安全419盘点 | 2024年第三季度网络安全政策法规一览

首页 / 业界 / 资讯 /  正文
作者:栗栗
来源:安全419
发布于:2024-10-12
数字化转型的加速,使得网络安全和数据保护成为业内始终关注的热点议题。我国持续发力,出台一系列政策法规,以加强网络安全管理,保护个人和企业数据安全,同时促进数字经济的健康发展。这些政策法规覆盖了多个关键领域,从个人信息保护到数据市场建设,从人工智能安全规范到金融、工业和信息化、通信等领域,体现了中国在构建安全、可靠、高效的网络空间环境方面的决心和行动。安全419盘点2024年第三季度的重要政策法规,供行业同仁与甲方企业参考,以更好理解和应对网络安全领域的新挑战和新机遇。关注“安全 419”公众号,阅读【2024年第一季度/第二季度网络安全政策法规】。
 


以下为2024年第三季度网络安全政策法规:

一、数据市场建设与安全治理

7月12日,网安标委发布了《数据安全技术 个人信息保护合规审计要求(征求意见稿)》。全文对个人信息保护合规审计原则、实施要求、工作开展要求以及审计工作人员要求进行了详细规定,为个人信息处理者内部审计或委托第三方机构的合规审计工作提供了明确的指导。(关注“安全419”回复【129】,即可获取全文)

8月2日,网安标委发布《数据安全技术 数据接口安全风险监测方法》(征求意见稿),文件立足于组织面临的数据接口安全风险的实际情况,分析风险场景及成因,提取监测数据特征,结合当前监测技术实现,提出数据接口场景下的监测方法。明确了数据接口的定义,并从数据接口各方角色及关系抽象概括形成了数据接口的各项基础要素,基于基础要素,提出了数据接口风险监测方法的整体框架,并分别对框架中的监测方式、监测原则、监测流程展开描述。(关注“安全419”回复【143】,即可获取全文)

8月2日,网安标委发布《网络安全技术 标识密码认证系统密码及其相关安全技术要求(征求意见稿)》,规定了标识密码认证系统的系统组成架构,及其密钥生成、管理以及公开参数查询等服务的技术要求,给出了数据接口安全风险监测的方法,包括方式、内容、流程等,明确了数据接口安全风险监测各阶段的监测要点,适用于指导各类组织开展的数据接口安全风险监测活动。(关注“安全419”回复【144】,即可获取全文)

8月7日,网安标委秘书处组织编制了《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》。该文件提出了互联网平台停服数据处理基本要求,规定了重要数据处理的要求,适用于指导互联网平台数据处理者开展数据安全保护工作,也可为主管监管部门实施安全监管或安全评估提供参考。

8月30日,国务院审议通过《网络数据安全管理条例(草案)》,指出要对网络数据实行分类分级保护,明确各类主体责任,落实网络数据安全保障措施。要厘清安全边界,保障数据依法有序自由流动,为促进数字经济高质量发展、推动科技创新和产业创新营造良好环境。

9月14日,全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》,文件给出了敏感个人信息识别规则以及常见敏感个人信息类别和示例,可用于指导各组织识别敏感个人信息,也可为敏感个人信息处理和保护工作提供参考。(关注“安全419”回复【172】,即可获取全文)

9月27日,国家数据局发布了《关于促进数据产业高质量发展的指导意见(征求意见稿)》。这一文件重点提出了如何推动数据产业发展,特别是在数据合规流通交易、多元化交易方式探索、数据跨境流通等方面的政策方向。(关注“安全419”回复【182】,即可获取全文)

9月27日,国家数据局起草并发布了《关于促进企业数据资源开发利用的意见》,指出要健全企业数据权益实现机制、培育企业数字化竞争力、赋能产业转型升级、服务经济社会高质量发展、营造开放透明可预期的发展环境,并从组织、政策、人才三方进行保障,以推动企业数据资源的合规高效开发利用,促进全国一体化数据市场的建设。(关注“安全419”回复【183】,即可获取全文)

二、地方数据安全相关政策

7月5日,为贯彻落实党中央、国务院关于构建数据基础制度、公共数据资源开发利用等决策部署,规范公共数据授权运营,有效挖掘数据资源价值,促进数字经济发展,贵州省大数据发展管理局牵头起草了《贵州省公共数据授权运营管理办法(试行)》(征求意见稿)。(关注“安全419”回复【130】,即可获取全文)

7月31日,贵州省第十四届人民代表大会常务委员会第十一次会议通过《贵州省数据流通交易促进条例》,自2024年8月28日起施行。文件明确了数据流通交易范围,包括数据资源及其与算力资源、算法模型等综合形成的数据产品和服务。明确数据流通交易应当坚持政府引导、市场主导,合法合规、优质供给,鼓励创新、释放价值,保障安全、包容审慎的原则。(关注“安全419”回复【146】,即可获取全文)

8月9日,北京国际大数据交易所按照《中华人民共和国个人信息保护法》的框架,在北京市相关委办局的指导下,发布了《个人信息授权运营管理办法(试行)》,旨在规范个人信息授权运营管理,保障个人信息主体的知情权、决定权和收益权,同时促进个人信息的合规流通。

9月19日,北京市互联网信息办公室、市商务局、市政务服务和数据管理局联合印发了《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》、《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》,按照“急用先行、小步快跑”原则,首批选择汽车、医药、零售、民航、人工智能等5个领域率先制定,详细列明23个业务场景和198个具体字段,便于企业准确识别判断。(关注“安全419”回复【160】,即可获取全文)
 
三、人工智能产业发展及安全规范

7月18日,《北京市推动“人工智能+”行动计划(2024-2025年)》发布,从标杆应用、示范应用、商业应用等三个维度谋划推动人工智能应用,构建大模型赋能经济社会发展的全景图,其中涵盖发展目标、三类示范应用、一个平台“1+3+1”体系。(关注“安全419”回复【156】,即可获取全文)

8月1日,工业和信息化部装备工业一司联合市场监管总局质量发展局组织编制了《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知(征求意见稿)》,文件要求企业要落实智能网联汽车产品质量和生产一致性、产品安全主体责任,持续确保汽车数据安全、网络安全、OTA升级、功能安全和预期功能安全等保障能力有效,严格履行OTA升级管理和备案承诺,以及事件事故报告要求。

9月10日,网安标委发布《人工智能安全治理框架》1.0版,按照风险管理的理念,紧密结合人工智能技术特性,分析人工智能风险来源和表现形式,针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险,提出相应技术应对和综合防治措施,以及人工智能安全开发应用指引。(关注“安全419”回复【179】,即可获取全文)

9月14日,国家互联网信息办公室发布《人工智能生成合成内容标识办法(征求意见稿)》,明确了以人工智能生成合成内容为治理客体,就标识义务主体、适用范围、标识类型、标识部署场景与部署方式等提出进一步细化规定,从而推动人工智能生成合成内容标识义务在实践中的落地。(关注“安全419”回复【173】,即可获取全文)

四、金融领域安全政策

7月26日,中国人民银行正式公布了《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告(征求意见稿)》。这一重磅举措标志着央行在征信信息安全领域的又一次重大改革,旨在通过全面重塑与升级征信系统,为金融市场的健康发展提供更为坚实的保障。(关注“安全419”回复【145】,即可获取全文)

7月29日,财政部印发《会计软件基本功能和服务规范》,分为八章,其中规定了会计数据输入、会计数据处理、会计数据输出、会计软件安全、会计软件服务等内容。文件增强了对会计数据输入的准确,完整,真实,有效,安全的要求;增强了对会计数据处理安全、可靠的要求;明确了会计数据输出的标准化要求;加强了会计软件安全对会计数据的保障。(关注“安全419”回复【151】,即可获取全文)

8月9日,国家金融监督管理总局正式发布《关于加强和改进互联网财产保险业务监管有关事项的通知》,进一步规范互联网财产保险业务。《通知》重点解决四个问题:什么是互联网财产保险业务、哪些机构可以做互联网财产保险业务哪些险种可以拓展经营区以及互联网财产保险业务的监管要求。(关注“安全419”回复【152】,即可获取全文)

五、工业和信息化领域安全政策

8月1日,市场监管总局发布《市场监管总局关于推进重点工业产品质量安全追溯的实施意见(征求意见稿)》,其中(七)保障追溯数据安全。参加追溯的相关方应做好追溯平台和追溯数据的安全防护工作,确保重点工业产品质量安全追溯数据真实、完整、准确,做到可查证和不可篡改。市场监管总局加强相关信息基础设施安全保护和网络安全等级保护,实现对追溯平台安全防护技术保障和追溯数据全生命周期安全管理。

9月2日,工业和信息化部发布《电子认证服务管理办法(征求意见稿)》,进一步加强电子认证服务行业监管,规范电子认证服务行为,针对近年来电子认证服务领域中出现的“持证不经营”、服务不合规等问题进行进一步优化和完善。此次修订不仅是对电子认证服务行业监管体系的加强,也是促进电子认证服务高质量发展的重要举措。(关注“安全419”回复【167】,即可获取全文)

9月4日,工信部等十一部门联合印发《关于推动新型信息基础设施协调发展有关事项的通知》,部署推动新型信息基础设施协调发展,提出了“1统筹6协调”等7方面主要工作。其中指出要增强全方位安全保障能力,提升网络和数据安全保障能力。要建立健全数据安全管理制度,强化重要数据识别备案和分级防护,加强数据安全监测预警和应急处置手段建设,开展数据安全风险评估。(关注“安全419”回复【166】,即可获取全文)

9 月29日,中国钢铁工业协会等17家行业组织共同编制《工业和信息化领域数据安全合规指引(征求意见稿)》。该文件聚焦数据处理者在履行数据安全保护义务过程中的难点问题,明确数据安全合规依据,提供实务指引,指导数据处理者开展数据安全合规管理,以提升数据安全保护能力。(关注“安全419”回复【181】,即可获取全文)
 
六、更多领域安全政策

7月26日,自然资源部发布《关于加强智能网联汽车有关测绘地理信息安全管理的通知》,要求地理信息数据必须存储于境内,所使用的存储设备、网络和云服务等必须符合国家有关安全和保密要求,必须落实数据出境安全评估等有关规定。健全智能网联汽车地理信息安全风险防控体系,组织研发地理信息保密处理、及时预警与处置等技术,建立完善分类分级、安全风险评估等管理制度和地理信息安全风险监测预警机制。

7月26日,公安部、国家网信办公布《国家网络身份认证公共服务管理办法(征求意见稿)》,首次提出了“网号”和“网证”的概念,确定了国家网络身份认证公共服务的使用方式和场景,目标是建成国家网络身份认证公共服务平台,形成国家网络身份认证公共服务能力,为社会公众统一签发“网号”“网证”。同时也强调了数据安全和个人信息保护义务,并规定了相应的法律责任。

8月2日,中央网信办、工业和信息化部联合印发《全国重点城市IPv6流量提升专项行动工作方案》,在北京市、天津市、上海市、深圳市、杭州市、合肥市、无锡市、烟台市等8个城市部署IPv6流量提升专项行动,以提升固定网络IPv6流量为主攻方向,着力提升IPv6端到端贯通水平和服务质量,拓展IPv6应用广度深度,加快突破网络、平台、终端、应用等关键环节难点堵点。(关注“安全419”回复【155】,即可获取全文)

8月14日,全国旅游标准化技术委员会近日发布标准《旅游大数据安全与隐私保护要求(征求意见稿)》。其中对旅游大数据的通用安全目标、安全与隐私保护生命周期管理、安全与隐私保护运维管理、安全与隐私保护监控管理以及典型旅游应用场景大数据安全等方面作出规范。适用于旅游管理和服务机构开展旅游大数据收集、传输、存储、提供与公开、使用与加工等过程中的安全管理组织、人员安全管理、相关系统建设等,也可为有关部门对旅游大数据相关活动进行监管管理提供参考。(关注“安全419”回复【159】,即可获取全文)

8月21日,《中共中央办公厅、国务院办公厅印发了关于完善市场准入制度的意见》全文内容正式公布,紧扣“开放透明、规范有序、平等竞争、权责清晰、监管有力”的目标要求,对完善市场准入制度作出了系统部署,有利于增强市场准入制度的统一性,稳步提升市场准入效能,从而为加快建设高标准市场体系、构建高水平社会主义市场经济体制提供有力支撑。(关注“安全419”回复【157】,即可获取全文)

9月9日,国家市场监督管理总局发布《关于推动网络交易平台企业落实合规管理主体责任的指导意见(征求意见稿)》,从健全合规管理组织、明确合规管理职责、完善合规管理运行机制、加强组织实施四个方面入手,细化了合规负责人、合规管理员的职责要求,强调了网络交易平台企业合规管理的运行机制,促成了市场监督管理部门与网络交易平台企业的联动工作机制。(关注“安全419”回复【178】,即可获取全文)
 
七、一批国家标准公开征求意见
 
《网络安全技术 安全技术 网络安全 第7部分:网络虚拟化安全(征求意见稿) 》
(关注“安全419”回复【162】,即可获取全文)
 
《数据安全技术 二手电子产品信息清除技术要求(征求意见稿)》
(关注“安全419”回复【163】,即可获取全文)

《网络安全技术 网络安全试验平台 体系架构(征求意见稿)》
(关注“安全419”回复【164】,即可获取全文)
 
《网络安全技术 网络空间安全图谱要素表示要求(征求意见稿)》
(关注“安全419”回复【165】,即可获取全文)
 
《网络安全技术 网络身份认证公共服务应用接入规范(征求意见稿)》
(关注“安全419”回复【174】,即可获取全文)
 
《网络安全技术 公钥基础设施 证书管理协议》
(关注“安全419”回复【175】,即可获取全文)

《网络安全技术 公钥基础设施 时间戳规范》
(关注“安全419”回复【176】,即可获取全文)

《网络空间技术 公钥基础设施 PKI组件最小互操作规范》
(关注“安全419”回复【177】,即可获取全文)