国内动态/事件盘点
国家互联网信息办公室公布《促进和规范数据跨境流动规定》
3月22日,国家互联网信息办公室公布《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。
《规定》明确了重要数据出境安全评估申报标准,提出未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
《规定》规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件。《规定》设立自由贸易试验区负面清单制度。《规定》明确了应当申报数据出境安全评估的两类数据出境活动条件,一是关键信息基础设施运营者向境外提供个人信息或者重要数据;二是关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年1月1日起累计向境外提供100万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。《规定》同时对数据出境安全评估的有效期限和延期申请、数据安全保护义务和监督管理责任、与数据出境安全管理其他规定的衔接适用等作了规定。
详见:
https://www.cac.gov.cn/2024-03/22/c_1712776611775634.htm
国家互联网信息办公室发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》
为了指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同,国家互联网信息办公室编制了《数据出境安全评估申报指南(第二版)》、《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。
数据处理者因业务需要向境外提供重要数据和个人信息,应当遵守《数据出境安全评估办法》、《个人信息出境标准合同办法》和《促进和规范数据跨境流动规定》有关规定。符合数据出境安全评估适用情形的,按照申报指南申报数据出境安全评估;通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息的,按照备案指南向所在地省级网信部门备案。
国家互联网信息办公室开通了“数据出境申报系统”,网址:https://sjcj.cac.gov.cn。数据处理者可以通过该系统申报数据出境安全评估、备案个人信息出境标准合同,具体使用说明见系统首页《用户手册》。
详见:
https://www.cac.gov.cn/2024-03/22/c_1712783131692707.htm
国家金融监督管理总局就《银行保险机构数据安全管理办法(征求意见稿)》公开征求意见
为规范银行保险机构数据处理活动,保障数据安全,促进数据合理开发利用,稳步提升金融服务数字化、智能化水平,保护个人和组织的合法权益,金融监管总局制定了《银行保险机构数据安全管理办法(征求意见稿)》(下称《办法》)。主要内容包括:
一是明确数据安全治理架构。二是建立数据分类分级标准。三是强化数据安全管理。四是健全数据安全技术保护体系。五是加强个人信息保护。六是完善数据安全风险监测与处置机制。七是明确监督管理职责。
详见:
https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1155853&itemId=951&generaltype=2l
自然资源部近日印发《自然资源领域数据安全管理办法》
为规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,自然资源部近日印发《自然资源领域数据安全管理办法》(以下简称《办法》),要求自然资源部、国家林业和草原局及地方行业监管部门将数据安全纳入党委(党组)国家安全责任制,按照“谁管业务,谁管数据,谁管数据安全”的原则,落实本行业本地区本领域数据安全指导监管责任。
《办法》明确数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护,不同级别数据同时被处理且难以分别采取保护措施的,应当按照其中级别最高的要求实施保护。建立数据安全管理制度,针对不同级别数据,制定数据全生命周期各环节的具体分级防护要求和操作规程。在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志,并采用商用密码技术保护日志的完整性。
《办法》要求组织建立自然资源领域数据安全风险监测机制、预警体系,划分数据安全风险和事件等级,组织建设数据安全监测预警技术手段,形成监测、溯源、预警、处置等能力,与相关部门加强信息共享。
详见:
http://f.mnr.gov.cn/202403/t20240329_2840971.html
GB/T 43697-2024《数据安全技术 数据分类分级规则》发布
国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》正式发布,给出了数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导。该标准将于2024年10月1日起正式实施。
该标准明确了数据分类与分级的基本原则,包括业务相关性、数据敏感性、风险可控性等。具体而言,数据分类应根据业务特点和数据属性进行划分,如个人信息、商业秘密、国家秘密等;数据分级则应根据数据的敏感性、重要性和潜在风险进行划分,如一般数据、重要数据、核心数据等。
详见:
https://www.tc260.org.cn/front/postDetail.html?id=20240321201412
《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》发布
本《实践指南》给出了网络安全产品互联互通时资产信息的描述格式,可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。
详见:
https://www.tc260.org.cn/front/postDetail.html?id=20240325113218
5项网络安全国家标准获批发布
根据2024年3月15日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2024年第1号),全国网络安全标准化技术委员会归口的5项网络安全国家标准正式发布。具体清单如下:
详见:
https://mp.weixin.qq.com/s/79OOkrcUVZWP62J9MQbFQA
工信部通报一批侵害用户权益行为的APP(SDK)(2024年第2批,总第37批)
近期工信部部组织第三方检测机构对用户反映突出的“摇一摇”乱跳转、信息窗口“关不掉”以及违规收集使用个人信息等问题进行检查,共发现62款APP及SDK存在侵害用户权益行为(详见附件),现予以通报。
主要所涉问题:
违规/超范围收集个人信息,信息窗口未提供关闭或退出标识,APP 强制、频繁、过度索取权限,信息窗口“摇一摇”乱跳转,误导用户、欺骗误导强迫用户等。
详见:
https://www.miit.gov.cn/xwdt/gxdt/sjdt/art/2024/art_424e1faa0479457689f7a49e113a5429.html
中央网信办部署开展2024年“清朗”系列专项行动
3月15日,中央网信办部署2024年“清朗”系列专项行动,重点开展10项整治任务:
1.“清朗·2024年春节网络环境整治”专项行动。
2.“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动。
3.“清朗·打击违法信息外链”专项行动。
4.“清朗·整治‘自媒体’无底线博流量”专项行动
5.“清朗·网络直播领域虚假和低俗乱象整治”专项行动。
6.“清朗·规范生成合成内容标识”专项行动。
7.“清朗·2024年暑期未成年人网络环境整治”专项行动。
8.“清朗·规范网络语言文字使用”专项行动。
9.“清朗·整治违规开展互联网新闻信息服务”专项行动。
10.“清朗·同城版块信息内容问题整治”专项行动。
详见:
https://www.cac.gov.cn/2024-03/15/c_1712088026696264.htm
中国发展高层论坛2024年年会在北京召开
中国青年报客户端讯3月24日至25日,中国发展高层论坛2024年年会在北京举行。本次年会以“持续发展的中国”主题,得到外方代表的积极踊跃参与,表现出对中国经济发展的高度关注和与中国共发展的极大热情。据了解,中国发展高层论坛是由国务院发展研究中心主办、中国发展研究基金会承办的国家级论坛。今年论坛由开幕式、专题研讨会、闭门研讨会等环节组成,为期2天。与会中外嘉宾将围绕中国持续发展的动能与前景、碳中和与全球气候治理、人工智能发展与治理等多个议题,开展建设性交流,向世界展示中国经济持续发展的韧性与活力,凝聚中国对外合作发展的共识和智慧。
3月25日,国家发展改革委党组成员、国家数据局局长刘烈宏出席中国发展高层论坛2024年年会,并以“释放数据要素价值 助力可持续发展”为题发表演讲,指出数字经济的蓬勃发展离不开发挥数据作为关键生产要素的作用,欢迎国内外企业积极参与中国数据要素市场建设,共享发展红利。
详见:
https://mp.weixin.qq.com/s/mKtMIfVejF3efaCjQp3_xg
国际动态/事件盘点
联合国大会通过首个全球AI决议
据新华社消息,联合国大会3月21日通过首个关于人工智能的全球决议,呼吁推动开发“安全、可靠和值得信赖的”人工智能系统,以促进可持续发展。
这是联合国大会首次就监管人工智能这一新兴领域通过决议,因此该决议也被称为“具有里程碑意义”。决议强调需要制定人工智能系统标准,以促进数字化转型及公平获取人工智能系统所带来的好处,弥合国家间和国家内部的人工智能鸿沟和其他数字鸿沟,从而实现可持续发展并应对其他共同的全球挑战,特别是发展中国家面临的挑战。
决议鼓励联合国会员国和其他利益攸关方制定和支持有利于开发安全可靠的人工智能系统的监管与治理办法及框架,敦促会员国和其他利益攸关方采取行动,与发展中国家合作并向其提供援助。决议强调,必须在人工智能系统的全生命周期内尊重、保护和增进人权与基本自由。
决议鼓励所有会员国和其他利益攸关方以包容、公平、普惠的方式开发人工智能系统,并为人工智能系统能够应对重大挑战营造有利环境。决议还强调,数据管理对于开发安全可靠的人工智能系统、促进可持续发展具有重要意义。
决议认为,必须继续讨论人工智能治理领域的发展动态,紧跟人工智能系统开发及应用的步伐。
美国发布关键基础设施网络攻击通报新规草案
美国网络安全和基础设施安全局(CISA)本周四发布了关键基础设施企业如何向政府报告网络攻击的规定草案。
新规基于拜登2022年3月15日签署的美国《关键基础设施网络事件报告法案》(简称CIRCIA)。这是美国联邦政府首次提出一套跨关键基础设施部门的全面网络安全规则。CISA正在就规则草案征求公众意见,为期60天。
CISA估计,未来11年该规定的合规成本将达到26亿美元,即每年约2.3亿美元,其中行业成本为14亿美元,联邦政府成本为12亿美元。
白宫官员们希望该法案和执行规则能让各行业关键基础设施企业及时提交网络安全事件报告,从而更好地识别攻击模式,确定网络犯罪分子和国家黑客使用的攻击策略,改进防御手段。
根据新规,拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击,并在24小时内报告勒索软件支付情况。对于“重大”网络安全事件的界定,CISA认为,涉及非法访问系统并导致停机或运营严重受损的攻击将触发报告要求的门槛。
美国联邦贸易委员会被曝即将以隐私安全为由,对TikTok下手
(观察者网讯)美国政治新闻网“Politico”3月26日援引消息称,美国联邦贸易委员会(FTC)一直在调查TikTok涉嫌“存在隐私和数据安全问题”,并可能在未来几周内决定提起诉讼或与TikTok达成和解。
当日稍晚时候,路透社报道了相同内容。报道称,这项调查独立于美国国会近期针对TikTok一系列的举动。2020年,美国多个隐私保护倡议机构指控TikTok“违反美国儿童隐私法”,随后美国联邦贸易委员会与司法部开始介入调查,目前调查已进入尾声。
针对美国拿所谓“隐私武器”针对TikTok,我外交部发言人毛宁此前表示,美国泛化国家安全概念,诬称中方购买美国公民敏感数据从事恶意活动,禁止数据流向包括中国在内的所谓“受关注国家”,是明显针对特定国家的歧视性做法,中方对此坚决反对。
毛宁称,中国政府一向高度重视保护数据隐私与安全,从来没有也不会要求企业或个人以违反当地法律的方式,为中国政府采集或提供位于外国境内的数据、信息和情报。
法国官方就业机构遭网络攻击,4300 万人面临数据泄露风险
此次遭遇攻击的两家机构分别为负责失业救济的 France Travail 和负责促进残疾人就业的 Cap emploi。据法国数据保护部门 CNIL 公告,此次网络攻击涉及过去 20 年内在 France Travail 或前身 Pôle emploi 进行过登记的求职者。此次泄露的个人数据包括姓名、社会安全号码、France Travail 标识符、电子和实体邮件地址以及电话号码。CNIL 建议这些人群对收到的电子邮件、电话和短信特别当心,因为此次攻击增加其遭遇身份盗用和网络钓鱼的风险。
谷歌旗下Firebase平台被曝存在严重配置错误隐患
日前,据安全网站SC Media报道,Google 旗下的Firebase平台被安全研究人员测试发现存在超过900个配置错误,使得近 1900 万个密码以明文方式存储,这可能会导致近1.25亿用户记录存在泄露隐患。