欧盟企业在中国建议书（2024-2025）网络安全子工作组

和国数据安全法》、3《中华人民共和国个人信息4《中华人民共和国密码法》5以及相应实施细则对中国网络安全环境进行了规范，相关监 发布的修订决定征求意见稿显示，本轮修订旨在加大行政处罚力度。7与此同时，《网络数据安全管 这一已被广泛援引的概念作出正式定义，并提出了 全国网络安全标准化技术委员会已发布并正在制定多项推荐性国家标准，作为网络和数据安全领域的重要合规参考。这些标准包括但不限于：GB/T43697-2024《数据安全技术数据分类分级规则》81《中华人民共和国网络安全法》，中华人民共和国国家互联网信息办公室，2016华人民共和国网络安全法〉的决定（征求意见稿）》，提出对某些违反《中华人3《中华人民共和国数据安全法》，全国人民4《中华人民共和国个人信息保护法》，国务院，2021年8月20日，查阅日期5《中华人民共和国密码法》，国家密码管理局，2023年6月4日，查阅日期2024年5月29日，</sca/xxgk/2023-06/04/6《全国人大常委会2024年度立法工作计划》，全国人民代表大会，2024年7《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，国家网信cn/2022-09/14/c_166478164960989《信息安全技术重要数据处理安全要求》（征求意见稿），全国网安标委，20postDetail.html?id=2023083计划中同时提出，将研制个人信息匿名化等标准指另一监管动向为中华人民共和国国家互联网信息办公室于2023年12月8日发布的《网络安全事件报告管理办法（征求意见稿）》。12《办法（征求意见稿）》规定了网络安全事件的具体报告时限和其他要求。值得注意的是，网络安全事件分为“特别重大”、“重大”、“较大”和“一般”，其中前三类事件需要在发生后一小时内向网信等有关部门报告。2023年12月15日，工业和信息化部发布了《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》。13目前，工信部法（征求意见稿）》竞合适用关系有待明确，尤其是在报告义务、事件分级标准和违规处罚等重叠领域。在一定程度上，两者在事件报告要求（特别是目的、依据和范围）方面不可避免地存在不一致之处，如职责分工等方面。人信息保护合规审计管理办法（征求意见稿）》，应当每年至少开展一次个人信息保护合规审计。其他个人信息处理者应当每两年至少开展一次个人信10《信息安全技术敏感个人信息处理安全要求》（征求意见稿全国网安标委，front/postDetail.html?id=20230809175211关于印发《全国网络安全标准化技术委员会2024年度工作要点》的通知，全/front/postDetail.html?id=2024040813312《网络安全事件报告管理办法（征求意见稿）》，国家网信办，2023年12月8日，查阅日期2024年5月7日，<.c13公开征求对《工业和信息化领域数据安全事件应急预案（试行征求意见</gzcy/yjzj/art/2023/art_7c903aac87514e26b2dbbc42fEuropeanchamber中国跨境数据传输制度由三条不同路径构成，包括通过国家网信办开展的数据出境安全评估，订立标准合同并备案，以及通过个人信息保护认证。2024进和规范数据跨境流动规定》，自发布之日起生15尽管仍有模糊、挑战之处有待明确、解决，但《规定》减轻了跨境数据传输的相关合规负担——《规定》明确，若其要求和此前发布的安全评估、标准合同和个人信息保护认证等有关规定存在差异，将以《规定》要求为准。与此同时，国家网信办还发布了《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，进一步简化了安全评估过去一年，工业和信息技术、金融、交通运输、寄递等行业相继发布了网络和数据安全相关的规定或征求意见稿。子工作组注意到，一些领域的监管要求有所收紧，或至少覆盖面变广，同时，也出现了例如，工信部的《工业和信息化领域数据安全行政上对数据安全合规提出了更加具体的要求，并提出“无主观过错不处罚”、“一事不再罚”等积极原则。与此同时，部分行业重要数据识别指南仍较为模糊，对企业构成较大限制性，详见主要建议第214国家互联网信息办公室关于《个人信息保护合规审计管理办法（征求意见稿）》16国家互联网信息办公室发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，国家网信办，2024年3月c_1712783131692707.htm>17《工业和信息化领域数据安全行政处罚裁量指引（试行）》，工信部，2023年wjfb/art/2023/art_e14338d7b2684c79bec7931b75336520.htm《中华人民共和国数据安全法》同时授权各地区制定本地区数据分类分级规则，而《促进和规范数据跨境流动规定》和国务院相关文件亦允许自由贸易试验区制定跨境数据传输的一般数据清单和负面清单。截至本文件撰写之时，北京、天津、上海、海南和粤港澳大湾区等地已有多个地方性规定出台或《网络安全法》第23条定义了“网络关键设备”和“网络安全专用产品”，落入其范畴的产品被列入专门目录，需经强制性认证合格或安全检测符合要求。该目录最初由国家网信办等部门于2017年修订版目录显著扩大了网络安全专用产品的范围，从11个产品类别增加至34个产品类别，涵盖了安全存储、安全管理、流量控制、负载均衡、日志分析等诸多领域。18此外，虽然旧版目录为受影响的产品类别设立了性能指标门槛，但修订版目录删除了所有性能指标，因此同时涵盖了高端和项基础软硬件产品的政府采购需求标准，包括操作系统、数据库、通用服务器、工作站、一体式计算机、便携式计算机、台式计算机。19中央处理器和操作系统等关键部件需通过中国信息安全测评中心开展的安全可靠测评这一新设合格评定制度，该测评主要建立在信息技术应用创新（亦称“信创”）相关活动的基础之上。截至本文件撰写之时，已有两批产品通过测评，一些国产中央处理器、操作系统和集中式数据库榜上有名。20此外，2024年3月20日，全国信息技术标准化技术委员会发布了18《网络关键设备和网络安全专用产品目录》，国家网信办，2023年7月<.c21《关于征求9项行业标准意见的函》，全国信息技术标准化技术网，2024年3一系列新近出台的规定旨在跟上新兴技术快速发展能立法的情况下，中国正式发布了《生成式人工智能服务管理暂行办法》，自2023年8月15日起施行。22该办法对生成式人工智能服务提供者提出了一系列合规义务，包括但不限于胡开展安全评估、完成算法备案并确保训练数据的真实科学技术部等部门发布了《科技伦理审查办法（试行）》，23要求从事人工智能等科技活动的单位，研究内容涉及伦理敏感领域的，应设立科技伦理（审查）委员会。1.确保中国网络安全立法不会构成歧视性市尽管近期某些领域的网络安全监管要求有所放宽，但部分现行要求仍可能将外资企业置于商业不利地位，限制或甚至禁止此类企业向部分细分市场提供中国现行安全立法中的某些要求或对外资企业构成商投资安全审查办法》，外商投资安全审查已自2021年1月18日起实施。24《办法》要求外国投资者在投资“重要信息技术和互联网产品与服务、关键技术以及其他涉及国家安全的重要领域”23关于印发《科技伦理审查办法（试行）》的通知，科技部，2023年9月7日，查阅日期2024年5月8日，</xxgk/xinxifenlei/fdzdgknr/fgzc/gfxwj/gfxwj2023/202310/t20231008_188309.ht并取得所投资企业实际控制权时，须通过相关审查。然而，审查范围并不明确，可能导致有关部门的自由裁量。由此产生的不确定性增加了外国投资者的负担，导致其必须提前进行评估并咨询监管机构，以确定是否落入审查范围。咨询过程可能涉及交易和其他文件的披露，这可能使外国投资者网络安全等级保护制度根据网络对公民、法人和其他组织的合法权益、公共利益、社会秩序、国家安全的影响程度，将其分为五个安全保护等级，并规定了相应的保护措施。该制度基于公安部2018年6月发布的《网络安全等级保护条例（征求意见稿）》，25以及一些已经生效的标准。除包含繁琐的合规要求外，网络安全等级保护制度扩大了偏向特定技术路线的安全要求的适用范围，因此正日益成为对信息与通信技术产品和服务施加相关采购限制的抓手。例如，其要求第二级及以上网络使用国家密码管理部门认可的密码技术、产品和服务，第三级及以上网络开展商用密码应用安全性评估。上述认可和评估流程偏向国内技术，长期以来一直是许多外资企业面临的障碍。这些要求实际上超出了《密码法》授权，不应被纳入其他国家《网络安全审查办法》规定，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当主动申报不透明的网络安全审查。《网络安全审查办法》关注广泛的风险因素，包括供应链、政治、外交和贸易因素。26上述非技术因素，以及冗长且不透明的审查流程，均对向关键信息基础设施运营者提供网络产品和服务的外资企业构成了市场准入限制。此外，由于可能需要披露交易和25《网络安全等级保护条例（征求意见稿）》，公安部，2018年6月27日，Europeanchamber其他文件，供应商或因需要披露机密信息和商业秘《密码法》及其实施细则中存在模棱两可之处，导致要求与现有和既定国际准则相悖——此类准则呼吁各国免于对普遍应用商业加密功能的大众消费类信息与通信技术产品施加限制性的、繁重的许可、认证和其他合规要求，以免限制或延迟相关进出口为避免不必要的市场准入限制，有必要从严从紧定义该法建立的各类监管制度的适用范围，并确保其透明性。具体来看，应明确以加密为次要功能的商业产品不受认证和进出口相关规定的限制；不泛化“国家安全”、“国计民生”、“公共利益”等概念；广泛界定不受进出口限制的“大众消费类产品”避免将仅适用于关键信息基础设施和党政机关的要求扩大至第三级以上网络；以及采用国际标准、保子工作组对《促进和规范数据跨境流动规定》中部分监管要求的放宽表示赞赏，但短期内，一些关键行业和数据驱动型行业的外国企业在将创新产品和服务引入国内时，可能仍会受安全评估和“重要数据”（此类数据往往与企业业务密切相关）定义方面的某些限制或不确定性影响，而难以推进决策。因此，建议各部门尽快明确并从严从紧界定重要数据范围，避免将跨国企业的生产、研发和供应链相关数据纳入其中。同时，在具备相关安全保障措施的前提下，允许有充分商业必要性的跨境数据传输子工作组同时呼吁，不应将必须开展数据跨境传输的跨国企业视为天然更不安全，以确保招标过程中27《世界半导体理事会第17次会议联合声明》，世界半导体理事会，2013年5月23日，查阅日期2024年5月7日，<http://www.semiconductorcouncil.org/wp-content/uploads/2016/07/May_2013_WSC_-_GAMS_version_Joint_Statement_of_the_17th_Meeting_of_the_WSC_Final_23_M-1.pd28有关加密相关的市场准入问题的更多信息，请参阅《信息与通信技术工作组建议就网络关键设备和网络安全专用产品检测认证而范围的扩大导致强制性产品认证要求泛化，可能为并造成市场准入障碍。因此，有关部门应避免不必要的强制性产品认证要求，在规定认证适用产品范围时充分听取业界意见，确保在最终发布相关目录前对每类新增产品类别向公众进行充分沟通，并履与此同时，子工作组正密切关注与安全可靠评估和信息技术应用创新相关的进展和影响，特别是据报•对外商投资安全审查和网络安全审查的适用范围•避免对网络安全等级保护制度下第三级网络使用2.继续完善中国网络与数据安全要求，确保其有利于产业发展、外商投资和全球交流网络和数据安全要求的持续优化可帮助跨国企业进2024年伊始，中国作出明确表态，支持外资企业与其总部之间的数据流动，以更好地吸引外资。29子工作组欣喜地发现，国家网信办随后发布的《促进和规范数据跨境流动规定》30采纳或部分采纳了中国欧盟商会提交的诸多行业意见建议。按照《规定》，部分企业可降格适用标准合同，或豁免跨境数据传输三条路径；而对于仍需申报安全评估的企《规定》带来的主要积极变化包括但不限于：豁免了某些高频、低量级、必要的数据跨境传输；降低了数据跨境传输申报安全评估、订立标准合同和通过个人信息保护认证的数据量级门槛；数据跨境传输必要性更多转为数据处理者自行评估，更具灵活性；简化了申报流程和文本要求；以及明确了仅当相关部门或地区告知或公开发布某数据为重要数据时，数据处理者方有必要将其作为重要数据申报安同时，子工作组还注意到一些仍待解决的问题，包情形不在豁免之列，则无论量级均需进行标准合同备案或申报安全评估。鉴于“敏感个人信息”范围广泛，对于部分企业而言，触发标准合同备•为豁免条款提供扩张性解释，特别是涉及“按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理”的解释，对于确保外资企业对豁免条款的获得感至关重要。值得注意的是，由于《中华人民共和国劳动法》并未强制要29《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》，国务院办公zhengce/content/202403/content_6940154.31卓皙雯和马嘉璐，《刘烈宏：将继续迭代数据跨境政策，与主要经贸伙伴建立数月4日，<https://m.21/article/20240了此类合同。因此，不应理解为当且仅当同时具备劳动规章制度和集体合同时，企业才能获得豁•如何判断数据跨境传输是否“确需”仍不明确，包括特定数据字段是否满足必要性要求，以及以使用全球IT系统为由进行的传输是否可能满足必要性。在这方面，工作组欢迎有关部门提供公开和非限制性指导，尤其是考虑到免于申报安全•各部门、各地方对于“重要数据”的识别依然存在不确定性，企业对可能存在的宽泛定义的担忧南》征求意见稿部分措辞较为含糊，在涉及人工智能数据、供应链数以及石化、汽车零部件和电子行业的某些生产和研发数据时，有过于严格之嫌。子工作组预计最终版指南在这方面将国超大规模市场特性，相关量级门槛较易达到，与此同时，由于自由贸易试验区已被授权制定跨境数据传输一般数据清单和负面清单，子工作组正密切关注上述清单“在国家数据分类分级保护制度框工作组还希望，自由贸易试验区内外的政策要求能够更好地衔接，且区内清单提供的利好举措能逐步推广至全国范围，包括“重要数据”范围界定2021年7月，工信部、国家网信办和公安部联合32对汽车行业而言，该量级门槛为10万人以上个人Europeanchamber制性国家标准《网络关键设备安全通用要求》，35并提出了与协调漏洞披露（CVD）有关的条款。《管理规定》包含向工信部报送相关漏洞信息的具体要求，与CVD和漏洞处理领域通行的最佳实践30111:2019）存在显著分歧，引发了国际社会的CVD是一套标准化、多步骤的流程，利益相关者以此识别、开发、验证、分发和部署漏洞修补和防范措施。为最小化用户风险、潜在危害和与漏洞相关成本，CVD规定漏洞接收者仅向为开发和测试漏洞修补、防范措施所必需涉及的各方披露漏洞相未修复的漏洞信息应仅向必要方进行披露，以防止该信息遭恶意利用。考虑到网络产品间的相互依赖性，这一点尤为重要。子工作组强烈希望有关部门能够明确，仅在采取修补和防范措施后，方可要求议以保密方式披露已修复漏洞信息，并且仅向在CVD过程中开发和验证拟采取的修补和防范措施此外还应指出，在特定情况下，披露未修复漏洞相关信息可为用户提供必要支持，例如当产品供应商不复存在，或当开源软件库/模块或常用协议存在漏洞，且没有相应的技术所有者或其他协调者开发另一问题是在发生网络安全事件时必须报告“有关主管部门”，且在发生数据泄露时必须报告“有关部门”。就此，应确保有关监管框架的统一性，由一个部门就事件报送统筹协调其他各部门。就同一事件通报多个部门可能导致不同甚至彼此冲突的响应要求或行动，既会加重有关部门负担，亦会增加35《网络关键设备安全通用要求》，工信36《欧盟协调漏洞披露政策》，欧盟网络和信息安全署，2022年4月13日，coordinated-vulnerability-disclosure-policies-in-t国家网信办近期发布的《网络安全事件报告管理办大”事件37进行了相对宽泛的界定，并规定了一小时内内向有关部门报告的严格义务，将加重企业合规负担。工信部《工业和信息化领域数据安全事件应急预案（试行）》与其在报告义务、事件分级标准、违规处罚等内容上存在重叠，两者对中国安全立法提出的关键信息基础设施保护要求的范围不断扩大，显著加重了企业运营负担。例如，此类要求的适用对象，已经或可能从关键信息基础设施本身扩展至运营者的其他网络、基础设施，无论所涉网络、基础设施对于关键业务的正常运作是否真正不可或缺。此外，某些起初仅针对关键信息基础设施的安全保护要求，已经扩展至网络安全等级保护制度下的第三级以上网络，乃至更广泛的网就此，有关部门有必要明确界定关键信息基础设施的边界，避免泛化相关要求，以增强法律确定性，减轻合规负担，为正常商业活动和国际交流与合作创造空间。在这方面，子工作组对全国网安标委尽快研制出台关键信息基础设施边界确定方法等急需•针对数据出境豁免场景和必要性判断提供进一步生产、研发数据泛泛归为重要数据，避免将大量个人信息与重要数据混同管理，或至少提高数据37《网络安全事件报告管理办法（征求意见稿）》，国家网信办，2023年12月8日，查阅日期2024年5月7日，<.c38《全国网络安全标准化技术委员会2024年度工作要点》，全国网安标委，2024年4月8日，查阅日期2024年5月4日，<httpostDetail.html?id=2024040•避免强制要求向与协调漏洞披露流程无关的各方•明确区分关键信息基础设施和非关键信息基础设3.制定面向未来的新兴技术安全立法时，确保其具有适度性、行业参与、全球协调性适度性、行业参与、全球协调性和非歧视性是现行安全立法制定过程中的重要考量，也是制定可持续正如《信息与通信技术工作组建议书2024/2025》中所述，未来几年，新兴产业和面向未来的产业将迅速发展。这将需要更新现行安全立法，但更重要的是，其更新不应阻碍行业发展。从《促进和规范数据跨境流动规定》带来的积极变化，以及中国领导人近期相关表态中可得出的积极启示是，安全的优先级