网络安全政策法规月月谈（第7期-国内篇）

　　栏目简介

　　伴随数字化和网络安全深入发展，网络安全市场的政策性特征日渐显著，合规需求已与攻防需求一道，成为引领网络安全产业发展的两大核心驱动力。

　　本栏目基于团队在网络安全政策法规方面的日常跟踪，筛选国内外近期热点政策法规文件，并重点结合网络安全产业发展，对其内容和影响等进行分析。本期选取并分析2023年5月国内发布的热点政策法规。

　　欢迎共同研讨和批评指正。

　　本期目录

　　1国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》，标志个人信息出境标准合同备案工作实际启动2国务院印发《商用密码管理条例》，全面强化商密管理重要制度体系3交通运输部发布《公路水路关键信息基础设施安全保护管理办法》，为我国首个行业级关基保护专项规章1.国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》，标志个人信息出境标准合同备案工作实际启动

　　【内容概述】2023年5月30日，国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》（以下简称《备案指南》）。《备案指南》旨在落实《个人信息出境标准合同办法》（以下简称《合同办法》），指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同。

　　《备案指南》对个人信息出境标准合同适用范围、备案方式和备案流程等具体要求作出了明确。第一，细化了适用范围，包括个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人查询、调取、下载、导出。第二，规定了备案方式，《备案指南》要求个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案。第三，明确了备案流程，一是提交相关材料，包括《标准合同》《个人信息保护影响评估报告》等；二是材料查验及反馈备案结果，省级网信部门收到材料后应在15个工作日内完成材料查验并通知备案结果；三是补充或者重新备案，当标准合同有效期内有关情况发生变化时，个人信息处理者应当重新开展影响评估，补充或重新订立标准合同，并履行相应备案手续。

　　【导读分析】作为《合同办法》出台后的首个配套实操文件，从内容来看，《备案指南》对适用范围、申报材料等方面的细化规定，表明在个人信息出境的监管导向上，具有趋严的管理特征。

　　与此同时，《备案指南》的发布也预示着，个人信息出境标准合同备案工作已在监管侧及运营侧均准备就绪，相关管理工作已进入实际启动实施阶段。

　　《备案指南》及《合同办法》的出台，不仅强化了个人信息出境管理，同时也对于促进个人信息出境安全产业的发展同样具有较强的导向作用。

　　2.国务院印发《商用密码管理条例》，全面强化商密管理重要制度体系

　　【内容概述】2023年5月24日，中华人民共和国国务院修订通过了《商用密码管理条例》（以下简称《条例》），自2023年7月1日起施行。《条例》共9章67条，旨在规范商用密码应用和管理，鼓励和促进商用密码产业发展。

　　《条例》的主要内容包括以下6方面。第一，明确适用范围和相关定义，适用于“商用密码科研、生产、销售、服务、检测、认证、进出口、应用等活动及监督管理”；第二，明确管理机制和权责分配，包括国家密码管理部门、县级以上地方各级密码管理部门、网信、商务、海关、市场监督管理等部门在各自职责范围内负责商用密码有关管理工作；第三，平衡商用密码技术产业的促进与发展，包括建立健全商用密码科学技术创新促进机制、支持鼓励商用密码技术的创新应用等；第四，规范商用密码应用，包括推进商用密码检测认证体系建设、规范商用密码技术电子认证服务和有关机构资质和认证流程等；第五，加强网络和信息安全应急处置，坚持“三同步”原则，做好商用密码风险评估、监测预警、安全审查、网络安全等级测评等工作，完善应急处理机制，建立健全重大事项报告和备案制度等；第六，强化监督管理机制，包括加强商用密码活动的监督检查、加强商用密码监管执法等。

　　【导读分析】近年来，商用密码的应用越来越广泛，在维护国家安全和社会公共利益以及保障网络和信息安全方面的作用愈发凸显。党中央、国务院一直以来高度重视商用密码工作，早在1999年10月出台《商用密码管理条例》（以下简称原《条例》），并在2019年10月通过首部《中华人民共和国密码法》（以下简称“密码法”）。本次发布的《条例》在原《条例》的基础上进行全面修订，旨在贯彻落实密码法等配套法律法规，细化有关工作制度。

　　从内容对比来看，《条例》主要有3方面修订。一是优化商用密码监管方式，包括由原《条例》规定的全面严格管控，调整为以重点制度强化对关键环节的重点把控，管理方式由重事前审批转为加强事前事中事后的全周期监管；二是强化商用密码检测认证，以此严守产品服务的“入口关”，包括推进商用密码检测认证体系建设、明确商用密码检测和认证机构资质规范、对使用网络关键设备和网络安全专用产品的商用密码服务等实行强制性检测认证制度等；三是加强商用密码进出口管理，包括明确商用密码实施进出口管理的范围、对商用密码实行进口许可清单和出口管制清单管理等。

　　3.交通运输部发布《公路水路关键信息基础设施安全保护管理办法》，为我国首个行业级关基保护专项规章

　　【内容概述】2023年5月6日，交通运输部发布《公路水路关键信息基础设施安全保护管理办法》（以下简称《管理办法》）。《管理办法》共6章33条，旨在保障公路水路关键信息基础设施安全，落实公路水路关键信息基础设施的安全保护和监督管理工作。

　　《管理办法》主要内容包括以下3方面。第一，公路水路关键信息基础设施认定，包括认定规则要求和重大变更要求；第二，运营者责任义务，包括建立安全管理保障制度、供应链安全管理制度、个人信息和数据安全保护制度、网络安全等级保护制度、商用密码保护制度、保密管理制度、网络安全教育培训制度、网络安全事件报告制度等；第三，保障和监督，明确了交通运输部、省级人民政府交通运输主管部门等开展工作的基本原则和具体任务等，包括建立公路水路关键信息基础设施网络安全监测预警制度、网络安全事件应急处置制度、网络安全检查检测制度等。

　　【导读分析】2022年8月23日，交通运输部发布《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》（以下简称《征求意见稿》），《管理办法》在《征求意见稿》的基础上，进一步完善了公路水路关键信息基础设施安全保护制度体系。修改完善之处主要包括3方面：一是关键基础设施分层保护制度，由交通运输部及省级人民政府交通运输主管部门分别对部级设施和省级设施承担保护责任；二是运营者的供应链安全保护制度，新增“鼓励运营者从已通过云计算服务安全评估的云计算服务平台中选择采购云计算服务”；三是运营者的个人信息和数据安全保护制度，要求运营者“将在我国境内运营中收集和产生的个人信息和重要数据存储在境内，确需向境外提供数据的，应当按照国家相关规定和标准进行安全评估”等。

　　《管理办法》是首个行业级关键信息基础设施保护专项规章。此前，不同行业针对关基保护工作的法规依据，大多是融入到各自行业的网络安全整体法规中，如《医疗卫生机构网络安全管理办法》《电力行业网络安全管理办法》《证券期货业网络和信息安全管理办法》等。

　　参考文献

　　[1] 国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm

　　[2] 国务院印发《商用密码管理条例》http://www.gov.cn/zhengce/zhengceku/202305/content_6875928.htm

　　[3] 交通运输部发布《公路水路关键信息基础设施安全保护管理办法》》https://xxgk.mot.gov.cn/2020/jigou/fgs/202305/t20230506_3822075.html