2020年,網絡安全業界度過了不平凡的一年。在新的一年到來之際,《信息技術與網絡安全》雜志社企劃了2020年網絡安全十大新聞事件評選,讓廣大從業人員和讀者共同參與遴選2020年度網絡安全的十大新聞事件,根據來自高校、科研院所、一線企業的專家學者打分和線上網絡投票(各占50%權重)進行統計,得出2020年十大網絡安全事件,希望通過此次投票活動銘記歷史,啟迪未來。
01、新冠肺炎疫情期間網絡安全風險凸顯
新冠肺炎疫情期間,偽裝成包含“肺炎病例”、“防護通知”等字樣信息的病毒、木馬、惡意程序通過釣魚郵件、惡意鏈接等方式傳播,竊取終端設備信息或實現遠程控制。為此,工信部發布《關于涉新冠肺炎疫情的網絡安全風險提示》,全國信息安全標準化技術委員會編制了《網絡安全標準實踐指南—遠程辦公安全防護》等,及時給出風險提示和安全控制措施建議。
· 點評
從全球范圍來看,網絡病毒擴散速度不亞于新冠病毒。疫情在加速數字技術普及應用的同時,給數據安全、業務安全帶來了巨大的伴生風險,及時給出風險提示和安全控制措施建議顯得必要。后疫情時代需要全面提升網絡安全意識。
02、《中華人民共和國數據安全法(草案)》公布
6月28日,第十三屆全國人大常委會第二十次會議初次審議了《中華人民共和國數據安全法(草案)》,《草案》將數據定義為任何以電子或者非電子形式對信息的記錄。數據安全是指通過采取必要措施,保障數據得到有效保護和合法利用,并持續處于安全狀態的能力。國家堅持維護數據安全和促進數據開發利用并重。主要內容包括數據安全與發展、數據安全制度、數據安全保護義務、政務數據安全與開放、法律責任等。
· 點評
《數據安全法(草案)》作為數據安全相關法律的上位法,在保障我國數字主權,服務總體國家安全,推動要素化市場改革等方面具有重要意義,既體現我國維護數據主權和數字經濟發展權的意志,又標示出數據服務國家治理體系和治理能力現代化的發展方向。
03、“新基建”的網絡安全問題受兩會關注
2020年全國“兩會”上,各界代表圍繞“新基建”數字化轉型提出多項關于網絡安全的提案,內容涵蓋產業互聯網、網絡安全應急管理體系、物聯網安全、工業互聯網安全、衛星互聯網、車聯網、人工智能安全、數據安全等。作為新基建的安全底座,網絡安全在數字化轉型過程中的重要地位已經達成廣泛共識。
· 點評
新基建之新,不只在于技術之新,而在于其安全與發展并重。面對數字化轉型和新基建帶來的風險和挑戰,將新基建與新安全同步部署,協同推進,才能將安全與發展兩件大事同時辦好。
04、《中華人民共和國民法典》加大對公民隱私權的保護力度
《中華人民共和國民法典》于2021年1月1日起施行,強調對公民人格權的保護,加大對公民隱私權的保護力度。在第四編第六章“隱私權和個人信息保護”中規定了保護公民隱私權、嚴防個人信息泄露的詳細舉措。重點明確騷擾電話、騷擾短信,拍攝、窺視、處理他人私密信息屬于侵犯個人隱私權的行為。
· 點評
《民法典》從保護公民隱私權的角度,加大對個人信息中涉及私密信息部分的保護力度,體現了以人為本,以民為本的立法取向。同時將個人信息中非私密信息的部分留給《個人信息保護法》來保護。
05、12部門聯合發布《網絡安全審查辦法》
4月27日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部等12個部門聯合發布《網絡安全審查辦法》,規定關鍵信息基礎設施運營者采購網絡產品和服務,對影響或可能影響國家安全的產品和服務,應當進行網絡安全審查,辦法已于2020年6月1日起實施。
· 點評
安全是相對的,風險是絕對的。當國家安全、關鍵信息基礎設施安全面臨不可承受的絕對風險時,網絡安全審查制度的出臺也就在情理之中。
06、《網絡數據安全標準體系建設指南(征求意見稿)》發布
4月10日,工業和信息化部科技司組織有關單位編制完成了《網絡數據安全標準體系建設指南(征求意見稿)》,并向社會各界公開征求意見。網絡數據安全標準體系包括基礎共性、關鍵技術、安全管理、重點領域四大類標準。該指南旨在有效提升電信和互聯網行業網絡數據安全保護能力,充分發揮標準在保障網絡數據安全、推動行業健康有序發展中的作用。
· 點評
標準化工作是網絡數據安全的基礎,網絡數據安全是新基建的基礎。針對電信和互聯網行業等重點領域相關標準存在缺失等問題,標準化體系建設亟待加強,從頂層設計層面引領新基建數字化轉型進程,同時保障行業健康有序發展。
07、《“工業互聯網+安全生產”行動計劃(2021-2023年)》印發
工信部、應急部開展《“工業互聯網+安全生產”行動計劃(2021-2023年)》,旨在通過工業互聯網在安全生產中的融合應用,增強工業安全生產的感知、監測、預警、處置和評估能力,加速安全生產從靜態分析向動態感知、事后應急向事前預防、單點防控向全局聯防的轉變,提升工業生產本質安全水平。
· 點評
對于傳統產業轉型而言,工業互聯網技術是重要保障,安全生產是基礎前提。產業數字化轉型的成敗很大程度上決定于工業互聯網與安全生產二者的有機結合,只有安全與發展兩手抓、兩手硬方能實現高質量發展和經濟轉型升級的目標。
08、《中華人民共和國個人信息保護法(草案)》公開征求意見
10月21日,全國人大法工委公開就《中華人民共和國個人信息保護法(草案)》征求意見。《草案》確立了以“告知—同意”為核心的個人信息處理系列規則,要求處理個人信息應當在事先充分告知的前提下取得個人同意。同時還對基于個人同意以外合法處理個人信息的情形作了規定,并對民事賠償等作出規定。
· 點評
《個人信息保護法(草案)》博采眾長,為罔顧個人合法權益,非法公開、買賣、使用個人信息的行為畫上句號。立法同時兼顧了個人信息權益與個人信息的合理利用兩個價值取向,意在實現均衡協調發展。互聯網企業應該及時按照法律規定調整合規模式。
09、國家密碼管理局發布《商用密碼管理條例(修訂草案征求意見稿)》
8月20日,國家密碼管理局發布《商用密碼管理條例(修訂草案征求意見稿)》。規定涉及國家安全、國計民生、社會公共利益的商用密碼產品,應當依法列入網絡關鍵設備和網絡安全專用產品目錄,由具備資格的商用密碼檢測、認證機構檢測認證合格后,方可銷售或者提供。商用密碼服務使用網絡關鍵設備和網絡安全專用產品的,應當經商用密碼認證機構對該商用密碼服務認證合格。
· 點評
非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等與總體安全緊密相關,商用密碼產品和服務為其提供了基礎的網絡安全保護,為守護國家安全、國計民生、社會公共利益上了一把“放心鎖”。
10、《中華人民共和國密碼法》正式施行
2020年1月1日,《中華人民共和國密碼法》正式施行。核心密碼、普通密碼用于保護國家秘密信息;商用密碼用于保護不屬于國家秘密的信息,公民、法人和其他組織可以依法使用商用密碼保護網絡與信息安全。《密碼法》的出臺,是構建國家安全法律制度體系、維護國家網絡空間主權安全、推動密碼事業高質量發展的重要舉措。
· 點評
《密碼法》明確對核心密碼、普通密碼與商用密碼實行分類管理的原則,注重把握職能轉變和“放管服”需要與保障國家安全的平衡,協調與《網絡安全法》、《保守國家秘密法》等有關法律的關系。密碼被稱為信息安全和網絡安全的基石,《密碼法》也將成為國家安全法律制度體系的基石。