数据安全规范性文件解读汇编201912

数据安全及信息保护法律法规及规范性文件汇编 序号 文件名 发布机关 生效时间 效力状态 备注 一、数据安全相关法律法规及规范性文件 1.基本法律和国家战略 1.1 《网络安全法》1.2 《网络空间国际合作战略》1.3 《国家网络空间安全战略》1.4 《国家安全法》1.5 《全国人民代表大会常务委员会关于加强网络信息保护的决定》2.互联网信息内容管理制度 2.1 《互联网群组信息服务管理规定》2.2 《互联网用户公众账号服务管理规定》2.3 《互联网跟帖评论服务管理规定》2.4 《互联网论坛社区服务管理规定》2.5 《互联网信息内容管理行政执法程序规定》2.6 《互联网新闻信息服务管理规定》2.7 《互联网新闻信息服务许可管理实施细则》2.8 《互联网信息服务管理办法》3.网络安全等级保护制度 3.1 《GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》3.2 《GB/T 25070-2019 信息安全技术 网络安全等级保护设计技术要求》3.3 《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》3.4 《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》《GB/T 36958-2018 信息安全技术 网络安全等级保护安全管理中心技术要3.5 求》3.6 《GB/T 36627-2018 信息安全技术 网络安全等级保护测试评估技术指南》3.7 《中华人民共和国计算机信息系统安全保护条例》3.8 《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》全国人大常委会 外交部和国家互联网络信息办公室 国家互联网络信息办公室 全国人大常委会 全国人大常委会 国家互联网络信息办公室 国家互联网络信息办公室 国家互联网络信息办公室 国家互联网络信息办公室 国家互联网络信息办公室 国家互联网络信息办公室 国家互联网络信息办公室 国务院 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 国务院 公安部信息安全等级保护评估中心 2017/6/1 2017/3/1 2016/12/27 2015/7/1 2012/12/28 2017/10/8 2017/10/8 2017/10/1 2017/10/1 2017/6/1 2017/6/1 2017/6/1 2011/1/8 2019/12/1 2019/12/1 2019/12/1 2019/7/1 2019/7/1 2019/4/1 2011/1/8 2008/11/1 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 暂未生效 暂未生效 暂未生效 现行有效 现行有效 现行有效 现行有效 现行有效 解读 I

3.9 《网络安全等级保护条例（征求意见稿）》公安部 全国信息安全标准化技术委员会 无 无 暂未生效 暂未生效 3.10 《信息安全技术 网络安全等级保护实施指南（征求意见稿）》 4.关键信息基础设施安全保护制度 4.1 《关键信息基础设施安全保护条例（征求意见稿）》4.2 《信息安全技术 关键信息基础设施安全检查评估指南（征求意见稿）》4.3 《信息安全技术 关键信息基础设施安全保障评价指标体系（征求意见稿）》 正式版未发报 正式版未发报 解读 正式版未发报 解读 解读 国家互联网络信息办公室 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 国家互联网络信息办公室、工信部、公安部门等部门 无 无 无 无 无 2019/10/1 2019/4/10 2019/3/15 2019/3/3 2013/2/1 无 无 无 无 无 无 无 2017/6/1 暂未生效 暂未生效 暂未生效 暂未生效 暂未生效 现行有效 现行有效 现行有效 现行有效 现行有效 暂未生效 暂未生效 暂未生效 暂未生效 暂未生效 暂未生效 暂未生效 现行有效 4.4 《关键信息基础设施识别指南》 4.5 《信息安全技术 关键信息基础设施网络安全保护要求（征求意见稿）》5.个人信息和重要数据保护制度 5.1 《儿童个人信息网络保护规定》5.2 《互联网个人信息安全保护指南》5.3 《移动互联网应用程序（App）安全认证实施规则》5.4 《App违法违规收集使用个人信息自评估指南》5.5 《信息安全技术 公共及商用服务信息系统个人信息保护指南》5.6 《个人信息和重要数据出境安全评估办法（征求意见稿）》5.7 《信息安全技术 数据出境安全评估指南（征求意见稿）》5.8 《信息安全技术 个人信息安全规范（征求意见稿）》全国信息安全标准化技术委员会 国家互联网信息办公室 公安部 市场监督管理总局与中央网信办 APP专项治理工作组 工业和信息化部 国家互联网络信息办公室 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 APP专项治理工作组 国家互联网信息办公室 国家互联网络信息办公室 5.9 《信息安全技术 个人信息去标识化指南（征求意见稿）》 5.10 《信息安全技术 个人信息安全影响评估指南（征求意见稿）》5.11 《App违法违规收集使用个人信息行为认定方法（征求意见稿）》5.12 《数据安全管理办法（征求意见稿）》6.网络产品和服务管理制度 6.1 《网络产品和服务安全审查办法（试行）》II

6.2 关于发报《网络关键设备和网络安全专用产品目录（第一批）》的公告6.3 《信息安全技术 网络产品和服务安全通用要求（征求意见稿）》《GB/T 36630.1-2018 信息安全技术 信息技术产品安全可控评价指标 第1部6.4 分：总则》《GB/T 36630.2-2018 信息安全技术 信息技术产品安全可控评价指标 第2部6.5 分：中央处理器》《GB/T 36630.3-2018 信息安全技术 信息技术产品安全可控评价指标 第3部6.6 分：操作系统》《GB/T 36630.4-2018 信息安全技术 信息技术产品安全可控评价指标 第4部6.7 分：办公套件》《GB/T 36630.5-2018 信息安全技术 信息技术产品安全可控评价指标 第5部6.8 分：通用计算机》7.网络安全事件管理制度 工业和信息化部、公安部、国家认证可监督管理委员会、国家互联网络信息办公室 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 2017/6/1 无 2019/4/1 2019/4/1 2019/4/1 2019/4/1 2019/4/1 现行有效 暂未生效 现行有效 现行有效 现行有效 现行有效 现行有效 7.1 《国家网络安全事件应急预案》7.2 7.3 7.4 7.5 《信息安全技术 网络攻击定义及描述规范（征求意见稿）》《信息安全技术 网络安全事件应急演练指南（征求意见稿）》《信息安全技术 网络安全威胁信息格式规范（征求意见稿）》《信息安全技术 网络安全漏洞发现与报告管理指南》中央网络安全和信息化领导小组办公室 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 全国信息安全标准化技术委员会 2017/1/10 无 无 无 无 现行有效 暂未生效 暂未生效 暂未生效 暂未生效 二、个人信息保护相关法律法规及规范性文件 1 2 3 4 5 6

《中华人民共和国密码法》第12、32条《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》《电子商务法》《中华人民共和国反恐怖主义法》第21、86条《民法总则》第111条《中华人民共和国侵权责任法》第2条全国人大常委会 最高人民法院、最高人民检察院 全国人民代表大会常务委员会 全国人民代表大会常务委员会 全国人民代表大会常务委员会 全国人民代表大会常务委员会 2020/1/1 2019/11/1 2019/1/1 2018/4/27 2017/10/1 2017/7/1 暂未生效 现行有效 现行有效 现行有效 现行有效 现行有效 III

7 8 9 10 11 12 13 14 15 16 17

《关于办理侵犯公民个人信息刑事案件适用法律若干问题解释》《刑法修正案（九）》第17、28条《通信短信信息服务管理规定》《互联网用户账号名称管理规定》《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》《中华人民共和国消费者权益保护法》第14、第29、第50、第56条《电信和互联网用户个人信息保护规定》《中国人民银行关于金融机构进一步做好客户个人金融信息保护工作的通知》《规范互联网信息服务市场秩序若干规定》《中华人民共和国居民身份证法》《中国人民银行关于银行业金融机构做好个人金融信息保护工作的通知》最高人民法院、最高人民检察院 全国人民代表大会常务委员会 工业和信息化部 中国互联网信中心 最高人民法院 全国人民代表大会常务委员会 工业和信息化部 中国人民银行 工业和信息化部 全国人民代表大会常务委员会 中国人民银行 2017/6/1 2015/11/1 2015/6/30 2015/3/1 2014/10/10 2014/3/15 2013/9/1 2012/3/27 2012/3/15 2012/1/1 2011/1/21 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 现行有效 解读 解读 解读 解读 目 录

《网络安全法》解读 ............................................................................................................................................................................................................................................................. 1 《儿童个人信息网络保护规定》 ......................................................................................................................................................................................................................................... 5 《APP违法违规收集使用个人信息行为认定方法（征求意见稿）》解读 ...................................................................................................................................................................... 11 数据安全管理办法（征求意见稿） ................................................................................................................................................................................................................................... 18 《关于办理侵犯公民个人信息刑事案件适用法律若干问题解释》解读与研究 ............................................................................................................................................................ 25 通信短信息服务管理规定 ................................................................................................................................................................................................................................................... 29 最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定 .................................................................................................................................... 33 电信和互联网用户个人信息保护规定 ............................................................................................................................................................................................................................... 37

IV

《网络安全法》解读

第一篇：监管体制

——网信部门统筹协调网络安全工作并履行监管职责

《网络安全法》坚持共同治理原则，鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。同时，《网络安全法》将现行有效的网络安全监管体制法制化，明确了网信部门与其他相关网络监管部门的职责分工。

【第8条】国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责，按照国家有关规定确定。

解读：这一条明确了网络安全的监管责任，解决了谁来负责的问题。将现行有效的网络安全监管体制法制化，明确了网信部门与其他相关网络监管部门的职责分工。网信部门负责统筹协调网络安全工作和相关监督管理工作，电信主管部门、公安部门和其他有关机关在各自职责范围内负责网络安全保护和监督管理工作，这种“1+X”的监管体制，符合当前互联网与现实社会全面融合的特点和我国监管需要。

【第11条】网络相关行业组织按照章程，加强行业自律，制定网络安全行为规范，指导会员加强网络安全保护，提高网络安全保护水平，促进行业健康发展。

解读：行业组织一直在网络安全问题上起到重要作用，在中国和其他国家都是如此。本条对网络相关行业组织在加强行业自律和相应的责任从法律的高度上予以明确，凸显了对网络相关行业组织作用的重视。在此基础上，中国互联网协会等有关行业组织也都陆续推出了一系列落实细化的举措。

【第14条】任何个人和组织有权对危害网络安全的行为向网信、电信、公安等部门举报。收到举报的部门应当及时依法作出处理；不属于本部门职责的，应当及时移送有权处理的部门。有关部门应当对举报人的相关信息予以保密，保护举报人的合法权益。 解读：本条明确了大众在遭遇危害网络安全行为时举报维权的权利。目前相关部门均已开设了便捷的网络举报通道，对于互联网违法和不良信息可向中国互联网举报中心进行举报；对于利用互联网或针对网络信息系统从事违法犯罪行为的可向公安机关进行举报；对于网络漏洞、网络安全事件可向国家互联网应急中心进行举报。

第二篇：实名制

——用户信息未实名制，网络运营者将受重罚 《网络安全法》明确规定了在网络真实身份信息管理实名制方面，网络运营者必须承担的责任和义务，以及相应的法律责任。

【第24条】 网络运营者为用户办理网络接入、域名注册服务，办理固定电话、移动电话等入网手续，或者为用户提供信息发布、即时通讯等服务，在与用户签订协议或者确认提供服务时，应当要求用户提供真实身份信息。用户不提供真实身份信息的，网络运营者不得为其提供相关服务。国家实施网络可信身份战略，支持研究开发安全、方便的电子身份认证技术，

1