2024年,網絡安全領域的立法監管與標準建設依然圍繞着保障數據資產的安全。開年,「數據要素×」三年行動計劃重磅出爐,堅持把安全貫穿數據要素價值創造和實現全過程,嚴守數據安全底線。隨後,多地成立省級數據局,聚焦於數據要素價值釋放、數據資產管理、數據跨境流動合規、個人信息保護等細分方向的規章制度持續出台。從行業看,金融、工業、交通等針對關鍵信息基礎設施的安全監管持續加碼。與此同時,伴隨人工智能應用對全行業的持續滲透,相關產業發展規範和安全要求也悉數落地。以下為2024年第一季度出台或實施的網絡安全相關政策法規:
數據要素市場建設與安全治理
1月4日,國家數據局等17部門聯合發佈《「數據要素×」三年行動計劃(2024—2026年)》,選取工業製造、金融服務、科技創新等12個行業和領域,推動發揮數據要素乘數效應。從提升數據供給水平、優化數據流通環境、加強數據安全保障等3方面強化保障支撐。
1月2日,四川省大數據中心、省發改委、省經信廳、省委網信辦印發《關於推進數據要素市場化配置綜合改革的實施方案》。數據安全治理體系方面,要求建立數據安全聯管聯治機制,構建雲網數一體化協同安全保障體系,落實國產密碼應用要求,探索個人信息安全認證和評估制度。
2月8日,財政部發佈《關於加強行政事業單位數據資產管理的通知》,要求落實網絡安全等級保護制度,建立數據資產安全管理制度和監測預警、應急處置機制,推進數據資產分類分級管理,把安全貫穿數據資產全生命周期管理,有效防範和化解各類數據資產安全風險。
3月21日,全國網安標委發佈國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》,自10月1日實施。規定了數據分類分級的原則、框架、方法和流程,給出了重要數據識別指南。適用於規範各行業各領域、各地區和數據處理者開展對應工作。不適用於涉及國家秘密的數據和軍事數據。
2月5日,國家郵政局發佈《寄遞服務用戶個人信息安全管理辦法(徵求意見稿)》,寄遞企業獲取信息必須經過用戶同意,寄遞企業要與從業人員簽訂個人信息保護協議,進行信息的去標識化處理,加強場所安全管理,禁止外人對信息翻閱、留存、拍照等,每年起碼進行一次合規審計。
數據跨境流動相關規範
3月22日,國家網信辦發佈《促進和規範數據跨境流動規定》,數據出境制度作出優化調整,規定了免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件,設立自由貿易試驗區負面清單制度。
3月22日,國家網信辦發佈《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》,對申報數據出境安全評估、備案個人信息出境標準合同的方式、流程和材料等具體要求作出了說明,對數據處理者需要提交的相關材料進行了優化簡化。
1月19日,中國(上海)自貿區臨港新片區管委會發佈《臨港新片區數據跨境流動分類分級管理辦法(試行)》,對跨境數據進行分類管理,同時將跨境數據從高到低依次分為核心數據、重要數據、一般數據3個級別,核心數據禁止跨境,重要數據形成重要數據目錄,一般數據形成一般數據清單。
2月5日,天津市商務局、自貿試驗區管委會印發《中國(天津)自由貿易試驗區企業數據分類分級標準規範》,數據分類方面,按照所屬行業性質依次分為三層,每個層級又分成若干類目管理。數據分級方面,從高到低分為核心數據、重要數據、一般數據3個級別,同時明確重要數據識別標準。
人工智能產業發展及安全規範
1月17日,工信部發佈《國家人工智能產業綜合標準化體系建設指南》(徵求意見稿),包括基礎共性、基礎支撐、關鍵技術、智能產品與服務、行業應用、安全/治理6個部分,安全/治理標準主要規範人工智能安全、治理等要求,為人工智能產業發展提供安全保障。
2月29日,全國網安標委發佈TC260-003《生成式人工智能服務安全基本要求》,規定了生成式人工智能服務在安全方面的基本要求,包括語料安全、模型安全、安全措施等,並給出了安全評估要求。
1月10日,浙江省人民政府辦公廳發佈《關於加快人工智能產業發展的指導意見》,要求加強安全和倫理治理。保障個人隱私和數據安全,防範和打擊違法行為,面向重點領域開展倫理審查和安全評估。推動相關高校院所、企業等按規定設立人工智能倫理(審查)委員會。
金融領域安全政策
3月22日,金融監管總局發佈《銀行保險機構數據安全管理辦法(徵求意見稿)》,明確數據安全治理架構,建立數據分類分級標準,強化數據安全管理、健全數據安全技術保護體系,加強個人信息保護,完善數據安全風險監測與處置機制,明確監督管理職責。
2月29日,中國銀行業協會發佈團體標準《銀行業數據資產估值指南》,構建了適用於商業銀行的數據資產估值框架,為全行業數據資產估值體系的全面構建及落地提供實踐參考。
交通領域安全政策
1月3日,交通運輸部公布《鐵路關鍵信息基礎設施安全保護管理辦法》,主要圍繞鐵路關鍵信息基礎設施認定、運營者責任和義務、保障和監督、法律責任等方面作出規定。鐵路關鍵信息基礎設施的網絡安全保護等級應當不低於第三級,運營者應當為每個鐵路關鍵信息基礎設施明確安全管理責任人。
3月11日,民航局印發《民航數據管理辦法(徵求意見稿)》《民航數據共享管理辦法(徵求意見稿)》,進一步加強和規範民航數據管理,按照「原始數據不出域、數據可用不可見」要求,提出民航數據共享遵循統籌謀劃、應享盡享、依法應用和安全可控原則。
1月9日,工信部發佈《國家汽車芯片標準體系建設指南》,提出到2025年,制定30項以上汽車芯片重點標準,明確環境及可靠性、電磁兼容、功能安全及信息安全等基礎性要求,形成整車及關鍵系統匹配試驗方法,滿足汽車芯片產品安全、可靠應用和試點示範的基本需要。
3月6日,全國網安標委發佈《網絡安全標準實踐指南——車外畫面局部輪廓化處理效果驗證》,給出了驗證車外畫面進行人臉、車牌局部輪廓化處理效果的流程、方法及驗證指標,可為汽車數據處理者及有關機構驗證車外畫面局部輪廓化處理效果提供參考。
工業領域安全政策
1月19日,工信部印發《工業控制系統網絡安全防護指南》,圍繞安全管理、技術防護、安全運營、責任落實四大方面提出33項指導性安全防護基線要求,防護對象包括工業控制系統以及被網絡攻擊後可直接或間接影響生產運行的其他設備和系統。
2月23日,工信部印發《工業領域數據安全能力提升實施方案(2024-2026年)》,方案是指導未來三年工業領域數據安全工作的綱領性規劃文件,以構建完善工業領域數據安全保障體系為主線,圍繞提升工業企業數據保護、數據安全監管、數據安全產業支撐三類能力,明確提出11項任務。
自然資源領域安全政策
2月5日,自然資源部印發《自然資源數字化治理能力提升總體方案》,聚焦建設集約高效數字化基礎設施、完善全域全周期數據要素體系、提高國土空間基礎信息平台智能化水平、構建多維數字化應用場景、築牢全方位安全體系、健全完善制度標準規範體系六方面主要任務。
3月22日,自然資源部印發《自然資源領域數據安全管理辦法》,按照「誰管業務,誰管數據,誰管數據安全」的原則,落實本行業本地區本領域數據安全指導監管責任。明確數據處理者應當對數據處理活動安全負主體責任,對各類數據實行分級防護。
其他安全政策
2月27日,第十四屆全國人大常務委員會第八次會議修訂通過《中華人民共和國保守國家秘密法》,自5月1日起施行。明確涉密信息系統定期風險評估要求,規定加強對信息系統、信息設備的保密管理,及時發現並處置安全保密風險隱患,規範用於保護國家秘密的安全保密產品和保密技術裝備管理。
3月25日,全國網安標委發佈《網絡安全標準實踐指南--網絡安全產品互聯互通 資產信息格式》,給出了網絡安全產品互聯互通時資產信息的描述格式,可用於指導網絡安全產品互聯互通功能的設計、開發、應用和測試。
多項網絡安全國家標準獲批發佈
