网络安全政策法律动态--域外动态(2017年11月版)
1新加坡发布《数据保护管理程序指南》
11月1日,新加坡个人数据保护委员会发布《数据保护管理程序指南》(Guide to Development a Data Protection Management Programme,以下简称《指南》),旨在通过实施数据保护管理程序(DPMP),帮助组织开发和促进自身的个人数据保护政策和实践。
《指南》定义的DPMP包括管理与处理个人数据相关的政策和程序,定义个人数据保护人员的角色和职责两大主要部分,能够增加组织在数据保护方面的可审计性,增强利益相关方的信心,改善消费者与组织之间的信任关系。根据《指南》的规定,DPMP包括开发数据保护政策,设定数据保护角色和职责,设计政策实施的程序,保持相关性的具体方法等四个主要环节。
在数据保护政策方面,《指南》认为有效的数据保护政策应当设定满足《个人数据保护法》规定的具体方向和策略,至少包括18项具体事项,并确保数据保护政策能够清晰地传达给组织内外部的相关方。
在人员角色和职责方面,《指南》在组织内部确立了高级管理人员和数据保护专员(DPO)的角色和职责,在组织外部定义了服务提供者和消费者的角色和职责。
在政策实施程序方面,《指南》认为组织应当在整个数据生命周期内考虑数据保护政策的实施,涵盖商业过程、系统、产品和服务。在这一过程中,组织应当将个人数据流动文档化,帮助组织了解个人数据是如何被收集、存储、使用、披露和处理的;识别实施数据保护的关键领域;将数据保护的最佳实践整合进商业过程、系统、产品和服务;建立风险报告机制。
在保持政策的相关性方面,《指南》认为组织应当监控内外部的安全环境,定期实施数据保护政策与实践审查;确保员工和外部利益相关方获悉数据保护政策和实践的变更情况;验证DPMP的有效性。
(公安部第三研究所网络安全法律研究中心编译)
指南原文链接:
https://www.pdpc.gov.sg/docs/default-source/other-guides/dpmp-dpia/guide-to-developing-a-dpmp---011117.pdf?sfvrsn=0
2新加坡发布《数据保护影响评估指南》
11月1日,新加坡个人数据保护委员会发布《数据保护影响评估指南》(Guide to Data Protection Impact Assessments,以下简称《指南》),旨在通过指导建立数据保护影响评估(DPIA)过程,帮助组织更好地遵从《个人数据保护法》。
DPIA基于组织的功能、需求和程序,识别、评估和处理个人数据保护风险。根据《指南》的界定,一项有效的DPIA应当包括五项主要环节,即识别系统和程序中的个人数据;识别系统和程序中的个人数据流动;通过分析数据处理与《个人数据保护法》和最佳安全实践的冲突情况,识别数据保护风险;通过修正系统或程序设计,引入新的组织政策,应当识别的安全风险;确保识别的安全风险在系统和程序投入使用前得到充分的解决。
《指南》认为,解决数据保护风险的最佳时机应在设计新系统和程序或变更系统和程序的时候,为此,组织应当在创建处理个人数据的新系统和程序,变更处理个人数据的系统和程序,变更处理个人数据相关部门的组织架构的情况下实施DPIA。《指南》定义了包括DPIA需求评估、DPIA计划、识别个人数据及其流动、识别和评估数据保护风险、创建行动计划、实施和监控行动计划等六个步骤在内的DPIA生命周期。
《指南》建议,组织在实施DPIA前,应当评估是否需要实施DPIA,其中重点考虑组织项目是否涉及个人数据的收集、使用、传输、披露或存储。确定需要实施DPIA后,组织应当开发包括项目描述、DPIA目标、定义风险评估框架和方法、相关方、DPIA时间节点等内容在内的DPIA计划。在识别系统和程序中处理个人数据及其流动情况的基础上,分析数据处理与《个人数据保护法》和最佳实践的冲突情况,识别个人数据流动可能产生的《个人数据保护法》违反情况,评估潜在的数据保护风险。其后,组织应当针对识别的数据保护风险创建行动计划,确保数据保护风险得到有效解决。
(公安部第三研究所网络安全法律研究中心编译)
指南原文链接:
https://www.pdpc.gov.sg/docs/default-source/other-guides/dpmp-dpia/guide-to-dpias---011117.pdf?sfvrsn=0
3特朗普政府计划制定新“网络安全战略”
11月3日消息,白宫国土安全顾问Tom Bossert近日表示,考虑到奥巴马时代的网络计划与战略正在新的历史背景下迅速过时,特朗普政府正在计划建立一项新的网络安全战略。该战略将遵循特朗普今年5月发布的网络安全总统行政令大纲,具体启动时间尚未确定。Bossert透露新网络安全战略与此前的总统行政令一样,可能由以下三大部分组成:
1)提升联邦政府计算机网络安全性;
2)利用政府资源更好地保护诸如医院、银行与金融企业等关键信息基础设施;
3)在网络空间建立良好行为规范,同时惩治不良行为。
奥巴马政府在2009年入主白宫后不久即启动了网络空间政策审查工作,并发布一系列计划与战略,例如2011年的《国际网络战略》、2016年的《网络安全国家行动计划》。Bossert解释称,这些文件确实起到了一定作用,但网络空间的本质导致这些计划很快即告过时。例如,早期的文件并未考虑到量子计算可能对加密机制造成的威胁,亦未将区块链技术的价值纳入其中。此外,Bossert强调白宫的目标是通过实施计划将网络风险降低至可管理的水平,并每隔几年对原有机制进行淘汰或者调整。
发表于2017年11月3日,链接:
http://www.nextgov.com/cybersecurity/2017/10/trump-administration-plans-new-cybersecurity-strategy/142014/
4新加坡发布《关于网络安全法案草案公众意见报告》
11月13日,新加坡通信部(Ministry of Communications and Information,MCI)以及网络安全局(Cyber Security Agency,CSA)发布《关于网络安全法案草案公众意见报告》(Report on Public Consultation on the Draft Cybersecurity Bill)(以下简称《报告》)。7月10号至8月24号,MCI与CSA曾就《网络安全法草案》征求公众意见。《报告》指出,MCI与CSA共收到了92份建议书。整体来看,公众对草案持支持态度,但也有对网络安全管理机制、CII的监管机制、许可证制度等提出异议,例如:
1)关于CII的认定,部分意见认为草案对于CII的定义太过宽泛,应当进一步明确可能被认定为CII的计算机和计算机系统的定义。新加坡政府表示将进一步明确上述定义,并希望将供应链中支持CII运行的计算机系统排除在CII的范畴外。
2)关于网络安全服务许可制度,有意见指出许可证制度可能影响新加坡网络安全生态系统的生机与发展,并质疑拟议的许可框架将如何处理白帽子、网络安全风险评估和审计服务等其他形式的网络安全服务。对此,新加坡政府表示为促进网络安全服务的发展,将考虑在更狭义的范围内引入许可框架,只要求渗透测试和安全管理运营中心监测服务需要许可,其他网络安全服务则不要求。此外,对于网络安全从业人员的许可制度,考虑到反馈的意见,新加坡政府表示将取消个人网络安全专业人员的许可,建立网络安全从业人士的自愿认可制度。
3)关于网络安全信息共享框架,有意见对于共享信息的保密性表示担忧,认为可能会泄露知识产权等敏感的商业信息。新加坡政府表示,草案中已经明确对敏感信息将谨慎处理。
此外,还有诸多意见对关键基础设施所有者的认定、义务,风险评估和审查制度等提出异议。草案预计在2018年初提交议会审议。
(公安部第三研究所网络安全法律研究中心编译)
报告原文链接:
https://www.csa.gov.sg/~/media/csa/cybersecurity_bill/public_consultation_report.ashx?la=en
5特朗普政府发布新VEP机制,增加VEP透明度
11月15日,特朗普政府发布了《美国政府漏洞衡平政策和程序》(Vulnerabilities Equities Policy and Process for the United States Government)。该文件详细说明了联邦政府将如何确定政府是否应向私营公司披露其产品或服务中存在的网络安全漏洞,或避免披露漏洞以便用于业务或情报收集目的的程序,主要内容包括:
1)明确VEP衡平审查委员会的机构为国土安全部(DHS)、国家情报总监办公室(ODNI)、财政部(DOT)、国务院(DOS)、司法部(DOJ)、能源部(DOE)、白宫行政管理和预算办公室(OMB)、国防部(DOD)等十个部门。
2)国家安全局(NSA)将在国防部长的授权和指示下作为VEP的执行秘书处为VEP的管理提供支持,并规定执行秘书处应当保持中立和独立。
3)漏洞披露审查过程中需要考量四大因素包括:防御性衡平考量(Defensive Equity Considerations),情报、执法以及运行衡平考量(Intelligence, Law Enforcement, and Operational Equity Considerations),商业衡平考量(Commercial Equity Considerations),国际合作衡平考量(International Partnership Equity Considerations)。其中防御性衡平考量的因素包括:威胁因素、影响力因素、缓解因素、安全漏洞因素;情报、执法以及运行衡平考量的因素包括:运行价值、运行影响;商业衡平考量的因素主要涉及漏洞披露对于政府和行业的关系将带来何种风险;国际合作衡平考量主要考虑的是漏洞披露会对美国政府的国际关系带来何种风险。
此外,该文件还指出,对于新发现的漏洞漏洞,美国政府除了决定披露与不披露之外,还有其他选择。例如:向实体披露缓解信息而不泄露具体的漏洞,限制政府的漏洞利用行为,使用间接方式向供应商披露该漏洞信息等。该文件还对VEP审查做出了例外规定,明确与合作协议和敏感行动有关的漏洞会排除在VEP审查之外。
(公安部第三研究所网络安全法律研究中心编译)
文件原文链接:
https://www.whitehouse.gov/sites/whitehouse.gov/files/images/External%20-%20Unclassified%20VEP%20Charter%20FINAL.PDF
6澳大利亚政府发布《数字化身份框架》咨询文件
11月16日,澳大利亚政府公布了《可信数字化身份框架》( Trusted Digital Identity Framework)的公开咨询文件,其中对公民数字化身份信息的管理工作作出规,据悉该框架将与Govpass数字化平台配合起效。
该咨询文件包含14份草案:1)可信框架结构及概述;2)可信框架认证流程;3)术语表;4)隐私评估;5)IRAP评估;6)核心隐私要求;7)核心安全保护要求;8)核心用户体验要求;9)核心风险管理要求;10)核心欺诈管制要求;11)数字化身份证明标准;12)数字化身份验证证书标准;13)信息安全归档指南;14)风险管理指南。
其中,核心隐私要求指出在可信身份框架下隐私要求必须满足,包括:隐私管理、隐私影响评估、数据泄露响应管理、个人信息收集的通知、收集和使用限制、事先同意、跨境传输、个人信息质量原则等。核心安全保护要求明确了在可信身份框架下必须提供的、针对身份系统的最低安全管制。核心风险管理要求明确了必须落实的风险缓解责任。核心欺诈管制要求明确了对于欺诈的预防、检测、报告、调查和支持受欺诈受害者等工作的管制。
(公安部第三研究所网络安全法律研究中心编译)
英文发表于2017年11月16日,链接:
http://www.zdnet.com/article/government-reveals-draft-digital-identity-framework/
7美国联邦通信委员会发布《恢复互联网自由令草案》
11月21日,美国联邦通信委员会(FCC)发布《恢复互联网自由令草案》(Restoring Internet Freedom Order Draft)。该草案旨在摒弃2015年FCC对于互联网建立的“公共事业监管模式”,恢复以市场为导向的监管模式,以维护互联网自由。
FCC主席阿吉特·帕伊当天发表声明表示,奥巴马政府2015年推出的“网络中立”规定对互联网实施“严厉的、公共事业式的监管”,抑制了网络服务提供商扩建宽带网的投资和创新。其指出联邦政府应停止对互联网的微观管理,FCC只要求互联网服务提供商对他们的做法透明,这样消费者可以购买最适合他们的服务计划,企业家和其他小企业可以获取他们需要的技术信息来进行创新。
草案的主要内容包括:1)恢复信息服务分类中对于宽带接入服务的分类,将宽带互联网接入业务重新划分为“信息服务”,恢复移动宽带接入业务的专用移动业务分类,并明确重归“信息服务”门类对其他监管框架的影响。2)通过透明度要求,明确互联网服务提供商(ISPs)应当向消费者、企业家和FCC披露其做法的信息。恢复联邦贸易委员会保护在线消费者免受不公平、欺骗和反竞争行为的能力,以较低的成本实现相应的效益以及消除模糊和不断扩张的网络行为规范等。据悉,FCC将在12月14日对该草案进行表决。
(公安部第三研究所网络安全法律研究中心编译)
发表于2017年11月22日,链接:
http://news.xinhuanet.com/world/2017-11/22/c_1121994233.htm
草案原文链接:
http://transition.fcc.gov/Daily_Releases/Daily_Business/2017/db1122/DOC-347927A1.pdf