日前,国家发展改革委员会发布的《关于数字经济发展情况的报告》指出,到2025年,我国数字经济迈向全面扩展期,我国数字经济竞争力和影响力稳步提升。在我国数字经济发展过程中,网络安全和数据治理成为前提条件,网络安全和数据治理的相关政策、标准、技术、制度和生态建设不断完善,特别是近两年来进展迅速。为了更好的总结2022年我国网络安全和数据治理领域的重要发展成果,应对新形势和新挑战,促进我国数字经济更快和更好地发展,《网络安全与数据治理》杂志社发起“2022年度网络安全十大新闻事件”和“2022年度数据治理十大新闻事件”评选活动。为便于大家增强对候选事件的整体了解,现将网络安全和数据治理各20项候选新闻事件的摘要列出,投票截止时间为1月9日前,欢迎大家积极参与投票!我们将根据网络投票结果和专家投票(各占50%的权重),共同得出十大新闻事件评选结果。
01 新版《网络安全审查办法》正式施行
2月15日,由国家网信办、国家发展改革委等13部门修订的《网络安全审查办法》正式施行,修订后的《办法》不仅增加了网络平台运营者,还增加了多项数据安全相关条文,对数据安全的重视程度更高、覆盖对象的范围更广、审查指标更加量化。
为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用,全国信息安全标准化技术委员会秘书处坚持问题导向,调研国家网络安全重点工作和技术产业发展需求,研究形成了《2022年网络安全国家标准需求清单》,并于3月6日面向社会公开发布。03 工信部印发《车联网网络安全和数据安全标准体系建设指南》3月7日, 工业和信息化部近日印发《车联网网络安全和数据安全标准体系建设指南》,提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。04 国家计算机病毒应急处理中心披露美国国安局网络间谍木马3月14日,国家计算机病毒应急处理中心正式发布了美国国家安全局专用“NOPEN”远程木马技术分析报告,将美国情治部门的网络间谍手段揭露在世人面前。根据报告描述,“NOPEN”远程木马一旦被植入受害者计算机,就会成为“潜伏者”,随时向攻击者敞开“金库大门”,各种机密数据、敏感信息“一览无余”。有证据显示,该款木马已经控制全球各地海量的互联网设备,窃取了规模庞大的用户隐私数据。4月2日,中国网络安全产业创新发展联盟在北京成立。联盟由中国电信会同中国移动、中国联通,联合国内网络安全企业、行业用户单位、投融资机构等成立,旨在汇聚网络安全产业链上下游资源,打造国家级网络安全产业交流促进平台、供需对接平台、成果转化平台。4月28日,北京健康宝使用高峰期遭受网络攻击,经初步分析,网络攻击源头来自境外,北京健康宝保障团队进行及时有效应对,受攻击期间,北京健康宝相关服务未受影响。“网络安全网格(CyberSecurity Mesh)”是最近 Gartner 提出的网络安全技术发展新趋势,近两年连续入选其年度重要战略技术趋势研究报告,成为当前网络安全领域流行的热词,受到网络安全从业者的高度关注。动态IP代理服务是一种能够变换境内不同地区登录IP地址的互联网接入服务。大量不法分子利用此服务,令短时间内快速、大量地切换IP地址成为可能,从而使“网络水军”、网络诈骗、网络赌博、传播淫秽色情等违法犯罪行为更加隐蔽,以此逃避公安机关的打击,侵犯人民群众合法权益!针对网上此类突出违法乱象,公安部部署“净网”专项行动,组织全国公安机关开展动态IP代理服务集中整治,取得了丰硕成果,有力净化了网络环境。6月22日,西北工业大学发布《公开声明》称,西北工业大学电子邮件系统遭受网络攻击,有来自境外的黑客组织和不法分子向该校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息,严重危害中国国家安全和公民个人信息安全。6月23日,网络安全审查办公室有关负责人表示,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。6月28日,国家计算机病毒应急处理中心和360公司分别发布专题研究报告,同日披露美国国家安全局(NSA)所属的又一款网络攻击武器“酸狐狸”漏洞攻击武器平台(以下简称“酸狐狸平台”)。相关专家对《环球时报》记者表示,“酸狐狸平台”是NSA下属计算机网络入侵行动队的主战装备,攻击范围覆盖全球,重点攻击目标指向中国和俄罗斯。12 《信息技术 安全技术 公有云中个人信息保护实践指南》发布7月11日,国家市场监督管理总局(国家标准化管理委员会)发布了GB/T 41574-2022《信息技术 安全技术 公有云中个人信息保护实践指南》。本标准给出了在公有云中实施个人信息保护的控制目标和控制措施,在GB/T 22081《信息技术 安全技术 信息安全控制实践指南》的基础上,充分考虑了公有云服务提供者保护个人信息面临的风险环境,给出了额外的控制措施,以加强云中个人信息保护。13 公安部网安局召开全国网安部门“百日行动”推进会7月15日,公安部网安局召开全国公安机关网安部门“百日行动”视频推进会,就全国公安网安部门深入推进夏季治安打击整治“百日行动”进行再动员再部署。会议指出,全国公安网安部门要坚持总体国家安全观,坚持以人民为中心发展思想,积极回应人民群众关切,全力维护网上政治安全,高压严打网络违法犯罪,全面治理网络乱象,不断净化网络生态,全力维护网络空间安全。
7月21日,国家互联网信息办公室对滴滴处以人民币80.26亿元罚款,对滴滴董事长兼CEO程维、总裁柳青各处人民币100万元罚款。据国家网信办通报,滴滴公司违反《网络安全法》(2017年6月实施)、《数据安全法》(2021年9月实施)、《个人信息保护法》(2021年11月实施)的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。经查明,滴滴公司共存在16项违法事实。滴滴公司还存在严重影响国家安全的数据处理活动,拒不履行监管要求,给国家关键信息基础设施安全带来严重安全风险隐患。9月2日,十三届全国人大常委会第三十六次会议表决通过了《中华人民共和国反电信网络诈骗法》,自2022年12月1日起施行。该法共七章50条,坚持以人民为中心,统筹发展和安全,立足各环节、全链条防范治理电信网络诈骗,精准发力,为反电信网络诈骗工作提供有力法律支撑。16 Python 15年未修的漏洞被新发现可用于代码执行威胁检测和响应公司 Trellix 的研究人员发现了一个存在 15 年之久的 Python 漏洞,表明它比最初认为的更严重,并且可能影响数十万个应用程序。有问题的漏洞是 CVE-2007-4559,最初被描述为 Python 的“tarfile”模块中的目录遍历漏洞,该漏洞可能允许攻击者通过说服用户处理特制的 tar 档案来远程覆盖任意文件。该漏洞从未正确修补,而是警告用户不要打开来自不受信任来源的存档文件。17 网络关键设备和网络安全专用产品安全认证和安全检测结果发布据国家网信办官网9月29日消息,网络关键设备和网络安全专用产品安全认证和安全检测结果发布,华为、中兴通讯、新华三等公司相关产品在列。18 工业和信息化部印发《网络产品安全漏洞收集平台备案管理办法》
2022年10月28日,工业和信息化部印发《网络产品安全漏洞收集平台备案管理办法》(以下简称《管理办法》)。《管理办法》适用于网络产品安全漏洞收集平台,即相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台。《管理办法》规定,漏洞收集平台备案通过工信部网络安全威胁和漏洞信息共享平台开展,采用网上备案方式进行。
19 《关于促进网络安全保险规范健康发展的意见(征求意见稿)》发布11月7日,工信部公开征求对《关于促进网络安全保险规范健康发展的意见(征求意见稿)》(以下简称《意见稿》)的意见。《意见稿》提到,建立健全网络安全保险政策标准体系,加强网络安全保险产品服务创新,强化网络安全技术赋能保险发展,促进网络安全产业需求释放,培育网络安全保险发展生态。20 我国首个关键信息基础设施安全保护国家标准发布11月7日,作为关键信息基础设施安全保护标准体系的构建基础,《信息安全技术关键信息基础设施安全保护要求》国家标准将于2023年5月1日正式实施。关键信息基础设施的安全防护是国家网络安全工作的重中之重,标准是落实关键信息基础设施安全相关法律法规的重要抓手,是保障关键信息基础设施安全与发展的重要技术要素,要统筹优化标准体系建设,持续开展关键标准研制,不断强化标准实施应用,以标准助力关键信息基础设施安全保障体系建设。01 国务院办公厅发布《要素市场化配置综合改革试点总体方案》1月6日,国务院办公厅发布《要素市场化配置综合改革试点总体方案》。其中数据要素方面,提出探索建立流通技术规则。聚焦数据采集、开放、流通、使用、开发、保护等全生命周期的制度建设,推动部分领域数据采集标准化,分级分类、分步有序推动部分领域数据流通应用,推动完善数据分级分类安全保护制度,探索制定大数据分析和交易禁止清单。02 中国银保监会发布《关于银行业保险业数字化转型的指导意见》1月10日,中国银保监会印发《关于银行业保险业数字化转型的指导意见》。意见从战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范等方面提出要求;要求坚持回归本源、统筹协调、创新驱动、互利共赢、严守底线的基本原则,在确保网络安全、数据安全的前提下,建设合作共赢、安全高效的经营生态环境。1月12日,国务院印发《“十四五”数字经济发展规划》。数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正推动生产方式、生活方式和治理方式深刻变革,成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。04 国家发改委等部门宣布“东数西算”工程全面启动实施2月17日,国家发展改革委高技术司负责同志接受媒体采访,8个国家算力枢纽节点和10个国家数据中心集群完成批复,全国一体化大数据中心体系完成总体布局设计,“东数西算”工程正式全面启动。“东数西算”是通过构建数据中心、云计算、大数据一体化的新型算力网络体系,将东部算力需求有序引导到西部,优化数据中心建设布局,促进东西部协同联动。05 《2022年提升全民数字素养与技能工作要点》发布3月2日,中央网信办、教育部、工信部、人力资源社会保障部近日联合印发《2022年提升全民数字素养与技能工作要点》。工作要点部署了8个方面29项重点任务,分别是加大优质数字资源供给、打造高品质数字生活、提升劳动者数字工作能力、促进全民终身数字学习、提高数字创新创业创造能力、筑牢数字安全保护屏障、加强数字社会文明建设,以及加强组织领导和整体推进。其中,安全保护方面要求增强网络安全、数据安全防护意识和能力,加强个人信息和隐私保护。06 工信部发布《车联网网络安全和数据安全标准体系建设指南》3月7日,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》。提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。2025年时,将形成较为完善的车联网网络安全和数据安全标准体系,完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。4月28日,上海市普陀区检察院对Z网络科技有限公司、陈某某等人非法获取计算机信息系统数据案开展不起诉公开听证。2019-2020年,该公司在未经授权许可情况下,为运营需要,由陈某某指挥多名技术人员,通过数据爬虫技术,非法获取某外卖平台数据,造成该平台直接经济损失4万余元。检察建议设置专门的数据合规管理部门,消除内部管理盲区,建立数据分级分类管理制度及员工数据安全管理制度,提高数据合规风险识别、应对能力。08 最高人民法院发布《关于加强区块链司法应用的意见》5月25日,最高人民法院发布《最高人民法院关于加强区块链司法应用的意见》(以下简称《意见》)。这是人民法院深入贯彻习近平法治思想、落实习近平总书记关于推动区块链技术创新发展重要指示精神的具体举措,将进一步推进人民法院运用以区块链为代表的关键技术加速人民法院数字化变革、创造更高水平数字正义,促进法治与科技深度融合发展、推动智慧法治建设迈向更高层次。6月8日,“中国+中亚五国”外长第三次会晤在努尔苏丹举行。会晤通过《“中国+中亚五国”数据安全合作倡议》。中华人民共和国、哈萨克斯坦共和国、吉尔吉斯共和国、塔吉克斯坦共和国、土库曼斯坦、乌兹别克斯坦共和国欢迎国际社会在支持多边主义、兼顾安全发展、坚守公平正义的基础上,为保障数据安全所作出的努力,愿共同应对数据安全风险挑战并在联合国等国际组织框架内开展相关合作。6月9日,据国家网信办官网消息,国家市场监管总局、国家网信办发布《关于开展数据安全管理认证工作的公告》。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》实施认证。本规则规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。进一步地推动我国企业的数据安全管理能力,创建更加安全、规范的数据环境。11 《关于构建数据基础制度更好发挥数据要素作用的意见》审议通过6月22日下午中央全面深化改革委员会第二十六次会议,审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。习近平在主持会议时强调,数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。12 国务院印发《关于加强数字政府建设的指导意见》6月23日,国务院发布《关于加强数字政府建设的指导意见》。加强数字政府建设是适应新一轮科技革命和产业变革趋势、引领驱动数字经济发展和数字社会建设、营造良好数字生态、加快数字化发展的必然要求,是建设网络强国、数字中国的基础性和先导性工程,是创新政府治理理念和方式、形成数字治理新格局、推进国家治理体系和治理能力现代化的重要举措,对加快转变政府职能,建设法治政府、廉洁政府和服务型政府意义重大。13 国家互联网信息办公室发布《数据出境安全评估办法》7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。7月30日,工信部网络安全管理局局长隋静在第十届互联网安全大会开幕式上表示,近年来网络安全产业综合实力显著增强,未来应完善制度规则,强化行业数据安全治理能力,加快建立数据分类分级保护、跨境数据流动监管等基本规则。15 国家卫健委印发《医疗卫生机构网络安全管理办法》 8月29日,国家卫健委规划发展与信息化司发布了《关于印发医疗卫生机构网络安全管理办法的通知》(国卫规划发〔2022〕29号)旨在进一步规范了医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展,加快推动卫生健康行业高质量发展进程。16 《汽车数据处理安全要求》等14项网络安全国家标准获批发布10月14日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告(2022年第13号),全国信息安全标准化技术委员会归口的14项国家标准正式发布。其中步态识别数据安全要求、基因识别数据安全要求、声纹识别数据安全要求,人脸识别数据安全要求以及汽车数据处理安全要求均于2023年5月1日正式实施。17 国务院办公厅印发《全国一体化政务大数据体系建设指南》10月28日,国务院办公厅印发《全国一体化政务大数据体系建设指南》(以下简称《指南》),这是深入贯彻落实习近平总书记关于网络强国的重要思想,加快数字中国建设的重要举措。《指南》构建了全国一体化政务大数据体系总体架构,为着力解决政务数据体系建设中的问题提供了系统方案,为如何充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化的重要作用指明了方向。18 工信部发布《工业和信息化领域数据安全管理办法(试行)》12月8日,为了规范工业和信息化领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家安全和发展利益,根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国国家安全法》《中华人民共和国民法典》等法律法规,工业和信息化部印发《工业和信息化领域数据安全管理办法(试行)》。12月25日,国内首家由中央企业设立的数据产业集团——中国电子数据产业集团在广东深圳正式揭牌成立。作为中国电子主业版块之一,数据产业集团将聚焦探索自主计算、数据安全、数据要素化等领域,以赋能数字政府和行业数字化转型为主战场,打造国家网信事业核心战略科技力量。国家互联网信息办公室、工业和信息化部、公安部近日联合发布《互联网信息服务深度合成管理规定》。近年来,深度合成技术快速发展,在服务用户需求、改进用户体验的同时,也被一些不法人员用于制作、复制、发布、传播违法和不良信息,诋毁、贬损他人名誉、荣誉,仿冒他人身份实施诈骗等,影响传播秩序和社会秩序,损害人民群众合法权益,危害国家安全和社会稳定。出台规定是防范化解安全风险的需要,也是促进深度合成服务健康发展、提升监管能力水平的需要。