商务部:开展数据跨境传输安全管理试点

8月14日,商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》( "《方案》"),在北京、天津、上海等28 个省市(区域)开展试点,试点期限为3年。

《方案》指出:

  • 在条件具备的试点地区,开通国际互联网数据专用通道,工信部制订政策保障措施;
  • 探索跨境数据流动分类监管模式,开展数据跨境传输安全管理试点。数据跨境传输安全管理试点任务由中央网信办指导并制定政策保障措施,北京、上海、海南、雄安新区等试点地区负责推进;
  • 支持试点地区发展基于工业互联网的大数据采集、存储、处理、分析、挖掘和交易等跨境服务;
  • 探索数据服务采集、脱敏、应用、交易、监管等规则和标准;
  • 推动数据资产的商品化、证券化,探索形成大数据交易的新模式;
  • 支持试点开展数据跨境流动安全评估;
  • 建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制;鼓励有关试点地区参与数字规则国际合作,加大对数据的保护力度。

欲了解更多信息,请查看http://images.mofcom.gov.cn/fms/202008/20200814092010665.pdf

《商用密码管理条例(修订草案征求意见稿)》公布,加强对进出口商用密码产品管理

2020年8月20日,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》(" 《条例》")向社会公开征求意见,截止时间为2020年9月19日。

《条例》规定,进口《商用密码进口许可清单》或者出口《商用密码出口管制清单》中的商用密码,应当向国务院商务主管部门申请领取两用物项进出口许可证。

《条例》规定,非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,其运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。

上述所列网络与信息系统通过商用密码应用安全性评估方可投入运行,运行后每年至少进行一次评估,评估情况报送所在地设区的市级密码管理部门备案。

《条例》规定,非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,应当使用经检测认证合格的商用密码产品、服务,使用列入商用密码技术指导目录的商用密码技术。

《条例》还规定,关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

欲了解更多信息,请查看http://www.oscca.gov.cn/sca/hdjl/2020-08/20/content_1060779.shtml

商务部会同科技部调整发布《中国禁止出口限制出口技术目录》

2020年8月28日,商务部会同科技部调整发布《中国禁止出口限制出口技术目录》( "《目录》"),《目录》作出了以下调整:

  1. 删除了4项禁止出口的技术条目;
  2. 删除5项限制出口的技术条目;
  3. 新增23项限制出口的技术条目;
  4. 对21项技术条目的控制要点和技术参数进行了修改。

值得注意的是,在限制出口部分,《目录》新增了"基于数据分析的个性化信息推送服务技术"和"无人机技术"。

欲了解更多信息,请查看http://www.most.gov.cn/kjbgz/202008/t20200828_158546.htm

信安标委就《信息安全技术 网络数据处理安全规范》征求意见

2020年8月31日,全国信息安全标准化技术委员会发布《信息安全技术 网络数据处理安全规范(征求意见稿)》(" 《规范》"),向社会征求意见,意见反馈截止于10月27日。

值得注意的内容有:

向他人提供数据:网络运营者向他人提供数据前,应进行安全影响分析和风险评估,可能危害国家安全、公共安全、经济安全和社会稳定的,不得向他人提供。

数据安全责任人:网络运营者开展经营和服务活动,收集重要数据和个人敏感信息的,应明确数据安全责任人,并为其提供必要的资源保障,保证其独立履行职责。

数据安全责任人应具备数据安全专业知识和相关管理工作经历,参与有关数据处理活动的重要决策,履行以下职责:

  1. 组织确定数据保护目录,制定数据安全保护计划并督促落实;
  2. 组织开展数据安全影响分析和风险评估,督促整改安全隐患;
  3. 按要求向网信部门和有关部门报告数据安全保护和事件处置情况;
  4. 组织受理处置数据安全投诉、举报。

传输和存储:网络运营者应对数据传输、存储活动采取安全措施,包括:

  1. 传输重要数据和个人敏感信息,应采用加密等安全措施;
  2. 存储重要数据和个人敏感信息,应采用加密、安全存储、访问控制、安全审计等安全措施;
  3. 存储个人信息,不应超出与个人信息主体约定的存储期限,法律法规另有规定的除外。

《规范》还规定了突发公共卫生事件中个人信息保护的特殊规则。如,在提供信息服务过程中,以人脸识别作为身份验证方式时,原则上应提供其他身份验证方式供用户选择。利用人脸识别信息进行身份验证的,原则上不留存可提取人脸识别信息的原始图像。

欲了解更多信息,请查看https://www.tc260.org.cn/front/postDetail.html?id=20200830094619

工信部:未经用户同意不得发送商业性短信息

2020年8月31日,工信部发布《通信短信息和语音呼叫服务管理规定(征求意见稿)》(" 《规定》")向社会征求意见,反馈截止日期为2020年9月30日。

根据《规定》,任何组织或个人未经用户同意或者请求,或者用户明确表示拒绝的,不得向其发送商业性短信息或拨打商业性电话。用户未明确同意的,视为拒绝。用户同意后又明确表示拒绝接收的,应当停止。短信息服务提供者发送端口类商业性短信的,应当确保有关用户已同意或请求接收,并保留用户同意凭证至少五个月。语音呼叫服务提供者不得拨打平台类商业性电话,不得为违反本规定拨打商业性电话的组织和个人提供通信资源、平台设施等条件。

欲了解更多信息,请查看http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057709/n3057717/c8067025/content.html

文旅部发布规定明确不可滥用大数据分析等技术手段侵犯旅游者权益

2020年8月31日,文化和旅游部印发《在线旅游经营服务管理暂行规定》(" 《规定》")。《规定》将于2020年10月1日生效。

根据《规定》,在线旅游经营者应当按照《中华人民共和国网络安全法》等相关法律规定,贯彻网络安全等级保护制度,落实网络安全管理和技术措施,制定网络安全应急预案,并定期组织开展演练,确保在线旅游经营服务正常开展。

在线旅游经营者应当保障旅游者的正当评价权,不得擅自屏蔽、删除旅游者对其产品和服务的评价,不得误导、引诱、替代或者强制旅游者做出评价,对旅游者做出的评价应当保存并向社会公开。

在线旅游经营者应当保护旅游者个人信息等数据安全,在收集旅游者信息时事先明示收集旅游者个人信息的目的、方式和范围,并经旅游者同意。

在线旅游经营者不得滥用大数据分析等技术手段,基于旅游者消费记录、旅游偏好等设置不公平的交易条件,侵犯旅游者合法权益。

根据《规定》,在线旅游经营者,是指从事在线旅游经营服务的自然人、法人和非法人组织,包括在线旅游平台经营者、平台内经营者以及通过自建网站、其他网络服务提供旅游服务的经营者。

欲了解更多信息,请查看http://zwgk.mct.gov.cn/auto255/202008/t20200831_874550.html?keywords=

六部门组织开展2020年度国家绿色数据中心推荐工作

2020年8月6日,工业和信息化部等六部门发布《关于组织开展国家绿色数据中心(2020年)推荐工作的通知》( "《通知》")。

根据《通知》,各地应依据《绿色数据中心评价指标体系》,在生产制造、电信、互联网、公共机构、能源、金融、电子商务等数据中心重点应用领域,选择一批能效水平高、技术先进、管理完善、代表性强的数据中心进行推荐。

《通知》明确了所推荐数据中心应具备的四项基本条件,

  1. 数据中心所有者应具有独立法人资格,数据中心产权清晰,在建设和运营过程中遵守有关法律、法规、政策和标准,近3年(含成立不足3年)无较大及以上安全、环保等事故,无司法、行政机关认定的其他严重违法失信行为;
  2. 具有清晰、完整的物理边界,拥有独立的供配电和符合《绿色高效制冷行动方案》要求的制冷系统,且截至申报日已全系统正式运行持续1年以上;
  3. 建设和布局符合《关于数据中心建设布局的指导意见》要求,且符合所在地建设规划要求及其他所在地方法律法规要求;
  4. 未被列入2019年工业节能监察数据中心能效专项监察整改名单。

欲了解更多信息,请查看http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c8045053/content.html

五部门印发《国家新一代人工智能标准体系建设指南》

2020年8月7日,国家标准化管理委员会等五部门发布《国家新一代人工智能标准体系建设指南》( "《指南》")。

根据《指南》,人工智能标准体系将包括"基础共性""支撑技术与产品""基础软硬件平台""关键通用技术""关键领域技术""产品与服务""行业应用""安全/伦理"八个方面。

《指南》要求,到2021年,应当明确人工智能标准化顶层设计,研究标准体系建设和标准研制的总体规则,明确标准之间的关系,指导人工智能标准化工作的有序开展,完成关键通用技术、关键领域技术、伦理等20项以上重点标准的预研工作。到2023年,初步建立人工智能标准体系,重点研制数据、算法、系统服务等重点急需标准,并率先在制造、交通、金融、安防、家居、养老、环保、教育、医疗健康、司法等重点行业和领域进行推进。建设人工智能标准试验验证平台,提供公共服务能力。

欲了解更多信息,请查看http://www.miit.gov.cn/n1146285/n1146352/n3054355/n3057497/n3057502/c8048365/content.html

信安标委就关键信息基础设施边界确定方法征求意见

2020年8月10日,全国信息安全标准化技术委员会发布《信息安全技术 关键信息基础设施边界确定方法》并向社会公开征求意见(" 《方法》")。

《方法》规定,关键信息基础设施边界识别,是在行业主管部门认定关键业务之后,由关键信息基础设施运营者对关键业务进一步分析、梳理,将关键业务持续、稳定运行不可或缺的网络设施、信息系统识别出来,为保护、审查、应急处置等工作提供依据。

《方法》规定了识别关键信息基础设施边界需要考虑的六个方面:关键业务、网络设施、信息系统、关键业务信息、关键业务信息流、基础运行环境。

  • 关键业务是核心要素,是开展关键信息基础设施边界识别的基础;
  • 关键业务信息是关键业务正常运行不可或缺的信息资源,也是网络设施、信息系统实现对关键业务信息化支撑的桥梁和纽带;
  • 网络设施、信息系统按照业务运行逻辑和功能划分对关键业务信息进行设计、采集、整合、处理、呈现、应用、存储、销毁等操作,支撑关键业务自动化、智能化、高效运行;
  • 关键业务信息流是关键业务信息在整个生存周期内的流动轨迹,通过梳理关键业务信息流,获得对关键业务提供信息化支撑的网络设施、信息系统;
  • 基础运行环境指的是为关键业务提供基本运行保障的安全设备、安全措施、规章制度以及机械、厂房、水、电等。

欲了解更多信息,请查看https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20200810142946595318&norm_id=20200112070029&recode_id=39652

信安标委就关键信息基础设施安全防护能力评价方法征求意见

2020年8月10日,全国信息安全标准化技术委员会发布《信息安全技术 关键信息基础设施安全防护能力评价方法(征求意见稿)》( "《方法》")面向社会征求意见,意见反馈截止于10月9日。

《方法》提出,关键信息基础设施安全防护能力评价包括能力域级别评价、等级保护测评和密码测评三部分。在进行关键信息基础设施安全防护能力评价前,关键信息基础设施应首先通过相应等级的等级保护测评和相关密码测评。然后,组织应按照评价内容和评价操作方法开展评价工作,给出对每项评价指标的判定结果和所处级别,得出每个能力域级别,综合能力域级别以及等级保护测评结果得出关键信息基础设施安全防护能力级别。

欲了解更多信息,请查看https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20200810142946548146&norm_id=20200112070019&recode_id=39650

工信部就《电信和互联网行业数据安全标准体系建设指南》征求意见

2020年8月11日,工信部制定了《电信和互联网行业数据安全标准体系建设指南》并向社会公开征求意见(" 《指南》")。

《指南》规定电信和互联网行业数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准。

  • 基础共性标准包括术语定义、数据安全框架、数据分类分级;
  • 关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全技术进行规范;
  • 安全管理标准包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等标准;
  • 重点领域标准主要包括5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域。

欲了解更多信息,请查看http://www.miit.gov.cn/n1278117/n1648113/c8050746/content.html

司法部:强化行政许可过程中商业秘密和保密商务信息保护

2020年8月14日,司法部起草了《关于强化行政许可过程中商业秘密和保密商务信息保护的指导意见(征求意见稿)》(下称 《征求意见稿》),现公开征询意见,意见反馈截至9月30日。

《征求意见稿》规定行政许可申请人在向行政机关申请行政许可时,对按照反不正当竞争法等法律法规界定的商业秘密要予以明示,对需要保密的商务信息也要予以标明,准确界定保密范围。

申请人向行政许可机关提交申请材料时,要明确标出保密要点,不能笼统地把所有材料都作为商业秘密和保密商务信息。对提交的纸质材料,要在文件首页和保密要点处作出明确标注;对提交的电子文档,要在文档首页和保密要点处作出明确标注。

欲了解更多信息,请查看http://www.moj.gov.cn/government_public/content/2020-08/14/657_3254208.html

山东省发布健康医疗大数据分类管理办法

2020年8月25日,山东省政府发布《山东省健康医疗大数据管理办法》(" 《办法》"),《办法》将于2020年10月1日生效。

《办法》规定健康医疗大数据分为如下三类:

  • 对涉及商业秘密、个人隐私或者依据法律、法规规定不得开放的健康医疗数据,列为不予开放数据;
  • 对数据安全和处理能力要求较高、时效性较强或者需要持续获取的健康医疗数据,列为有条件开放数据;
  • 其他健康医疗数据,列为无条件开放数据。

《办法》同时规定:

  • 对无条件开放数据,公民、法人和其他组织可以通过健康医疗大数据平台获取。
  • 对有条件开放数据,由健康医疗大数据管理机构与数据使用单位签订数据使用协议后进行定向开放。协议应当明确数据的使用范围、条件、数据产品、保密责任和安全措施等内容。
  • 不予开放数据,经相关权利人同意开放或者依法进行脱敏、脱密等技术处理后,可以进行开放,但法律、法规另有规定的除外。

欲了解更多信息,请查看http://www.shandong.gov.cn/art/2020/8/25/art_107851_108458.html

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.