意大利信息安全协会近期发布的研究报告显示,2021年全球网络犯罪造成的相关损失超过6万亿美元,而2020年这一数字估计为1万亿美元。意大利防务、安全和航空航天巨头莱昂纳多公司首席执行官普罗富莫表示,新冠肺炎疫情导致在线活动激增,“过去两年来的网络安全威胁成为疫情的‘附带损害’”。

全球网络犯罪快速上升势头明显,企业在网络犯罪中蒙受了重大损失。根据美国联邦调查局最新发布的《互联网犯罪报告》,与前几年相比,网络钓鱼攻击是目前最常报告的网络犯罪类型,2021年报告了32万多起,其中仅商务电邮入侵就造成近24亿美元的损失。云计算公司Iomart的一份报告指出,2020年第一季度,全球大规模信息泄露事件同比增长273%。一次数据泄露对于大型公司的损失大约是其市值的7.27%,对中小型公司的影响则是灾难性的。今年5月,网络安全机构Hiscox针对5000多家欧美企业进行了问卷调查,超过87%的受访者将网络犯罪视为头号威胁,超过经济衰退和人才短缺等问题。西班牙国家网络安全研究所称,欺诈、漏洞和勒索软件仍将是2022年网络威胁的主要形式。

为应对日趋猖獗的网络犯罪威胁,许多国家和地区不断完善立法和技术保护措施。根据联合国贸发会议的数据,全球156个国家和地区已经颁布实施网络犯罪相关法律法规,多国正在完善升级其网络安全国家战略和组织架构。意大利去年6月宣布成立国家网络安全局,旨在提高国家预防、监测能力,以应对网络安全事件和网络攻击。英国今年初发布的《政府网络安全战略2022—2030》报告提出,到2025年,英国政府关键职能部门要显著增强抵御网络攻击的能力;到2030年,各政府部门均需具备抵御已知的网络漏洞和攻击方法的能力。

鉴于网络犯罪存在跨境特征,全球协同打击网络犯罪具有重要意义。2019年底,联合国大会通过了“打击为犯罪目的使用通信技术”决议。去年5月,第七十五届联合国大会通过关于启动《联合国打击网络犯罪公约》谈判的决议,公约特委会第一次谈判会议已于今年初举行。与会各方普遍认同应尽快制定《联合国打击网络犯罪公约》,多数国家支持按联大决议如期完成谈判。

目前,上海合作组织、欧洲委员会、阿拉伯国家联盟等国际组织均已制定打击网络犯罪的多边条约。欧盟正加紧整合成员国的相关资源和专业技术,计划成立一个专门应对网络攻击的机构,强化联合打击网络犯罪的能力。该机构预计于2023年建成,成员包括来自欧盟成员国、欧洲刑警组织以及欧盟对外行动署等机构的专家。




数据出境安全评估办法自9月1日起施行 促进数据跨境安全流动

7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自今年9月1日起施行。国家网信办有关负责人表示,出台《办法》旨在落实网络安全法、数据安全法、个人信息保护法的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。

近年来,随着我国数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。

为此,我国加快完善数据出境安全管理制度,自2016年起,陆续出台网络安全法、数据安全法、个人信息保护法等法律,基本构建了数据治理顶层法律制度。不过,专家指出,上述法律并未对数据出境评估规范进行细化规定,导致实践中对数据出境进行安全评估时缺乏具体实施规则。

中国信息通信研究院政策与经济研究所所长辛勇飞表示,《办法》的出台,对数据出境管理中最为重要的“安全评估”手段予以明确,实现了规则性立法落地,是完善数字治理顶层制度设计的重要配套性规章。

《办法》规定了应当申报数据出境安全评估的4种情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。

“纵观关于数据安全的各类法律法规可以看出,关键信息基础设施数据等重要数据不仅最为敏感,数据也最为广泛,涵盖了国计民生的方方面面。此类数据一旦处理不当特别是在出境过程中被非法获取、非法利用,将给国家安全带来严重威胁。因此,《办法》明确和界定需要申报评估的数据范围是非常重要的,这对数据处理者自觉遵守法律法规要求,主动申报出境评估工作具有重要意义。”中国科学院科技战略咨询研究院系统分析与管理研究所副所长、研究员孙晓蕾说。

《办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。

“《办法》坚持安全和发展并重,明确了数据出境安全评估的流程和要求,对规范促进数据依法有序流动具有十分重要的制度价值和实践意义,标志着我国数据治理法治实践走出关键一步。”辛勇飞说,《办法》通过法治途径提升产业预期,给予规范指引,有利于数据出境活动的依法有序进行,保障数据安全出境,推动形成数字经济外循环的重要模式和路径。

奇安信集团副总裁孔德亮则表示,《办法》明确了监管的要求和细则,企业对数据安全整体建设思路将更加清晰。明确监管细则后,企业急需补上短板,优先保障数据安全基础安全防护问题。在合规要求和企业意愿带动下,预计数据安全服务市场空间将是百亿元起。



全球网络犯罪急需强化协同打击去年造成损失超6万亿美元