#信息安全 #安全漏洞 #漏洞 #网络安全
【工业和信息化部 国家互联网信息办公室 公安部 关于印发网络产品安全漏洞管理规定的通知】
第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
第十六条 本规定自2021年9月1日起施行。
内详👉(工信部)
【工业和信息化部 国家互联网信息办公室 公安部 关于印发网络产品安全漏洞管理规定的通知】
第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。
第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。
第十六条 本规定自2021年9月1日起施行。
内详👉(工信部)
#个人信息 #信息安全 #长臂管辖 #数据流通 #网络安全 #黑客 #第三方 #报备 #审查 #境外 #爬虫 #披露 #胁迫 #人脸识别 #人工智能 #步态 #自由选择 #身份认证 #百分之五 #大数据杀熟 #GFW #翻墙 #穿透
【《网络数据安全管理条例(征求意见稿)》】
第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
第十一条 ....安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人...
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;...
第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。...
第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。...
第四十一条 国家建立 #数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
第四十三条 ...日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。
第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动:
(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;
(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户 #数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。
互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。
第六十一条 数据处理者不履行....规定的数据安全保护义务的,....有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款....(乌鸦观察注:具体条款详见原文)
第六十六条 个人和组织违反第四十一条(#数据跨境安全网关)的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;...
第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;....
第七十三条 本条例下列用语的含义:
(十一)#数据跨境安全网关 是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
内详👉(网信中国)
【《网络数据安全管理条例(征求意见稿)》】
第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
第十一条 ....安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人...
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;...
第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。...
第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。...
第四十一条 国家建立 #数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
第四十三条 ...日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。
第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动:
(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;
(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户 #数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。
互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。
第六十一条 数据处理者不履行....规定的数据安全保护义务的,....有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款....(乌鸦观察注:具体条款详见原文)
第六十六条 个人和组织违反第四十一条(#数据跨境安全网关)的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;...
第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;....
第七十三条 本条例下列用语的含义:
(十一)#数据跨境安全网关 是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
内详👉(网信中国)
#上市 #合规 #VIE #信息安全 #网络安全 #数据安全
【证监会就境外上市相关制度规则公开征求意见】
证监会有关负责人介绍,此次改革将对直接和间接境外上市活动统一实施备案管理。证监会将坚持法不溯及既往的原则,坚持稳字当头、稳中求进,确保备案管理制度平稳实施。
对于市场关注的协议控制(VIE)架构企业境外上市的监管,该负责人介绍,在遵守境内法律法规的前提下,满足合规要求的VIE架构企业备案后可以赴境外上市。(新华网)
【境内企业境外发行证券和上市备案管理办法(征求意见稿)】
第三条 境内企业境外间接发行上市的认定,应当遵循实质重于形式的原则;发行人符合下列情形的,认定为境内企业境外间接发行上市:
(一)境内企业最近一个会计年度的营业收入、利润总额、总资产或净资产,占发行人同期经审计合并财务报表相关数据的比例超过 50%;
(二)负责业务经营管理的高级管理人员多数为中国公民或经常居住地位于境内,业务经营活动的主要场所位于境内或主要在境内开展。(证监会)
【国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)】
第八条 境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序。
国务院有关主管部门可以要求剥离境内企业业务、资产或采取其他有效措施,消除或避免境外发行上市对国家安全的影响。(证监会)
【证监会就境外上市相关制度规则公开征求意见】
证监会有关负责人介绍,此次改革将对直接和间接境外上市活动统一实施备案管理。证监会将坚持法不溯及既往的原则,坚持稳字当头、稳中求进,确保备案管理制度平稳实施。
对于市场关注的协议控制(VIE)架构企业境外上市的监管,该负责人介绍,在遵守境内法律法规的前提下,满足合规要求的VIE架构企业备案后可以赴境外上市。(新华网)
【境内企业境外发行证券和上市备案管理办法(征求意见稿)】
第三条 境内企业境外间接发行上市的认定,应当遵循实质重于形式的原则;发行人符合下列情形的,认定为境内企业境外间接发行上市:
(一)境内企业最近一个会计年度的营业收入、利润总额、总资产或净资产,占发行人同期经审计合并财务报表相关数据的比例超过 50%;
(二)负责业务经营管理的高级管理人员多数为中国公民或经常居住地位于境内,业务经营活动的主要场所位于境内或主要在境内开展。(证监会)
【国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)】
第八条 境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序。
国务院有关主管部门可以要求剥离境内企业业务、资产或采取其他有效措施,消除或避免境外发行上市对国家安全的影响。(证监会)
乌鸦观察
#天津 #云服务 #国企 #国资云 #消息人士 【每日经济新闻|业内人士:天津国资云相关文件已撤回 当地国企上云不做排他限制】 今日(9月3日),《每日经济新闻》从两家云计算企业内部人士处独家获悉,天津国资委已经撤回了上周引发关注的《关于加快推进国企上云工作完善国资云体系建设的实施方案》文件,并明确国资企业在选择云服务时不做强制和排他限制。 今日下午,记者拨打天津市国资委电话,截至发稿时无人接听。 上周,关于天津国资云的一份文件被业内热议,文件要求当地国资企业限定使用特定的云服务,…
#日本 #国产云 #云服务 #信息安全 #网络安全
【日本拟推“国产云”,列为特定重要物资】
日本政府拟将云服务列为经济安全保障上需要稳定供应的“特定重要物资”,目前已展开协调。为了应对网络攻击,云服务将被视为与半导体和药品一样的物资。将以国内人员能随时应对故障等为条件,力争加强日本企业的“国产云”竞争力。
在日本的云服务市场,亚马逊网络服务(AWS)、微软和谷歌等3家美国大型企业不断形成垄断化。
日本“公正取引委员会”(公平交易委员会)的资料显示,2020年度,3家美国企业的份额达到60~70%。2011年度仅为5~10%。调查公司富士凯美莱总研的统计显示,海外企业在2020年度的日本国内市场份额中占72%。
利用外资云服务处理政府敏感信息,存在泄露等安全方面的风险。还有观点指出,如果对海外企业的依存度太高,在日本遭受网络攻击之际,有可能无法迅速应对。
日本政府认为,培育国内企业的云服务成为当务之急,并将其列为“特定重要物资”。
“特定重要物资”的对象是国民生活和经济活动赖以依靠的物资。从事被指定物资生产的企业能从政府获得财政支援和减轻利率负担。
要获得政府的支援,必须向主管省厅提出供应和管理的相关计划,并获得认定。日本政府将讨论的方案是,需要以重视安全性、国内工程师团队能随时立即应对作为条件。
作为“特定重要物资”的对象,日本政府此前向执政党列举了半导体和药品等。作为法律依据的《经济安保推进法案》表明重要物资“包含电脑程序”,因此云服务也能列入其中。(日本经济新闻)
【日本拟推“国产云”,列为特定重要物资】
日本政府拟将云服务列为经济安全保障上需要稳定供应的“特定重要物资”,目前已展开协调。为了应对网络攻击,云服务将被视为与半导体和药品一样的物资。将以国内人员能随时应对故障等为条件,力争加强日本企业的“国产云”竞争力。
在日本的云服务市场,亚马逊网络服务(AWS)、微软和谷歌等3家美国大型企业不断形成垄断化。
日本“公正取引委员会”(公平交易委员会)的资料显示,2020年度,3家美国企业的份额达到60~70%。2011年度仅为5~10%。调查公司富士凯美莱总研的统计显示,海外企业在2020年度的日本国内市场份额中占72%。
利用外资云服务处理政府敏感信息,存在泄露等安全方面的风险。还有观点指出,如果对海外企业的依存度太高,在日本遭受网络攻击之际,有可能无法迅速应对。
日本政府认为,培育国内企业的云服务成为当务之急,并将其列为“特定重要物资”。
“特定重要物资”的对象是国民生活和经济活动赖以依靠的物资。从事被指定物资生产的企业能从政府获得财政支援和减轻利率负担。
要获得政府的支援,必须向主管省厅提出供应和管理的相关计划,并获得认定。日本政府将讨论的方案是,需要以重视安全性、国内工程师团队能随时立即应对作为条件。
作为“特定重要物资”的对象,日本政府此前向执政党列举了半导体和药品等。作为法律依据的《经济安保推进法案》表明重要物资“包含电脑程序”,因此云服务也能列入其中。(日本经济新闻)