年度观察|2022年网络法治盘点与回顾（四）：数字安全篇

全文共计约3600字，细读时间约14分钟

文|王金钧 中国信通院互联网法律研究中心助理研究员

网络空间已经成为各国争夺的重要战略空间，网络空间既有对抗，也有合作。2022年，我国网络安全相关法律法规制定及修改工作稳步推进，网络安全法律体系不断完善，关键信息基础设施安全保障进一步加强，相关安全保护责任得到具体落实。我国数据出境管理制度日趋完善，相关要求逐渐明确。国外方面，各国通过不断完善网络安全相关立法以增强自身网络防御和对抗能力，并不断加强对关键信息基础设施和重点安全领域的保护。在全球化和国际政治背景之下，也不断有新的数据跨境规则及多边协议出台。

2022年，我国不断完善网络安全法律制度，持续加强关键信息基础设施安全保障，制定、修改网络安全与基础设施保护领域的法律、规章。在数据出境方面，我国加速出台相关配套措施，进一步落实顶层立法中有关数据出境的要求。

（一）完善网络安全审查制度

2022年1月，国家互联网信息办公室等十三部门联合修订发布《网络安全审查办法》（以下简称《审查办法》），自2022年2月15日起施行。修订后的《审查办法》在以下方面进行了完善。一是安全审查对象增加。依据《国家安全法》《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》，在之前审查“关键信息基础设施运营者采购网络产品和服务”基础之上，增加了对“网络平台运营者开展数据处理活动”的审查。二是安全风险的判断因素增加。核心数据、重要数据、大量个人信息的泄露、非法出境、被国外控制等因素成为《审查办法》的重点审查内容。三是增加新的监管机构。在此前十二部门的基础上，增加中国证券监督管理委员会成为新的网络安全审查监管机构。

（二）调整网络安全相关法律责任制度

2022年9月，国家互联网信息办公室发布《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，拟对《网络安全法》作出四部分修改。一是完善违反网络运行安全一般规定的法律责任制度。结合当前网络运行安全法律制度实施情况，拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。二是修改关键信息基础设施安全保护的法律责任制度。关键信息基础设施是经济社会运行的神经中枢，为强化关键信息基础设施安全保护责任，进一步完善关键信息基础设施运营者有关违法行为的行政处罚规定。三是调整网络信息安全法律责任制度。适应网络信息安全工作实际，对违反网络信息安全义务行为的法律责任进行整合，调整了行政处罚幅度和从业禁止措施，新增对法律、行政法规没有规定的有关违法行为的法律责任规定。四是修改个人信息保护法律责任制度。鉴于《个人信息保护法》规定了全面的个人信息保护法律责任制度，拟将原有关个人信息保护的法律责任修改为转致性规定。

（三）进一步明确重点领域安全保护责任

2022年4月，中国证券监督管理委员会就《证券期货业网络安全管理办法（征求意见稿）》公开征求意见，设置了“关键信息基础设施网络安全”专章，结合证券期货行业特点，从组织保障、建设评审、变化报告、检测评估、采购管理、性能容量、灾难备份等方面，对关键信息基础设施运营单位进一步提出要求。8月，交通运输部就《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》公开征求意见，进一步细化了公路水路关键信息基础设施认定的考虑因素与责任部门，推动构建交通运输主管部门依法管理、运营者实施主动防护、社会力量共同参与的综合治理体系，更有效、更规范地推进公路水路关键信息基础设施安全保护工作；国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》，对关键信息基础设施提出重点保障要求。12月，国家能源局印发《电力行业网络安全管理办法》和《电力行业网络安全等级保护管理办法》，对电力行业网络安全进行了细化规定，要求电力行业关键信息基础设施运营者应当优先采购安全可信的网络产品和服务，并按照有关要求开展风险预判工作。

（四）数据跨境流动配套规则不断完善

一是推进制定出境标准合同。2022年6月，国家互联网信息办公室发布《个人信息出境标准合同规定（征求意见稿）》，明确了通过签订标准合同的方式向境外提供个人信息的适用范围，规定了标准合同的主要内容并提供了标准合同文本。二是正式明确出境安全评估流程与要求。7月，国家互联网信息办公室公布《数据出境安全评估办法》（以下简称《评估办法》），《评估办法》秉持安全和发展并重的基本原则，进一步明确了数据出境安全评估的具体流程和要求，为数据出境提供了具有可操作性的法律依据。

2022年，各国越来越重视通过制定网络安全战略和立法来提升自身抵御风险的能力，除网络安全顶层制度设计不断完善外，关键信息基础设施、重点行业领域的规定也不断推进。在数据跨境方面，各国持续完善相关立法，国际间数据跨境协议也不断出台。

（一）网络安全顶层设计进一步完善

2022年1月，英国政府就《提高英国网络弹性的立法提案》展开公开咨询，计划以此加强其抵御网络攻击的能力。3月，美国通过了《加强美国网络安全法》，对相关设施和机构运营者提出了安全报告的要求，并进一步推动网络安全措施的现代化。7月，俄罗斯国家杜马通过了对其刑法和刑事诉讼法的修正案，将在使用网络安全设备时屡次违规定为刑事犯罪。9月，欧盟公布了《网络弹性法案》提案，拟提高网络安全标准，推动使用“更安全的硬件和软件”；爱沙尼亚通过了《网络安全法》的修正案，授权政府创设必要的监管措施以确保网络安全，并设立新的爱沙尼亚信息安全标准（E-ITS）。11月，欧洲议会通过《关于在欧盟范围内实现高度共同一致的网络安全措施的指令》（NIS2指令），将正式建立欧洲网络危机联络组织网络（EU-CyCLONe），进一步扩大网络安全规制范围。

（二）关键信息基础设施安全持续受到关注

一是重视关键信息基础设施保护制度建立。2022年3月，澳大利亚政府通过了《关键基础设施保护法》，将提高国家关键基础设施保护框架的安全性和弹性，保护澳大利亚公民所依赖的基本服务免受物理、供应链、网络和人员威胁；俄罗斯总统普京签署了保障技术独立性的总统令，决定禁止在未经事先批准的情况下为关键基础设施购买外国软件，且要求公共机构和其他主体要在2025年前停止使用外国软件。二是强化关键信息基础设施网络事件报告制度。美国总统拜登签署了《关键基础设施网络事件报告法》，要求关键基础设施运营商向网络安全和基础设施安全局新成立的网络事件审查办公室报告网络事件和勒索软件攻击。三是关注保护关键信息基础设施免受其他国家的侵害。6月，爱尔兰发布了《第三国交易审查法案》，采取行动保护关键技术和基础设施免受敌对行为的侵害。

（三）重点领域网络安全保护措施加速推进

2022年3月，俄罗斯国家杜马通过了一项关于向使用国内地理信息技术过渡的联邦法律，该法要求各级政府机关及其下属单位需要使用国产地理信息软件处理空间数据。5月，美国总统拜登签署了《国家网络安全防范联盟法》，该法将授权国土安全部（DHS）开展网络安全培训，提供安全技术相关的训练及教育方案；美国众议院金融服务委员会还批准了《2022年加强金融部门网络安全法案》，该法案将修改针对信用机构及相关服务提供商的监管和审查要求。7月，美国《州和地方政府网络安全法》正式通过，将以改善联邦网络安全机构与地方政府之间的信息共享；俄罗斯对《电信法》进行了修改，以应对卫星网络的安全问题。

（四）数据跨境相关规则持续推进

2022年3月，欧盟委员会和美国宣布已就新的跨大西洋数据隐私框架达成原则性协议，该框架将促进跨大西洋数据流动，并解决欧盟法院在2020年7月的Schrems II案件裁决中提出的问题。4月，欧盟、美国和英国正努力通过经济合作与发展组织（OECD）达成一项国际协议，该协议将为国家安全机构访问个人数据制定标准；加拿大、日本、韩国、菲律宾、新加坡、中国台湾、美国发表了关于建立全球跨境隐私规则（CBPR）论坛的声明，该论坛旨在通过多边合作促进可信全球数据流动建设，将亚太经合组织框架下的CBPR转变为一个全球所有国家都可以加入的体系。7月，英国与韩国针对数据跨境流动签署充分性认定协议。8月，俄罗斯修改《联邦个人数据保护法》，严格限制了俄罗斯公民的个人信息流向“不友好国家”。9月，七国集团的隐私管理机构举行了为期两天的峰会，讨论如何简化成员国之间的数据跨境流通，会议承诺“为企业创造满足其需求的数据跨境传输工具”，并强调了司法公正的重要性。

在安全顶层设计的基础上，未来需要进一步完善网络安全及数据出境的配套规则，细化法律相关要求。一是进一步明确《数据安全法》中重要数据、分类分级等制度的具体要求；二是推动行业主管部门尽快明确各行业、各领域数据分类分级的明确标准；三是制定各行业领域的重要数据具体目录，各类企业在自身义务基础之上根据相关要求明确企业重要数据；四是完善个人信息跨境提供的配套制度，加快出台标准合同的适用规则与文本，明确个人信息保护认证的具体实施规范。