網絡安全法》作為我國網絡安全的基本法，設置了最基本的網絡安全制度框架，包括關鍵信息基礎設施保護制度、網絡安全等級保護制度、個人信息保護制度、網絡信息內容管理制度、網絡產品和服務管理制度、網絡安全事件應急響應制度等。這些制度設計相對比較原則和簡單，需要出臺一系列的配套規定予以支撐和落實。圍繞《網絡安全法》的基本框架，2020年，國家網信辦、工信部、公安部、市場監管總局、中國人民銀行以及國家標準化管理委員會等部門相繼發布了《網絡安全法》的相關配套規定和標準。

一、《網絡信息內容生態治理規定》正式施行

國家互聯網信息辦公室發布的《網絡信息內容生態治理規定》（以下稱：《治理規定》），自2020年3月1日起正式施行?！吨卫硪幎ā芳畜w現了黨的十九屆四中全會《決定》中提出的“建立健全網絡綜合治理體系，加強和創新互聯網內容建設，落實互聯網企業信息管理主體責任，全面提高網絡治理能力，營造清朗的網絡空間。加強網絡生態治理，培育積極健康、向上向善的網絡文化，有利于建立健全網絡綜合治理體系”的精神，以網絡信息內容為主要治理對象，以營造文明健康的良好生態為目標，突出了“政府、企業、社會、網民”等多元主體參與網絡生態治理的主觀能動性，重點規范網絡信息內容生產者，網絡信息內容服務平臺，網絡信息內容服務使用者以及網絡行業組織在網絡生態治理中的權利與義務，這是我國網絡信息內容生態治理法治領域的一項里程碑事件，而且以“網絡信息內容生態”作為網絡空間治理立法的目標，這在全球也屬首創。

 《治理規定》將“網絡信息內容生態治理”定義為，指政府、企業、社會、網民等主體，以培育和踐行社會主義核心價值觀為根本，以網絡信息內容為主要治理對象，以建立健全網絡綜合治理體系、營造清朗的網絡空間、建設良好的網絡生態為目標，開展的弘揚正能量、處置違法和不良信息等相關活動。

《治理規定》要求網絡信息內容生產者應當采取措施，防范和抵制制作、復制、發布含有下列八類內容的不良信息：

1. 使用夸張標題，內容與標題嚴重不符的信息內容?！皹祟}黨“是互聯網上利用各種頗具創意的標題吸引網友眼球，以達到各種目的，其主要行為簡而言之即發帖的標題嚴重夸張，帖子內容通常與標題完全無關或聯系不大，諸如震驚、驚爆、重磅、罕見、深度好文、轟動全國、絕密偷拍的字眼。筆者在網上搜索了類似“震驚13億中國人”、“感動了中國13億人”、“重磅”、“深度好文”等標題，其內容與標題完全不符，多數以夸張的、曲解的、煽情的甚至無中生有的方式誤導網民。

2. 炒作緋聞、丑聞、劣跡等信息內容。當前，娛樂界炒作緋聞、丑聞以及劣跡比比皆是，以明星緋聞八卦為噱頭，特別是通過明星和狗仔隊的配合來制造緋聞、丑聞、劣跡的熱度，這些低俗文化和行為愚弄了大眾、污染了網絡、觸碰了法律，必須依法治理。

3. 不當評述自然災害、重大事故等災難的信息內容。我國地域廣、人口密集，自然災害種類多，重大安全事故時有發生。筆者注意到，每當自然災害和重大安全事故等災難發生時，總有一些沒有事實依據的評述，不僅混淆了是非，而且給社會帶來極大的負面影響，必須堅決予以抵制。

4. 帶有性暗示、性挑逗等易使人產生性聯想的信息內容。為了吸引流量，一些網絡平臺，以文字、語音、圖片、視頻等方式進行帶有“性挑逗”、“性暗示”的不良行為，比如所謂的“文愛”、“磕炮”等，這些信息內容均帶有性暗示或性挑逗的潛淫穢內容，極容易使人產生性聯想。

我國《刑法》對淫穢物品的定義是，具體描繪性行為或者露骨宣揚色情的誨淫性的書刊、影片、錄像、圖片等，但是將有關人體生理、醫學知識的科學著作和包含有色情內容的有藝術價值的文學、藝術作品排除在淫穢物品范圍之外。

5. 展現血腥、驚悚、殘忍等致人身心不適的信息內容。一些網絡內容制作者為了騙取用戶的點力量，發布和展示血腥、驚悚、殘忍的圖片和視頻，如有的網站發布大量令人不適的驚悚、血腥、虐殺動物、畸形胎兒的圖片，同時還兼有“標題黨”嫌疑，致人身心感到極大地不適，尤其是對未成年的心理損害極其嚴重。

6. 煽動人群歧視、地域歧視等的信息內容。煽動是指慫恿、鼓動人做壞事的行為，我們經常在網上看到，一些僅憑自己看到的只言片語就在網上傳播并發布地域歧視和人群歧視等過激言論。如有一則“醫院多次醫療事故不能給公眾解釋”的網絡帖子，煽動當地人群對醫生群體的歧視，該發布者因涉嫌尋釁滋事被公安機關行政拘留10日。

7. 宣揚低俗、庸俗、媚俗內容的信息內容。主要是兩類信息內容，一是低俗的內容，主要是指低級趣味、庸俗，使人萎靡、頹廢的內容；二是媚俗的信息內容，主要是那些迎合于世俗，缺乏自我思想、自我理智，只知隨波逐流，蕓蕓眾生等，這些低俗、庸俗、媚俗的信息內容與我國優秀道德文化和時代精神格格不入，必須堅決抵制。

8. 可能引發未成年人模仿不安全行為和違反社會公德行為、誘導未成年人不良嗜好等的信息內容。當前，我國未成年人網民數量近1.7億，智能手機成為未成年人上網的主要工具，未成年人正處于青春躁動期，有很強的求知欲望，他們對網絡發布的一些不安全和違反公德的信息內容鑒別力很弱、自控能力較差，很容易在模仿后導致惡性事件的發生，未成年人模仿網絡不良行為已經成為威脅青少年網絡安全的主要因素。

二、《信息安全技術 個人信息安全規范》正式實施

2020年3月6日，國家市場監督管理總局、國家標準化管理委員會發布的中華人民共和國國家標準公告（2020年第1號），全國信息安全標準化技術委員會歸口的GB/T 35273-2020《信息安全技術 個人信息安全規范》正式發布，并將于2020年10月1日實施。

本標準針對個人信息面臨的安全問題，根據《中華人民共和國網絡安全法》等相關法律，嚴格規范個人信息在收集、存儲、使用、共享、轉讓與公開披露等信息處理環節中的相關行為，旨在遏制個人信息非法收集、濫用、泄露等亂象，最大程度的保護個人的合法權益和社會公眾利益。本標準適用于規范各類組織的個人信息處理活動,也適用于主管監管部門、第三方評估機構等組織對個人信息處理活動進行監督、管理和評估。

本標準按照GB/T1.1—2009給出的規則起草，代替GB/T35273—2017《信息安全技術 個人信息安全規范》。相比GB/T35273—2017，此標準除了授權同意、賬戶注銷、實現個人信息主體自主意愿的方法等內容的修改外，還新增了多項業務功能的自主選擇、用戶畫像、個性化展示、個人信息匯聚融合、個人信息安全工程、第三方接入管理等相關要求。新標準的主要變化如下：

1. 刪除了原有的“不得收集法律法規明令禁止收集的個人信息”的要求(見5.1);

2. 選擇同意原則下，新增要求“多項業務功能的自主選擇”(見5.3)；

當產品或服務提供多項需收集個人信息的業務功能時，個人信息控制者不應違背個人信息主體的自主意愿，強迫個人信息主體接受產品或服務所提供的業務功能及相應的個人信息收集請求”。

3. 新增關于收集人生物識別信息的要求，《規范》規定在收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意。

對于生物識別信息的存儲，《規范》也提出了具體的解決措施。1）個人生物識別信息要與個人身份信息分開存儲；2）原則上不應存儲原始個人生物識別信息，可采取的措施包括但不限于：僅存儲個人生別信息的摘要信息；在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能；在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。

4. 在目的明確原則下，新增要求“如產品或服務僅提供一項收集、使用個人信息的業務功能時，個人信息控制者可通過隱私政策的形式，實現向個人信息主體的告知；產品或服務提供多項收集、使用個人信息的業務功能的，除隱私政策外，個人信息控制者宜在實際開始收集特定個人信息時，向個人信息主體提供收集、使用該個人信息的目的、方式和范圍，以便個人信息主體在作出具體的授權同意前，能充分考慮對其的具體影響”。

5. 在選擇同意原則下，強調了“隱私政策的主要功能為公開個人信息控制者收集、使用個人信息范圍和規則，不應將其視為個人信息主體要求簽訂的合同”。

6. 確保安全原則下，新增多項要求：一是將個人生物識別信息的原始信息和摘要分開存儲的技術要求(見5.4)；二是在信息系統自動決策機制的使用中定期（至少每年一次）開展個人信息安全影響評估，并依評估結果采取有效的保護個人信息主體的措施、向個人信息主體提供針對自動決策結果的申訴渠道，并對自動決策結果進行人工復核；三是明確組織應為個人信息保護負責人和個人信息保護工作機構提供必要的資源，保障其獨立履行職責。如采用公布投訴、舉報方式等信息并及時受理投訴舉報、與監督、管理部門保持溝通，通報或報告個人信息保護和事件處置等情況等；四是要求組織記錄的內容包括：所涉及個人信息的類型、數量、來源（例如從個人信息主體直接收集或通過間接獲取方式獲得）；五是根據業務功能和授權情況區分個人信息的處理目的、使用場景，以及委托處理、共享、轉讓、公開披露、是否涉及出境等情況。

7. 在最少夠用的原則下，新增多項要求：1）要求了用戶個人畫像的特征描述不能為“淫穢、色情、賭博、迷信、恐怖、暴力”；業務運營或對外業務合作中使用用戶畫像不能侵害保護公民、法人和其他組織的合法權益，不能危害國家安全、榮譽和利益；2）除為達到主體授權同意的使用目的所必需外，使用個人信息時應消除明確身份指向性，避免精確定位到特定個人；3）在向主體推送新聞信息服務的過程中使用個性化展示時應：顯著區分個性化推送服務，如標明“個性化展示”或“定推”等字樣，為主體提供簡單直觀的退出或關閉個性化展示模式的選項；4）電子商務經營者根據消費者的興趣愛好、消費習慣等特征向其提供商品或者服務搜索結果的個性化展示的，應當同時向該消費者提供不針對其個人特征的選項；5）在向主體提供業務功能的過程中，如使用個性化展示時，建立個人信息主體對個性化展示所依賴的個人信息（如標簽、畫像維度等）的自主控制機制，保障個人信息主體調控個性化展示相關程度的能力；6）當個人信息主體選擇退出個性化展示模式時，應向個人信息主體提供刪除或匿名化定向推送活動所基于的個人信息的選項。

8. 在公開透明原則的原則下，新增要求應向主體提供查詢方法，能讓主體知曉持有的個人信息的類型；上述個人信息的來源、所用于的目的；已經獲得上述個人信息的第三方身份或類型；宜直接在產品或服務提供的功能界面中（例如應用程序可設置專門的選項、功能、界面等）設置相應的機制，便于個人信息主體在線行使其訪問、更正、刪除、撤回授權同意、注銷賬戶等權利。

9. 新增的其他要求包括：應承擔第三方接入管理；收集年滿14周歲未成年人的個人信息前，應征得未成年人或其監護人的明示同意；不滿14周歲的，應征得其監護人的明示同意等。

三、《網絡安全標準實踐指南—移動互聯網應用程序(App)收集使用個人信息自評估指南(征求意見稿)》公開征求意見

為落實《網絡安全法》相關要求，圍繞中央網信辦、工信部、公安部、市場監管總局聯合制定的《App違法違規收集使用個人信息行為認定方法》，基于App專項治理工作組發布的《App違法違規收集使用個人信息自評估指南》，全國信息安全標準化技術委員會秘書處組織編制了《網絡安全標準實踐指南—移動互聯網應用程序（App）收集使用個人信息自評估指南》（以下簡稱《實踐指南》），并于2020年7月22日公開征求意見?！秾嵺`指南》歸納總結了App收集使用個人信息的六項評估點，供App運營者自評估參考使用，小程序、快應用等運營者也可參考其中的適用條款進行自評估。

評估點一：是否公開收集使用個人信息的規則。重點落實《網絡安全法》第41條規定，網絡運營者收集、使用個人信息， 應當公開收集、使用規則?！断M者權益保護法》第29條規定，經營者收集、使用消費者 個人信息，“應當公開其收集、使用規則”；

評估點二：是否明示收集使用個人信息的目的、方式和范圍。重點落實《網絡安全法》第41條規定，網絡運營者收集、使用個人信息， 應當公開收集、使用規則?！断M者權益保護法》第29條規定，經營者收集、使用消費者個人信息，“應當公開其收集、使用規則”；

評估點三：收集使用個人信息是否征得用戶同意。重點落實《網絡安全法》第41條規定網絡運營者收集、使用個人信息， 應“經被收集者同意”且“不得違反法律、行政法規的規定和雙方的約 定收集、使用個人信息”?！断M者權益保護法》第29條規定經營者收集、使用消費者個 人信息，應“經消費者同意”且“不得違反法律、法規的規定和雙方的 約定收集、使用信息”，“經營者未經消費者同意或者請求，或者消 費者明確表示拒絕的，不得向其發送商業性信息；
評估點四：是否遵循必要原則，僅收集與其提供的服務直接相關的個人信息，比如是否收集與業務功能無關的個人信息，包括不應收集與業務功能無關的個人信息以及不應申請打開與業務功能無關的可收集個人信息的權限等；

評估點五：是否未經同意向他人提供個人信息，比如向他人提供個人信息前是否征得用戶同意，App是否存在從客戶端直接向第三方發送個人信息的情形，包括通過App客戶端嵌入第三方代碼、插件（如SDK）等方式，應事先征得用戶同意，經匿名化處理的除外等；

評估點六：是否按法律規定提供刪除或更正個人信息功能，或公布投訴、舉報方式等信息 比如是否提供有效的注銷用戶賬號功能，是否提供有效的更正或刪除個人信息，是否建立并公布個人信息安全投訴、舉報渠道等。

四、全國信安標委發布《信息安全技術 個人信息告知同意指南（征求意見稿）》

2020年1月，全國信息安全標準化技術委員會發布《關于國家標準<信息安全技術 個人信息告知同意指南>征求意見稿征求意見的通知》，就個人信息告知同意國家標準（以下稱《告知同意指南》）征求意見。該征求意見稿包括告知同意的適用情形、免于告知同意的情形、告知同意的基本原則、告知、同意等部分，并在附錄中詳細列舉了未成年人、SDK（軟件開發工具包）、個性化推薦，以及互聯網金融、網上購物等場景下的具體情形。

關于“告知”的基本原則包括公開透明、逐一傳達、同步實時、真實準確、具體明確、清晰易懂；根據不同的場景，告知方式可以采用彈窗、文字說明、短信、郵件、電話等。征求意見稿要求，當告知的時間點和收集個人信息的時間點相差很大時，建議個人信息控制者在進一步收集個人信息之前再次告知?！吨改稀芬?，個人信息控制者應當避免告知的頻率過高，對個人信息主體造成不必要的打擾。

五、國家網信辦等十二部門發布《網絡安全審查辦法》

2020年4月13日，國家互聯網信息辦公室、國家發改委等12個部門聯合發布了《網絡安全審查辦法》（以下簡稱《辦法》），該辦法自2020年6月1日起實施?！掇k法》明確指出，關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當進行網絡安全審查。根據《辦法》第九條的規定，網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險，主要考慮以下因素：一是產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；三是產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；四是產品和服務提供者遵守中國法律、行政法規、部門規章情況；五是其他可能危害關鍵信息基礎設施安全和國家安全的因素。

《辦法》進一步明確了審查內容，包括：產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；產品和服務提供者遵守中國法律、行政法規、部門規章情況；其他可能危害關鍵信息基礎設施安全和國家安全的因素。

六、中國人民銀行發布《個人金融信息保護技術規范》

2020年2月13日，中國人民銀行正式發布了《個人金融信息保護技術規范》（JR/T 0171—2020）金融行業標準?！秱€人金融信息保護技術規范》（以下簡稱：《規范》）由全國金融標準化技術委員會歸口管理，由中國人民科技司提出并負責起草。

個人金融信息是個人信息在金融領域圍繞賬戶信息、鑒別信息、金融交易信息、個人身份信息、財產信息、借貸信息等方面的擴展與細化，是金融業機構在提供金融產品和服務的過程中積累的重要基礎數據，也是個人隱私的重要內容。個人金融信息一旦泄露，不但會直接侵害個人金融信息主體的合法權益、影響金融業機構的正常運營，甚至可能會帶來系統性金融風險?！兑幏丁芬幎?strong>個人金融信息在收集、傳輸、存儲、使用、刪除、銷毀等生命周期各環節的安全防護要求，從安全技術和安全管理兩個方面，對個人金融信息保護提出了規范性要求。

《規范》的發布和實施，有助于規范金融業機構個人金融信息保護工作，提升金融數據風險防控能力，促進我國金融市場的健康發展；有助于提高金融機構個人賬戶信息、銀行卡信息安全管理水平，加大互聯網交易風險防控力度，防范各類金融交易風險，切實維護金融穩定，保護金融消費者合法權益。雖然《規范》在性質上屬于推薦性標準，但作為第一部專門針對個人金融信息的行業標準，為金融業機構建設個人金融信息保護架構提供了體系化與專業化的參考標準，同時也會成為未來金融領域數據隱私保護立法和執法的重要參考。

七、中國人民銀行發布新版《網上銀行系統信息安全通用規范》

2020年2月5日，新修訂的金融行業標準《網上銀行系統信息安全通用規范》（JR/T 0068—2020）由中國人民銀行正式發布。標準規定了網上銀行系統安全技術要求、安全管理要求、業務運營安全要求，為網上銀行系統建設、運營及測評提供了依據。標準適用于中華人民共和國境內設立的商業銀行等銀行業金融機構所運營的網上銀行系統，其他金融機構提供網上金融服務的業務系統宜參照本標準執行。

本次標準修訂，立足于移動互聯和云計算等新技術在網上銀行系統不斷深入應用、手機銀行使用愈加廣泛的背景，旨在應對網上銀行系統信息安全出現的新形勢和新特點，防范新風險。本標準的發布實施，將有效增強現有網上銀行系統安全防范能力，促進網上銀行規范、健康發展。標準既可作為各單位網上銀行系統建設、改造升級以及開展安全檢查、內部審計的安全性依據，也可作為行業主管部門、專業檢測機構進行檢查、檢測的依據。

八、《網絡安全標準實踐指南—移動互聯網應用程序（App）個人信息安全防范指引（征求意見稿）》公開征求意見

2020年3月30日，全國信息安全標準化技術委員會發布關于《網絡安全標準實踐指南—移動互聯網應用程序（App）個人信息安全防范指引（征求意見稿）》公開征求意見的通知?！兑苿踊ヂ摼W應用程序（App）個人信息安全防范指引（征求意見稿）》（以下簡稱《防范指引》）給出了當前App個人信息保護合規的常見問題和防范策略，共包含十個常見問題，每個問題下面包含若干情形和若干條防范策略。其中包含超范圍收集、申請權限目的不明、強制捆綁授權等等。

《防范指引》給出App超范圍收集個人信息的問題情形，包括但不限于：

情形一：收集無關信息。收集的個人信息類型或申請的系統權限與 App 提供的業務功能無關。例如未提供短信相關功能的 App 申請短信權限。

情形二：強制收集非必要信息。因用戶不同意收集非必要個人信息或打開非必要權限，App 拒絕提供業務功能。必要個人信息是指保障App業務功能正常運行所最少夠用的個人信息，包括一旦缺少將導致 App 服務無法實現或無法正常運行的個人信息，以及法律法規要求必須收集的個人信息。例如瀏覽器 App 強制索要位置權限收集個人位置信息，用戶拒絕提供位置權限則無法使用App任何功能。

情形三：收集頻率不合理。收集個人信息的頻率超出 App 業務功能實際需要。例如酒店預訂App每1秒上傳一次用戶精確定位信息。

該問題的防范策略，包括但不限于：

1. 不收集與App所提供服務無關的個人信息，不申請與App所提供服務無關的系統權限（即使用戶可選擇拒絕）。
2. 遵循最小必要原則，僅收集/申請與 App 業務功能有直接關聯的個人信息類型/系統權限。
3. App收集個人信息前向用戶明示收集信息的目的、方式和范圍，并征得用戶同意，告知同意方式應符合相關法律法規、政策和標準的要求。
4. 收集個人信息的頻率應在 App 實現業務功能所必需的合理范圍內。
5. App盡量避免收集不可變更的設備唯一標識（如 IMEI 號、MAC 地址等），用于保障網絡安全和運營安全的除外。
6. App收集疫情聯防聯控所必需的個人信息堅持最小范圍原則，收集對象原則上限于確診者、疑似者、密切接觸者等重點人群，一般不針對特定地區的所有人群。
7. 針對一些沒有高風險的區域、場所或不涉及高風險人群，疫情防控App宜盡可能縮小身份登記的個人信息填寫范圍，達到可追溯的目的即可。例如，收集個人信息可參考“前臺匿名，后臺實名”等方式，用戶可提供手機號，無需填寫身份證號或上傳身份證圖片。

九、公安部發布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》

2020年9月，公安部網絡安全保衛局發布《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》（以下稱：《指導意見》），《指導意見》確立了三項基本原則和四大工作目標：

（一）三項基本原則

1. 堅持分等級保護、突出重點。根據網絡(包含網絡設施、信息系統、數據資源等)在國家安全、經濟建設、社會生活中的重要程度，以及其遭到破壞后的危害程度等因素，科學確定網絡的安全保護等級，實施分等級保護、分等級監管，重點保障關鍵信息基礎設施和第三級(含第三級、下同)以上網絡的安全。

2. 堅持積極防御、綜合防護。按照法律法規和有關國家標準規范，充分利用人工智能、大數據分析等技術，積極落實網絡安全管理和技術防范措施，強化網絡安全監測、態勢感知、通報預警和應急處置等重點工作，綜合采取網絡安全保護、保衛、保障措施，防范和遏制重大網絡安全風險、事件發生，保護云計算、物聯網、新型互聯網、大數據、智能制造等新技術應用和新業態安全。

3. 堅持依法保護、形成合力。依據《網絡安全法》等法律法規規定，公安機關依法履行網絡安全保衛和監督管理職責，網絡安全行業主管部門(含監管部門，下同)依法履行網絡安全主管、監管責任，強化和落實網絡運營者主體防護責任，充分發揮和調動社會各方力量，協調配合、群策群力，形成網絡安全保護工作合力。

（二）四大工作目標

1. 網絡安全等級保護制度深入貫徹實施。網絡安全等級保護定級備案、等級測評、安全建設和檢查等基礎工作深入推進。網絡安全保護“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“三化六防”措施得到有效落實，網絡安全保護良好生態基本建立，國家網絡安全綜合防護能力和水平顯著提升。

2. 關鍵信息基礎設施安全保護制度建立實施。關鍵信息基礎設施底數清晰，安全保護機構健全、職責明確、保障有力。在貫徹落實網絡安全等級保護制度的基礎上，關鍵信息基礎設施涉及的關鍵崗位人員管理、供應鏈安全、數據安全、應急處置等重點安全保護措施得到有效落實，關鍵信息基礎設施安全防護能力明顯增強。

3. 網絡安全監測預警和應急處置能力顯著提升?？缧袠I、跨部門、跨地區的立體化網絡安全監測體系和網絡安全保護平臺基本建成，網絡安全態勢感知、通報預警和事件發現處置能力明顯提高。網絡安全預案科學齊備，應急處置機制完善，應急演練常態化開展，網絡安全重大事件得到有效防范、遏制和處置。

4. 網絡安全綜合防控體系基本形成。網絡安全保護工作機制健全完善，黨委統籌領導、各部門分工負責、社會力量多方參與的網絡安全工作格局進一步完善。網絡安全責任制得到有效落實，網絡安全管理防范、監督指導和偵查打擊等能力顯著提升，“打防管控”一體化的網絡安全綜合防控體系基本形成。

《指導意見》要求，各單位、各部門應加強關鍵信息基礎設施安全的法律體系、政策體系、標準體系、保護體系、保衛體系和保障體系建設，建立并實施關鍵信息基礎設施安全保護制度，在落實網絡安全等級保護制度基礎上，突出保護重點，強化保護措施，切實維護關鍵信息基礎設施安全。

十、全國信安標委發布《信息安全技術 關鍵信息基礎設施邊界確定方法（征求意見稿）》

2020年8月，全國信息安全標準化技術委員會發布《信息安全技術 關鍵信息基礎設施邊界確定方法》（征求意見稿）。本文件給出了一種基于信息流的關鍵信息基礎設施邊界確定方法，為關鍵信息基礎設施運營者開展關鍵信息基礎設施邊界識別工作提供參考。

《關鍵信息基礎設施邊界確定方法》對關鍵信息基礎設施邊界的相關術語和定義做出了定義：

1．關鍵業務（critical business）

電信、廣播電視、能源、金融、交通運輸、水利、應急管理、衛生健康、社會保障、國防科技等行業和領域中一旦遭到破壞或者喪失功能，會嚴重危害國家安全、經濟安全、社會穩定、公眾健康和安全的業務。

2．網絡設施（network facilities）

連接通信信息網絡（例如，互聯網、物聯網、工控網、專用網等）以及在上述網絡中對信息進行設計、采集、整合、處理、呈現、應用、存儲、銷毀等操作的物理設備。

3．信息系統（information system）

由計算機軟硬件、網絡及其相關配套設備、信息資源等組成的，按照一定規則對信息進行設計、采集、整合、處理、呈現、應用、存儲、銷毀等操作的人機系統。（來源：GB/T 20986—2007，2.1，有修改）

4．關鍵信息基礎設施（critical information infrastructure）

支撐關鍵業務持續、穩定運行不可或缺的網絡設施、信息系統。在形態構成上，可以是單個網絡設施、信息系統，也可以是由多個網絡設施、信息系統組成的集合。在本質上，屬于關鍵業務的信息化部分，為關鍵業務提供信息化支撐。

5．關鍵信息基礎設施元素（critical information infrastructure element）

對構成關鍵信息基礎設施的網絡設施、信息系統的統稱，是關鍵信息基礎設施邊界識別的最小單元。

6．關鍵業務信息（critical business information）

關鍵業務持續、穩定運行不可或缺的信息，是關鍵信息基礎設施元素對關鍵業務提供信息化支撐的橋梁和紐帶。關鍵信息基礎設施元素通過對關鍵業務信息進行設計、采集、整合、處理、呈現、應用、存儲、銷毀等操作，支撐關鍵業務自動化、智能化、高效運行。

7．關鍵業務信息流（critical business information flow）

關鍵業務信息從產生到終止，在整個生存周期內的流動軌跡，處于該流動軌跡上的網絡設施、信息系統是關鍵信息基礎設施候選元素，經關鍵性評估，一旦遭到攻擊、喪失功能或者數據泄露會嚴重危害關鍵業務持續、穩定運行的網絡設施、信息系統列為關鍵信息基礎設施元素。

8．關鍵信息基礎設施邊界（critical information infrastructure boundary）

以關鍵業務為基礎，由識別方法和關鍵信息基礎設施元素構成，反映關鍵信息基礎設施元素與關鍵業務之間的支撐、依賴關系以及關鍵信息基礎設施元素的分布、部署情況，是開展保護、審查、應急處置等工作的重要依據。

《關鍵信息基礎設施邊界確定方法》確立了關鍵信息基礎設施邊界識別的四項基本原則：

一是業務安全原則：CII的重要性不是指組成CII的網絡設施、信息系統很重要，而是因為CII所支撐的關鍵業務非常重要。CII一旦遭到攻擊、喪失功能或者數據泄露會嚴重危害關鍵業務正常運行，進而危害國家安全、經濟安全、社會穩定、公眾健康和安全。因此，CII邊界識別應以保障關鍵業務安全為基本原則，將關鍵業務持續、穩定運行不可或缺的網絡設施、信息系統識別出來，明確CII元素、確定CII邊界。

注：例如，2G移動通信網絡曾是國家重點保護目標，時至今日，支撐2G移動通信業務的網絡設施、信息系統已失去了重點保護的意義，因為2G移動通信業務已被3G、4G通信業務所取代。

二是整體性原則：隨著經濟社會的不斷發展，業務規模越來越大，不同業務模塊、子業務之間相互依賴、彼此支撐，CII邊界識別應注重關鍵業務的整體性，確保關鍵業務的完整性，避免遺漏。此外，跨行業、跨領域已是普遍現象，涉及多個運營者的，應加強信息共享和聯動協調，確保CII邊界識別是從保障整個關鍵業務安全的角度開展。

注：例如，導航業務涉及到衛星、通信鏈路和直接向用戶提供導航服務的三個部分，且每部分由不同的運營者負責經營。每個運營者在開展CII邊界識別時，首先應確保自身經營業務的完整，還應注重整體協調，從保障整個導航業務持續、穩定的角度考慮。

三是重要性原則：在CII運營者所有網絡設施、信息系統中，有些網絡設施、信息系統對關鍵業務的持續、穩定運行是至關重要的，有些網絡設施、信息系統僅僅是比較重要的，甚至有一些網絡設施、信息系統對關鍵業務是無關緊要的，因此，開展CII邊界識別應聚焦一旦遭到破壞、喪失功能或者發生數據泄露，會嚴重危害關鍵業務持續、穩定運行的網絡設施、信息系統，嚴格控制范圍。

四是動態識別原則：CII與關鍵業務之間的支撐、依賴關系是動態的，而非靜態的。CII邊界識別應采用動態工作方式，及時更新CII邊界信息。

當CII運營者的組織結構、業務架構、從屬關系等發生重大調整時，應及時實施邊界識別工作，確保CII邊界及時調整。

十一、全國信安標委發布《信息安全技術 網絡數據處理安全規范（征求意見稿）》

2020年8月，全國信息安全標準化技術委員會秘書處發布《信息安全技術 網絡數據處理安全規范》（征求意見稿），《網絡數據處理安全規范》規定了網絡運營者利用網絡開展數據收集、存儲、使用、加工、傳輸、提供、公開等數據處理活動應遵循的規范和安全要求。

本規范適用于網絡運營者規范數據處理活動，提高數據安全管理和個人信息保護水平，也適用于主管監管部門對網絡運營者數據處理活動進行監督管理，同時還可為第三方評估機構開展相關評估工作提供指導。

《網絡數據處理安全規范》對與網絡數據處理有關的術語和定義做出了規定：

1. 數據（data）：本文件所稱數據是指網絡數據，即通過網絡處理和產生的各種電子數據，如個人信息、重要數據等。

2. 網絡運營者（network operator）：網絡的所有者、管理者和網絡服務提供者。

3. 個人信息（personal information）：以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息。

注：個人信息包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。

4. 個人敏感信息（personal sensitive information）：一旦泄露、非法提供或者濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或者歧視性待遇等的個人信息。

注：個人敏感信息包括自然人的身份證件號碼、生物識別信息、銀行賬號、通信記錄和內容、財產信息、征信信息、行蹤信息、住址、健康信息、交易信息、14 歲以下（含）兒童的個人信息等。

5. 個人信息主體（personal data subject）：個人信息能夠識別或者關聯到的自然人。

6. 重要數據（key data）：一旦泄露可能直接影響國家安全、公共安全、經濟安全和社會穩定的數據，包括未公開的政府信息，數量達到一定規模的基因、地理、礦產信息等，原則上不包括個人信息、企業內部經營管理信息等。

7. 數據提供方（data provider）：數據處理活動中提供數據的組織或者個人。

8. 數據接收方（data receiver）：數據處理活動中接收數據的組織或者個人。

9. 第三方應用（third party application）：由第三方提供的產品或者服務，以及被接入或者嵌入網絡運營者產品或者服務的自動化工具，包括但不限于軟件開發工具包（SDK等）、第三方代碼、組件、腳本、接口、算法模型、小程序等。

10．匿名化（anonymization）：是指對個人信息進行加工，使之無法識別特定個人且不能復原。

《網絡數據處理安全規范》對數據處理提出了四項要求：

一是數據識別：網絡運營者應識別數據處理活動中涉及的數據，包括個人信息、重要數據和其他數據，形成數據保；

二是分級分類：網絡運營者應按照法律法規、國家標準有關要求，根據業務運營需要，對所掌握的數據進行分級分類管理；采取加密、脫敏、訪問控制等措施，對重要數據和個人信息進行重點保護；

三是風險防控：網絡運營者開展數據處理活動，應按照有關法律法規的規定履行數據安全保護義務，采取加密、脫敏、備份、訪問控制、審計等技術或者其他必要措施，加強數據安全防護，保護數據免受泄露、竊取、篡改、損毀、不正當使用等。建立數據安全管理責任和評價考核制度，制定數據安全保護計劃，開展安全風險評估，及時處置安全事件，組織開展教育培訓；

四是審計追溯：網絡運營者應對數據處理活動的全生命周期進行記錄，確保數據處理活動可審計、可追溯。

十二、中國人民銀行印發《金融數據安全數據安全分級指南》

2020年9月，中國人民銀行正式印發《金融數據安全數據安全分級指南》(JR/T0197—2020)(下稱《指南》)，根據金融業機構數據安全性遭受破壞后的影響對象和所造成的影響程度，將數據安全級別由高到低劃分為五級。

《指南》列出的影響對象包括國家安全、公眾權益、個人隱私、企業合法權益等;影響程度從高到低劃分為非常嚴重、嚴重、中等和輕微；附錄中給出了金融行業典型數據類型及建議劃分的最低安全級別。值得注意的是，《指南》特別強調金融業機構應高度重視個人金融信息相關數據，在數據安全定級過程中從高考慮。其中，個人金融信息中的C3類信息(主要為用戶鑒別信息，如各類賬戶密碼)屬于4級數據;C2類信息(主要包括支付賬號、動態口令等)為3級數據;C1類信息(主要包括賬戶開立時間、開立機構等)為2級數據。

金融數據安全分級的大背景是金融數據作為生產要素的價值日益凸顯。近年來，隨著金融科技和數字經濟的發展，金融數據體現出巨大的應用和商業價值。與此同時，數據安全尤其個人隱私保護成為公眾關注的焦點。

十三、工信部組織開展2020年網絡安全技術應用試點示范工作

2020年7月，工業和信息化部辦公廳發布《關于開展2020年網絡安全技術應用試點示范工作的通知》（以下稱：《通知》），《通知》了三大重點方向：

（一）新型信息基礎設施安全類

1. 5G網絡安全。重點結合增強移動帶寬、低時延高可靠、海量大連接三大場景安全需求，針對網絡功能虛擬化、網絡切片、邊緣計算等帶來的網絡安全需求，在威脅監測、風險識別、安全防御、安全檢測、安全恢復、安全模型認證等方面的安全解決方案。

2. 工業互聯網安全。圍繞裝備、電子信息、原材料、消費品、石化、能源等重點生產制造領域，結合工業互聯網智能化生產、網絡化協同、個性化定制、服務化延伸等典型應用場景網絡安全需求，在網絡、平臺、工控設備、工業APP、工業數據等方面的安全解決方案。

3. 車聯網安全。結合先進駕駛輔助、自動駕駛、車路協同、智慧交通等典型場景，針對智能駕駛系統、車聯網平臺、無線通信、復雜環境感知、車用高精度時空服務等網絡安全需求，在安全認證、安全防護、數據保護、威脅監測、測試驗證等方面的安全解決方案。

4. 智慧城市安全。面向智慧政務、智能生活、智能醫療、在線教育、遠程辦公、智慧環保等典型應用場景網絡安全需求，在新型智慧城市設施、建設、運行、服務、管理等方面的安全解決方案。

5. 大數據安全。面向大數據中心、智能計算中心、云計算平臺等先進算力設施的網絡安全解決方案，以及結合海量網絡數據匯聚存儲、流動共享等安全需求，在數據資產識別、分類分級防護、數據加密、數據脫敏、泄露追溯等方面的解決方案。

6. 物聯網安全。結合智慧家庭、智能抄表、零售服務、智能安防、智慧物流、智慧農業等典型場景網絡安全需求，在物聯網卡、物聯網芯片、聯網終端、網關、平臺和應用等方面的基礎管理、可信接入、威脅監測、態勢感知等安全解決方案。

7. 人工智能安全。結合智能機器人、智能語音交互、視頻圖像身份識別、影像輔助診斷、無人機等典型應用場景網絡安全需求，在人工智能數據、算法、平臺、應用服務等方面的安全解決方案，以及運用人工智能技術的高級威脅預警、網絡資產管理、網絡行為溯源分析等安全解決方案。

8. 區塊鏈安全。結合供應鏈管理、電子交易、數字版權、保險、社會救助等區塊鏈技術典型應用場景網絡安全需求，在身份驗證、安全存儲、存證取證、數據共享流通等方面的安全解決方案，以及區塊鏈基礎設施、區塊鏈平臺、區塊鏈服務等方面的安全監測、防護、測試驗證解決方案。

9. 商用密碼應用。針對商用密碼在5G、工業互聯網、車聯網領域業務應用場景，在密碼算法、密碼設備、檢測認證服務等方面的解決方案，以及應用商用密碼的網絡身份認證、設備安全接入認證等解決方案。

10. 電信網絡詐騙防范治理。圍繞電信網絡詐騙技術防范、管理創新、聯防聯控等安全需求，在涉詐風險實時預警處置、詐騙行為精準分析、遠程智能群呼設備監測定位取證、電信網絡詐騙協同分析治理等方面的解決方案。

（二）網絡安全公共服務類 

1. 安全防護。基于云模式提供安全檢測、風險評估、流量清洗、域名安全等技術服務的公共服務平臺。

2. 安全運營。面向智能制造、智能家居、智慧醫療、智慧交通等重點領域提供網絡安全運營服務的公共服務平臺。

3. 威脅情報。提供網絡安全威脅在線查詢、漏洞驗證、關聯分析、開放共享等信息服務的公共服務平臺。

4. 安全培訓。提供安全課堂、在線測試、培訓認證、攻防模擬等培訓服務的公共服務平臺。

（三）網絡安全“高精尖”技術創新平臺類

面向新型信息基礎設施安全類、網絡安全公共服務類重點方向，以及擬態防御、可信計算、零信任、安全智能編排等前沿性、創新性、先導性的重大網絡安全技術理念，匯聚產學研用等創新資源，具備核心技術攻關、產業化應用推廣等關鍵環節協同創新環境和載體的網絡安全技術創新或試點示范區。

十四、工信部發布《電信和互聯網行業數據安全標準體系建設指南》

為發揮標準對電信和互聯網行業數據安全的規范和保障作用，進一步加快制造強國和網絡強國建設的步伐，工信部印發《電信和互聯網行業數據安全標準體系建設指南》。

2020年8月，工信部公開征求對《電信和互聯網行業數據安全標準體系建設指南（征求意見稿）》的意見。征求意見稿表示，在基礎共性標準、關鍵技術標準、安全管理標準的基礎上，結合新一代信息通信技術發展情況，重點在5G、移動互聯網、車聯網、物聯網、工業互聯網、云計算、大數據、人工智能、區塊鏈等重點領域進行布局，并結合行業發展情況，逐步覆蓋其他重要領域。結合重點領域自身發展情況和數據安全保護需求，制定相關數據安全標準。

當前，我國電信和互聯網行業高速發展，匯聚大量數據，在釋放數字經濟發展潛力、促進數字經濟加快成長的同時，面臨嚴峻的安全風險?！鞍踩l展、標準先行”，標準化工作是保障數據安全的重要基礎。

由工業和信息化部組織制定的《電信和互聯網行業數據安全標準體系建設指南》，是為了深入落實《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》等法律法規要求，以保障電信和互聯網行業數據安全為主線，著力增加標準有效供給，不斷完善技術標準體系，持續推動標準的制定、實施和國際化，支撐和引領數字經濟高質量發展。

《電信和互聯網行業數據安全標準體系建設指南》提出，到2021年，研制數據安全行業標準20項以上，初步建立電信和互聯網行業數據安全標準體系，有效落實數據安全管理要求，基本滿足行業數據安全保護需要，推動標準在重點領域中的應用。到2023年，研制數據安全行業標準50項以上，健全完善電信和互聯網行業數據安全標準體系，標準的技術水平、應用效果和國際化程度顯著提高，有力支撐行業數據安全保護能力提升。

十五、國家網信辦發布《常見類型移動互聯網應用程序（App）必要個人信息范圍》公開征求意見

2020年12月，國家互聯網信息辦公室發布通知，就《常見類型移動互聯網應用程序（App）必要個人信息范圍》（下稱《App必要個人信息范圍》）公開征求意見?！禔pp必要個人信息范圍》規定了地圖導航、網絡約車、即時通信、網絡支付、網上購物、交通票務、婚戀相親、問診掛號、旅游服務、網絡游戲、學習教育、用車服務、網絡直播等38類常見類型App必要個人信息范圍。

《App必要個人信息范圍》明確，“必要個人信息“是指保障App基本功能正常運行所必須的個人信息，缺少該信息App無法提供基本功能服務，即無須個人信息，即可使用基本功能服務。規定指出，只要用戶同意收集必要個人信息，App不得拒絕用戶安裝使用。

來源：中國信息安全 侵刪