2018年終盤點：資訊安全影響力新政策法規

《網絡安全法》出台已有一年多，随着相關配套法律法規、規範性檔案、政策等不斷加碼，網絡與資訊安全保障體系逐漸健全、完善。

網絡安全已上升到國家戰略，2018年，也不斷出台了不少網絡與資訊安全新的法律法規、政策檔案，引發了熱議。

讓我們一起回顧一下吧！

1、《資訊安全技術個人資訊安全規範》

《資訊安全技術個人資訊安全規範》于2018年5月1日正式實施，針對個人資訊面臨的安全問題，規範個人資訊控制者在收集、儲存、使用、共享、轉讓、公開披露等資訊處理環節中的相關行為，旨在遏制個人資訊非法收集、濫用、洩漏等亂象，最大程度地保障個人的合法權益和社會公共利益。規範了開展收集、儲存、使用、共享、轉讓、公開披露等個人資訊處理活動應遵循的原則和安全要求，适用于規範各類組織個人資訊處理活動，也适用于主管監管部門、第三方評估機構等組織對個人資訊處理活動進行監督、管理和評估。

2、《銀行業金融機構資料治理指引》

2018年5月21日，中國銀行保險監督管理委員會釋出了銀保監發〔2018〕22号檔案：

中國銀行保險監督管理委員會關于印發銀行業金融機構資料治理指引的通知。為引導銀行業金融機構加強資料治理，提高資料品質，充分發揮資料價值，提升經營管理水準，由高速增長向高品質發展轉變。《指引》包括總則、資料治理架構、資料管理、資料品質控制、資料價值實作、監督管理和附則等七章，共五十五條。

3、《通用資料保護條例》

歐盟《通用資料保護條例》（（以下簡稱GDPR））于2018年5月25日生效，旨在加強對歐盟境内居民的個人資料和隐私保護，還将通過統一資料和隐私條例來簡化對跨國企業的監管架構。GDPR被視為“史上最嚴”的資料保護立法，是歐盟起草的最全面的資料隐私法，也将為主權國家的資料隐私設定先例。

GDPR規定，世界上任何一家處理歐盟客戶資料的公司都要披露其收集、存儲和處理使用者資料的方式。歐盟使用者也可以從任何公司申請獲得其個人資料的副本，并可以要求該公司删除個人資料。不遵守GDPR的企業可能需要面臨着2000萬美元或4%年營業額的罰款。

4、《網絡安全等級保護條例（征求意見稿）》

2018年6月27日，公安部釋出《網絡安全等級保護條例（征求意見稿）》，作為《網絡安全法》的重要配套法規，對網絡安全等級保護的适用範圍、各監管部門的職責、網絡營運者的安全保護義務以及網絡安全等級保護建設等提出了更為具體的要求，為開展等級保護工作提供了重要的法律支撐。

看等保1.0到等保2.0的重要變化，主要展現在四個方面：核心法律依據的效力位階提高；統一上司機構的出現，網信部門具備更大的影響力，支援保障和監督管理更為明确；保護對象的變化，以及實際監管範圍的擴大；等級分類的界定有所調整；法律責任實質化，責任範圍有所擴大，約談制度寫入條款等。

5、《公安機關網際網路安全監督檢查規定》

2018年11月1日，《公安機關網際網路安全監督檢查規定》正式實施。根據規定，公安機關根據網絡安全防範需要和網絡安全風險隐患的具體情況，可以進入網際網路服務提供者和聯網使用機關的營業場所、機房、工作場所監督檢查，對網際網路服務提供者和聯網使用機關履行法律、行政法規規定的網絡安全義務情況進行的安全監督檢查。

作為公安機關在《網絡安全法》等網際網路安全領域的執法程式規章, 《公安機關網際網路安全監督檢查規定》明确了公安機關執法的職責權限, 以及企業配合公安機關執法的權利和義務。

6、《網際網路個人資訊安全保護指引（征求意見稿）》

2018年11月30日，公安部網絡安全保衛局釋出《網際網路個人資訊安全保護指引（征求意見稿）》。本指引規定了個人資訊安全保護的安全管理機制、安全技術措施和業務流程的安全，适用于指導個人資訊持有者在個人資訊生命周期處理過程中開展安全保護工作， 也适用于網絡安全監管職能部門依法進行個人資訊保護監督檢查時參考使用。

7、《證券基金經營機構資訊技術管理辦法》

2018年12月19日，證監會釋出《證券基金經營機構資訊技術管理辦法》，自2019年6月1日起實施。明确治理、安全、合規三條主線。在傳統資訊安全監管基礎上，針對資訊技術治理、資料治理、業務合規提出監管要求。

如有不完整之處，歡迎補充~