歐盟企業(yè)在中國(guó)建議書（2024-2025）網(wǎng)絡(luò)安全子工作組

和國(guó)數(shù)據(jù)安全法》、3《中華人民共和國(guó)個(gè)人信息4《中華人民共和國(guó)密碼法》5以及相應(yīng)實(shí)施細(xì)則對(duì)中國(guó)網(wǎng)絡(luò)安全環(huán)境進(jìn)行了規(guī)范，相關(guān)監(jiān) 發(fā)布的修訂決定征求意見稿顯示，本輪修訂旨在加大行政處罰力度。7與此同時(shí)，《網(wǎng)絡(luò)數(shù)據(jù)安全管 這一已被廣泛援引的概念作出正式定義，并提出了 全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)已發(fā)布并正在制定多項(xiàng)推薦性國(guó)家標(biāo)準(zhǔn)，作為網(wǎng)絡(luò)和數(shù)據(jù)安全領(lǐng)域的重要合規(guī)參考。這些標(biāo)準(zhǔn)包括但不限于：GB/T43697-2024《數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》81《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，中華人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室，2016華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定（征求意見稿）》，提出對(duì)某些違反《中華人3《中華人民共和國(guó)數(shù)據(jù)安全法》，全國(guó)人民4《中華人民共和國(guó)個(gè)人信息保護(hù)法》，國(guó)務(wù)院，2021年8月20日，查閱日期5《中華人民共和國(guó)密碼法》，國(guó)家密碼管理局，2023年6月4日，查閱日期2024年5月29日，</sca/xxgk/2023-06/04/6《全國(guó)人大常委會(huì)2024年度立法工作計(jì)劃》，全國(guó)人民代表大會(huì)，2024年7《關(guān)于修改〈中華人民共和國(guó)網(wǎng)絡(luò)安全法〉的決定（征求意見稿）》，國(guó)家網(wǎng)信cn/2022-09/14/c_166478164960989《信息安全技術(shù)重要數(shù)據(jù)處理安全要求》（征求意見稿），全國(guó)網(wǎng)安標(biāo)委，20postDetail.html?id=2023083計(jì)劃中同時(shí)提出，將研制個(gè)人信息匿名化等標(biāo)準(zhǔn)指另一監(jiān)管動(dòng)向?yàn)橹腥A人民共和國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室于2023年12月8日發(fā)布的《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》。12《辦法（征求意見稿）》規(guī)定了網(wǎng)絡(luò)安全事件的具體報(bào)告時(shí)限和其他要求。值得注意的是，網(wǎng)絡(luò)安全事件分為“特別重大”、“重大”、“較大”和“一般”，其中前三類事件需要在發(fā)生后一小時(shí)內(nèi)向網(wǎng)信等有關(guān)部門報(bào)告。2023年12月15日，工業(yè)和信息化部發(fā)布了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）（征求意見稿）》。13目前，工信部法（征求意見稿）》競(jìng)合適用關(guān)系有待明確，尤其是在報(bào)告義務(wù)、事件分級(jí)標(biāo)準(zhǔn)和違規(guī)處罰等重疊領(lǐng)域。在一定程度上，兩者在事件報(bào)告要求（特別是目的、依據(jù)和范圍）方面不可避免地存在不一致之處，如職責(zé)分工等方面。人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》，應(yīng)當(dāng)每年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。其他個(gè)人信息處理者應(yīng)當(dāng)每?jī)赡曛辽匍_展一次個(gè)人信10《信息安全技術(shù)敏感個(gè)人信息處理安全要求》（征求意見稿全國(guó)網(wǎng)安標(biāo)委，front/postDetail.html?id=20230809175211關(guān)于印發(fā)《全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2024年度工作要點(diǎn)》的通知，全/front/postDetail.html?id=2024040813312《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》，國(guó)家網(wǎng)信辦，2023年12月8日，查閱日期2024年5月7日，<.c13公開征求對(duì)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行征求意見</gzcy/yjzj/art/2023/art_7c903aac87514e26b2dbbc42fEuropeanchamber中國(guó)跨境數(shù)據(jù)傳輸制度由三條不同路徑構(gòu)成，包括通過國(guó)家網(wǎng)信辦開展的數(shù)據(jù)出境安全評(píng)估，訂立標(biāo)準(zhǔn)合同并備案，以及通過個(gè)人信息保護(hù)認(rèn)證。2024進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》，自發(fā)布之日起生15盡管仍有模糊、挑戰(zhàn)之處有待明確、解決，但《規(guī)定》減輕了跨境數(shù)據(jù)傳輸?shù)南嚓P(guān)合規(guī)負(fù)擔(dān)——《規(guī)定》明確，若其要求和此前發(fā)布的安全評(píng)估、標(biāo)準(zhǔn)合同和個(gè)人信息保護(hù)認(rèn)證等有關(guān)規(guī)定存在差異，將以《規(guī)定》要求為準(zhǔn)。與此同時(shí)，國(guó)家網(wǎng)信辦還發(fā)布了《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第二版）》和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第二版）》，進(jìn)一步簡(jiǎn)化了安全評(píng)估過去一年，工業(yè)和信息技術(shù)、金融、交通運(yùn)輸、寄遞等行業(yè)相繼發(fā)布了網(wǎng)絡(luò)和數(shù)據(jù)安全相關(guān)的規(guī)定或征求意見稿。子工作組注意到，一些領(lǐng)域的監(jiān)管要求有所收緊，或至少覆蓋面變廣，同時(shí)，也出現(xiàn)了例如，工信部的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政上對(duì)數(shù)據(jù)安全合規(guī)提出了更加具體的要求，并提出“無主觀過錯(cuò)不處罰”、“一事不再罰”等積極原則。與此同時(shí)，部分行業(yè)重要數(shù)據(jù)識(shí)別指南仍較為模糊，對(duì)企業(yè)構(gòu)成較大限制性，詳見主要建議第214國(guó)家互聯(lián)網(wǎng)信息辦公室關(guān)于《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法（征求意見稿）》16國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)出境安全評(píng)估申報(bào)指南（第二版）》和《個(gè)人信息出境標(biāo)準(zhǔn)合同備案指南（第二版）》，國(guó)家網(wǎng)信辦，2024年3月c_1712783131692707.htm>17《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全行政處罰裁量指引（試行）》，工信部，2023年wjfb/art/2023/art_e14338d7b2684c79bec7931b75336520.htm《中華人民共和國(guó)數(shù)據(jù)安全法》同時(shí)授權(quán)各地區(qū)制定本地區(qū)數(shù)據(jù)分類分級(jí)規(guī)則，而《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》和國(guó)務(wù)院相關(guān)文件亦允許自由貿(mào)易試驗(yàn)區(qū)制定跨境數(shù)據(jù)傳輸?shù)囊话銛?shù)據(jù)清單和負(fù)面清單。截至本文件撰寫之時(shí)，北京、天津、上海、海南和粵港澳大灣區(qū)等地已有多個(gè)地方性規(guī)定出臺(tái)或《網(wǎng)絡(luò)安全法》第23條定義了“網(wǎng)絡(luò)關(guān)鍵設(shè)備”和“網(wǎng)絡(luò)安全專用產(chǎn)品”，落入其范疇的產(chǎn)品被列入專門目錄，需經(jīng)強(qiáng)制性認(rèn)證合格或安全檢測(cè)符合要求。該目錄最初由國(guó)家網(wǎng)信辦等部門于2017年修訂版目錄顯著擴(kuò)大了網(wǎng)絡(luò)安全專用產(chǎn)品的范圍，從11個(gè)產(chǎn)品類別增加至34個(gè)產(chǎn)品類別，涵蓋了安全存儲(chǔ)、安全管理、流量控制、負(fù)載均衡、日志分析等諸多領(lǐng)域。18此外，雖然舊版目錄為受影響的產(chǎn)品類別設(shè)立了性能指標(biāo)門檻，但修訂版目錄刪除了所有性能指標(biāo)，因此同時(shí)涵蓋了高端和項(xiàng)基礎(chǔ)軟硬件產(chǎn)品的政府采購(gòu)需求標(biāo)準(zhǔn)，包括操作系統(tǒng)、數(shù)據(jù)庫、通用服務(wù)器、工作站、一體式計(jì)算機(jī)、便攜式計(jì)算機(jī)、臺(tái)式計(jì)算機(jī)。19中央處理器和操作系統(tǒng)等關(guān)鍵部件需通過中國(guó)信息安全測(cè)評(píng)中心開展的安全可靠測(cè)評(píng)這一新設(shè)合格評(píng)定制度，該測(cè)評(píng)主要建立在信息技術(shù)應(yīng)用創(chuàng)新（亦稱“信創(chuàng)”）相關(guān)活動(dòng)的基礎(chǔ)之上。截至本文件撰寫之時(shí)，已有兩批產(chǎn)品通過測(cè)評(píng)，一些國(guó)產(chǎn)中央處理器、操作系統(tǒng)和集中式數(shù)據(jù)庫榜上有名。20此外，2024年3月20日，全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了18《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄》，國(guó)家網(wǎng)信辦，2023年7月<.c21《關(guān)于征求9項(xiàng)行業(yè)標(biāo)準(zhǔn)意見的函》，全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)網(wǎng)，2024年3一系列新近出臺(tái)的規(guī)定旨在跟上新興技術(shù)快速發(fā)展能立法的情況下，中國(guó)正式發(fā)布了《生成式人工智能服務(wù)管理暫行辦法》，自2023年8月15日起施行。22該辦法對(duì)生成式人工智能服務(wù)提供者提出了一系列合規(guī)義務(wù)，包括但不限于胡開展安全評(píng)估、完成算法備案并確保訓(xùn)練數(shù)據(jù)的真實(shí)科學(xué)技術(shù)部等部門發(fā)布了《科技倫理審查辦法（試行）》，23要求從事人工智能等科技活動(dòng)的單位，研究?jī)?nèi)容涉及倫理敏感領(lǐng)域的，應(yīng)設(shè)立科技倫理（審查）委員會(huì)。1.確保中國(guó)網(wǎng)絡(luò)安全立法不會(huì)構(gòu)成歧視性市盡管近期某些領(lǐng)域的網(wǎng)絡(luò)安全監(jiān)管要求有所放寬，但部分現(xiàn)行要求仍可能將外資企業(yè)置于商業(yè)不利地位，限制或甚至禁止此類企業(yè)向部分細(xì)分市場(chǎng)提供中國(guó)現(xiàn)行安全立法中的某些要求或?qū)ν赓Y企業(yè)構(gòu)成商投資安全審查辦法》，外商投資安全審查已自2021年1月18日起實(shí)施。24《辦法》要求外國(guó)投資者在投資“重要信息技術(shù)和互聯(lián)網(wǎng)產(chǎn)品與服務(wù)、關(guān)鍵技術(shù)以及其他涉及國(guó)家安全的重要領(lǐng)域”23關(guān)于印發(fā)《科技倫理審查辦法（試行）》的通知，科技部，2023年9月7日，查閱日期2024年5月8日，</xxgk/xinxifenlei/fdzdgknr/fgzc/gfxwj/gfxwj2023/202310/t20231008_188309.ht并取得所投資企業(yè)實(shí)際控制權(quán)時(shí)，須通過相關(guān)審查。然而，審查范圍并不明確，可能導(dǎo)致有關(guān)部門的自由裁量。由此產(chǎn)生的不確定性增加了外國(guó)投資者的負(fù)擔(dān)，導(dǎo)致其必須提前進(jìn)行評(píng)估并咨詢監(jiān)管機(jī)構(gòu)，以確定是否落入審查范圍。咨詢過程可能涉及交易和其他文件的披露，這可能使外國(guó)投資者網(wǎng)絡(luò)安全等級(jí)保護(hù)制度根據(jù)網(wǎng)絡(luò)對(duì)公民、法人和其他組織的合法權(quán)益、公共利益、社會(huì)秩序、國(guó)家安全的影響程度，將其分為五個(gè)安全保護(hù)等級(jí)，并規(guī)定了相應(yīng)的保護(hù)措施。該制度基于公安部2018年6月發(fā)布的《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》，25以及一些已經(jīng)生效的標(biāo)準(zhǔn)。除包含繁瑣的合規(guī)要求外，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度擴(kuò)大了偏向特定技術(shù)路線的安全要求的適用范圍，因此正日益成為對(duì)信息與通信技術(shù)產(chǎn)品和服務(wù)施加相關(guān)采購(gòu)限制的抓手。例如，其要求第二級(jí)及以上網(wǎng)絡(luò)使用國(guó)家密碼管理部門認(rèn)可的密碼技術(shù)、產(chǎn)品和服務(wù)，第三級(jí)及以上網(wǎng)絡(luò)開展商用密碼應(yīng)用安全性評(píng)估。上述認(rèn)可和評(píng)估流程偏向國(guó)內(nèi)技術(shù)，長(zhǎng)期以來一直是許多外資企業(yè)面臨的障礙。這些要求實(shí)際上超出了《密碼法》授權(quán)，不應(yīng)被納入其他國(guó)家《網(wǎng)絡(luò)安全審查辦法》規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)主動(dòng)申報(bào)不透明的網(wǎng)絡(luò)安全審查?！毒W(wǎng)絡(luò)安全審查辦法》關(guān)注廣泛的風(fēng)險(xiǎn)因素，包括供應(yīng)鏈、政治、外交和貿(mào)易因素。26上述非技術(shù)因素，以及冗長(zhǎng)且不透明的審查流程，均對(duì)向關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者提供網(wǎng)絡(luò)產(chǎn)品和服務(wù)的外資企業(yè)構(gòu)成了市場(chǎng)準(zhǔn)入限制。此外，由于可能需要披露交易和25《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例（征求意見稿）》，公安部，2018年6月27日，Europeanchamber其他文件，供應(yīng)商或因需要披露機(jī)密信息和商業(yè)秘《密碼法》及其實(shí)施細(xì)則中存在模棱兩可之處，導(dǎo)致要求與現(xiàn)有和既定國(guó)際準(zhǔn)則相?！祟悳?zhǔn)則呼吁各國(guó)免于對(duì)普遍應(yīng)用商業(yè)加密功能的大眾消費(fèi)類信息與通信技術(shù)產(chǎn)品施加限制性的、繁重的許可、認(rèn)證和其他合規(guī)要求，以免限制或延遲相關(guān)進(jìn)出口為避免不必要的市場(chǎng)準(zhǔn)入限制，有必要從嚴(yán)從緊定義該法建立的各類監(jiān)管制度的適用范圍，并確保其透明性。具體來看，應(yīng)明確以加密為次要功能的商業(yè)產(chǎn)品不受認(rèn)證和進(jìn)出口相關(guān)規(guī)定的限制；不泛化“國(guó)家安全”、“國(guó)計(jì)民生”、“公共利益”等概念；廣泛界定不受進(jìn)出口限制的“大眾消費(fèi)類產(chǎn)品”避免將僅適用于關(guān)鍵信息基礎(chǔ)設(shè)施和黨政機(jī)關(guān)的要求擴(kuò)大至第三級(jí)以上網(wǎng)絡(luò)；以及采用國(guó)際標(biāo)準(zhǔn)、保子工作組對(duì)《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》中部分監(jiān)管要求的放寬表示贊賞，但短期內(nèi)，一些關(guān)鍵行業(yè)和數(shù)據(jù)驅(qū)動(dòng)型行業(yè)的外國(guó)企業(yè)在將創(chuàng)新產(chǎn)品和服務(wù)引入國(guó)內(nèi)時(shí)，可能仍會(huì)受安全評(píng)估和“重要數(shù)據(jù)”（此類數(shù)據(jù)往往與企業(yè)業(yè)務(wù)密切相關(guān)）定義方面的某些限制或不確定性影響，而難以推進(jìn)決策。因此，建議各部門盡快明確并從嚴(yán)從緊界定重要數(shù)據(jù)范圍，避免將跨國(guó)企業(yè)的生產(chǎn)、研發(fā)和供應(yīng)鏈相關(guān)數(shù)據(jù)納入其中。同時(shí)，在具備相關(guān)安全保障措施的前提下，允許有充分商業(yè)必要性的跨境數(shù)據(jù)傳輸子工作組同時(shí)呼吁，不應(yīng)將必須開展數(shù)據(jù)跨境傳輸?shù)目鐕?guó)企業(yè)視為天然更不安全，以確保招標(biāo)過程中27《世界半導(dǎo)體理事會(huì)第17次會(huì)議聯(lián)合聲明》，世界半導(dǎo)體理事會(huì)，2013年5月23日，查閱日期2024年5月7日，<http://www.semiconductorcouncil.org/wp-content/uploads/2016/07/May_2013_WSC_-_GAMS_version_Joint_Statement_of_the_17th_Meeting_of_the_WSC_Final_23_M-1.pd28有關(guān)加密相關(guān)的市場(chǎng)準(zhǔn)入問題的更多信息，請(qǐng)參閱《信息與通信技術(shù)工作組建議就網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品檢測(cè)認(rèn)證而范圍的擴(kuò)大導(dǎo)致強(qiáng)制性產(chǎn)品認(rèn)證要求泛化，可能為并造成市場(chǎng)準(zhǔn)入障礙。因此，有關(guān)部門應(yīng)避免不必要的強(qiáng)制性產(chǎn)品認(rèn)證要求，在規(guī)定認(rèn)證適用產(chǎn)品范圍時(shí)充分聽取業(yè)界意見，確保在最終發(fā)布相關(guān)目錄前對(duì)每類新增產(chǎn)品類別向公眾進(jìn)行充分溝通，并履與此同時(shí)，子工作組正密切關(guān)注與安全可靠評(píng)估和信息技術(shù)應(yīng)用創(chuàng)新相關(guān)的進(jìn)展和影響，特別是據(jù)報(bào)?對(duì)外商投資安全審查和網(wǎng)絡(luò)安全審查的適用范圍?避免對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度下第三級(jí)網(wǎng)絡(luò)使用2.繼續(xù)完善中國(guó)網(wǎng)絡(luò)與數(shù)據(jù)安全要求，確保其有利于產(chǎn)業(yè)發(fā)展、外商投資和全球交流網(wǎng)絡(luò)和數(shù)據(jù)安全要求的持續(xù)優(yōu)化可幫助跨國(guó)企業(yè)進(jìn)2024年伊始，中國(guó)作出明確表態(tài)，支持外資企業(yè)與其總部之間的數(shù)據(jù)流動(dòng)，以更好地吸引外資。29子工作組欣喜地發(fā)現(xiàn)，國(guó)家網(wǎng)信辦隨后發(fā)布的《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》30采納或部分采納了中國(guó)歐盟商會(huì)提交的諸多行業(yè)意見建議。按照《規(guī)定》，部分企業(yè)可降格適用標(biāo)準(zhǔn)合同，或豁免跨境數(shù)據(jù)傳輸三條路徑；而對(duì)于仍需申報(bào)安全評(píng)估的企《規(guī)定》帶來的主要積極變化包括但不限于：豁免了某些高頻、低量級(jí)、必要的數(shù)據(jù)跨境傳輸；降低了數(shù)據(jù)跨境傳輸申報(bào)安全評(píng)估、訂立標(biāo)準(zhǔn)合同和通過個(gè)人信息保護(hù)認(rèn)證的數(shù)據(jù)量級(jí)門檻；數(shù)據(jù)跨境傳輸必要性更多轉(zhuǎn)為數(shù)據(jù)處理者自行評(píng)估，更具靈活性；簡(jiǎn)化了申報(bào)流程和文本要求；以及明確了僅當(dāng)相關(guān)部門或地區(qū)告知或公開發(fā)布某數(shù)據(jù)為重要數(shù)據(jù)時(shí)，數(shù)據(jù)處理者方有必要將其作為重要數(shù)據(jù)申報(bào)安同時(shí)，子工作組還注意到一些仍待解決的問題，包情形不在豁免之列，則無論量級(jí)均需進(jìn)行標(biāo)準(zhǔn)合同備案或申報(bào)安全評(píng)估。鑒于“敏感個(gè)人信息”范圍廣泛，對(duì)于部分企業(yè)而言，觸發(fā)標(biāo)準(zhǔn)合同備?為豁免條款提供擴(kuò)張性解釋，特別是涉及“按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施跨境人力資源管理”的解釋，對(duì)于確保外資企業(yè)對(duì)豁免條款的獲得感至關(guān)重要。值得注意的是，由于《中華人民共和國(guó)勞動(dòng)法》并未強(qiáng)制要29《扎實(shí)推進(jìn)高水平對(duì)外開放更大力度吸引和利用外資行動(dòng)方案》，國(guó)務(wù)院辦公zhengce/content/202403/content_6940154.31卓皙雯和馬嘉璐，《劉烈宏：將繼續(xù)迭代數(shù)據(jù)跨境政策，與主要經(jīng)貿(mào)伙伴建立數(shù)月4日，<https://m.21/article/20240了此類合同。因此，不應(yīng)理解為當(dāng)且僅當(dāng)同時(shí)具備勞動(dòng)規(guī)章制度和集體合同時(shí)，企業(yè)才能獲得豁?如何判斷數(shù)據(jù)跨境傳輸是否“確需”仍不明確，包括特定數(shù)據(jù)字段是否滿足必要性要求，以及以使用全球IT系統(tǒng)為由進(jìn)行的傳輸是否可能滿足必要性。在這方面，工作組歡迎有關(guān)部門提供公開和非限制性指導(dǎo)，尤其是考慮到免于申報(bào)安全?各部門、各地方對(duì)于“重要數(shù)據(jù)”的識(shí)別依然存在不確定性，企業(yè)對(duì)可能存在的寬泛定義的擔(dān)憂南》征求意見稿部分措辭較為含糊，在涉及人工智能數(shù)據(jù)、供應(yīng)鏈數(shù)以及石化、汽車零部件和電子行業(yè)的某些生產(chǎn)和研發(fā)數(shù)據(jù)時(shí)，有過于嚴(yán)格之嫌。子工作組預(yù)計(jì)最終版指南在這方面將國(guó)超大規(guī)模市場(chǎng)特性，相關(guān)量級(jí)門檻較易達(dá)到，與此同時(shí)，由于自由貿(mào)易試驗(yàn)區(qū)已被授權(quán)制定跨境數(shù)據(jù)傳輸一般數(shù)據(jù)清單和負(fù)面清單，子工作組正密切關(guān)注上述清單“在國(guó)家數(shù)據(jù)分類分級(jí)保護(hù)制度框工作組還希望，自由貿(mào)易試驗(yàn)區(qū)內(nèi)外的政策要求能夠更好地銜接，且區(qū)內(nèi)清單提供的利好舉措能逐步推廣至全國(guó)范圍，包括“重要數(shù)據(jù)”范圍界定2021年7月，工信部、國(guó)家網(wǎng)信辦和公安部聯(lián)合32對(duì)汽車行業(yè)而言，該量級(jí)門檻為10萬人以上個(gè)人Europeanchamber制性國(guó)家標(biāo)準(zhǔn)《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》，35并提出了與協(xié)調(diào)漏洞披露（CVD）有關(guān)的條款?！豆芾硪?guī)定》包含向工信部報(bào)送相關(guān)漏洞信息的具體要求，與CVD和漏洞處理領(lǐng)域通行的最佳實(shí)踐30111:2019）存在顯著分歧，引發(fā)了國(guó)際社會(huì)的CVD是一套標(biāo)準(zhǔn)化、多步驟的流程，利益相關(guān)者以此識(shí)別、開發(fā)、驗(yàn)證、分發(fā)和部署漏洞修補(bǔ)和防范措施。為最小化用戶風(fēng)險(xiǎn)、潛在危害和與漏洞相關(guān)成本，CVD規(guī)定漏洞接收者僅向?yàn)殚_發(fā)和測(cè)試漏洞修補(bǔ)、防范措施所必需涉及的各方披露漏洞相未修復(fù)的漏洞信息應(yīng)僅向必要方進(jìn)行披露，以防止該信息遭惡意利用?？紤]到網(wǎng)絡(luò)產(chǎn)品間的相互依賴性，這一點(diǎn)尤為重要。子工作組強(qiáng)烈希望有關(guān)部門能夠明確，僅在采取修補(bǔ)和防范措施后，方可要求議以保密方式披露已修復(fù)漏洞信息，并且僅向在CVD過程中開發(fā)和驗(yàn)證擬采取的修補(bǔ)和防范措施此外還應(yīng)指出，在特定情況下，披露未修復(fù)漏洞相關(guān)信息可為用戶提供必要支持，例如當(dāng)產(chǎn)品供應(yīng)商不復(fù)存在，或當(dāng)開源軟件庫/模塊或常用協(xié)議存在漏洞，且沒有相應(yīng)的技術(shù)所有者或其他協(xié)調(diào)者開發(fā)另一問題是在發(fā)生網(wǎng)絡(luò)安全事件時(shí)必須報(bào)告“有關(guān)主管部門”，且在發(fā)生數(shù)據(jù)泄露時(shí)必須報(bào)告“有關(guān)部門”。就此，應(yīng)確保有關(guān)監(jiān)管框架的統(tǒng)一性，由一個(gè)部門就事件報(bào)送統(tǒng)籌協(xié)調(diào)其他各部門。就同一事件通報(bào)多個(gè)部門可能導(dǎo)致不同甚至彼此沖突的響應(yīng)要求或行動(dòng)，既會(huì)加重有關(guān)部門負(fù)擔(dān)，亦會(huì)增加35《網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》，工信36《歐盟協(xié)調(diào)漏洞披露政策》，歐盟網(wǎng)絡(luò)和信息安全署，2022年4月13日，coordinated-vulnerability-disclosure-policies-in-t國(guó)家網(wǎng)信辦近期發(fā)布的《網(wǎng)絡(luò)安全事件報(bào)告管理辦大”事件37進(jìn)行了相對(duì)寬泛的界定，并規(guī)定了一小時(shí)內(nèi)內(nèi)向有關(guān)部門報(bào)告的嚴(yán)格義務(wù)，將加重企業(yè)合規(guī)負(fù)擔(dān)。工信部《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全事件應(yīng)急預(yù)案（試行）》與其在報(bào)告義務(wù)、事件分級(jí)標(biāo)準(zhǔn)、違規(guī)處罰等內(nèi)容上存在重疊，兩者對(duì)中國(guó)安全立法提出的關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)要求的范圍不斷擴(kuò)大，顯著加重了企業(yè)運(yùn)營(yíng)負(fù)擔(dān)。例如，此類要求的適用對(duì)象，已經(jīng)或可能從關(guān)鍵信息基礎(chǔ)設(shè)施本身擴(kuò)展至運(yùn)營(yíng)者的其他網(wǎng)絡(luò)、基礎(chǔ)設(shè)施，無論所涉網(wǎng)絡(luò)、基礎(chǔ)設(shè)施對(duì)于關(guān)鍵業(yè)務(wù)的正常運(yùn)作是否真正不可或缺。此外，某些起初僅針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)要求，已經(jīng)擴(kuò)展至網(wǎng)絡(luò)安全等級(jí)保護(hù)制度下的第三級(jí)以上網(wǎng)絡(luò)，乃至更廣泛的網(wǎng)就此，有關(guān)部門有必要明確界定關(guān)鍵信息基礎(chǔ)設(shè)施的邊界，避免泛化相關(guān)要求，以增強(qiáng)法律確定性，減輕合規(guī)負(fù)擔(dān)，為正常商業(yè)活動(dòng)和國(guó)際交流與合作創(chuàng)造空間。在這方面，子工作組對(duì)全國(guó)網(wǎng)安標(biāo)委盡快研制出臺(tái)關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法等急需?針對(duì)數(shù)據(jù)出境豁免場(chǎng)景和必要性判斷提供進(jìn)一步生產(chǎn)、研發(fā)數(shù)據(jù)泛泛歸為重要數(shù)據(jù)，避免將大量個(gè)人信息與重要數(shù)據(jù)混同管理，或至少提高數(shù)據(jù)37《網(wǎng)絡(luò)安全事件報(bào)告管理辦法（征求意見稿）》，國(guó)家網(wǎng)信辦，2023年12月8日，查閱日期2024年5月7日，<.c38《全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2024年度工作要點(diǎn)》，全國(guó)網(wǎng)安標(biāo)委，2024年4月8日，查閱日期2024年5月4日，<httpostDetail.html?id=2024040?避免強(qiáng)制要求向與協(xié)調(diào)漏洞披露流程無關(guān)的各方?明確區(qū)分關(guān)鍵信息基礎(chǔ)設(shè)施和非關(guān)鍵信息基礎(chǔ)設(shè)3.制定面向未來的新興技術(shù)安全立法時(shí)，確保其具有適度性、行業(yè)參與、全球協(xié)調(diào)性適度性、行業(yè)參與、全球協(xié)調(diào)性和非歧視性是現(xiàn)行安全立法制定過程中的重要考量，也是制定可持續(xù)正如《信息與通信技術(shù)工作組建議書2024/2025》中所述，未來幾年，新興產(chǎn)業(yè)和面向未來的產(chǎn)業(yè)將迅速發(fā)展。這將需要更新現(xiàn)行安全立法，但更重要的是，其更新不應(yīng)阻礙行業(yè)發(fā)展。從《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》帶來的積極變化，以及中國(guó)領(lǐng)導(dǎo)人近期相關(guān)表態(tài)中可得出的積極啟示是，安全的優(yōu)先級(jí)