2024 年 3 月份,相关政府部门\协会陆续出台了十数条网络安全行业的法律法规、条例和指南。
发布单位 |
法规\指南\标准 |
全国网络安全标准化技术委员会 |
《生成式人工智能服务安全基本要求》 |
全国网络安全标准化技术委员会 |
《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》 |
智慧民航建设领导小组办公室 |
《民航数据管理办法(征求意见稿)》&《民航数据共享管理办法(征求意见稿)》 |
全国网络安全标准化技术委员会 |
GBT 43697-2024《数据安全技术 数据分类分级规则》 |
国家互联网信息办公室 |
《促进和规范数据跨境流动规定》 |
国家互联网信息办公室 |
《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》 |
金融监管总局 |
《银行保险机构数据安全管理办法(征求意见稿)》 |
全国网络安全标准化技术委员会 |
《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》 |
自然资源部 |
《自然资源领域数据安全管理办法》 |
中国银行业协会 |
《银行业数据资产估值指南》 |
1、《生成式人工智能服务安全基本要求》
3 月初,全国网络安全标准化技术委员会(SAC/TC260)发布了《生成式人工智能服务安全基本要求》(以下简称《要求》),规定了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施等,并给出了安全评估要求,适用于服务提供者开展安全评估、提高安全水平,也可为相关主管部门评判生成式人工智能服务安全水平提供参考。
《要求》提出,在面向特定语料来源进行采集前,应该对该来源语料进行细致的安全评估,语料内容中含违法不良信息超过 5% 的,不应采集该来源语料;面向特定语料来源进行采集后,应对所采集的该来源语料进行核验,含违法不良信息情况超过 5% 的,不应使用该来源语料进行训练。
对不同来源的训练预料,《要求》规定,应提高语料来源的多样性,对每一种语言的语料,如中文、英文等,以及每一种类型的语料,如文本、图片、音频、视频等,均应有多个语料来源,如过需使用境外语料,应合理搭配境内外来源语料,且使用开源语料时,应具有该语料来源的开源许可协议或相关授权文件。
除《要求》提出的基本规定外,服务提供者应自行按照我国法律法规以及国家标准相关要求做好网络安全、数据安全、个人信息保护等方面的其他安全工作。此外,服务提供者应紧密注意生成式人工智能可能带来的长期风险,谨慎对待可能具备欺骗人类、自我复制、自我改造能力的人工智能,并重点关注生成式人工智能可能被用于编写恶意软件、制造生物武器或化学武器等安全风险。
TC260-003《生成式人工智能服务安全基本要求》.pdf
2、《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》
汽车通过搭载各类传感器设备,能够即时收集道路、建筑、行人、附近车辆等丰富多样的数据资源,这些数据被用来持续训练自动驾驶算法。然而,这些信息中可能包含行人的人脸信息、车辆的车牌信息等个人隐私数据。因此,汽车制造商使用数据训练算法的背后涉及着一个关键问题:如何在遵守相应的国家法规和标准,保障他人信息安全和隐私的背景下,妥善使用这些数据信息训练算法。
为帮助有关单位落实《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《汽车数据安全管理若干规定(试行)》等政策法规要求,指导汽车数据处理者对车外画面进行人脸、车牌局部轮廓化处理效果的自行验证,全国网络安全标准化技术委员会秘书处编制了《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》(以下简称《指南》)。
《指南》给出了验证车外画面进行人脸、车牌局部轮廓化处理效果的流程、方法及验证标准,适用于汽车数据处理者对车外画面进行人脸、车牌局部轮廓化处理效果的自行验证,也适用于第三方机构对局部轮廓化处理效果的验证。
注意,《指南》中给出的验证方法仅适用于判别人脸、车牌的局部轮廓化处理效果。
《网络安全标准实践指南--车外画面局部轮廓化处理效果验证》.pdf
3、《民航数据管理办法(征求意见稿)》&《民航数据共享管理办法(征求意见稿)》
民航是高度信息化和技术密集的领域,其数据信息承载着乘客个人信息、航班信息、机组人员资料等众多敏感数据,具有极高的敏感性和机密性。此外,民航领域涉及的用户数量庞大且信息涉及范围广泛,每天都有数以百万计的乘客通过民航运输系统出行,这些用户的个人身份信息、联系方式等隐私数据被记录在不同的系统中。
同时,民航公司还需处理航班安排、机组人员信息、飞行计划等大量关键数据,一旦这些数据发生泄露或被篡改可能会引起个人隐私泄露、航班安全受威胁等问题。因此,对于民航数据的收集、存储、处理和传输使用以及共享,都需要建立完善的安全机制和权限管理制度,以确保数据的安全性。
为落实数字中国建设整体部署,进一步加强和规范民航数据管理,保障数据安全,促进数据共享,激发数据价值,提升行业治理能力和服务水平,更好支撑民航高质量发展,促进民航数据有序合规共享和高效融合应用,激活数据要素潜能,按照智慧民航建设工作安排,智慧民航建设领导小组办公室(以下简称智慧办)组织编制了《民航数据管理办法(征求意见稿)》和《民航数据共享管理办法(征求意见稿)》。
《民航数据管理办法》强调,民航局数据统筹管理部门根据国家数据安全法律法规要求,建立健全民航行业数据安全管理制度。民航各企事业单位依据国家和行业相关要求,建立健全本单位数据安全管理制度并严格执行,落实数据安全管理责任,加强数据安全保护和监督管理工作。
《民航数据共享管理办法》提出,民航数据共享以不损害个人隐私和公共安全为前提,在编制数据资源目录时确定数据的共享类型,分为无条件共享、有条件共享、不予共享等三种类型。
无条件共享:可提供给所有部门、单位和个人共享使用。
有条件共享:可提供给部分部门或单位共享使用或仅可部分提供给所有部门或单位共享使用。
不予共享:不宜提供给其他部门、单位或个人共享使用。
(注:列入不予共享的,应说明理由,并提供相应的法律、法规依据;列入无条件共享的,应注明使用要求;列入有条件共享的,应注明共享范围、共享条件、使用要求和使用范围。)
4、GBT 43697-2024《数据安全技术 数据分类分级规则》
在互联网、物联网、云计算等新兴技术的推动下,数据的产生、传输和存储规模不断扩大,而与此同时,数据泄露、数据篡改、数据丢失等数据安全问题也频频发生。为解决数据安全问题,相关部门不断优化数据安全防护体系,逐步建立起了数据分类分级保护制度。
在国家数据安全工作协调机制指导下,全国网安标委根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定,制定出 GBT 43697-2024《数据安全技术 数据分类分级规则》(以下简称《规则》),给出了数据分类分级的通用规则,用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。
《规则》适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。
注意,本文件不适用于涉及国家秘密的数据和军事数据。
《规则》基本原则:遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
a) 科学实用原则:从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
b) 边界清晰原则:数据分级的各级别应边界清晰,对不同级别的数据采取相应的保护措施。
c) 就高从严原则:采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。
d) 点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。
e) 动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
GB/T 43697-2024《数据安全技术 数据分类分级规则》.pdf
5、《促进和规范数据跨境流动规定》
数据跨境已经成为全球商业和社会活动中非常普遍的现象,特别是对于跨国公司和互联网企业来说,数据跨境无时无刻都在发生。然而,数据跨境也涉及到一些重要的问题,比如数据隐私、安全性、监管等方面的挑战。
目前,全球许多国家和国际组织都在努力制定相关的数据跨境流动规则,以促进数据跨境的便利和安全。3 月 下旬,国家互联网信息办公室公布了《促进和规范数据跨境流动规定》(以下简称《规定》),自公布之日起施行。
国家互联网信息办公室有关负责人表示,数据跨境流动已经成为全球资金、信息、技术、人才、货物等资源要素交换、共享的基础。为了促进数据依法有序自由流动,激发数据要素价值,扩大高水平对外开放,《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。此外,《规定》提出,数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。
值得一提的是,《规定》还设立数据“时效期”,提出通过数据出境安全评估的结果有效期为 3 年,自评估结果出具之日起计算,有效期届满,需要继续开展数据出境活动且未发生需要重新申报数据出境安全评估情形的,数据处理者可以在有效期届满前 60 个工作日内通过所在地省级网信部门向国家网信部门提出延长评估结果有效期申请。经国家网信部门批准,可以延长评估结果有效期 3 年。
6、《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》
《数据出境安全评估申报指南(第二版)》(以下简称《指南1》)在《数据出境安全评估办法》、《促进和规范数据跨境流动规定》的规定下,使用于数据处理者向境外提供数据,(1. 关键信息基础设施运营者向境外提供个人信息或者重要数据;2. 关键信息基础设施运营者以外的数据处理者向境外提供重要数据,或者自当年 1 月 1 日起累计向境外提供 100 万人以上个人信息(不含敏感个人信息)或者1万人以上敏感个人信息。)以更好的指导和帮助数据处理者规范有序申报数据出境安全评估。
《指南 1》提出,数据处理者申报数据处境安全评估时应提交以下材料:
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书
5.数据出境安全评估申报书(模板见附件3)
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件
7.数据出境风险自评估报告
8.其他相关证明材料
《个人信息出境标准合同备案指南(第二版)》(以下简称《指南 2》)在《个人信息出境标准合同办法》、《促进和规范数据跨境流动规定》的背景下制定,以指导和帮助个人信息处理者规范有序备案个人信息出境标准合同。
《指南 2》中明确了个人信息处理者备案标准合同时应该提交的材料如下:
1.统一社会信用代码证件影印件
2.法定代表人身份证件影印件
3.经办人身份证件影印件
4.经办人授权委托书(模板见附件2)
5.承诺书(模板见附件3)
6.标准合同(范本见附件4)
7.《个人信息保护影响评估报告》
7、《银行保险机构数据安全管理办法(征求意见稿)》
金融业务日趋数字化、智能化,银行保险机构面临着日益复杂的数据安全挑战。为规范银行保险机构数据处理活动,保障数据安全,促进数据合理开发利用,稳步提升金融服务数字化、智能化水平,保护个人和组织的合法权益,金融监管总局制定了《银行保险机构数据安全管理办法(征求意见稿)》(下称《办法》)。
《办法》明确要求,银行保险机构建立数据安全责任制,指定归口管理部门负责本机构的数据安全工作;按照“谁管业务、谁管业务数据、谁管数据安全”的原则,明确各业务领域的数据安全管理责任,落实数据安全保护管理要求。
《办法》规定,银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。要求银行保险机构按照国家数据安全与发展政策要求,根据自身发展战略建立数据安全管理制度和数据处理管控机制,在开展相关数据业务处理活动时应当进行数据安全评估。
此外,银行保险机构还应将数据安全风险纳入本机构全面风险管理体系,明确数据安全风险监测、风险评估、应急响应及报告、事件处置的组织架构和管理流程,有效防范和处置数据安全风险。同时《办法》强调,银行保险机构在处理个人信息时,应按照“明确告知、授权同意”的原则实施,并履行必要的告知务:收集个人信息应限于实现金融业务处理目的的最小范围,不得过度收集;共享和对外提供个人信息时,应取得个人同意。
8、《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》
当今如此复杂的网络环境下,网络安全产品的互联互通性和资产信息的有效互通和整合变得尤为关键。网络安全产品的互联互通不仅可以提高安全产品的协同能力,还可以加强对网络安全事件的监测和响应能力,进而提升整体网络安全防护水平。同时,资产信息的有效互通和整合也能够帮助企业更好地管理和保护其重要数据和资产,有效降低安全风险。
为促进网络安全产品互联互通资产信息有效互通和整合,全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南——网络安全产品互联互通 资产信息格式》(以下简称《指南》),给出了网络安全产品互联互通时资产信息的描述格式,可用于指导网络安全产品互联互通功能的设计、开发、应用和测试。
《指南》提出,资产信息由资产通用信息和资产扩展信息组成,其中资产通用信息包括基本信息、位置信息、网络信息等; 资产扩展信息:包括设备类扩展信息、操作系统类扩展信息、数据库类扩展信息,中间件类扩展信息、应用软件类扩展信息、业务系统类扩展和其他类扩展信息。
网络安全标准实践指南——网络安全产品互联互通 资产信息格式.pdf
9、《自然资源领域数据安全管理办法》
科技的不断发展和信息化的深入推进,大量的自然资源数据涌现而出,成为推动经济社会发展的重要支撑。然而,与之相伴随的是数据安全问题的日益突出。数据的泄露、篡改和滥用可能对国家安全、经济发展和社会稳定造成严重影响,因此,加强自然资源领域数据安全管理势在必行。
为规范自然资源领域数据处理活动,加强数据安全管理,保障数据安全,促进数据开发利用,自然资源部在经过国家数据安全工作协调机制批准,部领导同意后,发布了《自然资源领域数据安全管理办法》(以下简称《办法》),并明确要求,自然资源部、国家林业和草原局及地方行业监管部门将数据安全纳入党委(党组)国家安全责任制,按照“谁管业务,谁管数据,谁管数据安全”的原则,落实本行业本地区本领域数据安全指导监管责任。
《办法》提出,自然资源领域数据是指在开展自然资源活动中收集和产生的数据,主要包括基础地理信息、遥感影像等地理信息数据,土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据,总体规划、详细规划、专项规划等国土空间规划数据,用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据;自然资源领域数据处理者(以下简称数据处理者)是指开展自然资源领域数据处理活动的自然资源行业各类单位。
10、《银行业数据资产估值指南》
银行业金融机构正处于数字化变革的浪潮之中,数据已成为其核心的驱动力。然而,这一数字化进程也带来了一系列挑战。其中,传统的资产评估方式面临着适应数据特性的困境。数据具有流动性和变化性,其价值在不同场景下呈现多样化。
因此,传统的评估方法难以完全适应这种数据的灵活性和多样性,如何为其匹配一个合适的资产估值算法,并且确保估值结果能够真实地反映其在市场中的价值,是目前亟待解决的问题。在这样的背景下,中国银行业协会制定了《银行业数据资产估值指南》(以下简称《指南》)。
《指南》适用于银行业金融机构,通过融合数据、资产评估和财务等多个专业领域的理论研究和实践,结合商业银行数据资产特性及数据质量、规模及市场交易等因素,构建了适用于商业银行的数据资产估值框架,旨在解决商业银行数据资产价值难衡量等问题,从而为全行业数据资产估值体系的全面构建及落地提供实践参考,推动数据要素市场科学有序发展。
《指南》提出,数据资产估值宜满足以下原则:
安全合规原则:即在估值过程中需要关注数据资产的安全性和合法性,确保估值过程安全合规;
目标导向原则:即能够实现为支持内部管理决策和促进外部数据要素流通提供量化参考的目标;
合理假设原则:即数据资产作为企业资产组成部分的价值可有别于作为单项资产的价值,宜采取适当方法区分数据资产和其他资产共同发挥作用时对组织的贡献,合理使用现状利用假设、公开市场假设、持续经营假设等估值假设;
量化评估原则:即确保数据资产各方面信息的真实性、准确性,使用专业知识、技术手段和实践经验等,以数据应用特征匹配估值方法,构建数据资产管理估值指标体系,开展数据资产估值。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)