2024年,网络安全领域的立法监管与标准建设依然围绕着保障数据资产的安全。开年,“数据要素×”三年行动计划重磅出炉,坚持把安全贯穿数据要素价值创造和实现全过程,严守数据安全底线。随后,多地成立省级数据局,聚焦于数据要素价值释放、数据资产管理、数据跨境流动合规、个人信息保护等细分方向的规章制度持续出台。从行业看,金融、工业、交通等针对关键信息基础设施的安全监管持续加码。与此同时,伴随人工智能应用对全行业的持续渗透,相关产业发展规范和安全要求也悉数落地。以下为2024年第一季度出台或实施的网络安全相关政策法规:
数据要素市场建设与安全治理
1月4日,国家数据局等17部门联合发布《“数据要素×”三年行动计划(2024—2026年)》,选取工业制造、金融服务、科技创新等12个行业和领域,推动发挥数据要素乘数效应。从提升数据供给水平、优化数据流通环境、加强数据安全保障等3方面强化保障支撑。
1月2日,四川省大数据中心、省发改委、省经信厅、省委网信办印发《关于推进数据要素市场化配置综合改革的实施方案》。数据安全治理体系方面,要求建立数据安全联管联治机制,构建云网数一体化协同安全保障体系,落实国产密码应用要求,探索个人信息安全认证和评估制度。
2月8日,财政部发布《关于加强行政事业单位数据资产管理的通知》,要求落实网络安全等级保护制度,建立数据资产安全管理制度和监测预警、应急处置机制,推进数据资产分类分级管理,把安全贯穿数据资产全生命周期管理,有效防范和化解各类数据资产安全风险。
3月21日,全国网安标委发布国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》,自10月1日实施。规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南。适用于规范各行业各领域、各地区和数据处理者开展对应工作。不适用于涉及国家秘密的数据和军事数据。
2月5日,国家邮政局发布《寄递服务用户个人信息安全管理办法(征求意见稿)》,寄递企业获取信息必须经过用户同意,寄递企业要与从业人员签订个人信息保护协议,进行信息的去标识化处理,加强场所安全管理,禁止外人对信息翻阅、留存、拍照等,每年起码进行一次合规审计。
数据跨境流动相关规范
3月22日,国家网信办发布《促进和规范数据跨境流动规定》,数据出境制度作出优化调整,规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件,设立自由贸易试验区负面清单制度。
3月22日,国家网信办发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。
1月19日,中国(上海)自贸区临港新片区管委会发布《临港新片区数据跨境流动分类分级管理办法(试行)》,对跨境数据进行分类管理,同时将跨境数据从高到低依次分为核心数据、重要数据、一般数据3个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。
2月5日,天津市商务局、自贸试验区管委会印发《中国(天津)自由贸易试验区企业数据分类分级标准规范》,数据分类方面,按照所属行业性质依次分为三层,每个层级又分成若干类目管理。数据分级方面,从高到低分为核心数据、重要数据、一般数据3个级别,同时明确重要数据识别标准。
人工智能产业发展及安全规范
1月17日,工信部发布《国家人工智能产业综合标准化体系建设指南》(征求意见稿),包括基础共性、基础支撑、关键技术、智能产品与服务、行业应用、安全/治理6个部分,安全/治理标准主要规范人工智能安全、治理等要求,为人工智能产业发展提供安全保障。
2月29日,全国网安标委发布TC260-003《生成式人工智能服务安全基本要求》,规定了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施等,并给出了安全评估要求。
1月10日,浙江省人民政府办公厅发布《关于加快人工智能产业发展的指导意见》,要求加强安全和伦理治理。保障个人隐私和数据安全,防范和打击违法行为,面向重点领域开展伦理审查和安全评估。推动相关高校院所、企业等按规定设立人工智能伦理(审查)委员会。
金融领域安全政策
3月22日,金融监管总局发布《银行保险机构数据安全管理办法(征求意见稿)》,明确数据安全治理架构,建立数据分类分级标准,强化数据安全管理、健全数据安全技术保护体系,加强个人信息保护,完善数据安全风险监测与处置机制,明确监督管理职责。
2月29日,中国银行业协会发布团体标准《银行业数据资产估值指南》,构建了适用于商业银行的数据资产估值框架,为全行业数据资产估值体系的全面构建及落地提供实践参考。
交通领域安全政策
1月3日,交通运输部公布《铁路关键信息基础设施安全保护管理办法》,主要围绕铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任等方面作出规定。铁路关键信息基础设施的网络安全保护等级应当不低于第三级,运营者应当为每个铁路关键信息基础设施明确安全管理责任人。
3月11日,民航局印发《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》,进一步加强和规范民航数据管理,按照“原始数据不出域、数据可用不可见”要求,提出民航数据共享遵循统筹谋划、应享尽享、依法应用和安全可控原则。
1月9日,工信部发布《国家汽车芯片标准体系建设指南》,提出到2025年,制定30项以上汽车芯片重点标准,明确环境及可靠性、电磁兼容、功能安全及信息安全等基础性要求,形成整车及关键系统匹配试验方法,满足汽车芯片产品安全、可靠应用和试点示范的基本需要。
3月6日,全国网安标委发布《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》,给出了验证车外画面进行人脸、车牌局部轮廓化处理效果的流程、方法及验证指标,可为汽车数据处理者及有关机构验证车外画面局部轮廓化处理效果提供参考。
工业领域安全政策
1月19日,工信部印发《工业控制系统网络安全防护指南》,围绕安全管理、技术防护、安全运营、责任落实四大方面提出33项指导性安全防护基线要求,防护对象包括工业控制系统以及被网络攻击后可直接或间接影响生产运行的其他设备和系统。
2月23日,工信部印发《工业领域数据安全能力提升实施方案(2024-2026年)》,方案是指导未来三年工业领域数据安全工作的纲领性规划文件,以构建完善工业领域数据安全保障体系为主线,围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力,明确提出11项任务。
自然资源领域安全政策
2月5日,自然资源部印发《自然资源数字化治理能力提升总体方案》,聚焦建设集约高效数字化基础设施、完善全域全周期数据要素体系、提高国土空间基础信息平台智能化水平、构建多维数字化应用场景、筑牢全方位安全体系、健全完善制度标准规范体系六方面主要任务。
3月22日,自然资源部印发《自然资源领域数据安全管理办法》,按照“谁管业务,谁管数据,谁管数据安全”的原则,落实本行业本地区本领域数据安全指导监管责任。明确数据处理者应当对数据处理活动安全负主体责任,对各类数据实行分级防护。
其他安全政策
2月27日,第十四届全国人大常务委员会第八次会议修订通过《中华人民共和国保守国家秘密法》,自5月1日起施行。明确涉密信息系统定期风险评估要求,规定加强对信息系统、信息设备的保密管理,及时发现并处置安全保密风险隐患,规范用于保护国家秘密的安全保密产品和保密技术装备管理。
3月25日,全国网安标委发布《网络安全标准实践指南--网络安全产品互联互通 资产信息格式》,给出了网络安全产品互联互通时资产信息的描述格式,可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。
多项网络安全国家标准获批发布
