国内外网络安全政策动态(2024年7月)
国内网安政策动态
1.《网络安全 物联网安全与隐私 家庭物联网指南》正式发布
7月1日,我国牵头提出的国际标准ISO/IEC 27403:2024《网络安全 物联网安全与隐私 家庭物联网指南》(Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics)正式发布。
1.《网络安全 物联网安全与隐私 家庭物联网指南》正式发布
7月1日,我国牵头提出的国际标准ISO/IEC 27403:2024《网络安全 物联网安全与隐私 家庭物联网指南》(Cybersecurity – IoT security and privacy – Guidelines for IoT-domotics)正式发布。
针对家庭物联网系统终端异构、人机交互复杂、智能应用泛在等特点,ISO/IEC 27403识别了家庭物联网系统的主要相关方以及各自的生命周期阶段,分析了家庭物联网系统的安全和隐私风险,并从网络安全、人工智能安全、数据安全等方面提出了安全控制措施。
2.工信部、中央网信办组织开展“网络去NAT”专项工作
7月2日,为向全社会释放我国加快向IPv6演进升级的明确信号,凝聚网络、应用、终端等产业各方合力,加速提升IPv6规模部署和应用水平,工业和信息化部、中央网信办近日联合印发通知,组织开展“网络去NAT”专项工作,进一步深化IPv6部署应用。
主要包括五方面工作任务:细化工作方案,有序实现网络升级;紧抓关键环节,持续拓宽IPv6通路;深化应用改造,主动引导流量迁移;强化运行维护,确保网络安全稳定;加强督促评测,促进工作实效落地。
3.香港即将出台首部网络安全法
为了应对日益猖獗的网络攻击事件,香港日前正尝试对网络安全进行全面立法。7月初,香港政府向安全事务委员会提交了一项立法提案,以规范关键基础设施运营商的网络安全义务,并于7月2日进行了咨询。
在委员会咨询之后,政府将在一个月的时间内进一步与相关行业部门就立法提案进行咨询。根据当前的时间表,相关法案已被纳入2024年立法计划。这标志着香港首部网络安全立法即将出台。
4.国家标准化管理委员会下达1项强制性网络安全国家标准计划
7月3日,国家标准化管理委员会下达的强制性国家标准制修订计划中,包括1项委托全国网络安全标准化技术委员会制定的标准项目《网络安全技术 人工智能生成合成内容标识方法》。
5.重庆市网信办启动扫码消费场景个人信息保护专项治理行动
7月4日,针对消费领域个人信息过度采集、强制收集、诱导索取、违规使用等问题,重庆市网信办依据《中华人民共和国个人信息保护法》等法律法规,会同行业主管部门开展为期三个月的个人信息保护专项治理行动。
聚焦停车、餐饮、商超购物三类社会关注度高、个人信息保护问题突出的扫码消费场景,采取举报监督、执法检查、公益诉讼、媒体曝光等多种措施,打击消费场景个人信息过度采集和肆意滥用乱象,整治侵害个人信息权益的违法违规行为。
6.《中国互联网发展报告(2024)》发布
7月11日,由中国互联网协会主办的2024(第二十三届)中国互联网大会在京闭幕。中国互联网协会在闭幕式上发布了《中国互联网发展报告(2024)》(以下简称《报告》)。
《报告》显示,2023年以来,我国互联网行业深入贯彻党的二十大精神,坚决落实《数字中国建设整体布局规划》等战略部署,我国网络基础设施建设日益完备,关键前沿技术创新发展,关键领域数字化水平稳步提高,网络综合治理框架加速构建,网络安全产业高质量发展,数字中国发展呈现出良好态势。
7.全国网安标委《数据安全技术 个人信息保护合规审计要求(征求意见稿)》发布
7月12日,全国网络安全标准化技术委员会归口的国家标准《数据安全技术 个人信息保护合规审计要求》已形成标准征求意见稿,根据《全国网络安全标准化技术委员会标准制修订工作程序》要求,全国网络安全标准化技术委员会秘书处将该项标准征求意见稿发布在网安标委网站,面向社会公开征求意见。
8.中国信通院发布《安全大模型能力要求与评估方法》系列规范
7月17日,随着人工智能产业的高速发展,如何利用大模型技术来有效提升网络安全保障水平已成为网络安全领域的热点研究方向。为进一步规范安全大模型的设计、开发与应用,中国信息通信研究院(简称“中国信通院”)依托人工智能产业联盟(AIIA)安全治理委员会,联合多方研制了《安全大模型能力要求及评估方法》系列规范,共包含5部分。
其中,《安全大模型能力要求与评估防范 第1部分:总体框架》和《安全大模型能力要求与评估防范 第2部分:基础网络安全》已正式发布。
9.国家发改委《电力监控系统安全防护规定》公开征求意见
7月25日,为完善电力监控系统网络安全技术防护体系,提升电力监控系统安全防护水平,国家发展改革委组织修订了《电力监控系统安全防护规定》(中华人民共和国国家发展改革委员会2014年第14号令),形成《电力监控系统安全防护规定》(公开征求意见稿),现向社会公开征求意见。
10.关于加强智能网联汽车有关测绘地理信息安全管理的通知
7月26日,自然资源部为维护测绘地理信息安全,促进智能网联汽车发展,依据《中华人民共和国测绘法》《中华人民共和国保守国家秘密法》《中华人民共和国数据安全法》《地图管理条例》等法律法规,发布关于加强智能网联汽车有关测绘地理信息安全管理的通知。
11.《国家网络身份认证公共服务管理办法》公开征求意见
7月26日,公安部和国家互联网信息办公室发布关于《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见的公告。
《办法(征求意见稿)》指出,国家组织建设网络身份认证公共服务基础设施,旨在建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发“网号”“网证”,提供以法定身份证件信息为基础的真实身份登记、核验服务,达到方便人民群众使用、保护个人信息安全、推进网络可信身份战略的目标。意见建议反馈截止时间为2024年8月25日。
12.工信部发布关于侵害用户权益行为的APP(SDK)通报
7月29日,工业和信息化部通报17款存在侵害用户权益行为的APP及SDK。本次通报涉及的侵害用户权益行为包括:APP强制、频繁、过度索取权限、APP频繁自启动关联启动、违规收集个人信息、违规使用个人信息、信息弹窗“摇一摇”乱跳转、强制用户使用定向推送功能、超范围收集个人信息、SDK说明不完整等。
13.工信部发布《工业机器人行业规范条件(2024版)》《工业机器人行业规范条件管理实施办法(2024版)》
7月29日,为全面贯彻党的二十大和二十届二中、三中全会精神,加快推进新型工业化,进一步加强工业机器人行业规范管理,推动产业高质量发展,根据行业发展变化和有关工作部署,工业和信息化部对《工业机器人行业规范条件》和《工业机器人行业规范管理实施办法》进行了修订,形成了《工业机器人行业规范条件(2024版)》和《工业机器人行业规范条件管理实施办法(2024版)》。现予以公告。
《工业机器人行业规范条件(2024版)》要求,我国境内的工业机器人关键零部件(指减速器、伺服驱动系统、控制器等工业机器人关键零部件)、本体制造及集成应用企业应遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,加强网络和数据安全管理,保障网络和数据安全。
国外网安政策动态
1.马来西亚修订《个人数据保护法》
7月4日,马来西亚数字部长宣布内阁批准《个人数据保护法》(PDPA 2010)的拟议修正案。
以下是《个人数据保护(修订)法案》的主要修订内容:“数据用户”改为“数据控制者”;生物识别数据被认定为敏感个人数据;增加处罚力度;扩展安全原则至数据处理者;新增任命数据保护官员的义务;新增强制数据泄露通知的义务;引入数据可携带权,数据主体可以请求将个人数据直接传输给另一数据控制者,但需考虑技术可行性和数据格式兼容性;取消跨境数据传输白名单机制,跨境数据传输需符合第129(3)条规定的条件,个人数据保护专员将出台详细指南以提供明确规定。
2.英国发布工控网络事件响应实践指南
7月8日,英国政府的网络安全部门发布了一份新指南,旨在帮助全球各地的公司更好地保护操作技术(OT)和工业控制系统(ICS)硬件。
这份指南由可信互联网络-物理系统研究所(RITICS)发布,概述了公司为避免嵌入式技术受到攻击应采取的建议和最佳实践。该指南从准备、检测、分类、采取响应行动、跟踪和报告、利益相关者参与、吸取教训七个方面展开介绍,并着重说明了OT环境事件响应相比IT环境的区别。
3.《欧洲人工智能法》最终官方文本发布
7月12日,《欧盟官方公报》正式印发了具有里程碑意义的《欧洲人工智能法》的最终文本。该法案采取了分阶段生效和基于风险等级差异的治理策略。
《欧洲人工智能法》对AI开发人员施加了不同的义务,具体取决于具体场景和感知到的风险。大部分人工智能用途将不受监管,因为它们被认为是低风险的,但法律也禁止了少数人工智能的潜在应用场景。
4.澳大利亚政府强制执行网络安全框架
7月15日,据媒体报道,澳大利亚政府宣布CIRMP年度报告开放,要求关键基础设施实体在2024年8月17日前实施网络安全框架。此举显示了政府确保数字产品安全、可靠的承诺,并强调了在OT和ICS网络安全方面国际合作的重要性。澳大利亚有多种机制确保数字产品安全,并将继续与国际伙伴合作,应对网络攻击,加强事件响应。
5.美国提出《医疗网络安全法案》应对网络攻击
7月16日,美参议员提出《医疗网络安全法案》。该法案旨在通过联邦合作和资源支持,加强医疗保健和公共卫生部门的网络安全,保护患者数据和医疗服务提供者,提升网络安全基础设施和响应能力。
该法案提出,网络安全和基础设施安全局(CISA)将与卫生与公众服务部(HHS)合作,共同提供网络威胁指标和防御措施资源,并设立专门的HHS联络处,以协调网络安全事件。美参议员强调,网络攻击严重威胁医疗系统,不仅影响患者数据安全,也影响医院运营,导致医疗费用的增加。
6.英国政府宣布将推出《网络安全与韧性法案》
7月17日,英国政府在国王演讲中宣布,将推出《网络安全与韧性法案》,更新国家的网络安全法规。新法案将要求遭受勒索软件攻击的公司进行强制报告。尽管这一法案的影响范围有限,仅适用于“受监管实体”,但其范围可能会扩大到包括管理服务提供商(MSPs)等公司。
新法案旨在填补当前法律的空白,保护更多的数字服务和供应链,防止类似于最近影响伦敦医院的勒索软件攻击再次发生。现行的《网络与信息系统法规》设定了较高的报告门槛,导致报告数量较低。新法案将修订这些门槛,增加事件报告的数量,以便政府更好地了解网络攻击的威胁,并预警潜在的攻击。
此外,新法案还将赋予关键基础设施公司的行业监管机构更多的权力,确保实施必要的网络安全措施。这包括提供潜在的成本回收机制和主动调查潜在漏洞的权力。新法案由科学、创新和技术部提出,目前尚不清楚何时会提交议会审议。
7.英国工党推出《网络安全和弹性法案》
7月17日,在议会开幕式上,英国新当选的工党政府提出了《网络安全和弹性法案》,该法案旨在降低网络攻击对基本服务的严重程度,并改善该国的风险准备工作。
8.韩国发布《关于处理人工智能开发和服务中“公开数据”的指南》
7月17日,韩国个人信息保护委员会(PIPC)发布《关于处理人工智能开发和服务中“公开数据”的指南》,用于指导企业合法、安全地处理人工智能开发和训练中所收集、利用的公开数据,增强企业隐私合规工作的确定性,进而推动人工智能领域创新发展。
9.俄罗斯拟议法案加强即时通讯工具监管
7月18日,俄罗斯杜马计划修正《通信法》和《个人身份识别和认证法》,以加强通信用户身份控制,解决"灰色"SIM卡问题,遏制网络犯罪。新法要求电信运营商上传用户信息至国家网站,追究不法运营商责任。即时通讯工具将受相同监管。购买SIM卡和充值需出示护照并在内政部数据库验证。违规SIM卡将被罚款高达1万卢布。
10.美国商务部就欧盟-美国数据隐私框架报告发表声明
7月19日,美国商务部长和欧盟司法和消费者专员发布了一份关于欧盟-美国数据隐私框架(DPF)首次审查的声明。
美国商务部(DoC)强调,此次审查标志着DPF生效一周年,对DPF的首次审查旨在核查该框架各部分是否有效发挥作用,其中包括:(1)公司遵守隐私要求的情况;(2)加强隐私保护;(3)数据保护审查法院(DPRC)的运作。
11.北约新建综合网络防御中心
7月24日,据美国《防务邮报》网站报道,在近期落幕的华盛顿峰会上,北约宣布将在欧洲新建一个综合网络防御中心,以应对未来复杂多变的网络威胁。此举反映了北约对网络防御的高度重视,同时也引发外界对国际网络空间对抗加剧的担忧。
此次组建的综合网络防御中心将聚焦加强网络保护、态势感知以及在不同环境下进行网络空间作战等方面,具有鲜明特点。
此次新建综合网络防御中心,是北约持续强化网络安全能力的关键行动。实际上,北约长期采取多项举措推动网络安全能力建设,意图在该领域形成竞争优势。
12.欧盟与新加坡完成数字贸易谈判协议
7月25日,新加坡与欧盟已完成数字贸易协定的谈判,将促进数据流动和数字贸易。该协议包括高标准的承诺,将实现开放和安全的数据流动,促进端到端的数字贸易,并为企业和消费者建立可信赖的数字系统;将为公司和消费者提供新加坡与欧盟之间数字贸易规则的清晰度和法律确定性,并加强其数字市场之间的数字连接和互操作性。
13.英国将出台《网络安全与恢复力法案》保护关键基础设施
7月25日,英政府通信总部国家网络安全中心(NCSC)宣布将出台《网络安全与恢复力法案》,旨在加强保护英关键国家基础设施。该法案将扩大监管机构的职权范围,强化基础并增加报告要求。此外,该法案还将对传统的监管框架进行更新,扩大保护范围,以覆盖更多数字服务和供应链,填补国家防御空白。
14.俄罗斯通信监管机构扩大网络管理权力
7月30日,俄罗斯国家杜马信息政策委员会通过了一项修正案,该修正案扩大了Roskomnadzor(即俄罗斯联邦通信、信息技术和大众传媒监督局)在通信网络管理方面的权力。根据拟议变更,Roskomnadzor将能够在总检察长或其副手的请求下控制通信网络,以消除违禁内容。
目前,该机构仅在紧急情况下或俄罗斯网络运行受到威胁时才有权管理网络。新措施允许总检察长办公室在发现网络上系统或大规模传播非法内容时启动控制请求。Roskomnadzor将有权使用技术手段应对威胁,或向电信运营商发布强制命令,并要求互联网提供商向其传输数据以识别通信设备和用户设备。这些变化可能会显著改变俄罗斯互联网的运作方式。
内容来源:网信中国、信息安全国家工程研究中心、中国信息安全、国家网信办、公安部、市场监管总局、全国网安标委、公安三所网络安全法律研究中心、关键基础设施安全应急响应中心、中国政府网