近日,2021年中国网络安全大事件在京发布。此次活动由中国计算机学会主办、中国计算机学会计算机安全专业委员会承办,通过对2021年重大网络安全事件的梳理,采用征求业界部分专家意见和网络公开投票的方式,评选出10件2021年中国网络安全大事件,相关专家和业界人士也对此发表了观点。
密码是国之重器,关乎党和国家安全,是我们党和国家的“命门”“命脉”,是国家的重要战略资源。密码技术是解决当前网络空间安全保障最有效的关键核心技术,而核心技术是买不来、要不到,买来也不敢用的,必须靠自力更生、自主创新。新形势对密码工作提出了新挑战,需要密码科研能力和制度的同步引领。密码科研工作者应时刻保持危机感和使命感,把自己的理想同党和国家的命运紧密联系在一起,始终紧紧围绕国家安全需求开展研究,以问题为中心探索密码发展规律,走自主创新的发展道路。
中国商用密码工作取得了快速的发展,法规体系不断健全、管理体制不断完善、科研创新能力不断增强、产业队伍不断壮大、应用领域不断拓展,产生了显著的社会效益和经济效益,在国民经济和社会生活中发挥了保障支撑作用。《信息安全技术 信息系统密码应用基本要求》的发布,是开展商用密码应用安全性评估工作的重要抓手,为构建安全可信网络空间保障体系发挥了重要作用。
随着移动互联网快速发展,各类App在促进经济社会发展、服务民生的同时,违法违规收集使用个人信息的行为也引发社会广泛关注。2021年,《数据安全法》《个人信息保护法》等相关法律法规陆续出台,明确“谁收集谁负责、谁持有谁负责、谁使用谁负责”的原则。近期工信部发布了《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,为企业规范App个人信息处理活动提供了明确的指导意见。
本次发布的《征求意见稿》明确及细化了App个人信息处理活动中涉及主体的责任和义务,确立了企业处理个人信息活动应遵循“最小必要”原则,保障用户在App处理个人信息活动中的同意权、知情权、选择权,防范App违法违规收集使用个人信息等侵害用户权益的行为,保护App个人信息安全。
数据作为国家基础性战略资源,被纳入新型生产要素,成为推动企业数字化转型以及数字经济发展的新动力。企业在开展App业务的同时应当重视用户个人信息保护,以法律为准绳,以标准为抓手,建立以个人信息为中心的数据安全保障体系,做好覆盖个人信息处理活动全场景的数据安全防护工作,规范App关键环节中主体应承担的责任及义务,提升App个人信息保护能力。
《中华人民共和国数据安全法》在努力健全国家治理急需、满足人民日益增长的美好生活需要必备的法律制度方面,具有重要的指导意义。
第一,数据作为国家基础战略资源,通过立法可以有效提升国家数据安全保障能力。数据安全法贯彻落实总体国家安全观,聚焦数据安全领域的风险隐患,加强国家数据安全工作的统筹协调,确立了数据分类分级管理、数据安全审查、数据安全风险评估等基本制度,通过建立健全各项制度措施,切实维护国家主权和安全。
第二,数据是当前经济发展的创新引擎,通过数据安全立法,可以更好地服务和支撑我国数字经济发展。数据安全法在规范各类数据处理活动的同时,对各种数据主体落实数据安全保护义务作出相应规定,通过促进数据依法合理有效利用,加快形成以创新为主要引领和支撑的数字经济,更好地服务我国经济社会发展。
第三,随着数据安全法的正确实施,真正把“纸上的法律”变为“行动中的法律”。在数智化时代,数据将深刻地影响生活的方方面面,要通过严格执法、公正司法和全民守法,让广大人民群众在数字化发展中获得更多幸福感、安全感。
《关键信息基础设施安全保护条例》(以下简称《条例》)的发布施行,首先是明确了《条例》是网安法的下位法,其诸多概念性规制和要求都是遵循网安法规定的。如:再次强调了“在网络安全等级保护的基础上实施重点保护”;明确了“在国家网信部门统筹协调下,公安部门负责指导监督关键信息基础设施安全保护工作”;确定了以行业主管为主线的保护工作部门,规定由保护工作部门制定本行业的关键信息基础设施认定规则,并报公安部门备案;规定了制定认定规则主要考虑的因素(重要程度、危害程度、关联性影响),明确认定由保护工作部门负责,并要求通报公安部门,如果发生“较大变化”要在3个月内完成重新认定,并通报公安部门;明确运营者和主要负责人的关键信息基础设施保护责任,首次规定了“主要负责人负总责”;规定了建立专门安全管理机构和八个方面的职责;规定了对于漏洞探测和渗透性测试管理的要求。
其次,《条例》对于确保关键信息基础设施安全,保障国家安全、经济发展和社会稳定,推进信息化建设具有十分重要的意义;是落实《网络安全法》要求,进一步健全关键信息基础设施安全保护的法律法规;是应对当前复杂的国际形势带来的安全风险,我国关键信息基础设施安全的重要制度保障;明确了各层级监督管理职能,特别是关键信息基础设施安全保护工作部门和运营者的职责分工,强化了各方对关键信息基础设施供应链的安全风险意识。
随着互联网业态发展、信息技术应用和数字中国的建设,个人信息保护已成为广大人民群众最关心、最现实的利益问题之一,国家立法部门为此出台《个人信息保护法》,并于2021年11月1日正式实施。这一新规的出台是党和国家坚持和贯彻以人民为中心的法治理念,牢牢把握保护人民群众个人信息权益的立法定位,聚焦个人信息保护领域的突出问题并回应人民群众关切的重大举措,非常及时、非常必要,是我国个人信息保护进程中具有里程碑意义的重大事件。
一是明确了个人信息范畴,将与自然人相关的,以电子或者其他方式记录的,与已识别或者可识别的自然人有关的各种信息都纳入了保护范围;二是赋予了个人信息主体的权利,包括知情权、查阅复制权、可携带权、更正补充权、删除权、解释说明权等;三是提出了处理个人信息的原则,有明确、合理的目的,合法、正当、必要、公开、透明,采取对个人权益影响最小的方式和限于实现处理目的最小的范围,保证个人信息的准确性、完整性;四是规定了个人信息存储、处理者法律责任,应当定期对其个人信息处理活动遵守法律、行政法规的情况进行合规审计,对企业的合规审计将会成为常态;五是明确了国家提供个人信息公共服务,推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务;六是建立了分类分级制的个人信息跨境传输规则,在中华人民共和国境内收集和产生的个人信息应当存储在境内,确需向境外提供的,应当遵从法律、行政法规和国家网信部门的规定办理。
《网络产品安全漏洞管理规定》的出台将推动网络产品安全漏洞管理工作的制度化、规范化、法治化,提高相关主体漏洞管理水平,引导建设规范有序的漏洞发现、收集和发布渠道,有助于防范网络安全重大风险,保障国家网络空间安全。
第一,从宏观视角看,该规定基于网络安全法制定,是落实网络安全法的有效手段。确定了网络产品安全漏洞管理工作是贯彻网络安全法的重要手段之一,表明了网络产品安全漏洞是网络空间主权的核心处置对象之一。
第二,明确了多方责任。该规定聚焦了网络产品安全漏洞,框定了网络产品提供者、网络运营者以及从事漏洞发现、收集、发布等活动的组织或个人等各方在漏洞相关工作中的边界,减少或避免未知漏洞披露风险对社会各个层面的破坏。
第三,梳理了协作机制。化解国家在网络产品安全漏洞收集和管理的多头局面,确定漏洞作为国家管制物项在不同国家机关之间的共享、协同以及一致性管控机制,提升国家级漏洞管理工作的效能。
第四,优化了产业生态。该规定进一步优化了我国网络安全环境,鼓励各类主体发挥各自技术和机制优势开展漏洞发现、收集、发布等相关工作,同时也是对以安全漏洞为交易物的地下经济的沉重打击。
从该规定中我们体会到国家对网络安全的重视之深、力度之强,同时也关注到新技术发展所带来的新挑战。我们建议各厂商、运营者以及漏洞挖掘分析组织尽快建立与规定适配的漏洞管理机制和系统,聚合各方面能力,与各主管机关、行业协会共同建立漏洞共享、共御体系,保障国家网络空间安全。同时建议在管理规定出台后,主管机构也要鼓励产业涌现更多合规并有能力的漏洞发现人员,并提升漏洞挖掘工具研制能力,防止我们在漏洞发现时效和范围上受制于人。
《中华人民共和国反电信网络诈骗法(草案)》的突出特色表现在以下几个方面:一是强调了源头治理和综合治理,将治理重心转移到了事前预防。加强了电信、互联网服务的信息登记,健全了金融业务尽职调查要求,明确了不得非法买卖、出租、出借相关卡和账号的行为,对此类犯罪行为形成强大的威慑力。二是明确了各相关部门的责任,提出了明确的工作要求。落实相关行业或者单位反诈工作不力的民事责任、行政责任,形成反电信网络诈骗工作责任闭环。三是大力加强了技术手段的应用。利用大数据、AI等技术手段,融合多渠道的数据,建立跨行业、跨部门、跨企业的检测技术手段,以技术措施应对不断翻新的犯罪手段,实现对此类犯罪行业的精准打击。
数据作为第五大生产要素已经成为新时期我国经济社会发展的核心驱动力。“十四五”期间,国家明确提出了数字化发展目标,以数据为关键要素,推动经济社会全领域、全要素、各层级的数字化转型。
与此同时,随着数据价值和地位的提升,以数据为目标的科技利益争夺、网络攻击和网络犯罪日趋激烈,勒索软件攻击、数据泄露等安全事件频繁发生。统计显示,2021年全球每天发生三起数据泄露事件,每11秒发生一次勒索攻击,这些事件导致的“断油”“断肉”“断播”,直接影响到社会稳定、经济发展和国家安全。
我国先后出台了《网络安全法》《数据安全法》《个人信息保护法》,强化数据安全治理,而《网络数据安全管理条例(征求意见稿)》明确提出统筹安全和发展,坚持促进数据开放与保障数据安全并重,加强数据安全防护能力建设,保障数据依法自由流动,促进数据依法合理有效利用。同时提出按照数据对国家安全、公共利益安全以及个人或组织合法权益的影响和重要程度对数据进行分级,并采取不同的保护措施,增强指导性和可实施性。
这些法律法规的原则是同步安全治理与发展,在此背景下数据安全治理已经不再是查缺补漏的工具,而是发展数据生产要素和数字化先进生产力的前提和基础。
深信服科技股份有限公司董事长何朝曦:
《“十四五”国家信息化规划》的发布实施将加速推动网络安全行业发展
我国信息化已进入“加快数字化发展、建设数字中国”的新阶段,信息化发展的外部环境和内部条件发生了复杂而深刻的变化,当前网络安全行业需要坚定的贯彻国家统筹安全和发展的重要思想,做好网络安全建设和保障工作。
随着《“十四五”国家信息化规划》的发布,国家进一步明确了以“防范化解风险,确保更为安全发展”为重心的网络安全工作部署,包括全面加强网络安全保障体系和能力建设,加强网络安全技术和产品的创新研发,提升网络安全自主防御能力,以及完善相关法律法规和技术标准,强化对新技术应用安全风险动态评估等方向。
可以预见,《“十四五”国家信息化规划》的实施,将加速我国信息化发展水平和网络安全保障能力的提升,进一步推动网络安全行业快速发展,为参与网络安全建设的各方带来更多机遇,最终实现让广大人民群众在信息化发展中享有更多获得感、幸福感、安全感的根本目的。
目前,传统犯罪加速向网络蔓延,网络犯罪已成为当前刑事犯罪的主要形式。
2021年,公安部部署开展“净网2021”专项行动,全国公安机关按照统一部署,将打击黑客攻击破坏、侵犯公民个人信息、为电信网络诈骗提供非法信息网络帮助、非法制售使用窃听窃照专用器材等人民群众深恶痛绝的网络违法犯罪行为置于突出位置,出重拳、斩链条、铲团伙,全年侦办网络违法犯罪案件6.2万余起(同比增长10.7%),抓获犯罪嫌疑人10.3万余名(同比增长28.7%),行政处罚违法互联网企业和单位2.6万余家,专项行动取得显著成效,切实维护了网络空间安全和网上秩序稳定,全面增强了人民群众网上安全感、获得感、幸福感,用实际行动践行了“人民公安为人民”。