国内外网络安全政策动态（2023年5月）

  5月1日，《信息安全技术 关键信息基础设施安全保护要求》（GB/T39204-2022）正式实施。

  该标准作为《关键信息基础设施安全保护条例》公布后首个正式对外发布的关键信息基础设施安全保护标准，为开展关键信息基础设施安全保护工作提供了具体的工作指引。

  标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项根本原则，从分析识别、安全防护、检验测试评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求，为运营者开展关键信息基础设施保护工作需求提供了强有力的标准保障。

  5月5日，工信部开展了《汽车整车信息安全技术方面的要求》等四项强制性国家标准的制修订，并形成了征求意见稿，公开征求社会各界意见。这也代表着，汽车网络安全的遮羞布逐渐被撕开，汽车产业链上下游必须直面汽车网络安全问题。这份被业界称为“史上最详细的汽车信息安全强制标准”，不仅关系到未来新车上市的安全门槛，也将向上延伸至影响整个汽车网络安全赛道的竞争格局。

  5月6日，交通运输部发布《公路水路关键信息基础设施安全保护管理办法》。办法从关键信息基础设施认定、运营者责任义务、保障和监督三方面对公路水路关键信息基础设施安全保护做出规定。

  关键信息基础设施认定方面，办法明确，省级人民政府交通运输主管部门应当按照交通运输部的有关要求，负责组织筛选识别省级行政区域内运营的公路水路关键信息基础设施待认定对象，并研究提出初步认定意见报交通运输部。交通运输部应当将认定结果通知省级人民政府交通运输主管部门。

  运营者责任义务方面，办法要求，新建、改建、扩建或者升级改造公路水路关键信息基础设施的，安全保护的方法应当与公路水路关键信息基础设施同步规划、同步建设、同步使用。运营者应当依照国家有关规定对安全保护措施予以验证。公路水路关键信息基础设施的网络安全保护等级应当不低于第三级。

  办法还要求部级设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当直接向交通运输部、公安机关报告，并立即启动本单位网络安全事件应急预案。省级设施发生重大网络安全事件或者发现重大网络安全威胁时，运营者应当立即向省级人民政府交通运输主管部门、公安机关报告，并启动本单位网络安全事件应急预案。省级人民政府交通运输主管部门应当将相关情况及时报告交通运输部。公路水路关键信息基础设施发生特别重大网络安全事件或者发现特别重大网络安全威胁时，交通运输部应当在收到报告后，及时向国家网信部门、国务院公安部门报告。

  保障和监督方面，办法指出，交通运输主管部门应当定期组织开展公路水路关键信息基础设施网络安全检查检测，指导监督运营者建立问题台账，制定整改方案，及时整改安全隐患、完善安全措施。省级人民政府交通运输主管部门应当将检查检测情况及时报告交通运输部。交通运输主管部门按照国家相关规定，对网络安全工作不力、重大安全问题隐患久拖不改，或者存在重大网络安全风险、出现重大网络安全事件的运营者，约谈单位负责人，并加大网络安全监督检查力度。

  5月6日，全国信息安全标准化技术委员会发布2023年度第一批网络安全国家标准需求清单，清单共列出30项标准制定需求，其中重点包括：

  《信息安全技术 生成式人工智能预训练和优化训练数据安全规范》拟针对生成式人工智能产品预训练和优化训练数据来源合法性，符合法律法规要求，不含侵犯知识产权内容，保护个人信息，保证真实性、准确性、客观性、多样性等方面提出安全规范。

  《信息安全技术 生成式人工智能人工标注安全规范》拟针对生成式人工智能产品研制中人工标注环节的标注规则、标注人员培训、标注内容正确性等方面提出安全规范。

  《信息安全技术 大型网络平台网络安全评估指南》拟基于网络安全等级保护、云计算服务安全评估等要求，给出大型网络平台网络安全评估内容、评估方法、评估流程等方面的指导性信息。

  《信息安全技术 数据分类分级保护要求》拟在数据分类分级规则的基础上进一步明确分类分级保护要求，支撑《数据安全法》第二十一条数据分类分级保护制度落地。

  5、河南省人民政府发布《河南省加强数字政府建设实施方案（2023—2025年）》

  5月9日，河南省人民政府发布《河南省加强数字政府建设实施方案（2023—2025年）》。

  方案提出，要突出全面防护，筑牢数字政府安全保障体系。严格落实网络安全、数据安全、个人信息保护等法律法规制度，制定完善政务云、政务网络、政务信息系统安全建设和安全运维制度规范，加强项目实施和运行全流程安全管理，实行安全技术措施同步规划、同步设计、同步建设、同步验收、同步使用。强化政务信息化基础设施和数据全生命周期安全保护，定期开展网络安全等级保护测评、密码应用安全性评估以及数据安全风险评估、安全合规评估，实施常态化风险监测、安全检查和漏洞修复，及时消除安全风险隐患。依法加强重要数据出境安全管理。

  5月23日，为贯彻落实党中央、国务院关于建设数字中国的重要部署，深入实施《数字中国建设整体布局规划》，国家互联网信息办公室会同有关方面系统总结2022年各地区、各部门推进数字中国建设取得的主要成效，开展数字中国发展地区评价，展望2023年数字中国发展工作，编制形成《数字中国发展报告(2022年)》。

  5月24日，中华人民共和国中央人民政府网站公开《商用密码管理条例》（以下简称《条例》）2023年修订版正式稿全文，《条例》在2023年4月14日国务院第4次常务会议修订通过，现予公布，自2023年7月1日起施行。

  《条例》是对密码法的进一步细化，也是对我国商用密码管理体系系统性、整体性、长期性思考的体现。《条例》的颁布实施是商用密码发展新的里程碑，进一步完善了商用密码科技创新的体制机制，为加强商用密码科技自主创新、促进商用密码与新兴技术融合、推动商用密码产业发展和人才培养等提供了有力制度保障，将极大促进商用密码科技蓬勃发展。

  5月30日，国家互联网信息办公室发布《个人隐私信息出境标准合同备案指南（第一版）》。该指南为指导和帮助个人隐私信息处理者规范、有序备案个人信息出境标准合同，对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息，应当根据《个人信息出境标准合同办法》规定，按照备案指南向所在地省级网信部门备案。

  ChatGpt的出现使得欧盟《人工智能法案》的正式出台日期可能被再度延后。5月11日，议会对法案中的高风险人工智能相关义务、禁止性做法及执法规定进行了微调，并获得议会公民自由、司法和内政委员会以及市场和消费者保护委员的批准；此外，据路透社报道，欧委会正在与谷歌制定一项人工智能标准协议，为法案的通过做准备。

  作为ChatGpt的诞生地，美国试图通过制定一系列政策及战略推动人工智能的产业高质量发展，拜登政府宣布实施一个全面的行动计划，投入1.4亿美元建立7个新的人工智能研发中心；美国两党参议员提出《人工智能领导力培训法案》，要求在人事管理办公室内建立一个子机构，专门培训可能参与政府人工智能相关工作的员工；拜登政府发布新的人工智能国家发展框架，旨在培育负责任的人工智能技术，包括相关国家战略研发计划和教育目标。

  日本各部负责人组成政府人工智能战略小组，批准了一项商用生成式人工智能计划。

  新西兰隐私专员办公室（OPC）发布了《生成式人工智能指南》，概述了企业和相关组织以尊重个人隐私的方式参与人工智能建设的相关要求。

  加拿大下议院二读通过了《数字实施法》，包含《人工智能和数据法》《消费者隐私保护法》《个人隐私信息和数据保护法庭法》三项立法。

  七国集团（G7）呼吁制定人工智能全球技术标准，宣布就人工智能标准展开合作，推动“关于包容性人工智能治理和互操作性的国际讨论”。

  受俄乌战争及国际局势影响，欧美等主要国家和地区也越来越强调国家安全。自去年通过《芯片和科学法》以来，相关措施继续推进，美国投入5亿美元用于“国际技术安全和创新（ITSI）”基金，以增强和维护美国及其合作伙伴在数字基础设施、半导体和其他关键技术方面的能力与领导地位；美国众议院国土安全委员会通过了修订《国土安全法》的提案，要求网络安全和基础设施安全局加强联邦机构使用的开源软件的安全性，并聘用相关开源安全专家；美国两党参议员重提《网络安全协调法》，将设立一个新的网络安全办公室来加强美国各地关键基础设施的网络安全；美国国防部向国会提交《2023网络安全战略》机密版本；美国与其印太经济框架（IPEF）14个成员国就供应链韧性及安全达成了协议。欧盟正式启动了针对俄罗斯的第11轮制裁，将弥补此前制裁措施中的漏洞和规避惩罚的问题，此次制裁对象包含七家中国公司。

  随着人工智能等新兴技术不断发展，各国不断对个人隐私信息及隐私保护规范进行调整完善。美国众议院考虑更新《美国数据隐私和保护法案》，将进一步增强对儿童的网络保护；佛罗里达州通过一项隐私法案（参议院第262号法案），将赋予消费者部分知情权和删除权，大多数条款只适用于收入超过10亿美元的公司；美国联邦通信委员会（FTC）发布通知，将对《健康违规通知规则》（HBNR）进行修改，进一步明确个人健康信息泄露的通知规则。

  韩国网络振兴院与韩国社会保障情报院共同签订了“防止公共部门个人隐私信息侵害事故的发生及支援国家数据经济的业务协约（MoU）”。

  菲律宾国家隐私委员会（NPC）就《个人同意指南（草案）》征求公众意见，该草案适用于在同意的基础上进行数据处理活动的个人隐私信息控制者（PIC）。

  在数据跨境方面，欧洲议会通过了有关欧盟-美国数据隐私框架（DPF）的不具约束力的意见，意见称DPF与它之前的欧盟-美国隐私盾牌相比有所改进，但对美国外国情报机构正在进行的大量数据收集及“防止诉讼制度”等未决问题提出异议。

  东盟和欧盟发布了数据跨境标准合同的联合指南，为相关企业来提供了最佳实践，将满足两个司法管辖区规定的要求，并促进数据跨境流通；德国巴伐利亚州数据保护监督办公室发布了促进数据跨境流通的相关指南。

  欧盟委员会于本月就《数字服务法》中的独立审计规定展开了公共咨询，涉及审计师在选择审计方法和程序时应适用的主要原则，并为超大型平台（very large online platforms）和超大型搜索引擎（very large online search engines）的审计提供进一步的规范；法国正在讨论一项新的立法倡议，包含欧盟《数字服务法》和《数字市场法》的实施条款，同时提出有关数字欺诈、在线骚扰、儿童保护、媒体禁令等方面的新建议；Meta公司由于违规向美国传输欧洲用户个人信息，被欧洲数据保护机构处以13亿美元的罚款。

  美国国会重提EARN IT法案，将修订《通信规范法》第230条，向平台施加更多责任；美国两名参议员提出《数字平台委员会法案2023》，要求建立一个新的联邦机构来监督数字平台和人工智能提供商。

  韩国科学与信息通信技术部发布“未来半导体技术路线年确保在半导体存储和晶圆代工方面实现与其他几个国家的“超级差距”，以及在系统半导体领域拉开新差距的目标，并成立了由三星、SK海力士等企业为代表组成的未来半导体技术公私合作咨询机构；同时，韩国与美国同意加强在芯片、电动汽车和电池等领域的经济伙伴关系。

  日本经济产业省（METI）公布了《外汇及对外贸易法修正案》，将先进芯片制造设备等23个品类列入出口管制项目。

  美国众议院中国委员会主席表示，在中国禁止美光科技公司之后，美国商务部应对中国存储芯片制造商长信存储技术公司（CXMT）实施贸易限制。

  欧盟-美国贸易和技术委员会第四届会议将于月底召开，根据一份声明草稿显示，美国和欧盟将采取联合行动，对半导体和别的产品实施出口管制。

  来源：中国政府网、中央网信办、工信部、交通运输部、全国信安标委、河南省政府、公安三所网络安全法律研究中心、CAICT互联网法律研究中心返回搜狐，查看更加多