11月1日，新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)發(fā)布《數(shù)據(jù)保護(hù)影響評(píng)估指南》（Guide to Data Protection Impact Assessments，以下簡(jiǎn)稱《指南》），旨在通過(guò)指導(dǎo)建立數(shù)據(jù)保護(hù)影響評(píng)估（DPIA）過(guò)程，幫助組織更好地遵從《個(gè)人數(shù)據(jù)保護(hù)法》。

DPIA基于組織的功能、需求和程序，識(shí)別、評(píng)估和處理個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。根據(jù)《指南》的界定，一項(xiàng)有效的DPIA應(yīng)當(dāng)包括五項(xiàng)主要環(huán)節(jié)，即識(shí)別系統(tǒng)和程序中的個(gè)人數(shù)據(jù)；識(shí)別系統(tǒng)和程序中的個(gè)人數(shù)據(jù)流動(dòng)；通過(guò)分析數(shù)據(jù)處理與《個(gè)人數(shù)據(jù)保護(hù)法》和最佳安全實(shí)踐的沖突情況，識(shí)別數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)；通過(guò)修正系統(tǒng)或程序設(shè)計(jì)，引入新的組織政策，應(yīng)當(dāng)識(shí)別的安全風(fēng)險(xiǎn)；確保識(shí)別的安全風(fēng)險(xiǎn)在系統(tǒng)和程序投入使用前得到充分的解決。

《指南》認(rèn)為，解決數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)的最佳時(shí)機(jī)應(yīng)在設(shè)計(jì)新系統(tǒng)和程序或變更系統(tǒng)和程序的時(shí)候，為此，組織應(yīng)當(dāng)在創(chuàng)建處理個(gè)人數(shù)據(jù)的新系統(tǒng)和程序，變更處理個(gè)人數(shù)據(jù)的系統(tǒng)和程序，變更處理個(gè)人數(shù)據(jù)相關(guān)部門的組織架構(gòu)的情況下實(shí)施DPIA?！吨改稀范x了包括DPIA需求評(píng)估、DPIA計(jì)劃、識(shí)別個(gè)人數(shù)據(jù)及其流動(dòng)、識(shí)別和評(píng)估數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)、創(chuàng)建行動(dòng)計(jì)劃、實(shí)施和監(jiān)控行動(dòng)計(jì)劃等六個(gè)步驟在內(nèi)的DPIA生命周期。

《指南》建議，組織在實(shí)施DPIA前，應(yīng)當(dāng)評(píng)估是否需要實(shí)施DPIA，其中重點(diǎn)考慮組織項(xiàng)目是否涉及個(gè)人數(shù)據(jù)的收集、使用、傳輸、披露或存儲(chǔ)。確定需要實(shí)施DPIA后，組織應(yīng)當(dāng)開(kāi)發(fā)包括項(xiàng)目描述、DPIA目標(biāo)、定義風(fēng)險(xiǎn)評(píng)估框架和方法、相關(guān)方、DPIA時(shí)間節(jié)點(diǎn)等內(nèi)容在內(nèi)的DPIA計(jì)劃。在識(shí)別系統(tǒng)和程序中處理個(gè)人數(shù)據(jù)及其流動(dòng)情況的基礎(chǔ)上，分析數(shù)據(jù)處理與《個(gè)人數(shù)據(jù)保護(hù)法》和最佳實(shí)踐的沖突情況，識(shí)別個(gè)人數(shù)據(jù)流動(dòng)可能產(chǎn)生的《個(gè)人數(shù)據(jù)保護(hù)法》違反情況，評(píng)估潛在的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。其后，組織應(yīng)當(dāng)針對(duì)識(shí)別的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)創(chuàng)建行動(dòng)計(jì)劃，確保數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)得到有效解決。    

（公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯）

指南原文鏈接：

https://www.pdpc.gov.sg/docs/default-source/other-guides/dpmp-dpia/guide-to-dpias---011117.pdf?sfvrsn=0

11月3日消息，白宮國(guó)土安全顧問(wèn)Tom Bossert近日表示，考慮到奧巴馬時(shí)代的網(wǎng)絡(luò)計(jì)劃與戰(zhàn)略正在新的歷史背景下迅速過(guò)時(shí)，特朗普政府正在計(jì)劃建立一項(xiàng)新的網(wǎng)絡(luò)安全戰(zhàn)略。該戰(zhàn)略將遵循特朗普今年5月發(fā)布的網(wǎng)絡(luò)安全總統(tǒng)行政令大綱，具體啟動(dòng)時(shí)間尚未確定。Bossert透露新網(wǎng)絡(luò)安全戰(zhàn)略與此前的總統(tǒng)行政令一樣，可能由以下三大部分組成：

1）提升聯(lián)邦政府計(jì)算機(jī)網(wǎng)絡(luò)安全性；

2）利用政府資源更好地保護(hù)諸如醫(yī)院、銀行與金融企業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施；

3）在網(wǎng)絡(luò)空間建立良好行為規(guī)范，同時(shí)懲治不良行為。

奧巴馬政府在2009年入主白宮后不久即啟動(dòng)了網(wǎng)絡(luò)空間政策審查工作，并發(fā)布一系列計(jì)劃與戰(zhàn)略，例如2011年的《國(guó)際網(wǎng)絡(luò)戰(zhàn)略》、2016年的《網(wǎng)絡(luò)安全國(guó)家行動(dòng)計(jì)劃》。Bossert解釋稱，這些文件確實(shí)起到了一定作用，但網(wǎng)絡(luò)空間的本質(zhì)導(dǎo)致這些計(jì)劃很快即告過(guò)時(shí)。例如，早期的文件并未考慮到量子計(jì)算可能對(duì)加密機(jī)制造成的威脅，亦未將區(qū)塊鏈技術(shù)的價(jià)值納入其中。此外，Bossert強(qiáng)調(diào)白宮的目標(biāo)是通過(guò)實(shí)施計(jì)劃將網(wǎng)絡(luò)風(fēng)險(xiǎn)降低至可管理的水平，并每隔幾年對(duì)原有機(jī)制進(jìn)行淘汰或者調(diào)整。

發(fā)表于2017年11月3日，鏈接：

http://www.nextgov.com/cybersecurity/2017/10/trump-administration-plans-new-cybersecurity-strategy/142014/

11月13日，新加坡通信部（Ministry of Communications and Information，MCI）以及網(wǎng)絡(luò)安全局（Cyber Security Agency，CSA）發(fā)布《關(guān)于網(wǎng)絡(luò)安全法案草案公眾意見(jiàn)報(bào)告》（Report on Public Consultation on the Draft Cybersecurity Bill）（以下簡(jiǎn)稱《報(bào)告》）。7月10號(hào)至8月24號(hào)，MCI與CSA曾就《網(wǎng)絡(luò)安全法草案》征求公眾意見(jiàn)。《報(bào)告》指出，MCI與CSA共收到了92份建議書(shū)。整體來(lái)看,公眾對(duì)草案持支持態(tài)度，但也有對(duì)網(wǎng)絡(luò)安全管理機(jī)制、CII的監(jiān)管機(jī)制、許可證制度等提出異議，例如：

1）關(guān)于CII的認(rèn)定，部分意見(jiàn)認(rèn)為草案對(duì)于CII的定義太過(guò)寬泛，應(yīng)當(dāng)進(jìn)一步明確可能被認(rèn)定為CII的計(jì)算機(jī)和計(jì)算機(jī)系統(tǒng)的定義。新加坡政府表示將進(jìn)一步明確上述定義，并希望將供應(yīng)鏈中支持CII運(yùn)行的計(jì)算機(jī)系統(tǒng)排除在CII的范疇外。

2）關(guān)于網(wǎng)絡(luò)安全服務(wù)許可制度，有意見(jiàn)指出許可證制度可能影響新加坡網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的生機(jī)與發(fā)展，并質(zhì)疑擬議的許可框架將如何處理白帽子、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和審計(jì)服務(wù)等其他形式的網(wǎng)絡(luò)安全服務(wù)。對(duì)此，新加坡政府表示為促進(jìn)網(wǎng)絡(luò)安全服務(wù)的發(fā)展，將考慮在更狹義的范圍內(nèi)引入許可框架，只要求滲透測(cè)試和安全管理運(yùn)營(yíng)中心監(jiān)測(cè)服務(wù)需要許可，其他網(wǎng)絡(luò)安全服務(wù)則不要求。此外，對(duì)于網(wǎng)絡(luò)安全從業(yè)人員的許可制度，考慮到反饋的意見(jiàn)，新加坡政府表示將取消個(gè)人網(wǎng)絡(luò)安全專業(yè)人員的許可，建立網(wǎng)絡(luò)安全從業(yè)人士的自愿認(rèn)可制度。

3）關(guān)于網(wǎng)絡(luò)安全信息共享框架，有意見(jiàn)對(duì)于共享信息的保密性表示擔(dān)憂，認(rèn)為可能會(huì)泄露知識(shí)產(chǎn)權(quán)等敏感的商業(yè)信息。新加坡政府表示,草案中已經(jīng)明確對(duì)敏感信息將謹(jǐn)慎處理。

此外，還有諸多意見(jiàn)對(duì)關(guān)鍵基礎(chǔ)設(shè)施所有者的認(rèn)定、義務(wù)，風(fēng)險(xiǎn)評(píng)估和審查制度等提出異議。草案預(yù)計(jì)在2018年初提交議會(huì)審議。

（公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯）

報(bào)告原文鏈接：

https://www.csa.gov.sg/~/media/csa/cybersecurity_bill/public_consultation_report.ashx?la=en

11月15日，特朗普政府發(fā)布了《美國(guó)政府漏洞衡平政策和程序》（Vulnerabilities Equities Policy and Process for the United States Government）。該文件詳細(xì)說(shuō)明了聯(lián)邦政府將如何確定政府是否應(yīng)向私營(yíng)公司披露其產(chǎn)品或服務(wù)中存在的網(wǎng)絡(luò)安全漏洞，或避免披露漏洞以便用于業(yè)務(wù)或情報(bào)收集目的的程序，主要內(nèi)容包括：

1）明確VEP衡平審查委員會(huì)的機(jī)構(gòu)為國(guó)土安全部（DHS）、國(guó)家情報(bào)總監(jiān)辦公室（ODNI）、財(cái)政部（DOT）、國(guó)務(wù)院（DOS）、司法部（DOJ）、能源部（DOE）、白宮行政管理和預(yù)算辦公室（OMB）、國(guó)防部（DOD）等十個(gè)部門。

2）國(guó)家安全局（NSA）將在國(guó)防部長(zhǎng)的授權(quán)和指示下作為VEP的執(zhí)行秘書(shū)處為VEP的管理提供支持，并規(guī)定執(zhí)行秘書(shū)處應(yīng)當(dāng)保持中立和獨(dú)立。

3）漏洞披露審查過(guò)程中需要考量四大因素包括：防御性衡平考量（Defensive Equity Considerations），情報(bào)、執(zhí)法以及運(yùn)行衡平考量（Intelligence, Law Enforcement, and Operational Equity Considerations），商業(yè)衡平考量（Commercial Equity Considerations），國(guó)際合作衡平考量（International Partnership Equity Considerations）。其中防御性衡平考量的因素包括：威脅因素、影響力因素、緩解因素、安全漏洞因素；情報(bào)、執(zhí)法以及運(yùn)行衡平考量的因素包括：運(yùn)行價(jià)值、運(yùn)行影響；商業(yè)衡平考量的因素主要涉及漏洞披露對(duì)于政府和行業(yè)的關(guān)系將帶來(lái)何種風(fēng)險(xiǎn)；國(guó)際合作衡平考量主要考慮的是漏洞披露會(huì)對(duì)美國(guó)政府的國(guó)際關(guān)系帶來(lái)何種風(fēng)險(xiǎn)。

此外，該文件還指出，對(duì)于新發(fā)現(xiàn)的漏洞漏洞，美國(guó)政府除了決定披露與不披露之外，還有其他選擇。例如：向?qū)嶓w披露緩解信息而不泄露具體的漏洞，限制政府的漏洞利用行為，使用間接方式向供應(yīng)商披露該漏洞信息等。該文件還對(duì)VEP審查做出了例外規(guī)定，明確與合作協(xié)議和敏感行動(dòng)有關(guān)的漏洞會(huì)排除在VEP審查之外。

（公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯）

文件原文鏈接：

https://www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF

11月16日，澳大利亞政府公布了《可信數(shù)字化身份框架》（ Trusted Digital Identity Framework）的公開(kāi)咨詢文件，其中對(duì)公民數(shù)字化身份信息的管理工作作出規(guī)，據(jù)悉該框架將與Govpass數(shù)字化平臺(tái)配合起效。

該咨詢文件包含14份草案：1）可信框架結(jié)構(gòu)及概述；2）可信框架認(rèn)證流程；3）術(shù)語(yǔ)表；4）隱私評(píng)估；5）IRAP評(píng)估；6）核心隱私要求；7）核心安全保護(hù)要求；8）核心用戶體驗(yàn)要求；9）核心風(fēng)險(xiǎn)管理要求；10）核心欺詐管制要求；11）數(shù)字化身份證明標(biāo)準(zhǔn)；12）數(shù)字化身份驗(yàn)證證書(shū)標(biāo)準(zhǔn)；13）信息安全歸檔指南；14）風(fēng)險(xiǎn)管理指南。

其中，核心隱私要求指出在可信身份框架下隱私要求必須滿足，包括：隱私管理、隱私影響評(píng)估、數(shù)據(jù)泄露響應(yīng)管理、個(gè)人信息收集的通知、收集和使用限制、事先同意、跨境傳輸、個(gè)人信息質(zhì)量原則等。核心安全保護(hù)要求明確了在可信身份框架下必須提供的、針對(duì)身份系統(tǒng)的最低安全管制。核心風(fēng)險(xiǎn)管理要求明確了必須落實(shí)的風(fēng)險(xiǎn)緩解責(zé)任。核心欺詐管制要求明確了對(duì)于欺詐的預(yù)防、檢測(cè)、報(bào)告、調(diào)查和支持受欺詐受害者等工作的管制。

（公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯）

英文發(fā)表于2017年11月16日，鏈接：

http://www.zdnet.com/article/government-reveals-draft-digital-identity-framework/

11月21日，美國(guó)聯(lián)邦通信委員會(huì)（FCC）發(fā)布《恢復(fù)互聯(lián)網(wǎng)自由令草案》（Restoring Internet Freedom Order Draft）。該草案旨在摒棄2015年FCC對(duì)于互聯(lián)網(wǎng)建立的“公共事業(yè)監(jiān)管模式”，恢復(fù)以市場(chǎng)為導(dǎo)向的監(jiān)管模式，以維護(hù)互聯(lián)網(wǎng)自由。

FCC主席阿吉特·帕伊當(dāng)天發(fā)表聲明表示，奧巴馬政府2015年推出的“網(wǎng)絡(luò)中立”規(guī)定對(duì)互聯(lián)網(wǎng)實(shí)施“嚴(yán)厲的、公共事業(yè)式的監(jiān)管”，抑制了網(wǎng)絡(luò)服務(wù)提供商擴(kuò)建寬帶網(wǎng)的投資和創(chuàng)新。其指出聯(lián)邦政府應(yīng)停止對(duì)互聯(lián)網(wǎng)的微觀管理，F(xiàn)CC只要求互聯(lián)網(wǎng)服務(wù)提供商對(duì)他們的做法透明，這樣消費(fèi)者可以購(gòu)買最適合他們的服務(wù)計(jì)劃，企業(yè)家和其他小企業(yè)可以獲取他們需要的技術(shù)信息來(lái)進(jìn)行創(chuàng)新。

草案的主要內(nèi)容包括：1）恢復(fù)信息服務(wù)分類中對(duì)于寬帶接入服務(wù)的分類，將寬帶互聯(lián)網(wǎng)接入業(yè)務(wù)重新劃分為“信息服務(wù)”，恢復(fù)移動(dòng)寬帶接入業(yè)務(wù)的專用移動(dòng)業(yè)務(wù)分類，并明確重歸“信息服務(wù)”門類對(duì)其他監(jiān)管框架的影響。2）通過(guò)透明度要求，明確互聯(lián)網(wǎng)服務(wù)提供商（ISPs）應(yīng)當(dāng)向消費(fèi)者、企業(yè)家和FCC披露其做法的信息?；謴?fù)聯(lián)邦貿(mào)易委員會(huì)保護(hù)在線消費(fèi)者免受不公平、欺騙和反競(jìng)爭(zhēng)行為的能力，以較低的成本實(shí)現(xiàn)相應(yīng)的效益以及消除模糊和不斷擴(kuò)張的網(wǎng)絡(luò)行為規(guī)范等。據(jù)悉，F(xiàn)CC將在12月14日對(duì)該草案進(jìn)行表決。     

（公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯）

發(fā)表于2017年11月22日，鏈接：

http://news.xinhuanet.com/world/2017-11/22/c_1121994233.htm

草案原文鏈接：

http://transition.fcc.gov/Daily_Releases/Daily_Business/2017/db1122/DOC-347927A1.pdf