網(wǎng)絡(luò)安全政策法律動(dòng)態(tài)--域外動(dòng)態(tài)(2017年11月版)
1新加坡發(fā)布《數(shù)據(jù)保護(hù)管理程序指南》
11月1日,新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)發(fā)布《數(shù)據(jù)保護(hù)管理程序指南》(Guide to Development a Data Protection Management Programme,以下簡(jiǎn)稱《指南》),旨在通過(guò)實(shí)施數(shù)據(jù)保護(hù)管理程序(DPMP),幫助組織開(kāi)發(fā)和促進(jìn)自身的個(gè)人數(shù)據(jù)保護(hù)政策和實(shí)踐。
《指南》定義的DPMP包括管理與處理個(gè)人數(shù)據(jù)相關(guān)的政策和程序,定義個(gè)人數(shù)據(jù)保護(hù)人員的角色和職責(zé)兩大主要部分,能夠增加組織在數(shù)據(jù)保護(hù)方面的可審計(jì)性,增強(qiáng)利益相關(guān)方的信心,改善消費(fèi)者與組織之間的信任關(guān)系。根據(jù)《指南》的規(guī)定,DPMP包括開(kāi)發(fā)數(shù)據(jù)保護(hù)政策,設(shè)定數(shù)據(jù)保護(hù)角色和職責(zé),設(shè)計(jì)政策實(shí)施的程序,保持相關(guān)性的具體方法等四個(gè)主要環(huán)節(jié)。
在數(shù)據(jù)保護(hù)政策方面,《指南》認(rèn)為有效的數(shù)據(jù)保護(hù)政策應(yīng)當(dāng)設(shè)定滿足《個(gè)人數(shù)據(jù)保護(hù)法》規(guī)定的具體方向和策略,至少包括18項(xiàng)具體事項(xiàng),并確保數(shù)據(jù)保護(hù)政策能夠清晰地傳達(dá)給組織內(nèi)外部的相關(guān)方。
在人員角色和職責(zé)方面,《指南》在組織內(nèi)部確立了高級(jí)管理人員和數(shù)據(jù)保護(hù)專員(DPO)的角色和職責(zé),在組織外部定義了服務(wù)提供者和消費(fèi)者的角色和職責(zé)。
在政策實(shí)施程序方面,《指南》認(rèn)為組織應(yīng)當(dāng)在整個(gè)數(shù)據(jù)生命周期內(nèi)考慮數(shù)據(jù)保護(hù)政策的實(shí)施,涵蓋商業(yè)過(guò)程、系統(tǒng)、產(chǎn)品和服務(wù)。在這一過(guò)程中,組織應(yīng)當(dāng)將個(gè)人數(shù)據(jù)流動(dòng)文檔化,幫助組織了解個(gè)人數(shù)據(jù)是如何被收集、存儲(chǔ)、使用、披露和處理的;識(shí)別實(shí)施數(shù)據(jù)保護(hù)的關(guān)鍵領(lǐng)域;將數(shù)據(jù)保護(hù)的最佳實(shí)踐整合進(jìn)商業(yè)過(guò)程、系統(tǒng)、產(chǎn)品和服務(wù);建立風(fēng)險(xiǎn)報(bào)告機(jī)制。
在保持政策的相關(guān)性方面,《指南》認(rèn)為組織應(yīng)當(dāng)監(jiān)控內(nèi)外部的安全環(huán)境,定期實(shí)施數(shù)據(jù)保護(hù)政策與實(shí)踐審查;確保員工和外部利益相關(guān)方獲悉數(shù)據(jù)保護(hù)政策和實(shí)踐的變更情況;驗(yàn)證DPMP的有效性。
(公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯)
指南原文鏈接:
https://www.pdpc.gov.sg/docs/default-source/other-guides/dpmp-dpia/guide-to-developing-a-dpmp---011117.pdf?sfvrsn=0
2新加坡發(fā)布《數(shù)據(jù)保護(hù)影響評(píng)估指南》
11月1日,新加坡個(gè)人數(shù)據(jù)保護(hù)委員會(huì)發(fā)布《數(shù)據(jù)保護(hù)影響評(píng)估指南》(Guide to Data Protection Impact Assessments,以下簡(jiǎn)稱《指南》),旨在通過(guò)指導(dǎo)建立數(shù)據(jù)保護(hù)影響評(píng)估(DPIA)過(guò)程,幫助組織更好地遵從《個(gè)人數(shù)據(jù)保護(hù)法》。
DPIA基于組織的功能、需求和程序,識(shí)別、評(píng)估和處理個(gè)人數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。根據(jù)《指南》的界定,一項(xiàng)有效的DPIA應(yīng)當(dāng)包括五項(xiàng)主要環(huán)節(jié),即識(shí)別系統(tǒng)和程序中的個(gè)人數(shù)據(jù);識(shí)別系統(tǒng)和程序中的個(gè)人數(shù)據(jù)流動(dòng);通過(guò)分析數(shù)據(jù)處理與《個(gè)人數(shù)據(jù)保護(hù)法》和最佳安全實(shí)踐的沖突情況,識(shí)別數(shù)據(jù)保護(hù)風(fēng)險(xiǎn);通過(guò)修正系統(tǒng)或程序設(shè)計(jì),引入新的組織政策,應(yīng)當(dāng)識(shí)別的安全風(fēng)險(xiǎn);確保識(shí)別的安全風(fēng)險(xiǎn)在系統(tǒng)和程序投入使用前得到充分的解決。
《指南》認(rèn)為,解決數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)的最佳時(shí)機(jī)應(yīng)在設(shè)計(jì)新系統(tǒng)和程序或變更系統(tǒng)和程序的時(shí)候,為此,組織應(yīng)當(dāng)在創(chuàng)建處理個(gè)人數(shù)據(jù)的新系統(tǒng)和程序,變更處理個(gè)人數(shù)據(jù)的系統(tǒng)和程序,變更處理個(gè)人數(shù)據(jù)相關(guān)部門的組織架構(gòu)的情況下實(shí)施DPIA?!吨改稀范x了包括DPIA需求評(píng)估、DPIA計(jì)劃、識(shí)別個(gè)人數(shù)據(jù)及其流動(dòng)、識(shí)別和評(píng)估數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)、創(chuàng)建行動(dòng)計(jì)劃、實(shí)施和監(jiān)控行動(dòng)計(jì)劃等六個(gè)步驟在內(nèi)的DPIA生命周期。
《指南》建議,組織在實(shí)施DPIA前,應(yīng)當(dāng)評(píng)估是否需要實(shí)施DPIA,其中重點(diǎn)考慮組織項(xiàng)目是否涉及個(gè)人數(shù)據(jù)的收集、使用、傳輸、披露或存儲(chǔ)。確定需要實(shí)施DPIA后,組織應(yīng)當(dāng)開(kāi)發(fā)包括項(xiàng)目描述、DPIA目標(biāo)、定義風(fēng)險(xiǎn)評(píng)估框架和方法、相關(guān)方、DPIA時(shí)間節(jié)點(diǎn)等內(nèi)容在內(nèi)的DPIA計(jì)劃。在識(shí)別系統(tǒng)和程序中處理個(gè)人數(shù)據(jù)及其流動(dòng)情況的基礎(chǔ)上,分析數(shù)據(jù)處理與《個(gè)人數(shù)據(jù)保護(hù)法》和最佳實(shí)踐的沖突情況,識(shí)別個(gè)人數(shù)據(jù)流動(dòng)可能產(chǎn)生的《個(gè)人數(shù)據(jù)保護(hù)法》違反情況,評(píng)估潛在的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)。其后,組織應(yīng)當(dāng)針對(duì)識(shí)別的數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)創(chuàng)建行動(dòng)計(jì)劃,確保數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)得到有效解決。
(公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯)
指南原文鏈接:
https://www.pdpc.gov.sg/docs/default-source/other-guides/dpmp-dpia/guide-to-dpias---011117.pdf?sfvrsn=0
3特朗普政府計(jì)劃制定新“網(wǎng)絡(luò)安全戰(zhàn)略”
11月3日消息,白宮國(guó)土安全顧問(wèn)Tom Bossert近日表示,考慮到奧巴馬時(shí)代的網(wǎng)絡(luò)計(jì)劃與戰(zhàn)略正在新的歷史背景下迅速過(guò)時(shí),特朗普政府正在計(jì)劃建立一項(xiàng)新的網(wǎng)絡(luò)安全戰(zhàn)略。該戰(zhàn)略將遵循特朗普今年5月發(fā)布的網(wǎng)絡(luò)安全總統(tǒng)行政令大綱,具體啟動(dòng)時(shí)間尚未確定。Bossert透露新網(wǎng)絡(luò)安全戰(zhàn)略與此前的總統(tǒng)行政令一樣,可能由以下三大部分組成:
1)提升聯(lián)邦政府計(jì)算機(jī)網(wǎng)絡(luò)安全性;
2)利用政府資源更好地保護(hù)諸如醫(yī)院、銀行與金融企業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施;
3)在網(wǎng)絡(luò)空間建立良好行為規(guī)范,同時(shí)懲治不良行為。
奧巴馬政府在2009年入主白宮后不久即啟動(dòng)了網(wǎng)絡(luò)空間政策審查工作,并發(fā)布一系列計(jì)劃與戰(zhàn)略,例如2011年的《國(guó)際網(wǎng)絡(luò)戰(zhàn)略》、2016年的《網(wǎng)絡(luò)安全國(guó)家行動(dòng)計(jì)劃》。Bossert解釋稱,這些文件確實(shí)起到了一定作用,但網(wǎng)絡(luò)空間的本質(zhì)導(dǎo)致這些計(jì)劃很快即告過(guò)時(shí)。例如,早期的文件并未考慮到量子計(jì)算可能對(duì)加密機(jī)制造成的威脅,亦未將區(qū)塊鏈技術(shù)的價(jià)值納入其中。此外,Bossert強(qiáng)調(diào)白宮的目標(biāo)是通過(guò)實(shí)施計(jì)劃將網(wǎng)絡(luò)風(fēng)險(xiǎn)降低至可管理的水平,并每隔幾年對(duì)原有機(jī)制進(jìn)行淘汰或者調(diào)整。
發(fā)表于2017年11月3日,鏈接:
http://www.nextgov.com/cybersecurity/2017/10/trump-administration-plans-new-cybersecurity-strategy/142014/
4新加坡發(fā)布《關(guān)于網(wǎng)絡(luò)安全法案草案公眾意見(jiàn)報(bào)告》
11月13日,新加坡通信部(Ministry of Communications and Information,MCI)以及網(wǎng)絡(luò)安全局(Cyber Security Agency,CSA)發(fā)布《關(guān)于網(wǎng)絡(luò)安全法案草案公眾意見(jiàn)報(bào)告》(Report on Public Consultation on the Draft Cybersecurity Bill)(以下簡(jiǎn)稱《報(bào)告》)。7月10號(hào)至8月24號(hào),MCI與CSA曾就《網(wǎng)絡(luò)安全法草案》征求公眾意見(jiàn)。《報(bào)告》指出,MCI與CSA共收到了92份建議書(shū)。整體來(lái)看,公眾對(duì)草案持支持態(tài)度,但也有對(duì)網(wǎng)絡(luò)安全管理機(jī)制、CII的監(jiān)管機(jī)制、許可證制度等提出異議,例如:
1)關(guān)于CII的認(rèn)定,部分意見(jiàn)認(rèn)為草案對(duì)于CII的定義太過(guò)寬泛,應(yīng)當(dāng)進(jìn)一步明確可能被認(rèn)定為CII的計(jì)算機(jī)和計(jì)算機(jī)系統(tǒng)的定義。新加坡政府表示將進(jìn)一步明確上述定義,并希望將供應(yīng)鏈中支持CII運(yùn)行的計(jì)算機(jī)系統(tǒng)排除在CII的范疇外。
2)關(guān)于網(wǎng)絡(luò)安全服務(wù)許可制度,有意見(jiàn)指出許可證制度可能影響新加坡網(wǎng)絡(luò)安全生態(tài)系統(tǒng)的生機(jī)與發(fā)展,并質(zhì)疑擬議的許可框架將如何處理白帽子、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和審計(jì)服務(wù)等其他形式的網(wǎng)絡(luò)安全服務(wù)。對(duì)此,新加坡政府表示為促進(jìn)網(wǎng)絡(luò)安全服務(wù)的發(fā)展,將考慮在更狹義的范圍內(nèi)引入許可框架,只要求滲透測(cè)試和安全管理運(yùn)營(yíng)中心監(jiān)測(cè)服務(wù)需要許可,其他網(wǎng)絡(luò)安全服務(wù)則不要求。此外,對(duì)于網(wǎng)絡(luò)安全從業(yè)人員的許可制度,考慮到反饋的意見(jiàn),新加坡政府表示將取消個(gè)人網(wǎng)絡(luò)安全專業(yè)人員的許可,建立網(wǎng)絡(luò)安全從業(yè)人士的自愿認(rèn)可制度。
3)關(guān)于網(wǎng)絡(luò)安全信息共享框架,有意見(jiàn)對(duì)于共享信息的保密性表示擔(dān)憂,認(rèn)為可能會(huì)泄露知識(shí)產(chǎn)權(quán)等敏感的商業(yè)信息。新加坡政府表示,草案中已經(jīng)明確對(duì)敏感信息將謹(jǐn)慎處理。
此外,還有諸多意見(jiàn)對(duì)關(guān)鍵基礎(chǔ)設(shè)施所有者的認(rèn)定、義務(wù),風(fēng)險(xiǎn)評(píng)估和審查制度等提出異議。草案預(yù)計(jì)在2018年初提交議會(huì)審議。
(公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯)
報(bào)告原文鏈接:
https://www.csa.gov.sg/~/media/csa/cybersecurity_bill/public_consultation_report.ashx?la=en
5特朗普政府發(fā)布新VEP機(jī)制,增加VEP透明度
11月15日,特朗普政府發(fā)布了《美國(guó)政府漏洞衡平政策和程序》(Vulnerabilities Equities Policy and Process for the United States Government)。該文件詳細(xì)說(shuō)明了聯(lián)邦政府將如何確定政府是否應(yīng)向私營(yíng)公司披露其產(chǎn)品或服務(wù)中存在的網(wǎng)絡(luò)安全漏洞,或避免披露漏洞以便用于業(yè)務(wù)或情報(bào)收集目的的程序,主要內(nèi)容包括:
1)明確VEP衡平審查委員會(huì)的機(jī)構(gòu)為國(guó)土安全部(DHS)、國(guó)家情報(bào)總監(jiān)辦公室(ODNI)、財(cái)政部(DOT)、國(guó)務(wù)院(DOS)、司法部(DOJ)、能源部(DOE)、白宮行政管理和預(yù)算辦公室(OMB)、國(guó)防部(DOD)等十個(gè)部門。
2)國(guó)家安全局(NSA)將在國(guó)防部長(zhǎng)的授權(quán)和指示下作為VEP的執(zhí)行秘書(shū)處為VEP的管理提供支持,并規(guī)定執(zhí)行秘書(shū)處應(yīng)當(dāng)保持中立和獨(dú)立。
3)漏洞披露審查過(guò)程中需要考量四大因素包括:防御性衡平考量(Defensive Equity Considerations),情報(bào)、執(zhí)法以及運(yùn)行衡平考量(Intelligence, Law Enforcement, and Operational Equity Considerations),商業(yè)衡平考量(Commercial Equity Considerations),國(guó)際合作衡平考量(International Partnership Equity Considerations)。其中防御性衡平考量的因素包括:威脅因素、影響力因素、緩解因素、安全漏洞因素;情報(bào)、執(zhí)法以及運(yùn)行衡平考量的因素包括:運(yùn)行價(jià)值、運(yùn)行影響;商業(yè)衡平考量的因素主要涉及漏洞披露對(duì)于政府和行業(yè)的關(guān)系將帶來(lái)何種風(fēng)險(xiǎn);國(guó)際合作衡平考量主要考慮的是漏洞披露會(huì)對(duì)美國(guó)政府的國(guó)際關(guān)系帶來(lái)何種風(fēng)險(xiǎn)。
此外,該文件還指出,對(duì)于新發(fā)現(xiàn)的漏洞漏洞,美國(guó)政府除了決定披露與不披露之外,還有其他選擇。例如:向?qū)嶓w披露緩解信息而不泄露具體的漏洞,限制政府的漏洞利用行為,使用間接方式向供應(yīng)商披露該漏洞信息等。該文件還對(duì)VEP審查做出了例外規(guī)定,明確與合作協(xié)議和敏感行動(dòng)有關(guān)的漏洞會(huì)排除在VEP審查之外。
(公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯)
文件原文鏈接:
https://www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF
6澳大利亞政府發(fā)布《數(shù)字化身份框架》咨詢文件
11月16日,澳大利亞政府公布了《可信數(shù)字化身份框架》( Trusted Digital Identity Framework)的公開(kāi)咨詢文件,其中對(duì)公民數(shù)字化身份信息的管理工作作出規(guī),據(jù)悉該框架將與Govpass數(shù)字化平臺(tái)配合起效。
該咨詢文件包含14份草案:1)可信框架結(jié)構(gòu)及概述;2)可信框架認(rèn)證流程;3)術(shù)語(yǔ)表;4)隱私評(píng)估;5)IRAP評(píng)估;6)核心隱私要求;7)核心安全保護(hù)要求;8)核心用戶體驗(yàn)要求;9)核心風(fēng)險(xiǎn)管理要求;10)核心欺詐管制要求;11)數(shù)字化身份證明標(biāo)準(zhǔn);12)數(shù)字化身份驗(yàn)證證書(shū)標(biāo)準(zhǔn);13)信息安全歸檔指南;14)風(fēng)險(xiǎn)管理指南。
其中,核心隱私要求指出在可信身份框架下隱私要求必須滿足,包括:隱私管理、隱私影響評(píng)估、數(shù)據(jù)泄露響應(yīng)管理、個(gè)人信息收集的通知、收集和使用限制、事先同意、跨境傳輸、個(gè)人信息質(zhì)量原則等。核心安全保護(hù)要求明確了在可信身份框架下必須提供的、針對(duì)身份系統(tǒng)的最低安全管制。核心風(fēng)險(xiǎn)管理要求明確了必須落實(shí)的風(fēng)險(xiǎn)緩解責(zé)任。核心欺詐管制要求明確了對(duì)于欺詐的預(yù)防、檢測(cè)、報(bào)告、調(diào)查和支持受欺詐受害者等工作的管制。
(公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯)
英文發(fā)表于2017年11月16日,鏈接:
http://www.zdnet.com/article/government-reveals-draft-digital-identity-framework/
7美國(guó)聯(lián)邦通信委員會(huì)發(fā)布《恢復(fù)互聯(lián)網(wǎng)自由令草案》
11月21日,美國(guó)聯(lián)邦通信委員會(huì)(FCC)發(fā)布《恢復(fù)互聯(lián)網(wǎng)自由令草案》(Restoring Internet Freedom Order Draft)。該草案旨在摒棄2015年FCC對(duì)于互聯(lián)網(wǎng)建立的“公共事業(yè)監(jiān)管模式”,恢復(fù)以市場(chǎng)為導(dǎo)向的監(jiān)管模式,以維護(hù)互聯(lián)網(wǎng)自由。
FCC主席阿吉特·帕伊當(dāng)天發(fā)表聲明表示,奧巴馬政府2015年推出的“網(wǎng)絡(luò)中立”規(guī)定對(duì)互聯(lián)網(wǎng)實(shí)施“嚴(yán)厲的、公共事業(yè)式的監(jiān)管”,抑制了網(wǎng)絡(luò)服務(wù)提供商擴(kuò)建寬帶網(wǎng)的投資和創(chuàng)新。其指出聯(lián)邦政府應(yīng)停止對(duì)互聯(lián)網(wǎng)的微觀管理,F(xiàn)CC只要求互聯(lián)網(wǎng)服務(wù)提供商對(duì)他們的做法透明,這樣消費(fèi)者可以購(gòu)買最適合他們的服務(wù)計(jì)劃,企業(yè)家和其他小企業(yè)可以獲取他們需要的技術(shù)信息來(lái)進(jìn)行創(chuàng)新。
草案的主要內(nèi)容包括:1)恢復(fù)信息服務(wù)分類中對(duì)于寬帶接入服務(wù)的分類,將寬帶互聯(lián)網(wǎng)接入業(yè)務(wù)重新劃分為“信息服務(wù)”,恢復(fù)移動(dòng)寬帶接入業(yè)務(wù)的專用移動(dòng)業(yè)務(wù)分類,并明確重歸“信息服務(wù)”門類對(duì)其他監(jiān)管框架的影響。2)通過(guò)透明度要求,明確互聯(lián)網(wǎng)服務(wù)提供商(ISPs)應(yīng)當(dāng)向消費(fèi)者、企業(yè)家和FCC披露其做法的信息?;謴?fù)聯(lián)邦貿(mào)易委員會(huì)保護(hù)在線消費(fèi)者免受不公平、欺騙和反競(jìng)爭(zhēng)行為的能力,以較低的成本實(shí)現(xiàn)相應(yīng)的效益以及消除模糊和不斷擴(kuò)張的網(wǎng)絡(luò)行為規(guī)范等。據(jù)悉,F(xiàn)CC將在12月14日對(duì)該草案進(jìn)行表決。
(公安部第三研究所網(wǎng)絡(luò)安全法律研究中心編譯)
發(fā)表于2017年11月22日,鏈接:
http://news.xinhuanet.com/world/2017-11/22/c_1121994233.htm
草案原文鏈接:
http://transition.fcc.gov/Daily_Releases/Daily_Business/2017/db1122/DOC-347927A1.pdf