数字政府政务云建设网络安全法律风险合规指引2023

近年来，国家大力推动数字政府建设。自2018年以来，《关于加快推进全国一体化在线政务服务平台建设的指导意见》《关于加快推进政务服务“跨省通办”的指导意见》等一系列文件相继印发。2021年12月国家发展改革委印发《“十四五”推进国家政务信息化规划》提出“要加快建设数字政府、提升政务服务水平。”2022年6月国务院发布《关于加强数字政府建设的指导意见》要求构建数字政府全方位安全保障体系，加强关键信息基础设施安全保障，强化安全防护技术应用，切实筑牢数字政府建设安全防线。 数字政府基础设施是包括云、网、数据共享、应用支撑一体化的基础支撑体系，政务云是其关键基础支撑。具体来说，政务云是指运用云计算技术，统筹使用政府已有的机房、计算、存储、网络、安全、应用支撑、信息数据等资源，为政府部门提供基础设施、支撑软件、应用系统、信息资源、运行保障和信息安全等综合服务的平台。 1云服务商可以充分利用新一代信息技术，积极参与到数字政府政务云建设中。 目前我国已发布《网络安全法》《数据安全法》《个人信息保护法》等网络安全领域法律法规，为政务云的网络安全工作提供了基础法律依据。本指引旨在梳理法律相关规定，以具体场景为牵引，为企业参与数字政府政务云建设提供网络安全法律风险合规指引。 参编单位中国移动通信集团有限公司法律与监管事务部 中国移动通信集团有限公司信息安全管理与运行中心 1云计算开源产业联盟：《中国政务云发展白皮书（2018）》 01 02 03 网络安全“四法一条例”关于政务云建设的规定 （一）《中华人民共和国网络安全法》01 （二）《中华人民共和国数据安全法》02 （三）《中华人民共和国个人信息保护法》02 （四）《中华人民共和国反电信网络诈骗法》04 （五）《关键信息基础设施安全保护条例》05 党政部门与云服务商之间的法律关系 （一）法律法规要求07 （二）合规风险分析08 （三）合规管理建议09 云服务牌照管理 （一）法律法规要求11 （二）合规风险分析13 （三）合规管理建议15 04 05 06 07 08 云平台定级备案 （一）法律法规要求17 （二）合规风险分析19 （三）合规管理建议20 云计算服务安全评估 （一）法律法规要求22 （二）合规风险分析23 （三）合规管理建议24 商用密码应用 （一）法律法规要求26 （二）合规风险分析29 （三）合规管理建议30 供应链安全 （一）法律法规要求32 （二）合规风险分析33 （三）合规管理建议34 政务数据安全 （一）法律法规要求36 （二）合规风险分析28 （三）合规管理建议39 （一）《中华人民共和国网络安全法》 （二）《中华人民共和国数据安全法》 关设于的政规务定云建 （三）《中华人民共和国个人信息保护法》 （四）《中华人民共和国反电信网络诈骗法》 （五）《关键信息基础设施安全保护条例》 01“网四络法安一全条例” 合规指引 网云建络设安的全规“定四法一条例”关于政务 （一）《中华人民共和国网络安全法》 （全国人民代表大会常务委员会，2016年11月7日通过） 《中华人民共和国网络安全法》（以下简称《网络安全法》）由全国人民代表大会常务委员会于2016年11月7日通过，自2017年6月1日起施行。《网络安全法》是我国第一部全面规范网络空间安全的基础性法律，是我国网络空间法治建设的重要里程碑，是让互联网在法治轨道上健康运行的重要保障。 1 3 2 根据《网络安全法》的要求，政务云的安全建设需要重点关注以下几个方面： 应遵循国家网络安全等级保护制度。作为关键信息基础设施的政务云，其安全建设应在网络安全等级保护建设的基础上，实行重点防护。作为关键信息基础设施的政务云，采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的安全审查。涉及大量公民个人信息的政务云，应建立健全信息管理制度与体系。建立网络安全监测预警和信息通报制度，深化政务云网络安全防护体系，实现全天候全方位感知网络安全态势。 5 4 1 数字政府政务云建设网络安全法律风险 （二）《中华人民共和国数据安全法》 （全国人民代表大会常务委员会，2021年6月10日通过） 《中华人民共和国数据安全法》（以下简称《数据安全法》）由全国人民代表大会常务委员会于2021年6月10日通过，自2021年9月1日起施行。《数据安全法》明确提出“建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全”，要求国家机关依照法律、行政法规的规定，建立健全数据安全管理制度，保障政务数据安全。 1 2 根据《数据安全法》的要求，政务云的安全建设需要重点关注以下几个方面： 应建立健全政务云数据安全管理制度，落实数据安全保护主体责任，保障政务数据安全。委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。应构建统一规范、互联互通、安全可控的政务数据开放平台，按照国家规定推动政务数据开放利用。 3 （三）《中华人民共和国个人信息保护法》 （全国人民代表大会常务委员会，2021年8月20日通过） 2 合规指引 《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）由全国人民代表大会常务委员会于2021年8月20日通过，自2021年11月1日起施行。《个人信息保护法》明确提出“任何组织、个人不得非法收集、使用、加工、传输他人个人信息”，数字政府业务系统中往往承载着大量个人信息，需要采取有效的技术手段和管理措施来保证个人信息安全。 1 3 4 2 根据《个人信息保护法》的要求，政务云的安全建设需要重点关注以下几个方面： 涉及处理个人信息的，应当遵守个人信息保护法的一般规定，合法收集和使用个人信息。存在向第三方提供个人信息情况的，如政务云服务方的个人信息是以告知-同意为基础，则应当在对外提供前，向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得个人的单独同意。不得公开其处理的个人信息，除非已取得个人单独同意。可以在合理范围内处理个人已公开的个人信息，但涉及个人重大权益的，应当取得个人同意。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，方可处理敏感个人信息，并且应当在处理前取得个人的单独同意，法律、行政法规规定应当取得书面同意的，从其规定。关键信息基础设施处理的个人信息应当在国内存储，确需向境外提供的，应当进行数据出境安全评估。 5 6 3 数字政府政务云建设网络安全法律风险 （四）《中华人民共和国反电信网络诈骗法》 （全国人民代表大会常务委员会，2022年9月2日通过） 《中华人民共和国反电信网络诈骗法》（以下简称《反电信网络诈骗法》）由全国人民代表大会常务委员会于2022年9月2日通过，自2022年12月1日起施行。《反电信网络诈骗法》强调预防、遏制和惩治电信网络诈骗活动的工作，要求地方各级人民政府组织领导本行政区域内反电信网络诈骗工作，确定反电信网络诈骗目标任务和工作机制，开展综合治理。 1 2 根据《反电信网络诈骗法》的要求，政务云的安全建设需要重点关注以下几个方面： 不得为他人针对境内实施电信网络诈骗活动提供帮助。应承担风险防控责任，建立反电信网络诈骗内部控制机制和安全责任制度，加强涉诈风险安全评估。应推进反制技术措施研发、推进涉电信网络诈骗样本信息数据共享，加强涉诈用户信息交叉核验，建立有关涉诈异常信息、活动的监测识别、动态封堵和处置机制。 3 （五）《关键信息基础设施安全保护条例》 （国务院，2021年8月17日发布） 《关键信息基础设施安全保护条例》（以下简称《条例》）由国务院于2021年8月17日发布，自2021年9月1日起施行。《条例》明确指出电子 4 合规指引 政务领域的重要网络设施、信息系统属于关键信息基础设施，采取监测、防御、处置等安全措施，实行重点保护。 1 3 4 5 2 根据《条例》的要求，作为关键信息基础设施的政务云，其安全建设需要重点关注以下几个方面： 应当建立健全网络安全保护制度和责任制，保障人力、财力、物力的投入。应当设置专门安全管理机构，对专门安全管理机构负责人和关键岗位人员进行安全背景审查，保障机构的有效运营。设立专业安全管理机构，履行相应的安全保护职责。发生重大网络安全事件或者发现重大网络安全威胁时，关键信息基础设施运营者应当按照有关规定向保护工作部门、公安机关报告。应当自行或者委托网络安全服务机构每年至少进行一次网络安全检测和风险评估，对发现的安全问题及时整改，并按照保护工作部门要求报送情况。应当优先采购安全可信的网络产品和服务；采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查。采购网络产品和服务，应当按照国家有关规定与网络产品和服务提供者签订安全保密协议，明确提供者的技术支持和安全保密义务与责任，并对义务与责任履行情况进行监督。关键基础设施运营者发生合并、分立、解散等情况，应当及时报告保护工作部门，并按照保护工作部门的要求对关键信息基础设施进行处置，确保安全。 6 7 8 5 02党云的法服律务关商系与之间 （一）法律法规要求 （二）合规风险分析 （三）合规管理建议 合规指引 党政部门与云服务商之间的法律关系 （一）法律法规要求 《中华人民共和国网络安全法》（全国人民代表大会常务委员会，2016年11月7日通过） 第三十四条除本法第二十一条的规定外，关键信息基础设施的运营者还应当履行下列安全保护义务： （一）设置专门安全管理机构和安全管理负责人，并对该负责人和关键岗位 的人员进行安全背景审查； （二）定期对从业人员进行网络安全教育、技术培训和技能考核； （三）对重要系统和数据库进行容灾备份； （四）制定网络安全事件应急预案，并定期进行演练； （五）法律、行政法规规定的其他义务。 《中华人民共和国数据安全法》（全国人民代表大会常务委员会，2021年6月10日通过） 第四十条国家机关委托他人建设、维护电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督受托方履行相应的数据安全保护义务。受 托方应当依照法律、法规的规定和合同约定履行数据安全保护义务，不得擅自留存、使用、泄露或者向他人提供政务数据。 《中华人民共和国个人信息保护法》（全国人民代表大会常务委员会，2021年8月20日通过） 7 数字政府政务云建设网络安全法律风险 第二十一条个人信息处理者委托处理个人信息的，应当与受托人约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督。受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；委托合同不生效、无效、被撤销或者终止的，受托人应当将个人信息返还个人信息处理者或者予以删除，不得保留。未经个人信息处理者同意，受托人不得转委托他人处理个人信息。 （二）合规风险分析 党政部门2作为政务云主管单位，委托云服务商建设政务云基础设施，二者分别属于技术委托开发中的委托方与受托方，各自依据委托开发协议承担相应的权利义务。此外，根据《数据安全法》第四十条的要求，党政部门委托云服务商建设、维护云服务电子政务系统，存储、加工政务数据，应当经过严格的批准程序，并应当监督云服务商履行相应的数据安全保护义务，因此云服务商有义务接受监管部门的监管，确保政务数据的安全与合规。 由此来看，作为被委托方的云服务商一方面要承担协议约定的各项义务，否则面临承担违约责任的风险；另一方面也要接受监管部门的监管，履行数据安全保护义务，否则面临受到有关监管部门约谈等行政处