全球网络安全政策法律发展年度报告（2022）前前言言背景背景同悠久的文明史相比，人类进入数字时代的时间并不长，但由信息技术革命引发的社会变革却是空前深刻而彻底的，这也导致网络安全议题成为迄今为止“最具魅力”的法律关注。在全球网络安全政策立法兴起的数十年中，2022 年也许并不特殊这一年并没有里程碑式的标志性立法出台，也没有足以引发规范系统调整的重大安全事件发生一切都在按部就班：欧盟在 GDPR 之外着力完善它的“三驾马车”，美国在不断制造竞争以维系数字霸权，而中国仍然在尝试建立作为“第三条道路”的数据要素市场。但这可能恰恰预示了一个新的网络安全法治时代的到来，一个通过建构过程来塑造“安全阶梯”的时代。2022 年，一个明显可以观察到的事实是，在网络安全领域，尽管自遥远的“机房”时代就形成的安全内涵并没有发生根本变化，但“法律的工具化”和“工具的法律化”都在变得更为激进。在现实主义者看来，“去中心化”的网络结构使人类社会重回霍布斯所描述的“自然状态”，后工业时代形成的世界格局和主体间关系都变得不再稳定，这或许可以解释为何“进攻性”的政策法律会越来越多的出现。信息技术革命在本质上就是一场资源替代的革命，当数据资源代替传统物质资源成为主导性的可利用资源时，由数据驱动的人类历史提供了难能可贵的“变局”机会，这必然导致“冲突与对抗”在“冷战”之后再次成为世界的主流。尽管共识和合作仍然存在，但自由主义者所推崇的“相互依赖”似乎正在变得更加困难，例如，“零信任”和“弹性”就成为各国 2022 年网络安全政策法律的主题词。作为一项秉要执本的“话语力量”，政策法律对于获得新的“主导权”无疑发挥着越来越重要的作用。正如全球数据保护领域逐渐接受欧盟 GDPR 对于“欧洲主义”的传播产生的积极意义，面对愈发多元的网络安全诉求，各国都在积极寻求自己的“主战场”。在这种情况下，“安全”和“发展”在各个维度都陷入了不可避免的“零和困境”，休谟问题变得更加突出。鉴于信息技术的快速发展变动，网络安全在相当长的时期内都将是一项“待开发”的法律议题，这使得我们对于全球网络安全全球网络安全政策法律发展年度报告（2022）政策法律的观察工作更有意义。为贯彻落实党的二十大精神，深入研究国内外网络安全政策法律态势，护航高质量发展，公安部第三研究所网络安全法律研究中心与 360 集团法务中心联合撰写全球网络安全政策法律发展年度报告（2022），密切跟踪、系统掌握全球网络与数据领域立法热点及敏感问题，积极探索推动中国式现代化网络与数据安全法治发展道路。导读导读报告共分为四大部分：第一部分重点研判 2022 年全球网络安全政策法律态势，宏观把握立法走向；第二部分通过对 2022 年法律规制“行动域”的划分，梳理美国、欧盟、英国、法国、德国、俄罗斯、澳大利亚、加拿大、新西兰、新加坡、日本、韩国、巴西、中国等国家和地区在同一“行动域”的立法情况，直观展示全球立法特点和核心内容；第三部分特别新增“2022 年全球网络安全研究分析报告盘点”，通过跟踪分析境内外政府机构、知名智库、安全公司发布的网络空间安全威胁、趋势与法治分析报告，更直观、更深刻、更全面地理解全球网络安全政策法律演进的内生驱动；第四部分综合历年特别是 2022 年以来的全球网络与数据安全态势，对 2023 年及后续短期内的网络安全政策、立法趋势进行研判。沿革沿革作为网络安全领域的专业智库，自 2017 年起公安部第三研究所网络安全法律研究中心每月整理网络安全政策法律要闻，持续跟进全球相关动态，连续五年编制并向社会公开发布全球网络安全政策法律发展年度报告，为产学研各界提供研究素材、指明研究方向、勘定研究前沿，以期为促进我国网络与数据安全法治建设提供助力。全球网络安全政策法律发展年度报告（2022）出品方出品方公安部第三研究所网络安全法律研究中心360 集团法务中心平台支持平台支持信安未来参编单位参编单位密码法治实践创新基地西交苏州信息安全法学所网络安全等级保护与安全保卫技术国家工程研究中心信息网络安全公安部重点实验室数字丝路安全智库西交科教院网络安全法治研究所上海市信息网络安全管理协会互联网安全法律服务专家委员会广东新兴国家网络安全和信息化发展研究院江苏竹辉律师事务所北京中企数安咨询有限公司全球网络安全政策法律发展年度报告（2022）致致谢谢感谢以下人员对本报告的指导和贡献：专专家家指指导导组组马民虎西交苏州信息安全法学所 所长严明公安部第三研究所/第一研究所 原所长宋燕妮全国人大常委会法工委经济室 原副巡视员金波公安部第三研究所 所长助理焦娇360 集团 副总裁/总法律顾问陈欣新中国社会科学院法学研究所 研究员吴松洋公安部第三研究所 研究员杨涛公安部第三研究所 研究员黄道丽公安部第三研究所 研究员孙艳玲360 集团法务中心 高级总监于月霞宁夏公安厅网安总队 总工程师鲍亮公安部第三研究所 副研究员易晨中国香港港专学院副教授/内地联络处 处长李晶国网湖北省电力有限公司数字化部网络安全处 副处长侯亮国泰君安证券股份有限公司 首席信息安全专家刘紫千天翼安全科技有限公司 总经理张麾军刘春梅上海市信息网络安全管理协会 秘书中国移动通信集团重庆有限公司 高级项目经理长编编制制撰撰写写组组梁思雨何治乐原浩李亚齐张淼王彩玉俞少华王明一陈敬然马宁方婷胡文华胡柯洋谢永红全球网络安全政策法律发展年度报告（2022）声声明明公安部第三研究所网络安全法律研究中心和 360 集团法务中心对本报告全部内容拥有相关版权权利。本报告部分材料来源于网络，若有侵权请联系删除。未经书面许可授权，任何单位及个人不得以任何方式或理由对本报告进行使用、复制、修改、抄录或传播。本报告倾注编写团队大量心血，希望每位读者能从中收获知识和见解。在撰稿过程中，编写团队力求尽善尽美，经专家指导组倾力指导、精准把脉，编写团队人员反复琢磨修改最终定稿。由于时间仓促等局限性，难免存在纰漏，请读者朋友们批评、斧正。全球网络安全政策法律发展年度报告（2022）目目录录一、概览：2022 年全球网络安全形势与政策法律态势.-1-（一）全球网络空间局势动荡，竞争与合作并存.-1-（二）关键信息基础设施安全保护加速推进，事件报告成重要关切.-2-（三）全球供应链不稳定因素增多，“国产化”成为关键词.-4-（四）数据跨境流动新秩序加速构建.-5-（五）立法威慑和平台责任成为信息内容治理的首选路径.-5-（六）网络犯罪打击更加精细，犯罪防治成为重点.-6-（七）后量子密码的“超前性”与人工智能的“适度性”并存.-7-二、回顾：2022 年全球网络安全政策法律内容盘点.-9-（一）网络主权保障与国际合作.-9-1.五眼联盟就俄罗斯对关键基础设施构成的网络威胁发布警报.-9-2.北约发布新北约 2022 年战略概念.-9-3.美国与以色列发表联合声明/签署谅解备忘录，加强网络安全合作-10-4.美国商务部发布全球跨境隐私规则声明.-10-5.美国发布互联网未来宣言.-11-6.美国三部门联合发布警报，披露中国国家支持的网络行为者积极利用的顶级漏洞.-12-7.美韩发表联合声明，将加强网络安全合作.-12-8.美日印澳发表联合声明，将采取集体措施加强网络安全.-13-9.美国和乌克兰签署合作备忘录，扩大网络安全合作.-13-10.英美政府间就获取电子数据打击严重犯罪的协定生效.-13-11.日澳签署新日澳安全保障联合宣言.-14-12.中俄发表联合声明，重申将深化国际信息安全领域协作.-14-13.“中国 中亚五国”数据安全合作倡议发布.-15-14.中国国家互联网信息办公室与泰国国家网络安全办公室签署网络安全合作谅解备忘录.-16-15.中国国家互联网信息办公室与印尼国家网络与密码局签署网络安全全球网络安全政策法律发展年度报告（2022）合作行动计划.-16-16.中国全面推进加入数字经济伙伴关系协定谈判.-16-17.中国证监会、财政部与美国监管机构签署审计监管合作协议.-16-18.美国白宫发布提升国家安全、国防和情报系统网络安全备忘录-17-19.美国 BIS 发布信息安全管制：网络安全物项.-17-20.美国白宫发布关于管理 2024 财年预算网络安全优先事项的备忘录.-18-21.美国正式通过2022 年芯片与科学法.-18-22.美国发布2022 年美国芯片与科学法：芯片资金战略.-19-23.美国 BIS 宣布对 ECAD 软件实施出口管制.-20-24.美国白宫发布关于实施 2022 年芯片与科学法的行政令.-20-25.美国白宫发布关于确保外国投资委员会考虑不断演变的国家安全风险的行政令.-21-26.美国白宫发布关于加强美国信号情报活动保障的行政令.-22-27.美国白宫发布国家安全战略.-22-28.美国商务部发布临时最终规则.-23-29.欧盟委员会提出芯片法案.-24-30.英国国防部发布国防网络弹性战略.-25-31.英国内政部提出国家安全法案.-26-32.意大利发布首个国家网络安全战略及战略实施计划.-26-33.加拿大发布声明，以“国家安全”为由禁止华为中兴参与 5G 网络建设.-27-34.俄罗斯第 263-FZ 号联邦法部分条款生效，日用户超过 50 万的外国互联网公司应在俄罗斯设立分支机构.-28-35.俄罗斯发布总统令关于确保俄罗斯联邦关键信息基础设施技术独立与安全的措施.-28-36.俄罗斯发布总统令关于保障俄罗斯联邦信息安全的补充措施-29-37.俄罗斯杜马通过法案，对未能开设俄罗斯办事处的 IT 运营商处以罚款.-29-全球网络安全政策法律发展年度报告（2022）38.乌克兰发布总统令，实施乌克兰网络安全战略实施计划.-30-39.日本总务省发布修订后的2022 年 ICT 网络安全综合措施.-30-40.乌兹别克斯坦通过网络安全法.-31-41.越南批准推动网络空间发展到 2025 年、展望 2030 年的网络空间安全战略.-31-42.荷兰内阁公布2022-2028 年国家网络安全战略.-32-43.国务院办公厅发布要素市场化配置综合改革试点总体方案-32-44.国务院发布“十四五”数字经济发展规划.-33-45.国务院发布“十四五”市场监管现代化规划.-33-46.中国网络安全审查办法正式施行.-34-47.全国人大常委会 2022 年度立法工作计划.-34-48.党的二十大报告关于网络强国、数字经济与法治元素的内容.-34-49.国务院办公厅发布国务院 2022 年度立法工作计划.-36-（二）网络安全管理.-37-1.美国 SEC 发布拟议网络安全规则投资顾问、注册投资公司和业务发展公司的网络安全风险管理.-37-2.美国 NIST 发布勒索软件风险管理：网络安全框架简介.-38-3.美国 NSA 发布网络基础设施安全指南.-38-4.美国 CISA 发布网络事件信息共享指南.-38-5.美国银行机构及其银行服务提供者的计算机安全事件报告要求全面生效.-39-6.美国正式通过2021 年州和地方政府网络安全法.-40-7.美国国家公路交通安全管理局发布车辆网络安全最佳实践指南-40-8.美国 CISA 发布2023 年至 2025 年战略计划.-41-9.美国 CISA 发布约束性操作指令提高联邦网络上的资产可见性和漏洞检测.-41-10.欧盟数字市场法生效.-42-11.英国政府发布政府网络安全战略：2022 年至 2030 年.-43-12.英国监控摄像头指导守则生效.-44-全球网络安全政策法律发展年度报告（2022）13.英国发布首份建筑业网络安全指南.-45-14.英国政府发布2022 年民用核能网络安全战略.-45-15.英国国家网络安全中心发布建筑业合资企业：信息安全最佳实践指南.-45-16.英国电子通信（安全措施）条例草案提交议会：将电信提供商分为三级.-46-17.印度发布关于第 70B 条第（6）款，可信网络的信息安全实践、程序、预防、响应和网络安全事件报告指令-46-18.加拿大安大略省发布勒索软件应对指南.-48-19.澳大利亚 ACSC 发布澳大利亚政府网络事件管理安排.-48-20.最高人民法院发布人民法院在线运行规则.-49-21.国家发展和改革委员会发布电力可靠性管理办法（暂行）-49-22.国家药监局发布药品监管网络安全与信息化建设“十四五”规划.-50-23.中国证监会发布证券期货业网络安全管理办法（征求意见稿）-50-24.国务院发布关于加强数字政府建设的指导意见.-50-25.国家能源局发布电力行业网络安全管理办法（修订征求意见稿）电力行业网络安全等级保护管理办法（修订征求意见稿）.-51-26.国家卫健委等三部门发布医疗卫生机构网络安全管理办法-51-27.国家互联网信息办公室发布关于修改中华人民共和国网络安全法的决定（征求意见稿）.-52-28.工信部印发网络产品安全漏洞收集平台备案管理办法.-52-（三）关键信息基础设施保护.-53-1.美、日、印、澳就勒索攻击发布联合声明，将互相协助抵御针对关键基础设施的恶意网络活动.-53-2.美国 CISA 发布准备和减轻针对关键基础设施的外国影响行动-54-3.美国正式通过关键基础设施网络事件报告法.-54-4.美国正式通过2021 年国家网络安全防范联盟法.-55-5.美国能源部发布国家网络信息工程战略.-55-全球网络安全政策法律发展年度报告（2022）6.美国运输安全管理局更新管道网络安全缓解行动、应急计划和测试指令.-56-7.美国 CISA 发布关键基础设施向后量子密码迁移的新见解.-57-8.美国 TSA 发布铁路网络安全缓解措施与测试指令.-58-9.美国 CISA 发布文件，为关键基础设施设立网络安全绩效目标.-58-10.欧盟理事会和欧洲议会就数字运营弹性法案达成临时协议-58-11.欧盟委员会发布能源系统数字化欧盟行动计划.-59-12.欧洲议会通过 NIS 2 指令提案.-59-13.欧洲议会通过关于关键实体弹性指令的提案.-60-14.澳大利亚2022 年安全立法修正案（关键基础设施保护法）生效.-61-15.新加坡 CSA 发布CII 所有者增强 5G 应用网络安全指南.-62-16.新加坡金融管理局发布业务连续性管理指南.-62-17.新加坡 CSA 发布关键信息基础设施网络安全实践守则.-62-18.新加坡 CSA 发布关键信息基础设施供应链计划.-63-19.俄通过保护关键信息基础设施国家政策基本原则草案.-64-20.俄罗斯政府批准第 1478 号决议，明确重要 CII 的软件使用要求-64-21.巴西国家电力能源局电力部门代理人网络安全政策生效.-65-22.日本发布关键基础设施网络安全行动计划.-65-23.新疆维吾尔自治区通过新疆维吾尔自治区关键信息基础设施安全保护条例.-66-24.交通运输部发布 公路水路关键信息基础设施安全保护管理办法（征求意见稿）.-66-25.我国信息安全技术 关键信息基础设施安全保护要求获批.-66-（四）供应链安全.-67-1.五眼联盟联合发布警报保护托管服务提供商及其客户免受网络威胁.-67-2.美国-欧盟贸易和技术委员会发布声明，加强 ICT 等供应链弹性-67-3.美国 NIST 发布软件供应链安全指南.-68-全球网络安全政策法律发展年度报告（2022）4.美国 NIST 更新系统和组织网络安全供应链风险管理实践指南-68-5.美国正式通过2021 年供应链安全培训法.-69-6.美国三部门发布软件供应链安全：开发者实践推荐指南软件供应链安全：供应商实践推荐指南.-70-7.美国 OMB 发布通过安全的软件开发增强软件供应链安全备忘录-70-8.欧盟委员会提出网络弹性法案.-71-9.欧盟理事会通过关于 ICT 供应链安全的结论.-72-10.英国 NCSC 发布供应链网络安全指南.-72-11.捷克国家安全委员会授权国家网络和信息安全局制定立法，对具有战略重要性的基础设施的供应商进行筛选.-73-12.新加坡网络安全局启动网络安全服务提供商许可框架.-73-13.市场监管总局发布 关于开展网络安全服务认证工作的实施意见（征求意见稿）.-74-（五）数据利用与安全保障.-74-1.七国集团签署声明，通过促进可信数据自由流动的行动计划-74-2.美国 FTC 发布两项文件，帮助企业遵守健康违规通知规则.-75-3.美国白宫发布科技平台监管改革六大原则.-75-4.欧盟 EDPB 发布 关于数据主体权利访问权的第 01/2022 号指南.-76-5.欧盟委员会通过数据法草案.-77-6.欧盟委员会主席与美国总统拜登发表声明，宣布已就跨大西洋数据流动的新框架达成“原则性共识”.-77-7.欧盟 EDPB 发布关于新的跨大西洋数据隐私框架的声明.-77-8.欧盟委员会发布关于欧洲健康数据空间法规的提案.-78-9.欧盟 EDPB 发布关于 GDPR 行政罚款计算的第 04/2022 号指南-79-10.欧盟 EDPB 发布执法领域人脸识别技术应用指南.-79-11.欧盟委员会发布问答文件，为标准合同条款 SCC 提供应用指导-80-12.欧盟正式通过数据治理法.-80-13.欧盟 EDPB 发布关于数据跨境传输认证机制的第 07/2022 号指南.-80-全球网络安全政策法律发展年度报告（2022）14.欧盟 EDPB 就关于确定控制者或处理者主要监管机构的第 8/2022号指南征求公众意见.-81-15.英国数据跨境流动标准合同条款正式生效.-81-16.英国发布数据共享治理框架.-82-17.英国与韩国就跨境数据传输达成数据充分性原则协议.-82-18.英国 ICO 发布三年战略计划ICO25-以信息赋能公民权利.-83-19.英国 ICO 发布更新后的使用约束性公司规则作为数据传输机制的指南.-83-20.法国国家信息与自由委员会发布个人登录令牌或令牌访问指南-83-21.新加坡 PDPC、IMDA 发布数据保护基本要素计划.-84-22.新加坡 PDPC 发布在安全应用中负责任地使用生物特征数据的指南.-84-23.新加坡 PDPC 发布区块链设计个人数据保护注意事项指南.-85-24.越南颁布法令详细说明网络安全法数据本地化要求.-85-25.中国香港私隐公署发布跨境资料转移指引：建议合约条文范本-86-26.香港个人资料私隐专员公署就数据出境安全评估办法生效发布提醒.-86-27.全国信安标委发布信息安全技术 重要数据识别指南（征求意见稿）.-87-28.工信部再次公开征求对工业和信息化领域数据安全管理办法（试行）（征求意见稿）的意见.-87-29.工信部发布车联网网络安全和数据安全标准体系建设指南-88-30.科技部发布人类遗传资源管理常见问题解答.-88-31.科技部发布人类遗传资源管理条例实施细则（征求意见稿）-88-32.国家发改委发布公告，对“数据基础制度观点”征集意见.-89-33.中共中央、国务院发布关于加快建设全国统一大市场的意见-89-34.国家市场监督管理总局、国家互联网信息办公室发布关于开展数据安全管理认证工作的公告.-90-35.习近平主持召开中央全面深化改革委员会第二十六次会议强调：加全球网络安全政策法律发展年度报告（2022）快构建数据基础制度.-90-36.国家互联网信息办公室公布数据出境安全评估办法.-91-37.国家互联网信息办公室发布 数据出境安全评估申报指南（第一版）.-92-38.中国气象局印发气象数据开放共享实施细则（试行）.-92-39.民航局印发关于民航大数据建设发展的指导意见.-92-40.国务院办公厅印发全国一体化政务大数据体系建设指南.-93-41.天津市发布天津市数据交易管理暂行办法.-93-42.山东省发布山东省公共数据开放办法.-94-43.重庆市发布重庆市数据条例.-94-44.广东省发布广州市数字经济促进条例.-95-45.黑龙江省发布黑龙江省促进大数据发展应用条例.-95-46.江西省发布江西省“十四五”数字经济发展规划.-96-47.河北省发布河北省数字经济促进条例.-96-48.辽宁省发布辽宁省大数据发展条例.-96-49.上海发布上海市数字经济发展“十四五”规划.-97-50.海南省发布海南省政府数字化转型总体方案（20222025）-97-51.广东省发布广东省企业首席数据官建设指南.-98-52.江苏、北京等省市推动数据出境安全评估工作落地实施.-98-53.河南省人民政府办公厅发布 河南省大数据产业发展行动计划（20222025 年）.-101-54.陕西省人大常委会通过陕西省大数据条例.-101-（六）个人信息保护.-102-1.美国 NIST 发布信息系统和组织安全、隐私控制评估指南.-102-2.美国 NIST 发布新版实施安全规则：网络安全资源指南.-102-3.美国数据隐私和保护法案提交众议院委员会.-102-4.美国犹他州正式通过犹他州消费者隐私法.-103-5.美国康涅狄格州正式通过康涅狄格州数据隐私法.-104-全球网络安全政策法律发展年度报告（2022）6.美国加州正式通过加州适龄设计规范法.-105-7.加州隐私保护局发布 CCPA 拟议法规草案的最新修订情况.-105-8.欧盟 EDPB 发布关于向俄罗斯联邦传输个人数据的第 02/2022 号声明.-106-9.欧盟 EDPB 就关于 GDPR 个人数据泄露通知的第 9/2022 号指南征求公众意见.-107-10.英国 ICO 发布匿名化、假名化及隐私增强技术指南（草案）-107-11.挪威 DPA 发布有关共享和处理儿童个人数据和同意的指南-108-12.爱尔兰 DPC 发布三份儿童数据保护权利指南.-108-13.安道尔关于个人数据保护的第 29/2021 号法生效.-109-14.新加坡 PDPC 发布基础匿名化指南.-109-15.新加坡个人数据保护法执行修正案生效.-109-16.日本 PPC 发布合规要点.-110-17.日本经济产业省与总务省发布新版企业隐私治理指南 ver1.2-110-18.日本新修订的个人信息保护法正式施行.-111-19.以色列政府修订隐私保护法.-111-20.巴西国民议会颁布第 115 号宪法修正案.-112-21.泰国个人数据保护法正式生效.-112-22.菲律宾就针对侵犯数据隐私的行为发布行政罚款指引.-113-23.菲律宾国家隐私委员会发布关于提交个人数据泄露通知和年度安全事件报告的声明.-113-24.印尼国会审议通过个人数据保护法.-114-25.俄罗斯三读通过关于个人数据保护的修正案.-114-26.加拿大隐私专员办公室发布确保加拿大数字身份生态系统隐私和透明度.-115-27.香港私隐专员公署发布资讯及通讯科技的保安措施指引.-116-28.全国信安标委发布网络安全标准实践指南个人信息跨境处理活动安全认证规范.-117-29.国家互联网信息办公室发布个人信息出境标准合同规定（征求意全球网络安全政策法律发展年度报告（2022）见稿）.-117-30.上海市发布关于进一步促进和保障城市运行“一网统管”建设的决定.-117-（七）网络信息内容治理.-118-1.美国国防部发布将社交媒体用于公共事务目的的官方用途-118-2.美国加州通过社交媒体平台：服务条款法，要求提高社交媒体透明度.-118-3.欧盟处理恐怖主义内容在线传播条例生效.-119-4.欧盟委员会发布2022 年虚假信息实践守则.-120-5.欧盟数字服务法生效.-120-6.俄罗斯发布修正案，严惩故意公开传播俄罗斯武装部队虚假信息行为.-121-7.俄罗斯发布修正案：故意公开传播俄海外国家机构相关谣言的人将承担刑事责任.-122-8.土耳其议会批准第 7418 号法和部分法律-123-9.乌干达总统签署计算机滥用（修正案）法.-123-10.国家互联网信息办公室发布 互联网信息服务深度合成管理规定（征求意见稿）.-124-11.国家互联网信息办公室发布修订后的移动互联网应用程序信息服务管理规定.-124-12.国家互联网信息办公室发布互联网用户账号信息管理规定-125-13.国家互联网信息办公室发布 互联网弹窗信息推送服务管理规定（征求意见稿）.-125-14.国家互联网信息办公室发布互联网跟帖评论服务管理规定（修订草案征求意见稿）.-125-（八）网络犯罪防治.-126-1.美国正式通过优化网络犯罪度量法.-126-2.美国签署 关于加强电子证据合作和披露的第二附加议定书.-126-全球网络安全政策法律发展年度报告（2022）3.美国司法部修订依据计算机欺诈和滥用法提起违规指控的政策，将不对“白帽黑客”追究责任.-127-4.美司法部发布2022 年-2026 年战略计划.-127-5.欧盟 EDPB 就关于加强合作和披露电子证据的第二项附加议定书表明立场.-127-6.欧洲刑警组织条例修正案生效.-128-7.澳大利亚发布2022 年打击网络犯罪国家计划.-129-8.澳大利亚2022 年电信服务提供商（客户身份验证）判定规则生效.-130-9.危地马拉国会通过预防和保护网络犯罪法.-131-10.银保监发布关于防范以“元宇宙”名义进行非法集资的风险提示.-131-11.中共中央办公厅、国务院办公厅发布关于加强打击治理电信网络诈骗违法犯罪工作的意见.-131-12.最高人民检察院发布关于加强刑事检察与公益诉讼检察衔接协作严厉打击电信网络犯罪加强个人信息司法保护的通知.-132-13.两高一部联合发布关于办理信息网络犯罪案件适用刑事诉讼程序若干问题的意见.-132-14.我国正式通过反电信网络诈骗法.-133-（九）新技术新应用发展与安全.-133-1.美国白宫发布推动美国政府向网络安全零信任原则迈进备忘录-133-2.美国白宫发布确保数字资产负责任发展的行政令.-134-3.美国白宫发布关于加强国家量子倡议咨询委员会的行政命令-134-4.美国白宫发布 关于促进美国在量子计算领域领导地位的同时降低易受攻击的密码系统风险的国家安全备忘录.-135-5.美国 NIST 发布规划零信任架构：联邦管理者的规划指南.-136-6.美国国防部发布负责任的人工智能战略及实现途径.-136-7.美国 CISA 发布第二版云安全技术参考架构指南.-136-8.美国加州发布行政令，促进区块链和加密货币使用和监管.-137-全球网络安全政策法律发展年度报告（2022）9.美国 NSA 发布商业性国家安全算法组件 2.0.-137-10.美国白宫发布人工智能权利法案蓝图：让自动化系统服务于美国人民.-138-11.美国正式通过人工智能培训法.-138-12.美国和瑞士发表关于加强量子信息科学技术合作的联合声明-139-13.欧洲议会通过关于数字时代人工智能的决议.-139-14.英国国防部发布国防人工智能战略.-140-15.欧盟委员会提出人工智能责任指令的提案.-140-16.英国 DCMS 发布两项人工智能政策文件.-141-17.德国自动驾驶条例生效.-141-18.法国数据保护局发布面向人工智能的 GDPR 合规指南.-142-19.澳大利亚联邦政府发布2021 年国家研究基础设施路线图-143-20.俄罗斯杜马引入关于俄罗斯联邦监管数字金融资产流通和实用数字权利的立法修正案.-143-21.俄罗斯发布法案，禁止在俄罗斯使用数字资产作为支付方式.-143-22.巴基斯坦信息技术和通信部发布云优先政策.-144-23.中非共和国通过立法，将比特币作为法定支付工具.-144-24.全球科技贸易协会 ITI 发布 实现人工智能系统透明度的政策原则.-145-25.香港政府发表有关虚拟资产在港发展的政策宣言.-145-26.中国八部门发布关于加强网络预约出租汽车行业事前事中事后全链条联合监管有关工作的通知.-146-27.中国五部门发布关于进一步加强新能源汽车企业安全体系建设的指导意见.-146-28.最高人民法院发布关于加强区块链司法应用的意见.-147-29.六部门发布关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见.-147-30.上海发布上海市政务云管理暂行办法.-148-31.上海发布两项行动方案，促进“元宇宙”和智能终端产业发展-148-全球网络安全政策法律发展年度报告（2022）32.深圳发布深圳经济特区智能网联汽车管理条例.-149-33.浦东新区人工智能企业数据安全和算法合规指引（试行）发布-150-34.上海发布上海市加快智能网联汽车创新发展实施方案.-150-35.上海出台上海市促进人工智能产业发展条例.-151-36.厦门市元宇宙产业发展三年行动计划（2022-2024 年）发布-151-（十）其他.-152-1.金砖国家领导人第十四次会晤达成金砖国家数字经济伙伴关系框架.-152-2.美国正式通过2021 年联邦轮换网络劳动力计划法.-152-3.欧盟委员会发布儿童和青少年的数字十年：为儿童打造更好互联网的新欧洲战略.-153-4.英国发布新的英国数字战略.-153-5.爱尔兰政府发布国家数字战略利用数字爱尔兰数字框架-154-6.九部门发布关于推动平台经济规范健康持续发展的若干意见-154-7.中央网信办等四部门发布2022 年提升全民数字素养与技能工作要点.-155-8.国家互联网信息办公室就未成年人网络保护条例（征求意见稿）再次公开征求意见.-155-9.中共中央办公厅、国务院办公厅联合发布关于加强科技伦理治理的意见.-156-10.国家互联网信息办公室发布网信部门行政执法程序规定（征求意见稿）.-156-11.国务院国有资产监督管理委员会公布中央企业合规管理办法-157-12.民政部发布民政部贯彻落实国务院关于加强数字政府建设的指导意见的实施方案.-157-13.上海发布团体标准网络安全保险服务规范.-158-三、回顾：2022 年全球网络安全研究分析报告盘点.-159-（一）网络主权保障与国际合作.-159-1.北约 CCDCOE 发布2030 年网络空间战略展望全球观察和分析报全球网络安全政策法律发展年度报告（2022）告.-159-2.美国国家情报总监办公室发布美国情报界年度威胁评估报告-159-3.美国对外关系委员会发布面对网络空间的现实：碎片化互联网的外交政策报告.-160-4.新美国安全中心发布重新连接：半导体与美国产业政策报告-160-5.美国 ITIF 发布如何应对美国社交媒体上的政治宣传报告.-161-6.美国 CSIS 发布切断中国通往人工智能之路美国对人工智能和半导体的新出口管制标志着美中技术竞争的转变.-161-7.美国 CSIS 发布 巨变美国新的半导体出口管制及其对美国公司、盟友和创新生态的影响.-162-8.美国布鲁金斯学会发布美国半导体战略报告.-163-9.欧盟发布欧盟安全联盟战略第四次进展报告.-163-10.国家计算机病毒应急处理中心发布“NOPEN”远控木马分析报告.-163-11.国家计算机病毒应急处理中心发布西北工业大学遭美国 NSA 网络攻击事件调查报告（之一）美国 NSA 网络武器“饮茶”分析报告西北工业大学遭美国 NSA 网络攻击事件调查报告（之二）.-164-12.卡巴斯基发布2022 年第一季度 DDoS 攻击数据.-165-13.微软发布乌克兰俄罗斯在乌克兰网络攻击活动总览报告-165-14.微软发布保卫乌克兰：网络战争的早期教训.-166-15.兰德发布信息领域竞争：俄罗斯的信息对抗概念报告.-167-（二）网络安全管理.-168-1.美国 CISA 发布公共安全陆地无线移动通信安全白皮书.-168-2.美国网络安全局发布NSA2021 年度回顾报告.-168-3.美国 NIST 发布基于网络安全风险的企业风险管理报告.-168-4.美国 GAO 发布关于互联网架构是有弹性的，但联邦机构仍需应对风险的报告.-169-5.美国 HPH 发布医疗保健和公共卫生部门勒索软件趋势报告-169-6.美国商会发布美国中间市场商业指数报告.-170-全球网络安全政策法律发展年度报告（2022）7.美国 GAO 发布网络保险：需要采取行动评估联邦政府对灾难性网络攻击的潜在反应报告.-170-8.美国网络安全审查委员会发布2021 年 12 月 Log4j 漏洞事件审查报告.-171-9.大西洋理事会发布龙之尾：坚持国际网络安全研究.-171-10.美国 CSIS 发布勒索攻击中的艰难选择报告.-172-11.欧盟两部门联合发布提高组织网络安全弹性报告.-172-12.欧盟 ENISA 发布欧盟协同漏洞披露政策报告.-172-13.欧盟 ENISA 发布2021 年电信安全事件报告 2021 年可信服务安全事件报告.-173-14.欧盟 ENISA 发布勒索攻击威胁态势报告.-174-15.欧盟 ENISA 发布2022 年网络安全威胁全景报告.-174-16.欧洲 ENISA 发布2022 年网络威胁态势.-175-17.英国政府发布2022 年网络安全激励和监管审查报告.-175-18.英国 DCMS 发布2022 年英国劳动力市场的网络安全技能报告-175-19.瑞士国家网络安全中心发布NCSC 半年度报告.-176-20.德国 BSI 发布2022 年德国 IT 安全状况报告.-176-21.日本 NISC 发布2021 年度网络安全报告.-177-22.巴西联邦审计法院发布联邦公共管理局的高风险清单报告-177-23.中国互联网络信息中心发布第 50 次 中国互联网络发展状况统计报告.-177-24.中国信息安全测评中心发布2022 上半年网络安全漏洞态势观察报告.-178-25.医疗物联网安全公司发布2022 年医疗保健行业互联设备不安全性报告.-178-26.解决方案提供商 Kroll 发布2022 年第二季度威胁形势：勒索软件回归，医疗保健行业遭受打击报告.-179-27.奇安信等发布2022 医疗卫生行业网络安全分析报告.-179-28.安全公司 Trellix 发布XDR：重新定义网络安全的未来关于全球网络安全政策法律发展年度报告（2022）SecOps 面临的主要挑战及应对的新调查报告.-180-（三）关键信息基础设施保护.-181-1.美国 GAO 发布关键基础设施保护：机构网络安全评估指南落实情况报告.-181-2.美国 GAO 发布关键基础设施保护：CISA 应改进优先级设置、利益相关者参与和威胁信息共享报告.-181-3.美国 CRS 发布关键基础设施安全和弹性：应对俄罗斯和其他国家网络威胁报告.-182-4.美国 GAO 发布关键基础设施保护：国土安全部迫切需要采取行动更好地保护国家的关键基础设施报告.-182-5.欧盟两部门发布铁路分区和管道报告.-183-6.安全公司 Cynerio 发布研究报告：2022 年医疗物联网设备安全状况.-183-7.安全公司 Claroty 发布2021 年全球工业网络安全态势：应对中断的韧性.-184-（四）供应链安全.-184-1.美国两部门发布美国 IT 行业关键供应链评估报告.-184-2.ISACA 发布供应链安全差距：2022 年全球研究报告.-185-（五）数据利用与安全保障.-186-1.OECD 发布跨境数据流动：评估主要政策和举措报告.-186-2.大西洋理事会发布数据鸿沟：新兴技术及其利益相关者如何影响第四次工业革命报告.-186-3.美国 CRS 发布欧盟-美国数据隐私框架：背景、实施和下一步报告.-187-4.大西洋理事会发布 实践中的数字主权：欧盟推动塑造新的全球经济报告.-187-5.欧盟 EINSA 发布数据保护工程报告.-188-6.欧盟 EDPS、EDPB 发布2021 年度报告.-188-7.欧盟委员会发布关于数据保护执法指令（LED）评估和审查的首份全球网络安全政策法律发展年度报告（2022）报告.-189-8.爱尔兰公民自由委员会发布 关于美国和欧洲实时竞价系统数据传播报告.-189-9.国家互联网信息办公室发布数字中国发展报告（2021 年）-190-10.国务院发布关于数字经济发展情况的报告.-190-11.广东数字政府研究院等发布广东省数据要素市场化配置改革理论研究报告.-191-12.Verizon 发布数据泄露调查报告.-191-13.IBM 发布2022 年数据泄露成本报告.-192-14.中国中小企业协会联合 360 天枢智库发布2022 中小微企业数字安全报告.-192-（六）个人信息保护.-193-1.联合国发布数字时代的隐私权报告.-193-2.美国 GAO 发布隐私：专业领导者可以改善隐私保护项目并应对挑战报告.-194-3.美国 NIST 发布2021 年网络安全和隐私年度报告.-195-4.挪威隐私保护局发布2021 年个人数据安全事件报告.-195-5.挪威数据保护当局发布 老板看到你了吗？监控员工的数字活动调查报告.-195-6.香港个人资料私隐专员公署发布社交媒体私隐设定大检阅报告-196-7.江苏省消保委发布新能源汽车行业不公平格式条款调查报告-196-（七）网络犯罪防治.-197-1.美国司法部发布关于如何加强国际执法合作，以侦查、调查和起诉与数字资产相关犯罪活动的报告.-197-2.美国司法部发布全面网络审查最终报告.-197-3.美国司法部发布执法部门在侦查、调查和起诉与数字资产相关的犯罪活动中的作用报告.-198-（八）新技术新应用发展与安全.-198-1.世界经济论坛发布量子计算现状：构建量子经济报告.-198-全球网络安全政策法律发展年度报告（2022）2.美国参议院发布加密货币在勒索攻击、可用数据和国家安全问题中的使用报告.-199-3.美国大西洋理事会发布缺失的钥匙：网络安全和央行数字货币的挑战报告.-199-4.布鲁金斯学会发布 人工智能合作落地：全球范围内的人工智能研发.-200-5.美国 ITIF 发布全球监控义务提案对端到端加密的影响.-200-6.卡托研究所发布中央银行数字货币：评估风险和破除迷思-200-7.欧盟 ENISA 发布5G 网络安全标准报告.-201-8.欧洲刑警组织发布面对现实？执法和深度伪造的挑战报告-201-9.欧洲 EPRS 发布数据治理和人工智能：可持续和公正的数据治理模式研究报告.-202-10.欧盟 ENISA 发布后量子密码：集成研究报告.-202-11.英国 DCMS 发布企业联网设备的网络安全报告.-203-12.新加坡金融管理局发布FEAT 原则评估方法等五份白皮书-203-13.Gartner 发布供应链人工智能报告.-204-四、前瞻：全球网络安全政策法律未来趋势研判.-205-（一）国家安全因素全面“注入”网络安全，国家成为网络安全的主要推手.-205-（二）关键信息基础设施适当“聚焦”与供应链安全强势“扩张”成为网络安全并行不悖的两条主线.-206-（三）数据规则全面塑造，安全与发展的辩证在数字化进程中得到深刻诠释.-207-（四）网络安全治理能力建设成为网络安全的屏障，网络安全法治的软实力与 信息、网络的硬科技同等重要.-208-全球网络安全政策法律发展年度报告（2022）-1-一、概览：一、概览：20222022 年全球网络安全形势与政策法律态势年全球网络安全形势与政策法律态势2022 年，是世界百年未有之大变局加速演进，深刻影响全球网络安全政策法律态势的一年。这一年，百年变局与世纪疫情交织，全球网络安全形势日益复杂，国际局势剑拔弩张，不稳定不确定因素显著增多，由国家支持的、大规模持续性网络安全事件频发，脱钩断链风险不断增加，持续校验各国网络与数据安全动态保障能力。提升关键（信息）基础设施安全保护能力、加强供应链韧性、强化网络信息内容治理、重塑数据跨境流动新秩序等问题成为核心关切。2022 年，是我国新时代网络强国、数字中国建设深入推进，网络空间法治体系持续优化的一年。这一年，我国以习近平新时代中国特色社会主义思想为指引，积极推动网络空间命运共同体建设，强化法治思维，运用法治方式，综合利用立法、执法、司法等手段开展斗争，协调推进国内治理和国际治理，有效应对挑战、防范风险；贯彻落实总体国家安全观，充分发挥法治固根本、稳预期、利长远作用，在激发数字经济活力、落实关键信息基础设施安全保护、加强数据出境安全管理、营造清朗网络空间、强化网络犯罪防治等方面取得新成效，更好维护国家主权、安全、发展利益。（一）（一）全球网络空间局势动荡，竞争与合作并存全球网络空间局势动荡，竞争与合作并存2022 年全球网络空间竞争与博弈持续加剧。受局部地区冲突影响，网络空间冲突对抗风险上升。个别国家将互联网作为维护霸权的工具，联合发起互联网未来宣言，列出旨在维护所谓“自由与开放互联网”的五项主张，在互联网领域以意识形态划线，煽动网络空间分裂和对抗，用集团性“帮规”破坏全球性互联网治理原则。北约发布新的北约 2022 年战略概念，首次提及中国，称中国对北约构成“系统性挑战”，表示将强化在网络空间有效运作的能力，利用所有的可用工具，预防、探测、对抗和应对各种威胁。美国国家情报总监办公室发布的美国情报界年度威胁评估报告称“中国仍将是美国技术竞争力的最大威胁”，白宫发布的新版国家安全战略表示“未来十年是美国与中国竞争的决定性十年”，将动用所有的国家工具来超越战略性对手，并将建立尽可能强大的国家联盟，以增强集体影响力。与此同时，各国持续加强本国网络安全顶层设计，通过战略、总统令等形式明确网络安全保障任务。美国白宫发布关于确保全球网络安全政策法律发展年度报告（2022）-2-美国外国投资委员会认真考虑不断演变的国家安全风险的行政令，系外国投资委员会（CFIUS）成立以来首份界定外商投资审查中应考量的国家安全因素的行政令，将网络安全和敏感个人数据安全列为重要考量因素。美国总统拜登签署 提升国家安全、国防和情报系统网络安全备忘录，设定国家安全系统多项网络安全新要求，推进网络安全防御现代化。英国政府发布政府网络安全战略：2022年至 2030 年，系英国首份针对政府的网络安全战略，意在确保公共部门所有政府组织都对已知漏洞和攻击方法具有弹性。作为全球最大的发展中国家和网民数量最多的国家，我国展现负责任大国担当，加强国际网络空间对话合作，推动互联网全球治理体系变革。正如习近平总书记在党的二十大报告中指出的，中国始终坚持维护世界和平、促进共同发展的外交政策宗旨，致力于推动构建人类命运共同体一方面，践行共商共建共享的全球治理观，促进大国协调和良性互动，推动构建和平共处、总体稳定、均衡发展的大国关系格局；另一方面，贯彻总体国家安全观，完善国家安全法治体系、战略体系、政策体系，强化网络、数据安全保障体系建设，健全反制裁、反干涉、反“长臂管辖”机制，统筹维护和塑造国家安全，推进国家安全体系和能力现代化。2022 年，金砖国家领导人第十四次会晤达成金砖国家数字经济伙伴关系框架，系金砖经贸领域第一份数字经济合作专门文件。“中国 中亚五国”外长第三次会晤通过“中国 中亚五国”数据安全合作倡议；中国全面推进加入数字经济伙伴关系协定谈判。中俄两国发表中华人民共和国和俄罗斯联邦关于新时代国际关系和全球可持续发展的联合声明，国家互联网信息办公室与泰王国国家网络安全办公室签署关于网络安全合作的谅解备忘录，与印尼国家网络与密码局签署网络安全合作行动计划。同时，面对网络安全保障的现实需求和时代诉求，我国适时修改网络安全领域的基础性立法网络安全法，旨在做好网络安全法与新实施的法律之间衔接协调，为高质量发展提供有力制度支撑和保障。（二）（二）关键信息基础设施安全保护加速推进，事件报告成重要关切关键信息基础设施安全保护加速推进，事件报告成重要关切2022 年勒索攻击等网络安全事件威胁不减，关键信息基础设施的外部攻击仍是重大威胁来源。数字化转型过程中的关键信息基础设施安全保护现代化成为各国亟待解决的现实难题，引发各界对既有政策立法的反思和调整，全球关键信全球网络安全政策法律发展年度报告（2022）-3-息基础设施规则体现出威胁攻击与保障防御两端的特点。欧盟 2022 年 5 月发布的 欧盟安全联盟战略第四次进展报告对俄乌冲突国际环境下欧盟面临的安全威胁进行梳理。报告指出，尽管俄乌冲突在很大程度上仍然是通过常规手段推进，溢出效应有限，但也充分说明网络和关键基础设施领域面临的风险是真实存在的，进一步凸显落实现有立法及推动制定中立法的紧迫性。基于此，欧盟加快立法进程，密集推动 NIS2 指令、关于关键实体弹性指令的提案（CER 指令）、数字运营弹性法案等。其中，CER 指令提案将关键实体中为三分之一以上成员国提供基本服务的实体明确为“欧洲具有特定重要性的关键实体”，在安全保护方面获得额外建议，这与澳大利亚 4 月正式生效的2022 年安全立法修正案（关键基础设施保护）法相类似。澳大利亚在立法中建立“具有国家意义的系统（SoNS）”制度，在现有关键基础设施保护体系中将一小部分具有国家意义的关键基础设施资产认定为 SoNS，并对 SoNS 赋予更严苛的保护义务。此类立法举措反映出部分国家在当前安全形势下对关键基础设施保护的新探索。同时，被认为是“最严重和最广泛的安全威胁之一”的 Log4j 漏洞风险持续发酵，美国网络安全审查委员会认为该漏洞将在未来十年甚至更长时间持续引发风险，使得各国对于感知网络安全态势、及时洞察网络安全事件的需求更加迫切。基于此，强制性的事件报告义务成为普遍选择。美国通过 关键基础设施网络安全事件报告法投资顾问、注册投资公司和业务发展公司的网络安全风险管理 银行机构及其银行服务提供者的计算机安全事件报告要求等，对事件报告提出 24 小时至72 小时不等的时间要求。印度发布关于第 70B 条第（6）款，可信网络的信息安全实践、程序、预防、响应和网络安全事件报告指令，要求在发现或被告知发生网络安全事件后 6 小时内向 CERT-In 报告。我国持续推动关键基础设施安全保护工作，重要的国家标准之一 GB/T39204-2022信息安全技术 关键信息基础设施安全保护要求正式发布。交通、能源、证券期货业等行业和领域主管部门加快推动关保工作在本行业、本领域的落地实施。交通运输部发布公路水路关键信息基础设施安全保护管理办法（征求意见稿），就公路水路的关保工作进行专项规定；国家卫生健康委等部门发布医疗卫生机构网络安全管理办法、中国证监会发布证券期货业网络安全管理办法（征求意见稿）、国家能源局发布电力行业网络安全管理办法（修全球网络安全政策法律发展年度报告（2022）-4-订征求意见稿），将关键信息基础设施运行安全作为重要内容之一。从具体内容来看，细化的制度设计主要围绕深化组织机构设置及人员管理，增设专项评审要求、强调全天候态势感知能力，重视压力测试、攻防演练、应急演练等在风险隐患发现方面的作用，加强供应链风险管理和网络安全事件管理等方面展开，突出行业特性，旨在保障关键信息基础设施的持续稳定运行。（三）（三）全球供应链不稳定因素增多，全球供应链不稳定因素增多，“国产化国产化”成为关键词成为关键词网络空间竞争与博弈的加剧使得网络的互联互通遭遇逆流，逆全球化思潮抬头，“筑墙设垒”“脱钩断链”成为个别国家维护自身科技垄断和霸权地位的工具。美国商务部和国土安全部 2022 年 2 月发布的美国 IT 行业关键供应链评估报告指出“新冠疫情加剧 ICT 供应链结构性风险，ICT 生产诸多领域缺乏国内生态。美国虽然在许多产品的 ICT 发展方面处于领先地位，但印刷电路板和显示器等产品的生产与电子组装越来越集中于中国。”对此，报告建议通过适当激励项目或立法推动，支持国内投资和生产关键信息通信技术产品，包括印刷电路板和半导体。8 月，美国通过2022 年芯片与科学法，拨款 527 亿美元提振本国半导体制造与研发，并通过限制补贴资格来阻止半导体企业在中国新建或扩大产能。欧盟提出芯片法案，将投入超过 430 亿欧元公共和私有资金，用于支持芯片生产、试点项目和初创企业，旨在短期内预测并避免供应链中断，从中期帮助欧盟成为芯片战略市场的领军者。日本总务省网络安全工作组发布修订后的2022 年 ICT 网络安全综合措施，要求提高自主应对网络攻击的能力，加强和培育本土网络安全产业，以降低对他国产品和信息的依赖性。与此同时，“国产化”“供应链韧性”成为关键词。俄罗斯总统普京相继签发俄罗斯联邦第 166 号总统令 确保俄罗斯联邦关键信息基础设施技术独立和安全的措施和第 250 号总统令保障俄罗斯联邦信息安全的补充措施，设定国产化替代目标期限，禁止未经批准采购外国软件和相关服务用于关键信息基础设施重要客体。我国“十四五”数字经济发展规划要求“推动关键产品多元化供给，着力提高产业链供应链韧性，增强产业体系抗冲击能力”。习近平总书记在党的二十大报告中提出进一步指示，要求加强重点领域安全能力建设，着力提升产业链供应链韧性和安全水平，在关系安全发展的领域加快补齐短板，提升战略性资源供应保障能力，严密防范系统性安全风险。全球网络安全政策法律发展年度报告（2022）-5-（四）（四）数据跨境流动新秩序加速构建数据跨境流动新秩序加速构建欧美隐私盾协议无效后，如何构建欧美数据跨境流动新秩序成为双方重点工作之一。3 月，欧盟委员会主席与美国总统拜登发表声明，宣布欧盟和美国已就跨大西洋数据流动的新框架达成“原则性共识”。10 月，拜登签署关于加强美国信号情报活动保障的行政令，对情报监视活动赋予进一步的保障措施，旨在落实 3 月双方发布的框架，为重建有效数据传输机制提供制度支撑。行政令发布后，美国国会研究会发布欧盟-美国数据隐私框架：背景、实施和下一步报告，提出进一步担忧，表示美国白宫在未来有权撤销行政令，一旦行政令撤销，欧盟公民将失去基于行政令获得的保障措施和救济途径。同时，欧洲法院可能认为行政令规定的措施不足以缓解对美国监视的担忧。报告认为欧洲可能会继续要求修订 FISA 第 702 条。同月，英美政府间就获取电子数据打击严重犯罪的协定生效，作为云法案框架下的首份协定，将允许两国执法机构在获得适当授权的情况下，在没有法律障碍的前提下，直接从高科技公司获取与严重犯罪相关的电子数据。我国修订后的网络安全审查办法正式施行，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围。数据出境安全评估办法正式发布，以网络安全法 数据安全法 个人信息保护法为上位法依据，标志着我国探索多年的数据出境安全评估制度落地。办法发布后，北京、江苏、上海等多省市网信部门开通申报和咨询通道，指引数据处理者申报数据出境安全评估。我国司法部发布国际民商事司法协助常见问题解答，进一步明确涉诉数据信息的跨境调取规则。网络安全标准实践指南个人信息跨境处理活动安全认证规范个人信息出境标准合同规定（征求意见稿）相继发布，进一步细化个人信息跨境提供规则。（五）（五）立法威慑和平台责任成为信息内容治理的首选路径立法威慑和平台责任成为信息内容治理的首选路径一直以来，网络空间都是各国塑造国际形象、提升国际影响力的重要舞台。俄乌冲突期间，两国在“舆论战”中的表现充分说明打击外国信息操纵与干扰，强化在线平台，特别是对舆论走势有着强大主导力的大平台非法和有害内容治理能力的重要性。一方面，通过将发布特定类型违法有害信息的行为定义为犯罪，强化法律的全球网络安全政策法律发展年度报告（2022）-6-威慑力。俄罗斯总统普京签署三项修正案，修订俄罗斯联邦刑法典俄罗斯联邦刑事诉讼法典俄罗斯联邦行政违法法典，将军事相关信息的传播纳入刑事规制范畴，明确公开发布俄罗斯联邦武装部队相关虚假信息、诋毁俄罗斯武装力量公开行动及呼吁对俄罗斯进行制裁三类行为的刑罚规则。另一方面，加强平台识别和防范违法有害信息的能力，以及在信息内容治理方面的主体责任。美国网络安全和基础设施安全局发布 准备和减轻针对关键基础设施的外国影响行动，为关键基础设施所有者和运营商如何识别和减轻错误信息、虚假信息和不实信息（MDM）风险提供指导。在美国白宫发布的大型科技平台改革六项原则中，再次呼吁对通信规范法第 230 条进行根本性改革，以限缩对大型科技平台的特殊法律保护。欧盟数字服务法正式通过，要求在欧盟经营的大型门户网站和社交媒体公司必须加强对非法内容的审查，及时删除非法和有害的在线内容，包括仇恨言论、虚假信息和假货交易信息等。同时，欧盟处理恐怖主义内容在线传播条例开始施行,要求网络平台接到成员国当局发出的删除命令后，必须在一小时内删除恐怖主义内容。我国建立健全网络综合治理体系，推动形成良好网络生态。国家互联网信息办公室等部门发布移动互联网应用程序信息服务管理规定 互联网用户账号信息管理规定 互联网弹窗信息推送服务管理规定，要求互联网信息服务提供者落实主体责任，并提出“在互联网用户账号信息页面展示合理范围内的账号的互联网协议地址归属地信息”的要求。（六）（六）网络犯罪打击更加精细，犯罪防治成为重点网络犯罪打击更加精细，犯罪防治成为重点随着勒索攻击、电信网络诈骗等违法犯罪活动持续威胁国家、社会和个人合理利益，各国开始普遍加强网络犯罪打击力度。美国总统拜登签署优化网络犯罪度量法，旨在提升网络犯罪数据可见性、提高网络犯罪打击效率。美国司法部发布2022 年-2026 年战略计划，将提升网络安全和打击勒索攻击作为“保护美国国家安全”的战略目标，并做出将 DOJ 采取扣押或没收手段的勒索攻击结案数量增加 10%的承诺。欧洲刑警组织条例修正案生效，规定“只要是为支持特定正在进行中的犯罪调查，能够在不明确数据主体类别的情况下处理个人数据。”但欧盟数据保护专员公署认为修正案削弱了数据保护基本权利，扩大欧洲刑警组织权力的同时并未建立强有力的数据保护措施。与此同时，各国将网络犯罪预防列为重点工作之一，强调潜在犯罪行为的发全球网络安全政策法律发展年度报告（2022）-7-现与防范。澳大利亚发布2022 年打击网络犯罪国家计划，从预防与保护，调查、打击与起诉，以及恢复三方面提出具体措施，将支持行业发挥领导力，预防网络犯罪威胁。澳大利亚2022 年电信服务提供商（客户身份验证）判定规则生效，要求识别客户高风险交易，保护风险客户，对高风险交易实施多因素身份验证。习近平总书记在党的二十大报告中强调，推动公共安全治理模式向事前预防转型，加强重点行业、重点领域安全监管，加强个人信息保护，依法严惩群众反映强烈的各类违法犯罪活动，在社会基层坚持和发展新时代“枫桥经验”，建设人人有责、人人尽责、人人享有的社会治理共同体。我国正式通过反电信网络诈骗法，着力加强预防性法律制度构建，推动形成全链条反诈、全行业阻诈、全社会防诈的打防管控格局。全国人大常委会 2022 年度立法工作计划也将制定网络犯罪防治法列为预备审议项目之一。（七）（七）后量子密码的后量子密码的“超前性超前性”与人工智能的与人工智能的“适度性适度性”并存并存2022 年，各国政策立法同步推进人工智能、后量子密码、元宇宙、数字货币等未来技术的推动创新与安全治理，尤其注重后量子密码的超前部署，以及强调对人工智能安全治理的“适度性”。一直以来，密码安全问题就是算法构筑的“难解性”与计算能力之间的博弈。但这一传统的攻防关系随着量子计算的成熟而变得不再稳定，量子计算提供的强大计算能力将使现有的绝大部分公钥密码算法被攻破，迄今为止最为有效的“安全屏障”可能不再可靠1。基于此，为预防量子计算对网络安全造成的潜在威胁，美国在后量子密码领域超前布局。国家标准与技术研究院确定了四种后量子加密算法。白宫发布关于加强国家量子倡议咨询委员会的行政命令关于促进美国在量子计算领域领导地位的同时降低易受攻击的密码系统风险的国家安全备忘录，推动美国在量子信息科学方面的举措，同时减轻量子计算对国家和经济安全构成的风险。网络安全和基础设施安全局发布为关键基础设施做好后量子密码准备专项文件，为关键基础设施及政府网络的所有者、运营者向后量子密码转型提供指引。国家安全局发布商业性国家安全算法组件 2.0，提出针对国家安全系统的后量子算法要求。1寰球密码简报（第 50 期）丨量子计算：密码安全的“矛与盾”美国近期关于量子信息科学的持续性政策观察.链接：https:/ 年全球网络安全政策法律内容盘点年全球网络安全政策法律内容盘点（一）（一）网络主权网络主权保障与国际合作保障与国际合作1.1.五眼联盟就俄罗斯对关键基础设施构成的网络威胁发布警报五眼联盟就俄罗斯对关键基础设施构成的网络威胁发布警报4 月 20 日，五眼联盟国家网络安全当局联合发布网络安全警告俄罗斯国家支持的和犯罪团体的网络安全威胁（Russian State-Sponsored and CriminalCyber Threats to Critical Infrastructures），旨在提醒关键基础设施组织，俄罗斯可能会支持更多的恶意网络活动反击其受到的前所未有的经济制裁和美国及其盟友对乌克兰提供的物质支持。警报认为，网络安全威胁主要来源于俄罗斯国家支持的网络行动、俄罗斯阵营的网络威胁团体和俄罗斯阵营的网络犯罪团体。俄罗斯国家支持的网络行动主要源于以下五个政府和军事组织的网络威胁行为者：俄罗斯联邦安全局（FSB）所属的第 16 中心和第 18 中心、俄罗斯外国情报局（SVR）、俄罗斯总参谋部情报总局（GRU）所属第 85 特种服务中心（GTsSS）、俄罗斯总参谋部情报总局特种技术中心（GTsST）、俄罗斯国防部所属中央化学与力学研究所（TsNIIKhM）。警告对上述俄罗斯部门的网络行动类型、特点、攻击目标、技术手段、曾经实施过的网络行动进行列举分析。为此，警告给出预防网络安全事件、加强身份识别和访问管理、强化保护性控制和架构、完善漏洞和配置管理四方面的具体措施清单。警告敦促关键基础设施组织的网络防御者在识别恶意活动时谨慎处理。当检测到潜在 APT 或勒索软件时应当以官方推荐的方式应对，并向适当的网络和执法机构报告网络安全事件。当局强烈反对向犯罪分子支付赎金。2.2.北约发布新北约北约发布新北约 20222022 年战略概念年战略概念6 月 29 日，北约发布新的北约 2022 年战略概念（NATO 2022 StrategicConcept）文件，首次提及中国，强调中国对北约的价值观和安全造成挑战，表示要保持对华建设性的接触。北约战略概念大约每十年更新一次，是北约第二重要的文件。之前的版本在 2010 年的北约里斯本峰会上获得通过。全球网络安全政策法律发展年度报告（2022）-10-此次更新的版本明确北约在未来十年有三大核心任务，即威慑和防御、危机预防与管理、合作安全，将俄罗斯称为北约成员国安全和欧洲大西洋地区和平稳定的“最大且直接的威胁”，称中国对北约构成“系统性挑战”。网络安全方面，北约表示将加快数字化转型，强化北约网络防御、网络和基础设施安全，增加对新兴和颠覆性技术的投资。文件明确保持安全使用和不受限制地进入网络空间是有效威慑和防御的关键。北约将强化在网络空间有效运作的能力，利用所有的可用工具，预防、探测、对抗和应对各种威胁。北约承认国际法在网络空间的适用性，并将促进网络空间负责任行为。我国外交部发言人赵立坚回应称，北约所谓的新“战略概念”文件，罔顾事实，颠倒黑白，顽固坚持对华系统性挑战的错误定位，抹黑中国对外政策，对中国正常的军事发展和国防政策说三道四，鼓动对抗对立，充满冷战思维和意识形态偏见。中方对此严重关切，坚决反对。3.3.美国与以色列发表联合声明美国与以色列发表联合声明/签署谅解备忘录，加强网络安全合作签署谅解备忘录，加强网络安全合作3 月 2 日，美国国土安全部（DHS）和以色列国家网络局（National CyberDirectorate）发布联合意向声明，扩大网络安全和新兴技术领域的合作，增强两国对不断演变的威胁的抵御能力。声明中，双方将合作研发，提高网络安全和恢复能力，打击勒索软件等共享网络威胁，加强关键基础设施网络安全。此外，声明重申将利用两国技术部门创新和创造力的支持进一步加强公私伙伴关系。通过此次合作，双方预期实现以下成果：（1）促进采用高影响力和成熟的网络安全技术；（2）加强网络安全信息共享和能力建设；（3）促进专家交流，加强对网络威胁和技术机遇的合作风险管理。8 月 25 日，美国财政部和以色列财政部（MOF）宣布敲定关于网络安全合作的双边谅解备忘录（MoU），加强以下领域合作：（1）与金融部门有关的信息共享，包括有关事件和威胁的网络安全信息；（2）员工培训和考察访问，以促进网络安全领域的合作；（3）能力建设活动，例如进行跨境网络安全演习。4.4.美国商务部发布全球跨境隐私规则声明美国商务部发布全球跨境隐私规则声明4月21日，美国商务部发布 全球跨境隐私规则声明（Global Cross-Border全球网络安全政策法律发展年度报告（2022）-11-Privacy Rules Declaration）。美国、加拿大、日本、大韩民国、菲律宾、新加坡、中国台湾正式对外宣告成立全球跨境隐私规则（Cross-Border PrivacyRules，简称 CBPR）论坛。这一举动本质上是将亚太经合组织（APEC）框架下的CBPR 体系转变成一个全球所有国家都可以加入的体系。根据声明，全球 CBPR 论坛的目标是：（1）在 CBPR 和处理者隐私认可（PRP）系统的基础上建立一个国际认证系统；（2）通过推广 CBPR 和 PRP 系统，支持数据的自由流动和有效的数据保护和隐私；（3）提供一个论坛，就相关事宜进行信息交流和合作；（4）定期审查成员的数据保护和隐私标准，以确保项目要求与最佳实践相一致；（5）促进与其他数据保护和隐私框架的互操作性。5.5.美国发布互联网未来宣言美国发布互联网未来宣言4 月 28 日，美国及其拉拢的 60 个国家及地区联合发布互联网未来宣言（A Declaration for the Future of the Internet）。宣言的签署者包括英国、加拿大、以色列、中国台湾、乌克兰等美国军事盟友及经济伙伴，也是拜登政府继其 2021 年底组织民主峰会后，再次打着美西方价值观旗号破坏冷战后国际秩序的又一新动作。宣言列出了旨在维护“自由与开放互联网”的五项主张二十二个措施，包括：（1）保护人权和基础自由提升网络安全并继续打击网络暴力、推进互联网安全与平等使用、重申打击非法网络有害内容及活动的承诺、约束互联网及算法工具的滥用；（2）全球性互联网限制政府下令的互联网封锁、限制对合法内容的屏蔽、推动符合美西方价值观的信息自由流动、加强研发合作及标准制订、鼓励安全威胁信息共享；（3）包容性和可承受的互联网推动可承受、包容性及可靠的网络访问、支持数字技能获得与提升、培养网络的多样性文化及多语种内容信息资讯；（4）数字生态系统中的信任合作打击网络犯罪、保护个人隐私及数据、提倡和使用可靠的网络基础设施及服务提供商、支持基于规则的全球性数字经济；（5）互联网多边治理保护和强化互联网多边治理体系、打击旨在削弱互联网技术基础设施的行为。对此，我国外交部发言人赵立坚表示，不论是搞所谓的“互联网未来联盟”还是互联网未来宣言，都掩盖不了美国及一些国家在互联网问题上的政策本全球网络安全政策法律发展年度报告（2022）-12-质，即以意识形态划线，煽动分裂和对抗，破坏国际规则，并试图将自己的标准强加于人。这份所谓的 宣言 就是分裂互联网，挑动网络空间对抗的最新例证。美方这一行径，不管如何包装，其实还是新瓶装旧酒。美方以“民主”为借口对早已不得人心的“清洁网络计划”改头换面，企图搞封闭排他的“小圈子”。网络空间是人类共同的活动空间，网络空间的未来应由世界各国共同掌握。6.6.美国三部门联合发布警报美国三部门联合发布警报，披露中国国家支持的网络行为者积极利用的顶级披露中国国家支持的网络行为者积极利用的顶级漏洞漏洞10 月 6 日，美国国家安全局（NSA）、网络安全和基础设施安全局（CISA）和联邦调查局（FBI）发布联合网络安全咨询文件中国国家支持的网络行为者积极利用的顶级漏洞（Top CVEs Actively Exploited By Peoples Republicof China State-Sponsored Cyber Actors），披露自 2020 年以来中国国家支持的网络行为者积极利用的常见漏洞，涵盖远程执行代码、任意文件读取、通过欺骗绕过身份验证等漏洞类型。警报对组织提出一系列网络安全建议，包括：（1）尽快更新并修补系统，优先修补警报中发现的漏洞和其他已知的被利用漏洞；（2）尽可能采用多因素身份验证，要求所有帐户拥有唯一的强密码，若有迹象表明密码已泄露，立即更改密码；（3）拦截过时或未使用的网络协议；（4）升级或更换停产设备；（5）转向零信任安全模型。7.7.美韩发表联合声明，将加强网络安全合作美韩发表联合声明，将加强网络安全合作5 月 21 日，美国白宫发布 美韩领导人联合声明（United States-Republicof Korea LeadersJoint Statement）。声明指出，双方致力于捍卫人权并建立一个开放的互联网，以确保全球信息的自由流动。为实现这一目标，韩国准备与美国一道签署互联网未来宣言。双方还将继续深化韩美在地区和国际网络政策方面的合作，包括加强在威慑网络对手、关键基础设施安全、打击网络犯罪和相关洗钱犯罪、保护加密货币和区块链应用、能力建设、网络演习、信息共享等方面的合作。全球网络安全政策法律发展年度报告（2022）-13-8.8.美日印澳发表联合声明，将采取集体措施加强网络安全美日印澳发表联合声明，将采取集体措施加强网络安全5 月 24 日，美国、日本、印度和澳大利亚举行“四方安全对话”（Quad）会议，发布Quad 联合领导人声明（Quad Joint LeadersStatement）。声明指出，在日益数字化且网络威胁复杂的世界中，四方认识到迫切需要采取集体方法来加强网络安全。为了实现四方领导人关于自由和开放的印太地区的愿景，四方承诺通过共享威胁信息、识别和评估数字产品和服务供应链中的潜在风险来改善国家关键基础设施防御，以及调整政府采购的基线软件安全标准，利用集体购买力改善更广泛的软件开发生态系统，使所有用户都能受益。四国将建立有弹性的网络安全体系，其中澳大利亚将牵头推动对关键基础设施的保护，印度将牵头改善供应链弹性和安全，日本将牵头发展网络安全劳动力，美国则将牵头制定软件安全标准。这些工作将以新的联合网络原则为指导，而该原则的目标是防范网络事件，使各国及国际社会为潜在的网络事件做好准备，并在发生网络事件时快速有效地作出回应。四国还将加强 CERT 之间的信息共享，并通过协调四国政府软件采购机制中的网络安全标准来提高软件及托管服务提供商的安全水平。9.9.美国和乌克兰签署合作备忘录，扩大网络安全合作美国和乌克兰签署合作备忘录，扩大网络安全合作7 月 27 日，美国网络安全和基础设施安全局（CISA）和乌克兰国家特别通信和信息保护局（SSSCIP）签署合作备忘录，将从由美国及其西方盟友提供支持的对俄军事网络对抗层面，扩展至关键基础设施网络安全保护、网络威胁情报共享、网络攻击响应信息共享、加强与私营网络安全公司合作、网络安全联合研究及演练、联合网络安全项目实施等新领域。10.10.英美政府间就获取电子数据打击严重犯罪的协定生效英美政府间就获取电子数据打击严重犯罪的协定生效10 月 3 日，英美两国于 2019 年 10 月 3 日签署的英美政府间就获取电子数据打击严重犯罪的协定（Agreement between the Government of the UnitedStates of America and the Government of the United Kingdom of Great Britainand Northern Ireland on Access to Electronic Data for the Purpose ofCountering Serious Crime）正式生效。全球网络安全政策法律发展年度报告（2022）-14-协定允许美国和英国的执法机构在获得适当授权的情况下，在没有法律障碍的前提下，直接从高科技公司获取与严重犯罪相关的电子数据，包括恐怖主义、儿童性虐待和网络犯罪。具体内容方面，协定基本延续云法案的相关规定：（1）指令程序。签发国指定机构直接向服务提供商发出指令，服务提供商提供的信息直接提供给签发国指定机构；（2）指令目标。仅限于获取与严重犯罪预防、侦查、调查和起诉相关的信息，必须针对特定账户，并将特定个人、账户、地址、个人设备或其他特定标识符确定为指令目标。指令有权要求拦截无线或有线通信及相关延伸活动，但要求限定在固定且有限的周期内，不应超出实现指令目的合理必要的时间，且只有当同一信息不能以更为温和的方式合理获取时才能发布该指令；（3）使用限制。未经接收方同意，签发国不能将数据转移给第三方政府或国际组织，除非根据接收方国内法，该数据已经依法公开；（4）执行异议。收到指令的提供者有合理理由认为协定不能妥善适用于该指令时，有权提出具体异议。异议应在收到指令后的合理时间内向签发国指定机构提出。收到异议后，指定机构应作出回应。若异议未得到解决，双方同意的情况下，提供者可将该异议提交至接收方指定机构。双方指定机构可为解决此类异议进行协商，并定期或在必要时举行会晤，以讨论和解决本协定下提出的任何问题；（5）执行审查。在协定生效一年内以及之后定期，双方应对每一方的协定遵守情况进行审查，审查内容包括指令的发出和传输是否满足本协定目的和条款要求，根据指令获取的数据处理情况以确定协定下的程序是否需要调整。11.11.日澳签署新日澳安全保障联合宣言日澳签署新日澳安全保障联合宣言10 月 22 日消息，日本与澳大利亚近日签署新的 日澳安全保障联合宣言。宣言指出，未来 10 年，两国将继续积极致力于深化和扩大双边全面关系，加强在网络、太空、重要新兴技术、电信等领域的相关合作，构建包容且透明的制度、规范及标准。两国将共同努力，保持开放、自由、安全的技术环境；加强网络防御，提高对网络威胁的共识。12.12.中俄发表联合声明，重申将深化国际信息安全领域协作中俄发表联合声明，重申将深化国际信息安全领域协作2 月 4 日，中俄两国元首举行会谈，发表中华人民共和国和俄罗斯联邦关全球网络安全政策法律发展年度报告（2022）-15-于新时代国际关系和全球可持续发展的联合声明，集中阐述中俄在民主观、发展观、安全观、秩序观方面的共同立场，其中包括数字经济、国际科技发展环境、国际信息安全领域协作等方面的合作发展规划。双方重申将深化国际信息安全领域协作，推动构建开放、安全、可持续、可及的信息通信技术环境。双方强调联合国宪章确立的“不使用武力、尊重国家主权和基本人权及自由、不干涉内政”等原则适用于信息空间，重申联合国在应对国际信息安全威胁领域的关键作用，支持联合国制定该领域新的国家行为准则。双方认为应联合国际社会制定信息网络空间新的、负责任的国家行为准则，包括具有法律效力的规范各国信息通信技术领域活动的普遍性国际法律文件。双方认为由中方提出、俄方原则支持的全球数据安全倡议为工作组讨论制定数据安全等国际信息安全威胁的应对措施提供了基础。双方支持打造国际化的互联网治理体系，认为各国平等享有互联网治理权，主权国家有权管控和保障本国网络安全，任何企图限制国家网络主权的行为不可接受，应促进国际电信联盟在解决有关问题上发挥更加积极的作用。两国有关部门还签署信息化和数字化领域合作协议等一系列重点领域合作文件。13.13.“中国中国 中亚五国中亚五国”数据安全合作倡议发布数据安全合作倡议发布6 月 8 日，“中国 中亚五国”外长第三次会晤举行，会晤通过“中国 中亚五国”数据安全合作倡议。倡议指出，中国 中亚五国欢迎国际社会在支持多边主义、兼顾安全发展、坚守公平正义的基础上，为保障数据安全所作出的努力，愿共同应对数据安全风险挑战并在联合国等国际组织框架内开展相关合作。中亚各国支持中方提出的全球数据安全倡议。倡议指出，在遵守国内法和国际法基础上，各方建议各国及各主体：就防范全球信息安全所面临的挑战和威胁，保障数据安全，开展协调行动与合作；增进在保障数据安全和使用信息技术领域的互信；应以事实为依据全面客观看待数据安全问题，积极维护全球信息技术产品和服务的供应链开放、安全、稳定；各国应尊重他国主权、司法管辖权和对数据的安全管理权，未经他国法律允许不得直接向企业或个人调取位于他国的数据。全球网络安全政策法律发展年度报告（2022）-16-14.14.中国国家互联网信息办公室与泰国国家网络安全办公室签署网络安全合作中国国家互联网信息办公室与泰国国家网络安全办公室签署网络安全合作谅解备忘录谅解备忘录7 月 5 日，我国国家互联网信息办公室与泰王国国家网络安全办公室签署关于网络安全合作的谅解备忘录，双方同意进一步加强网络安全领域交流合作，维护网络空间稳定。15.15.中国国家互联网信息办公室与印尼国家网络与密码局签署网络安全合作行中国国家互联网信息办公室与印尼国家网络与密码局签署网络安全合作行动计划动计划7 月 29 日消息，我国国家互联网信息办公室近日与印尼国家网络与密码局签署网络安全合作行动计划，双方将在 2021 年签署的关于发展网络安全能力建设和技术合作的谅解备忘录 基础上，进一步深化两国网络安全能力建设合作。16.16.中国全面推进加入数字经济伙伴关系协定谈判中国全面推进加入数字经济伙伴关系协定谈判8 月 22 日，我国商务部新闻发言人表示，中国加入数字经济伙伴关系协定（DEPA）工作组已正式成立，意味着我国全面推进加入 DEPA 的谈判。工作组将由 DEPA 成员政府代表组成，智利担任主席，在工作组框架下与中国开展磋商，推进中国加入进程。中方将在加入工作组框架下，全面做好加入 DEPA 的准备，与 DEPA 成员开展实质性谈判，持续推进加入进程。DEPA 由新西兰、新加坡、智利于 2019 年 5 月发起、2020 年 6 月签署，是全球首份数字经济区域协定。2021 年 11 月 1 日，商务部部长王文涛代表中国正式提出加入申请。17.17.中国证监会、财政部与美国监管机构签署审计监管合作协议中国证监会、财政部与美国监管机构签署审计监管合作协议8 月 26 日，中国证券监督管理委员会、财政部与美国公众公司会计监督委员会（PCAOB）签署审计监管合作协议，将于近期启动相关合作。中国证监会表示，近年来，我国数据安全法个人信息保护法等信息安全相关法律法规陆续施行，相关市场主体的信息安全责任更加明确，操作上更加有章可循。企业无论上市与否，都有义务严格遵守本国法律法规。近期中国证监会等部门完善了境外上市相关保密和档案管理规定，对规范审计工作底稿信全球网络安全政策法律发展年度报告（2022）-17-息安全管理提出明确要求，进一步落实上市公司信息安全的主体责任，同时为上市企业和会计师事务所依法依规保管和处理涉密敏感信息提供了更加细化和可执行的指引，有助于在满足会计审计要求的前提下做好底稿编制工作，并依法保护相关信息安全。合作协议对于审计监管合作中可能涉及敏感信息的处理和使用作出明确约定，针对个人信息等特定数据设置专门的处理程序，为双方履行法定监管职责的同时保护相关信息安全提供可行路径。18.18.美国白宫发布提升国家安全、国防和情报系统网络安全备忘录美国白宫发布提升国家安全、国防和情报系统网络安全备忘录1 月 19 日，美国总统拜登签署提升国家安全、国防和情报系统网络安全备忘录（Memorandum on Improving the Cybersecurity of National Security，Department of Defense，and Intelligence Community Systems，简称 NSM）。NSM 旨在落实第 14028 号行政令改善国家网络安全，设定国家安全系统的多项网络安全新要求，强化国家安全局（NSA）、国防部、情报机构和其他联邦机构的网络安全保护能力，推进新形势下网络安全防御现代化。总体来看，NSM从明确网络安全技术落地应用时间表与指引、强化 NSA 对国家安全系统的管理与指导地位、确保跨域解决方案安全性、提升网络安全风险感知能力、构建国家安全系统云技术网络安全和事件响应协作机制、引入基于特殊任务需求的例外情况等六大维度，加强网络安全保障，细化国家安全系统网络安全标准。19.19.美国美国 BISBIS 发布信息安全管制：网络安全物项发布信息安全管制：网络安全物项5 月 26 日，美国商务部工业和安全局（BIS）公布一项针对网络安全物项出口管制的最终规则信息安全管制：网络安全物项（Information SecurityControls:Cybersecurity Items），自发布之日起生效。2021 年 10 月，BIS曾发布这一规则的暂行规定，此次发布的是最终版本。新规主要包括以下内容：（1）出于国家安全与反恐原因，对“可用于监视、间谍活动或其他破坏、瘫痪或损害网络或设备”的特定网络安全物项引入新的出口管制措施。其中，网络安全物项主要是针对“入侵软件”相关的实物、软件和技术，出口管制措施指出口上述网络安全物项至因国家安全或反恐而受到出口管制的区域的，原则上需要向 BIS 申请许可证；（2）修订经授权的网络安全出口全球网络安全政策法律发展年度报告（2022）-18-许可例外机制，即 ACE 许可例外机制。ACE 许可例外机制允许向大多数目的地和最终用户出口、再出口和转移“网络安全物项”，但在出口目的地限制、政府最终用户限制、非政府最终用户限制和最终用途限制情形下，不能适用 ACE 许可例外，仍然需要向 BIS 申请许可证。此次发布的最终规则明确“密码分析程序、网络渗透工具、自动网络漏洞分析和响应工具等技术”不能适用 ACE 许可例外；（3）为回应公众对 2021 年 10 月暂行规定的意见，最终规则中添加符合“政府最终用户”定义的详细说明清单，进一步澄清和明确 ACE 许可例外中“政府最终用户”的定义。清单中包括“更敏感的政府最终用户”和“不太敏感的政府最终用户”等类别。20.20.美国白宫发布关于管理美国白宫发布关于管理 20242024 财年预算网络安全优先事项的备忘录财年预算网络安全优先事项的备忘录7 月 22 日，美国白宫发布 关于管理 2024 财年预算网络安全优先事项的备忘录（Administration Cybersecurity Priorities for the FY 2024 Budget，M-22-16），概述了联邦民事行政部门（Federal Civilian Executive Branch，简称 FCEB）向管理和预算办公室（OMB）提交的 2024 年财政预算中应明确的网络安全优先事项。备忘录指出，预算重点包括三个优先事项：提高政府网络防御能力和弹性、深化关键基础设施防御的跨部门合作、加强数字化未来的基础。对于第一个优先领域，FCEB 应在其预算中优先考虑信息技术现代化和实施零信任；对于第二个优先领域，预算应确保部门风险管理机构有足够的资源履行2021 财年国防授权法规定的职责；对于第三个优先领域，各机构应优先考虑人力资本、有形基础设施和供应链风险管理。OMB 将与国家网络总监办公室（Office of theNational Cyber Director,ONCD）联合审查联邦机构在这些优先事项上的进展，确定潜在差距及解决方案。OMB 还将与 ONCD 协调，向机构提供反馈，说明优先事项是否得到充分解决，以及是否与总体网络安全战略相一致。21.21.美国正式通过美国正式通过20222022 年芯片与科学法年芯片与科学法8 月 9 日，美国总统拜登签署2022 年芯片与科学法（CHIPS and ScienceAct of 2022），使其正式成为法律。全球网络安全政策法律发展年度报告（2022）-19-该法主要分为三部分：A 部分为聚焦于半导体产业的 2022 年美国芯片法，其中芯片基金宏观分配管理、联邦财政补助管理配套、联邦财政补助禁令规定、投资税收抵免相关规定与我国半导体产业发展息息相关；B 部分为普适于其他诸多行业关键学科的研发、竞争和创新法，其中美国研发创新资金投入、“美国制造”禁令规定、外国人才招募禁令规定、针对中国的研究安全限制性规定与竞争条款亟需警醒；C 部分为2022 年最高法院安全资金法，与半导体无直接关联。同日，白宫发布简报将降低成本、创造就业、增强供应链并对抗中国（CHIPS and Science Act Will Lower Costs,Create Jobs,Strengthen Supply Chains,and Counter China），表示新法将致力于实现以下目标：（1）巩固美国在半导体领域的领导地位；（2）促进美国在无线供应链方面的创新；（3）推进美国在未来技术方面的全球领导地位；（4）促进区域经济增长和发展；（5）为更多的美国人提供 STEM 机会，让其参与高薪的技术工作；（6）在 STEM 和创新方面为全美国创造机会和公平。2022 年芯片和科学法中包含了“护栏条款”，即接受资助的公司至少10 年内不能在中国或其他“令人担忧的国家”进行新的高科技投资，除非它们生产的是技术含量较低的成熟制程芯片，只为当地市场服务。22.22.美国发布美国发布20222022 年美国芯片与科学法：芯片资金战略年美国芯片与科学法：芯片资金战略9 月 6 日，为落实2022 年芯片和科学法，美国商务部发布2022 年美国芯片与科学法：芯片资金战略（CHIPS for AMERICA：A Strategy for the CHIPSfor AMERICA Fund），落实拨给“美国芯片基金”计划的 500 亿美元。战略显示，上述 500 亿美元资金中，约 280 亿美元将用于资助建立先进制程芯片的制造和封装设施，约 100 亿美元将用于扩大在汽车等领域使用的成熟制程芯片制造，另外约 110 亿美元计划投入到半导体领域研发。通常认为，28 纳米及以下的制程属于先进制程。美国商务部部长雷蒙多表示，根据该战略，美国将在半导体领域建立“护栏”以确保那些获得资助的企业不会将最新技术送到海外，从而危及美国国家安全。如果获得资助的企业和机构未能履行某些承诺，商务部将“毫不犹豫地收回全球网络安全政策法律发展年度报告（2022）-20-资金”。商务部的目标是在明年 2 月前开始向相关企业收集资金申请，并可能在明年春天开始拨款。申请者必须“以资本投资财务披露的形式”提供证据，证明所寻求的资金对于进行投资是“绝对必要的”。9 月 20 日，白宫宣布成立 CHIPS 美国办公室，负责落实 500 亿美元投资。办公室的具体职位将设在白宫和商务部，并披露了办公室主要成员，包括在大型项目管理、财务和政府问责需求方面有经验的高管。23.23.美国美国 BISBIS 宣布对宣布对 ECADECAD 软件实施出口管制软件实施出口管制8 月 15 日，美国商务部工业和安全局（BIS）发布的落实 2021 年瓦森纳协定第 1758 条第四项技术的某些决定（Implementation of Certain 2021Wassenaar Arrangement Decisions on Four Section 1758 Technologies）正式生效。BIS 将通过修订 5 个美国出口管制编码（又称：ECCN）以及增加 1 个新的ECCN，以实施对四种技术的出口管制。四种管制技术中最受瞩目的是：“专门设计”用于“开发”具有任何“Gate-All-Around Field-Effect Transistor”（GAAFET）结构的集成电路（IC）的计算机辅助电子设计软件（ECAD 软件）。BIS 为该技术增加了新 ECCN 编码，即：3D006。BIS 认为，ECAD 软件是一类用于设计、分析、优化和测试集成电路或印刷电路板性能的电脑软件，被用于军事和航空航天防御的各种应用中设计复杂的集成电路。而 GAAFET 技术方法是实现 3 纳米及以下技术节点的关键，该技术可以使生产更快、更节能、更耐辐射的集成电路成为可能，可推进许多商业及在国防和通讯卫星的军事应用。因此，新增管制 ECAD 软件意味着美方旨在限制专门设计用于开发 3 纳米及以下技术节点关键的 GAAFET 结构的集成电路的设计软件的出口、再出口、在美国以外的一国国内转让的行为。24.24.美国白宫发布关于实施美国白宫发布关于实施 20222022 年芯片与科学法的行政令年芯片与科学法的行政令8 月 25 日，美国白宫发布关于实施 2022 年芯片与科学法的行政令（Executive Order on the Implementation of the CHIPS Act of 2022），落实2022 年美国芯片与科学法中 527 亿美元半导体制造与研发补助，设置六全球网络安全政策法律发展年度报告（2022）-21-大优先事项，包括保护纳税人资金、满足经济与国家安全需求、确保半导体领域长期领导地位、做强做大区域制造业与创新集群、促进私营部门投资、为广泛利益相关者和社区创造利益等。25.25.美国白宫发布美国白宫发布 关于确保外国投资委员会考虑不断演变的国家安全风险的行关于确保外国投资委员会考虑不断演变的国家安全风险的行政令政令9 月 15 日，美国白宫发布关于确保美国外国投资委员会认真考虑不断演变 的 国家安全风险的行政 令（Executive Order on Ensuring RobustConsideration of Evolving National Security Risks by the Committee onForeign Investment in the United States）。这是 1975 年外国投资委员会（CFIUS）成立以来，首份针对国家安全因素进行界定和部署的行政令。行政令指出，由于交易中可能会涉及外国主体（包括外国政府）的法律环境、意图或能力，即使是出于商业目的的经济交易，如果直接或间接涉及外国对手或特别关注的其他国家的投资，仍然可能会给美国国家安全带来不可接受的风险。为此美国政府要继续应对这些不断演变的风险，包括对美国企业的外国投资进行严格审查。根据行政令，CFIUS 应考虑任何外国交易在四个领域的影响，以使 CFIUS更好地与拜登政府的国家安全优先事项保持一致：关键供应链弹性、技术领先地位、网络安全和敏感个人数据。网络安全方面，行政令指出，对美国来说，重要的是确保外国对美国企业的投资不会削弱美国网络安全。包括有能力和意图实施网络入侵或其他恶意网络活动的海外投资，例如旨在影响联邦、州、部落、地方或地区办公室选举结果的活动、威胁美国关键基础设施运营或影响美国通信的机密性、完整性或可用性，可能会对国家安全构成风险。国会在 外国直接投资法第 1702（c）（6）条中，将“加剧或创造新的网络安全漏洞”确定为 CFIUS 在考虑所管辖交易产生的国家安全风险时应考虑的因素。数据安全方面，行政令指出，CFIUS 应考虑在有权访问或存储美国人的敏感数据（包括健康和生物数据）的美国企业中的海外投资，海外投资者可能会采取行动威胁美国国家安全，与其相关的第三方也可能导致该交易构成这种威胁。全球网络安全政策法律发展年度报告（2022）-22-26.26.美国白宫发布关于加强美国信号情报活动保障的行政令美国白宫发布关于加强美国信号情报活动保障的行政令10 月 7 日，美国白宫发布关于加强美国信号情报活动保障的行政令（Executive Order On Enhancing Safeguards For United States SignalsIntelligence Activities），指示美国将采取的步骤，以落实拜登总统和欧盟委员会主席冯德莱恩于2022年3月宣布的美国在欧盟-美国数据隐私框架（EU-USDPF）下的承诺。行政令主要规定以下内容：（1）为美国的信号情报活动增加进一步保障措施，要求进行这类活动只能出于明确的国家安全目标；只在为推进有效的情报优先事项所必需时进行，并且只在与该优先事项相称的范围和方式下进行。同时，考虑到所有人的隐私和公民自由，无论其国籍或居住国如何；（2）规定通过信号情报活动收集的个人信息的处理要求，并扩大法律、监督和合规官员的责任，以确保采取适当行动来纠正不合规事件；（3）要求美国情报界人士更新政策和程序，以反映行政令中包含的新的隐私和公民自由保障措施；（4）建立多层机制，使符合条件的国家和区域经济一体化组织的个人获得独立和有约束力的审查，在认为其个人数据被美国信号情报部门以违反美国法律的方式收集时，能够寻求补救；（5）呼吁隐私和公民自由监督委员会审查情报界的政策和程序，以确保其符合行政令，并对补救程序进行年度审查。这些步骤将为欧盟委员会提供基础，以支撑通过关于欧美数据跨境流动新的充分性决定。它还将为使用标准合同条款和具有约束力公司规则将欧盟个人数据转移到美国的公司提供更大的法律确定性。27.27.美国白宫发布国家安全战略美国白宫发布国家安全战略10 月 12 日，美国政府发布新版国家安全战略（National SecurityStrategy），重申加强国家数字防御和打击网络犯罪分子的承诺。战略详细说明为加强国家网络安全所采取的一系列措施，并粗略提到外国对手所构成的网络威胁挑战。战略提出：（1）美国正在与盟友和合作伙伴密切合作，为关键基础设施制定标准，以快速提高网络弹性，并建立集体能力以快速响应攻击；（2）建立创新的合作伙伴关系，以扩大执法合作，打击网络犯罪分子及其网络洗钱活动，应全球网络安全政策法律发展年度报告（2022）-23-对来自犯罪分子的破坏性网络攻击；（3）致力于加强规范以减轻网络威胁并增强网络空间的稳定性，目标是阻止来自国家和非国家行为者的网络攻击，并将使用所有适当的国家力量工具果断地应对网络空间中的敌对行为，包括破坏或削弱重要国家职能或关键基础设施的行为；（4）将继续推动遵守联合国大会批准的负责任国家网络空间行为框架；（5）通过跟踪、归因和防御网络空间中恶意行为者的活动来保护投资并增强弹性；（6）在军事方面投资于一系列先进技术，包括在网络和太空领域、导弹打击能力、可信 AI 和量子系统的应用，同时及时向战场部署新能力；（7）将包括网络空间在内的军事领域和包括信息技术在内的非军事领域进行整合，以实施综合威慑；（8）将制定道路规则，包括迫切需要更新技术、网络空间、贸易和经济的道路规则；（9）将优化国家治理方式，包括强化网络外交、对新兴技术的关注和网络安全服务。此外，战略强调了一个观点，即美国的领导力是克服所谓“全球威胁”的关键。关于该战略中的中国部分，拜登政府声称“将优先考虑保持对中国的持久竞争优势，同时约束仍然非常危险的俄罗斯”，还宣称“中国是唯一一个既有重塑国际秩序意图的竞争者，也逐渐拥有经济、外交、军事和科技力量来日益推进这一目标”。此外，战略声称“未来十年是美国与中国竞争的决定性十年”。28.28.美国商务部发布临时最终规则美国商务部发布临时最终规则10 月 13 日，美国商务部工业与安全局（BIS）的临时最终规则实施额外出口管制：特定先进计算和半导体制造物项、超级计算机和半导体最终用途、实体清单修改（Implementation of Additional Export Controls:CertainAdvanced Computing and Semiconductor Manufacturing Items;Supercomputerand Semiconductor End Use;Entity List Modification）在联邦公报上正式公布，并开始为期 60 天的意见征询期，持续到 2022 年 12 月 12 日。该规则修订出口管理条例（EAR），聚焦“高性能计算芯片和超级计算机”出口，于 2022年 10 月 7 日、12 日和 21 日分阶段生效，要点包括：一是在商业控制清单（CCL）中新增多个半导体管制物项。新列入 EAR管制范围的物项主要有高性能计算芯片（3A090），包含高性能计算芯片的计算机、电子组件或元件（4A090），开发生产前述计算机、电子组件或元件的专用全球网络安全政策法律发展年度报告（2022）-24-软件（4D090）及特定先进半导体制造设备（3B090）等。BIS 将“区域稳定”（RS）新列为针对我国的出口管制原因，对上述物项向我国出口许可的申请明确采取“推定拒绝”政策除非适用“部件和设备的维修更换”等许可例外，新增半导体物项出口、再出口、转移（国内）或视为出口至我国主体前，要向美国商务部申请许可。此处管制逻辑为“特定物项不特定最终用途、用户”。二是引入三项外国直接产品（FDP）规则，扩大域外管辖范围。引入“先进计算”与“超级计算机”FDP 规则若特定外国（如中国或第三国）制造的先进计算物项和超级计算机物项是受美国出口管理条例（EAR）管辖的特定 19项 ECCN 编码所规定规格技术或软件的直接产品，或制造该物项的主要生产设备或其组件是美国原产技术和软件的直接产品，且用于中国集成电路晶圆生产或中国超级计算机研发等用途，那么该外国制造物项适用“推定拒绝”审查政策，出口至我国要向美国商务部申请许可。三是强化对“超级计算机”和我国半导体制造最终用途的管制。满足特定条件的半导体设备，对于中国大陆晶圆厂的出口受到限制，主要影响 18 纳米或以下的 DRAM 芯片、128 层或以上的 NAND 闪存芯片、14 纳米或以下的逻辑芯片等。设备的出口需要申请许可证与严格审查。为减少新规对半导体供应链的短期影响，BIS 正在建立一个临时通用许可证（Temporary General License），以允许在中国境内进行特定、有限且与在中国境外使用产品相关的制造活动，且 BIS 正在确认可用于合规性程序、协助开展尽职调查的示范认证（model certificate）。29.29.欧盟委员会提出芯片法案欧盟委员会提出芯片法案2 月 8 日，欧盟委员会提出 建立加强欧洲半导体生态系统措施框架的法规提案（Proposal for a Regulation establishing a framework of measuresfor strengthening Europes semiconductor ecosystem），简称芯片法案（Chips Act）。法案指出欧盟将投入超过 430 亿欧元公共和私有资金，用于支持芯片生产、试点项目和初创企业。其中 110 亿欧元用于加强现有研发和创新，确保部署先进的半导体工具以及用于原型设计、测试的试验生产线等。到 2030年，欧盟计划将在全球芯片生产的份额从目前的 10%增加到 20%。全球网络安全政策法律发展年度报告（2022）-25-法案将确保欧盟拥有必要的工具、技能和技术能力，实现包括先进芯片设计、制造、封装等方面的提升，以保证欧盟地区的半导体供应链稳定并减少外部依赖。法案主要提出三方面内容：1）提出“欧洲芯片倡议”，即通过汇集来自欧盟、成员国和现有联盟相关第三国和私营机构资源力量，组建“芯片联合事业群”，提供 110 亿欧元用于加强现有研究、开发和创新；2）建设新的合作框架，即通过吸引投资和提高生产力来确保供应安全，以提高先进制程芯片供应能力，通过提供基金为初创企业提供融资便利；3）完善成员国与委员会之间的协调机制，通过收集企业关键情报以监控半导体价值链，建立危机评估机制，以实现半导体供应、需求预估和短缺情况的及时预测，从而能够迅速地做出反应。10 月 10 日，欧盟委员会与 27 个成员国联合发起关于半导体价值链的磋商，旨在从半导体供应链中的公司和依赖半导体提供产品或服务的公司处收集意见、证据和数据。本次咨询将持续到 11 月 11 日，是朝着建立风险评估、提高价值链透明度和抵御潜在风险的能力以及使决策者能够正确应对半导体短板迈出的第一步。咨询的结果将有助于为芯片法案中提出的监管机制指明方向，比如确定适当的早期预警指标，以预测半导体供应链的未来短缺并防止半导体危机。30.30.英国国防部发布国防网络弹性战略英国国防部发布国防网络弹性战略5 月 9 日，英国国防部发布国防网络弹性战略（Cyber ResilienceStrategy for Defence），概述国防部建立更强大国防网络弹性的愿景。战略明确七个战略重点，分别是设计安全；治理、风险和合规性；快速检测和响应；人员与文化；工业；安全基础；实验、研究和创新。战略的实施将采用以下指导原则：适应性方法；安全且有弹性；全力以赴；协作、整合和凝聚力。战略的实现途径包括：（1）构建安全的数字骨干网；（2）成功交付防御性网络计划；（3）关注网络安全的装备能力计划，以确保防御设计的安全；（4）嵌入现代安全工作方式；（5）转向与行业建立新的安全关系；（6）加速用于采购网络能力的敏捷商业结构；（7）在国防部内部开发和雇用具有适当网络技能的劳动力；（8）在战略贡献者的组织内建立网络防御组织；（9）创建和测试运营弹性计划；（10）为网络弹性的各个方面制定明确和商定的问责制。全球网络安全政策法律发展年度报告（2022）-26-31.31.英国内政部提出国家安全法案英国内政部提出国家安全法案5 月 11 日，英国内政部提出国家安全法案（National Security Bill）。内政部表示，外国对英国的敌对活动威胁正在增加。这些威胁持续存在且形式多样，包括间谍活动、外国对政治体系的干预、破坏、虚假信息、网络行动等。英国必须能够阻止、发现和干扰那些试图通过暗中行动损害英国国家利益、敏感信息、商业机密和民主生活方式的国家行为者。法案拟议措施主要包括：改革现有的间谍法；打击国家支持的破坏活动和外国干涉的新罪行；强化警察在调查国家威胁活动方面的权力；提供权力，允许在早期阶段解决国家威胁；引入新的最后手段，约束那些造成威胁但尚未达到检控门槛的个人。法案新增“蓄意破坏罪”（Sabotage）和“外国干涉罪”（ForeignInterference）。“蓄意破坏罪”旨在解决由国家支持的对英国资产造成的严重威胁，包括对英国安全或利益至关重要的场所、数据和基础设施的攻击。“外国干涉罪”旨在打击外国干涉活动。如果外国势力通过秘密影响、虚假信息和攻击英国选举进程，不恰当地干预英国民主和公民社会，将构成犯罪。同时，法案将预备行为纳入约束范围，对那些准备实施构成国家威胁犯罪和其他有害活动的人进行刑事定罪。10 月 18 日，公共法案委员会（Public Bill Committee）完成对国家安全法案的修订，目前法案仍处于下议院报告阶段。修正案的内容包括：（1）删除“报告来自外国势力的虚假信息”；（2）国务卿必须任命个人或机构负责审查来自外国势力的虚假信息对国家安全构成威胁或潜在威胁的程度；（3）根据前款进行的审查，必须包括外国对选举干预程度的评估。32.32.意大利发布首个国家网络安全战略及战略实施计划意大利发布首个国家网络安全战略及战略实施计划5 月 25 日，意大利政府发布2022 至 2026 年意大利国家网络安全战略（STRATEGIA NAZIONALE DI CYBERSICUREZZA 2022-2026）及2022 至 2026 年意大利国家网络安全战略实施计划（PIANO DI IMPLEMENTAZIONE STRATEGIANAZIONALE DI CYBERSICUREZZA 2022-2026）。战略认为意大利面临三方面的网络安全威胁，分别是：网络犯罪分子、黑客或国家发动的网络攻击；政府控制或影响的公司所开发的技术对供应链造成的全球网络安全政策法律发展年度报告（2022）-27-干扰；虚假信息活动、假新闻、“深度造假”和通过网络领域传播错误信息来操纵和分化公众舆论。对此，战略提出五大应对支柱：确保公共部门和行业数字化转型的网络弹性；实现国家和欧洲数字战略自主权；预测网络威胁的演变；建立有效的网络危机管理机制；处理与混合威胁有关的在线虚假信息。战略确定了三大基本目标以更好地应对挑战，分别是：（1）保护。即通过旨在管理和减轻风险的系统性方法保护国家战略资产，具体涉及技术筛选、法律框架、态势感知、公共行政网络弹性、国家基础设施、密码学、打击网上虚假信息；（2）响应。即通过部署增强的国家监控、检测、分析和响应能力以及启动国家网络安全生态系统流程对国家网络威胁、事件和危机做出响应，具体涉及危机管理、国家网络服务、网络演习、归因、打击网络犯罪和威慑能力；（3）发展。即有意识且安全地发展能够响应市场需求的数字技术、研究和产业竞争力。33.33.加拿大发布声明，以加拿大发布声明，以“国家安全国家安全”为由禁止华为中兴参与为由禁止华为中兴参与 5G5G 网络建设网络建设5 月 19 日，加拿大政府发布政策声明保护加拿大通信系统（SecuringCanadas Telecommunications System），以“国家安全”为由，禁止本国电信系统使用华为、中兴两家中国公司的产品和服务。根据该声明，禁止加拿大电信公司在其网络中使用华为、中兴两家中企的任何产品或服务，已经安装这些设备的加拿大电信公司被要求停止使用并拆除设备。加政府希望电信公司在 2022 年 9 月之前停止从华为和中兴采购新的 4G 或5G 设备与服务；在 2024 年 6 月之前停止使用新的或现有的 5G 设备与服务；在2027 年 12 月之前停止新的或现有的 4G 设备与服务。加拿大政府表示将在“短时间”内提交一项法案，对电信法进行修订，支持在电信系统中抵御金融、电信、能源和运输部门的国家安全风险。美联社提到，加拿大是“五眼联盟”中最后一个禁止在 5G 网络建设中使用华为设备的国家。早在特朗普时期，美国政府就开始游说并施压“五眼联盟”其他国家在电信网络中禁用华为。加拿大创新、科学与工业部长承认，在宣布禁令前，加方“安全机构进行了全面审议并与最密切的盟友进行了磋商”。全球网络安全政策法律发展年度报告（2022）-28-34.34.俄罗斯第俄罗斯第 263-FZ263-FZ 号联邦法部分条款生效号联邦法部分条款生效，日用户超过日用户超过 5050 万的外国互联网公万的外国互联网公司应在俄罗斯设立分支机构司应在俄罗斯设立分支机构1 月 4 日，俄罗斯第 263-FZ 号联邦法关于外国人在俄罗斯联邦境内的信息和电信网络活动（-）中的部分条款生效。该法第 5 条第 3 款要求日用户总数超过 50 万人的外国互联网公司必须在俄罗斯设立分支机构、代表处或授权法人实体，并提交相关资料。该分支机构、代表处或授权法人实体负责处理以下事项：（1）处理俄罗斯公民的申诉；（2）遵守法院判决和俄罗斯国家机构的决定；（3）代表其外国母公司的利益；（4）根据有关信息、信息技术和信息保护的法律规定，采取措施限制对信息的访问或删除非法传播的信息。俄罗斯联邦通信、信息技术和大众传媒监督局于 2021 年 11 月发布一份需要遵守这一要求的外国互联网公司名单，其中包括 Google、Twitter 和 Meta Platforms。该法于 2022 年 1 月 1 日生效，除前述规定外，还规定多项强制措施以确保合规，包括在搜索引擎中标记不合规网站。此外，杜马还强调违反该法规定的处罚措施，例如禁止不法组织进行货币交易，以及部分和完全封锁其在俄罗斯境内的资源。35.35.俄罗斯发布总统令俄罗斯发布总统令 关于确保俄罗斯联邦关键信息基础设施技术独立与安全关于确保俄罗斯联邦关键信息基础设施技术独立与安全的措施的措施3 月 30 日，俄罗斯总统普京签署第 166 号总统令关于确保俄罗斯联邦关键信息基础设施技术独立与安全的措施（），要求从 31 日起禁止在国家采购中未经相关部门许可为重要国家基础设施部门购买外国软件。从 2025 年开始，国家重要基础设施部门将完全禁全球网络安全政策法律发展年度报告（2022）-29-止使用外国软件。根据总统令，任何客户（地方政府参与的组织除外）如果没有获得“俄罗斯联邦政府授权的执行机构”的批准，不能购买用于“俄罗斯联邦关键信息基础设施”的外国软件，也不能购买“运行此类软件所需的服务”。这类关键基础设施包括医疗、制造业、通信、交通、能源、金融和市政设施运营的至关重要的信息系统和电信网络。36.36.俄罗斯发布总统令关于保障俄罗斯联邦信息安全的补充措施俄罗斯发布总统令关于保障俄罗斯联邦信息安全的补充措施5 月 1 日，俄罗斯总统普京签署第 250 号俄罗斯联邦总统令 关于保障俄罗斯联邦信息安全的补充措施（）。总统令要求，联邦行政机关、俄罗斯联邦主体最高行政机关、国家基金、国有企业（公司）和其他依法成立的组织、战略企业、战略股份公司和俄罗斯经济的系统构成组织、关键信息基础设施主体法人的负责人应履行下列义务：（1）赋予机关/组织副负责人信息安全保障职权，包括检测、预防、消除计算机攻击后果和应对计算机事件；（2）在机关/组织建立信息安全保障内部机构，承担检测、预防、消除计算机攻击后果和应对计算机事件的职能，或将这些职能赋予一个现有的内部机构；（3）在必要时引入其他组织实施本机关/组织信息安全的保障措施。在此情况下，只能引入具备保密信息技术保护许可证的组织；（4）向联邦安全局公职人员提供通过互联网不受阻碍（包括远程）地访问属于本机关/组织或由其使用的信息资源，并落实联邦安全机关根据监测结果作出的指示；（5）赋予机关/组织负责人该机关/组织信息安全保障的个人责任。总统令要求，自 2025 年 1 月 1 日起，禁止机关/组织使用来源国为对俄罗斯联邦、俄罗斯法人和自然人采取不友好行为的国家的信息保护手段，或生产者是这些国家管辖的组织，由这些国家直接或间接控制或关联。37.37.俄罗斯杜马通过法案，对未能开设俄罗斯办事处的俄罗斯杜马通过法案，对未能开设俄罗斯办事处的 ITIT 运营商处以罚款运营商处以罚款7 月 14 日，俄罗斯总统普京签署关于俄罗斯联邦行政侵权法（通信和信全球网络安全政策法律发展年度报告（2022）-30-息领域个别侵权行为的行政责任）的修正案（）。修正案规定，如果日用户超过 500，000 人的外国互联网运营商未能在俄罗斯开设分支机构、代表处或授权法律实体，则该运营商可能会被处以年收入最高 10%的罚款；多次违法的，罚款最高将占年收入的 20%。38.38.乌克兰发布总统令，实施乌克兰网络安全战略实施计划乌克兰发布总统令，实施乌克兰网络安全战略实施计划2 月 2 日，乌克兰国家特殊通信和信息保护局（DSSZZI）宣布，乌克兰总统发布总统令，决定实施国家安全和国防委员会在 2021 年 12 月 30 日通过的乌克兰网络安全战略实施计划（Plan for Implementing the Cyber SecurityStrategy of Ukraine）。实施计划要求国家网络安全协调中心在六个月内更新网络安全战略的实施情况。网络安全战略的优先事项和主要目标包括引入有效的网络防御、打击网络空间的颠覆活动以及确保数字服务安全。具体来说，将包括以下内容：（1）建立一个全国性的网络安全系统，包括实时自动检测网络攻击的技术能力；（2）与国际合作伙伴，特别是与欧盟和北约成员国就网络空间破坏性活动进行信息交换；（3）参考最佳实践，为公共和私营部门制定网络安全基本要求和建议；（4）网络安全研发应涉及最新技术，特别是云和量子计算技术、5G 网络、物联网和AI。39.39.日本总务省发布修订后的日本总务省发布修订后的20222022 年年 ICTICT 网络安全综合措施网络安全综合措施8 月 12 日，日本总务省网络安全工作组发布修订后的2022 年 ICT 网络安全综合措施（ICT 総合対策 2022）。以该文件为指引，内政和通信部（MIC）将与相关组织和私营部门合作，进一步推进网络安全工作。文件主要关注以下内容：（1）确保信息和通信网络的安全性和可靠性。电全球网络安全政策法律发展年度报告（2022）-31-信运营商应当采取积极的网络安全措施，修订电信业务法，建立重大事故威胁报告制度，同时开展电信运营商的网络安全措施示范项目，防范供应链风险，确保物联网、云服务和智慧城市的网络安全；（2）提高自主应对网络攻击的能力。加强和培育日本本土的网络安全产业，以降低对他国产品和信息的依赖性，同时建立网络安全综合智力和人力资源开发平台（CYNEX），广泛培养网络安全人才；（3）促进国际合作。通过东盟-日本网络安全能力建设中心（ASEAN-Japan CyberSecurity Capacity Building Centre，简称 AJCCBC）加强与印度-太平洋地区国家的合作，继续实施信息通信技术支持项目和美日全球数字连接计划，以支持日本企业向东盟地区的扩张，促进信息流动。40.40.乌兹别克斯坦通过网络安全法乌兹别克斯坦通过网络安全法4 月 15 日，乌兹别克斯坦共和国总统签署通过网络安全法（），于 2022 年 7 月 17 日生效。该法确立“网络安全基本原则”，包括：（1）合法性；（2）在网络空间中应保护个人、社会和国家利益的可持续性；（3）该法是网络安全监管的唯一依据；（4）本地开发商应持续参与创建网络安全系统；（5）对网络安全国际合作持开放态度。该法明确以下领域的信息系统属于“关键设施”（criticalfacilities）：公共行政和公共服务、国防、国家安全、执法、燃料和能源工业（包括核能）、化工和石化行业、公共卫生、住房和公用事业服务、银行和金融、运输、信息和通信技术。国家安全局是该国网络安全领域的监管机构。41.41.越南批准越南批准 推动网络空间发展到推动网络空间发展到 20252025 年年、展望展望 20302030 年的网络空间安全战略年的网络空间安全战略8 月 10 日，越南批准推动网络空间发展到 2025 年、展望 2030 年的网络空间安全战略（Chin lc An ton,An ninh mng quc gia,ch ngng ph vi cc thch thc t khng gian mng n nm 2025,tm nhn2030），旨在积极应对网络空间挑战，实现“2030 年发展愿景”成为网络安全自主国家，保障网络空间安全、稳定、繁荣。战略指出，越南公安部将：（1）制定并完善从中央到地方同步、统一的网络安全保护政策和法律，全面规制利用网络侵犯国家安全和社会秩序的违法犯罪全球网络安全政策法律发展年度报告（2022）-32-活动，提升维护国家网络空间主权的能力；（2）制定并完善保护国家数据与个人数据安全的政策法律，明确国内外组织和企业在收集、存储、处理越南公民数据以及维护越南网络空间主权等方面的责任义务；（3）研究、审查、修改并补充网络安全规范文件，提升统一性、全面性、同步性，满足预防、打击网络犯罪和及时解决争端的要求；（4）制定并完善网络安全法实施指导性文件以及关于网络安全产品和服务经营条件的法律文件，特别关注用于国家安全重要信息系统的产品和服务以及国家机关信息系统。42.42.荷兰内阁公布荷兰内阁公布2022-20282022-2028 年国家网络安全战略年国家网络安全战略10 月 10 日，荷兰内阁公布2022-2028 年荷兰国家网络安全战略（Nederlandse Cybersecuritystrategie 2022-2028）。战略提出四项主要目标：（1）提高政府、公司和社会组织的网络应对网络事故的恢复能力；（2）在荷兰境内提供安全和创新的数字产品；（3）应对来自官方和犯罪分子的数字威胁；（4）增加网络安全专家数量，开展数字安全教育，并提高公民面对网络事故的恢复能力。为实现上述目标，战略将国家网络安全中心、数字信托中心和数字服务提供商网络安全事件响应小组合并为一个国家网络安全机构。内阁还指出，该战略将每年接受审查，并在 2025 年进行针对战略的评估研究，以确保该战略可能的修改，并提出相应的后续建议。43.43.国务院办公厅发布要素市场化配置综合改革试点总体方案国务院办公厅发布要素市场化配置综合改革试点总体方案1 月 6 日，国务院办公厅发布要素市场化配置综合改革试点总体方案，旨在以综合改革试点为牵引，支持具备条件的地区结合实际大胆改革探索，尊重基层首创精神，注重总结经验，及时规范提升，为全国提供可复制可推广的路径模式。总体方案要求完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。聚焦数据采集、开放、流通、使用、开发、保护等全生命周期的制度建设，推动部分领域数据采集标准化，分级分类、分步有序推动部分领域数据流通应用，探索“原始数据不出域、数据可全球网络安全政策法律发展年度报告（2022）-33-用不可见”的交易范式，实现数据使用“可控可计量”，推动完善数据分级分类安全保护制度，探索制定大数据分析和交易禁止清单。44.44.国务院发布国务院发布“十四五十四五”数字经济发展规划数字经济发展规划1 月 12 日，国务院发布“十四五”数字经济发展规划，明确“十四五”时期推动数字经济健康发展的指导思想、基本原则、发展目标、重点任务和保障措施。规划部署了八项重点任务，包括充分发挥数据要素作用、大力推进产业数字化转型、健全完善数字经济治理体系、着力强化数字经济安全体系等。数据要素方面，规划要求强化高质量数据要素供给、加快数据要素市场化流通、创新数据要素开发利用机制。支持市场主体依法合规开展数据采集，聚焦数据的标注、清洗、脱敏、脱密、聚合、分析等环节，提升数据资源处理能力，培育壮大数据服务产业。数字经济安全方面，规划要求增强网络安全防护能力、提升数据安全保障水平、切实有效防范各类风险。提升网络安全应急处置能力，加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力，支持开展常态化安全风险评估，加强网络安全等级保护和密码应用安全性评估。健全完善数据跨境流动安全管理相关制度规范。45.45.国务院发布国务院发布“十四五十四五”市场监管现代化规划市场监管现代化规划1 月 27 日，国务院发布“十四五”市场监管现代化规划，旨在创新和完善市场监管，推进市场监管现代化。规划要求引导平台经济有序竞争。推动完善平台企业数据收集使用管理、消费者权益保护等方面的法律规范。强化平台内部生态治理，督促平台企业规范规则设立、数据处理、算法制定等行为。健全事前事中事后监管制度，制定大型平台企业主体责任清单，建立合规报告和风险评估制度。规划要求建立数据要素市场化流通标准和规则，保护数字经济领域各方主体权益。推动完善重点产业质量认证制度体系，加大网络安全认证制度推行力度，加快战略性新兴产业领域质量认证制度建设，大力推行高端品质认证和新型服务认证，加快研究和完善国家数据安全标准与认证认可体系。全球网络安全政策法律发展年度报告（2022）-34-46.46.中国网络安全审查办法正式施行中国网络安全审查办法正式施行2 月 15 日，国家互联网信息办公室等十三部门联合修订发布的网络安全审查办法正式施行。办法将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，要求掌握超过 100 万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。办法规定为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。此外，办法对审查工作机制成员进行扩充，增加中国证券监督管理委员会作为国家网络安全审查工作机制成员。47.47.全国人大常委会全国人大常委会 20222022 年度立法工作计划年度立法工作计划5 月 6 日，全国人大常委会发布2022 年度立法工作计划。工作计划提出，2022 年，继续审议的法律案包括突发事件应对法（修改）等；初次审议的法律案包括治安管理处罚法（修改）、金融稳定法、能源法等；预备审议项目包括修改反间谍法，制定电信法、网络犯罪防治法等。工作计划要求，加强重点领域、新兴领域、涉外领域立法，统筹推进国内法治和涉外法治，着力解决法治领域突出问题，健全国家治理急需、满足人民日益增长的美好生活需要必备的法律制度，助力解决事关全局、事关长远、事关人民福祉的紧要问题。强化对国家重大发展战略的法治保障，积极推进国家安全、科技创新、公共卫生、生物安全、生态文明、防范风险等重要领域立法，加快数字经济、互联网金融、AI、大数据、云计算等领域立法步伐，加强民生领域立法，回应人民群众反映强烈的突出问题，填补法律制度薄弱点和空白区。48.48.党的二十大报告关于网络强国、数字经济与法治元素的内容党的二十大报告关于网络强国、数字经济与法治元素的内容10 月 16 日，中国共产党第二十次全国代表大会在人民大会堂开幕。习近平总书记代表第十九届中央委员会向大会作报告，强调网络强国建设与数字经济发展，并部署推进法治中国建设。（1）强调网络强国建设与数字经济发展建设现代化产业体系，坚持把发展经济的着力点放在实体经济上，推进新全球网络安全政策法律发展年度报告（2022）-35-型工业化，加快建设制造强国、质量强国、航天强国、交通强国、网络强国、数字中国。我们确立和坚持马克思主义在意识形态领域指导地位的根本制度，社会主义核心价值观广泛传播，中华优秀传统文化得到创造性转化、创新性发展，文化事业日益繁荣，网络生态持续向好，意识形态领域形势发生全局性、根本性转变。我们要建设具有强大凝聚力和引领力的社会主义意识形态，牢牢掌握党对意识形态工作领导权，全面落实意识形态工作责任制，巩固壮大奋进新时代的主流思想舆论，加强全媒体传播体系建设，推动形成良好网络生态。提高公共安全治理水平，坚持安全第一、预防为主，完善公共安全体系，提高防灾减灾救灾和急难险重突发公共事件处置保障能力，加强个人信息保护。推动战略性新兴产业融合集群发展，构建新一代信息技术、人工智能、生物技术、新能源、新材料、高端装备、绿色环保等一批新的增长引擎。加快发展物联网，建设高效顺畅的流通体系，降低物流成本。加快发展数字经济，促进数字经济和实体经济深度融合，打造具有国际竞争力的数字产业集群。强化国家安全工作协调机制，完善国家安全法治体系、战略体系、政策体系、风险监测预警体系、国家应急管理体系，完善重点领域安全保障体系和重要专项协调指挥体系，强化经济、重大基础设施、金融、网络、数据、生物、资源、核、太空、海洋等安全保障体系建设。（2）部署推进法治中国建设报告用“坚持全面依法治国，推进法治中国建设”一个章节部署法治建设。报告指出，全面依法治国是国家治理的一场深刻革命，关系党执政兴国，关系人民幸福安康，关系党和国家长治久安。必须更好发挥法治固根本、稳预期、利长远的保障作用，在法治轨道上全面建设社会主义现代化国家。报告强调，要坚持走中国特色社会主义法治道路，建设中国特色社会主义法治体系、建设社会主义法治国家，围绕保障和促进社会公平正义，坚持依法治国、依法执政、依法行政共同推进，坚持法治国家、法治政府、法治社会一体建设，全面推进科学立法、严格执法、公正司法、全民守法，全面推进国家各方面工作法治化。完善以宪法为核心的中国特色社会主义法律体系。坚持依法治国首先要坚持依宪治国，坚持依法执政首先坚持依宪执政，坚持宪法确定的中国共产党领导全球网络安全政策法律发展年度报告（2022）-36-地位不动摇，坚持宪法确定的人民民主专政的国体和人民代表大会制度的整体不动摇。加强宪法实施和监督，健全保证宪法全面实施的制度体系，更好发挥宪法在治国理政中的重要作用，维护宪法权威。加强重点领域、新兴领域、涉外领域立法，统筹推进国内法治和涉外法治，以良法促进发展、保障善治。推进科学立法、民主立法、依法立法，统筹立改废释纂，增强立法系统性、整体性、协同性、时效性。完善和加强备案审查制度。坚持科学决策、民主决策、依法决策，全面落实重大决策程序制度。扎实推进依法行政。法治政府建设是全面依法治国的重要任务和主体工程。转变政府职能，优化政府职责体系和组织结构，推进机构、职能、权限、程序、责任法定化，提高行政效率和公信力。深化事业单位改革。深化行政执法体制改革，全面推进严格规范公正文明执法，加大关系群众切身利益的重点领域执法力度，完善行政执法程序，健全行政裁量基准。强化行政执法监督机制和能力建设，严格落实行政执法责任制和责任追究制度。完善基层综合执法体制机制。严格公正司法。公正司法是维护社会公平正义的最后一道防线。深化司法体制综合配套改革，全面准确落实司法责任制，加快建设公正高效权威的社会主义司法制度，努力让人民群众在每一个司法案件中感受到公平正义。规范司法权力运行，健全公安机关、检察机关、审判机关、司法行政机关各司其职、相互配合、相互制约的体制机制。强化对司法活动的制约监督，促进司法公正。加强检察机关法律监督工作。完善公益诉讼制度。加快建设法治社会。法治社会是构筑法治国家的基础。弘扬社会主义法治精神，传承中华优秀传统法律文化，引导全体人民做社会主义法治的忠实崇尚者、自觉遵守者、坚定捍卫者。建设覆盖城乡的现代公共法律服务体系，深入开展法治宣传教育，增强全民法治观念。推进多层次多领域依法治理，提升社会治理法治化水平。发挥领导干部示范带头作用，努力使尊法学法守法用法在全社会蔚然成风。49.49.国务院办公厅发布国务院国务院办公厅发布国务院 20222022 年度立法工作计划年度立法工作计划7 月 14 日，国务院办公厅发布国务院 2022 年度立法工作计划。计划指出，2022 年，提请全国人大常委会审议治安管理处罚法修订草案，预备提请全全球网络安全政策法律发展年度报告（2022）-37-国人大常委会审议电信法草案、人民警察法修订草案、保守国家秘密法修订草案。拟制定、修订的行政法规包括未成年人网络保护条例（网信办起草）、网络数据安全管理条例（网信办组织起草）、商用密码管理条例（修订）（密码局起草）。计划要求，着力提升立法的科学性和针对性。起草、审查法律法规草案时，同一或相近领域有关法律法规应相互衔接，避免出现法律规定之间不一致、不协调、不适应问题。统筹推进国内法治和涉外法治，加强涉外领域立法，补齐涉外法律制度短板，加快我国法域外适用的法律体系建设，坚决维护国家主权、安全和发展利益。健全完善立法风险防范机制。立法工作事关国家安全、政治安全和社会稳定，必须贯彻落实总体国家安全观，坚持底线思维、增强忧患意识，加强立法战略研究，对立法时机和各环节工作进行综合考虑和评估论证，把风险评估贯穿立法全过程，着力防范各种重大风险隐患，为党的二十大胜利召开创造安全稳定的政治社会环境。（二）（二）网络安全管理网络安全管理1.1.美国美国 SECSEC 发布拟议网络安全规则发布拟议网络安全规则投资顾问投资顾问、注册投资公司和业务发展公司注册投资公司和业务发展公司的网络安全风险管理的网络安全风险管理2 月 9 日，美国证券委员会（SEC）发布拟议网络安全规则投资顾问、注册投资公司和业务发展公司的网络安全风险管理（Cybersecurity RiskManagement for Investment Advisers,Registered Investment Companies,andBusiness Development Companies），公开征求意见。规则主要涉及四方面，分别是网络安全政策和程序、网络安全披露、网络安全事件监管报告、网络安全事件记录。规则要求投资顾问、注册投资公司和业务发展公司在其宣传册和注册报表中公开披露过去两个财政年度发生的网络安全风险和重大网络安全事件。规则要求在发现重大网络安全事件后 48 小时内通知 SEC，还要求制定广泛的政策和程序，包括书面信息安全计划和事件响应计划，以应对网络安全威胁。全球网络安全政策法律发展年度报告（2022）-38-2.2.美国美国 NISTNIST 发布勒索软件风险管理：网络安全框架简介发布勒索软件风险管理：网络安全框架简介2 月 23 日，美国国家标准与技术研究院（NIST）发布 NISTIR 8374勒索软件风险管理：网络安全框架（Ransomware Risk Management：A CybersecurityFramework Profile），旨在支持识别、检测、响应勒索攻击，保护网络与信息系统免受勒索攻击影响，并从勒索攻击事件中快速恢复。该文件可作为管理勒索攻击事件风险的指南，其中包括帮助衡量组织应对勒索软件威胁和应对事件潜在后果的准备程度，并围绕识别、保护、检测、响应和恢复五个阶段细化勒索攻击风险管理的要求。3.3.美国美国 NSANSA 发布网络基础设施安全指南发布网络基础设施安全指南3 月 1 日，美国国家安全局（NSA）发布网络基础设施安全指南（NetworkInfrastructure Security Guidance），向所有组织提供保护 IT 网络基础设施、应对网络攻击的最新建议。指南侧重防止现有网络常见漏洞和弱点的设计和配置，旨在指导网络架构师和管理员建立网络最佳实践。指南介绍了总体网络安全和保护单个网络设备的最佳做法，并指导管理员阻止对手利用其网络。指南是通用的，可以应用于多种类型的网络设备。指南提供的建议涵盖网络设计、设备密码和密码管理、远程登录、安全更新、密钥交换算法等。概括起来，主要包括以下建议：（1）网络体系架构与设计采用多层防御；（2）定期进行安全维护；（3）采用认证、授权和审计来实施访问控制；（4）创建具有复杂口令的唯一本地账户；（5）实施远程记录和监控；（6）实施远程管理和网络业务；（7）配置网络应用路由器以对抗恶意滥用；（8）正确配置接口端口。4.4.美国美国 CISACISA 发布网络事件信息共享指南发布网络事件信息共享指南4 月 7 日，美国网络安全和基础设施安全局（CISA）发布网络事件信息共享指南（Guidance on Sharing Cyber Incident Information）。指南为 CISA 及其利益相关者提供了关于共享什么、谁应该共享以及如何共享有关异常网络事件或活动信息的明确指导。其中，共享的主体包括关键基础设施所有者和运营商以及联邦、州、地方、地区和部落政府合作伙伴。应当共享的全球网络安全政策法律发展年度报告（2022）-39-信息包括：（1）针对系统的未经授权访问；（2）持续时间超过 12 小时的 DOS攻击；（3）系统上的恶意代码，包括已知的变体；（4）针对系统上的服务进行的有针对性的重复扫描；（5）反复尝试未经授权访问的计算机信息系统；（6）与网络钓鱼攻击相关的电子邮件或移动消息；（7）针对关键基础设施的勒索软件，包括变体和勒索详细信息。CISA 将使用共享的信息来响应攻击者对美国网络和关键基础设施部门的攻击。这些信息使 CISA 能够快速部署资源并向遭受攻击的受害者提供帮助，分析跨部门的信息共享报告以发现网络威胁趋势，并快速与网络防御者共享该信息以向其他潜在受害者发布预警信息。5.5.美国美国银行机构及其银行服务提供者的计算机安全事件报告要求银行机构及其银行服务提供者的计算机安全事件报告要求全面生效全面生效5 月 1 日，美国联邦存款保险公司（FDIC）、联邦储备系统理事会（Board）和货币审计长办公室（OCC）联合发布的银行机构及其银行服务提供者的计算机 安 全 事 件 报 告 要 求 （Computer-SecurityIncidentNotificationRequirements for Banking Organizations and Their Bank Service Providers）规则全面生效。规则要求，当发生的计算机安全事件达到“应报告事件”级别，受 FDIC 监管的银行机构应在不迟于 36 小时内尽快将事件报告至 FDIC。银行机构可以通过电子邮件、电话或其他 FDIC 认定的类似方式向适格的 FDIC 监管办公室或者 FDIC指定的联络点报告。规则将“计算机安全事件”定义为对信息系统或系统处理、存储或传输的信息的保密性、完整性或可用性造成实际损害的事件。“应报告事件”包括已经或可能实质性干扰、损害：（1）银行机构在正常业务过程中开展银行业务、活动或流程，或向其重要客户群体提供银行产品和服务能力的计算机安全事件；（2）银行机构业务线，将导致银行收入、利润或特许经营价值重大损失的计算机安全事件；（3）银行机构相关服务、职能的运转，将对美国金融稳定构成威胁的计算机安全事件。当银行服务提供商确定其遭遇计算机安全事件，并已经或很有可能造成提供的服务实质性中断或被削弱四小时及以上时间时，应尽快通知每个受影响的客全球网络安全政策法律发展年度报告（2022）-40-户银行机构的至少一个指定联络点。如果银行机构以前没有提供指定联络点，则必须通知银行机构的首席执行官和首席信息官或两名承担同等责任的个人。6.6.美国正式通过美国正式通过20212021 年州和地方政府网络安全法年州和地方政府网络安全法6 月 21 日，美国正式通过 S2520 2021 年州和地方政府网络安全法（Stateand Local Government Cybersecurity Act of 2021），旨在修订国土安全法，要求国土安全部通过强化国家通信整合中心协调职责，加强州、地方、部落和地区（SLTT）政府实体与公司、协会和公众在网络安全方面的合作。本法明确，国家通信整合中心的协调职责包括：（1）在可行范围内，酌情与联邦和非联邦实体（例如跨州信息共享和分析中心）进行协调，向 SLTT 实体提供运营和技术网络安全培训，以解决与网络安全风险和事件相关的网络威胁指标、防御措施、网络安全风险、漏洞、事件响应和管理；（2）为了提升网络威胁态势感知能力并帮助预防网络安全事件，协助 SLTT 实体与联邦政府以及 SLTT实体之间实时共享网络威胁指标、防御措施、网络安全风险信息、事件信息，以及向 SLTT 实体提供包含可能影响实体或其居民的特定事件和恶意软件信息的通知；（3）通过易于访问的平台和其他方式向 SLTT 实体提供并定期更新关于工具的信息、有关产品的信息、资源、政策、指南、控制措施，以及与信息安全相关的其他网络安全标准和最佳实践程序；（4）与 SLTT 实体的高级官员（包括首席信息官和高级选举官员）合作，并通过全国协会协调 SLTT 实体有效实施与信息相关的工具、产品、资源、政策、指南、控制和程序，以及保护 SLTT 实体的信息系统（包括选举系统）的安全性；（5）向 SLTT 实体提供运营和技术协助，以实施有关信息安全的工具、产品、资源、政策、指南、控制和程序；（6）协助SLTT 实体制定政策和程序，以根据信息技术行业的国际和国家标准来协调漏洞披露；（7）通过与联邦机构和非联邦实体的接触来促进网络安全教育和意识的提升。7.7.美国国家公路交通安全管理局发布车辆网络安全最佳实践指南美国国家公路交通安全管理局发布车辆网络安全最佳实践指南9 月 9 日，美国国家公路交通安全管理局（NHTSA）公布车辆网络安全最佳实践指南（Cybersecurity Best Practices for the Safety of Modern全球网络安全政策法律发展年度报告（2022）-41-Vehicles），对其 2016 年版本进行更新。该文件描述了 NHTSA 对改善汽车行业网络安全的指导意见。该文件利用了 NHTSA 的研究成果、行业自愿标准以及过去几年机动车网络安全研究的经验教训，并根据 2021 年发布在联邦公报的对草案的公众意见进行了更新。虽然该文件不具有约束力，但包含了重要的最佳实践，将影响行业发展。NHTSA 会定期评估网络安全风险以及新出现的最佳实践，并将随着机动车、机动车设备及其网络安全发展，考虑对这些最佳实践的未来更新。8.8.美国美国 CISACISA 发布发布20232023 年至年至 20252025 年战略计划年战略计划9 月 12 日，美国网络安全和基础设施安全局（CISA）发布2023 年至 2025年战略计划（CISA STRATEGIC PLAN 2023-2025）。该计划与国土安全部 2020-2024财年战略规划保持一致，是CISA自2018年成立以来发布的首个综合性战略规划，为未来 3 年 CISA 工作指明了方向。该计划共提出四个战略目标：（1）加强关注网络空间的防御和弹性。增加联邦系统抵抗网络攻击能力、增强 CISA 主动监测能力、增加重要网络安全漏洞的公开透明度与修复能力、实现技术生态的“默认安全（security-by-default）”；（2）降低网络空间攻击风险并提高恢复能力。增强网络风险可见性、风险分析能力、安全和风险应对指导、基础设施和网络安全和韧性、响应威胁和应急事件的能力，支持选举基础设施的风险管理活动；（3）加强政府与私营部门之间的“全国业务合作和信息共享”。优化合作活动规划、加强 CISA 总部与分部融合等；（4）打破组织孤岛，在内部统一机构，提高服务价值。优化 CISA 的资金管理、业务流程；培养并加强 CISA 的高级人才队伍。9.9.美国美国 CISACISA 发布约束性操作指令发布约束性操作指令 提高联邦网络上的资产可见性和漏洞检测提高联邦网络上的资产可见性和漏洞检测10 月 3 日，美国网络安全和基础设施安全局（CISA）发布约束性操作指令提高联邦网络上的资产可见性和漏洞检测（IMPROVING ASSET VISIBILITY ANDVULNERABILITY DETECTION ON FEDERAL NETWORKS），以指导联邦民事行政部门（FECB）能更好地解释其网络内容。本指令对联邦行政机构、部门而言是强制性指令，但不适用于法律规定的“国家安全系统”以及国防部或情报部门运营的特全球网络安全政策法律发展年度报告（2022）-42-别系统。CISA 认为对于任何组织机构而言有效管理网络安全风险的基本前提是持续且全面的资产可见性，因此本指令关注两个核心行为：资产发现（assetdiscovery）和漏洞检测（vulnerability enumeration）。资产发现是可见性的基础，组织机构可以利用资产发现识别其网络中的可寻址 IP 资产，并找到与其关联的 IP 地址（主机）。漏洞检测则负责发现并报告这些资产中的可疑漏洞，通过识别主机属性（比如操作系统、开放端口、应用等），将其与已知漏洞信息匹配来验证资产是否符合安全政策的要求。根据本指令的规定，在 2023 年 4 月 3 日之前，FCEB 应当针对其联邦信息系统采取以下措施：（1）每 7 天执行一次至少覆盖整个机构 IPv4 空间的自动资产发现；（2）每 14 天针对已发现资产进行漏洞检测；（3）完成发现后 72 小时内自动将漏洞检测结果汇总至持续诊断与缓解系统（CDM）；（4）在收到 CISA要求后的 72 小时内启动资产发现和漏洞检测程序，并在收到要求后的 7 日内向CISA 提交可用结果。为使 CISA 自动监测机构的扫描性能，指令规定在 CISA 发布性能数据漏洞检测要求后的 6 个月内，FCEB 应当收集并向 CDM 报告有关数据。2023 年 4 月 3 日前，机构和 CISA 将更新 CDM 配置使得 CISA 分析师能访问目标级漏洞检测数据。本指令颁布后的 6 个月、12 个月、18 个月，FCEB 机构应当分别向 CISA 提交进度报告，内容包括实行本指令过程中的问题和障碍以及预计完成时间，或者在 CDM 项目审查过程中与 CISA 合作。10.10.欧盟数字市场法欧盟数字市场法生效生效11 月 1 日，欧盟数字市场法（Digital Markets Act，简称 DMA）生效。DMA 针对的是大型在线平台，即所谓的“守门人”它们控制着核心平台服务，如市场、应用商店、在线搜索引擎、社交网络等。认定为“守门人”需要符合以下条件：（1）对市场产生重大影响。即在过去三个财政年度的每个财政年度中，其在欧盟的年营业额达到或超过 75 亿欧元，或其平均市值或同等公允市场价值至少达到上一财年 750 亿欧元，并在至少三个欧盟成员国提供相同的核心平台服务；（2）提供“核心平台服务”，作为业务用户接触客户和其他最终用户的重要门户。即在上一个财政年度至少有 4500 万全球网络安全政策法律发展年度报告（2022）-43-月活跃最终用户和至少 1 万名年活跃业务用户。核心平台服务包括：在线平台类服务、搜索引擎、社交网络服务、视频共享平台服务、NI-IC 服务（如即时语音、文本、图像和文件消息）、操作系统等云计算服务以及在线广告服务；（3）目前或将来具有持久的地位。过去三个财政年度都达到上述用户阈值。满足这些要求的“守门人”需要在达到上述门槛后的 2 个月内告知欧盟委员会，欧盟委员会将在收到此信息后的 45 天内指定他们为“守门人”。DMA 规定“守门人”需要履行的一系列义务，旨在防止“守门人”对企业和消费者施加不公平的条件。DMA 规定，“守门人”不得在搜索结果中对自己的产品和服务进行更有利排名，不得限制用户在不同应用程序和服务之间切换，应为最终用户提供对数据的实时访问和有效的数据可移植性服务等。法律责任方面，（1）如果达到“守门人”门槛而未能按照 DMA 要求告知欧盟委员会，可能会被处以其上一财政年度全球总营业额 1%的罚款；（2）如果不遵守 DMA 的关键义务，可以处以上一财政年度全球总营业额 10%的罚款，或者在屡次不遵守的情况下处以最高 20%的罚款；（3）在“系统性不遵守”义务的情况下，可以采取额外补救措施，包括结构性补救措施，例如责成“守门人”出售全部或部分业务。DMA的执行由欧盟委员会负责。成员国可随时要求欧盟委员会展开市场调查，以认定新的“守门人”。平台须在 DMA 生效之日起六个月，即 2023 年 5 月 2 日起，至 2023 年 7 月 3日之间向委员会申报“守门人”认定。委员会收到完整申报通知后，将在 45 个工作日内进行认定。认定为“守门人”的，平台将有六个月的时间落实 DMA 要求，即 2024 年 3 月 6 日之前。11.11.英国政府发布政府网络安全战略：英国政府发布政府网络安全战略：20222022 年至年至 20302030 年年1 月 25 日，英国政府正式发布政府网络安全战略：2022 年至 2030 年（Government Cyber Security Strategy：2022 to 2030），系英国首份针对政府的网络安全战略。战略愿景是确保核心政府职能能够抵御网络攻击，加强英国作为一个主权国家，和作为民主和负责任的网络大国的权威。为实现这一愿景，战略追求一个中心目标到 2025 年，政府关键职能显著加强以抵御网络攻击，2030 年前，全球网络安全政策法律发展年度报告（2022）-44-整个公共部门的所有政府组织都能抵御已知漏洞和攻击方法。战略共分九章，从背景、方法、网络安全风险管理、网络攻击防御、网络安全事件检测、网络安全事件影响控制、网络安全知识技能及文化培养、成果评估、战略执行等方面进行全面描述。例如在内阁办公室建立新的政府协调中心（GCCC），在公共部门间更好地进行网络安全工作协调。在金融部门网络合作中心（FSCCC）等私营模式成功运行的基础上，GCCC 将更快速地识别、调查和协调政府对公共网络系统攻击的反应，以确保信息共享更及时，实现“统一防御”（Defend As One）。此外，GCCC 还将加强漏洞管理，建立跨政府部门漏洞报告服务体系，以方便安全研究人员及公共部门人员更加方便地汇报公共数字服务系统中存在的漏洞。12.12.英国监控摄像头指导守则生效英国监控摄像头指导守则生效2 月 11 日，英国生物识别和监控摄像专员公布更新后的监控摄像头指导守则（Surveillance Camera Code of Practice），为地方当局和警方适当使用监控摄像头系统提供指导。守则要求系统运营商遵循以下 12 条指导原则：（1）监控摄像头系统必须始终用于特定目的。监控摄像头系统只能在公共场所用于特定目的，例如保障国家安全、公共安全、国家经济福祉、预防动乱或犯罪、保护健康、道德或保护他人的权利和自由；（2）监控摄像头系统的使用必须考虑到对个人隐私的影响，并定期进行审查，以确保使用的合理性；（3）监控摄像头系统的使用（包括公开的获取信息和投诉联络点）应尽可能透明；（4）监控摄像头系统活动（包括收集、持有和使用图像和信息）应有明确的责任和义务；（5）在使用监控摄像头系统前，必须制定明确的规则、政策和程序，并且必须将这些信息传达给需要遵守的人；（6）存储的图像和信息不应超过监控摄像头系统声明目的中严格要求的范围；（7）对访问保留的图像和信息的行为设限，必须明确规定获得访问权限的人群和访问目的；（8）监控摄像头系统操作主体应考虑与系统及其目的操作、技术和能力相关的标准；（9）监控摄像头系统的图像和信息应采取适当的安全措施，以防止未经授权的访问和使用；（10）监控摄像头系统的使用应建立有效的审查和审计机制，以确保在实践中遵守法律要求、政策和标准，并定期全球网络安全政策法律发展年度报告（2022）-45-发布报告；（11）在支持公共安全和执法方面，监控摄像头系统应使用最有效的方式来处理具有证据价值的图像和信息；（12）用于支持监控摄像头系统的信息，如果是出于与其他数据库相比较的目的，如车辆信息等，应准确并保持最新状态。13.13.英国发布首份建筑业网络安全指南英国发布首份建筑业网络安全指南2 月 23 日，英国国家网络安全中心（NCSC）与英国特许建筑学会（CIOB）联合发布针对英国建筑业的首份网络安全指南 建筑企业网络安全指南（Cybersecurity for construction businesses），帮助中小型建筑企业抵御在线威胁。指南为中小型建筑企业从设计到移交的每个建设阶段提供了实用建议，并列出行业面临的常见网络威胁，包括鱼叉式网络钓鱼、勒索软件和供应链攻击。指南分为两部分：第一部分旨在帮助建筑企业和管理人员了解网络安全为何如此重要；第二部分旨在为建筑企业内负责 IT 设备和服务的员工提供建议。指南概述了提高网络弹性的七个步骤，包括创建强密码、备份设备、准备和响应事件等。14.14.英国政府发布英国政府发布20222022 年民用核能网络安全战略年民用核能网络安全战略5 月 13 日，英国政府发布 2022 年民用核能网络安全战略（Civil nuclearcyber security strategy 2022），为英国民用核部门制定未来五年的安全路线。该战略由英国民用核组织、核监管办公室和国家网络安全中心共同制定。战略概述了 2026 年之前要实现的四个关键目标：（1）优先考虑网络安全，将网络安全作为整体风险管理方法的一部分；（2）主动缓解行业及供应链风险；（3）通过更好地准备和更快、更协作地响应事件来增强弹性，最大限度地减少影响和恢复时间；（4）加强合作以提高网络成熟度、培养技能并促进安全至上的文化。为了实现这些目标，战略提出各种承诺，包括在 IT 和 OT 系统中广泛开展网络对抗模拟评估和其他威胁测试，与国家网络安全中心开展全行业网络事件现场响应演习、为民用核供应链制定网络安全基线标准、广泛的跨行业合作、与先进核技术开发者就网络安全展开合作。15.15.英国国家网络安全中心发布建筑业合资企业：信息安全最佳实践指南英国国家网络安全中心发布建筑业合资企业：信息安全最佳实践指南8 月 23 日，英国国家网络安全中心（NCSC）和商业、能源和工业战略部（BEIS）全球网络安全政策法律发展年度报告（2022）-46-以及国家基础设施保护中心（CPNI）联合发布建筑业合资企业：信息安全最佳实践指南（Joint Ventures in the Construction Sector:InformationSecurity Best Practice Guidance），旨在帮助建筑合资企业安全处理与项目创建、存储和共享有关的敏感数据，帮助建筑企业保护敏感数据免受攻击。指南提供了 5 个风险管理方法，分别是：（1）企业内建立信息安全治理和问责制；（2）确定负责评估特定信息安全风险和制定共享信息安全战略的员工；（3）了解合资企业特定的信息安全风险和监管要求；（4）制定并商定共享信息安全战略；（5）设计和实施信息安全管理计划。16.16.英国英国电子通信电子通信（安全措施安全措施）条例条例草案提交议会草案提交议会：将电信提供商分为三级将电信提供商分为三级10月1日，英国 2022年电信（安全措施）条例（Electronic Communications(Security Measures)Regulations 2022）正式生效。条例明确公共电信网络提供者与公共电信服务提供者应当履行的具体安全义务，要点包括：（1）数据保护。应采用适当、相称的技术手段，保护与网络和服务操作相关的数据存储免受恶意侵害，并保护用于管理这些网络和服务的软件和设备；（2）监测分析。应采用适当、相称的措施，强化对网络和服务的接入监测，降低安全损害风险，同时必须确保监控和分析工具不位于中国、伊朗、朝鲜和俄罗斯；（3）供应链安全。应制定应急计划，防止第三方供应中断；采用适当、相称的合同措施，要求第三方供应商识别、披露并减少由供应关系引发的安全风险。此外，条例还引入防止未经授权访问、强化安全漏洞补救恢复、保障网络架构设计与开发安全、数据安全事件披露报告等义务。英国通信管理局（ofcom）负责监督检查公共电信网络与服务提供者的义务落实情况，不遵守上述义务规定将带来高达 10%营业额的罚款，或在继续违规情况下每日 10 万英镑的罚款。17.17.印度发布印度发布关于关于2000 第第 70B70B 条第条第（6 6）款款，可信网络的信息可信网络的信息安全实践、程序、预防、响应和网络安全事件报告指令安全实践、程序、预防、响应和网络安全事件报告指令4 月 28 日，印度计算机应急响应小组（CERT-In）发布关于第 70B 条第（6）款，可信网络的信息安全实践、程序、预防、响应和网全球网络安全政策法律发展年度报告（2022）-47-络安全事件报告指令（Directions under sub-section（6）of section 70Bof the Information Technology Act,2000 relating to information securitypractices,procedure,prevention,responseandreportingofcyberincidents for Safe&Trusted Internet）。指令要求，互联网服务提供商、中介机构、数据中心、法人团体和政府机构应当在发现或被告知发生网络安全事件后 6 小时内向 CERT-In 报告。指令明确20 类应当报告的网络安全事件类型，包括关键网络/系统的定向扫描/探测、对关键系统/信息造成威胁、未经授权访问 IT 系统/数据、拒绝服务（DoS）和分布式拒绝服务（DDoS）攻击、数据泄露（Data Leak）等。为了进行适当的协调，上述所有实体都需要连接到国家信息中心（NIC）或国家物理实验室（NPL）的 NTP 服务器，并同步系统时钟。实体的所有 ICT 系统日志必须在印度管辖范围内安全保留 180 天，并应与安全事件报告一起或在机构要求时提供给 CERT-In。指令还对部分特殊主体的数据留存义务提出要求。包括（1）数据中心、虚拟专用服务器（VPS）提供商、云服务提供商、虚拟专用网络（VPN）提供商，应登记下列准确信息，这些信息必须在用户注销或撤销登记(视情况而定)后继续保存 5 年或更长时间(法律规定的期限)：订阅户/客户的有效名称、租用服务的期限、分配给用户的 IPs、注册或登录的邮箱地址/IP 地址/使用服务的时间戳、租用服务的目的、经验证的地址和联系电话、订阅户/客户租用服务的所有权模式；（2）虚拟资产服务提供商、虚拟资产交易提供商和托管钱包提供商应维护“了解你的客户”中获取的所有信息和金融交易记录。其中，交易记录应以准确的方式保存，包括但不限于相关方识别信息、IP 地址、时间戳、时区、交易 ID、公钥（或等效标识符）、涉及的地址或账户（或等效标识符）、交易性质、交易日期、交易金额。5 月 18 日，CERT-In 发布常见问题解答，重申指令要求。常见问题解答由44 个问题组成，主要包括三个部分，即基本术语和说明范围、2000 年 IT 法案第70B 条第(6)款下的指示、向 CERT-In 报告的网络安全事件类型说明。文件指出，那些不遵守规则、未按规定提供信息的人将被处以最高一年的监禁、最高100,000 卢比的罚款，或两者兼施。全球网络安全政策法律发展年度报告（2022）-48-6 月 27 日，CERT-In 发布通知，确认延迟执行指令。CERT-In 指出，指令本应在发布之日起 60 天后生效，但指令定义的微型、小型和中型企业（MSMEs）将延期至 2022 年 9 月 25 日适用该指令。CERT-In 进一步表示，针对数据中心、云服务提供商、VPS 提供商和 VPN 服务提供商的留存注册客户和订户信息的强制要求，也延长至 2022 年 9 月 25 日生效。18.18.加拿大安大略省发布勒索软件应对指南加拿大安大略省发布勒索软件应对指南10 月 13 日，加拿大安大略省信息和隐私专员发布如何应对勒索软件指南（How to Protect Against Ransomware），将勒索软件称为“安大略省组织面临的最大威胁”。指南讨论勒索攻击的影响、防范勒索软件的义务、勒索攻击阶段、缓解威胁和保护组织的方法以及应如何应对网络安全事件。加拿大网络安全中心报告称，2021 年共发生 235 起影响加拿大组织的勒索攻击，由于并非所有事件都进行了报告，因此实际发生的事件数量可能比这一数字高得多。19.19.澳大利亚澳大利亚 ACSCACSC 发布澳大利亚政府网络事件管理安排发布澳大利亚政府网络事件管理安排10 月 14 日，澳大利亚网络安全中心（ACSC）发布澳大利亚政府网络事件管理安排（CIMA）。CIMA 不是实操层面的事件管理规定，具体的实施计划需要由政府共同制定。CIMA 颁布后也并不影响现有的国家危机管理安排，如果国家网络事件达到危机水平，CIMA 将服从各机构的危机管理安排，比如澳大利亚政府危机管理框架。国家网络事件是指对多个澳大利亚辖区产生重要影响或可能产生重大影响，或者要求辖区间作出协同回应的网络事件。一旦出现符合上述要求的情况，ACSC 将宣布出现国家网络事件，启动 CIMA 程序。一般而言国家网络事件的认定要求低于启动国家危机安排所需门槛，但是在某些情形下国家网络事件可能上升为一场危机，比如其造成对基础设施的持续性扰乱、严重的经济损害、威胁国家安全或者人民生命健康。CIMA 规定分为国家网络事件期间的协调行动以及国家网络事件的降级安排。在宣布出现国家网络事件后，国家网络安全委员会（NCSC）作为澳大利亚政全球网络安全政策法律发展年度报告（2022）-49-府最高级别的网络安全协调机构，负责为政府网络安全政策和运行能力提供战略监督和协作机制。当网络事件影响力降低后，ACSC 经与 NCSC 协商可宣布确认国家网络事件降级。CIMA 具体规定了各方主体在应对国家网络事件时的角色和职责：州和地方政府就保护其辖区范围内的环境和生命财产安全负首要责任，当国家网络事件出现后，应当通过 NCSC 支持辖区内的事件协调安排，并向 ACSC 提供有关网络风险、漏洞、解决措施的信息；联邦政府的内政部、ACSC 以及 ACSC 的联合网络安全中心（JCSCs）负责协调制定和实施国家网络安全政策；企业和社会等私主体在国家网络事件期间仍应履行保护资产（包括储存在其系统中的信息）的义务。20.20.最高人民法院发布人民法院在线运行规则最高人民法院发布人民法院在线运行规则1 月 26 日，最高人民法院发布人民法院在线运行规则。规则共五章四十五条，涉及系统建设、应用方式、运行管理等内容。规则要求各级人民法院应当建设安全保障系统，为人民法院在线运行提供网络和信息安全保障。安全保障系统应当为各类信息基础设施、应用系统和数据资源提供主机安全、身份认证、访问控制、分类分级、密码加密、防火墙、安全审计和安全管理等安全服务。各级人民法院应当开展与等级保护标准相符合的信息系统安全保障建设和测评以及密码应用安全评估；应当确保智慧法院信息系统相关数据全生命周期安全，制定数据分类分级保护、数据安全应急处理和数据安全审查等制度；应当制定应急计划，及时有效处理人民法院在线运行过程中出现的停电、断线、技术故障、遭受网络攻击、数据安全漏洞等突发事件。21.21.国家发展和改革委员会发布电力可靠性管理办法（暂行）国家发展和改革委员会发布电力可靠性管理办法（暂行）4 月 16 日，国家发展和改革委员会发布电力可靠性管理办法（暂行）。办法共十一章六十四条，其中第七章为网络安全。办法规定，电力企业应当落实网络安全保护责任，健全网络安全组织体系，设立专门的网络安全管理及监督机构，加快各级网络安全专业人员配备；落实网络安全等级保护、关键信息基础设施安全保护和数据安全制度，加强网络安全审查、容灾备份、监测审计、态势感知、纵深防御、信任体系建设、供应链管理等全球网络安全政策法律发展年度报告（2022）-50-工作；开展网络安全监测、风险评估和隐患排查治理，提高网络安全监测分析与应急处置能力。22.22.国家药监局发布药品监管网络安全与信息化建设国家药监局发布药品监管网络安全与信息化建设“十四五十四五”规划规划4 月 24 日，国家药监局发布药品监管网络安全与信息化建设“十四五”规划。规划提出五项重点任务，包括推进监管数据融合与驱动、筑牢药品智慧监管数字底座、夯实网络安全综合保障能力等。网络安全方面，规划要求健全网络安全管理制度，建立网络安全责任体系，落实网络安全管理主体责任，升级信息系统安全建设、安全测评、容灾备份等保障措施，完善电子政务内网和外网管理，形成各方协同配合的网络安全防范、监测、通报、响应和处置机制，构建涵盖物理、网络、数据、系统等全方位、多层次的安全防护体系。加强对网络视频会议、电视电话会议等服务保障能力。23.23.中国证监会发布证券期货业网络安全管理办法（征求意见稿）中国证监会发布证券期货业网络安全管理办法（征求意见稿）4 月 29 日，中国证监会发布 证券期货业网络安全管理办法（征求意见稿）。征求意见稿共八章六十六条，对证券期货业网络安全监督管理体系、网络安全运行、数据安全统筹管理、网络安全应急处置、关键信息基础设施网络安全、网络安全促进与发展、监督管理与法律责任等方面提出要求。征求意见稿规定，核心机构和经营机构应当依法履行网络安全保护义务，对本机构网络安全负责，相关责任不因其他机构提供产品或者服务进行转移或者减轻。信息技术服务机构应当勤勉尽责，对提供产品或者服务的合规性、安全性承担责任。24.24.国务院发布关于加强数字政府建设的指导意见国务院发布关于加强数字政府建设的指导意见6 月 6 日，国务院发布关于加强数字政府建设的指导意见。指导意见明确数字政府建设的七方面重点任务，具体包括构建协同高效的政府数字化履职能力体系、构建数字政府全方位安全保障体系、构建科学规范的数字政府建设制度规则体系、构建开放共享的数据资源体系、以数字政府建设全面引领驱动数字化发展等方面。安全方面，指导意见要求强化安全管理责任，落全球网络安全政策法律发展年度报告（2022）-51-实安全制度要求，提升安全保障能力，提高自主可控水平，筑牢数字政府建设安全防线。25.25.国家能源局发布国家能源局发布电力行业网络安全管理办法电力行业网络安全管理办法（修订征求意见稿修订征求意见稿）电力电力行业网络安全等级保护管理办法（修订征求意见稿）行业网络安全等级保护管理办法（修订征求意见稿）6 月 14 日，国家能源局发布电力行业网络安全管理办法（修订征求意见稿）电力行业网络安全等级保护管理办法（修订征求意见稿）。电力行业网络安全管理办法（修订征求意见稿）共五章三十五条，规定监管职责、电力企业职责等内容。关键信息基础设施安全保护方面，修订征求意见稿规定，电力行业关键信息基础设施运营者的主要负责人对关键信息基础设施安全保护负总责，要明确一名领导班子成员（非公有制经济组织运营者明确一名核心经营管理团队成员）作为首席网络安全官，专职管理或分管关键信息基础设施安全保护工作。电力行业关键信息基础设施运营单位应当于每年 11 月 1 日前，将当年关键信息基础设施安全保护的专项总结报送国家能源局及其派出机构、地方能源主管部门。电力行业网络安全等级保护管理办法（修订征求意见稿）共六章二十八条，涉及等级划分与保护、等级保护的实施与管理等内容。修订征求意见稿规定，第二级网络每两年应进行一次等级保护测评，第三级及以上网络每年应进行一次等级保护测评。国家能源局及其派出机构结合关键信息基础设施网络安全检查，定期组织对运营有第三级及以上网络的电力企业开展抽查。26.26.国家卫健委等三部门发布医疗卫生机构网络安全管理办法国家卫健委等三部门发布医疗卫生机构网络安全管理办法8 月 29 日，国家卫生健康委、国家中医药局、国家疾控局联合发布医疗卫生机构网络安全管理办法。办法共六章三十四条，涉及网络安全管理、数据安全管理、监督管理、管理保障等内容。网络安全管理方面，办法规定，第二级的网络应委托等级保护测评机构定期开展网络安全等级测评，其中涉及 10 万人以上个人信息的网络应至少三年开展一次网络安全等级测评，其他的网络至少五年开展一次网络安全等级测评。数据安全管理方面，办法规定，各医疗卫生机构应按照有关法规标准，选全球网络安全政策法律发展年度报告（2022）-52-择合适的数据存储架构和介质在境内存储，并采取备份、加密等措施加强数据的存储安全。涉及到云上存储数据时，应当评估可能带来的安全风险。数据存储周期不应超出数据使用规则确定的保存期限。27.27.国家互联网信息办公室发布国家互联网信息办公室发布关于修改关于修改中华人民共和国网络安全法中华人民共和国网络安全法的决的决定（征求意见稿）定（征求意见稿）9 月 14 日，国家互联网信息办公室就关于修改中华人民共和国网络安全法的决定（征求意见稿）公开征求意见，旨在做好网络安全法与新实施的法律之间衔接协调，完善法律责任制度，进一步保障网络安全。征求意见稿具体作出四方面修改：一是完善违反网络运行安全一般规定的法律责任制度。结合当前网络运行安全法律制度实施情况，拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度；二是修改关键信息基础设施安全保护的法律责任制度。关键信息基础设施是经济社会运行的神经中枢，为强化关键信息基础设施安全保护责任，进一步完善关键信息基础设施运营者有关违法行为行政处罚规定；三是调整网络信息安全法律责任制度。适应网络信息安全工作实际，对违反网络信息安全义务行为的法律责任进行整合，调整了行政处罚幅度和从业禁止措施，新增对法律、行政法规没有规定的有关违法行为的法律责任规定；四是修改个人信息保护法律责任制度。鉴于 个人信息保护法规定了全面的个人信息保护法律责任制度，拟将原有关个人信息保护的法律责任修改为转致性规定。28.28.工信部印发网络产品安全漏洞收集平台备案管理办法工信部印发网络产品安全漏洞收集平台备案管理办法10 月 28 日，工信部印发网络产品安全漏洞收集平台备案管理办法。办法共十条，适用于网络产品安全漏洞收集平台，即相关组织或者个人设立的收集非自身网络产品安全漏洞的公共互联网平台，仅用于修补自身网络产品、网络和系统安全漏洞用途的除外。漏洞收集平台备案通过工信部网络安全威胁和漏洞信息共享平台开展，采用网上备案方式进行。办法规定，拟设立漏洞收集平台的组织或个人，应当通过如实填报网络产品安全漏洞收集平台备案登记信息，主要包括：（一）漏洞收集平台的名称、首页全球网络安全政策法律发展年度报告（2022）-53-网址和互联网信息服务（ICP）许可或备案号，用于发布漏洞信息的相关网址、社交软件公众号等互联网发布渠道；（二）主办单位或主办个人的名称或姓名、证件号码，以及漏洞收集平台主要负责人和联系人的姓名、联系方式；（三）漏洞收集的范围和方式、漏洞验证评估规则、通知相关责任主体修补漏洞规则、漏洞发布规则、注册用户的身份核实规则及分类分级管理规则等；（四）通过工业和信息化部通信网络安全防护管理系统，取得的网络安全等级保护备案相关材料；（五）依据有关国家标准和行业标准，实施平台管理等情况；（六）有关主管部门要求提交的其他需要说明的信息。（三）（三）关键信息基础设施保护关键信息基础设施保护1.1.美美、日日、印印、澳就勒索攻击发布联合声明澳就勒索攻击发布联合声明，将互相协助抵御针对关键基础设将互相协助抵御针对关键基础设施的恶意网络活动施的恶意网络活动9 月 23 日，美、日、印、澳四国发布 关于勒索软件的四国外长声明（QuadForeign MinistersStatement on Ransomware），旨在加强区域网络安全，提高印太地区国家抵御勒索软件的能力。声明指出将从以下四方面采取行动：（1）呼吁国家采取行动。声明呼吁各国采取合理措施解决来自其领土内的勒索攻击。面对针对关键基础设施的恶意网络活动，各国有责任相互协助；（2）印度-太平洋地区的复原力和能力建设。声明的愿景是打击勒索攻击对支持印太地区经济发展和安全的网络基础设施的威胁。声明承诺将在能力建设计划和举措方面进一步合作，加强区域网络安全，提高抵御印太地区勒索攻击的抵御能力，将拒绝为该地区的勒索软件参与者提供安全避难所，协助印太地区的合作伙伴加强网络弹性、信任和信心，以及有效的事件响应能力；（3）多利益相关方。声明强调了多利益相关方在建立反勒索软件能力建设方面的重要性，包括促进全球网络专家论坛（GFCE）等现有机制的作用；（4）机制。声明欢迎就可能的新联合国网络犯罪公约进行谈判，作为更广泛地处理网络犯罪的长期手段。同时，声明表示必须以技术中立和灵活的方式起草一项新条约，其中不描述具体的技术或犯罪方法。全球网络安全政策法律发展年度报告（2022）-54-2.2.美国美国 CISACISA 发布准备和减轻针对关键基础设施的外国影响行动发布准备和减轻针对关键基础设施的外国影响行动2 月 18 日，美国网络安全和基础设施安全局（CISA）发布准备和减轻针对关键基础设施的外国影响行动（Preparing for and Mitigating ForeignInfluence Operations Targeting Critical Infrastructure），为关键基础设施所有者和运营商如何识别和减轻错误信息、虚假信息和不实信息（MDM）风险提供指导。CISA 表示，最近观察到的海外行动表明，外国政府和行为者可以迅速采取行动瞄准美国受众，破坏美国关键基础设施并损害美国利益。此次发布的内容旨在提高关键基础设施所有者和运营商对此类影响的认识。CISA 鼓励每个组织的领导者采取积极措施，评估他们因信息操纵而面临的风险。CISA 鼓励所有关键基础设施所有者识别漏洞，对员工进行适当的网络教育，并实施 MDM 事件响应计划：（1）指定专人负责监督 MDM 事件响应流程和相关的危机沟通；（2）明确 MDM 响应的角色和职责，包括但不限于响应媒体询问、发布公开声明、与员工以及利益相关者沟通；（3）确保沟通系统已经设置好，并可以处理收到的问题。手机、社交媒体账户和集中式收件箱应由多人轮流监控，避免出现信息遗漏；（4）确定并培训员工向社交媒体、政府和/或执法部门进行事件报告的程序；（5）考虑用于识别事件、描述信息共享和响应的内部协调渠道和流程。3.3.美国正式通过关键基础设施网络事件报告法美国正式通过关键基础设施网络事件报告法3 月 15 日，美国总统拜登签署的2022 年综合拨款法（ConsolidatedAppropriations Act,2022）中，正式通过2022 年关键基础设施网络事件报告法（Cyber Incident Reporting for Critical Infrastructure Act of 2022），要求关键基础设施领域实体在有理由相信网络事件发生后 72 小时内，以及因勒索攻击支付赎金后 24 小时内，向国土安全部报告。该法所管辖的实体涵盖关键基础设施部门（即 PDD-21）中符合 CISA 确定的定义的实体，包括关键制造业、能源、金融服务、食品和农业、医疗保健、信息技术和运输。在进一步定义覆盖实体时，CISA 将考虑一些因素，如损害一个实体可能导致的国家和经济安全后果、该实体是否是恶意网络行为者的目标，以及侵入这样一个实体是否能够破坏关键基础设施。全球网络安全政策法律发展年度报告（2022）-55-该法要求，报告网络事件需提交以下信息：（1）网络事件的描述；（2）被利用的漏洞和已实施的安全防御措施，以及用于实施该法所规定的网络事件的战术、技术和程序（如有）；（3）有理由相信应对该事件负责的行为者的身份或联系信息（如有）；（4）被认为或有理由认为被未经授权的人访问或获取的信息类别（如有）；（5）受影响实体的名称和其他信息，包括实体的注册信息等；（6）联系信息以及实体的授权服务供应商（如有）。国土安全部国家网络安全和通信集成中心（NCCIC）负责根据该法接收和分析报告，并开展以下活动：（1）评估网络事件对公众健康和安全的潜在影响；（2）与适当的联邦部门和机构协调和分享信息，以确定和跟踪赎金支付，包括使用虚拟货币的赎金；（3）在自愿的基础上，促进关键基础设施所有者和经营者之间及时分享与该法所规定的网络事件和赎金支付有关的信息，特别是与正在发生的网络威胁或安全漏洞有关的信息；（4）如果事件构成重大网络事件，对有关事件的细节进行审查，并传播预防或减轻未来类似事件的方法。4.4.美国正式通过美国正式通过20212021 年国家网络安全防范联盟法年国家网络安全防范联盟法5月 12日，美国总统拜登签署 2021年国家网络安全防范联盟法（NationalCybersecurity Preparedness Consortium Act of 2021），旨在提升关键基础设施安全防护能力。该法将使国土安全部能够与非营利实体合作，开发、更新和主办网络安全培训，以支持防御和应对网络安全风险。授权国土安全部与由多所大学和培训机构组成的国家网络安全防范联盟（NCPC）合作，对州及地方政府的响应责任人（first responders）和官员进行网络安全培训，支持创建信息共享计划，帮助扩大州和地方应急计划的网络安全风险和事件预防及响应。除州和地方政府外，还将为私营企业和关键基础设施所有者和经营者提供技术援助并举办模拟演习。5.5.美国能源部发布国家网络信息工程战略美国能源部发布国家网络信息工程战略6 月 15 日，美国能源部发布国家网络信息工程战略（NationalCyber-Informed Engineering Strategy，简称 CIE 战略），旨在提供一个框架，加强工程培训、工具和实践，构建能够抵御网络攻击的清洁能源弹性系统。战略全球网络安全政策法律发展年度报告（2022）-56-鼓励在工程系统设计的早期引入网络安全技术，以减少网络安全风险和漏洞。战略包括五个支柱，即意识、教育、开发、现有基础设施和未来基础设施，分别提出具体的战略性建议：（1）意识领导 CIE 宣传活动，制定政策举措并建立合作伙伴关系，开发和推广案例研究，展示将 CIE 应用于现有和新兴基础设施系统的好处，促进 CIE 在能源行业的广泛采用；（2）教育创建短期 CIE培训和认证计划，快速培养精通 CIE 的劳动；与学术界合作，将 CIE 原则嵌入本科和研究生阶段课程；与行业雇主合作，确保 CIE 课程和认证保持一致；（3）开发利用能源部国家实验室、学术界、政府合作伙伴和产业界不断改进和扩展 CIE 的适用性；创建和维护 CIE 工具、案例研究和课程的开源库；（4）现有基础设施优先考虑通过当前基础设施应用 CIE 并确定所需的升级；识别、记录和推广应用 CIE 的方法；评估和验证通过 CIE 确定的基础设施升级和缓解措施的有效性；将 CIE 嵌入采购决策，并为投资应用 CIE 以保护高优先级现有基础设施的资产所有者提供激励；（5）未来基础设施推动创建或修订国际标准，以体现 CIE 原则；提供推动研发的市场激励措施，鼓励国内供应商将 CIE 原则应用于其产品；优先支持使用 CIE 标准和方法设计、建造和维护的国家、州和地方基础设施系统项目。6.6.美国运输安全管理局更新美国运输安全管理局更新管道网络安全缓解行动、应急计划和测试管道网络安全缓解行动、应急计划和测试指令指令7 月 21 日，美国运输安全管理局（TSA）修订并重新发布管道网络安全缓解行动、应急计划和测试指令（Pipeline Cybersecurity Mitigation Actions,Contingency Planning,and Testing）。指令要求管道所有者和运营商应：（1）制定网络分段政策和控制措施，确保在信息系统受到威胁时，运营技术系统仍能继续安全运行；（2）建立访问控制措施，防止针对关键网络系统的未授权访问；（3）建立持续监控和检测政策及程序，用以检测网络安全威胁并纠正影响关键网络系统运行的异常状况；（4）使用基于风险的方法，及时为关键网络系统上的操作系统、应用程序、驱动程序和固件等安装安全补丁和更新，降低未修复系统被利用的风险；（5）制定并执行经 TSA 批准的网络安全实施计划；（6）制定并维护网络安全事件响应计划，包括在遭遇因网络安全事件引发的运营中断或业务严重退化时，管道所有者和运全球网络安全政策法律发展年度报告（2022）-57-营商应当采取的措施；（7）制定网络安全评估计划，主动测试并定期审计网络安全措施的有效性，识别并解决设备、网络和系统中的安全漏洞。指令提出的上述要求是对此前提出的重大网络安全事件报告、建立网络安全联络点、开展年度网络安全漏洞评估等条款的额外补充。7.7.美国美国 CISACISA 发布关键基础设施向后量子密码迁移的新见解发布关键基础设施向后量子密码迁移的新见解8 月 24 日，美国网络安全和基础设施安全局（CISA）发布文件关键基础设施向后量子密码迁移的新见解（Preparing Critical Infrastructure forPost-Quantum Cryptography），指出支撑当前加密标准的算法依赖于经典计算机无法解决的数学问题，而量子计算可暴力破解目前广泛使用的公钥密码算法这使得商业交易、安全通信、数字签名和客户信息的安全难以保证，关键基础设施将面临巨大安全风险。CISA 认为，虽然目前还不存在能够破解现行标准中公钥加密算法的量子计算技术，但政府和关键基础设施实体必须共同努力，为新的后量子密码标准做好准备。为此，CISA 对 55 个类别的国家关键功能（NCF）系统进行清点，根据各 NCF面对量子计算对国家关键基础设施预期影响的脆弱性进行分析。基于各 NCF 对当前加密标准依赖性的紧迫性、需更新的系统规模以及组织升级到新标准的相对成本，CISA 将各 NCF 分为高、中、低优先级，还将影响各 NCF 向后量子密码转型的因素列为加剧、中性或缓释。目前 CISA 总结出三大结论：（1）特定类别 NCF 有助于其他系统向后量子密码转型。以下四类 NCF 在支持其他系统的成功转型方面是最重要的：提供互联网内容、信息和通信服务，提供身份管理和信任支持服务，提供信息技术产品和服务，保护敏感信息。CISA 建议负责这些 NCF 的利益相关者与 NIST、DHS 和其他政府机构紧密合作，确保他们不仅为自己的转型做好准备，而且为支持其他NCF 的数字通信转型做好准备；（2）工业控制系统（ICS）向后量子密码转型面临极大挑战。这是由于 ICS 硬件更换周期长，设备地理分布广。CISA 敦促 ICS组织将应对量子计算风险的行动纳入硬件更换周期与网络安全风险管理战略考量；（3）数据保密期较长的 NCF 需大量支持，以确保敏感数据安全。负责国家安全数据、个人身份信息、工业商业机密、个人健康信息和敏感司法系统信息等全球网络安全政策法律发展年度报告（2022）-58-的 NCF 易受量子攻击影响。CISA 建议先考虑这些 NCF 的安全，严防数据抓取与利用。CISA 指出，虽然 NIST 到 2024 年才发布后量子密码标准，但各 NCF 组织领导者应现在就开始为向后量子密码转型做准备，遵循 DHS 在 2021 年 10 月发布的“后量子密码过渡”路线图，采取识别系统替换优先级、公钥加密识别、制定加密技术目录、制定关键数据目录等措施。8.8.美国美国 TSATSA 发布铁路网络安全缓解措施与测试指令发布铁路网络安全缓解措施与测试指令10 月 24 日，美国运输安全管理局（TSA）发布铁路网络安全缓解措施与测试指令（Rail Cybersecurity Mitigation Actions and Testing），要求铁路所有者或运营商应向 TSA 提交网络安全实施计划以供审批。在获得 TSA 批准之后，须进一步制定可供 TSA 实施合规性审查的安全措施和要求。此外，铁路所有者或运营商还须提供额外文件，并根据需要为 TSA 提供合规性审查访问权限。在制定网络安全实施计划的过程中，所有者或运营商可以使用以往风险或漏洞评估成果识别关键网络系统，优先考虑与安全指令紧密相关的网络安全措施。9.9.美国美国 CISACISA 发布文件，为关键基础设施设立网络安全绩效目标发布文件，为关键基础设施设立网络安全绩效目标10 月 27 日，美国网络安全与基础设施安全局（CISA）发布跨部门网络安全性能目标（Cross-Sector Cybersecurity Performance Goals，简称 CPGs）文件，旨在帮助私营部门的关键基础设施运营者在其运营中满足基本网络安全准则。CPGs 是一系列文件的集合，包括：设备和网络安全的目标、运营技术系统、事件响应、网络培训、治理和安全获取的指导方针等。CPGs 系自愿遵守，联邦政府不会设立新的机构，迫使运营者采用，或向任何政府机构提供有关 CPGs 相关的报告。10.10.欧盟理事会和欧洲议会就数字运营弹性法案达成临时协议欧盟理事会和欧洲议会就数字运营弹性法案达成临时协议5 月 11 日，欧盟理事会宣布，已与欧洲议会就 数字运营弹性法案（DigitalOperational Resilience Act，简称 DORA）达成临时协议。DORA 旨在预防和减轻网络威胁，确保银行、保险公司和投资公司等欧盟金融实体的弹性运作。为实全球网络安全政策法律发展年度报告（2022）-59-现这一目标，DORA 为在金融领域运营的公司和组织的网络和信息系统，以及为其提供 ICT 服务（如云平台或数据分析服务）的关键第三方制定统一的安全要求。根据临时协议，向欧盟金融实体提供关键的第三国信息和通信技术服务的供应商将被要求在欧盟境内建立一个子公司，以便适当地实施监督。一旦 DORA 被欧盟成员国通过并成为法律，欧盟监管当局将制定所有金融服务机构必须遵守的技术标准，而各自的国家主管当局将发挥合规监督的作用，并在必要时强制执行该法规。该临时协议现在需要得到理事会和欧洲议会的批准，然后进入正式通过程序。11.11.欧盟委员会发布能源系统数字化欧盟委员会发布能源系统数字化欧盟行动计划欧盟行动计划10 月 18 日，欧盟委员会发布能源系统数字化欧盟行动计划（Digitalising the Energy System-EU Action Plan），推动数据共享，提升能源网络安全。计划提出建立欧盟数据共享框架，支持创新能源服务。建立健全数字化能源系统的关键是基于可信方之间无缝、安全的数据传输，提供、访问、共享能源数据。提升数据共享协同性、建立欧盟协作机制，可增强不同系统和技术方案之间的互操作性，有助于更多创新服务进入市场。此外，要严格遵守欧盟数据主权、网络安全、数据隐私、消费者接受度和互操作性等普遍适用的原则。12.12.欧洲议会欧洲议会通过通过 NISNIS 2 2 指令指令提案提案11 月 10 日，欧洲议会通过 NIS 2 指令提案，即关于在欧盟范围内实施高水平网络安全措施的指令（Proposal for a DIRECTIVE OF THE EUROPEANPARLIAMENT AND OF THE COUNCIL on measures for a high common level ofcybersecurity across the Union,repealing Directive(EU)2016/1148）。2016 年生效的 NIS 指令是欧盟范围内第一部网络安全相关立法，为欧盟成员国构建网络安全思维方式、制度和监管方法奠定了基础。随着全球网络安全形势的变化，以及 COVID-19 大流行期间日益增加的安全威胁，使得 NIS 指令在保障网络安全方面的缺陷进一步凸显。NIS 2 指令提案主要内容包括：（1）扩大适用范围。根据对经济社会重要性，提案增加新的适用领域，并引入明确的实体规模上限这意味着特定领域全球网络安全政策法律发展年度报告（2022）-60-的所有中型和大型实体将纳入范围。提案为成员国提供一定灵活性，可以确定具有高安全风险的小型实体；（2）不再依据基本服务运营商和数字服务提供商对实体进行分类。提案将根据实体重要性，将实体分为基本类别和重要类别，采取不同监管制度；（3）通过实施风险管理方法来加强并精简实体的安全要求和报告义务。该方法提供了必须应用的基本安全要素的最低清单。提案对事件报告的流程、内容和时间表进行了更精确的规定；（4）强化关键信息和通信技术的供应链网络安全。成员国可以与欧盟委员会和 ENISA 合作，对关键供应链进行协调的风险评估；（5）为国家当局引入更严格的监督措施和执法要求，协调成员国之间的惩罚措施；（6）加强合作小组在制定战略政策决策方面的作用，加强成员国当局之间的信息共享与合作，包括网络危机管理在内的业务合作；（7）建立基本框架，由负责的关键行为者针对整个欧盟新发现的漏洞进行协调漏洞披露，并建立由 ENISA 运营的欧盟登记处。13.13.欧洲议会欧洲议会通过通过关于关键实体弹性指令的提案关于关键实体弹性指令的提案11 月 22 日，欧洲议会通过 关于关键实体弹性指令的提案（Proposal fora DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the resilienceof critical entities Directive，简称 CER 指令提案）。（1）适用范围。提案适用于 11 个行业，分别是能源、交通、银行、金融市场基础设施、医疗、饮用水、废水、数字基础设施、公共管理、太空、食品。（2）识别关键实体的流程。首先，成员国应梳理出本国基本服务清单，并对基本服务面临的风险开展风险评估。风险评估应考虑所有相关的自然和人为风险，包括事故、自然灾害、突发公共卫生事件、敌对威胁、恐怖主义犯罪等。其次，成员国在识别关键实体时，除了应考虑其提供的基本服务的风险评估结果，还应考虑：1）实体是否提供一种或多项基本服务；2）提供服务所依赖的基础设施是否位于成员国境内；3）一旦实体发生安全事件，是否将对所提供的基本服务或该领域其他基本服务产生重大破坏性影响。在判断重大破坏性影响时，主要考虑：1）该实体提供的基本服务的用户数量；2）其他部门对该服务的依赖程度；3）安全事件可能对经济、社会运转、环境和公共安全造成的影响程度和持续时间；4）实体在基本服务领域所占的市场全球网络安全政策法律发展年度报告（2022）-61-份额；5）可能受事件影响的地理区域；6）实体在维持基本服务水平方面的重要性，以及其他替代方案的可行性。最后，成员国应制定已识别的关键实体清单，并在被确定为关键实体后一个月内通知关键实体运营者。（3）各主体职责。关键实体应开展风险评估，采取技术和组织措施增强安全弹性，并向当局报告安全事件。关键实体还应对担任敏感职务的人员进行背景调查；成员国当局需要向关键实体提供支持，包括提供具体指引。成员国还需要确保国家当局拥有对关键实体进行现场检查的权力和手段，能够对不遵守指令的行为进行处罚；欧盟委员会将向成员国和关键实体提供补充支持，在欧盟层面对跨国和跨部门风险、最佳实践、方法、跨国培训和演习活动等方面给予支持。（4）对欧洲具有特定重要性的关键实体：提案将为三分之一以上欧盟成员国提供基本服务的关键实体确定为“对欧洲具有特定重要性的关键实体”。此类关键实体将在如何更好落实风险评估和强化安全弹性方面获得额外建议。14.14.澳大利亚澳大利亚20222022 年安全立法修正案（关键基础设施保护法）生效年安全立法修正案（关键基础设施保护法）生效4 月 2 日，澳大利亚2022 年安全立法修正案（关键基础设施保护法）（Security Legislation Amendment（Critical Infrastructure Protection）Act 2022，简称 SLACIP 法）正式生效，旨在提高国家关键基础设施框架的安全性和弹性，保护澳大利亚公民所依赖的基本服务免受物理、供应链、网络和人员威胁。修正案对2018 年关键基础设施安全法（SOCI 法）进行修订，主要引入以下关键措施：（1）为责任实体创建和维护关键基础设施风险管理计划；（2）具有国家意义的系统（Systems of National Significance，简称 SoNS）运营商所需的增强网络安全义务的新框架。修正案建立 SoNs 制度，这些系统是对澳大利亚社会或经济稳定、国防或国家安全最相互关联、最相互依存和最至关重要的资产。只有在该资产具有国家意义时，才有可能被认定为 SoNs。修正案为 SoNs 规定更严苛的网络安全义务，包括：（1）制定网络安全事件应对计划，为网络事件做好准备；（2）进行网络安全演习，以建立网络准备工作；（3）进行漏洞评估，以识别漏洞进行补救；（4）提供系统信息，建立态势感知能力。增强的网络安全义务将支持近实时的威胁信全球网络安全政策法律发展年度报告（2022）-62-息共享，为行业提供对新兴网络安全威胁更成熟的理解，并减少对 SoNs 的重大网络攻击风险。15.15.新加坡新加坡 CSACSA 发布发布CIICII 所有者增强所有者增强 5G5G 应用网络安全指南应用网络安全指南4 月 29 日，新加坡网络安全局（CSA）发布第一版CII 所有者增强 5G 应用网络安全指南（Guidelines for CII Owners to Enhance Cyber Security for5G Use Cases），旨在帮助关键信息基础设施所有者（CIIO）识别连接到 5G 服务系统后带来的威胁，并提供了降低此类威胁风险的建议。指南内容不具有约束力，旨在提供信息。指南的受众包括但不限于：（1）CIIO（如高级管理人员、通信网络规划人员及其网络安全团队）；（2）CIIO 的服务和设备提供商（如外包 ICT 团队、安全服务提供商、ICT 设备供应商）。指南在用户设备安全、流量隔离、数据保护、物理安全、5G 威胁意识、5G 服务提供商的支撑要求、访问控制等方面提出具体建议。指南认为 CIIO 在设计其安全政策时应采取零信任原则，还应不断加强其网络安全能力，并在保护其系统免受威胁方面保持警惕。16.16.新加坡金融管理局发布业务连续性管理指南新加坡金融管理局发布业务连续性管理指南6 月 6 日，新加坡金融管理局发布修订版业务连续性管理指南（Guidelines on Business Continuity Management），旨在提升新加坡金融机构业务管理能力，指引其采取措施管理日益复杂的运营环境与安全威胁，向客户提供连续性高质量关键业务服务。根据指南，金融机构应当：（1）采用以服务为中心的方法（Service-CentricApproach），及时恢复面向客户的关键业务服务；（2）明确支持关键业务的端到端依赖关系（End-To-End Dependencies），解决可能阻碍此类服务有效恢复的问题；（3）加强安全威胁监控和环境扫描（Environmental Scanning），进行定期审计、测试和行业演习。17.17.新加坡新加坡 CSACSA 发布发布关键信息基础设施网络安全实践守则关键信息基础设施网络安全实践守则7 月 4 日，新加坡网络安全局（CSA）发布关键信息基础设施网络安全实全球网络安全政策法律发展年度报告（2022）-63-践守则（Cybersecurity Code of Practice for Critical InformationInfrastructure），旨在明确关键信息基础设施运营者（CIIO）为确保 CII 网络安全应落实的最低要求。守则包含审计要求、管理要求、识别要求、保护要求、检测要求、响应与恢复要求、网络弹性要求、培训和意识、操作技术与安全要求、特定领域问题等 11 个章节的内容。具体来说，（1）审计方面。要求对审计过程中发现的风险进行补救；（2）管理方面。建立和维护框架，以确保网络安全战略与其业务目标相一致，并且为CIIO 评估、定义和开展网络安全风险管理工作提供指导；（3）识别方面。协助CIIO 识别支持 CIIO 提供基本服务的关键业务职能的资源和资产，以及相关的网络安全风险，使得 CIIO 能够集中精力优先保护这些资产；（4）保护方面。CIIO应落实所需的人员、流程和技术控制，以保护 CII，限制和控制网络安全事件的影响；（5）检测方面。协助 CIIO 识别恶意活动或潜在漏洞；（6）响应与恢复方面。建立、管理和实施网络安全事件响应计划和危机沟通计划，为 CII 应对网络安全事件做好准备；（7）网络弹性方面。保持网络安全防御能力，以维持基本服务稳定运行，并从网络安全事件中快速恢复；（8）培训和意识方面。帮助员工了解网络安全风险，并识别他们在工作中可能遇到的网络安全事件等。18.18.新加坡新加坡 CSACSA 发布关键信息基础设施供应链计划发布关键信息基础设施供应链计划7 月 27 日，新加坡网络安全局（CSA）发布 关键信息基础设施供应链计划（Critical Information Infrastructure Supply Chain Programme），在分析当前关键信息基础设施运营者（CIIO）面临的供应链安全风险的基础上，提出五项具体措施，分别是：（1）风险管理工具包。为 CIIO 提供可用工具包，通过标准化的供应商管理方法，帮助 CIIO 识别和管理供应商，评估供应链风险。目标是汇总全国所有1 级 CII 供应商情况，并逐步提高供应链可见性深度；（2）供应商合同条款资源库。为 CIIO 提供一个可以纳入供应商合同的网络安全要求条款资源库。资源库将包括与常见网络安全风险、运营风险等内容相关的合同条款，CIIO 可以使用这些信息指导与新供应商的谈判或更新现有供应商合同。CSA 将负责建立并维护资源库，整理并公开分享合同条款；行业主管部门负责在本行业领域推广资源全球网络安全政策法律发展年度报告（2022）-64-库；（3）CII 供应商认证计划。建立供应商认证计划，要求供应商满足基本的网络安全要求，通过标准化和认证激励供应商提高其安全能力，同时提高 CIIO谈判能力，优先选择通过认证的供应商。CSA 将负责协调各部门与 CIIO 之间的合作，以落实供应商认证计划；监督行业主管部门，要求其制定本行业领域的具体认证要求；激励供应商通过认证，提升网络安全能力。行业主管部门负责确定本行业领域认证需求，指导 CIIO 工作实践；（4）建立学习中心。与 CII 利益相关者共享风险管理的知识、良好实践和培训资源，提高 CII 高级领导和采购人员的风险管理意识和理解能力，将关注点从技术层面转向组织管理层面；（5）加强国际合作。加强与各国政府、行业团体的密切合作，共同应对供应链弹性问题。19.19.俄通过保护关键信息基础设施国家政策基本原则草案俄通过保护关键信息基础设施国家政策基本原则草案5 月 20 日，在俄罗斯总统普京主持下，俄罗斯联邦安全委员会会议通过视频会议举行，讨论了提高国家信息基础设施运行稳定性和安全性的问题。会议讨论通过保护关键信息基础设施国家政策基本原则草案。目前草案还未发布。面对信息安全形势，普京在会议上提出三大任务：（1）持续完善关乎国防、经济社会稳定的重要部门关键设施的信息安全保障机制，建设信息安全内部机构，落实负责人个人责任；（2）提高国家机关信息系统和通信网络的安全性，加强数字空间防御，消除薄弱环节，防止保密信息和公民个人信息泄露，严格管控办公设备、通信设备的使用规则；（3）从根本上降低使用外国程序、计算机技术和通信设备的风险，发展国产信息技术和产品，巩固技术主权。20.20.俄罗斯政府批准第俄罗斯政府批准第 14781478 号决议，明确重要号决议，明确重要 CIICII 的软件使用要求的软件使用要求8 月 22 日，俄罗斯政府批准第 1478 号决议，明确政府和国有企业在重要的关键信息基础设施（CII）中使用的软件要求，以及协调购买外国软件和向国产软件过渡的规则。决议关键点主要有：（1）CII 的重要对象只能使用俄罗斯或欧亚软件登记册中包含的软件。某些类型的产品必须具有证明符合联邦安全局和俄罗斯 FSTEC要求的证书；（2）购买国外软件须经批准。对于超过 1 亿卢布的购买，需要获得委员会的额外批准，该委员会将在俄罗斯数字发展部下成立；（3）俄罗斯数全球网络安全政策法律发展年度报告（2022）-65-字发展部将监督国有企业遵守外国软件采购协调规则的情况；（4）各部委需要批准重要的 CII 向俄罗斯软件过渡的部门计划。在此基础上，国有企业必须制定和批准个别的过渡计划。21.21.巴西国家电力能源局电力部门代理人网络安全政策生效巴西国家电力能源局电力部门代理人网络安全政策生效7 月 1 日，巴西国家电力能源局（ANEEL）于 2021 年 12 月通过的第 964 号决议电力部门代理人网络安全政策（RESOLUO NORMATIVA ANEEL N 964,DE 14 DE DEZEMBRO DE 2021 Dispe sobre a poltica de seguranaciberntica a ser adotada pelos agentes do setor de energia eltrica）生效。决议规定了电力部门代理商应采用的网络安全政策的指导方针和最低要求，包括但不限于：（1）落实规范、标准和网络安全最佳实践；（2）以责任感、热情和透明的态度行事；（3）传播网络安全文化；（4）安全使用电能网络和服务；（5）识别、诊断、响应网络安全事件并从中恢复；（6）识别、评估和处理网络风险；（7）寻求代理间的合作，以减轻网络风险。决议要求电力部门代理商的网络安全政策至少包括：（1）网络安全目标，提供预防、检测、响应和减少网络事件脆弱性的能力；（2）每年应用至少一种网络安全成熟度模型；（3）数据和信息的相关性分类；（4）减少事件脆弱性和满足其他网络安全目标的程序和控制措施；（5）保证关键信息安全的技术措施，包括信息可追溯性措施；（6）进行弹性测试；（7）建立预防、缓解网络事件并从中恢复的机制；（8）建立预防和应对网络事件的程序。22.22.日本发布关键基础设施网络安全行动计划日本发布关键基础设施网络安全行动计划6 月 17 日，日本国家网络安全事件准备和战略中心（NISC）发布关键基础设施网络安全行动计划（重要係行動計画），着眼于关键基础设施最近的环境变化，并为提高安全标准和加强信息共享系统提供指导。行动计划建议制定风险管理程序，以加强系统应对能力和安全标准。行动计划详细列出了对关键基础设施运营商、管理层、首席信息安全官、战略管理人员和系统人员的具体要求。全球网络安全政策法律发展年度报告（2022）-66-23.23.新疆维吾尔自治区通过新疆维吾尔自治区关键信息基础设施安全保护条新疆维吾尔自治区通过新疆维吾尔自治区关键信息基础设施安全保护条例例3 月 25 日，新疆维吾尔自治区第十三届人民代表大会常务委员会第三十二次会议通过新疆维吾尔自治区关键信息基础设施安全保护条例，自 2022 年6 月 15 日起施行。条例规定，关键信息基础设施保护工作实行部门责任制和运营者主体责任制，并纳入年度网络安全工作责任制考核。条例规定，网信部门会同通信、公安、工业和信息化、保密、密码管理等有关部门建立网络安全信息共享机制，及时汇总、研判、共享、发布网络安全威胁、漏洞、事件等信息，定期召开联席会议，促进有关部门、保护工作部门、运营者以及网络安全服务机构等之间的网络安全信息共享。网信部门应当统筹协调公安机关和保护工作部门按照法律、法规和相关行业标准，每年统一对本行政区域内的关键信息基础设施开展网络安全检查。在安全检查中发现网络安全风险隐患的，应当责令运营者立即改正或者限期整改。24.24.交通运输部发布交通运输部发布公路水路关键信息基础设施安全保护管理办法公路水路关键信息基础设施安全保护管理办法（征求意见征求意见稿）稿）8 月 23 日，交通运输部发布公路水路关键信息基础设施安全保护管理办法（征求意见稿）。征求意见稿共六章四十八条，涉及公路水路关键信息基础设施认定、运营者责任和义务、保障和监督管理等内容。征求意见稿规定，运营者应当设立首席网络安全官，为每个公路水路关键信息基础设施明确一名安全管理责任人。当专门安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化或必要时，运营者应当根据情况重新进行安全背景审查。运营者应制定网络安全教育培训制度，定期开展网络安全教育培训和技能考核，首席网络安全官、专门安全管理机构负责人和关键岗位人员等公路水路关键信息基础设施从业人员每人每年教育培训时长不得少于 30 个学时。25.25.我国信息安全技术我国信息安全技术 关键信息基础设施安全保护要求获批关键信息基础设施安全保护要求获批10 月 12 日，国家市场监督管理总局（国家标准化管理委员会）发布公告，批准 GB/T 39204-2022信息安全技术 关键信息基础设施安全保护要求，自全球网络安全政策法律发展年度报告（2022）-67-2023 年 5 月 1 日起施行。GB/T 39204-2022 在国家网络安全等级保护制度基础上，借鉴我国相关部门在重要行业和领域开展网络安全保护工作的成熟经验，吸纳国内外在关键信息基础设施安全保护方面的举措，结合我国现有网络安全保障体系等成果，从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置等方面，提出关键信息基础设施安全保护要求，要求采取必要措施保护关键信息基础设施业务连续运行，及其重要数据不受破坏，切实加强关键信息基础设施安全保护。（四）（四）供应链安全供应链安全1.1.五眼联盟联合发布警报保护托管服务提供商及其客户免受网络威胁五眼联盟联合发布警报保护托管服务提供商及其客户免受网络威胁5 月 11 日，五眼联盟联合发布警报保护托管服务提供商及其客户免受网络威胁（Protecting Against Cyber Threats to Managed Service Providersand their Customers），为托管服务提供商（MSP）及其客户应采取哪些行动降低网络安全风险提供指导。警报描述了 IT 服务和功能的网络安全最佳实践，重点关注能够在 MSP 与其客户之间就保护敏感数据进行透明度讨论的指导。组织应根据其特定的安全需求并遵守适用的法规，根据其独特的环境实施上述指导。MSP 客户应核实与其供应商的合同安排，包括符合其特定安全要求的网络安全措施。其中对 MSP 及其客户提出的建议包括：基线安全措施和操作控制、启用/改进监控和记录过程、实施多因素身份验证、管理内部架构风险并隔离内部网络、应用最小权限原则、弃用过时的账户和基础架构、更新应用、备份系统和数据、制定和实施事件响应和恢复计划、了解并主动管理供应链风险、提升透明度、管理账户身份验证和授权。2.2.美国美国-欧盟贸易和技术委员会发布声明，加强欧盟贸易和技术委员会发布声明，加强 ICTICT 等供应链弹性等供应链弹性5 月 16 日，美国-欧盟贸易和技术委员会（U.S.-EU Trade and TechnologyCouncil，简称 TTC）发布声明，旨在加强 ICT 等供应链弹性。声明中与数字相关的内容主要包括：（1）打击政府强行关闭互联网。美欧对全面或针对性关闭互联网、停电或者故意降低网络速度的做法保持关注，并准全球网络安全政策法律发展年度报告（2022）-68-备建立有效机制，应对政府强行关闭互联网或者降低国内互联网接入的情况；（2）加强 ICT 等供应链弹性。美欧将采取行动，促进半导体等价值链和需求的透明度，提供短缺的早期预警；对 ICT 设备、软件和服务供应商进行评估，共同排查高风险供应商，促进安全、有弹性、多样化、有竞争力的 ICTS 供应链；（3）开发和实施可信赖 AI。美欧将合作开发和实施可信赖的 AI，并将基于现有 AI 立法框架，探讨如何实施政策监管，未来还将提出新的 AI 倡议。工作组还计划推进关于隐私增强技术的共同项目；（4）合作推动网络治理。美欧计划加强行动，反对滥用技术作为镇压工具以及网络威胁工具；将制定一个共同的分析框架，识别外国的信息操纵和干扰，框架最初将重点关注与俄罗斯相关的问题。增强对在线平台上非法和有害行为和内容传播的管制，关注内容审核的透明度、算法放大和研究人员的数据访问。3.3.美国美国 NISTNIST 发布软件供应链安全指南发布软件供应链安全指南2 月 4 日，美国国家标准与技术研究院（NIST）发布 软件供应链安全指南（Software Supply Chain Security Guidance）。指南强调，安全软件开发实践应在整个软件生命周期中进行整合，以减少已发布软件中的漏洞数量，缓解未发现或未解决漏洞的潜在影响，并解决造成脆弱性的根本原因。软件采购过程中，联邦机构是购买者，而不是生产者，因此需要额外的指导。该指南向联邦机构提供了建议，以确保其采购软件的生产者在整个软件生命周期内遵循基于风险的安全软件开发方法。当联邦机构购买软件或包含软件的产品时，机构应获得软件生产者的证明，证明软件的开发符合政府规定的安全软件开发实践，还可以要求软件生产者提供资料以证明符合性。指南的适用范围仅限于联邦机构的软件采购，包括固件、操作系统、应用程序和应用程序服务（例如基于云的软件）以及包含软件的产品，不包括已实施的软件（如内部部署或云托管），以及联邦机构购买的软件捆绑、集成或以其他方式使用的开源软件。联邦机构开发的软件不在范围之内。4.4.美国美国 NISTNIST 更新系统和组织网络安全供应链风险管理实践指南更新系统和组织网络安全供应链风险管理实践指南5 月 5 日，美国国家标准与技术研究院（NIST）发布修订版系统和组织网全球网络安全政策法律发展年度报告（2022）-69-络安全供应链风险管理实践指南（Cybersecurity Supply Chain RiskManagement Practices for Systems and Organizations），为组织从各个层面识别、评估并应对供应链中的网络安全风险提供指引。指南指出，现代产品和服务依赖于供应链，供应链连接制造商、软件开发商和其他服务提供商，构成了全球网络。一方面，供应链促进全球经济发展，但同时也将众多公司和消费者置于风险之中：由于产品的组件和软件来源众多，设备可能在一个国家设计而在另一个国家制造，这意味着产品可能包含恶意软件、易受到网络攻击，而供应链中本身存在的安全漏洞也会影响公司安全基线。指南主要受众为网络产品、软件和服务收购方以及终端用户。指南帮助组织将网络安全供应链风险考量因素和要求纳入采购流程，并强调风险监控与处置的重要性。由于网络安全风险可能出现在产品生命周期中的任何阶段或供应链中的任何环节，因此指南将潜在安全漏洞纳入考量。5.5.美国正式通过美国正式通过20212021 年供应链安全培训法年供应链安全培训法6 月 16 日，美国正式通过 S2201 2021 年供应链安全培训法（Supply ChainSecurity Training Act of 2021），意在通过反情报培训管理供应链风险。本法要求，在本法颁布后 180 天内，总务管理局应通过联邦采购研究所为联邦机构负责供应链风险管理的官员制定培训计划。培训计划的设计应使此类人员做好执行供应链风险管理活动的准备，并识别和缓解在整个采购生命周期中出现的供应链安全风险。培训计划应满足以下条件：（1）考虑到机密信息和其他敏感信息的保护，包括关于当前特定供应链安全威胁和漏洞的信息；（2）培训计划根据需要进行更新。本法要求，制定培训计划后的 180 天内，管理和预算办公室主任应向要求执行机构采用培训计划的联邦机构发布指南，内容包括允许执行机构将培训计划纳入现有机构培训计划；就如何确定履行供应链风险管理职责对执行机构官员提供指导。此后三年，总务管理局应每年向相关国会委员会和领导层提交一份关于培训计划实施情况的报告。全球网络安全政策法律发展年度报告（2022）-70-6.6.美国三部门发布美国三部门发布软件供应链安全软件供应链安全：开发者实践推荐指南开发者实践推荐指南软件供应链安软件供应链安全：供应商实践推荐指南全：供应商实践推荐指南9 月 1 日，美国网络安全和基础设施安全局（CISA）、国家安全局（NSA）和国家情报总监办公室（ODNI）发布软件供应链安全：开发者实践推荐指南（Securing the Software Supply Chain：Recommended Practices Guide forDevelopers）。指南认为软件供应商应负责在客户和软件开发人员之间建立联系。因此，供应商的责任包括通过合同协议、软件发布和更新、通知和漏洞缓解来确保软件的完整性和安全性。指南包含建议的最佳实践和标准，以帮助供应商完成这些任务；同时给出鼓励开发人员参考的行业最佳实践和原则。这些原则包括安全需求规划、从安全角度设计软件架构、添加安全功能以及维护软件和底层基础设施（如环境、源代码审查和测试）的安全性。10 月 31 日，三部门再次发布软件供应链安全：供应商实践推荐指南（Securing the Software Supply Chain：Recommended Practices Guide forSuppliers）。指南认为，软件供应商可以在本次指南中获得指导，通过软件安全检查、保护软件、生产安全良好的软件等措施保护组织免遭损失。NSA 指出，该指南是对 SolarWinds 攻击事件调查结果的反馈。7.7.美国美国 OMBOMB 发布通过安全的软件开发增强软件供应链安全备忘录发布通过安全的软件开发增强软件供应链安全备忘录9 月 14 日，美国白宫管理和预算办公室（OMB）发布通过安全的软件开发增强软件供应链安全备忘录（Enhancing the Security of the Software SupplyChain through Secure Software Development Practices），旨在敦促美国联邦机构遵循美国国家标准与技术研究院（NIST）制定的一系列增强软件供应链安全的标准指南。备忘录针对 2021 年 5 月 12 发布的第 14028 号行政令增强软件供应链安全的要求进行以下三个方面的细化完善：第一，明确其适用范围主要包括三类软件：（1）适用于各联邦机构使用的，自备忘录生效之日后开发的软件；（2）适用于自备忘录生效之日后因主要版本变更而修改的现有软件；（3）适用于联邦机构通过合同方式合作的其他机构使用的软件。第二，备忘录规定增强软件供应链安全的具体措施：联邦机构在使用软件之前必须获得软件生产商的自我证明；联邦机构可以根据需要从软件生产制全球网络安全政策法律发展年度报告（2022）-71-造商处获得符合安全软件开发实践的证明文件；第三，备忘录规定了美国联邦机构、OMB 以及 CISA 应当履行的职责及期限。8.8.欧盟委员会提出网络弹性法案欧盟委员会提出网络弹性法案9 月 15 日，欧盟委员会提出网络弹性法案（Cyber Resilience Act，简称 CRA），是欧盟范围内针对包括软硬件在内的网络产品安全领域的首部立法。提案适用于所有在欧盟市场销售的、可直接或间接连接到另一设备或网络的数字产品（Products with Digital Elements）。数字产品是指“任何软件或硬件产品及其远程数据处理解决方案，包括单独投放市场的软件或硬件组件”。也就是说，所有可联网的数字设备和软件均落入提案调整范围。提案的义务主体包括制造商、进口商和分销商三类，但主要针对的是制造商。提案要求制造商对数字产品的设计、开发和生产进行强制性安全评估；确保漏洞处理到位；并向用户提供必要的信息。具体而言，制造商义务包括以下几项：（1）对数字产品进行网络安全风险评估，并根据评估结果进行设计、开发和生产，以确保设备具备适当的网络安全水平，并且在交付时没有任何已知的可利用漏洞；（2）系统记录与数字产品网络安全相关的所有信息，包括制造商或第三方发现的漏洞，并在适当的情况下更新产品的风险评估报告；（3）起草技术文件，进行产品质量评估，确保其满足“欧盟符合性声明”（EU Declaration ofConformity）要求，并张贴“CE 标志”；（4）通过适当的程序和措施，处理、补救制造商内部或外部反馈的产品潜在漏洞；（5）向数字产品用户提供完整的信息和说明，以便用户在选择和使用此类产品时考虑网络安全；（6）在发现可被积极利用的漏洞的 24 小时内，向欧盟网络安全局报告。就进口商和分销商而言，提案要求其只能销售符合法律规定基本要求的数字产品，并确保制造商已完成提案要求的合规义务，包括完成网络安全风险评估、起草技术文件、为数字产品张贴 CE 标志、为用户提供所需的信息等。如果进口商或分销商发现数字产品中存在漏洞，必须立即通知制造商，并向市场监管机构通报该数字产品存在“重大网络安全风险”。成员国将任命市场监督机构，负责执行提案规定的义务。在不合规的情况下，当局可以要求产品制造商终止违规行为并消除风险、禁止或限制产品销售、全球网络安全政策法律发展年度报告（2022）-72-下令撤回或召回产品。提案还规定了行政罚款的上限，以供成员国在制定国内立法时参考。下一步，提案将由欧洲议会和理事会进行审查，一旦获得通过并生效，适用主体将有两年时间适应新要求，但产品制造商报告网络漏洞和事件的义务将在一年后生效。9.9.欧盟理事会通过关于欧盟理事会通过关于 ICTICT 供应链安全的结论供应链安全的结论10 月 17 日，欧盟理事会通过关于 ICT 供应链安全的结论（Councilconclusions on ICT supply chain security），旨在加强 ICT 供应链安全，迈出解决 ICT 供应链中不必要的战略性依赖关系的第一步。文件的主要内容包括列举保障 ICT 供应链安全的具体措施（比如公共采购或者国外直接投资审查），详细说明现有及即将出台的网络立法如何保障 ICT供应链安全，并进一步就关于数字基础设施建设的资金支持机制提出建议。文件强调欧盟及其成员国应当以一种全面、战略性的方式处理网络安全问题，不仅是在面对恶意网络攻击时，日常发展 ICT 过程中也应当适当地考量地缘政治环境。理事会认为应当推出关键设施韧性指令（Critical Entities ResilienceDirective），在加强供应链应对网络攻击能力的同时，强化应对各种风险的整体能力。成员国应当尽量避免形成与 ICT 产品及服务关联的不必要战略依赖关系。在保证经济开放的同时实现战略自主是欧盟的关键目标。10.10.英国英国 NCSCNCSC 发布供应链网络安全指南发布供应链网络安全指南10 月 12 日，英国国家网络安全中心（NCSC）发布供应链网络安全指南（Supply chain cyber security），供组织有效评估其供应商网络安全。指南由 NCSC 与跨市场运营弹性小组（CMORG）合作颁布，其主要内容是帮助网络安全专家、风险管理者以及采购专家更好地落实 NCSC 提出的 12 项供应链安全原则。指南指出，根据最新政府数据显示，仅有 13%的企业审查了其直接供应商的风险，审查更广泛的间接供应商的企业比例则更小，仅有 7%。指南描述了典型的供应商关系和可能让其供应链遭受攻击的潜在漏洞，明确了预期结果并列出组织评估供应链安全的 5 个关键步骤：（1）在开始评估前全球网络安全政策法律发展年度报告（2022）-73-明确组织关注供应链网络安全的原因，确定组织中的核心成员，由合适的人支持供应链网络安全，了解组织是如何评估风险的；（2）研发评估供应链网络安全的方法；（3）把形成的方法适用于新的供应关系中，对机构中负责评估供应商的团队进行培训，确保整个合同周期内都能控制网络安全；（4）将现有的评估方案写进供应商合同，确定现有合同并就合同进行风险评估和审查；（5）持续改善，定期评估上述方式及其内容，不断发现新出现的风险并更新相应的供应链网络安全措施，在这一过程中需要注意与供应商之间的协作。11.11.捷克国家安全委员会授权国家网络和信息安全局制定立法捷克国家安全委员会授权国家网络和信息安全局制定立法，对具有战略重要对具有战略重要性的基础设施的供应商进行筛选性的基础设施的供应商进行筛选9 月，捷克国家安全委员会（BRS）授权国家网络和信息安全局（NKIB）制定立法，允许对具有战略重要性的基础设施的供应商进行筛选，从而确保更大的弹性和安全性。BRS 表示，目前的事态发展表明，供应链安全以及供应商在信息和通信技术领域的可靠性对国家和社会关键实体的安全具有根本性影响，从而对国家安全产生根本性影响。技术供应链引发的网络安全威胁早已为人所知，但在捷克的法律体系中，仍然没有全面的法律解决方案能够针对战略基础设施的这些威胁所带来的风险，并对其进行有效评估和降低。该项立法将授权相关州当局评估并限制可能有风险的供应商，并将评估外国主体对供应商的影响。筛查仅涉及对捷克运作至关重要的战略基础设施领域，与此基础设施安全性无关的供应商将不会被筛选。12.12.新加坡网络安全局启动网络安全服务提供商许可框架新加坡网络安全局启动网络安全服务提供商许可框架4 月 11 日，新加坡网络安全局（CSA）宣布根据网络安全法第 5 部分启动 网络安全服务提供商的许可框架（Licensing Framework for CybersecurityService Providers）。网络安全法规定，在新加坡提供渗透测试和托管安全运营中心（SOC）监控服务两类网络安全服务的供应商必须申请许可证才能继续提供此类服务。CSA 称，其中包括直接从事此类服务的公司和个人、支持这些公司的第三方供应全球网络安全政策法律发展年度报告（2022）-74-商以及有权对网络安全服务进行许可的经销商。目前从事其中一种或两种服务类别的现有供应商必须在 2022 年 10 月 11 日之前申请许可证。未能按时取得许可证者将不得不停止提供服务，直到获得许可证为止。13.13.市场监管总局发布市场监管总局发布关于开展网络安全服务认证工作的实施意见关于开展网络安全服务认证工作的实施意见（征求意见征求意见稿）稿）7 月 21 日，市场监管总局发布关于开展网络安全服务认证工作的实施意见（征求意见稿）。征求意见稿指出，市场监管总局、中央网信办、公安部根据网络安全法认证认可条例，就开展国家统一推行的网络安全服务认证工作提出意见。征求意见稿规定，市场监管总局、中央网信办、公安部根据职责，加强认证工作的组织实施和监督管理，鼓励网络运营者等广泛采信网络安全服务认证结果。网络安全服务认证目录由市场监管总局会同中央网信办、公安部根据市场需求和产业发展状况确定并适时调整，现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。征求意见稿规定，网络安全服务认证机构应当根据认证委托人提出的认证委托，按照网络安全服务认证基本规范、认证规则开展认证工作，建立可追溯工作机制对认证全过程完整记录。通过认证的网络安全服务机构应当按照有关法律法规、标准规范的要求开展网络安全服务工作，并自觉接受市场监管部门、网信部门、公安部门的监督管理。（五）（五）数据数据利用与安全保障利用与安全保障1.1.七国集团签署声明，通过促进可信数据自由流动的行动计划七国集团签署声明，通过促进可信数据自由流动的行动计划5 月 11 日，七国集团发表部长级宣言，承诺在数字化环境、数据、数字市场竞争和电子安全等多个主题上实现共同的政策目标。在数据政策方面，宣言提出“可信数据自由流动”（简称 DFFT）这一术语，并指出七国集团已通过促进可信数据自由流动的行动计划（G7 Action Plan Promoting Data Free Flowwith Trust）。全球网络安全政策法律发展年度报告（2022）-75-通过行动计划，七国集团承诺采取以下行动：（1）加强 DFFT 的佐证基础，其中包括更好地了解数据本地化及其影响和替代方案；（2）基于共同点，各国促进未来的互操作性，包括分析标准合同条款 SCC 和增强信任的技术等常见做法；（3）继续开展监管合作，包括围绕隐私增强技术、数据中介、网络跟踪、紧急风险、跨境沙箱以及促进数据保护框架互操作性的监管方法进行讨论；（4）在数字贸易背景下促进 DFFT；（5）分享有关国际数据空间前景的知识，并视为在组织和部门内部进行可信和自愿共享数据的新方法。2.2.美国美国 FTCFTC 发布两项文件，帮助企业遵守健康违规通知规则发布两项文件，帮助企业遵守健康违规通知规则1 月 21 日，美国联邦贸易委员会（FTC）发布两项文件，分别是遵守 FTC健康违规通知规则（Complying with FTC s Health Breach Notification Rule）、健康违规通知规则：业务基础（Health Breach Notification Rule：The Basicsfor Business），帮助企业遵守健康违规通知规则（HBNR）。遵守 FTC 健康违规通知规则明确了 HBNR 适用主体、什么情况下将触发通知义务、通知对象、如何通知、通知应包含的信息等。在判断是否属于适用主体方面，健康违规通知规则：业务基础明确可从以下方面考虑：企业或组织是否有移动应用程序、网站、互联网连接设备或类似技术来保存消费者的健康信息？是否提供产品或服务，或向此类产品发送或接收数据？在为使用这些产品的公司提供服务时，是否处理健康信息？2009 年 8 月，FTC 发布 HBNR，旨在填补 健康保险流通与责任法（HIPAA），明确个人健康记录的供应商（可帮助用户跟踪其健康信息的在线存储库）和为个人健康记录提供第三方应用程序的实体（如计步器等设备，消费者可以将其读数上传到个人健康记录中）在数据违规时的通知义务。HBNR 下的违规行为包括网络安全入侵和未经授权的访问等。3.3.美国白宫发布科技平台监管改革六大原则美国白宫发布科技平台监管改革六大原则9 月 8 日，美国白宫公布大型科技平台监管改革的六项原则，以促进科技行业竞争。六项原则分别是：（1）促进技术领域竞争。通过建立明确的规则，确保全球网络安全政策法律发展年度报告（2022）-76-中小型企业能够在公平的市场环境中竞争；（2）采取强有力的联邦隐私保护措施。对收集、使用、传输和维护个人数据应有明确的限制，包括对定向广告的限制。这些限制应给平台造成压力，以尽量减少他们收集的信息量，而不是让美国公民阅读平台规则。尤其需要对地理位置和健康信息等特别敏感的数据，包括与生殖健康有关的信息，提供强有力的保护；（3）为儿童提供更严格的隐私和在线保护。应要求平台和其他交互式数字服务提供商在产品设计中优先考虑年轻人的安全和福祉，而不是利润和收入，包括限制过度数据收集和针对年轻群体的定向广告；（4）取消对大型科技平台的特殊法律保护。根据通信规范法第 230 条，技术平台目前具有特殊的法律保护，即使平台托管或传播非法、暴力行为或材料，也可以广泛地保护平台免于承担责任。应呼吁对第 230 条进行根本性改革；（5）提高平台算法和内容审核决策的透明度。平台未能提供足够的透明度，让公众和研究人员了解平台决策和内容推送是如何做出的，以及对用户的潜在影响；（6）禁止歧视性算法决策，确保算法不会歧视受保护的群体。4.4.欧盟欧盟 EDPBEDPB 发布关于数据主体权利发布关于数据主体权利访问权的第访问权的第 01/202201/2022 号指南号指南1 月 19 日，欧盟数据保护委员会（EDPB）发布关于数据主体权利访问权的第01/2022号指南（Guidelines 01/2022 on data subject rights-Rightof access），征询公众意见。指南覆盖访问权的各个方面，并就如何在不同情况下履行访问权提供更精确的指导。此外，指南对访问权的范围、数据控制者应向数据主体提供的信息、访问请求的格式、提供访问的主要方式等内容加以明确。指南指出，访问权的总体目标是向数据主体提供关于其个人数据处理的充分、透明和易于获取的信息，以便数据主体能够了解并核实处理行为的合法性和所处理数据的准确性。数据主体不需要为访问请求提供理由，数据控制者也不需要分析该请求是否真的有助于数据主体核实合法性或行使其他权利。数据控制者必须处理该请求，除非该请求显然是根据数据保护规则以外的其他规则提出的。访问权包括三个不同的组成部分：确认数据主体的个人数据是否被处理；访问这些个人数据；以及访问有关处理的信息，如目的、数据类别和对象、处理的期限、数据主体的权利以及在向第三国转移时的适当保障措施。全球网络安全政策法律发展年度报告（2022）-77-5.5.欧盟委员会通过数据法草案欧盟委员会通过数据法草案2 月 23 日，欧盟委员会通过数据法草案（Data Act：Proposal for aRegulation on harmonised rules on fair access to and use of data）。草案涉及数据共享、公共机构访问、国际数据传输、云转换和互操作性等方面规定，旨在确保数字环境的公平性，刺激数据市场，为数据创新驱动提供机会。草案表示监管对象主要为互联网产品制造商、数字服务提供商和用户等。草案主要内容包括：（1）允许联网设备的用户访问由其产生的数据（通常仅由制造商采集）并可向第三方分享这些数据，以便提供售后或其他数据驱动的创新服务；（2）防止企业滥用数据共享合同，以帮助平衡中小企业的谈判权力。草案将保护中小企业免受强势一方强加的不公平合同条款的影响。委员会还将制定标准化的合同条款，确保数据共享合同的公平；（3）私营部门在紧急情况下向公共部门提供所持有的数据。特别是在发生公共紧急事件或在法律授权获得数据的情况下；（4）允许用户在不同的云数据处理服务提供商之间有效切换，并制定了防止非法数据转移的保障措施。6.6.欧盟委员会主席与美国总统欧盟委员会主席与美国总统拜登拜登发表声明发表声明，宣布已就跨大西洋数据流动的新宣布已就跨大西洋数据流动的新框架达成框架达成“原则性共识原则性共识”3 月 25 日，欧盟委员会主席冯德莱恩与美国总统拜登宣布，欧盟与美国就跨大西洋数据传输的新框架达成原则性协议。该框架将促进跨大西洋数据流动，并解决欧盟法院在 2020 年 7 月的 Schrems II 裁决中提出的关切。根据跨大西洋数据隐私框架，美国将制定新的保障措施，以确保情报监视活动在追求确定的国家安全目标方面是必要和相称的，建立一个具有指导补救措施的、有约束力的两级独立补救机制，并加强对情报活动的严格和分层监督，以确保对监视活动的限制。同时，框架将为欧盟公民建立新的机制，如果他们认为自己是情报活动的非法目标，可以寻求补救。7.7.欧盟欧盟 EDPBEDPB 发布关于新的跨大西洋数据隐私框架的声明发布关于新的跨大西洋数据隐私框架的声明4 月 7 日，欧盟数据保护委员会（EDPB）发布关于新的跨大西洋数据隐私框架的声明（Statement 01/2022 on the announcement of an agreement in全球网络安全政策法律发展年度报告（2022）-78-principle on a new Trans-Atlantic Data Privacy Framework）。声明表示，EDPB 欢迎美国做出的承诺，即在欧洲经济区（EEA）的个人数据被转移到美国时采取“前所未有的”措施保护他们的隐私和个人数据。EDPB 指出，该公告并不构成 EEA 数据出口商可以将数据传输到美国的法律框架。数据出口商必须继续采取必要行动以遵守欧盟法院的判例法（CJEU），尤其是2020年7月16日的SchremsII 决定。EDPB 将特别关注如何将这一政治协议转化为具体的法律提案。EDPB 将在收到欧盟委员会的相关文件后，根据欧盟法律、CJEU 判例法和委员会先前的建议，仔细评估新框架可能带来的改进。其中，EDPB 将特别分析出于国家安全目的收集个人数据是否仅限于严格必要和相称的范围。此外，EDPB将审查宣布的独立补救机制如何尊重 EEA 个人获得有效补救和公平审判的权利。更具体地说，EDPB 将调查该机制下部分新的主管部门在执行其公务时是否可以访问相关信息，包括个人数据，以及它是否可以通过对情报服务具有约束力的决定。EDPB 还将考虑是否引入对机构的决定或不作为的司法补救措施。8.8.欧盟委员会发布关于欧洲健康数据空间法规的提案欧盟委员会发布关于欧洲健康数据空间法规的提案5 月 3 日，欧盟委员会发布 关于欧洲健康数据空间法规的提案（Proposalfor a Regulation of the European Parliament and of the Council on theEuropean Health Data Space Act，简称 EHDS），征求公众意见。欧洲数据战略提议建立特定领域的通用欧洲数据空间。EHDS 是此类的第一个提议，将解决电子健康数据访问和共享方面的特定挑战，是欧盟委员会在健康领域的优先事项之一。EHDS 将创建一个自然人可以轻松控制其电子健康数据的公共空间，还将使研究人员、创新者和政策制定者能够以一种保护隐私的受信任和安全的方式使用这些电子健康数据。此次公开征求意见主要包括两个方面的内容：（1）为医疗保健、科研创新、政策和监管决策而访问和使用健康数据；（2）为健康数据服务和产品建立单一市场。7 月 12 日，欧盟数据保护委员会（EDPB）和数据保护专员公署（EDPS）就此提案发布联合意见。联合意见指出，尽管加强数据主体对其个人健康数据控制的做法受到普遍欢迎，但应强调的是，提案主要对 GDPR 中已经规定的数据主体权利进行了补充。事实上，提案甚至可能还会削弱对隐私权和数据保护权的保护，全球网络安全政策法律发展年度报告（2022）-79-尤其是考虑到与数据二次使用相关的个人数据类别和目的。例如，提案中的一些条款将给已经较为复杂的医疗数据处理规定增加了更多附加内容，因此需要对不同立法中的规定进行进一步说明，尤其要澄清提案与 GDPR、成员国法律之间的关系。由于要处理的电子健康数据数量巨大、高度敏感以及存在非法访问的风险，并且要充分确保独立数据保护机构对其的有效监督，两部门呼吁在提案中增加一项要求，将电子健康数据存储在欧洲经济区（EEA），但不影响根据 GDPR 第五章进行进一步传输。9.9.欧盟欧盟 EDPBEDPB 发布关于发布关于 GDPRGDPR 行政罚款计算的第行政罚款计算的第 04/202204/2022 号指南号指南5 月 16 日，欧盟数据保护委员会（EDPB）发布关于 GDPR 行政罚款计算的第 04/2022 号 指 南 （Guidelines04/2022onthecalculationofadministrative fines under the GDPR），以统一各成员国数据保护机构（DPA）行政罚款的计算方法。指南明确罚款计算的统一“起算点”，主要考虑三个要素：侵权行为的性质分类、侵权的严重性和企业的营业额。各 DPA 将遵循相同的方法来计算罚款，进一步提高各成员国罚款实践的协调度和透明度。各 DPA 仍在确保每笔罚款有效、相称且具有预防作用方面发挥重要作用，个案的特殊情况始终应作为案件的决定性考虑因素。10.10.欧盟欧盟 EDPBEDPB 发布执法领域人脸识别技术应用指南发布执法领域人脸识别技术应用指南5 月 16 日，欧盟数据保护委员会（EDPB）发布执法领域人脸识别技术应用指南（Guidelines on the Use of Facial Recognition Technology in theArea of Law Enforcement），征求公众意见。指南为欧盟和成员国立法者以及执法当局使用面部识别技术系统提供指导。EDPB 强调，面部识别工具只能在严格遵守执法指令（LED）的情况下使用。只有在必要和适当的情况下，才应按照基本权利宪章的规定使用此类工具。指南再次呼吁在某些情况下禁止使用面部识别技术，具体包括：（1）在可公开访问的空间中对个人进行远程生物识别；（2）面部识别系统根据个人生物特征、种族、性别以及政治或性取向或其他歧视理由，将个人分类；（3）利用全球网络安全政策法律发展年度报告（2022）-80-面部识别或类似技术来推断自然人的情绪；（4）在执法环境中处理个人数据时依赖于一个大规模和不加选择收集个人数据的数据库，例如通过“抓取”在线访问的照片和面部图片。11.11.欧盟委员会发布问答文件，为标准合同条款欧盟委员会发布问答文件，为标准合同条款 SCCSCC 提供应用指导提供应用指导5月25日，欧盟委员会发布关于GDPR下数据传输标准合同条款的问答文件。问答文件仅供参考，不构成法律建议。2021 年 6 月 4 日，欧盟委员会通过两套标准合同条款，一套供欧洲经济区（EEA）内的控制者和处理者之间使用，另一套用于将个人数据传输到 EEA 以外的国家/地区。此次发布问答文件的目的是提供有关使用 SCC 的实用指南，以协助利益相关者开展合规工作。问答文件涵盖一般性问题、条文修改和签字、SCC与其他合同条款的关系、控制者和处理者之间的标准合同条款、适用范围和传输场景、根据 SCC 传输个人数据时个人的权利、数据输出方和输入方的义务、当地法律和政府准入等方面的问题。12.12.欧盟正式通过欧盟正式通过数据治理法数据治理法5月30日，欧盟议会和欧盟理事会签署通过 数据治理法（Data GovernanceAct，简称 DGA）。6 月 3 日，GDA 在官方公报上公布。DGA 作为欧洲数据战略的重要组成部分，旨在通过数据共享刺激社会数字经济发展，促进数据的可用性，增加对数据共享的信任并为研究和创新服务及产品建立可信的数据使用环境。DGA 将建立公共部门数据再利用机制、创建可供数据中介机构发展的法律框架、促进数据主体基于公共利益自愿提供数据、成立欧洲数据创新委员会，并为非个人数据的国际访问和传输提供法律保障。13.13.欧盟欧盟 EDPBEDPB 发布关于数据跨境传输认证机制的第发布关于数据跨境传输认证机制的第 07/202207/2022 号指南号指南6 月 16 日，欧盟数据保护委员会（EDPB）发布关于数据跨境传输认证机制的第 07/2022 号指南（Guidelines 07/2022 on certification as a tool fortransfers），征求公众意见。GDPR 第 46（2）（f）条引入了经批准的认证机制，作为在没有充分性协议的情况下将个人数据传输到第三国的新工具。指南旨在进全球网络安全政策法律发展年度报告（2022）-81-一步阐明此传输工具的实际使用。指南就如何在实践中使用该工具以及在将个人数据从欧洲经济区传输到第三国时如何帮助维持高水平的数据保护提供指导。具体地，指南由四个部分组成，每个部分都聚焦于认证作为传输工具的具体方面，包括：（1）目的、范围和所涉及的不同参与者；（2）认证机构落实认证要求的指南；（3）用于证明存在适当传输保障措施的特定认证标准；（4）具有约束力和执行力的承诺。14.14.欧盟欧盟 EDPBEDPB 就就 关于确定控制者或处理者主要监管机构的第关于确定控制者或处理者主要监管机构的第 8/20228/2022 号指号指南征求公众意见南征求公众意见10 月 21 日，欧盟数据保护委员会（EDPB）就关于确定控制者或处理者主要监管机构的第 8/2022 号指南（Guidelines 8/2022 on identifying acontroller or processors lead supervisory authority）征求公众意见。此次更新和公共咨询的内容集中于 29-34 段以及附件的第 2 点 d 项，即有关联合数据控制者或处理者主要监管机构的内容。指南明确联合控制者（joint controllers）在确定其各自责任时，除考虑 GDPR 第 26 条规定的内容外，还应当注意各项任务的执行主体、各自的责任义务、数据主体与监管机构之间的联系等。需要注意的是，主要机构（mainestablishment）是与单一控制者关联的概念，每个控制者都能够建立自己的主要机构，但不能扩充到联合控制者的范围。指南附录部分第 2 条 d 项将联合控制者设立范围由“EU（欧盟）”修改为“EEA（欧洲经济区）”，并规定在 EEA 成立的联合控制者的主要监管机构为中央政府所在的国家监管机构。15.15.英国数据跨境流动标准合同条款正式生效英国数据跨境流动标准合同条款正式生效3 月 21 日，英国信息专员办公室（ICO）发布的 国际数据传输协议（IDTA）和欧盟 2021 年标准合同条款附录（英国附录）正式生效。国际数据传输协议（IDTA）可以作为一个独立的协议来执行，以配合主要的商业合同，确保数据传输符合英国数据保护立法。同时，鉴于许多在国际上经营的组织已经有了欧盟标准合同条款。欧盟 2021 年标准合同条款附录（英全球网络安全政策法律发展年度报告（2022）-82-国附录）允许同时遵守英国数据保护法律和欧盟-GDPR 的公司确保国际数据转移，不需要执行一个全新的、独立的机制。英国组织必须在 2024 年 3 月 21 日之前完全执行英国的 SCC，并在此期限内用这些新条款更新现有合同。对于现有合同公司有以下三种选择：（1）继续使用旧的欧盟合同条款；（2）执行新的 IDTA；或（3）在执行欧盟合同条款同时执行新的英国附录。对于 2022 年 9 月 21 日或之后签订的合同，组织必须使用新的英国 SCC，这意味着完全执行 IDTA 或执行英国附录和欧盟 SCC。16.16.英国发布数据共享治理框架英国发布数据共享治理框架5 月 23 日，隶属于英国内阁办公室的中央数字和数据办公室发布数据共享治理框架（Data Sharing Governance Framework），为促进公共部门数据共享提供指导。该框架的目标对象是数据和技术领域的高级领导者，包括：（1）负责为政府组织或部门制定战略和方向的高级领导，包括那些没有特定数据职位的人；（2）数据管理专家；（3）数据共享从业者，即从事数据提供或数据采集工作的人；（4）数据请求者，即定期或偶尔需要访问政府其他部门的数据，但不像数据共享从业者那样专业的人。框架主要侧重于解决公共部门数据共享的非技术障碍，围绕公共部门数据制定明确和共同的治理标准，制定五项原则，其中包括建立数据共享问责制、实现轻松的数据共享、最大化所持有数据的价值以及提高数据的可发现性和互操作性。17.17.英国与韩国就跨境数据传输达成数据充分性原则协议英国与韩国就跨境数据传输达成数据充分性原则协议7 月 5 日，韩国和英国就跨境数据传输达成数据充分性原则协议（Dataadequacy agreement in principle between the UK and Republic of Korea）。这一原则性协议是英国退出欧盟以来的首个独立数据充分性协议，允许在两国间不受限制地进行数据传输和共享。协议旨在促进两国之间可信赖的数据使用和交换，使英国组织能够不受限制地将数据安全地传输到韩国，允许企业在更少限制和无合同保障的情况下共享数据。两国进一步同意就各自数据框架和立法改进开展合作，包括对英国国家数全球网络安全政策法律发展年度报告（2022）-83-据战略和英国通用数据保护条例（UK GDPR）的拟议改革，以及韩国个人信息保护法（PIPA）的拟议修正案。18.18.英国英国 ICOICO 发布三年战略计划发布三年战略计划ICO25-ICO25-以信息赋能公民权利以信息赋能公民权利7 月 14 日，英国信息专员办公室（ICO）公布 2022-2025 年战略计划 ICO25-以信息赋能公民权利（ICO25-Empowering you through information），涉及生物识别、算法公平等举措。该计划是一项三年战略，列出了 ICO 的监管方法和优先事项。ICO 承诺保护最弱势群体的信息权利，包括儿童隐私监管、AI 歧视、福利系统中的算法使用以及掠夺性营销电话（predatory marketing calls）的影响。计划包含四个战略目标：保护和赋予公民权利；赋能负责任的创新经济增长；促进开放、透明和问责；不断发展 ICO 的文化和能力。19.19.英国英国 ICOICO 发布更新后的使用约束性公司规则作为数据传输机制的指南发布更新后的使用约束性公司规则作为数据传输机制的指南7 月 26 日消息，英国信息专员办公室（ICO）发布更新后的使用约束性公司规则作为数据传输机制的指南（Guide to Binding Corporate Rules）。ICO 将约束性公司规则（BCR）视为“黄金标准”转移机制，使用 BCR 表明公司致力于实施适当的保护措施。此次更新是 ICO 在认识到 BCR 申请人可能同时寻求欧盟和英国的 BCR，并且两个司法管辖区的有关 BCR 的要求重叠，BCR 申请人需要为准备相关材料而耗费时间后做出的，旨在简化英国 BCR 的审批流程。20.20.法国国家信息与自由委员会发布个人登录令牌或令牌访问指南法国国家信息与自由委员会发布个人登录令牌或令牌访问指南9 月 8 日，法国国家信息与自由委员会（CNIL）发布个人登录令牌或令牌访问指南（Les jetons individuels de connexion ou token access），对数字令牌身份验证的用途进行评估，分析其带来的安全挑战，并提出最佳实践建议。CNIL 警告，以链接形式制成的访问令牌可能会带来安全风险，因为该令牌可以允许使用者持续访问互联网上的个人数据，如果访问令牌由第三方获取并使用，则可能导致个人数据、用户账户或在线个人空间的完整性或机密性受到损害。同时，如果没有双因素身份验证，单用户远程登录令牌还会导致“额全球网络安全政策法律发展年度报告（2022）-84-外的安全性风险”。为此，CNIL 提出以下建议：（1）记录令牌创建和使用情况；（2）明确令牌的有效期；（3）生成不包含个人数据或变量的身份验证链接；（4）若令牌允许访问个人数据，则强制实施新的身份验证；（5）根据预期目的限制访问次数，例如单次或临时使用；（6）在出现可疑密集型请求时，临时或永久删除对所请求资源的访问权限。21.21.新加坡新加坡 PDPCPDPC、IMDAIMDA 发布数据保护基本要素计划发布数据保护基本要素计划4 月 4 日，新加坡个人数据保护委员会（PDPC）和信息通信媒体发展局（IMDA）推出数据保护要素计划（Data Protection Essentials（DPE）programme），旨在帮助中小型企业（SME）获得基本水平的数据保护和安全实践，以保护客户个人数据和在数据泄露的情况下快速恢复。根据 DPE，SME 需满足以下条件：（1）在新加坡注册和经营；（2）拥有至少 30%的当地股权；（3）集团年销售额不超过每年 1 亿新元，或集团雇员人数不超过 200 人。实施 DPE 将通过以下方式使 SME 受益：（1）新成立或收集和使用个人数据的 SME 可以采用加密和备份安全解决方案；（2）更密集地收集和使用个人数据的 SME 可以获得在 IMDA 注册的服务提供商提供的一站式专业服务，帮助 SME 建立基本的数据保护和安全能力。实施 DPE，将会在 IMDA 的网站上列出并授予 DPE 标志，以彰显 SME 为实施基本数据保护和安全实践所做的努力。如果发生 PDPA 规定的数据泄露事件，PDPC 可能会将企业实施 DPE 视为采取了安全保护措施。22.22.新加坡新加坡 PDPCPDPC 发布在安全应用中负责任地使用生物特征数据的指南发布在安全应用中负责任地使用生物特征数据的指南5 月 17 日，新加坡个人数据保护委员会（PDPC）发布在安全应用中负责任地使用生物特征数据的指南（Guide on the Responsible Use of BiometricData in Security Applications），帮助管理公司、建筑/场所所有者和安全服务公司等组织，负责任地使用安全摄像头和生物识别系统，保护收集、使用或披露的个人生物识别数据。指南包括以下三个部分：关键术语定义；负责地收集、使用和披露生物特征数据的最佳实践；PDPA 义务如何适用于生物识别数据。全球网络安全政策法律发展年度报告（2022）-85-23.23.新加坡新加坡 PDPCPDPC 发布区块链设计个人数据保护注意事项指南发布区块链设计个人数据保护注意事项指南7 月 18 日，新加坡个人数据保护委员会（PDPC）发布区块链设计个人数据保护注意事项指南（Guide on Personal Data Protection Considerationsfor Blockchain Design），通过澄清在部署区块链应用程序时应如何遵守个人数据保护法（PDPA），帮助组织采用区块链，以确保对客户个人数据进行更负责任的管理。指南适用于以下主体：（1）管理、配置和运营区块链的网络和联盟，即区块链运营商；（2）在区块链上设计、部署和维护应用程序的服务商，即应用服务提供商；（3）使用区块链的申请者，即参与组织。指南正文由两部分组成：第一部分介绍了指南制定的目标和背景，并对区块链及区块链可能会产生的个人数据保护风险和注意事项进行介绍；第二部分区分“非许可链”（permissionless blockchain）和“许可链（permissionedblockchain）”两种不同类型的区块链，详细介绍应如何设计区块链应用，以符合 PDPA 要求。指南指出：（1）除非获得个人关于公开披露其个人数据的同意，否则企业不应将个人数据存储在“非许可链”上；（2）企业应采取技术管理等措施，确保“许可链”上的个人数据安全，如对“许可链”上的个人数据进行加密或匿名化处理；（3）企业应同时将个人数据存储在可通过传统权限控制措施进行管理的链外环境中，进一步降低个人数据保护风险。指南附件“为区块链制定数据保护管理计划”详细列举了当区块链应用程序涉及个人数据时，企业应当采取的具体措施。24.24.越南颁布法令详细说明网络安全法数据本地化要求越南颁布法令详细说明网络安全法数据本地化要求8 月 15 日，越南政府发布第 53/2022/ND-CP 号法令（Ngh nh53/2022/N-CP hng dn Lut An ninh mng），详细说明越南网络安全法的一些条款，法令已于 2022 年 10 月 1 日生效。越南网络安全法已经起草、修订并等待实施