下载掌阅APP,畅读海量书库
立即打开
我国网络管理体制由于历史原因,呈现出“九龙治水”的管理格局。2008年国务院机构改革后,我国信息化管理体制机制方面出现了较大变化。为了探索新历史条件下的国家信息化管理体制问题,国家信息化专家咨询委员会于2011年设立《国家信息化管理体制机制研究》课题,由汪玉凯委员主持。2012年11月20日,国家信息化专家咨询委员会收到了课题最终形成的政策建议稿。建议稿指出了四个突出问题:一是管理机构缺乏权威,难以统揽全局;二是协调机制不力,统筹推进困难;三是部门各自为政,重复建设严重;四是条块矛盾突出,综合效能低下。鉴于此,建议稿提出进一步加强国家信息化领导小组的职责,提升国家层面信息化的领导力。建议稿还提出组建国家信息化办公室,作为国家信息化领导小组的常设办事机构。该办公室是国家层面的管理协调机构,落实国家信息化领导小组制定的战略和政策,统筹协调推进全国信息化发展工作,应当具有足够的权威性、综合性和战略性。办公室的组织形式,可以实行“双跨制”——既属于党中央的机构,又属于国务院的机构,组织上隶属于党中央,这样有利于提升国家信息化办公室的权威性,提高其全局的统筹能力和协调能力 [16] 。
2014年2月27日,中央网络安全和信息化领导小组宣告成立,并召开第一次会议。新设立的中央网络安全和信息化领导小组将统筹协调各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策。相比此前的国家信息化领导小组,中央网络安全和信息化领导小组实际已经不是政府层面上的,而是党中央层面上设置的一个顶层领导机构。组长已经不是过去的由政府总理担任,而是由党的总书记担任,这能从根本上改善过去协调困难的弊端,大大提高该小组总揽全局的整体规划能力和高层协调能力。这个小组不单是信息化领导小组,而是把网络安全放在更突出的位置,并与国家信息化整体战略一并考虑,无疑具有重大战略意义 [16] 。领导小组的成立是中国网络安全和信息化国家战略迈出的重要一步,标志着这个当时已有6亿网民的网络大国加速向网络强国挺进。
在中央网络安全和信息化领导小组第一次会议上,习近平总书记提出了“没有网络安全就没有国家安全”的重要论断,将网络安全上升到了国家安全层面,该论断在此后被从业者广泛引用。针对网络安全和信息化的关系,总书记指出,网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。在本次会议上,习近平总书记正式提出“网络强国”这一重大战略,并强调了实现网络强国的五个重点。总书记指出,建设网络强国的战略部署要与‘两个一百年’奋斗目标同步推进,向着网络基础设施基本普及、自主创新能力显著增强、信息经济全面发展、网络安全保障有力的目标不断前进。
中央网络安全和信息化领导小组的办事机构为中央网络安全和信息化领导小组,简称中央网信办。目前,中央网信办与国家网信办是“一个机构两块牌子” [63] 。2014年8月26日,国务院发出《关于授权国家网信办负责互联网信息内容管理工作的通知》(国发〔2014〕33号),授权重新组建的国家网信办负责全国互联网信息内容管理工作,并负责监督管理执法。同2011年5月初创时相比,重组后的国家网信办增加了互联网内容的监督管理执法权。国家网信办下设违法和不良信息举报中心,统筹协调全国互联网违法和不良信息举报工作。在我国后续的法律文件中,国家网信办被称作“国家网信部门”。
2014年4月15日,中国共产党中央国家安全委员会召开第一次会议,习近平总书记在会议中提出总体国家安全观:“构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系”。总书记指出:“当前我国国家安全内涵和外延比历史上任何时候都要丰富,时空领域比历史上任何时候都要宽广,内外因素比历史上任何时候都要复杂,必须坚持总体国家安全观。”此后,网络安全被看作总体国家安全体系的有机组成部分。中央国家安全委员会是中共中央关于国家安全工作的决策和议事协调机构,统筹协调涉及国家安全的重大事项和重要工作,由中共中央总书记任主席,中央政治局常委任副主席,下设常务委员和委员若干名。
2014年10月10日,最高法公布《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》(法释〔2014〕11号)开始施行,为正确审理利用信息网络侵害人身权益民事纠纷案件做出19条规定。所称人身权利包括姓名权、名称权、名誉权、荣誉权、肖像权、隐私权等。这一《规定》文件在2020年《民法典》出台后被相应修订。
2014年11月1日,第十二届全国人民代表大会常务委员会第十一次会议通过了《中华人民共和国反间谍法》。制定和实施《反间谍法》,是在新的历史时期维护国家安全的客观要求,是加强隐蔽战线反奸防谍斗争的迫切需要,是贯彻党的全面依法治国战略决策的重要举措。
2014年11月19日至21日,以“互联互通、共享共治”为主题的首届世界互联网大会(WIC)在浙江乌镇召开。大会旨在搭建中国与世界互联互通的国际平台和国际互联网共享共治的中国平台,让各国在交流中求共识、在共识中谋合作、在合作中创共赢。此后,世界互联网大会每年都会在乌镇例行召开,“携手构建网络空间命运共同体”是大会一以贯之的主题。
2014年11月24日至30日,中央网信办会同多部门举办首届国家网络安全宣传周。活动对提升人民群众网络安全意识,了解和掌握网络安全防范方法意义重大。此后,这一活动在每年9月第三周例行举行。
2014年以来,信息安全等保制度的贯彻落实继续深化。2014年年底,公安部、国家发改委和财政部联合印发《关于加强国家级重要信息系统安全保障工作有关事项的通知》(公信安〔2014〕2182号),明确要求对500个国家级重要信息系统的所在单位每年开展一次网络安全执法检查,涉47个行业和276家单位 [64] 。2015年5月18日,公安部召开电视电话会议,专题部署为期三个月的国家级重要信息系统和重点网站安全执法检查工作。检查范围除500个重要信息系统外,还包括政府部门和企事业单位的网站,以及省、市两级大型互联网综合、搜索、新闻、电商、社交、IT、财经等门户网站 [65] 。
2015年4月13日,新华社公布了中办、国办印发的《关于加强社会治安防控体系建设的意见》。《意见》要求加强信息网络防控网建设,具体内容包括:加强网络安全保护,落实相关主体的法律责任;落实手机和网络用户实名制;健全信息安全等级保护制度,加强公民个人信息安全保护;深入开展专项整治行动,坚决整治利用互联网和手机媒体传播暴力色情等违法信息及低俗信息 [66] 。
2015年5月29日,360天眼实验室(奇安信红雨滴团队前身)发布报告《Ocean Lotus(APT-C-00):数字海洋的游猎者 持续3年的网络空间威胁》,披露“海莲花”APT组织。报告称,“海莲花”自2012年4月以来,针对中国政府、海事机构、海域建设部门、科研院所和航运企业展开了长时间的APT攻击。2015年6月1日,国家网信办出台的《互联网新闻信息服务单位约谈工作规定》开始实施,建立了针对互联网新闻信息服务单位的约谈制度。所称约谈,是指国家和地方网信部门在互联网新闻信息服务单位发生严重违法违规情形时,约见其相关负责人,进行警示谈话、指出问题、责令整改纠正的行政行为。
2015年6月11日,国务院学位委员会和教育部下发《关于增设网络空间安全一级学科的通知》(学位〔2015〕11号),明确在工学门类下增设网络空间安全一级学科,学科代码为0839,授予工学学位。此后,多所高校整合资源,设立网络安全学院。10月30日,国务院学位委员会发布通知(学位〔2015〕39号),决定组织开展网络空间安全一级学科博士学位授权点申报。全国29所高校获得首批网络空间安全一级学科博士学位授权点资格。
2015年6月19日,中国互联网协会组织民间漏洞平台、重要行业部门、基础电信企业、软硬件厂商、网络安全企业与CNCERT等32家单位举行《漏洞信息披露和处置自律公约》签约仪式。公约首次以行业自律的方式规范漏洞信息的接收、处置和发布工作,规定了各签约方在漏洞披露和处置方面的责任和自律条款,提出漏洞信息披露的“客观、适时、适度”三原则,并要求各方加强协同配合,积极做好漏洞的验证、评估、修复和用户的主动响应工作。当时,国内的民间漏洞平台开始出现并迅速发展,在带来积极意义的同时也存在若干亟待规范的问题,如披露前未及时通知涉事单位、信息过于详细、信息描述不准确或信息夸大造成社会恐慌等。
2015年6月,国务院批复成立由公安部牵头、23个部门和单位组成的“国务院打击治理电信网络新型违法犯罪工作部际联席会议制度”,加强对全国打击治理电信网络诈骗工作的组织领导和统筹协调。联席会议办公室设在公安部刑侦局。联席会议第一次会议于2015年10月9日在京召开。会议决定,从2015年11月1日至2016年4月30日,在全国范围内开展打击治理电信网络新型违法犯罪专项行动。2016年2月25日,联席会议第二次会议决定将专项行动延长至2016年年底。
2015年7月1日,新的《国家安全法》获得通过,即日施行,以法律形式确立总体国家安全观,并首次将“建设网络与信息安全保障体系”写入国家法律。该法第25条规定,国家实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃取、散布违法有害信息等网络不法行为,维护国家网络空间主权、安全和发展利益。
2015年7月10日,中央编办发布公告 [67] ,就工信部有关职责和机构进行了调整。公告称,将工信部信息化推进、网络信息安全协调等职责划给中央网信办(国家网信办);将原信息化推进司和原信息安全协调司承担的生产和制造系统信息安全和信息化职责与软件服务业司的职责进行整合,并将软件服务业司更名为信息化和软件服务业司;将电信管理局更名为信息通信管理局;将通信保障局更名为网络安全管理局;将通信发展司更名为信息通信发展司。其中,网络安全管理局的主要职责是:组织拟订电信网、互联网及其相关网络与信息安全规划、政策和标准并组织实施;承担电信网、互联网网络与信息安全技术平台的建设和使用管理;承担电信和互联网行业网络安全审查相关工作,组织推动电信网、互联网安全自主可控工作;承担建立电信网、互联网新技术新业务安全评估制度并组织实施;指导督促电信企业和互联网企业落实网络与信息安全管理责任,组织开展网络环境和信息治理,配合处理网上有害信息,配合打击网络犯罪和防范网络失窃密;拟订电信网、互联网网络安全防护政策并组织实施;承担电信网、互联网网络与信息安全监测预警、威胁治理、信息通报和应急管理与处置;承担电信网、互联网网络数据和用户信息安全保护管理工作;承担特殊通信管理,拟订特殊通信、通信管制和网络管制的政策、标准;管理党政专用通信工作。
2015年7月31日,CNCERT联合中国互联网协会网络与信息安全工作委员会组织开展互联网网络安全威胁治理行动。截至2015年年底,CNCERT处置网络安全事件52950起,发布URL黑名单地址47061条。相比行动前,日均DDoS攻击事件次数大幅下降76.7%;境内被篡改网站月均数量下降8.6%,其中被篡改政府网站月均下降了44%。
2015年7月起,全国公安机关发起为期半年的“净网”行动,打击网络违法犯罪,以网络攻击破坏、入侵控制网站、网银木马盗窃、网络诈骗等违法犯罪为重点。2018年,公安部重启“净网”行动,并形成了年度惯例。此时网络黑产已呈现生态化、体系化特征,“净网”行动因此强调“打七寸、打全链、打生态”,侧重于对物料供应、技术支持、广告推广和支付结算等黑产供应链的打击,致力于斩断利益链条。此时《网络安全法》已经实施,公安机关在网络犯罪案件中采用“一案双查”原则,既追捕犯罪分子,又查处不履行法定义务的网络运营者。2018年至2021年,“净网”行动年度侦破刑事案件数分别为2.2万、4.6万、5.6万、6.2万,战果逐年扩大,越发有力地震慑了网络犯罪分子。
需要注意的是,公安部发起的“净网”行动与全国“扫黄打非”工作小组办公室牵头的“扫黄打非·净网”行动并非同一事务。“扫黄打非”行动使用“清源”“净网”“秋风”“护苗”“固边”“新风”等代号开展专项行动,其中“净网”专注于治理网络淫秽色情信息。全国“扫黄打非”工作小组办公室设在中央宣传部 [68] 。
2015年8月29日,《中华人民共和国刑法修正案(九)》表决通过,自11月1日起施行。修正案增补第一百二十条,设置“宣扬恐怖主义、极端主义、煽动实施恐怖活动罪”和“非法持有宣扬恐怖主义、极端主义物品罪”;修改“第二百五十三条之一”,将“出售、非法提供公民个人信息罪”和“非法获取公民个人信息罪”整合为“侵犯公民个人信息罪”,扩大了犯罪主体和侵犯个人信息行为的范围,强化个人信息保护;修改第二百八十三条,对非法生产、销售间谍器材行为加以惩处;增加“第二百八十六条之一”,设置“拒不履行信息网络安全管理义务罪”;增补第二百八十七条,设置“非法利用信息网络罪”和“帮助信息网络犯罪活动罪”(简称“帮信罪”);修改第二百八十八条,加强对“扰乱无线电通讯管理秩序罪”的处罚;增设“第二百九十一条之一”第二款,设置“编造、故意传播虚假信息罪”。此后,两高基于后续司法实践中发现的问题,针对上述罪名多次出台司法解释,见表2-2。
表2-2 针对网络安全犯罪的若干司法解释文件
2015年9月17日,公安部、中央网信办、中央编办、工信部四部门联合发布《党政机关、事业单位和国有企业互联网网站安全专项整治行动方案》(公信安〔2017〕2562号),通知自2015年9月底至2016年6月底,在全国范围内开展党政机关、事业单位和国有企业网站安全专项整治行动。专项行动将落实网站开办审核,开展网站统一标识,督促指导网站群建设,全面加强网站安全保护、安全监测、应急处置和责任追究,严厉打击不法行为。
2015年12月3日下午,白帽袁某发现“世纪佳缘”网站上有系统漏洞。当晚,他为了证实漏洞,进入网站并取走900条数据。同时,网站方发现了入侵事件。4日,袁某向漏洞报告平台乌云网提交漏洞,后者于同日通报给世纪佳缘。7日,世纪佳缘在完成漏洞修补后,在乌云网对提交者致谢。事后,世纪佳缘发现有900条数据被盗,于2016年1月18日报警。根据法律规定(法释〔2011〕19号),获取身份认证信息五百组以上达到入刑标准。袁某因“非法获取计算机信息系统数据犯罪”被检方批捕。案件引发广泛关注,对白帽善意行为的鉴别和保护成为热议焦点。世纪佳缘称,报警时不知入侵者与提交者系同一人。
为阻断暴恐信息的网络传播,我国持续加大网络反恐的立法力度,《反恐怖主义法》自2016年1月1日起施行。该法第19条规定:“电信业务经营者、互联网服务提供者应当依照法律、行政法规规定,落实网络安全、信息内容监督制度和安全技术防范措施,防止含有恐怖主义、极端主义内容的信息传播;发现含有恐怖主义、极端主义内容的信息的,应当立即停止传输,保存相关记录,删除相关信息,并向公安机关或者有关部门报告。”
2016年2月4日,国家新闻出版广电总局、工信部第5号令发布《网络出版服务管理规定》,自3月10日起施行,原国家新闻出版总署、信息产业部2002年颁布的《出版暂行规定》同时废止。《网络出版服务管理规定》根据《出版管理条例》《信管办法》等法律法规制定,旨在规范网络出版服务秩序,促进网络出版服务业健康有序发展。所称网络出版服务,是指通过信息网络向公众提供网络出版物。所称网络出版物,是指通过信息网络向公众提供的,具有编辑、制作、加工等出版特征的数字化作品。《网络出版服务管理规定》规定了监管分工:国家新闻出版广电总局作为网络出版服务的行业主管部门,负责全国网络出版服务的前置审批和监督管理工作;工信部作为互联网行业主管部门,依据职责对全国网络出版服务实施相应的监督管理;地方各级出版行政主管部门和各省级电信主管部门依据各自职责对本行政区域内网络出版服务及接入服务实施相应的监督管理工作并做好配合工作。《网络出版服务管理规定》第二章《网络出版服务许可》规定:从事网络出版服务,必须依法经过出版行政主管部门批准,取得《网络出版服务许可证》;图书、音像、电子、报纸、期刊出版单位应当有确定网站域名、智能终端应用程序等出版平台;相关服务器和存储设备必须存放在境内;法定代表人必须是在境内长久居住的具有完全行为能力的中国公民。
2016年3月16日,十二届全国人大四次会议表决通过了关于国民经济和社会发展第十三个五年规划纲要的决议,并专辟了“拓展网络经济空间”篇,提出宽带中国、物联网应用推广、云计算创新发展、“互联网+”行动、大数据应用、国家政务信息化、电子商务和网络安全保障八项信息化重大工程,推进网络强国战略。
2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上发表了“4·19”重要讲话。总书记以哲学视野和辩证思维提出网络安全观,指出网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的。讲话还对加快构建关键信息基础设施安全保障体系、全天候全方位感知网络安全态势、增强网络安全防御能力和威慑能力、促进互联网持续健康发展和为网信事业发展提供有力人才支撑几个问题提出了明确要求。“4·19”讲话是指导我国网信事业发展的纲领,标志着网络强国路线的进一步明确,开启了我国网络安全战略和法律制度规划的全新时代。
“4·19”讲话发表后一年内,我国相继发布多个网络安全顶层设计文件,为我国网络安全治理指明了方向。
● 2016年7月,中共中央办公厅、国务院办公厅印发《国家信息化发展战略纲要》,作为规范和指导未来10年国家信息化发展的纲领性文件,是国家战略体系的重要组成部分,是信息化领域规划、政策制定的重要依据。该《战略纲要》对网络安全高度重视,指出“坚持积极防御、有效应对,增强网络安全防御能力和威慑能力,切实维护国家网络空间主权、安全、发展利益”。《战略纲要》在总结已有成绩基础之上,面向新时期维护国家安全的重大需求,对网络安全工作做出了新的顶层设计,是我国以文件形式对国家网络安全战略的清晰阐述。《战略纲要》将以往的“积极防御、综合防范”方针改为“积极防御,主动应对”,通过“增强网络安全防御能力和威慑能力”实现以慑止战 [35] 。
● 2016年12月15日,国务院印发《“十三五”国家信息化规划》 [69] ,将“健全网络安全保障体系”作为一项重要任务。《规划》提出“构建关键信息基础设施安全保障体系”。《规划》对实现“全天候全方位感知网络安全态势”提出了具体要求:“建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制,准确把握网络安全风险发生的规律、动向、趋势;建立政府和企业网络安全信息共享机制,加强网络安全大数据挖掘分析,更好地感知网络安全态势,做好风险防范工作”。《规划》要求部署建设“网络安全监测预警和应急处置工程”,包括:“建立国家网络安全态势感知平台,利用大数据技术对网络安全态势信息进行关联分析、数据挖掘和可视化展示,绘制关键信息基础设施网络安全态势地图。建设工业互联网网络安全监测平台,感知工业互联网网络安全态势,为保障工业互联网安全提供有力支持。”《规划》还提出了要建立国家网络安全态势感知平台和党政机关网络安全态势感知系统。
● 2016年12月27日,经中央网信领导小组批准,国家网信办发布《国家网络空间安全战略》。该战略贯彻落实习近平总书记网络强国战略思想,阐明了中国关于网络空间发展和安全的重大立场和主张,明确了战略方针和主要任务,切实维护国家在网络空间的主权、安全、发展利益,是指导国家网络安全工作的纲领性文件。
● 2017年3月1日,经中央网信领导小组批准,外交部和国家网信办共同发布《网络空间国际合作战略》。该战略以和平发展、合作共赢为主题,以构建网络空间命运共同体为目标,就推动网络空间国际交流合作首次全面系统提出中国主张,为破解全球网络空间治理难题贡献中国方案,是指导中国参与网络空间国际交流与合作的战略性文件。
“4·19”讲话要求“全面加强网络安全检查,摸清家底,认清风险”。2016年7月,中央网信办牵头组织了我国首次全国范围的关键信息基础设施(CII)网络安全检查工作。这是国家关键信息基础设施安全保护的基础性工作,是进一步开展风险治理、威胁防范的前提。
2016年6月6日,中央网信办等六部门联合印发《关于加强网络安全学科建设和人才培养的意见》,提出加快网络安全学科专业和院系建设,创新网络安全人才培养机制,强化网络安全师资队伍建设,推动高等院校与行业企业合作育人、协同创新,完善网络安全人才培养配套措施。
2016年8月21日,山东临沂一位家境困难的高中女孩徐玉玉遭遇电信诈骗后身亡,引发舆论强烈关注。事件源头是高考报名网站存在漏洞,黑客利用漏洞侵入并下载了64万多条该省考生信息。这一信息被非法出售后抵达诈骗团伙。悲剧发生后,我国对个人信息的保护和对电信诈骗的打击进一步增强。9月23日,国务院打击治理电信网络新型违法犯罪工作部际联席会议第三次会议召开。要求加强对行业和地区的问责,并决定在全国组织开展为期一年的打击侵犯公民个人信息专项行动。同日,两高、公安部、工信部、央行、银监会联合发布《防范和打击电信网络诈骗犯罪通告》,要求各部门采取多方面措施,对电信网络诈骗犯罪发起攻势。10月31日提审的民法总则二审稿首次在民事权利章节加入了个人信息保护条款。2016年全年,全国公安机关针对网络诈骗、黑客攻击和侵害公民个人信息等高发频发犯罪活动,持续组织开展专项行动,共侦破黑客攻击案件828起,抓获犯罪嫌疑人1288人;侦破侵害公民个人信息案件1886起,抓获犯罪嫌疑人4261人,查获各类公民个人信息307亿条,抓获各行业“内鬼”391人、黑客98人 [70] 。
2016年10月9日,中共中央政治局就实施网络强国战略进行第三十六次集体学习。习近平总书记在主持学习时强调,加快推进网络信息技术自主创新,加快数字经济对经济发展的推动,加快提高网络管理水平,加快增强网络空间安全防御能力,加快用网络信息技术推进社会治理,加快提升我国对网络空间的国际话语权和规则制定权,朝着建设网络强国目标不懈努力。
2016年11月25日,国家网信办官网宣布,在本年度内已完成“清朗”系列专项行动,深入整治网络顽疾,对网络空间各类违法违规行为形成持续有力震慑。“清朗”系列专项行动是由国家网信办牵头,工信、公安、文化、工商、新闻出版广电等多部门共同参与的网络空间治理行动,治理范围覆盖门户网站、搜索引擎、网址导航、微博微信等各平台各环节,治理内容包括淫秽色情、虚假谣言、暴力血腥等各类违法违规文字、图片、音视频信息,是对网络空间的一次“大清理”“大扫除”。行动期间,国家网信办还配合立法机关推动出台《网络安全法》,牵头起草《未成年人网络保护条例》,修订《互联网新闻信息服务管理规定》,制定《移动互联网应用程序信息服务管理规定》《互联网直播服务管理规定》,在全国网信系统进行行政执法培训,颁发首批新的互联网信息内容管理行政执法证,持续推进全国网信行政执法体系建设 [71] 。这是国家网信办首次公开以“清朗”为代号开展网信生态治理行动。
2016年12月9日,国务院发函确认同意建立网络市场监管部际联席会议制度(国办函〔2016〕99号) [72] 。联席会议制度旨在进一步加强网络市场监管,加强部门间协调配合,促进网络市场持续健康发展。联席会议由工商总局、发改委、工信部、公安部、商务部、海关总署、质检总局、食品药品监管总局、网信办、邮政局10个部门组成,工商总局为牵头单位。这一制度在2020年被调整完善(国办函〔2020〕52号),强调了党中央对联席会议制度的领导,将参与部门由10个扩展到14个,明确国家市场监督管理总局为牵头单位。
2016年12月20日,“两高一部”发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见》(法发〔2016〕32号)。《意见》规定了对利用电信网络技术手段实施的诈骗罪定罪量刑标准,规定了对扰乱无线电通讯管理秩序罪、侵犯公民个人信息罪、招摇撞骗罪、妨害信用卡管理罪、“掩饰、隐瞒犯罪所得、犯罪所得收益罪”等关联犯罪的法律适用情景,对共同犯罪与主观故意的认定、案件管辖的确定、证据的收集和审查判断方式、涉案财物的处理方式提供了解释意见。
2017年1月10日,中央网信办印发《国家网络安全事件应急预案》(中网办发文〔2017〕4号),标志着我国拥有了国家层面组织应对特别重大网络安全事件的应急处置行动方案。该预案是各地区、各部门、各行业开展网络安全应急工作的重要依据。
2017年2月17日,习近平总书记主持召开国家安全工作座谈会并发表重要讲话,强调要准确把握国家安全形势,牢固树立和认真贯彻总体国家安全观,并对当前和今后一个时期国家安全工作提出明确要求,强调要突出抓好政治安全、经济安全、国土安全、社会安全、网络安全等各方面安全工作。在会议上,习近平特别强调了网络安全工作,提出“要筑牢网络安全防线,提高网络安全保障水平,强化关键信息基础设施防护,加大核心技术研发力度和市场化引导,加强网络安全预警监测,确保大数据安全,实现全天候全方位感知和有效防护”。
2017年5月2日,《互联网新闻信息服务管理规定》经国家网信办第1号令发布,自6月1日起施行,旨在加强互联网信息内容管理,促进互联网新闻信息服务健康有序发展。该规定确立了互联网新闻信息服务许可制度,“禁止未经许可或超越许可范围开展互联网新闻信息服务活动”。国家网信办还公布了《互联网新闻信息服务许可管理实施细则》,与该规定同步施行。
2017年6月1日起,《中华人民共和国网络安全法》(以下简称《网安法》)正式施行。这是我国第一部全面规范网络空间安全管理方面问题的基础性法律,是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。《网安法》总则规定,我国网络安全的主管部门是国家网信部门、国务院电信主管部门、公安部门和其他有关机关、县级以上地方人民政府有关部门。《网安法》第三章对网络运行安全做出规定,该章第二节用整节篇幅对关键信息基础设施(CII)的运行安全提出要求,是我国首次将关键信息基础设施保护(以下简称“关保”)写入国家法律。《网安法》第四章对个人信息保护和网络内容安全做出规定。《网安法》第五章将监测预警与应急处置工作制度化、法制化,明确国家要建立网络安全监测预警和信息通报制度,建立网络安全风险评估和应急工作机制,制定网络安全事件应急预案并定期演练,这为深化网络安全防护体系、实现全天候全方位感知网络安全态势提供了法律保障。
《网安法》明确“国家实行网络安全等级保护制度”,将等保制度提升到国家法律层面,标志着“等保2.0”时代的到来。在《网安法》将信息安全等级保护更名为网络安全等级保护之后,相关国家标准也被重新更名、修订,在2018—2020年间陆续以“网络安全等级保护”名称发布。2018年6月27日,《网络安全等级保护条例》征求意见稿公布。征求意见稿由公安部会同中央网信办、国家保密局、国密局总结十几年等保工作经验起草,旨在贯彻落实《网安法》关于等保制度的要求,将前期等保工作实践成果上升为行政法规,进一步健全相关法律规范体系,促进等保制度进一步成熟。
2017年8月至11月期间,全国人大常委会对《网安法》在各单位的实施情况进行调研。调研结论认为,网络安全普遍没有得到应有的重视,“说起来重要、干起来次要、忙起来不要”的情况比较常见。极少有单位的网络安全负责人是单位一把手。各单位普遍将分管信息化工作的副职领导定为网络安全责任人,在实践中会遭遇权限不够、资源不足等问题,“出事”后则将副职一免了之。甚至还有单位完全没有将网络安全列入议事日程 [73] 。这种责任缺位的现状同网络安全的严峻形势背道而驰,必须加以改革。《党委(党组)网络安全工作责任制实施办法》(厅字〔2017〕32号)于2017年8月15日印发实施,于2021年8月解密,明确“各级党委(党组)对本地区本部门网络安全工作负主体责任”,“领导班子主要负责人是第一责任人,主管网络安全的领导班子成员是直接责任人”。《党委(党组)网络安全工作责任制实施办法》的实施标志着我国在各级单位正式建立网络安全责任制。
2017年8月8日,为贯彻落实党中央和习近平总书记关于建设一流网络安全学院的指示精神,落实《网络安全法》《关于加强网络安全学科建设和人才培养的意见》明确的工作任务,中央网信办和教育部联合印发《一流网络安全学院建设示范项目管理办法》(中网办秘字〔2017〕573号),决定在2017—2027年间实施一流网络安全学院建设示范项目。西安电子科技大学、东南大学、武汉大学、北京航空航天大学、四川大学、中国科学技术大学、战略支援部队信息工程大学共7所高校获批为首批建设示范单位。
2017年9月29日,世界首条量子保密通信干线——“京沪干线”正式开通。结合“京沪干线”与“墨子号”量子卫星的天地链路,我国科学家成功实现了首次洲际量子保密通信。这标志着我国已构建出天地一体化的广域量子通信网络雏形,为未来实现覆盖全球的量子保密通信网络迈出了坚实的一步 [74] 。在“京沪干线”应用示范的基础上,国家发展改革委于2018年2月批复了“国家广域量子保密通信骨干网络”项目,将覆盖京津冀、长三角、粤港澳、成渝等重要区域,推动量子保密通信的规模化应用。
2017年10月1日,《民法总则》正式施行。该法首次从民事法律角度对个人信息的保护作出规定——任何组织和个人应当确保依法取得的个人信息安全,不得非法收集、使用、加工、传输个人信息,不得非法买卖、提供或者公开个人信息。传统的民法没有单独承认个人信息保护,只承认隐私权,但从目前情况看,个人信息权已不能完全被隐私权覆盖。此次规定扩大了自然人私生活的保护范围,扩大了对财产权的保护。同时,它最大的一个特点是明确了个人信息的归属关系,强调信息也是个人所有的财产,个人对其具有支配地位,也对保护自己的信息有了相关权利。这就意味着,手机号码、住址等个人信息被明确地作为一种民事权利,如果有加害人侵害了个人信息的权利,受害人可以提起诉讼 [75] 。
2017年10月18日至10月24日,党的十九大在北京召开。十九大报告专门强调“牢牢掌握意识形态工作领导权”,明确提出“加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间”三大互联网治理任务。此时,互联网的社会动员功能日益增强,互联网日益成为意识形态斗争的主阵地、主战场、最前沿。国际上一些势力通过操纵网络舆情、炮制谣言、裹挟民意,就可以让一个国家政局动荡。习近平总书记敏锐把握互联网在党和国家工作全局中的重要作用,高度重视网络意识形态工作,多次强调坚持“党管互联网” [76] 。十九大以来,党和政府为维护国家安全,净化社会风气,保障网民权益,全面加强了网信内容生态的治理,不断出台相关政策,开展专项行动。
● 2019年1月,国家网信办正式启动为期半年的网络生态治理专项行动,对各类网站、移动客户端、论坛贴吧、即时通信工具、直播平台等重点环节中的淫秽色情、低俗庸俗、暴力血腥等12类负面有害信息进行整治,集中解决网络生态重点环节的突出问题。
● 2019年12月20日,国家网信办第5号令发布《网络信息内容生态治理规定》,自次年3月1日施行。这是我国在网络信息内容管理方面的一部重要立法,系统回应了当时网络信息内容服务市场所面临的问题,全面规定了网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者以及网络行业组织等主体应当遵守的管理要求。根据这一规定,网络信息内容服务使用者和网络信息内容生产者、网络信息内容服务平台不得通过人工方式或者技术手段实施流量造假、流量劫持以及虚假注册账号、非法交易账号、操纵用户账号等行为,破坏网络生态秩序。
● 2020年,国家网信办重启了代号为“清朗”的互联网内容生态治理行动。2020年“清朗”专项行动覆盖各类网络传播渠道和平台,重点整治色情低俗、网络暴力、恶意营销、侵犯公民个人隐私等互联网内容。2021年“清朗”行动分为8个专项行动:“清朗·整治网上历史虚无主义”,清理歪曲党史、国史、军史等信息;“清朗·春节网络环境”,整治首页首屏不良信息、生活服务类平台广告推送等;“清朗·算法滥用治理”,规范应用推荐算法进行新闻信息分众化传播的行为和秩序等;“清朗·打击网络水军、流量造假、黑公关”,清理网络水军等;“清朗·未成年人网络环境整治”,清理QQ群组、网络游戏、视频直播等环节存在的不良亚文化信息;“清朗·整治P USH弹窗新闻信息突出问题”,整治移动客户端P USH推荐违规“自媒体”信息等;“清朗·规范网站账号运营”,整治假冒党政机关、媒体和机构名称等违反管理要求的问题等;“清朗·整治网上文娱及热点排行乱象”,规范明星及其背后机构、官方粉丝团的网上行为,打击应援行为等。2022年“清朗”系列专项行动聚焦影响面广、危害性大的问题开展整治,具体包括十个方面的重点任务:“清朗·打击网络直播、短视频领域乱象”专项行动、“清朗·MCN机构信息内容乱象整治”专项行动、“清朗·打击网络谣言”专项行动、“清朗·2022年暑期未成年人网络环境整治”专项行动、“清朗·整治应用程序信息服务乱象”专项行动、“清朗·规范网络传播秩序”专项行动、“清朗·2022年算法综合治理”专项行动、“清朗·2022年春节网络环境整治”专项行动、“清朗·打击流量造假、黑公关、网络水军”专项行动、“清朗·互联网用户账号运营专项整治行动”。
● 2021年11月11日,十九届六中全会通过《中共中央关于党的百年奋斗重大成就和历史经验的决议》。《决议》中写入了习近平总书记“过不了互联网这一关就过不了长期执政这一关”这一重要论断。《决议》指出,“党高度重视互联网这个意识形态斗争的主阵地、主战场、最前沿,健全互联网领导和管理体制,坚持依法管网治网,营造清朗的网络空间”。
● 2022年3月1日,国家网信办等四部门发布的《互联网信息服务算法推荐管理规定》正式施行。近年来,在算法应用给政治、经济、社会发展注入新动能的同时,算法歧视、“大数据杀熟”、诱导沉迷等算法不合理应用导致的问题也深刻影响着正常的传播秩序、市场秩序和社会秩序,给维护意识形态安全、社会公平公正和网民合法权益带来挑战。在互联网信息服务领域出台具有针对性的算法推荐规章制度,是防范化解安全风险的需要,也是促进算法推荐服务健康发展、提升监管能力水平的需要 [77] 。
● 2022年4月,新浪微博、微信、知乎、抖音、快手、今日头条、百家号、小红书等多家网络平台陆续宣布公开账号IP属地。这类功能将对网络中的造谣、冒充、网络暴露等恶意行为形成一定震慑。
2017年12月12日,江苏T公司负责人万某某因怀疑公司网站遭对手Y公司攻击,雇佣黑客实施“反击”,通过DDoS攻击使Y公司网站瘫痪一小时以上。事后,万某某等人因破坏计算机信息系统罪获刑二至三年不等,适用缓刑。本案被最高检评为依法惩治破坏市场竞争秩序犯罪典型案例。
2017年12月15日,文化部第57号令发布《文化部关于废止和修改部分部门规章的决定》,其中包括对《文管规定》和《网游管理办法》进行修订,在制定依据中增加了《网安法》,对相关业务的开展条件增加了“拥有确定域名”要求,取消了资金要求。
2017年12月26日,财政部通知印发《政务信息系统政府采购管理暂行办法》(财库〔2017〕210号) [78] 。该《办法》涉及政务信息系统采购环节的网络安全要求,规定采购需求应当包括安全审查和保密要求、等级保护要求、分级保护要求,对密码保障系统做到“同步规划、同步建设、同步运行”并定期进行评估,验收方案应当包括密码应用和安全审查情况等内容。
自2017年起,我国对密码管理领域展开改革,以贯彻落实党中央、国务院关于深化“放管服”改革的决策部署。2017年9月29日,国务院发布《国务院关于取消一批行政许可事项的决定》(国发〔2017〕46号),取消国家密码局“商用密码产品生产单位审批”“商用密码产品销售单位许可”“外商投资企业使用境外密码产品审批”“境外组织和个人在华使用密码产品或者含有密码技术的设备审批”事项,要求相关部门的管理职能要重点转向制定行业标准规范,加强事中事后监管。2017年10月16日,国家密码局发出通知(国密局字〔2017〕344号),根据国务院要求调整了行政审批事项公开目录 [79] ,保留了8个审批事项。2021年1月1日,国密局发布《国家密码管理局行政审批事项公开目录》,再次调整行政审批事项公开目录,只保留了5个审批事项:商用密码科研成果审查鉴定(60002)、商用密码产品质量检测机构审批(60005)、电子认证服务使用密码许可(60011)、信息安全等级保护商用密码测评机构审批(60012)、电子政务电子认证服务机构认定(60014)。
2018年2月,十九届三中全会专题研究机构改革问题,审议通过《中共中央关于深化党和国家机构改革的决定》 [80] 和《深化党和国家机构改革方案》 [81] 。根据改革方案,中央网络安全和信息化领导小组改为中央网络安全和信息化委员会,主要职责是负责网络安全和信息化领域重大工作的顶层设计、总体布局、统筹协调、整体推进、督促落实,办事机构为中央网信办。改革方案优化了中央网信办职责,明确将国家计算机网络与信息安全管理中心由工信部管理调整为由中央网信办管理,工信部仍负责“对国家计算机网络与信息安全管理中心基础设施建设、技术创新提供保障”。改革方案还规定,中宣部统一管理新闻出版工作,将国家新闻出版广电总局的新闻出版管理职责划入中宣部,中宣部对外加挂国家新闻出版署(国家版权局)牌子。
2018年3月17日,《国务院机构改革方案》 [82] 发布,其中规定,在国家新闻出版广电总局广播电视管理职责的基础上组建国家广播电视总局,作为国务院直属机构,不再保留国家新闻出版广电总局。2018年3月24日,《国务院关于机构设置的通知》(国发〔2018〕6号)指出,国家网信办与中央网信办“一个机构两块牌子,列入中共中央直属机构序列”;国务院新闻办公室在中宣部加挂牌子 [63] 。
2018年4月20日至21日,全国网信工作会议在京召开,习近平总书记发表“4·20”重要讲话,站在人类历史发展、党和国家事业全局高度,科学分析了信息化变革趋势和我们肩负的历史使命,系统阐述涵盖网信事业发展观、安全观、治理观的网络强国战略思想,深刻回答了一系列重大理论和实践问题,是指导新时代网络安全和信息化发展的纲领性文献,吹响了建设网络强国的时代号角 [83] 。“4·20”讲话强调,党的十八大以来,党中央重视互联网、发展互联网、治理互联网,统筹协调涉及政治、经济、文化、社会、军事等领域信息化和网络安全重大问题,作出一系列重大决策、提出一系列重大举措,推动网信事业取得历史性成就。讲话指出,要加强党中央对网信工作的集中统一领导,确保网信事业始终沿着正确方向前进。 [84]
2018年6月5日,中央网信办、公安部联合发布《关于规范促进网络安全竞赛活动的通知》(中网办发文〔2018〕8号),对网络安全竞赛活动进行规范,确立了若干基本原则:要坚持国家安全和社会效益优先,公平公正、科学严谨、健康有序;严格遵守有关法律法规,不得危害国家安全、损害企业和个人合法利益;禁止以竞赛为名进行商业炒作、牟取不正当利益;不鼓励以高额奖金吸引选手参赛。
自2019年起,我国的顶层网信战略体现出了对大数据、云计算、区块链、物联网等新兴ICT技术的高度关注。这些新技术词汇在政策文件中被反复提及。
● 2019年1月10日,国家网信办发布《区块链信息服务管理规定》,自2019年2月15日起施行。国家网信办有关负责人表示,出台该《规定》旨在明确区块链信息服务提供者的信息安全管理责任,规范和促进区块链技术及相关服务健康发展,规避区块链信息服务安全风险,为区块链信息服务的提供、使用、管理等提供有效的法律依据。
● 2019年3月,《2019年国务院政府工作报告》中首次提出“智能+”重要战略:打造工业互联网平台,拓展“智能+”,为制造业转型升级赋能,推动传统产业改造提升。从“互联网+”升级为“智能+”,是中国社会生产和生活方式的又一次升级迭代,也是技术发展的必然结果,体现了人工智能、大数据、云计算、物联网、区块链、5G等新兴技术对社会生产生活的全新赋能。
● 2019年7月2日,国家网信办等四部门发布《云计算服务安全评估办法》,规定参照国家标准《信息安全技术 云计算服务安全指南》(GB/T 31167)、《信息安全技术 云计算服务安全能力要求》(GB/T 31168),对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。开展云计算服务安全评估,是为了提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,降低采购使用云计算服务带来的网络安全风险,增强党政机关、关键信息基础设施运营者将业务及数据向云服务平台迁移的信心。
● 2019年9月16日,习近平总书记对国家网络安全宣传周做出重要指示,强调要坚持促进发展和依法管理相统一,既大力培育人工智能、物联网、下一代通信网络等新技术新应用,又积极利用法律法规和标准规范引导新技术应用。
● 2019年10月20日,习近平主席向第六届世界互联网大会致贺信。习近平在贺信中指出,2019年是互联网诞生50周年。当前,新一轮科技革命和产业变革加速演进,人工智能、大数据、物联网等新技术、新应用、新业态方兴未艾,互联网迎来了更加强劲的发展动能和更加广阔的发展空间。发展好、运用好、治理好互联网,让互联网更好造福人类,是国际社会的共同责任。各国应顺应时代潮流,勇担发展责任,共迎风险挑战,共同推进网络空间全球治理,努力推动构建网络空间命运共同体。
● 2019年10月24日,中共中央政治局就区块链技术发展现状和趋势进行第十八次集体学习。习近平总书记在主持学习时强调,区块链技术的集成应用在新的技术革新和产业变革中起着重要作用。我们要把区块链作为核心技术自主创新的重要突破口,明确主攻方向,加大投入力度,着力攻克一批关键核心技术,加快推动区块链技术和产业创新发展。
● 2020年3月20日,工信部发布《关于推动工业互联网加快发展的通知》,推动建设覆盖全国所有地市的高质量外网,利用5G改造工业互联网内网,增强完善工业互联网标识体系,提升工业互联网平台核心能力,深化工业互联网行业应用,加快健全安全保障体系。
● 2020年3月30日,中共中央、国务院首次公布关于要素市场化配置的文件——《关于构建更加完善的要素市场化配置体制机制的意见》,指出土地、劳动力、资本、技术、数据五大生产要素的改革方向和相关体制机制的建设要求,包括推进政府数据开放共享、提升社会数据资源价值和加强数据资源整合和安全保护等内容。
● 2020年12月23日,国家发改委、中央网信办、工信部、国家能源局发布《关于加快构建全国一体化大数据中心协同创新体系的指导意见》,提出数据是国家基础战略性资源和重要生产要素,要“加速数据流通融合”。同时,要“推动核心技术突破及应用”,“强化大数据安全保障”。2021年5月24日,四部门进一步印发了《全国一体化大数据中心协同创新体系算力枢纽实施方案》,明确提出在京津冀、长三角、粤港澳大湾区、成渝,以及贵州、内蒙古、甘肃、宁夏这8个地区布局全国算力网络国家枢纽节点,启动实施“东数西算”工程,构建国家算力网络体系。
● 2022年4月10日,《中共中央、国务院关于加快建设全国统一大市场的意见》发布。根据这一文件,我国将加快培育数据要素市场,建立健全数据安全、权利保护、跨境传输管理、交易流通、开放共享、安全认证等基础制度和标准规范,深入开展数据资源调查,推动数据资源开发利用。
● 2022年6月22日,中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。习近平总书记在主持会议时强调加快构建数据基础制度体系。会议指出,要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,加强重点领域执法司法,把必须管住的坚决管到位。
在数据资源的价值被充分肯定、大数据深刻改变社会生活面貌的同时,数据安全问题相伴而生。数据安全日益成为网络安全体系的重中之重,并被提上立法日程。2019年5月28日,国家网信办关于《数据安全管理办法(征求意见稿)》公开征求意见。这一《办法》一旦确立通过,在境内利用网络开展数据收集、存储、传输、处理、使用等活动,以及数据安全的保护和监督管理,均适用于本《办法》。《数据安全法》作为保障数据安全的国家法律,自2021年9月1日起施行。
在移动互联网普及的时代,个人信息被大量数字化,个人隐私数据的保护成为数据安全的核心挑战。2019年,移动APP过度收集用户个人信息的现象已经十分凸显,用户权益遭到严重侵害,党和国家决心出手整治。习近平总书记对这一年的国家网络安全宣传周做出指示时强调,国家网络安全工作要坚持网络安全为人民、网络安全靠人民,保障个人信息安全,维护公民在网络空间的合法权益。到2021年《个人信息保护法》正式通过之前,已经有诸多部门规章、国家标准、行业标准陆续出台,对各类APP信息收集行为进行规范。
● 2019年6月,TC260推出《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》,明确规定了金融借贷类APP基本业务功能收集的必要信息范围,包括“手机号码”“账号信息”“身份信息”“银行账户信息”“个人征信信息”“紧急联系人信息”“借贷交易记录”7项内容。
● 2019年10月1日,国家网信办发布的《儿童个人信息网络保护规定》正式施行。这是我国第一部专门针对儿童网络保护的部门规章,该规定填补了互联网时代儿童个人信息保护的法律空白。
● 2020年2月5日和2月13日,中国人民银行分别正式发布新修订的金融行业标准《网上银行系统信息安全通用规范》(JR/T 0068—2020)和金融行业标准《个人金融信息保护技术规范》(JR/T 0171—2020)。新版JR/T 0068立足于移动互联和云计算等新技术在网上银行系统的不断深入应用,以及手机银行使用愈加广泛的背景,规范了网上银行系统安全技术要求、安全管理要求、业务运营安全要求,为网上银行系统建设、运营及测评提供了依据。JR/T 0171规定了个人金融信息在收集、传输、存储、使用、删除、销毁等生命周期环节的安全防护要求,从安全技术和安全管理两个方面,对个人金融信息保护提出了规范性要求。
● 2020年10月1日,《信息安全技术 个人信息安全规范》(GB/T 35273—2020)取代2017版本正式实施。2020版结合网络和社会发展变化进行了针对性修订,进一步契合了相关法律法规要求,增强了指导性和适用性。GB/T 35273是APP安全认证和个人信息保护认证工作的认证依据,还是多个立法文件的重要参考。
● 2021年3月22日,国家网信办等四部门联合公开发布《常见类型移动互联网应用程序必要个人信息范围规定》。该《规定》自5月1日施行,旨在贯彻落实《网络安全法》关于“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则”“网络运营者不得收集与其提供的服务无关的个人信息”等规定,明确移动互联网APP运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用APP基本功能服务。
● 2021年4月26日,在国家网信办的统筹指导下,工信部会同公安部、市监总局发布《移动互联网应用程序个人信息保护管理暂行规定(征求意见稿)》,向社会公开征求意见。征求意见稿共计二十条,界定了适用范围和监管主体;确立了“知情同意”“最小必要”两项重要原则;细化了APP开发运营者、分发平台、第三方服务提供者、终端生产企业、网络接入服务提供者五类主体责任义务;提出了投诉举报、监督检查、处置措施、风险提示四方面规范要求 [85] 。征求意见稿提出,从事APP个人信息处理活动的,应当以清晰易懂的语言告知用户个人信息处理规则,由用户在充分知情的前提下,做出自愿、明确的意思表示;从事APP个人信息处理活动的,应当具有明确、合理的目的,并遵循最小必要原则,不得从事超出用户同意范围或者与服务场景无关的个人信息处理活动。
在上述相关规章、标准的支撑下,监管部门根据有关法律法规的要求,针对APP信息过度收集等乱象重拳出击,密集行动,有效遏制了移动APP生态的沉疴。
● 2019年1月25日,中央网信办、工信部、公安部、市监总局四部门正式发布《关于开展APP违法违规收集使用个人信息专项治理的公告》。四部门决定自2019年1月至12月,在全国范围内组织开展APP违法违规收集使用个人信息专项治理行动。
● 2021年5月以来,中央网信办会同工信部、公安部、市监总局深入推进摄像头偷窥等黑产集中治理工作,对人民群众反映强烈的非法利用摄像头偷窥个人隐私画面、交易隐私视频、传授偷窥偷拍技术等侵害公民个人隐私的行为进行集中治理。截至同年8月9日,中央网信办指导各地网信办督促各类平台清理相关违规有害信息2.2万余条,处置平台账号4000余个、群组132个,下架违规产品1600余件。
● 2021年5月1日,国家网信办发布《关于输入法等33款APP违法违规收集使用个人信息情况的通报》。通报称,针对人民群众反映强烈的APP非法获取、超范围收集、过度索权等侵害个人信息的现象,国家网信办依据《网络安全法》《APP违法违规收集使用个人信息行为认定方法》等法律和有关规定,组织对输入法、地图导航等常见类型公众大量使用的部分APP的个人信息收集使用情况进行了检测。5月10日,国家网信办在针对安全管理、网络借贷等常见类型的APP的个人信息收集情况进行检测后发布通报。5月21日,针对短视频、浏览器、求职招聘APP发布通报。6月11日,针对运动健身、新闻资讯、网络直播、应用商店、女性健康等类型的APP发布通告。这些通报要求APP运营者限期整改,逾期未完成整改的将依法予以处置。
● 2021年12月9日,CNCERT会同中国网络空间安全协会(CSAC)发布《APP违法违规收集使用个人信息监测分析报告》。此前,CNCERT与CSAC共同建立了APP收集使用个人信息监测平台、APP举报受理平台。该报告是对前期专项治理和平台监测发现的APP违法违规收集使用个人信息问题进行的总结梳理,对问题特点和趋势进行了深入分析。
● 2022年4月19日,国务院新闻办公室表示,2022年一季度对强制下载APP等问题进行了有效整治,推动主要互联网企业基本解决了存在的相关问题,同时开展了2批次技术抽检,检测了61万款APP,通报了134款违规APP,从而进一步净化了APP生态;紧盯重要时点,针对3·15晚会曝光的诱骗下载恶意APP、骚扰电话等相关问题,第一时间采取下架问题APP、关停语音专线等有力措施,并依法依规对涉事企业进行立案调查和行政处罚。
● 2022年4月21日,国家邮政局、公安部、国家网信办联合召开电视电话会议,部署开展为期半年的邮政快递领域个人信息安全治理专项行动。
随着数据安全和隐私保护意识在全社会层面受到重视,多方安全计算、联邦学习等隐私增强技术开始出现在政策文件中。2020年11月24日,中国人民银行正式发布金融行业标准《多方安全计算金融应用技术规范》(JR/T 0196),指导该行业实现在不泄露原始数据、保障信息安全前提下推动多个主体间的数据共享与融合应用,确保数据专事专用、最小够用,杜绝数据被误用、滥用。2021年5月,国家发改委等四部门发布的《全国一体化大数据中心协同创新体系算力枢纽实施方案》提出,“试验多方安全计算、区块链、隐私计算、数据沙箱等技术模式,构建数据可信流通环境”。2021年7月,工信部发布的《网络安全产业高质量发展三年行动计划(2021—2023年)(征求意见稿)》提出“推动联邦学习、多方安全计算、隐私计算、密态计算、安全检索、多阈协同追踪等数据安全技术研究应用”,“大力推进安全多方计算、联邦学习、可信计算等技术的研究攻关和部署应用,促进数据要素安全有序流动”。
2019年3月7日,国务院国有资产监督管理委员会发布新版《中央企业负责人经营业绩考核办法》,该办法于2019年4月1日起施行。新的考核办法中增加了对网络安全事件的考核要求,能够有效提升相关企业改善网络安全的积极性。
2019年4月3日,国务院令第711号公布修订后的《中华人民共和国政府信息公开条例》,自5月15日起施行。条例规定政府信息应当坚持以“公开为常态、不公开为例外”。条例第14条规定,“依法确定为国家秘密的政府信息,法律、行政法规禁止公开的政府信息,以及公开后可能危及国家安全、公共安全、经济安全、社会稳定的政府信息,不予公开”。第15条规定:“涉及商业秘密、个人隐私等公开会对第三方合法权益造成损害的政府信息,行政机关不得公开。但是,第三方同意公开或者行政机关认为不公开会对公共利益造成重大影响的,予以公开。”
2019年3月至9月间,云南警方破获一起利用网络黑灰产实施电信诈骗的案件,除抓获涉诈嫌疑人外,还深入追查到出售涉案虚拟账号的“黑兔子”工作室、贩卖手机“黑卡”的亚飞达公司、提供电话卡的虚拟运营商远特公司。该案是对网络黑灰产业生态系统开展全链条、全方位集中打击的典型案例,是公安部“净网2019”专项行动挂牌督办案件。虚拟运营商远特公司在明知卡商从事不法活动的情况下,仍然为其提供大量电话卡,并违规开通高级权限,客观上为下游不法活动提供了便利,2016年徐玉玉案中的电话卡便出自远特。2021年4月16日,远特公司多名高管因拒不履行信息网络安全管理义务罪被判处有期徒刑或拘役。这是我国电信运营商因手机卡实名制监管不到位、造成严重后果而获刑的第一起判例。
2020年首日,《中华人民共和国密码法》开始施行,旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,提升密码管理科学化、规范化、法治化水平,是我国密码领域的综合性、基础性法律,让我国密码体系进入了有法可依的新时期。《密码法》对商用密码管理制度进行了结构性重塑,取消了大众消费类产品商用密码的进口许可和出口管制。
《密码法》出台后,其下位的法规、规章和标准陆续配套发布或更新。2020年8月20日,国密局发布《商用密码管理条例(修订草案征求意见稿)》,拟对1999年的《商用密码管理条例》进行修订。征求意见稿遵循《密码法》的精神,重新界定商用密码范围,将密码服务纳入商用密码范畴,不再将商用密码技术纳入国家秘密管理体系。关于密码监管职责,增加“国家网信、商务、海关、市场监督管理等有关部门在各自职责范围内,负责商用密码有关管理工作”的规定。2021年3月,国家标准《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021)正式发布,它是在密码行业标准《信息系统密码应用基本要求》(GM/T 0054—2018)基础上修改完善并上升为国家标准的,在商用密码应用标准体系中具有基础性地位。
2020年7月22日,公安部向中央部委、国务院机构、央企印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕1960号),旨在指导各单位在新形势下深化落实网络安全等保2.0。该《意见》明确了“分等级保护、突出重点”“积极防御、综合防护”“依法保护、形成合力”三大原则,归纳出“三化六防”(实战化、体系化、常态化,动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控)实践要点,针对如何实施等保2.0和关键基础设施保护、如何加强协作配合和工作保障给出了具体指导意见,标志着等保2.0将进一步落地成形 [86] 。
2020年8月28日,商务部、科技部第38号公告宣布调整《中国禁止出口限制出口技术目录》,在限制出口技术目录中新增“密码安全技术”“高性能检测技术”“信息防御技术”“信息对抗技术”“基础软件安全增强技术”,删去“信息安全防火墙软件技术”。根据我国《技术进出口管理条例》,属于限制出口的技术,实行许可证管理;出口属于限制出口的技术,应当向国务院外经贸主管部门提出申请。密码安全技术的控制要点包括:密码芯片设计和实现技术(高速密码算法、并行加密技术、密码芯片的安全设计技术、片上密码芯片设计与实现技术、基于高速算法标准的高速芯片实现技术),量子密码技术(量子密码实现方法、量子密码的传输技术、量子密码网络、量子密码工程实现技术)。高性能检测技术的控制要点为:高速网络环境下的深度包检测技术,未知攻击行为的获取和分析技术,基于大规模信息采集与分析的战略预警技术,网络预警联动反应技术,APT攻击检测技术,威胁情报生成技术。信息防御技术的控制要点为:信息隐藏与发现技术,信息分析与监控技术,系统和数据快速恢复技术,可信计算技术。信息对抗技术的控制要点是:流量捕获和分析技术,漏洞发现和挖掘技术,恶意代码编制和植入技术,信息伪装技术,网络攻击追踪溯源技术。基础软件安全增强技术的控制要点为:操作系统安全增加技术和数据库系统安全增强技术。
2020年10月10日,国务院打击治理电信网络新型违法犯罪工作部际联席会议决定自即日起在全国范围内开展“断卡”行动,依法清理整治涉诈“两卡”,对相关犯罪进行釜底抽薪式的打击。行动开展以后,各地公安机关向非法开办、贩卖“两卡”的违法犯罪发起多轮集中收网行动;银行机构加强了对出租、出借、出售、购买个人银行账户、企业对公账户的管控,同时还加大对睡眠账户、大额现金、“长期不动户”以及开卡审核的管控力度。截至2021年5月,“断卡”行动共打掉“两卡”不法团伙1.5万个,缴获涉诈电话卡373.3万张、银行卡56.6万张,惩戒“两卡”失信人员17.3万名,整治违规行业网点、机构1.8万家。2021年5月,工信部、公安部等部委联合启动“断卡行动2.0”,提出针对当前行业治理中最为紧迫的电话卡、物联网卡管理问题,要更加深入地推进“断卡”行动。
2021年是我国网信立法的腾飞之年,多部重磅法律法规相继发布实施,为行业提供了更加细致可操作的法律依据和行为规则,进一步夯实了网信法律体系的制度基础,标志着我国网络安全保障迈入新阶段。这些法律法规大都与数据安全和个人信息保护有关,因此,有人将2021年称作数据安全元年。
● 2021年1月1日,我国《民法典》正式施行,取代了原有的各大民事法律。《民法典》在《网络安全法》等现行有关法律规定的基础上,从私权利保护的角度进一步强化对个人信息的保护,规定了隐私权和个人信息的保护原则,界定了个人信息的概念,列明了处理个人信息的合法基础,规范了个人信息处理者的义务、自然人对其个人信息的权利以及行政机关的职责,为该领域的未来立法奠定了基础。
● 2021年6月1日,第二次修订后的《未成年人保护法》正式施行。新法设立“网络保护”章节,加强对未成年人使用网络行为的引导和监督,保障未成年人在网络空间的合法权益。其第72条规定,信息处理者通过网络处理未成年人个人信息的,应当遵循“合法、正当、必要”原则;处理不满十四周岁未成年人个人信息的,应当“征得未成年人的父母或者其他监护人同意,但法律、行政法规另有规定的除外”。
● 2021年9月1日,《中华人民共和国数据安全法》(以下简称《数安法》)正式施行,旨在规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。《数安法》由总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任、附则七章组成。总则对各地区、各部门、各行业、各领域、公安机关、国家安全机关、国家网信部门的监管职责做出规定。第二章对发展原则、战略要求、标准体系、评估认证、人才培养提出基本要求。第三章提出建立数据分类分级保护制度,建立数据安全风险评估、报告、信息共享、监测预警机制,建立数据安全应急处置机制,建立数据安全审查制度,实施出口管制,并提出对外国的歧视性禁止、限制措施实施反制。第四章对数据处理提出了教育培训、风险监测、风险补救、事件报告、风险评估等义务,对数据收集提出了合法、正当要求,对数据中介提出来源审核和身份审核义务,对数据服务提出取得许可要求,对配合执法义务做出规定,针对向外国执法机构提供数据的行为提出了批准程序要求。第五章规定国家推进电子政务建设、制定政务数据开放目录,对国家机关提出合法履职、信息保密、制度健全、责任落实、合规委托、政务公开等要求。《数安法》的出台标志着我国在数据安全领域拥有了基础性法律,网络安全法律体系得到重大完善,将为数字经济保驾护航。
● 2021年9月1日,《关键信息基础设施安全保护条例》(简称《关保条例》)正式施行。《关保条例》根据上位法要求,细化了CII的范围认定和安全保护办法,是构建国家关保体系的顶层设计和重要举措,为推动关保向法治化、体系化、科学化发展指明了方向。
● 2021年9月1日,工信部、国家网信办、公安部联合印发的《网络产品安全漏洞管理规定》(以下简称《漏洞管理规定》)正式施行,以引导建设规范有序的漏洞收集和发布机制,防范网络安全重大风险,保障国家网络安全。
● 2021年11月1日,《中华人民共和国个人信息保护法》(以下简称《个保法》)正式施行。《个保法》作为个人信息保护领域的基础性法律,其出台解决了个人信息层面法律法规散乱不成体系的问题,与《数安法》《网安法》《密码法》共同构建了我国的数据治理立法框架。《个保法》厘清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权力以及法律责任等方面对个人信息保护进行了全面规定,建立起个人信息保护领域的基本制度框架。
《民法典》和《个保法》的实施标志着个人信息保护有了国家法律层面的支持,《数安法》是我国数据安全治理的基础性法律,它们为后续的配套法规和实施标准提供了坚实依据。此后,数据安全领域有多部法规、规章和标准陆续出台,共同构建了国家数据安全治理的法律保障体系。
● 2021年11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》。征求意见稿围绕《网安法》《数安法》《个保法》三法提出网络数据安全管理要求,对三法落地操作做出更明确的细化。
● 2021年12月31号,TC260发布《网络安全标准实践指南——网络数据分类分级指引》,给出了网络数据分类分级的原则、框架和方法。
● 2022年4月15日,《信息安全技术 移动互联网应用程序(APP)收集个人信息基本要求》(GB/T 41391—2022)标准正式发布。GB/T 41391规定了APP收集个人信息的基本要求,给出了39类APP必要个人信息范围和使用要求。该标准的实施有助于指导APP运营者落实个人信息保护法规政策的有关要求,进一步规范APP个人信息收集活动,防范APP违法违规收集使用个人信息风险。GB/T 41391可用于指导第三方机构进行APP个人信息安全测评和认证,支撑主管监管部门开展APP个人信息安全治理。
● 2022年6月9日,市监总局、国家网信办发布《关于开展数据安全管理认证工作的公告》,提出基于《信息安全技术 网络数据处理安全要求》(GB/T 41479—2022)等相关标准规范开展数据安全管理认证(简称DSM认证)工作。两部门鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护,并发布《数据安全管理认证实施规则》指导具体工作。
● 2022年7月7日,国家网信办公布《数据出境安全评估办法》,自2022年9月1日起施行。国家网信办有关负责人表示,出台《办法》旨在落实《网安法》《数安法》《个保法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。
2021年3月11日,浙江余杭区检察院诉国内某知名短视频公司侵犯儿童个人信息民事公益诉讼案,经杭州互联网法院出具调解书后结案。涉案公司依调解书内容停止侵权、赔礼道歉,赔偿损失150万元,用于儿童个人信息安全保护等公益事项,并对这一短视频APP网络平台进行整改。据悉,本案系《民法典》实施及《未成年人保护法》修订后检察机关针对未成年人网络保护提起的民事公益诉讼全国第一案。涉案公司在开发运营该公司APP的过程中,未征得儿童监护人有效明示同意允许注册儿童账户,并收集、存储儿童个人信息,同时也没有采取技术手段对儿童信息进行专门保护。
2021年7月19日,美国纠集一干盟友,就网络攻击问题抹黑中国。次日,外交部发言人赵立坚在例行记者会上表示,美国此举无中生有,颠倒黑白,完全是出于政治目的的抹黑和打压。赵立坚说,网络空间虚拟性强,溯源难,行为体多样,在调查和定性网络事件时,应有完整充分证据,将有关网络攻击与一国政府相关联更应慎之又慎。赵立坚援引360公司的APT-C-39报告和国家互联网应急中心的统计数据,指出美国才是全球最大的网络攻击来源国。
360的这份报告于2020年3月发布,分析了APT-C-39组织对我国进行的长达11年的网络攻击渗透,航空航天行业、石油行业、政府机构、科研机构、大型互联网公司均为受害者 [87] 。360将APT-C-39归因到美国中央情报局(CIA),报告称这是全球首次捕获该APT组织的相关证据。同年5月22日,美国商务部宣布将360等33家中国机构列入出口管制“实体清单”,这是我国网络安全企业首次进入该清单。自APT-C-39报告发布以来,我国机构陆续发表了诸多针对境外网络攻击的分析报告,曝光密度显著提升,溯源成果日渐丰富。
● 2022年3月11日,CNCERT通报称,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我国境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击。经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,也有少量攻击地址来自德国、荷兰等国家。攻击流量峰值达36Gbit/s,87%的攻击目标是俄罗斯。CNCERT已及时对以上攻击行为予以最大限度处置。赵立坚在3月14日的记者会上针对这一事件表示,中方“对来自美国的、利用中国为跳板对他国实施网络攻击的行为表示严重关切”,敦促美方“在网络空间领域采取更加负责任态度,立刻停止此类恶意网络活动”。
● 2022年3月14日,国家计算机病毒应急处理中心(CVERC)发布美国NSA专用“NOPEN”远程木马技术分析报告,将美国情报部门的网络间谍手段揭露在世人面前。有证据显示,该款木马已经控制全球各地海量的互联网设备,窃取了规模庞大的用户隐私数据。
● 2022年3月22日,360公司发布报告披露美国NSA针对中国使用的网络武器——量子攻击平台的技术特点。3月24日,外交部发言人汪文斌回应了这一报告并指出,近年来美方宣称构建所谓的清洁网络,不过是美方为方便其全球监控窃密摆下的迷魂阵,是黑客帝国为自己披上的隐身衣。
● 2022年4月19日,CVERC发布美国CIA“蜂巢”恶意代码攻击控制武器平台分析报告。蜂巢平台由CIA下属机构和美国著名军工企业诺斯罗普·格鲁曼公司联合研发。CIA运用该平台对受害单位信息系统的边界路由器和内部主机实施攻击入侵,植入各类木马、后门,实现远程控制,对全球范围内的信息系统实施无差别网络攻击。外交部发言人汪文斌在次日例行记者会上应询指出,中方敦促美国政府对其不负责任的恶意网络活动做出解释,并立即停止相关恶意活动。
● 2022年6月29日,CVERC发布NSA“酸狐狸”漏洞攻击武器平台分析报告。该平台是NSA特定入侵行动办公室(TAO)对他国开展网络间谍行动的重要基础设施,曾被用于多起臭名昭著的网络入侵事件。6月30日,360针对“酸狐狸”的配套木马程序“验证器”发布技术分析报告,指出中国上百个重要信息系统已受害。同日,赵立坚针对“酸狐狸”表示谴责,要求美方做出解释,并立即停止这种不负责任的行为。
● 2022年9月5日,CVERC与360公司发布报告,将西北工业大学6月22日所受攻击溯源到TAO。同日,西安警方发布警情通报,确认此次攻击系具有美国政府背景的机构及其雇员所为。外交部发言人毛宁在当日记者会上针对美方行径提出强烈谴责。
2021年11月2日,商务部第37号公告发布《中国禁止进口限制进口技术目录》,深度伪造技术和数据加密技术被列入限制进口技术。深度伪造技术的控制要点为“笔迹伪造技术、语音伪造技术、图片伪造技术、视频伪造技术、生物特征伪造技术以及其他伪造技术,伪造信息与被伪造信息相似度大于70%”。数据加密技术的控制要点为“安全强度高于256位加密算法的加密技术”。
2021年11月24日,阿里云公司的工程师向Apache官方报告了一个极度危险的Apache Log4j2漏洞,它被称作log4shell。12月9日晚,该漏洞的利用方式遭人泄露,迅速引爆互联网,广大用户措手不及,各大安全厂商连夜紧急响应。根据我国《漏洞管理规定》,漏洞发现者并无报送监管平台的强制义务,向境外厂商通报漏洞的行为亦符合规定。但阿里云负有工信部网络安全威胁和漏洞信息共享(CSTIS)平台合作单位相关职责,由于“未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理”,被平台暂停合作。阿里云回应称,没能及时意识到这个安全漏洞的严重性。
2021年12月27日,中央网络安全和信息化委员会公开发布《“十四五”国家信息化规划》。《规划》对我国“十四五”时期信息化发展作出部署安排,是“十四五”国家规划体系的重要组成部分,是指导各地区、各部门信息化工作的行动指南。《规划》指出,“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。《规划》针对“十四五”时期的信息化明确了指导思想、基本原则、发展目标、主攻方向,提出了十项重大任务和十七项重点工程,确立了十项优先行动和六条组织实施要求。网络安全位列五大主攻方向之一。
2021年12月30日,中国银保监会办公厅发布《关于印发银行保险机构信息科技外包风险监管办法的通知》,明确提出一些涉及科技外包的重要要求,如银行保险机构“不得将信息科技管理责任、网络安全主体责任外包”“减少对个别外包服务提供商的依赖,降低集中度风险”等。
根据工信部发布的《2021年软件和信息技术服务业统计公报》,我国2021年信息安全产品和服务收入1825亿元,同比增长13.0%,增速较上年同期提高3个百分点。2021年12月10日,国家工信安全中心(CICS-CERT)发布《我国网络安全产业调研报告》,指出我国网络安全产业发展还存在供给质量不高、需求释放不够、产融合作不深、人才队伍不足四大痛点。对于产品服务供给能力,存在产业低水平同质化竞争严重、企业技术创新动力与能力不足、高端产品及定制化服务缺乏等现象。
2022年1月12日,由工信部网络安全产业发展中心与人才交流中心联合牵头组织编制的《网络安全产业人才岗位能力要求》标准正式发布。标准涵盖38个岗位的通用标准和细分标准,为各相关单位开展网络安全产业人才招聘引进、培训评测、能力提升等工作提供了依据和参考。
2022年1月30日,中央网信办等十六部门联合印发通知,公布经地方和部门推荐、专家评审、网上公示等程序确定的15个综合性和164个特色领域国家区块链创新应用试点名单。
2022年4月,中办、国办印发《关于加强打击治理电信网络诈骗违法犯罪工作的意见》,对加强打击治理电信网络诈骗违法犯罪工作作出安排部署,着重提出要做好依法严厉打击电信网络诈骗违法犯罪、构建严密防范体系、加强行业监管源头治理等五个方面的工作。
2022年7月11日,国务院发函同意建立数字经济发展部际联席会议制度。联席会议由国家发改委牵头,由中央网信办、教育部、科技部、工信部、公安部等20个部门组成,主要职责包括推进实施数字经济发展战略,统筹数字经济发展工作,研究和协调数字经济领域重大问题,指导落实数字经济发展重大任务并开展推进情况评估;协调制定数字化转型、大数据发展、“互联网+”行动等数字经济重点领域规划和政策,组织提出并督促落实数字经济发展年度重点工作,推进数字经济领域制度、机制、标准规范等建设;统筹推动数字经济重大工程和试点示范,加强与有关地方、行业数字经济协调推进工作机制的沟通联系,强化与各类示范区、试验区协同联动,协调推进数字经济领域重大政策实施,组织探索适应数字经济发展的改革举措。
2022年9月13日,国办通知印发《全国一体化政务大数据体系建设指南》(国办函〔2022〕102号),旨在贯彻党中央、国务院决策部署,落实中央全面深化改革委员会第十七次会议精神、《国务院办公厅关于建立健全政务数据共享协调机制加快推进数据有序共享的意见》(国办发〔2021〕6号)和《国务院关于加强数字政府建设的指导意见》(国发〔2022〕14号)部署要求,整合构建标准统一、布局合理、管理协同、安全可靠的全国一体化政务大数据体系,加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动,充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化中的重要作用 [88] 。《指南》指出了目前政务大数据体系存在的五点主要问题,其中包括“政务数据安全保障能力亟须强化”,表现为数据全生命周期的安全管理机制不健全,数据安全技术防护能力亟待加强;缺乏专业化的数据安全运营团队,数据安全管理的规范化水平有待提升,在制度规范、技术防护、运行管理三个层面尚未形成数据安全保障的有机整体。因此,“安全保障一体化”被列为全国一体化政务大数据体系的八大建设任务之一,其主要内容包括健全数据安全制度规范、提升平台技术防护能力和强化数据安全运行管理。
2022年10月25日,工信部通知印发《网络产品安全漏洞收集平台备案管理办法》(工信部网安〔2022〕146号),旨在规范网络产品安全漏洞收集平台备案管理 [89] 。《办法》自2023年1月1日起施行。所称网络产品安全漏洞收集平台,是指相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台,仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。《办法》规定,漏洞收集平台备案通过工信部CSTIS(网络安全威胁和漏洞信息共享)平台开展,采用网上备案方式进行。拟设立漏洞收集平台的组织或个人,应当通过工信部CSTIS平台如实填报网络产品安全漏洞收集平台备案登记信息。
2022年11月2日,中央网信办印发《关于切实加强网络暴力治理的通知》,针对网络暴力的治理提出了四项工作内容。一是建立健全网暴预警预防机制,主要措施包括加强内容识别预警、构建网暴技术识别模型、建立涉网暴舆情应急响应机制。二是强化网暴当事人保护,主要措施包括设置一键防护功能、优化私信规则、建立快速举报通道。三是严防网暴信息传播扩散,主要措施包括加强评论环节管理、加强重点话题群组和版块管理、加强直播、短视频管理、加强权威信息披露。四是依法从严处置处罚,主要措施包括分类处置网暴相关账号、严处借网暴恶意营销炒作等行为、问责处罚失职失责的网站平台。该《通知》还提出提高思想认识、压实工作责任、建立长效机制这三点工作要求。
2022年11月7日,国务院新闻办公室发布《携手构建网络空间命运共同体》白皮书。这份白皮书指出,构建网络空间命运共同体是信息时代的必然选择。构建网络空间命运共同体应当坚持尊重网络主权、维护和平安全、促进开放合作、构建良好秩序“四项原则”,把网络空间建设成为造福全人类的发展共同体、安全共同体、责任共同体、利益共同体。白皮书从七个方面总结了中国的互联网发展治理实践,即数字经济蓬勃发展、数字技术惠民便民、网络空间法治体系不断完善、网上内容丰富多彩、网络空间日益清朗、互联网平台运营不断规范、网络空间安全有效保障。白皮书围绕数字经济合作、网络安全合作、网络空间治理、促进全球普惠包容发展等介绍了构建网络空间命运共同体的中国贡献,并围绕网络空间发展、治理、安全、合作等方面提出了构建更加紧密的网络空间命运共同体的中国主张 [90] 。
2022年12月1日,我国《反电信网络诈骗法》(以下简称《反诈法》)正式实施,旨在预防、遏制和惩治电信网络诈骗活动。《反诈法》的出台标志着电信网络诈骗治理工作拥有了国家法律的坚实保障,对于保护公民合法权益、维护社会稳定和国家安全具有重大意义。
自2014年以来,我国网络安全领域有多家大型企业、团体相继宣告成立,安全行业持续发展壮大。
● 2014年6月,奇安信公司创立,它是360品牌下的企业安全业务运营主体。2016年7月,360从美国退市,奇安信从360公司分拆,成为独立运营的360企业安全集团。2019年4月,360公司转让所持奇安信股权,回收“360”品牌授权,奇安信成为独立品牌。2019年5月10日,中国电子信息产业集团有限公司(CEC)宣布以37.31亿元战略入股奇安信,拉开了国有资本进军网络安全领域的序幕。
● 2015年年初,由公安部信息安全等级保护评估中心与电力行业信息安全等级保护测评中心、国家信息技术安全研究中心等9家测评机构联合发起成立了中关村信息安全测评联盟(ISEAA)。ISEAA是在公安部网络安全保卫局指导下、以国家网络安全等级保护测评体系为基础构建的专业技术力量,体系内测评机构全面纳入联盟 [91] 。
● 2015年5月11日,ISCCC负责筹建的国家信息安全产品质量监督检验中心正式成立。该中心是我国信息安全领域的首家国家质检中心,目前承担信息安全产品国家质量监督抽查和产品质量风险监测任务,为政府监管部门提供技术支撑和数据分析服务;提供网络安全产品检测、软件产品测评、移动互联网应用程序检测、信息系统安全风险评估等技术服务。
● 2015年9月,亚信科技公司收购全球知名网络安全厂商趋势科技的中国业务,同时创立安全技术公司——亚信安全。目前亚信安全已成为建设中国网络安全的重要力量,在云安全、身份安全、终端安全、安全管理、高级威胁治理及5G安全等领域拥有核心技术。
● 中国互联网发展基金会挂牌于2015年8月,是经国务院批准、在民政部登记注册、具有独立法人地位的全国性公募基金会,主要功能是向海内外广泛募集资金,用于积极推进网络建设,让互联网发展成果惠及全体人民。2016年2月,中国互联网发展基金会网络安全专项基金宣告正式成立。该基金设立“网络安全人才奖”“网络安全优秀教师奖”等奖项,以奖励为国家网络安全事业做出突出贡献的人员。
● 2015年12月18日,由中央网信办信息化发展局指导的中国网络安全与信息化产业联盟(CCAIA,简称中国网信联盟)在乌镇第二届世界互联网大会上正式成立。CCAIA围绕国家级产业创新技术与战略性问题研究、决策与咨询,工作重心聚焦于整合业内优势资源,建立以企业为主体、以市场为导向的新型技术创新合作机制,为应用技术产品联合开发、科研基础条件共享等方面搭建平台,改变信息安全小散乱格局,减少产品同质化、避免企业恶性竞争;针对国家产业部门和地方的研发需求和应用需求,牵线搭桥,组织对接,联合攻关,努力为提升国家产业核心竞争力、实施网络强国战略和实现中华民族伟大复兴的中国梦贡献力量。CCAIA以中关村网络安全与信息化产业联盟(ZCAIA)为理事长单位。ZCAIA是经北京市民政局批准的具有独立法人资质的社团组织,于2013年12月26日正式成立。公安部网络安全保卫局和中央网信办信息化发展局先后于2014年9月和2015年7月成为ZCAIA的业务指导单位 [92] 。
● 中国网络空间安全协会(CSAC)于2016年3月25日成立,是由国内从事网络空间安全相关产业、教育、科研、应用的机构、企业及个人共同自愿结成的全国性、行业性、非营利性社会组织。CSAC接受业务主管单位国家网信办和社团登记管理机关民政部的业务指导和监督管理。协会成立以来,着力促进网络安全行业自律,积极引导网络环境下各类企业履行网络安全责任;依托广泛的学术基础深入研究网络空间发展规律和特点,组织起草了《2016年世界互联网发展乌镇报告》,参与了G20《数字经济合作与发展倡议》的起草,为中国在网络空间国际舞台的影响力和话语权提供了重要支撑。
● 2017年2月,工信部电子第一研究所挂牌成立国家工信安全中心(CICS-CERT)。该机构是工信部直属事业单位,其前身是创立于1959年的第一机械工业部第十局情报编译所,经数十年发展,构建了以工业信息安全、产业数字化、软件和知识产权、智库支撑四大板块为核心的业务体系。
除此以外,我国还有大量的科研机构和企业在网络安全领域有很深的积累,但限于篇幅,这里不做过多介绍。