,建立健全行政事业单位数据资产管理办法,针对数据资产确权、配置、使用、处置、收益、安全、保密等重点管理环节,细化管理要求,明确操作规程,确保管理规范、流程清晰、责任可查。13 通知要求规范管理行为,释放资产价值。加强数据资产源头管
26、理,在依法履职或提供公共服务过程中,应当按照规定的范围、方法、技术标准等进行自主采集、生产加工数据形成资产。通过购置方式配置数据资产的,应当按照预算管理规定科学配置,涉及政府采购的应当执行政府采购有关规定。依据数据安全法等规定,做好数据资产加工处理工作,提高数据资产质量和管理水平。积极推动数据资产开放共享,在确保公共安全和保护个人隐私的前提下,加强数据资产汇聚共享和开发开放,促进数据资产使用价值充分利用。通知要求严格防控风险,确保数据安全。各部门及其所属单位要认真贯彻总体国家安全观,严格遵守网络安全法、数据安全法、个人信息保护法等法律制度规定,落实网络安全等级保护制度,建立数据资产安全管理制度
27、和监测预警、应急处置机制,推进数据资产分类分级管理,把安全贯穿数据资产全生命周期管理,有效防范和化解各类数据资产安全风险,切实筑牢数据资产安全保障防线。各部门及其所属单位应当按规定做好国家数据安全风险评估。(来源:财政部)6.全国信安标委发布信息安全技术 云计算服务安全能力评估方法(征求意见稿)2 月 4 日,全国信安标委发布信息安全技术 云计算服务安全能力评估方法(征求意见稿)。征求意见稿规定依据GB/T 311682023信息安全技术 云计算服务安全能力要求,开展评估的原则、实施过程以及针对各项具体安全要求进行评估的方法。适用于第三方评估机构对云服务商提供云计算服务时具备的安全能力进行评估
28、,云服务商在对自身云计算服务安全能力进行自评估时也可参考。(来源:全国信安标委)14 7.网络安全技术 生成式人工智能服务安全基本要求等 17 项网络安全国家标准项目立项 2 月 6 日,全国网络安全标准化技术委员会发布通知,17 项网络安全国家标准项目立项,包括网络安全技术 生成式人工智能服务安全基本要求网络安全技术 软件物料清单数据格式网络安全技术 信息过滤产品技术规范网络安全技术 数据泄露防护产品技术规范等。(来源:全国网络安全标准化技术委员会)(三)(三)地方层面动向地方层面动向 1.上海市印发上海市落实的实施方案:探索开展公共数据开发利用 地方立法动向方面,数据仍是不变的热门话题。公
29、共数据的开放利用和安全管理、数据跨境流动、数据分类分级标准成为 2 月上海、天津两地自贸区立法活动的重要关注。2 月 3 日,上海市人民政府印发上海市落实全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案的实施方案。实施方案从加快服务贸易扩大开放,提升货物贸易自由化便利化水平,率先实施高标准数字贸易规则,加强风险防控体系建设等方面作出规定。加快服务贸易扩大开放方面,实施方案明确在国家数据跨境传输安全管理制度框架下,金融机构可以向境外传输日常经营所需的数据。金融机构开展数据出境工作,应按照数据分类分级管理及数据安全工作要求,开 15 展数据出境安全评估、个人信息保护
30、认证和个人信息出境标准合同备案,保证重要数据和个人信息的安全。率先实施高标准数字贸易规则方面,实施方案明确规范和促进数据跨境流动,探索建立合法安全便利的数据跨境流动机制,提升数据跨境流动便利性。通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等,便利数据处理者开展数据出境自评等数据出境安全合规工作。促进数据开放共享,鼓励公共数据在保护个人隐私和确保公共安全的前提下,按照原始数据不出域、数据可用不可见的要求,以模型、核验等产品和服务等形式向社会提供,探索开展公共数据开发利用,鼓励开发以数据集为基础的新产品和服务。(来源:上海市人民政府)2.临港新片区管委会印发中国
31、(上海)自由贸易试验区临港新片区公共数据管理办法 2 月 4 日,临港新片区管委会印发中国(上海)自由贸易试验区临港新片区公共数据管理办法,自 2024 年 3 月 5 日施行。管理办法共七章三十二条,围绕公共数据收集、登记、归集与治理,公共数据共享、开放与应用,公共数据授权运营及公共数据安全等方面作出规定。适用于公共数据的收集、登记、归集、治理、共享、开放、应用、授权运营及安全保障等公共数据全生命周期管理工作。其中,管理办法明确公共管理和服务机构应当合法、必要、适度地收集公共数据。可以通过共享方式获得公共数据的,应避免通过其他方式重复收集。公共数据授权运营管理部门严格按照原始数据不出域,数据
32、可用不可见要求,在保护个人隐私和确保公共数据安全前提下,开展公共数据授权运营。依托安全管控机制和安全服务产品,实施授权数据分类分 16 级管理,加强公共数据授权全流程安全管控。公共管理和服务机构按照谁管业务,谁管业务数据,谁管数据安全的原则明确重要岗位人员的数据安全责任和要求,签署数据安全责任书,并开展数据安全测评和风险评估,保障公共数据安全。(来源:上海市人民政府)3.临港新片区管委会印发中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)2 月 8 日,临港新片区管理委员会印发中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行),旨在进一步指导和帮助
33、数据处理者高效合规地开展数据跨境流动。办法共七章二十一条,主要围绕职责及分工、数据跨境分类分级管理、重要数据目录管理、一般数据清单管理、监督管理及违规处置作出规定。适用于在临港新片区范围内登记注册的,或在临港新片区开展数据跨境流动相关活动的企业、事业单位、机构协会和组织等数据处理者。办法明确,结合上海五个中心建设,围绕汽车、金融、航运、生物医药等重点领域以及临港新片区相关行业的发展要求,以跨境需求最迫切的典型场景为切入口,对跨境数据进行分类管理。按照数据安全法要求,跨境数据分级从高到低依次分为核心数据、重要数据、一般数据共 3个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般
34、数据清单。临港新片区管委会负责制定纳入数据出境安全评估管理范围的重要数据目录,并报相关部门备案。同时按照要求制定纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单,报经市委网络安全和信息化委员会批准后,报相关部门备案。数据处理者对重要 17 数据目录内的数据,可通过临港新片区数据跨境服务中心申报数据出境安全评估。(来源:临港新片区管理委员会)4.天津市商务局、自贸试验区管委会印发中国(天津)自由贸易试验区企业数据分类分级标准规范 2 月 5 日,天津市商务局、自贸试验区管委会印发中国(天津)自由贸易试验区企业数据分类分级标准规范,适用于天津自贸试验区内企业在生产经营
35、过程中产生、收集、存储、传输和处理的数据的分类分级。涉及国家秘密的数据、政务数据的分类分级不包含在规范适用范围之内。数据分类方面,标准规范将自贸试验区内企业在生产经营过程中收集、存储、使用、加工、传输、提供、公开的数据按照所属行业性质分类,依次分为三层,每个层级又分成若干类目管理。同一层级的类目构成并列关系,不同层级类目构成隶属关系。一层分类划分为战略物资和大宗商品类、自然资源和环境类、工业类、国防科技工业类、电信类、广电视听传媒类、金融类、交通运输类、卫生健康和食品药品类、公共安全类、互联网服务和电子商务类、科学技术类以及其他数据类共十三类。二层分类是在一层分类的基础上,将十三类数据细分为四
36、十个子类别。三层分类由数据处理者自行决定。数据分级方面,天津自贸试验区企业数据从高到低分为核心数据、重要数据、一般数据 3 个级别,同时明确重要数据识别标准。根据标准规范明确的统一识别规则,以下数据应识别为重要数据:(一)天津自贸试验区企业掌握的 1000 万人以上个人信息;100 万人以上个人敏感信息;10 万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息;(二)被国家认定为关键信息基础设施的运营者掌握的个人信息;(三)天津自贸试验区企业在研发设计过程、生产制造过 18 程、经营管理过程中收集和产生的与行业竞争力、行业生产安全相关的高价值敏感数据。涉及国家
37、安全的企业供应链相关数据;(四)天津自贸试验区企业掌握的关系国计民生领域的自动控制系统参数以及控制、运行维护、测试数据。(来源:天津市自贸试验区管委会)5.北京市发布北京市关于进一步优化外商投资环境加大吸引外商投资力度的若干措施,试点探索便利化数据跨境流动安全管理机制 2 月 7 日,北京市人民政府办公厅发布北京市关于进一步优化外商投资环境加大吸引外商投资力度的若干措施。文件围绕提高利用外资质量,保障外商投资企业国民待遇,持续加强外商投资保护,提高投资运营便利化水平,完善外商投资促进方式等方面作出规定。其中,文件明确要试点探索便利化数据跨境流动安全管理机制。落实网络安全法、数据安全法、个人信息
38、保护法等要求,持续完善绿色通道服务机制,进一步做好重点领域外商投资企业数据出境合规指导,为符合条件的外商投资企业提供数据跨境便利化服务,提升审核与备案效率。持续推进本市数据跨境安全与产业发展协同创新中心、跨国企业数据流通中心、数据治理与跨境服务中心等服务平台建设,提供数据跨境流动合规服务。分类分级开展数据出境安全管理,进一步优化数字营商环境。(来源:北京市人民政府办公厅)6.贵州省大数据发展管理局印发 贵州算力券管理办法(试行)2 月 19 日,贵州省大数据发展管理局印发贵州算力券管理办法(试行)。办法指出,贵州算力券是经贵州省人民政府批准,由贵州省大数 19 据发展管理局实施的一种政策工具和
39、数字化凭证,用于购买符合条件的贵州算力服务或贵州数据交易产品时,给予综合政策激励。办法规定,算力券包含现金券和实物券两种。需求方和提供方均可申领算力券,但算力提供方不得申领。同一业务只能一方申领。算力券仅限于申领方自己使用,不得转让、赠送、买卖、质押、出借、重复使用等。算力券有效期为 6 个月,自发放之日起计算,逾期未使用的算力券将自动作废。贵州省大数据发展管理局表示,算力券政策将推动算力产业发展,促进数据资源流通,带动相关产业链发展。通过加大对企业用算的支持,持续激发释放算力需求,牵引带动更多省内外企业使用贵州省算力,吸引更多的企业和机构选择在贵州进行算力投资和布局。(来源:贵州省大数据发展
40、管理局)20 境内前沿观察二:治理实践境内前沿观察二:治理实践 导读:2 月,最高人民检察院通报依法惩治网络犯罪、助力网络空间综合治理工作进展。据统计,2023 年 1 至 11 月,检察机关共起诉各类网络犯罪 28 万人,同比上升 35.5%,占全部刑事犯罪的 18.8%。最高检表示,网络犯罪不断滋生蔓延,网络诈骗、网络暴力、侵犯公民个人信息等犯罪升级演变。总的看,当前网络犯罪呈多发高发态势。国家数据局等四部门联合开展全国数据资源情况调查,调研各单位数据资源生产存储、流通交易、开发利用、安全等情况。调查对象包括各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能
41、技术企业、应用企业、数据交易所、国家实验室等单位。浙江省、上海市网信办公布 2023 年执法工作成效。行政指导、行政检查、行政约谈、行政告诫、行政处罚等已成为网络执法的重要方式。2023年,浙江全省网信部门累计对重点平台企业开展行政指导 300 余次、行政检查 160 余次。对于初次违法、情节轻微且无主观过错、及时改正的新生企业,分类采取行政约谈、行政告诫等柔性执法方式。上海市网信部门依据个人信息保护法对一批怠于履行个人信息保护义务的知名企业进行处罚,是地方网信办自主办理的首批系列行政处罚案件。多地通信管理局发布通知,明确自 4 月 1 日起,对逾期未履行备案手续的境内存量移动互联网应用程序(
42、含APP、小程序、快应用等),将依法采取下架、关停等处理措施,网络接入服务提供者、应用分发平台、智能 21 终端生产企业应全面落实先备案后服务要求,不得为未备案APP提供网络接入、分发、预置等服务。结合 2 月公布的行政案件,组织在开展网络安全保护工作过程中,应高度重视漏洞安全管理,定期进行漏洞扫描,及时对漏洞进行处置。2 月涉及的行政案件包括北京某公司所属网站出现涉赌违法信息,经查该公司存在已经半年未进行漏洞扫描等违法行为,被处以警告北京某公司网站存在SQL注入漏洞,经查发现存在没有定期开展网络漏洞扫描工作等违法行为,被处以警告。此外,因存在系统漏洞、弱口令等问题,重庆市涪陵区、高新区、秀山
43、县等地网信部门对某区级行业主管部门、区级部门、图书馆、旅游景区等多家单位进行约谈。关键词:网络犯罪、网信执法、APP备案、数据资源调查、漏洞管理 22 (一)(一)公安机关治理实践公安机关治理实践 1.广州 20 万网约车司机信息遭公开售卖,犯罪嫌疑人已被警方控制 2 月 20 日消息,广东省广州警方近日查获一起出售网约车司机信息案件,涉及约广州 20 万网约车司机。近日,有记者在某社交平台上发现,有用户声称持有十几万名广州网约车司机的个人信息,并公开向网友询问变现方法。2 月 18 日,记者与该用户李某某联系,了解到被公开贩卖的个人信息数量庞大,达 20 多万条,包含司机的姓名、手机号、车型
44、和所属平台等,被泄露信息的司机主要源自T3 出行、广州鹏鹏网约车服务有限公司、广州畅风科技有限公司、广州卓越出行汽车租赁有限公司等网约车平台公司。李某某称自己曾在多家网约车平台工作,由于知道这些信息有用,从一开始便有意导出数据。其表示上述信息是在平台系统不完善时期导出的,或是从能接触到数据的内部人员得到。由于目前自己不再从事网约车平台工作,于是便想将信息出售变现。如按照 3 毛/条的售价计算,李某某每售出一份司机信息包,将获得 5 万至 6 万元的收益。对于购买网约车司机信息包的用途,李某某表示,主要用于平台竞争对手挖人或汽车保险推销。其曾向被泄漏信息的司机发送营销短信,用于网约车平台拉新工作
45、。每注册成功一个,将获得 60 元提成。而招募其他平台司机加盟新的平台,成功率在千分之六左右。2 月 19 日,记者将掌握的信息提供给广州警方。近日,记者从广州警方办案民警处获悉,在接获线索当日,警方便已对此案进行立案侦查。目 23 前,涉嫌侵犯个人信息的犯罪嫌疑人李某某已被警方控制。(来源:九派财经)2.北京网警通报 5 起网络安全行政处罚案例 2 月 26 日消息,北京网警通报 5 起网络安全行政处罚案例。案例一:北京某科技信息服务有限责任公司所属网站内出现涉赌违法信息。该公司官网为静态页面,涉事服务器为虚拟服务器,用户访问静态文件不需要任何权限。2023 年 11 月 12 日,有人进入
46、公司服务器内将文件改写成赌博网站信息。经查,该网站联网使用后,系统没有在公安机关进行网络安全等级保护备案,对系统的漏洞扫描已是半年前。该公司网站系统未落实网络安全保护义务,未采取防范计算机病毒和网络侵入等技术措施。北京市公安局东城分局根据网络安全法第二十一条、第五十九条之规定,责令该公司整改并给予警告的行政处罚。案例二:北京某科技有限责任公司未落实网络安全保护责任,无内部网络安全管理制度以及操作规程,其内部的网站存在被植入不法链接、跳转赌博网站的漏洞,属于不履行网络安全保护义务的行为。北京市公安局门头沟分局根据网络安全法第二十一条第一项、第二项、第五十九条第一款之规定,责令该公司整改并给予警告
47、的行政处罚。案例三:北京某科贸有限公司网站发现存在SQL注入漏洞。经查,该公司网站没有制定管理制度,没有定期开展网络漏洞扫描工作,未依法采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。北京市公安局密云分局根据网络安全法第二十一条、第五十九条第一款,责令该公司整改并给予警告的行政处罚。24 案例四:北京某装饰工程有限公司网站存有违法信息,该网站未对其发布的信息进行有效审核及管理,导致该违法信息在网络上发布,造成不良影响,属于不履行网络信息安全管理义务的行为。北京市公安局大兴分局根据网络安全法第六十八条第一款之规定,责令该公司整改并给予警告的行政处罚。案例五:北京某科技有限公司
48、所使用的一款寄快递微信小程序存在安全隐患,经对小程序进行检测,发现该款小程序存在高风险漏洞 5 个,容易造成数据泄漏的风险。北京市公安局通州分局依据网络安全法第二十一条第二项、第五十九条第一款的规定,责令该公司整改并给予警告的行政处罚。(来源:公安部网安局)3.陕西西安、香港警方破获两起“AI 换脸”诈骗案 2 月 26 日消息,陕西西安警方近期破获一起AI换脸诈骗案。该案中,陕西西安财务人员张女士与老板视频通话,老板要求她转账 186 万元到一个指定账号。转账之后,张女士按照规定将电子凭证发到公司财务内部群里,老板称未要求转账。张女士意识到被骗遂报警求助,警方对接反诈中心、联系相关银行进行紧
49、急止付,最终保住大部分被骗资金 156 万元。香港警方近期也披露了一起AI多人换脸诈骗案,涉案金额高达 2亿港元。在该起案件中,一家跨国公司香港分部的职员,受邀参加总部首席财务官发起的多人视频会议,并按照要求前后转账多次,将 2 亿港元转账到 5 个本地银行账户内,其后向总部查询方知受骗。警方调查得知,这起案件中,所谓的视频会议中,只有受害者一人为真人,其余所谓参会人员,全部是经过AI换脸后的诈骗人员。(来源:西安公安)25 (二)(二)网信部门治理实践网信部门治理实践 1.浙江省网信办公布 2023 年执法工作成效 2 月 1 日,浙江省网信办公布 2023 年执法工作成效。2023 年,浙
50、江省网信系统坚决把依法治网作为基础性手段,坚持依法依规、有力有效、宽严相济、精准执法 原则,聚焦人民群众反映强烈的网上违法违规问题,全面系统推进严格规范公正文明执法,营造清朗有序的网络空间。一是出重拳,依法严处网上违法违规行为,确保互联网在法治轨道上健康运行。全省网信部门持续加大执法力度、强化执法震慑,重点查处发布虚假不实信息、扰乱网络传播秩序、传播淫秽色情信息、危害网络安全、数据安全、侵害公民个人信息等典型网络违法违规案件。约谈 ChatYuan等网站平台账号 700 余次,责令整改 好范文网 等网站平台 1000 余家次,下架蓝莓直播等APP和小程序 180 余个,对天天好书网等账号主体采
浙ICP备2021020529号-1 | 浙B2-20240490 
