為進(jìn)一步強(qiáng)化網(wǎng)絡(luò)安全管理和保護(hù)工作，積極應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)安全威脅，2024 年 5 月，國內(nèi)相關(guān)政府部門和行業(yè)協(xié)會(huì)繼續(xù)加大力度，相繼發(fā)布了多項(xiàng)針對(duì)網(wǎng)絡(luò)安全行業(yè)的重要政策法規(guī)，涵蓋了個(gè)人隱私數(shù)據(jù)保護(hù)、會(huì)計(jì)事務(wù)、自然資源數(shù)據(jù)信息、人工智能倫理規(guī)范以及信息安全管理標(biāo)準(zhǔn)等多個(gè)關(guān)鍵領(lǐng)域。

這些政策的發(fā)布，不僅為網(wǎng)絡(luò)安全行業(yè)的發(fā)展提供了更為明確的法律依據(jù)和操作指南，同時(shí)也為企業(yè)和個(gè)人在數(shù)字化轉(zhuǎn)型過程中，確保信息安全和隱私保護(hù)提供了有力支持，旨在共同營造一個(gè)更加安全、可信的網(wǎng)絡(luò)環(huán)境，為社會(huì)經(jīng)濟(jì)的健康發(fā)展保駕護(hù)航。以下是2024年5月網(wǎng)絡(luò)安全行業(yè)政策法規(guī)匯總。

一、網(wǎng)安標(biāo)委發(fā)布《網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全眾測服務(wù)要求》

近日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全眾測服務(wù)要求》（以下簡稱《要求》），并將在 2024 年 11 月 1 日正式實(shí)施。

《要求》由國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心 、中國電子技術(shù)標(biāo)準(zhǔn)化研究院 、國家信息技術(shù)安全研究中心 、阿里云計(jì)算有限公司 、奇安信網(wǎng)神信息技術(shù)（北京）股份有限公司 、中國移動(dòng)通信集團(tuán)有限公司 、中國科學(xué)院軟件研究所 、上海斗象信息科技有限公司等多家單位、企業(yè)共同編制，進(jìn)一步促進(jìn)眾測服務(wù)產(chǎn)業(yè)發(fā)展。

《要求》確立網(wǎng)絡(luò)安全眾測服務(wù)的角色及其職責(zé)，描述了服務(wù)流程，規(guī)定了服務(wù)要求；適用于眾測需求方、眾測組織方、授權(quán)測試方和眾測審計(jì)方在開展網(wǎng)絡(luò)安全眾測服務(wù)時(shí)使用，進(jìn)一步規(guī)范了網(wǎng)絡(luò)安全眾測服務(wù)所涉及角色的安全職責(zé)、服務(wù)流程和要求。 本標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)安全眾測服務(wù)過程中的眾測需求方、眾測組織方、授權(quán)測試方和眾測審計(jì)方在開展網(wǎng)絡(luò)安全眾測服務(wù)時(shí)使用。

主要內(nèi)容包括：

（1）網(wǎng)絡(luò)安全眾測服務(wù)的定義和服務(wù)流程；

（2）網(wǎng)絡(luò)安全眾測服務(wù)可能存在的安全風(fēng)險(xiǎn)；

（3）網(wǎng)絡(luò)安全眾測服務(wù)的各相關(guān)方（眾測需求方、眾測組織方、授權(quán)測試方、眾測審計(jì)方），各相關(guān)方在眾測項(xiàng)目實(shí)施過程中的交互關(guān)系以及各相關(guān)方的職責(zé)；

（4）在網(wǎng)絡(luò)安全眾測服務(wù)準(zhǔn)備階段、實(shí)施階段、后處理階段各相關(guān)方應(yīng)遵循的要求；其中后處理階段給出眾測服務(wù)結(jié)果為交付安全眾測報(bào)告及安全審計(jì)報(bào)告，安全眾測報(bào)告內(nèi)容包括但不限于：安全測試對(duì)象、測試時(shí)間、測試人員、測試對(duì)象整體安全情況分析、漏洞分布及分析、漏洞信息、漏洞修復(fù)建議、安全防護(hù)建議等，安全審計(jì)報(bào)告的內(nèi)容包括但不限于測試范圍、測試時(shí)間、測試人員、審計(jì)內(nèi)容、及審計(jì)結(jié)果等；

（5）網(wǎng)絡(luò)安全眾測服務(wù)平臺(tái)安全要求，包括用戶數(shù)據(jù)隔離要求、數(shù)據(jù)庫加固要求、身份鑒別要求、訪問控制要求等；

（6）網(wǎng)絡(luò)安全眾測服務(wù)平臺(tái)功能參考；

（7）授權(quán)測試方行為準(zhǔn)則，用于規(guī)范授權(quán)測試方的行為。

二、財(cái)政部、國家網(wǎng)信辦發(fā)布《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》

數(shù)字化浪潮下，會(huì)計(jì)師事務(wù)所承擔(dān)著金融和商業(yè)決策的關(guān)鍵支撐角色，積聚了海量敏感數(shù)據(jù)。這一背景下，會(huì)計(jì)師事務(wù)所迫切需要遵循一套標(biāo)準(zhǔn)化、系統(tǒng)化的數(shù)據(jù)安全管理框架。為響應(yīng)這一需求，結(jié)合《國務(wù)院辦公廳關(guān)于進(jìn)一步規(guī)范財(cái)務(wù)審計(jì)秩序 促進(jìn)注冊(cè)會(huì)計(jì)師行業(yè)健康發(fā)展的意見》（國辦發(fā)〔2021〕30號(hào)）中的相關(guān)規(guī)定，財(cái)政部和國家互聯(lián)網(wǎng)信息辦公室聯(lián)合制定了《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》（以下簡稱《辦法》），旨在強(qiáng)化會(huì)計(jì)師事務(wù)所的數(shù)據(jù)安全管理，確保其數(shù)據(jù)處理活動(dòng)的規(guī)范性和安全性。

《辦法》主要適用于境內(nèi)依法設(shè)立的會(huì)計(jì)師事務(wù)所開展的審計(jì)業(yè)務(wù)相關(guān)數(shù)據(jù)處理活動(dòng)，包括為上市公司以及非上市的國有金融機(jī)構(gòu)或中央企業(yè)等提供審計(jì)服務(wù)、為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者或者超過100萬用戶的網(wǎng)絡(luò)平臺(tái)運(yùn)營者提供審計(jì)服務(wù)、為境內(nèi)企業(yè)境外上市提供審計(jì)服務(wù)。

《辦法》提出，會(huì)計(jì)師事務(wù)所的首席合伙人（主任會(huì)計(jì)師）是本所數(shù)據(jù)安全負(fù)責(zé)人，要求會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立健全數(shù)據(jù)全生命周期安全管理制度，完善數(shù)據(jù)運(yùn)營和管控機(jī)制、健全數(shù)據(jù)安全管理組織架構(gòu)，明確數(shù)據(jù)安全管理權(quán)責(zé)機(jī)制、實(shí)施與業(yè)務(wù)特點(diǎn)相適應(yīng)的數(shù)據(jù)分類分級(jí)管理、建立數(shù)據(jù)權(quán)限管理策略，按照最小授權(quán)原則設(shè)置數(shù)據(jù)訪問和處理權(quán)限，定期復(fù)核并按有關(guān)規(guī)定保留數(shù)據(jù)訪問記錄、組織開展數(shù)據(jù)安全教育培訓(xùn)以及法律法規(guī)規(guī)定的其他事項(xiàng)。

《辦法》強(qiáng)調(diào)、會(huì)計(jì)師事務(wù)所的數(shù)據(jù)分類分級(jí)，要求會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)按照法律、行政法規(guī)的規(guī)定和被審計(jì)單位所處行業(yè)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)，并且要求會(huì)計(jì)師事務(wù)所當(dāng)明確數(shù)據(jù)傳輸操作規(guī)程，核心數(shù)據(jù)、重要數(shù)據(jù)傳輸過程中應(yīng)當(dāng)采用加密技術(shù)，保護(hù)傳輸安全。

此外，《辦法》》對(duì)會(huì)計(jì)師事務(wù)所在建立內(nèi)部網(wǎng)絡(luò)安全管理制度、網(wǎng)絡(luò)管理資源投入、網(wǎng)絡(luò)安全技術(shù)防護(hù)、網(wǎng)絡(luò)管理賬戶權(quán)限等方面做出具體要求，提出會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)建立完善的網(wǎng)絡(luò)安全管理治理架構(gòu)，建立健全內(nèi)部網(wǎng)絡(luò)安全管理制度體系，建立內(nèi)部決策、管理、執(zhí)行和監(jiān)督機(jī)制，確保網(wǎng)絡(luò)安全管理能力與提供的專業(yè)服務(wù)相適應(yīng)，為數(shù)據(jù)安全管理工作提供安全的網(wǎng)絡(luò)環(huán)境。

最后，《辦法》明確指出，相關(guān)單位的監(jiān)管職責(zé)，提出省級(jí)以上財(cái)政部門、省級(jí)以上網(wǎng)信部門對(duì)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全情況開展監(jiān)督檢查，公安機(jī)關(guān)、國家安全機(jī)關(guān)依法在職責(zé)范圍內(nèi)承擔(dān)會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全監(jiān)管職責(zé)。會(huì)計(jì)師事務(wù)所在面對(duì)監(jiān)管時(shí)，對(duì)于依法實(shí)施的數(shù)據(jù)安全監(jiān)督檢查，應(yīng)當(dāng)予以配合，不得拒絕、拖延、阻撓。

三、市場監(jiān)管總局發(fā)布《網(wǎng)絡(luò)反不正當(dāng)競爭暫行規(guī)定》

為預(yù)防和制止網(wǎng)絡(luò)不正當(dāng)競爭行為，維護(hù)公平競爭的市場秩序，鼓勵(lì)創(chuàng)新，保護(hù)經(jīng)營者和消費(fèi)者的合法權(quán)益，促進(jìn)數(shù)字經(jīng)濟(jì)規(guī)范持續(xù)健康發(fā)展，市場監(jiān)管總局根據(jù)《中華人民共和國反不正當(dāng)競爭法》、《中華人民共和國電子商務(wù)法》等法律、行政法規(guī)，制定、發(fā)布《網(wǎng)絡(luò)反不正當(dāng)競爭暫行規(guī)定》（以下簡稱《規(guī)定》）。

《規(guī)定》提出，鼓勵(lì)和支持經(jīng)營者依法開展經(jīng)營活動(dòng)，公平參與市場競爭。經(jīng)營者通過互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)從事生產(chǎn)經(jīng)營活動(dòng)，應(yīng)當(dāng)遵循自愿、平等、公平、誠信的原則，遵守法律法規(guī)規(guī)章，遵守商業(yè)道德。

在經(jīng)營過程中，經(jīng)營者不得實(shí)施網(wǎng)絡(luò)不正當(dāng)競爭行為，擾亂市場競爭秩序，影響市場公平交易，損害其他經(jīng)營者或者消費(fèi)者的合法權(quán)益。網(wǎng)絡(luò)不正當(dāng)競爭的具體行為如下：

（一）擅自使用與他人有一定影響的域名主體部分、網(wǎng)站名稱、網(wǎng)頁等相同或者近似的標(biāo)識(shí)；

（二）擅自將他人有一定影響的商品名稱、企業(yè)名稱（包括簡稱、字號(hào)等）、社會(huì)組織名稱（包括簡稱等）、姓名（包括筆名、藝名、譯名等）作為域名主體部分等網(wǎng)絡(luò)經(jīng)營活動(dòng)標(biāo)識(shí)；

（三）擅自使用與他人有一定影響的應(yīng)用軟件、網(wǎng)店、客戶端、小程序、公眾號(hào)、游戲界面等的頁面設(shè)計(jì)、名稱、圖標(biāo)、形狀等相同或者近似的標(biāo)識(shí)；

（四）擅自使用他人有一定影響的網(wǎng)絡(luò)代稱、網(wǎng)絡(luò)符號(hào)、網(wǎng)絡(luò)簡稱等標(biāo)識(shí)；

（五）生產(chǎn)銷售足以引人誤認(rèn)為是他人商品或者與他人存在特定聯(lián)系的商品；

（六）通過提供網(wǎng)絡(luò)經(jīng)營場所等便利條件，與其他經(jīng)營者共同實(shí)施混淆行為；

（七）其他利用網(wǎng)絡(luò)實(shí)施的足以引人誤認(rèn)為是他人商品或者與他人存在特定聯(lián)系的混淆行為。

《規(guī)定》確定，國家市場監(jiān)督管理總局及地方市場監(jiān)督管理部門作為主要監(jiān)管機(jī)構(gòu)，負(fù)責(zé)監(jiān)督指導(dǎo)和查處網(wǎng)絡(luò)不正當(dāng)競爭行為，應(yīng)當(dāng)堅(jiān)持依法行政，保證嚴(yán)格、規(guī)范、公正、文明執(zhí)法，并提出市場監(jiān)督管理部門應(yīng)當(dāng)加強(qiáng)對(duì)網(wǎng)絡(luò)不正當(dāng)競爭行為的監(jiān)測，發(fā)現(xiàn)違法行為的，依法予以查處。

市場監(jiān)督管理部門在查辦網(wǎng)絡(luò)不正當(dāng)競爭案件過程中，被調(diào)查的經(jīng)營者、利害關(guān)系人及其他有關(guān)單位、個(gè)人應(yīng)當(dāng)如實(shí)提供有關(guān)資料或者情況，不得偽造、銷毀涉案數(shù)據(jù)以及相關(guān)資料，不得妨害市場監(jiān)督管理部門依法履行職責(zé)，不得拒絕、阻礙調(diào)查。對(duì)涉嫌構(gòu)成犯罪，相關(guān)部門依法需要追究刑事責(zé)任的，市場監(jiān)督管理部門應(yīng)當(dāng)按照有關(guān)規(guī)定及時(shí)將案件移送公安機(jī)關(guān)處理。

四、《湖南省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理支撐服務(wù)工作管理辦法》發(fā)布

加強(qiáng)工業(yè)和信息化領(lǐng)域的網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理，已經(jīng)成為整個(gè)社會(huì)不可回避的緊迫任務(wù)。在這樣的背景下，為加強(qiáng)全省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理，規(guī)范工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全支撐服務(wù)工作，湖南省根據(jù)工信部《工業(yè)互聯(lián)網(wǎng)安全分類分級(jí)管理辦法》《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》和《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)指南》等有關(guān)規(guī)定，制定《湖南省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理支撐服務(wù)工作管理辦法（試行）》（以下簡稱《辦法》）。

《辦法》要求，省工業(yè)和信息化廳負(fù)責(zé)統(tǒng)籌推進(jìn)全省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作，推進(jìn)全省工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全技術(shù)支撐隊(duì)伍建設(shè)，培育發(fā)展一批本地支撐機(jī)構(gòu)，壯大支撐服務(wù)力量，構(gòu)建支撐服務(wù)資源池。各市縣工信部門負(fù)責(zé)推進(jìn)本行政區(qū)域工業(yè)和信息化領(lǐng)域網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理工作和支撐工作。

《辦法》強(qiáng)調(diào)，支撐機(jī)構(gòu)應(yīng)履行接受省工業(yè)和信息化廳對(duì)支撐工作的指導(dǎo)協(xié)調(diào)，嚴(yán)格遵守《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等有關(guān)法律法規(guī)以及支撐工作的有關(guān)規(guī)定、規(guī)范和工作要求；發(fā)現(xiàn)重大網(wǎng)絡(luò)或數(shù)據(jù)安全事件、風(fēng)險(xiǎn)隱患、高危漏洞和安全威脅時(shí)，應(yīng)及時(shí)通報(bào)企業(yè)，并同步報(bào)告市州工信部門和省工業(yè)和信息化廳；每季度向省工業(yè)和信息化廳報(bào)告支撐工作情況；確保支撐工作中涉及的網(wǎng)絡(luò)信息和數(shù)據(jù)安全；建立網(wǎng)絡(luò)安全和數(shù)據(jù)安全應(yīng)急處置機(jī)制和糾紛處理機(jī)制，防范支撐工作風(fēng)險(xiǎn)，妥善處理糾紛等自身義務(wù)。

對(duì)于未按照有關(guān)標(biāo)準(zhǔn)規(guī)范、工作流程開展支撐工作，運(yùn)行管理不規(guī)范、支撐服務(wù)工作質(zhì)量不達(dá)標(biāo)；支撐工作中弄虛作假，出具不實(shí)支撐服務(wù)報(bào)告，隱瞞支撐工作中發(fā)現(xiàn)的重大安全問題；非授權(quán)占有、使用或泄露企業(yè)相關(guān)資料及數(shù)據(jù)；因支撐工作不到位，導(dǎo)致被支撐服務(wù)單位多次發(fā)生網(wǎng)絡(luò)安全和數(shù)據(jù)安全事件；限定被支撐服務(wù)單位購買、使用指定網(wǎng)絡(luò)安全和數(shù)據(jù)安全產(chǎn)品；監(jiān)督檢查中發(fā)現(xiàn)存在其他突出問題或違反法律法規(guī)情形等支撐機(jī)構(gòu)，省工業(yè)和信息化廳責(zé)令其限期整改；情節(jié)嚴(yán)重的，將其移出資源池。一旦發(fā)現(xiàn)支撐機(jī)構(gòu)在支撐工作中如有違反國家法律法規(guī)的行為，由其依法承擔(dān)相應(yīng)法律責(zé)任。

五、四部門聯(lián)合發(fā)布《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》

為保障互聯(lián)網(wǎng)政務(wù)應(yīng)用安全，指導(dǎo)各級(jí)黨政機(jī)關(guān)和事業(yè)單位建設(shè)運(yùn)行互聯(lián)網(wǎng)政務(wù)應(yīng)用，中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室、中央機(jī)構(gòu)編制委員會(huì)辦公室、工業(yè)和信息化部、公安部根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》等，發(fā)布了《互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理規(guī)定》（以下簡稱《規(guī)定》），自 2024 年 7 月 1 日起施行。

《規(guī)定》提出，機(jī)關(guān)事業(yè)單位開辦網(wǎng)站應(yīng)當(dāng)按程序完成開辦審核和備案工作，一個(gè)黨政機(jī)關(guān)最多開設(shè)一個(gè)門戶網(wǎng)站，且機(jī)關(guān)事業(yè)單位網(wǎng)站應(yīng)當(dāng)在首頁底部中間位置加注網(wǎng)上標(biāo)識(shí)。中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室會(huì)同中央機(jī)構(gòu)編制管理部門協(xié)調(diào)應(yīng)用程序分發(fā)平臺(tái)以及公眾賬號(hào)信息服務(wù)平臺(tái)，在移動(dòng)應(yīng)用程序下載頁面、公眾賬號(hào)顯著位置加注網(wǎng)上標(biāo)識(shí)。

《規(guī)定》要求，建設(shè)互聯(lián)網(wǎng)政務(wù)應(yīng)用應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和國家密碼應(yīng)用管理要求，按照有關(guān)標(biāo)準(zhǔn)規(guī)范開展定級(jí)備案、等級(jí)測評(píng)工作，落實(shí)安全建設(shè)整改加固措施，防范網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)。中央和國家機(jī)關(guān)、地市級(jí)以上地方黨政機(jī)關(guān)門戶網(wǎng)站，以及承載重要業(yè)務(wù)應(yīng)用的機(jī)關(guān)事業(yè)單位網(wǎng)站、互聯(lián)網(wǎng)電子郵件系統(tǒng)等，應(yīng)當(dāng)符合網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)安全保護(hù)要求。

《規(guī)定》強(qiáng)調(diào)，中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室會(huì)同國務(wù)院電信主管部門、公安部門和其他有關(guān)部門，組織對(duì)地市級(jí)以上黨政機(jī)關(guān)互聯(lián)網(wǎng)政務(wù)應(yīng)用開展安全監(jiān)測，各地區(qū)、各部門應(yīng)當(dāng)對(duì)本地區(qū)、本行業(yè)機(jī)關(guān)事業(yè)單位互聯(lián)網(wǎng)政務(wù)應(yīng)用開展日常監(jiān)測和安全檢查。機(jī)關(guān)事業(yè)單位應(yīng)當(dāng)建立完善互聯(lián)網(wǎng)政務(wù)應(yīng)用安全監(jiān)測能力，實(shí)時(shí)監(jiān)測互聯(lián)網(wǎng)政務(wù)應(yīng)用運(yùn)行狀態(tài)和網(wǎng)絡(luò)安全事件情況。

《規(guī)定》還劃定了監(jiān)督職責(zé)，提出中央網(wǎng)絡(luò)安全和信息化委員會(huì)辦公室負(fù)責(zé)統(tǒng)籌協(xié)調(diào)互聯(lián)網(wǎng)政務(wù)應(yīng)用安全管理工作。中央機(jī)構(gòu)編制管理部門負(fù)責(zé)互聯(lián)網(wǎng)政務(wù)應(yīng)用開辦主體身份核驗(yàn)、名稱管理和標(biāo)識(shí)管理工作。國務(wù)院電信主管部門負(fù)責(zé)互聯(lián)網(wǎng)政務(wù)應(yīng)用域名監(jiān)督管理和互聯(lián)網(wǎng)信息服務(wù)（ICP）備案工作。對(duì)違反或者未能正確履行本規(guī)定相關(guān)要求的，按照《黨委（黨組）網(wǎng)絡(luò)安全工作責(zé)任制實(shí)施辦法》等文件，依規(guī)依紀(jì)追究當(dāng)事人和有關(guān)領(lǐng)導(dǎo)的責(zé)任。

六、網(wǎng)安標(biāo)委印發(fā)《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求（征求意見稿）》

生成式人工智能服務(wù)也可能會(huì)引發(fā)新的安全危機(jī)，因此，對(duì)于生成式人工智能服務(wù)提供者來說，如何保證人工智能服務(wù)或產(chǎn)品的安全性，以及滿足安全合規(guī)仍然是痛點(diǎn)。全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)根據(jù)相關(guān)政策法規(guī)，制定并發(fā)布了《網(wǎng)絡(luò)安全技術(shù) 生成式人工智能服務(wù)安全基本要求（征求意見稿）》（以下簡稱《要求》）。

《要求》規(guī)定了生成式人工智能服務(wù)在安全方面的基本要求，包括訓(xùn)練數(shù)據(jù)安全、模型安全、安全措
施等，并給出了安全評(píng)估參考要點(diǎn)，旨在幫助服務(wù)提供者明確生成式人工智能服務(wù)網(wǎng)絡(luò)安全基線、提高服務(wù)安全水平，適用于服務(wù)提供者開展安全評(píng)估，也可為相關(guān)主管部門提供參考。

《要求》明確，生成式人工智能服務(wù)的訓(xùn)練數(shù)據(jù)安全要求包括數(shù)據(jù)來源安全、數(shù)據(jù)內(nèi)容安全以及數(shù)據(jù)標(biāo)注安全。其中，數(shù)據(jù)來源安全方面要求服務(wù)提供者面向特定數(shù)據(jù)來源進(jìn)行采集前，應(yīng)當(dāng)對(duì)該來源數(shù)據(jù)進(jìn)行安全評(píng)估，對(duì)于數(shù)據(jù)內(nèi)容中含違法不良信息超過 5% 的，不應(yīng)當(dāng)采集該來源數(shù)據(jù)。此外，服務(wù)提供者在面向特定數(shù)據(jù)來源進(jìn)行采集后，應(yīng)該對(duì)所采集的該來源數(shù)據(jù)進(jìn)行核驗(yàn)，含違法不良信息情況超過 5% 的，不應(yīng)使用該來源數(shù)據(jù)進(jìn)行訓(xùn)練。

《要求》提出，服務(wù)提供者在模型訓(xùn)練過程中應(yīng)將生成內(nèi)容安全性作為評(píng)價(jià)生成結(jié)果優(yōu)劣的主要考慮指標(biāo)之一，并且定期對(duì)所使用的開發(fā)框架、代碼等進(jìn)行安全審計(jì)，關(guān)注開源框架安全及漏洞相關(guān)問題，識(shí)別和修復(fù)安全漏洞。

《要求》著重提到了未成年人使用生成式人工智能服務(wù)的限制，規(guī)定當(dāng)服務(wù)適用未成年人時(shí)，應(yīng)允許監(jiān)護(hù)人設(shè)定未成年人防沉迷措施、不應(yīng)向未成年人提供與其民事行為能力不符的付費(fèi)服務(wù)，積極展示有益未成年人身心健康的內(nèi)容，對(duì)于服務(wù)不適用未成年人的，應(yīng)采取技術(shù)或管理措施防止未成年人使用。

七、工業(yè)和信息化部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則（試行）》

為引導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)處理者規(guī)范開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，提升數(shù)據(jù)安全管理水平，維護(hù)國家安全和發(fā)展利益，保障國家關(guān)鍵信息基礎(chǔ)設(shè)施的安全穩(wěn)定，推動(dòng)數(shù)字經(jīng)濟(jì)的健康發(fā)展，工業(yè)和信息化部根據(jù)《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國網(wǎng)絡(luò)安全法》等法律，按照《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)》有關(guān)要求，印發(fā)了《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則（試行）》（以下簡稱《細(xì)則》）。

《細(xì)則》適用于對(duì)中華人民共和國境內(nèi)工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)處理者數(shù)據(jù)處理活動(dòng)開展的數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估。

《細(xì)則》指出，重要數(shù)據(jù)和核心數(shù)據(jù)處理者應(yīng)當(dāng)按照國家法律法規(guī)、行業(yè)監(jiān)管部門有關(guān)規(guī)定以及評(píng)估標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)處理活動(dòng)的目的和方式、業(yè)務(wù)場景、安全保障措施、風(fēng)險(xiǎn)影響等要素，展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，重點(diǎn)評(píng)估以下內(nèi)容:

(一)數(shù)據(jù)處理目的、方式、范圍是否合法、正當(dāng)、必要;
(二)數(shù)據(jù)安全管理制度、流程策略的制定和落實(shí)情況:(三)數(shù)據(jù)安全組織架構(gòu)、崗位配備和職責(zé)履行情況;
(四)數(shù)據(jù)安全技術(shù)防護(hù)能力建設(shè)及應(yīng)用情況:
(五)數(shù)據(jù)處理活動(dòng)相關(guān)人員是否熟悉數(shù)據(jù)安全相關(guān)政策法規(guī)、是否具備數(shù)據(jù)安全知識(shí)技能、是否接受數(shù)據(jù)安全相關(guān)教育培訓(xùn)等情況;
(六)發(fā)生數(shù)據(jù)遭到篡改、破壞、泄露、丟失或者被非法獲取、非法利用等安全事件，對(duì)國家安全、公共利益的影響范圍、程度等風(fēng)險(xiǎn);
(七)涉及數(shù)據(jù)提供、委托處理、轉(zhuǎn)移的，數(shù)據(jù)獲取方或受托方的安全保障能力、責(zé)任義務(wù)約束和履行情況:
(八)涉及國家法律法規(guī)中規(guī)定需要申報(bào)的數(shù)據(jù)出境安全評(píng)估情形，履行數(shù)據(jù)出境安全評(píng)估要求情況。

重要數(shù)據(jù)和核心數(shù)據(jù)處理過程中，相關(guān)負(fù)責(zé)人應(yīng)當(dāng)及時(shí)、客觀、有效的原則開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，形成真實(shí)、完整、準(zhǔn)確的評(píng)估報(bào)告。評(píng)估報(bào)告應(yīng)當(dāng)包括數(shù)據(jù)處理者基本情況、評(píng)估團(tuán)隊(duì)基本情況、重要數(shù)據(jù)的種類和數(shù)量、開展數(shù)據(jù)處理活動(dòng)的情況、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估環(huán)境，以及數(shù)據(jù)處理活動(dòng)分析、合規(guī)性評(píng)估、安全風(fēng)險(xiǎn)分析、評(píng)估結(jié)論及應(yīng)對(duì)措施等，并對(duì)最后的評(píng)估結(jié)果負(fù)責(zé)。

《細(xì)則》指出，工業(yè)和信息化部統(tǒng)一管理、監(jiān)督和指導(dǎo)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作，組織開展相關(guān)評(píng)估標(biāo)準(zhǔn)制修訂及推廣應(yīng)用，各省、自治區(qū)、直轄市及計(jì)劃單列市、新疆生產(chǎn)建設(shè)兵團(tuán)工業(yè)和信息化主管部門，各省、自治區(qū)、直轄市通信管理局和無線電管理機(jī)構(gòu)依據(jù)職責(zé)分別負(fù)責(zé)監(jiān)督管理本地區(qū)工業(yè)、電信、無線電重要數(shù)據(jù)和核心數(shù)據(jù)處理者開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估工作。

八、自然資源部發(fā)布《智能網(wǎng)聯(lián)汽車時(shí)空數(shù)據(jù)安全處理基本要求（征求意見稿）》

智能網(wǎng)聯(lián)汽車安裝或集成了衛(wèi)星導(dǎo)航定位接收模塊、慣性測量單元、攝像頭、激光雷達(dá)等傳感器后在運(yùn)行、服務(wù)和道路測試過程中對(duì)車輛及周邊道路設(shè)施空間坐標(biāo)、影像、點(diǎn)云及其屬性信息等智能網(wǎng)聯(lián)汽車時(shí)空數(shù)據(jù)進(jìn)行收集、存儲(chǔ)、傳輸和處理的行為，屬于《中華人民共和國測繪法》規(guī)定的測繪活動(dòng)，應(yīng)當(dāng)依照測繪法律法規(guī)政策進(jìn)行規(guī)范和管理。

為了加強(qiáng)對(duì)智能網(wǎng)聯(lián)汽車時(shí)空數(shù)據(jù)的安全處理，保障用戶的數(shù)據(jù)隱私和信息安全，自然資源部(國土)自然資源部地圖技術(shù)審查中心組織完成了《智能網(wǎng)聯(lián)汽車時(shí)空數(shù)據(jù)安全處理基本要求（征求意見稿）》（以下簡稱《要求》）

《要求》規(guī)定了智能網(wǎng)聯(lián)汽車對(duì)時(shí)空數(shù)據(jù)進(jìn)行保密處理，以及存儲(chǔ)、傳輸?shù)拳h(huán)節(jié)進(jìn)行地理信息安全處理的基本要求，適用于面向社會(huì)銷售且在中國境內(nèi)運(yùn)行的智能網(wǎng)聯(lián)汽車，并提出，時(shí)空數(shù)據(jù)分為位置類（車端收集到的能確定車輛在地球上絕對(duì)位置的坐標(biāo)數(shù)據(jù)）、點(diǎn)云類（時(shí)空數(shù)據(jù)傳感器收集到的點(diǎn)云數(shù)據(jù)）、影像類（時(shí)空數(shù)據(jù)傳感器收集到的圖像或視頻數(shù)據(jù)）、慣導(dǎo)類（時(shí)空數(shù)據(jù)傳感器獲取到的車輛姿態(tài)角(或角速率)、加速度及其衍生數(shù)據(jù)、構(gòu)圖類（上述數(shù)據(jù)進(jìn)行加工生成的含有絕對(duì)位置坐標(biāo)的矢量數(shù)據(jù)）。

其中，位置類數(shù)據(jù)和構(gòu)圖類數(shù)據(jù)應(yīng)在存儲(chǔ)和向車外傳輸前按照國家認(rèn)定的地理信息保密處理技術(shù)完成處理。值得一提的是，《要求》還明確了車輛數(shù)據(jù)傳輸問題，提出嚴(yán)禁傳輸上文提到的軍事、政府部門、公路以及其它類型的敏感數(shù)據(jù)，并規(guī)定向車外傳輸?shù)哪康牡貞?yīng)在中國境內(nèi)且符合國家數(shù)據(jù)安全相關(guān)法規(guī)。

九、網(wǎng)安標(biāo)委印發(fā)《網(wǎng)絡(luò)安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法（征求意見稿）》

為更好地保障能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等關(guān)鍵信息基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全，明確關(guān)鍵基礎(chǔ)設(shè)施邊界的確定方法，進(jìn)一步完善相關(guān)技術(shù)標(biāo)準(zhǔn)和規(guī)范，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處印發(fā)《網(wǎng)絡(luò)安全技術(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定方法（征求意見稿）》（以下簡稱《方法》）。

《辦法》給出了關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定的方法，包括基本信息梳理、關(guān)鍵信息基礎(chǔ)設(shè)施功能識(shí)別、關(guān)鍵業(yè)務(wù)鏈與關(guān)鍵業(yè)務(wù)信息識(shí)別、關(guān)鍵業(yè)務(wù)信息流識(shí)別和資產(chǎn)識(shí)別、關(guān)鍵信息基礎(chǔ)設(shè)施要素識(shí)別和邊界確定的流程、步驟等內(nèi)容，適用于指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者確定關(guān)鍵信息基礎(chǔ)設(shè)施邊界，也可為關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的其他相關(guān)方使用。

《辦法》提出，關(guān)鍵信息基礎(chǔ)設(shè)施根據(jù)關(guān)鍵業(yè)務(wù)類型，分為提供信息化共性服務(wù)的關(guān)鍵信息基礎(chǔ)設(shè)施和高度依賴信息化業(yè)務(wù)的關(guān)鍵信息基礎(chǔ)設(shè)施。其中，提供信息化共性服務(wù)的關(guān)鍵信息基礎(chǔ)設(shè)施，是在經(jīng)濟(jì)社會(huì)運(yùn)行中發(fā)揮重要支撐作用、提供人民生產(chǎn)生活不可或缺的算力資源供給、重要數(shù)據(jù)處理和基礎(chǔ)網(wǎng)絡(luò)通信等服務(wù)的關(guān)鍵信息基礎(chǔ)設(shè)施，如云平臺(tái)、數(shù)據(jù)中心、基礎(chǔ)通信網(wǎng)絡(luò)等；高度依賴信息化業(yè)務(wù)的關(guān)鍵信息基礎(chǔ)設(shè)施，是具備高度信息化、自動(dòng)化和網(wǎng)絡(luò)化特點(diǎn)的關(guān)鍵信息基礎(chǔ)設(shè)施，如監(jiān)控系統(tǒng)、交易系統(tǒng)、控制系統(tǒng)等。

《辦法》強(qiáng)調(diào)，關(guān)鍵信息基礎(chǔ)設(shè)施邊界確定基于信息流方式，將支撐關(guān)鍵業(yè)務(wù)的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)的軟硬件資產(chǎn)等識(shí)別出來，經(jīng)過不可或缺性判定，理清功能、部署信息、業(yè)務(wù)關(guān)系等相關(guān)描述信息，并對(duì)同一軟硬件資產(chǎn)等進(jìn)行歸集形成關(guān)鍵信息基礎(chǔ)設(shè)施要素，由所有關(guān)鍵信息基礎(chǔ)設(shè)施要素的集合形成關(guān)鍵信息基礎(chǔ)設(shè)施邊界。針對(duì)提供信息化共性服務(wù)的基礎(chǔ)通信網(wǎng)絡(luò)，由網(wǎng)元（在網(wǎng)絡(luò)管理中最小設(shè)備或服務(wù)單元）、網(wǎng)絡(luò)功能及其依賴的資源池識(shí)別軟硬件資產(chǎn)。

《辦法》強(qiáng)調(diào)，關(guān)鍵信息基礎(chǔ)設(shè)施邊界是由基本信息、要素信息以及識(shí)別時(shí)間組成，通常以文件形式描述。其中關(guān)鍵信息基礎(chǔ)設(shè)施邊界基本信息包括運(yùn)營者信息、關(guān)鍵信息基礎(chǔ)設(shè)施信息、數(shù)據(jù)資產(chǎn)信息、租用網(wǎng)絡(luò)設(shè)施信息等；關(guān)鍵信息基礎(chǔ)設(shè)施要素信息包括要素總計(jì)、對(duì)應(yīng)關(guān)系、關(guān)鍵業(yè)務(wù)鏈、系統(tǒng)功能架構(gòu)、網(wǎng)絡(luò)拓?fù)?、關(guān)鍵業(yè)務(wù)信息、關(guān)鍵業(yè)務(wù)信息流、要素清單等信息；識(shí)別時(shí)間是文件完成時(shí)間。

重要聲明：本文來自freebuf，經(jīng)授權(quán)轉(zhuǎn)載，版權(quán)歸原作者所有，不代表銳成觀點(diǎn)，轉(zhuǎn)載的目的在于傳遞更多知識(shí)和信息。