2020年即將過去，在新基建、數字化轉型加速的一年，網絡安全態勢面臨更復雜的挑戰，數據安全問題日益嚴峻、安全防御體系隨著數字化進程脆弱性凸顯，在此背景下，國家日益重視網絡與信息安全的法制建設和政策力量布局，幾十份網絡安全與信息化建設的法律、法規、政策文件相繼出臺發布。

 

對此，本文將對2020年網絡與信息安全主要法律法規、政策文件進行匯總、梳理，幫助行業用戶回顧過去一年安全政策現狀和發展趨勢。

 

《中華人民共和國密碼法》

 

1月1日，《中華人民共和國密碼法》正式實施，這是我國密碼領域的第一部法律，旨在規范密碼應用和管理，促進密碼事業發展，保障網絡與信息安全，提升密碼管理科學化、規范化、法治化水平，是我國密碼領域的綜合性、基礎性法律。

 

密碼法是總體國家安全觀框架下，國家安全法律體系的重要組成部分，它的頒布實施將極大的提升密碼工作的科學化、規范化、法制化水平，有力促進密碼技術進步，產業發展和規范應用，切實維護國家安全、社會公共利益，以及公民、法人及其他社會組織的合法權益，同時也為密碼部門工作提供了堅實的法治保障。

 

《個人金融信息保護技術規范》

 

2月13日，中國人民銀行正式發布《個人金融信息保護技術規范》（JR/T 0171—2020），該規范由中國人民銀行提出，全國金融標準化技術委員會歸口管理，中國人民銀行科技司提出并負責起草。

 

該規范的發布，有助于規范金融業機構個人金融信息保護工作，提升金融數據風險防控能力，促進我國金融市場的健康發展。同時，有助于提高金融機構個人賬戶信息、銀行卡信息安全管理水平，加大互聯網交易風險防控力度，防范各類金融交易風險，切實維護金融穩定，保護金融消費者合法權益。

 

《信息安全技術 個人信息安全規范》

 

3月6日，國家市場監督管理總局、國家標準化管理委員會發布新版國家標準《信息安全技術個人信息安全規范》（GB/T35273-2020），并定于 2020年10月1日實施。分別從事件驅動及和政策驅動的角度，提醒IT、互聯網乃至全社會公民重視個人信息的安全保護。

 

與17版《規范》相比，20版《規范》開篇即明確了主要技術變化，并有“兩大一小”三個變化。“兩大一小”三個變化中，小的變化“個人信息控制者”的定義值得我們關注，在17版中描述為“有權決定個人信息處理目的、方式等的組織或個人”，20版中則是“有能力決定個人信息處理目的、方式等的組織或個人。”

 

一個是“權”，一個是“能力”，而從民法學上講，權利能力反映了權利主體取得權利和承擔義務的資格，行為能力則是指權利主體能夠通過自己的行為取得權利和承擔義務的能力，所以兩者相較，可以看出20版的規范對象更加寬泛。

 

《信息安全技術 防火墻安全技術要求和測試評價辦法》

 

4月28日，由全國信息安全標準化技術委員會歸口管理的GB/T 20281-2020《信息安全技術 防火墻安全技術要求和測試評價辦法》獲批正式發布，并于2020年11月1日正式實施。本標準在GB/T 20281-2015基礎上，結合GB/T 20010-2005、GB/T 31505-2015和GB/T 32917-2016的要求，統一明確了各類防火墻：網絡型防火墻、WEB應用防火墻、數據庫防火墻、主機型防火墻的定義、安全技術要求、測試評價方法及安全等級劃分。

 

可以看到，網絡型防火墻、WEB應用型防火墻、主機型防火墻都是對原有國家標準的修訂、升級，而數據庫防火墻則是首次以國家標準形式明確定義和相關要求，這將直接改觀數據庫防火墻產品水平參差不齊的市場現狀，解決用戶選擇數據庫防火墻產品缺乏國家標準指導的困境，為落地等保2.0數據安全建設、落實關鍵基礎設施數據安全保護提供了產品層面標準依據。

 

《網絡安全審查辦法》

 

6月1日，由國家互聯網信息辦公室、發展改革委、工信部等12部門聯合發布的《網絡安全審查辦法》正式實施?！掇k法》明確指出，關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當進行網絡安全審查。

 

《網絡安全審查辦法》的發布，是落實《網絡安全法》要求、構建國家網絡安全審查工作機制的重要舉措，是確保關鍵信息基礎設施供應鏈安全的關鍵手段，更是保障國家安全、經濟發展和社會穩定的現實需要?！毒W絡安全審查辦法》的發布實施，將為我國關鍵信息基礎設施的持續穩定運行筑起一道安全底線，將在維護國家安全、經濟發展和社會穩定方面持續發揮關鍵作用。

 

《中華人民共和國數據安全法（草案）》

 

7月2日，中國人大網發布《中華人民共和國數據安全法 (草案) 》并公開征求意見，內容涉及7章51條，包括：總則、數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任和附則。

 

《數據安全法（草案）》的發布，是我國數據時代的重要一步，體現了國家對支持數字經濟的決心與信心，是數字經濟“安全與發展”并重的體現。在《中華人民共和國數據安全法（草案）》的契機下，未來數字經濟發展、數據交易市場、數據安全檢測與認證等服務機會將大有可為。

 

《電信和互聯網行業數據阿暖標準體系建設指南（征求意見稿）》

 

8月11日，工信部發布了《電信和互聯網行業數據安全標準體系建設指南(征求意見稿)》，該指南旨在落實相關法律法規要求，指導電信和互聯網行業數據安全標準化工作，由中國信息通信研究院、中國通信標準化協會等單位起草。

 

指南為保障電信和互聯網行業數據安全、促進數據合理有序流動、助力數字經濟高質量發展提供了有力支撐。也為未來國際數據流通和數字經濟全球化提供了參考。

 

《金融數據安全 數據安全分級指南》

 

2020年9月23日，中國人民銀行正式發布《金融數據安全 數據安全分級指南》（JR/T0197—2020）金融行業標準。標準給出了金融數據安全分級的目標、原則和范圍，明確了數據安全定級的要素、規則和定級過程，同時明確標準適用于金融業機構開展數據安全分級工作，以及第三方評估機構等參考開展數據安全檢查與評估工作。

 

本標準的發布，進一步完整了金融數據安全制度體系的拼圖，傳達了行業主管部門對金融數據安全的重視，促進了金融業相關業務穩健發展，也為建立覆蓋數據生命周期全過程的安全管控體系奠定基礎。美創在數據安全領域深耕多年，持續跟進國內外數據安全政策及前沿技術發展，致力為金融行業客戶提供所需的數據安全產品、咨詢及服務，共同深挖數據價值、釋放數據潛能，推動金融實現高質量發展。

 

《中華人民共和國個人信息保護法（草案）》

 

10月13日，《中華人民共和國個人信息保護法（草案）》在全國人大常委會會議上首次亮相，從確立“告知——同意”為核心的個人信息處理一系列規則、嚴格限制處理敏感個人信息、明確國家機關對個人信息的保護義務等方面，全面加強個人信息的法律保護。

 

《中華人民共和國個人信息保護法（草案）》重點在于明確個人信息的處理規則，規范信息處理活動，但仍有相當篇幅涉及到個人信息的安全保護措施，并對安全審計、個人信息處理的風險評估等提出了新要求。草案的出臺，一方面對我國國內互聯網企業的合規提出了新的期待，另一方面也對我國政府監管提出了更高要求。同時，對我國信息經濟發展的也起到了極大的促進作用。

 

《信息安全技術政務信息共享 數據安全技術要求》

 

11月25日，由全國信息安全標準化技術委員會歸口上報及執行的GB/T 39477-2020《信息安全技術政務信息共享 數據安全技術要求》獲批正式發布，并將于2021年6月1日正式實施。

 

該標準是“國家政務信息共享標準”的重要組成部分，針對政務信息數據流轉的全過程和面臨的數據安全風險，明確了包括身份鑒別、訪問控制、安全傳輸、數據加密、脫敏處理、安全審計等方面涉及的安全技術要求，后續在國家各級政府電子政務領域具備較強推廣意義，可以有效提升政務信息資源采集、共享、使用過程的安全防護能力，全面保障政務信息資源共享交換數據安全。

---

來源：美創