文化和旅游部发布《文化和旅游部关于推动在线旅游市场高质量发展的意见(征求意见稿)》
11月1日,文化和旅游部发布《文化和旅游部关于推动在线旅游市场高质量发展的意见(征求意见稿)》。征求意见稿提出,要加强游客“行踪轨迹”等个人敏感信息保护,防止超出合理经营需要收集游客个人信息,采取切实措施避免大数据杀熟、虚假宣传、虚假预定等侵害游客权益行为。强化对未经许可从事旅行社业务经营活动、“不合理低价游”等违法违规产品的监测、发现、判定和处置,维护正常的行业秩序,切实保障游客合法权益。
工信部发布《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》
11月2日,工信部发布《关于开展智能网联汽车准入和上路通行试点工作的通知(征求意见稿)》,征求意见稿提出,试点使用主体应当对试点车辆上路通行期间收集的数据加强管理,数据存储、传输、处理应当符合汽车数据安全管理等相关法律法规和技术要求。试点车辆产生的网络安全和数据安全违法违规责任,由车内安全员、试点汽车生产企业、试点使用主体、自动驾驶系统开发单位等相关主体依法承担。
征求意见稿明确,试点城市、试点汽车生产企业、试点使用主体未按规定落实网络安全和数据安全保护义务,拒不整改或整改后仍未解决问题的,发生严重网络安全或者数据安全事件的,试点应当暂停或退出。
工信部发布《关于促进网络安全保险规范健康发展的意见(征求意见稿)》
11月7日,工信部发布《关于促进网络安全保险规范健康发展的意见(征求意见稿)》,征求意见稿提出,要推动企业网络安全风险应对能力提升。鼓励重点行业企业完善网络安全风险管理机制,推动电信、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具,有效转移、防范网络安全风险,提升网络基础设施、重要信息系统和数据的安全防护能力。支持中小企业通过网络安全保险监控风险敞口,建立健全网络安全风险管理体系,不断加强中小企业网络安全防护能力。
国家卫健委等印发《“十四五”全民健康信息化规划》
11月9日,国家卫生健康委、国家中医药局、国家疾控局印发《“十四五”全民健康信息化规划》。
《规划》包括8个方面主要任务。一是集约建设信息化基础设施支撑体系;二是健全全民健康信息化标准体系;三是深化“互联网+医疗健康”服务体系;四是完善健康医疗大数据资源要素体系;五是推进数字健康融合创新发展体系;六是拓展基层信息化保障服务体系;七是强化卫生健康统计调查分析应用体系;八是夯实网络与数据安全保障体系。
《规划》同时提出要实施8个优先行动。一是互通共享三年攻坚行动;二是健康中国建设(行动)支撑行动;三是智慧医院建设示范行动;四是重点人群智能服务行动;五是药品供应保障智慧监测应对行动;六是数字公卫能力提升行动;七是“互联网+中医药健康服务”行动;八是数据安全能力提升行动。
全国信安标委发布2022年网络安全国家标准项目立项清单
11月2日,全国信息安全标准化技术委员会按照《全国信息安全标准化技术委员会标准制修订工作程序》的有关规定,发布2022年网络安全国家标准项目的立项清单。清单包含“标准制定项目”17项,“标准修订项目”13项,涉及个人信息保护、数据安全等内容。
全国信安标委发布《信息安全技术 关键信息基础设施安全保护要求》
11月7日,全国信安标委发布《信息安全技术 关键信息基础设施安全保护要求》,实施日期为2023年5月1日。
标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。
全国信安标委发布《个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》
11月8日,全国信安标委发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0(征求意见稿)》,相较于《认证规范V1.0》,《认证规范V2.0》在内容上做出诸多调整。适用情形方面,《认证规范V1.0》将适用范围限定在跨国公司之间的数据跨境行为或者个保法第三条第二款的情形,《认证规范V2.0》明确个人信息保护认证适用于“个人信息处理者开展个人信息跨境处理活动”。
认证主体方面,《认证规范V2.0》新增要求申请认证的个人信息处理者应取得合法的法人资格,正常经营且具有良好的信誉、商誉。这意味着没有法人资格的分公司、代表处、办事处将无法作为申请认证的主体。
基本原则方面,《认证规范V2.0》将适用基本原则的主体扩张至境外接收方,并从条文表述上明确了境外接收方个人信息违规处理活动的承担责任主体为指定的境内一方、多方或者境外接收方在境内设置的机构。
个人信息保护机构方面,《认证规范V2.0》新增涉及出境活动的双方的个人信息合规审计义务,以及配合认证机构监督工作的义务。
个人信息主体权利方面,《认证规范V2.0》新增个人信息主体在个人信息跨境处理活动中权益受损时的赔偿请求权。
此外,《认证规范V2.0》还细化并新增了个人信息保护影响评估的内容和要求(第5.4条),以及个人信息处理者和境外接收方的责任义务(第6.2条),包括及时通知(个人信息处理者及认证机构)境外接收方的法律环境变化、保存个人信息跨境处理活动记录、个人信息事件的通知与报告、承担相关责任义务已履行的举证责任、适用中国法等。
全国信安标委发布《信息安全技术 网络安全服务能力要求(征求意见稿)》
11月9日,全国信安标委发布《信息安全技术 网络安全服务能力要求(征求意见稿)》,征求意见稿规定,网络安全服务机构应对服务过程中获取的数据(包括原始数据、加工分析产生的数据等)进行安全保护,并满足以下要求:
a)在服务实施前,应与服务需求方明确约定数据保护的相关条款,包括服务过程中涉及的个人信息(如身份信息等)、业务数据、系统数据、安全数据、文本资料等的保护要求,以及数据的使用目的和周期、最小处理范围、最小特权访问、事后处置等保护措施;
b)处理网络安全服务过程中获取的各类数据,应遵守法律、法规要求,履行数据安全保护义务,承担社会责任,不应危害国家安全、公共利益,不得损害个人、组织的合法权益;
c)不应将网络安全服务过程中获取的数据变更目的使用,不应向第三方提供或进行公开,服务协议中明确授权或经服务需求方同意的除外;
d)应采取必要的安全措施,如加密、完整性校验、备份等,保证所获取数据的真实性、准确性,未经服务需求方同意,不应更改、删除、销毁原始数据;
e)因服务所需向境外提供、传输网络安全服务过程中获取的各类数据,应在事前向服务需求方单独告知出境目的、数据种类、数量、周期、接收方等情况,取得服务需求方书面同意。同时,还应遵守数据出境管理相关法律法规的要求;
f)因处理外国司法或执法机构的要求提供数据时,应遵守国家有关法律法规要求,上报有关主管机关批准后方可提供;
g)在服务实施完成之后,应按服务需求方和服务协议的要求,进行数据的脱敏、移交、清理、销毁等处置;服务需求方对处理情况提出核验或审计的,应予以充分配合。
《广西壮族自治区大数据发展条例》通过
11月25日,《广西壮族自治区大数据发展条例》通过,并于2023年1月1日起施行。这是广西第一部数据领域地方性法规。
关于数据安全保障,条例提出具体要求,包括实行数据安全责任制、明确对数据进行分级分类管理以及对公共数据进行安全监测、应急处置、安全备份、安全协作、安全销毁等体系建设等。
《杭州市深化数字政府建设实施方案》印发
近日,《杭州市深化数字政府建设实施方案》印发,在构建数字政府全方位安全保障体系部分,提出要进一步强化政府部门数据安全管理职责,健全网络安全工作责任体系;强化网络安全、数据安全监管;加强对参与政府信息化建设与运营企业的规范管理;构建数据安全防护能力评估指标体系;严格落实公共数据安全制度规范体系;完善公共数据安全技术防护体系等。