資料安全每周觀察 | 首個關鍵資訊基礎設施安全保護标準正式施行

政策趨勢

01

國内首個關鍵資訊基礎設施安全保護标準正式施行

2022年11月，國家市場監管總局準許釋出了《資訊安全技術 關鍵資訊基礎設施安全保護要求》（GB/T 39204-2022）國家标準檔案。該标準作為《關鍵資訊基礎設施安全保護條例》釋出後首個正式釋出的關鍵資訊基礎設施安全保護标準，為開展關鍵資訊基礎設施安全保護工作提供了具體的工作指引，已于2023年5月1日正式實施。

标準的出台是适應網絡安全形勢變化發展的必然要求，其重要意義不言而喻，為大陸關鍵資訊技術設施保護工作的深入開展奠定了堅實的基礎。标準提出了以關鍵業務為核心的整體防控、以風險管理為導向的動态防護和以資訊共享為基礎的協同聯防的關鍵資訊基礎設施安全保護3項基本原則，從分析識别、安全防護、檢測評估、監測預警、主動防禦、事件處置等6個方面提出了111條安全要求，為營運者開展關鍵資訊基礎設施保護工作需求提供了标準保障。

”

7.10 資料安全防護

資料安全防護要求包括：

a）應建立資料安全管理責任和評價考核制度，編制資料安全保護計劃，實施資料安全技術防護，開展資料安全風險評估，制定資料安全事件應急預案，及時處置安全事件，組織資料安全教育、教育訓練。

b）應建立基于資料分類分級的資料安全保護政策，明确重要資料和個人資訊保護的相應措施。

c）将在大陸境内營運中收集和産生的個人資訊和重要資料存儲在境内。因業務需要，确需向境外提供資料的，應當按照國家相關規定和标準進行安全評估。法律、行政法規另有規定的，依照其規定。

d）應嚴格控制重要資料的使用、加工、傳輸、提供和公開等關鍵環節，并采取加密、脫敏、去辨別化等技術手段保護敏感資料安全。

e）應建立業務連續性管理及容災備份機制，重要系統和資料庫實作異地備份。

f）資料可用性要求高的，應采取資料庫異地實時備份措施。業務連續性要求高的，應采取系統異地實時備份措施，確定關鍵資訊基礎設施一旦被破壞，可及時進行恢複和補救。

g）應在關鍵資訊基礎設施退役廢棄時，按照資料安全保護政策對存儲的資料進行處理。

h）應建立資料處理活動全流程的安全能力，并符合相關國家标準關于資料安全保護的要求。

公安部網絡安全保衛局副局長、一級巡視員郭啟全指出，關鍵資訊基礎設施保護是一個系統工程，有關機關和部門要将網絡安全等級保護制度、關鍵資訊基礎設施保護制度和資料安全保護制度三個制度在法律、政策、标準等方面形成有機銜接的體系。要落實上述要求，圍繞關鍵資訊基礎設施安全保護要求，建構标準體系。公安機關将大力加強關鍵資訊基礎設施安全保衛和安全監管，嚴厲打擊相關違法犯罪活動，與有關部門密切配合，着力建構關鍵資訊基礎設施綜合防禦體系，大力提升綜合防禦能力和水準，堅決維護好國家網絡空間安全。

02

五部門聯合發文：

強調網約車平台的網絡和資料安全責任

近日，交通運輸部辦公廳、工業和資訊化部辦公廳、公安部辦公廳、國家市場監督管理總局辦公廳、國家網際網路資訊辦公室秘書局聯合釋出《關于切實做好網約車聚合平台規範管理有關工作的通知》，從壓實企業責任，保障乘客和駕駛員合法權益；規範經營行為，維護公平競争市場秩序；加強協同配合，提升監管能力和水準等五方面作出部署，促進網約車行業規範健康持續發展。

《通知》提到各地交通運輸、電信、公安、網信等部門要督促網約車聚合平台及合作網約車平台公司，落實網絡安全防範措施，嚴格資料安全保護和管理，采取有效措施防止駕駛員、約車人和乘客等個人資訊洩露、損毀、丢失。

監管動态

1►中央網信辦開展專項行動優化營商網絡環境 嚴查炒作、洩露企業家個人資訊行為

中央網信辦28日通報，已下發通知在全國範圍内啟動為期3個月的“清朗·優化營商網絡環境 保護企業合法權益”專項行動，深入清理處置涉企業、企業家虛假不實和侵權資訊，堅決打擊惡意炒作行為，依法查處侵害企業、企業家合法權益的網站平台和賬号。

通知指出，本次專項行動重點治理十類網絡亂象，包括：假冒仿冒他人企業名稱、注冊商标、品牌等開設網站、新增賬號、上架APP和小程式等；洩露企業商業秘密，虛構企業家私生活話題，炒作企業家個人隐私，洩露企業家生物識别、醫療健康、金融賬戶、行蹤軌迹、家庭住址、身份證号和電話号碼等個人資訊；假借企業、企業家名義從事違法違規活動，違規使用企業家姓名肖像等；采用“标題黨”歪曲新聞原意、斷章取義企業家過往言論和片面解讀企業财務報表等方式，幹擾企業正常經營等。

2►台灣将設立資料保護機構

近日，台灣立法院通過修正個人資料保護法的草案，将成立台灣資料保護機構，該機構有權處以高達1500萬台币（約合49萬美元）的罰款。根據草案，未能實施适當安全措施以防止個人資料被盜竊、篡改、損壞、銷毀或洩露的非政府機構可能面臨2萬至200萬台币的罰款。此前，台灣憲法法院要求政府修訂資料保護立法，包括建立獨立的監督機構。憲法法院的裁決指出，政府必須在2024年8月之前建立一個負責個人資料相關事宜的機構，以解決政府機構之間關于個人資料洩露産生的争議。

業界之聲

1

“新聞資訊類”App個人資訊收集情況測試報告

近期，中國網絡空間安全協會、國家計算機網絡應急技術處理協調中心對“新聞資訊類”公衆大量使用的部分App收集個人資訊情況進行了測試。本次測試選取了19家應用商店累計下載下傳量達到1億次的“新聞資訊類”App，包括今日頭條、百度、騰訊新聞、新浪新聞、一點資訊、網易新聞、趣頭條、搜狐新聞共計8款。

報告發現，8款App在5種場景下調用了位置、裝置資訊、應用清單、剪切闆4類系統權限，未發現調用相機、麥克風、通訊錄等其他權限。同時，8款App上傳了4種類型個人資訊：①位置資訊，包括經緯度、街道位址、目前連接配接Wi-Fi MAC位址、目前連接配接基站資訊、周邊可用Wi-Fi MAC位址；②唯一裝置識别碼，包括IMEI（國際移動裝置識别碼）、Android ID（安卓ID）、OAID（開放匿名裝置辨別符）、手機MAC位址；③應用清單資訊，包括手機上已安裝、新安裝和新解除安裝的應用資訊，自上次使用App以來的應用資訊變化情況（包括更新、安裝和解除安裝）；④使用者在App首頁的截圖資訊，包括截圖操作（記錄有截圖動作發生）、截圖内容（截圖産生的圖檔）。

2

《中國數字經濟發展研究報告（2023年）》釋出

大陸數字經濟結構優化促進質的有效提升

日前，中國資訊通信研究院釋出了《中國數字經濟發展研究報告（2023年）》，報告分析發現，大陸數字經濟進一步實作量的合理增長。2022年，大陸數字經濟規模達到50.2萬億元，同比名義增長10.3%，已連續11年顯著高于同期GDP名義增速，數字經濟占GDP比重相當于第二産業占國民經濟的比重，達到41.5%。

大陸資料生産要素價值進一步釋放。資料産權、流通交易、收益配置設定、安全治理等基礎制度加快建設，破解資料價值釋放過程中的系列難題。同時，資料要素市場建設程序加快，資料産業體系進一步健全，資料确權、定價、交易流通等市場化探索不斷湧現。

3

上海資料交易所國際闆啟動建設

探索資料跨境雙向流動的新機制

近日，上海資料交易所國際闆啟動建設，探索資料跨境雙向流動的新機制，推動國内外企業開展資料跨境流通業務合作，實作全球資料互聯互通。上海資料交易所國際闆的啟動建設，将進一步深化國内國際兩個市場布局，促進全球資料産品流通交易，推動資料要素市場更高水準對外開放，為對标《數字經濟夥伴關系協定》（DEPA）等數字經濟國際通行規則提供實踐基礎。