作者：金茂律师事务所  万波 律师  徐冰清 律师  王书玥 律师助理

摘要：金茂律师事务所合规团队致力于网络安全与数据合规领域研究，帮助企业实施网络安全与数据合规领域的风险识别、解决方案及防控体系建设。我们团队持续关注网络安全与数据合规国内外法律法规和最新案例并进行分享。

立法动态

1、工信部：将研究制定车联网等领域的数据安全重要标准

7月16日，在国务院新闻办新闻发布会上，工信部新闻发言人、信息通信管理局局长赵志国就数据安全管理工作的落实表示，下一步，工信部将开展行业数据安全监管，提升数据安全监管能力建设，促进数据安全产业发展等工作。赵志国表示，数据是国家基础战略资源和重要的生产要素。为推进信息通信行业数据安全管理工作，工信部出台了《电信和互联网行业数据安全标准体系建设指南》，研究发布了行业网络数据分级分类、重要数据识别等多项行业标准，开展了行业网络数据安全保护能力提升专项行动，印发《电信和互联网企业网络数据安全合规性评估要点（2020年）》，建成了网络数据安全公共服务平台，依法加强行业数据安全监督检查，组织腾讯、百度等133家企业签署了数据安全自律公约，引导企业落实主体责任，组织开展试点示范，加强数据安全关键技术研发和推广应用。赵志国指出，下一步，工信部将在国家相关法律和机制框架下，依据职责，围绕以下几方面开展工作，即：行业数据安全监管，提升数据安全监管能力建设，促进数据安全产业发展等。一是出台数据安全管理制度。二是建立数据安全的认证体系。三是开展数据安全的监督检查。四是促进数据安全产业发展，通过重点实验室、创新技术中心等措施，支持数据安全关键技术攻关。（来源：央广网）

2、工信部等三部门发布《网络产品安全漏洞管理规定》 自9月1日起施行

据工信部网站7月13日消息，工信部、国家网信办、公安部发布通知，将《网络产品安全漏洞管理规定》（以下简称《规定》）予以发布，自2021年9月1日起施行。根据《规定》，中华人民共和国境内的网络产品（含硬件、软件）提供者和网络运营者，以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人，应当遵守本规定。《规定》提出，任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动，不得非法收集、出售、发布网络产品安全漏洞信息；明知他人利用网络产品安全漏洞从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。同时，网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通，留存网络产品安全漏洞信息接收日志不少于6个月。《规定》明确，利用网络产品安全漏洞从事危害网络安全活动，或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的，由公安机关依法处理；构成《中华人民共和国网络安全法》第六十三条规定情形的，依照该规定予以处罚；构成犯罪的，依法追究刑事责任。（来源：工信部官网）

3、《网络安全审查办法（修订草案征求意见稿）》发布

7月10日，国家互联网信息办公室会同有关部门修订的《网络安全审查办法（修订草案征求意见稿）》（以下简称《办法》）向社会公开征求意见，征求意见截止日期为2021年7月25日。《办法》旨在确保关键信息基础设施供应链安全，维护国家安全。明确网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。《办法》提出，运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。《办法》规定，网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害；产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章情况；核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；其他可能危害关键信息基础设施安全和国家数据安全的因素。《办法》明确，运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。网络安全审查办公室通过接受举报等形式加强事前事中事后监督。此外，运营者违反本办法规定的，依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。（来源：国家网信办官网）

4、新型数据中心三年行动计划发布 绿色低碳成关键词

工信部日前印发《新型数据中心发展三年行动计划（2021-2023年）》（下称《行动计划》），提出用3年时间，基本形成布局合理、技术先进、绿色低碳、算力规模与数字经济增长相适应的新型数据中心发展格局。其中，到2021年底，全国数据中心平均利用率力争提升到55%以上，新建大型及以上数据中心电能利用效率（PUE）降低到1.35以下。到2023年底，全国数据中心机架规模年均增速保持在20%左右，新建大型及以上数据中心PUE降低到1.3以下，严寒和寒冷地区力争降低到1.25以下。工信部信息通信发展司有关负责人表示，与传统数据中心相比，新型数据中心具有高技术、高算力、高能效、高安全等特征，在数字化日益普及的今日，新型数据中心能更好支撑新一代信息技术加速创新，加快推动制造强国和网络强国建设。《行动计划》提出，到2023年底，全国数据中心机架规模年均增速保持在20%左右。平均利用率力争提升到60%以上，总算力超过200　EFLOPS，高性能算力占比达到10%。国家枢纽节点算力规模占比超过70%。在优化建设布局上，《行动计划》要求加快建设国家枢纽节点。推动京津冀、长三角、粤港澳大湾区、成渝等国家枢纽节点适当加快新型数据中心集群建设进度，实现大规模算力部署，满足重大区域发展战略实施需要。贵州、内蒙古、甘肃、宁夏等国家枢纽节点重点提升算力服务品质和利用效率，打造面向全国的非实时性算力保障基地。值得一提的是，《行动计划》着重引导新型数据中心走高效、清洁、集约、循环的绿色低碳发展道路。包括加快先进绿色技术产品应用，鼓励应用高密度集成等高效IT设备、液冷等高效制冷系统等；提升高效清洁能源利用水平，鼓励企业探索建设分布式光伏发电、燃气分布式供能等配套系统，引导新型数据中心向新能源发电侧建设，就地消纳新能源；优化绿色管理能力，支持对高耗低效的数据中心加快整合与改造等。（来源：经济参考报）

5、商务部等三部门：鼓励数字经济企业加快布局海外研发中心，积极融入数字经济全球产业链

据商务部7月23日消息，近日，商务部、中央网信办、工信部印发《数字经济对外投资合作工作指引》（下称指引）。指引明确，要积极融入数字经济全球产业链，加快推进数字基础设施建设，推动传统行业数字化转型，优化数字经济走出去布局。指引称，推动数字经济对外投资合作，要积极融入数字经济全球产业链。鼓励数字经济企业加快布局海外研发中心、产品设计中心,汇聚全球创新要素，加强与境外科技企业在大数据、5G、人工智能、区块链等数字技术领域开展合作，联合研发前沿技术。鼓励开展数字技术产业化国际合作，加快国外先进技术与国内产业化优势对接融合，带动数字产品和服务贸易。鼓励企业加强国际上下游产业链合作，提升国际化发展水平。指引强调，要做好数字经济走出去风险防范。鼓励数字经济企业完善内部合规制度，严格落实我国法律法规有关数据出境安全管理的规定，遵守东道国法律法规及国际通行规则，妥善应对数字经济领域审查和监管措施。提高知识产权保护意识，健全数据安全管理制度，采取必要技术措施，保护数据安全和个人信息，支持企业通过法律手段维权。密切跟踪全球数字经济反垄断及加征数字税最新政策动向，做好应对准备。（来源：央广网）

6、《5G应用“扬帆”行动计划（2021-2023年）》

近日，工业和信息化部联合中央网信办、国家发展和改革委等9部门印发《5G应用“扬帆”行动计划（2021-2023年）》（工信部联通信〔2021〕77号，下称《行动计划》），为推动政策加快落地，回应社会关切，现对《行动计划》有关内容解读如下：《行动计划》结合当前5G应用现状和未来趋势，确立了未来三年我国5G发展目标。到2023年，我国5G应用发展水平显著提升，综合实力持续增强。打造IT（信息技术）、CT（通信技术）、OT（运营技术）深度融合新生态，实现重点领域5G应用深度和广度双突破，构建技术产业和标准体系双支柱，网络、平台、安全等基础能力进一步提升，5G应用“扬帆远航”的局面逐步形成。《行动计划》从加强5G应用安全风险评估、开展5G应用安全示范推广、提升5G应用安全评测认证能力、强化5G应用安全供给支撑服务四个方面进行了规划部署，提升5G安全保障水平。一是加强5G应用安全风险评估。二是开展5G应用安全示范推广。三是提升5G应用安全评测认证能力。四是强化5G应用安全供给支撑服务。（来源：工业和信息化部网站）

7、六部门：支持开发适用于中小学生使用的安全浏览器

近日，教育部等六部门印发《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》（以下简称《意见》），提出到2025年，基本形成结构优化、集约高效、安全可靠的教育新型基础设施体系，并通过迭代升级、更新完善和持续建设，实现长期、全面的发展。《意见》强调，要加强统筹协调、健全标准规范、提升支撑能力、完善经费保障、强化监督评价。由各级教育行政部门牵头，建立多部门参与的协同推进机制，协调解决重大问题，省级教育行政部门要制定本地区教育新基建的实施方案，会同相关部门将教育新基建纳入本地区的教育“十四五”发展规划、网信规划和地方新基建支持范围；国家和省级教育行政部门应建立覆盖信息网络、平台体系、数字资源等方面的标准规范体系，重点制定平台建设、数据治理、网络安全等方面的标准；各级教育行政部门应加强管理、技术、服务队伍建设；地方各级教育、发展改革、财政、通信、工业和信息化等部门应加强统筹协调，优化支出结构，通过相关经费渠道大力支持教育新基建；各地教育督导部门应将教育新基建重点任务纳入对下级政府履行教育职责督导评估和对学校的综合督导评估。（来源：央视网）

8、《广播电视网络安全等级保护基本要求》行业标准正式发布

日前，国家广播电视总局发布了广播电视和网络视听行业标准《广播电视网络安全等级保护基本要求》（GY/T 352—2021）。根据标准，广播电视网络安全等级保护由低到高被划分为五个安全保护等级，本文件规定了其中第一级到第四级等级保护对象的安全通用要求和安全扩展要求（第五级等级保护对象是非常重要的监督管理对象，对其有特殊的管理模式和安全要求，所以不在本文件中进行描述），适用于指导分等级的非涉密对象的安全建设和监督管理。对于涉及国家秘密的网络，应按照国家保密工作部门的相关规定和标准进行保护。（来源：国家广播电视总局）

9、浙江等多地探索公共数据分类分级，地方尝试或为国家标准提供经验

近日，浙江省针对公共数据分级分类发布首个省级地方标准——《数字化改革 公共数据分类分级指南》（下称《指南》），并将于8月5日起在全省范围内正式实施。随着《数据安全法》落地，建立数据分类分级保护制度、实行分类分级保护等规定逐渐渗透到了日常的数据管理中。公共数据资源的开放和利用是培育数据要素市场的重要举措，因而针对其分类分级制度的探索也已在多地展开。在数据分类上，浙江省的《指南》从数据管理、业务应用、安全保护、数据对象四大维度，将公共数据分成了30余个子项。《指南》根据公共数据破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益（受侵害客体）的危害程度来确定数据的安全级别，共分为4级，由高至低分别为：敏感数据（L4级）、较敏感数据（L3级）、低敏感数据（L2级）、不敏感数据（L1级）。目前，广东、天津等多地都已重视公共数据资源分类分级规则的制定。如去年7月《天津市公共数据资源开放管理暂行办法》规定市互联网信息主管部门组织制定公共数据资源分类分级规则；日前印发的《广东省数据要素市场化配置改革行动方案》亦指出，建立公共数据资源分类分级管理制度。（来源： 21世纪经济报道）

执法动态

1、“清朗·暑期未成年人网络环境整治”专项行动启动

7月22日，为营造未成年人良好上网环境，有效解决网络生态突出问题，中央网信办决定即日起启动“清朗·暑期未成年人网络环境整治”专项行动。此次专项行动聚焦解决7类网上危害未成年人身心健康的突出问题。一是直播、短视频平台涉未成年人问题。二是未成年人在线教育平台问题。全面清理在线课程中色情低俗、血腥暴力及其他导向不良内容，严禁推送网络游戏、低俗小说、娱乐直播等与学习无关的广告信息，及时处置互动评论区攻击谩骂、教唆不良交友等内容。三是儿童不良动漫动画作品问题。四是论坛社区、群圈等环节危害未成年人问题。五是网络“饭圈”乱象问题。六是不良社交行为和不良文化问题。七是防沉迷系统和“青少年模式”效能发挥不足问题。（来源：人民网）

2、国家互联网信息办公室等七部门进驻滴滴出行科技有限公司开展网络安全审查

网络安全审查办公室有关负责同志表示,按照网络安全审查工作安排,7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。（来源：中国网信网）

3、北京市教委：规范教育类APP安全威胁整改工作

近日，北京市教育委员会、中共北京市委网络安全和信息化委员会办公室以及北京市公安局三部门联合发布了《关于规范教育类APP安全威胁整改工作的公告》（下称《公告》），《公告》要求教育移动应用提供者要及时登录备案管理平台，查看安全威胁通报，并按期进行整改。《公告》指出，各单位应定期（建议每周）登录备案管理平台，查看安全威胁通报，按期整改并在平台上进行“处置”（经复测显示“审核通过”后即为完成整改）。若未按期完成整改，市教委将向社会通报；若通报后仍未按要求整改，将联合市网信、公安等部门进行约谈，依法依规对相关APP采取暂停更新、关闭下架等措施。（来源: 芥末堆看教育）

司法审判

1、腾讯计算机公司、腾讯科技公司诉搜道公司、聚客通不正当竞争纠纷案系首例涉及微信数据权益认定的案件

基本案情：原告深圳市腾讯计算机系统有限公司、腾讯科技（深圳）有限公司（以下简称“两原告”），共同开发运营的个人微信产品，为用户提供社交通讯服务。被告浙江搜道网络技术有限公司、杭州聚客通科技有限公司（以下简称“两被告”）共同开发运营“聚客通群控软件”，该软件采用Xposed外挂技术将“聚客通群控软件”的“个人号”功能嵌入微信产品中，通过上述方法在该软件中操作微信（包括微信聊天、创建朋友圈等）、自动化、批量化朋友圈内容自动点赞、群发消息等，监控并存储微信数据，以此帮助购买此软件的微信用户进行商业营销、商业活动管理。两原告称其对微信产品所产生的数据具有合法的权益，两被告擅自抓取微信产品数据的行为构成不正当竞争。两被告认为，微信产品中的数据系微信用户提供的信息，该数据应当归微信用户所有，原告对此不享有任何数据权益，无权就此主张权利。

裁判结果：人民法院判令两被告立即停止涉案不正当竞争行为，即立即销毁已收集、存储的微信产品用户数据，赔偿两原告经济损失及为制止不正当竞争行为所支付的合理费用共计260万元，并于腾讯网首页连续十日刊登声明为两原告消除影响。

裁判要旨：两原告主张享有的微信平台数据权益，可以分为两种数据形态，一是数据资源整体，二是单一数据个体，网络平台方对于数据资源整体与单一原始数据个体所享有的是不同的数据权益。本案中两原告主张享有数据权益的用户信息系微信用户的个人身份数据或行为数据，微信平台只是将微信用户提供的用户信息作了数字化记录，并非微信产品所产生的衍生数据，数据采集主体仅有权享有其劳动所增加的价值而不是原始数据的全部价值。故两被告擅自收集、存储或使用单一微信用户数据的仅涉嫌侵犯该微信用户个人信息权益，两原告不能因此而主张损失赔偿。但被诉侵权软件的运行危及了微信产品用户的个人数据安全，两原告作为微信产品用户数据的收集、存储、使用方，对于微信用户数据负有提供安全保障的法定义务，其对于两被告侵害微信产品用户个人数据安全的行为应当有权请求予以禁止。但微信平台数据就数据资源整体概念而言，两原告依法享有竞争性权益。微信数据资源系两原告经过长期人力物力财力投入、经营积累聚集而成，同时数据资源的积累使其获得了开发衍生产品获取增值利润的机会空间，已经成为两原告获取市场收益的基本商业模式和核心竞争力，故两原告依法享有竞争性权益。如果两被告破坏性使用该数据资源，则构成不正当竞争，两原告有权要求获得赔偿。

小结：该案在平衡各相关方权益关系的基础上对用户、平台、第三方数据权益的性质和边界问题进行了界定，明确的指出尽管数据是源于用户，但是单一的数据和通过技术资本劳动力的投入汇聚而形成的数据的整体是有所不同的，投入技术资本劳动力应当享有竞争性权益。且基于网络资源具有“共享”的特质，单一用户数据权益的归属并非谁控制谁享有，使用他人控制的用户数据只要不违反“合法、正当、必要、不过度、征得用户同意”的原则，一般不应被认定为侵权行为。

新闻事件

1、2021年国家网络安全宣传周河北活动网络安全博览会招展

按照《2021年国家网络安全宣传周河北活动实施方案》总体安排，由省委网信办等11部门联合主办的2021年国家网络安全宣传周河北活动，将于9月13日至19日举办。网络安全博览会作为网安周河北活动的重要内容，将与网安周开幕式同期在石家庄举办。博览会计划采取多样化展台布置形式，着力增加参与性、趣味性和互动体验性，充分展示省内外网信企业新技术、新产品、新应用，并以直观生动的方式宣传普及网络安全知识，提升全社会网络安全意识和防护技能。主办方将组织省直部门、石家庄市直部门和各界群众参展观展，洽谈交流合作。现面向全社会网信企业和网络安全机构征集参展意向，具体参展方式、参展内容将根据场地情况进一步协商确定。（来源：博颖聊娱乐）

2、2021第18届中国网络安全年会·安全能力体系建设论坛圆满举办

2021年7月21日，第十八届中国网络安全年会的安全能力体系建设分论坛在北京国际会议中心拉开帷幕。本次论坛由国家计算机网络应急技术处理协调中心指导，360政企安全集团主办，集聚来自国家计算机网络应急技术处理协调中心、政府部门、科研院所、主流安全厂商的安全专家和学者，紧扣“携手应对数据安全威胁挑战”主题，探讨护航数字化转型的安全能力体系建设经验，为中国网络安全能力体系建设出谋划策，取得预期效果。国家计算机网络应急技术处理协调中心党委副书记卢卫在开场致辞中表示，当今世界正经历百年未有之大变局，技术产业体系之变、大国竞争格局之变、国际经济治理之变，都对网络空间安全产生重要影响。网络安全能力体系建设愈加紧迫，安全能力的重要意义进一步凸显。建设网络安全能力体系，一是要紧贴重点需求，发展安全新能力。将国家网络安全保障需求作为驱动力，为人民群众带来网络空间的获得感幸福感安全感。二是要突出技术创新，研究安全新课题。不断优化完善网络安全模式，共同探索创新网络安全方式方法。三是要聚焦体系建设，构建安全新生态。政府、行业、企业、技术机构等各方协力合作，营造健康安全生态，共同推动网络安全产业发展壮大。（来源：互联网志）

3、武汉二十二届网络安全技能大赛启暨网络安全预备队成立会圆满举行

2021年7月23日，武汉市第二十二届职业技能大赛网络安全技能大赛启动仪式暨网络安全预备队成立大会在武汉网络安全基地顺利举行。第二十二届职业技能大赛由市委组织部、市委宣传部、市人社局、市科技局、市经信局、市财政局、市总工会、团市委联合主办。由武汉网信联盾网络安全技术中心承办，武汉市网安基地校企联合会、华中科技大学网络空间安全学院协办。意在进一步推动网络强国重要思想，顺应建设现代化对高技能网络安全人才时代需求。大赛还获得了北京神州绿盟科技有限公司的技术支持。本次大赛包括团体赛和个人赛，考查内容分应知、应会两部分。应知部分主要考查选手对网络信息安全知识的掌握程度，考查形式包括线上理论答题等；应会类以网络安全专业技能竞赛形式考查，竞赛形式包括针对个人的线下单兵CTF赛，针对团体的网络混战赛等。启动仪式现场，来自市公安网安支队、市医疗系统、市高职工中的参赛选手代表宣誓，自愿成为一名网络安全宣传员，维护清朗网络空间。最后，网络安全预备队也正式成立。大会圆满结束。（来源：武汉网盾科技有限公司）

4、第四届“红帽杯”网络安全攻防大赛在广州落幕 参赛人数再创新高

7月24日，第四届“红帽杯”网络安全攻防大赛在广州落幕，ehbud队、第五实验室1队、牧星人队在全国2844支报名参赛战队中脱颖而出，分获高校组、政府国企事业单位组、社会网安人才组冠军。本届“红帽杯”大赛由广东省公安厅、共青团广东省委员会、广东省教育厅和黄埔区政府指导，广东省计算机信息网络安全协会主办，共吸引来自全国党政机关、企事业单位、全国各地高等院校和网络安全企业的2844支战队、近6700人次报名参加，再创历史新高。比赛当天还为十位优秀“红帽先锋志愿者”颁发了“2020年度十佳红帽先锋”称号。“红帽先锋”是在历年众测、护网等行动中成绩优秀，积极参与志愿者活动中表现突出的志愿者，是守护网络安全领域的重要力量。2017年至今，“红帽先锋”队伍共修复12804漏洞，处理1626起应急响应事件，为全省关键信息基础设施安全保护、公安机关护网行动、网络安全事件的应急处置等方面提供了强有力的技术支撑，积极捍卫着广东省的网络安全防线。（来源：南方日报）

5、工行首席技术官吕仲涛：金融业数据治理的突破口

近日，中国金融四十人论坛（CF40）举行双周内部研讨会第345期“新经济时代下数据治理制度建设”，中国工商银行首席技术官吕仲涛结合银行业工作体会就数据治理问题发表主题演讲。吕仲涛表示，当前，我国的数据治理工作面临着一系列问题与挑战，包括数据归属权和使用权界定有待进一步明确，数据流转制度和技术基础有待夯实，跨金融机构数据共享亟待深入推进等。他强调，“数据信息的合理利用与依法有序流动，是商业银行数字化转型、有效防范化解金融风险的关键手段。”针对这些问题，他对数据治理的工作思路提出三方面建议： 加快厘清数据归属权和使用权； 探索适应数据要素市场化流转的制度与技术基础，加快建立多层次数据交易市场； 大型金融机构先行开展金融领域数据要素市场化试点。具体而言，吕仲涛提出，国有大行可先行先试，充分利用隐私计算等新技术，防范信贷资金违规使用、多头开户多头授信和欺诈洗钱等金融风险。运作机制方面，可在人民银行的指导和召集下，依托特定交易主体进行试运行，逐步摸索相应的定价、运营和风控模式。（来源：中国金融四十人论坛）

6、中国信通院发布《数据安全治理实践指南（1.0）》

2021年7月14日下午，由中国信息通信研究院（以下简称“中国信通院”）举办的“2021中国互联网大会——数据治理高峰论坛”在北京国家会议中心成功召开。会上，中国信通院云计算与大数据研究所所长何宝宏发布并解读了《数据安全治理实践指南（1.0）》（以下简称“指南”）。指南亮点：为了帮助各组织、机构建设和提升数据安全治理能力，中国信通院云计算与大数据研究所联合行业专家编写了《数据安全治理实践指南（1.0）》，指南根据多家企业数据安全治理最佳实践，提炼出了数据安全治理的总体视图，并给出了具体的实践路径。1、首次从广义、狭义角度对数据安全治理进行定义；2、首次系统地提出数据安全治理总体视图；3、创新性地从组织实践角度出发，详述可落地的数据安全治理实践路径；4、从国家、行业、企业等多个角度入手，围绕数据安全治理的两个核心内容，提出发展建议；5、收录了联通、蚂蚁、百度、天翼云四家企业的数据安全治理实践方案。（来源：中国信通院公众号）

7、CNCERT发布《2020年中国互联网网络安全报告》

2021年7月20日，国家计算机网络应急技术处理协调中心（CNCERT/CC）编写的《2020年中国互联网网络安全报告》正式发布。自2008年起，CNCERT持续编写发布中国互联网网络安全年度报告，依托CNCERT多年来从事网络安全监测、预警和应急处置等工作的实际情况，对我国互联网网络安全状况进行总体判断和趋势分析，具有重要的参考价值。该系列报告为政府部门提供监管支撑，为互联网企业提供运行管理技术支持，向社会公众普及互联网网络安全知识，对提高全社会、全民的网络安全意识发挥积极作用。《2020年中国互联网网络安全报告》汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据，具有重要的参考价值，内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中，报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS攻击监测、信息安全漏洞通报与处置、网络安全事件接收与处置等情况进行深入细致的分析，并对 2020年的典型网络安全事件进行了专题介绍。此外，本报告还对网络安全组织发展情况和CNCERT举办的重要网络安全会议和活动等情况进行了阶段性总结，并对2021年网络安全关注方向进行预测。（来源：网络安全内参公众号）

8、5万人被监听？间谍软件引发恐慌，大国总统被迫换手机换号码

近日，一款名为“飞马”的间谍软件迅速搅动国际政坛！据多家外媒报道，这款软件被用来监控包括多国政要、政商人士和媒体记者的手机，受监控的电话号码或多达5万个，法国总统马克龙也可能在受监控的名单中。报道称，法国总统马克龙的一部手机受到“飞马”间谍软件侵入。为此，法国总统马克龙将更换其4部手机中的1部，并相应更换号码。此外，印度被曝用间谍软件监控多国政要，巴基斯坦外交部23日呼吁联合国有关机构就此事进行彻底调查，揭露事实真相。据央视新闻援引《华盛顿邮报》报道称，在可能受到“飞马”软件监控的5万个手机号码名单上，有至少14位重量级政治人物。这14人包括6位现任国家领导人，除马克龙外，还有伊拉克总统萨利赫、南非总统拉马福萨、巴基斯坦总理伊姆兰·汗、埃及总理马德布利和摩洛哥首相奥斯曼尼。此外，还有7位前总理或前首相，在任时也曾遭到监控，包括法国前总理爱德华·菲利普，以及比利时前首相米歇尔等人。此外，摩洛哥国王穆罕默德六世也在名单上。（来源：券商中国）

9、美通过多项网络安全法案，聚焦关键基础设施和工控系统网络安全

美国众议院最近密集通过了多项网络安全法案，其中包括与关键基础设施、工业控制系统(ICS）有关的法案，以及给州和地方政府的拨款法案。

（1）《网络安全漏洞修补法案》(Cybersecurity Vulnerability Remediation Act)，重点关注关键基础设施。该法案旨在授权美国国土安全部(DHS)的网络安全和基础设施安全局(Cybersecurity and infrastructure Security Agency, CISA)协助关键基础设施的所有者和运营商制定针对严重漏洞的缓解策略。该法案涵盖了IT和OT系统中的漏洞，以及不再被支持的硬件或软件中的安全漏洞。它还授权国土安全部为识别IT和ICS产品漏洞的补救方案引入竞争机制。

（2）《CISA网络演习法案》（CISA Cyber Exercise Act）。该法案在CISA内部建立了一个项目，旨在促进对针对关键基础设施的网络攻击的准备和恢复能力的定期测试和评估。演习将模拟网络攻击对政府或关键基础设施网络的重大影响，并将帮助组织提高准备和事件响应能力。

（3）《2021年工业控制系统能力增强法案》（DHS Industrial Control Systems Capabilities Enhancement Act of 2021），该法案要求CISA提高识别和应对ICS威胁的能力，特别是用于关键基础设施的系统。如果该法案成为法律，该机构将被要求保持跨部门事件响应能力，为利益相关者提供技术援助，并与ICS社区共享漏洞信息。

（4）《州和地方网络安全改善法案》，寻求批准一项新的5亿美元拨款计划，其目标是为州、地方、部落和地方政府的网络安全提供资金。该法案将允许州和地方政府组织申请资金，用于应对网络安全风险和对其IT系统的威胁。CISA将负责该项目。

（5）《国土安全关键领域法案》（the Domains Critical to Homeland Security Act），该法案刚刚提交参议院，该法案授权国土安全部识别对经济安全至关重要的领域的供应链风险。虽然它没有特别提到网络，但它可能适用于这个领域。该法案的摘要解释说：“该法案将美国经济安全的关键领域定义为对美国经济安全至关重要的关键基础设施和其他相关产业、技术和知识产权，或它们的任何组合。”

（6）《网络感应法案》。此前在上一届国会众议院通过的另一项法案也在7月20日获得通过。由俄亥俄州共和党众议员鲍勃·拉塔(Bob Latta)和加利福尼亚州民主党众议员杰里·麦克纳尼(Jerry McNerney）牵头的两党《网络感应法案》(Cyber Sense Act），将要求能源部长建立一个项目，对打算用于大容量电力系统的产品的网络安全进行测试。大容量电力系统包括运行相互连接的电能传输网络所必需的设施和控制系统。

此外，众议院一致通过了另外两项旨在保护能源行业免受网络攻击的法案，这两项法案此前都得到了众议院能源和商务委员会(House energy and Commerce Committee)的批准。主要由众议员鲍比·拉什（伊利诺伊州民主党）发起的《能源紧急领导法案》将加强国土安全部在应对网络威胁方面的领导能力，而同样由麦克纳尼和拉塔发起的《通过公私合作伙伴关系加强电网安全法案》将创建一个项目，以加强网络和实际电网安全。这两项立法都是去年众议院通过的。参议院能源和自然资源委员会将《网络感应法案》和《加强电网安全法案》纳入其上周通过的大规模能源一揽子计划，预计将成为两党基础设施框架的一部分。（来源：楼事众评）

10、欧盟数据保护（GDPR）动态：中国企业首次被罚

2021年7月22日，荷兰数据保护局（Autoriteit Persoonsgegevens）以侵犯儿童隐私为由，决定对字节跳动旗下短视频社交平台TikTok（“抖音”国际版）处以75万欧元的罚款。这一事件意味着欧盟《通用数据保护条例（GDPR）》（“GDPR”）实施三年以来，中国企业（包括其控制的海外平台）第一次因违反GDPR相关条款而遭受处罚，具有一定标志性意义。
事件背景：2018年7月，荷兰数据保护局发起了一项针对TikTok个人数据处理的调查，并于2020年10月形成了一份调查报告。该报告结论显示，2018年5月25日至2020年7月29日间，TikTok在安装该应用程序时仅向用户展示英文的隐私声明，不能认定荷兰年幼的孩子就能理解英语，故TikTok没有以“可以理解的语言”告知儿童关于个人数据的处理，从而违反了GDPR第12（1）条的规定。2020年11月11日，TikTok提交了一份书面陈述。在这份陈述中，TikTok对调查报告的结论提出异议，并辩称其主要机构位于爱尔兰，依据GDPR有关规定，荷兰数据保护局无权对其采取执法行动。2021年7月22日，荷兰数据保护局宣布，TikTok未能采取措施，以儿童能够清晰了解的语言向其提供与个人数据处理有关的信息，将被处以75万欧元的罚金。本案罚金的认定依据是《2019年行政处罚管理规则》，而该规则是荷兰为了执行GDPR而制定，且相对于GDPR的处罚规定优先适用。同时，欧盟其他成员国（比如丹麦和法国）对于Tiktok是否侵害其境内儿童的隐私问题也在进行调查。待所有这些调查结束之后，Tiktok所面临的处罚总额可能更大。（来源：腾讯网）