网络安全2022|政策篇:网络安全立法进程加快,合规监管深入行业机理

合规科技吴立洋 2023-01-20 17:41

2022年,我国颁布多部与网络安全相关的政策法规,进一步推进国家安全体系和能力建设,强化网络安全、数据安全和个人信息保护。

网络安全2022|技术篇:攻击路径演替推动需求转向,技术创新仍为产业发展源动力 网络安全2022|市场篇:企业缺粮竞争加剧,“增收不增利”的网安市场亟需凝聚行业共识 网络安全2022|事件篇:多方风险威胁数据安全,产业数字化亟待重构防护能力

南方财经全媒体记者 吴立洋 北京报道

数字化时代,数据与网络驱动各项业务发展,成为社会建设与经济发展的基础。而随着生产生活与公共管理和互联网结合得愈加紧密,网络安全也不再局限于个人和企业的自身防护,开始成为涉及产业链乃至国家安全的重要问题,引起各国政府与国际组织的关注与重视。

2022年,我国颁布多部与网络安全相关的政策法规,进一步推进国家安全体系和能力建设,强化网络安全、数据安全和个人信息保护,从多个维度完善了安全合规要求与标准,筑牢国家数字安全屏障,为安全技术与产业发展提供指引。

构建安全监管体系

近年来,我国网络安全建设也在不断完善,随着《网络安全法》《数据安全法》《个人信息保护法》等一系列基础性法律法规落地,我国已建立起一套基本的网络安全法律合规框架。

2022年2月,新修订的《网络安全审查办法》实施,将原来的“数据处理者”变更为“网络平台运营者”,连同关键信息基础设施运营者作为网络安全审查的规制对象,要求网络平台运营者开展数据处理活动,影响或者可能影响国家安全的应进行网络安全审查。其中,明确规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。

针对数据出境问题,7月,国家网信办公布《数据出境安全评估办法》,并于2022年9月1日起施行。

《数据出境安全评估办法》规定,数据处理者向境外提供重要数据,关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息,自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息,以及国家网信部门规定的其他情形,均需申报数据出境安全评估。

此外,《数据出境安全评估办法》还要求数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,其中重点评估的事项包括出境数据的规模、范围、种类、敏感程度等。

中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋接受21世纪经济报道记者专访时指出,工作制度初步建立是《数据出境安全评估办法》最大的意义:“前几年各地网信部门在制定地方网络安全“十四五”规划时,常常遇到一个难题:实施数据出境安全评估、网络安全审查等制度时,地方网信部门是否有工作职责?《数据出境安全评估办法》对这类问题作了明确,规定了数据出境安全评估的工作流程。”

左晓栋还指出,本次出台的是《数据出境安全评估办法》,但“评估”无法代替“管理”,管理涉及数据出境的事前、事中、事后,而“评估”只是一个特定时刻的活动。

当前,我们对于数据跨境安全管理制度的内涵已经基本清楚,但相关规范与实施细则还需更进一步明确,这样才能提高可操作性。

9月,《网络安全法》迎来实施五年以来首次修订,国家网信办发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,对违反网络运行安全一般规定和网络信息安全法律责任制度进行了调整,具体包括对违法相关规定、义务的行政处罚幅度进行调整和加入了从业禁止措施。

值得注意的是,拟修订的《网络安全法》在网络安全一般责任之外,还要特别区分出信息安全等责任。南开大学法学院副院长、竞争法研究中心主任,中国新一代人工智能发展战略研究院特约研究员陈兵认为,这一修改的目的是为了与个人信息保护、数据跨境等领域的专门法律法规进行协调。

作为网络安全治理的基本法,《网络安全法》既涉及基础设施安全,也涉及数据安全、个人信息安全、跨境安全等领域息息相关,需要通过更为精细化的立法涉及为整体的安全治理框架提供一个足够宽敞的制度底座,也使得相关运营主体或信息处理主体在履行安全义务时有更为明确的抓手。”陈兵说。

拓展治理维度

除了网络安全与数据安全治理体系主体框架的构建与完善外,2022年还有多款深入具体行业机理,面向特定领域安全问题的政策法规出台。

2022年9月2日,十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》,内容涉及电信网络诈骗的定义、法律的域外效力、反电信网络诈骗的基本原则、打击电信网络诈骗工作机制,于2022年12月1日起施行。

中央财经大学教授、博士生导师,法学院党委书记吴韬表示,该法律立足针对性、实用性和有效性,对关键环节、主要制度作出规定,通过扩大反诈主体范围、多方位落实法律责任、进一步加大惩处力度,防管并重,力求从源头上解决问题,实现针对电信网络诈骗防治的关口前移和综合治理。

除监管标准不断细化外,安全产业的发展和安全防护工具的丰富亦是保障网络安全的关键。

11月,工信部会同银保监会起草的《关于促进网络安全保险规范健康发展的意见(征求意见稿)》公开发布并征求意见,旨在加快推动网络安全产业和金融服务融合发展,培育网络安全保险新业态,促进企业加强网络安全风险管理,推动网络安全产业高质量发展。

作为风险转移的重要手段,保险业的价值除了发挥保险保障的基本属性,为被保险人提供财务补偿意外,在众多的领域也发挥着第三方风险管理主体的作用。对于兼具安全防护需求和合规管理需求的数字化企业,网络安全保险不失为一种一举多得的选择。

本次发布的征求意见稿从研究制定网络安全风险量化评估相关标准,加强网络安全风险影响规模预测、经济损失分析,开发多元化网络安全保险产品等角度,为网络安全保险的发展梳理了发展方向。

西安交通大学法学院人工智能与信息安全法律研究中心助理教授王新雷在接受南方财经全媒体记者采访时表示,与传统的财产险或人寿险不同,网络安全保险是高度复杂技术时代的产物,探索网络安全服务+保险的模式,有助于将保险公司的金融优势和网络安全公司的技术优势融合起来,促进保险公司在网络时代探索新业态,挖掘新增长点。

他进一步指出,在高度复杂的网络风险时代,风险治理已经不能仅依靠风险消除的方式,安全解决方案不可能一劳永逸。“而《意见》中提出的全流程网络安全风险管理解决方案,可以通过消解风险和分散风险两种手段,弥补传统安全解决方案的缺陷,在防范逆向选择和道德风险的动态风险管理的流程中,提升网络安全水平。”

(作者:吴立洋 编辑:蔡姝越)

吴立洋

上海中心记者

关注数字经济与文化产业合规问题,微信:ww1625124926