一、《網(wǎng)絡安全法》2023年6月1日正式施行

《網(wǎng)絡安全法》共七章七十九條,主要包括七大方面:

維護網(wǎng)絡主權與合法權益。該法第一條即明確規(guī)定“維護網(wǎng)絡空間主權和國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,促進經(jīng)濟社會信息化健康發(fā)展。”

支持與促進網(wǎng)絡安全。專門拿出一章的內(nèi)容,要求建立和完善國家網(wǎng)絡安全體系,支持各地各相關部門加大網(wǎng)絡安全投入、研發(fā)和應用,支持創(chuàng)新網(wǎng)絡安全管理方式,提升保護水平。

強調網(wǎng)絡運行安全。利用兩節(jié)共十九條的篇幅作了詳細規(guī)定,突出“國家實行網(wǎng)絡安全等級保護制度”和“關鍵信息基礎設施的運行安全”。

保障網(wǎng)絡信息安全。以法律形式明確“網(wǎng)絡實名制”,要求網(wǎng)絡運營者收集使用個人信息,應當遵循合法、正當、必要的原則,“不得出售個人信息”。

監(jiān)測預警與應急處置。要求建立健全網(wǎng)絡安全監(jiān)測預警和信息通報制度,建立網(wǎng)絡應急工作機制,制定應急預案,重大突發(fā)事件可采取“網(wǎng)絡通信管制”。

完善監(jiān)督管理體制。該法第八條規(guī)定國家網(wǎng)信部門負責統(tǒng)籌協(xié)調網(wǎng)絡安全工作和相關監(jiān)督管理工作。國務院電信主管部門、公安部門和其他有關機關在各自職責范圍內(nèi)負責網(wǎng)絡安全保護和監(jiān)督管理。

明確相關利益者法律責任。該法第六章對網(wǎng)絡運營者、網(wǎng)絡產(chǎn)品或者服務提供者、關鍵信息基礎設置運營者,以及網(wǎng)信、公安等眾多責任主體的處罰懲治標準,作了詳細規(guī)定。

二、《數(shù)據(jù)安全法》2023年9月1日正式施行

《數(shù)據(jù)安全法》重點確立了數(shù)據(jù)安全保護的各項基本制度,完善了數(shù)據(jù)分類分級、重要數(shù)據(jù)保護、跨境數(shù)據(jù)流動和數(shù)據(jù)交易管理等多項重要制度,形成了我國數(shù)據(jù)安全的頂層設計。該法共七章五十五條,其中 “總則”、“法律責任”及“附則”三章屬于常規(guī)章節(jié),另外四個章節(jié)圍繞著“數(shù)據(jù)安全與發(fā)展、數(shù)據(jù)安全制度、數(shù)據(jù)安全保護義務、政務數(shù)據(jù)安全與開放”來提出要求。

《數(shù)據(jù)安全法》對數(shù)據(jù)分類分級制度進行了探索。《數(shù)據(jù)安全法》第二十一條規(guī)定,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數(shù)據(jù)實行分類分級保護,并明確加強對重要數(shù)據(jù)的保護,對關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等內(nèi)容的國家核心數(shù)據(jù),實行更加嚴格的管理制度。

《數(shù)據(jù)安全法》針對重要數(shù)據(jù)在管理形式和保護要求上提出了嚴格和明確的保護制度。在管理形式上,《數(shù)據(jù)安全法》采用目錄管理的方式,明確將“確定重要數(shù)據(jù)目錄”納入國家層面管理事項,國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門制定重要數(shù)據(jù)目錄。而各地區(qū)、各部門制定本地區(qū)、本部門及相關行業(yè)、領域的重要數(shù)據(jù)具體目錄,有利于形成國家與各地方、各部門管理權限之間的合理協(xié)調機制,推動重要數(shù)據(jù)統(tǒng)一認定標準的建立。在保護要求上,《數(shù)據(jù)安全法》在一般保護之外,強化了重要數(shù)據(jù)、核心數(shù)據(jù)的保護要求。一是規(guī)定數(shù)據(jù)處理者開展數(shù)據(jù)處理活動應當依照法律法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓,采取相應的技術措施和其他必要措施,保障數(shù)據(jù)安全;二是規(guī)定了重要數(shù)據(jù)處理者“明確數(shù)據(jù)安全負責人和管理機構”的義務,要求重要數(shù)據(jù)處理者在內(nèi)部作出明確的責任劃分,落實數(shù)據(jù)安全保護責任;三是規(guī)定了重要數(shù)據(jù)處理者進行風險評估的要求,重要數(shù)據(jù)處理者應當按照規(guī)定對其數(shù)據(jù)處理活動定期開展風險評估,并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數(shù)據(jù)的種類、數(shù)量,開展數(shù)據(jù)處理活動的情況,面臨的數(shù)據(jù)安全風險及其應對措施等。

《數(shù)據(jù)安全法》建立數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警和應急處置機制。通過對數(shù)據(jù)安全風險信息的獲取、分析、研判、預警以及數(shù)據(jù)安全事件發(fā)生后的應急處置,實現(xiàn)數(shù)據(jù)安全事前、事中和事后的全流程保障。《數(shù)據(jù)安全法》第二十二條規(guī)定:“國家建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制。國家數(shù)據(jù)安全工作協(xié)調機制統(tǒng)籌協(xié)調有關部門加強數(shù)據(jù)安全風險信息的獲取、分析、研判、預警工作。”第二十九條規(guī)定:“開展數(shù)據(jù)處理活動應當加強風險監(jiān)測,發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時,應當立即采取補救措施……”

三、《個人信息保護法》2023年11月1日正式施行

《個人信息保護法》共8章74條。在有關法律的基礎上,該法進一步細化、完善個人信息保護應遵循的原則和個人信息處理規(guī)則,明確個人信息處理活動中的權利義務邊界,健全個人信息保護工作體制機制。

亮點一:確立個人信息保護原則

個人信息保護的原則是收集、使用個人信息的基本遵循,是構建個人信息保護具體規(guī)則的制度基礎。

《個人信息保護法》借鑒國際經(jīng)驗并立足我國實際,確立了個人信息處理應遵循的原則,強調處理個人信息應當遵循合法、正當、必要和誠信原則,具有明確、合理的目的并與處理目的直接相關,采取對個人權益影響最小的方式,限于實現(xiàn)處理目的的最小范圍,公開處理規(guī)則,保證信息質量,采取安全保護措施等。

亮點二:規(guī)范處理活動保障權益

《個人信息保護法》緊緊圍繞規(guī)范個人信息處理活動、保障個人信息權益,構建了以“告知-同意”為核心的個人信息處理規(guī)則。

“‘告知-同意’是法律確立的個人信息保護核心規(guī)則,是保障個人對其個人信息處理知情權和決定權的重要手段。”楊合慶說。

《個人信息保護法》要求,處理個人信息應當在事先充分告知的前提下取得個人同意,個人信息處理的重要事項發(fā)生變更的應當重新向個人告知并取得同意。同時,針對現(xiàn)實生活中社會反映強烈的一攬子授權、強制同意等問題,個人信息保護法特別要求,個人信息處理者在處理敏感個人信息、向他人提供或公開個人信息、跨境轉移個人信息等環(huán)節(jié)應取得個人的單獨同意,明確個人信息處理者不得過度收集個人信息,不得以個人不同意為由拒絕提供產(chǎn)品或者服務,并賦予個人撤回同意的權利,在個人撤回同意后,個人信息處理者應當停止處理或及時刪除其個人信息。

亮點三:禁止“大數(shù)據(jù)殺熟”規(guī)范自動化決策

當前,越來越多的企業(yè)利用大數(shù)據(jù)分析、評估消費者的個人特征用于商業(yè)營銷。有一些企業(yè)通過掌握消費者的經(jīng)濟狀況、消費習慣、對價格的敏感程度等信息,對消費者在交易價格等方面實行歧視性的差別待遇,誤導、欺詐消費者。其中,最典型的就是社會反映突出的“大數(shù)據(jù)殺熟”。

對此,《個人信息保護法》明確規(guī)定:個人信息處理者利用個人信息進行自動化決策,應當保證決策的透明度和結果公平、公正,不得對個人在交易價格等交易條件上實行不合理的差別待遇。

亮點四:嚴格保護敏感個人信息

《個人信息保護法》將生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息列為敏感個人信息。個人信息保護法要求,只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可處理敏感個人信息,同時應當事前進行影響評估,并向個人告知處理的必要性以及對個人權益的影響。

值得關注的是,為保護未成年人的個人信息權益和身心健康,《個人信息保護法》特別將不滿十四周歲未成年人的個人信息確定為敏感個人信息予以嚴格保護。

亮點五:規(guī)范國家機關處理活動

為履行維護國家安全、懲治犯罪、管理經(jīng)濟社會事務等職責,國家機關需要處理大量個人信息。保護個人信息權益、保障個人信息安全是國家機關應盡的義務和責任。但近年來,一些個人信息泄露事件也反映出有些國家機關存在個人信息保護意識不強、處理流程不規(guī)范、安全保護措施不到位等問題。

對此,《個人信息保護法》對國家機關處理個人信息的活動作出專門規(guī)定,特別強調國家機關處理個人信息的活動適用本法,并且處理個人信息應當依照法律、行政法規(guī)規(guī)定的權限和程序進行,不得超出履行法定職責所必需的范圍和限度。

亮點六:賦予個人充分權利

《個人信息保護法》將個人在個人信息處理活動中的各項權利,包括知悉個人信息處理規(guī)則和處理事項、同意和撤回同意,以及個人信息的查詢、復制、更正、刪除等總結提升為知情權、決定權,明確個人有權限制個人信息的處理。

同時,為了適應互聯(lián)網(wǎng)應用和服務多樣化的實際,滿足日益增長的跨平臺轉移個人信息的需求,個人信息保護法對個人信息可攜帶權作了原則規(guī)定,要求在符合國家網(wǎng)信部門規(guī)定條件的情形下,個人信息處理者應當為個人提供轉移其個人信息的途徑。

亮點七:強化個人信息處理者義務

個人信息處理者是個人信息保護的第一責任人。據(jù)此,個人信息保護法強調,個人信息處理者應當對其個人信息處理活動負責,并采取必要措施保障所處理的個人信息的安全。

在此基礎上,《個人信息保護法》設專章明確了個人信息處理者的合規(guī)管理和保障個人信息安全等義務,要求個人信息處理者按照規(guī)定制定內(nèi)部管理制度和操作規(guī)程,采取相應的安全技術措施,指定負責人對其個人信息處理活動進行監(jiān)督,定期對其個人信息活動進行合規(guī)審計,對處理敏感個人信息、利用個人進行自動化決策、對外提供或公開個人信息等高風險處理活動進行事前影響評估,履行個人信息泄露通知和補救義務等。

亮點八:賦予大型網(wǎng)絡平臺特別義務

互聯(lián)網(wǎng)平臺服務是數(shù)字經(jīng)濟區(qū)別于傳統(tǒng)經(jīng)濟的顯著特征。互聯(lián)網(wǎng)平臺為商品和服務的交易提供技術支持、交易場所、信息發(fā)布和交易撮合等服務。

“在個人信息處理方面,互聯(lián)網(wǎng)平臺為平臺內(nèi)經(jīng)營者處理個人信息提供基礎技術服務、設定基本處理規(guī)則,是個人信息保護的關鍵環(huán)節(jié)。”楊合慶指出,提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者對平臺內(nèi)的交易和個人信息處理活動具有強大的控制力和支配力,因此在個人信息保護方面應當承擔更多的法律義務。

據(jù)此,個人信息保護法對這些大型互聯(lián)網(wǎng)平臺設定了特別的個人信息保護義務,包括:按照國家規(guī)定建立健全個人信息保護合規(guī)制度體系,成立主要由外部成員組成的獨立機構對個人信息保護情況進行監(jiān)督;遵循公開、公平、公正的原則,制定平臺規(guī)則;對嚴重違法處理個人信息的平臺內(nèi)產(chǎn)品或者服務提供者,停止提供服務;定期發(fā)布個人信息保護社會責任報告,接受社會監(jiān)督。個人信息保護法的上述規(guī)定是為了提高大型互聯(lián)網(wǎng)平臺經(jīng)營業(yè)務的透明度,完善平臺治理,強化外部監(jiān)督,形成全社會共同參與的個人信息保護機制。

亮點九:規(guī)范個人信息跨境流動

隨著經(jīng)濟全球化、數(shù)字化的不斷推進以及我國對外開放的不斷擴大,個人信息的跨境流動日益頻繁,但由于遙遠的地理距離以及不同國家法律制度、保護水平之間的差異,個人信息跨境流動風險更加難以控制。

一是明確以向境內(nèi)自然人提供產(chǎn)品或者服務為目的,或者分析、評估境內(nèi)自然人的行為等,在我國境外處理境內(nèi)自然人個人信息的活動適用本法,并要求符合上述情形的境外個人信息處理者在我國境內(nèi)設立專門機構或者指定代表,負責個人信息保護相關事務;二是明確向境外提供個人信息的途徑,包括通過國家網(wǎng)信部門組織的安全評估、經(jīng)專業(yè)機構認證、訂立標準合同、按照我國締結或參加的國際條約和協(xié)定等;三是要求個人信息處理者采取必要措施保障境外接收方的處理活動達到本法規(guī)定的保護標準;四是對跨境提供個人信息的“告知-同意”作出更嚴格的要求,切實保障個人的知情權、決定權等權利;五是為維護國家主權、安全和發(fā)展利益,對跨境提供個人信息的安全評估、向境外司法或執(zhí)法機構提供個人信息、限制跨境提供個人信息的措施、對外國歧視性措施的反制等作了規(guī)定。

亮點十:健全個人信息保護工作機制

個人信息保護涉及的領域廣,相關制度措施的落實有賴于完善的監(jiān)管執(zhí)法機制。

根據(jù)個人信息保護工作實際,個人信息保護法明確,國家網(wǎng)信部門和國務院有關部門在各自職責范圍內(nèi)負責個人信息保護和監(jiān)督管理工作,同時,對個人信息保護和監(jiān)管職責作出規(guī)定,包括開展個人信息保護宣傳教育、指導監(jiān)督個人信息保護工作、接受處理相關投訴舉報、組織對應用程序等進行測評、調查處理違法個人信息處理活動等。

此外,為了加強個人信息保護監(jiān)管執(zhí)法的協(xié)同配合,個人信息保護法還進一步明確了國家網(wǎng)信部門在個人信息保護監(jiān)管方面的統(tǒng)籌協(xié)調作用,并對其統(tǒng)籌協(xié)調職責作出具體規(guī)定。

四、《關鍵信息基礎設施條例》2023年9月1日正式實施

國家對關鍵信息基礎設施實行重點保護,采取措施,監(jiān)測、防御、處置來源于中華人民共和國境內(nèi)外的網(wǎng)絡安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治危害關鍵信息基礎設施安全的違法犯罪活動。

亮點一:確定關鍵信息基礎設施的認定方法

1、關鍵信息基礎設施的定義:是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡設施、信息系統(tǒng)等。

2、認定主體:重要行業(yè)和領域的主管部門、監(jiān)督管理部門(以下簡稱“保護工作部門”)

3、認定依據(jù):關鍵信息基礎設施認定規(guī)則,此規(guī)則由保護工作部門制定并報國務院公安部門備案。

4、認定方式:保護工作部門根據(jù)關鍵信息基礎設施認定規(guī)則,負責組織認定本行業(yè)、本領域的關鍵信息基礎設施,及時將認定結果通知關鍵信息基礎設施運營者,并通報國務院。

亮點二:明確關鍵信息基礎設施的主管部門及各自職責

1、保護工作部門(即重要行業(yè)和領域的主管部門、監(jiān)督管理部門):負責本行業(yè)、本領域內(nèi)關鍵信息基礎設施的安全保護工作, 具體職責有以下8點:

2、國務院電信主管部門(即國家工業(yè)和信息化部):在職責范圍內(nèi)負責關鍵信息基礎設施的安全保護和監(jiān)督管理工作,主要是負責電信安全(如匯集基礎電信網(wǎng)絡實施漏洞探測、滲透性測試等活動情況)。

3、國家網(wǎng)信部門(即國家互聯(lián)網(wǎng)信息辦公室):負責協(xié)調統(tǒng)籌工作,主要是協(xié)調網(wǎng)絡安全信息的共享以及各部門對關鍵信息基礎設施的網(wǎng)絡安全檢查檢測,避免不必要的檢查和交叉重復檢查。

4、國務院公安部門(即公安部):負責指導監(jiān)督工作,主要從保證國家安全角度出發(fā),包括負責關鍵信息基礎設施認定規(guī)則備案、匯總關鍵信息基礎設施名單、收集關鍵信息基礎設施發(fā)生的特別重大網(wǎng)絡安全事件和網(wǎng)絡安全威脅信息、對關鍵信息基礎設施進行網(wǎng)絡安全檢查檢測等。

亮點三:明確運營者的三大特殊合規(guī)制度建設義務

1、建立健全網(wǎng)絡安全保護制度

2、建立健全數(shù)據(jù)安全保護制度

3、建立健全個人信息保護制度

亮點四:強化和落實關鍵信息基礎設施運營者主體責任

1、責任要求:關鍵信息基礎設施運營者實行“一把手負責制”,明確運營者主要負責人負總責,保障人財物投入。

2、崗位建設:設置專門安全管理機構,履行安全保護職責,參與本單位與網(wǎng)絡安全和信息化有關的決策,并對機構負責人和關鍵崗位人員進行安全背景審查。網(wǎng)絡安全管理和網(wǎng)絡運營關鍵崗位禁用人員:因實施危害或可能危害關鍵信息基礎設施安全的活動而受到治安管理處罰的人員,5年內(nèi)不得從事網(wǎng)絡安全管理和網(wǎng)絡運營關鍵崗位的工作;受到刑事處罰的人員,終身不得從事網(wǎng)絡安全管理和網(wǎng)絡運營關鍵崗位的工作。

亮點五:對漏洞探測、滲透性測試等活動進行了特別規(guī)定

《條例》第三十一條規(guī)定:“未經(jīng)國家網(wǎng)信部門、國務院公安部門批準或者保護工作部門、運營者授權,任何個人和組織不得對關鍵信息基礎設施實施漏洞探測、滲透性測試等可能影響或者危害關鍵信息基礎設施安全的活動。對基礎電信網(wǎng)絡實施漏洞探測、滲透性測試等活動,應當事先向國務院電信主管部門報告。”

五、反恐主義普法專題

《中華人民共和國反恐怖主義法》是一部全面、系統(tǒng)地規(guī)定有關工作體制機制和手段措施的綜合性法律,是反恐主義工作的基本法。該法是為了防范和懲治恐怖活動,加強反恐怖主義工作,維護國家安全、公共安全和人民生命財產(chǎn)安全,根據(jù)憲法制定的。由中華人民共和國主席于2023年12月27日發(fā)布,2023年1月1日施行。

什么是恐怖主義?

恐怖主義是指通過暴力、破壞、恐嚇等手段,制造社會恐慌、危害公共安全、侵犯人身財產(chǎn), 或者脅迫國家機關、國際組織,以實現(xiàn)其政治、意識形態(tài)等目的的主張和行為。

恐怖活動是指恐怖主義性質的下列行為:

·組織、策劃、準備實施、實施造成或者意圖造成人員傷亡、 重大財產(chǎn)損失、公共設施損壞、社會秩序混亂等嚴重社會危害的活動的。

·宣揚恐怖主義,煽動實施恐怖活動,或者非法持有宣揚恐怖主義的物品,強制他人在公共場所穿戴宣揚恐怖主義的服飾、標志的。

·組織、領導、參加恐怖活動組織的。

·為恐怖活動組織、恐怖活動人員、實施恐怖活動或者恐怖活動培訓提供信息、資金、物資、勞務、技術、場所等支持、協(xié)助、便利的。