资讯精选|各国加强网络安全法规建设和隐私保护

首期寄语

在网络安全成为热点的今天，各种论坛已经使我们淹没在了资讯的海洋；网络安全资讯的泛滥，并没有提高我们认识网络安全客观世界的水平，反而降低了接收有用知识的效率 — 专业、专注、客观的网络安全资讯，仍为少数。

“政府安全资讯”，是从信息的海洋中挑选珍珠。阅读高相关性、高专业度的资讯，我们能“知彼知己、百战不殆”，也能“取他山之石以攻玉”，但更能“指点江山、激扬文字”。如此，则善莫大焉。

      中国信息安全研究院副院长 左晓栋

【全球政策趋势】

新加坡发布《网络安全法案》（草稿），加强关键信息基础设施监管。点击查看原文

概要：新加坡七月中旬发布了《网络安全法案》草稿征求公共意见。法案要求设立专门的网络安全官员，并授予管理和应对网络安全威胁的权利；明确了关键信息基础设施（CII）的概念及认定程序，建立了监管框架，明确了关键系信息网络安全风险评估义务、审查义务、网络安全事件报告义务、重大事项变更告等义务。

点评：对比新加坡《网安法》（草稿）和网信办日前发布的《关键信息基础设施安全保护条例（征求意见稿）》，不难看到关键信息基础设施（后面简称CII）是各国网络安全保障的重中之重。关于CII认定，新加坡规定由网络安全委员（Commissioner of Cybersecurity）负责。被认定为CII的主体有权在收到书面通知后14日内通过相关渠道和程序进行申诉；关于CII的认定有效期，定为5年，在有效期间，只要网络安全委员认为不再符合认定标准可随时撤销认定；在国内，目前CII认定、有效期及取消资格流程与标准尚未确定。

英国监管加强对隐私违规活动的处罚，为GDPR做准备。点击查看原文

概要： 英国隐私监管部门Information Commissioner’s Office今年大幅度提高了数据安全与隐私违规的处罚力度。上半年的处罚总金额达到了259万英镑，已经是去年全年的60%。同时，处罚的频率也在提高，重点执法对象包括直销和数据泄漏两个方面。许多行业专家认为，英国监管提高处罚力度是为了提高英国企业对明年即将生效的GDPR的重视。

点评： 欧盟GDPR的适用原则是“属人原则”。只要是涉及到欧盟成员国公民个人信息的公司，都必须遵守；所有与欧盟有业务往来的中国企业，均将面临GDPR合规挑战，即使欧盟人员在华寻求服务，其隐私也受到GDPR保护，并可以向欧盟寻求法律保障，相比之下，我国的《网络安全法》是“属地原则”：只要在中国境内则必须合规，一旦国人出国，则其隐私保护将依据其寻求服务所在地法律法规原则。

【相关安全事件】

瑞典政府泄露数百万公民敏感信息。点击查看原文

概要：瑞典史上最严重的数据泄漏事件被披露。事件起因是瑞典交通局（Swedish Transport Agency，STA）将数据库和其它IT服务的管理外包给捷克的IBM和塞尔维亚的NCR两家外国企业。STA不仅将整个数据库上传到外包商服务器，授予访问该数据库的所有权限，而且未设置专业IT技术人员进行监督管理。经调查发现，多名未经安全审核的外国技术人员都可以获取该数据库保密信息。被泄漏数据包括瑞典所有驾驶执照、精英军事单位和战机飞行员的个人资料、政府和军用车辆的详细信息以及其他重要交通数据。

评论：瑞典此次的大规模数据泄漏严重影响了政府公信力。前任交通部长已被辞退，并仅受到了约合人民币5.75万元的罚款。随着各国不断加强对网络安全管理，政府机构建议加强人力和资金投入，建立有效的问责与处罚机制，以免重大事件发生后才亡羊补牢。

从近期国内的安全事件头条可以看出，人为因素导致的数据泄漏事件增加趋势明显。2017最新数据显示，全球25%的数据泄露是由内部员工或外包商疏忽造成，且该比例逐年上升。许多企业甚至政府机构引入外包商进行开发、测试、分析或代理运维，授予外部人员访问、管理数据库的高权限。这种做法节约了人力成本投入，但增加了因人为误操作、高危操作导致数据泄漏的可能性。收集数据的公司和机构，即数据控制者，应当更加重视对内部人员和外包商的监督，从技术、管控、法律责任划分等多个层面降低数据泄漏的风险。

展开全文