2024年5月网络安全行业政策法规汇总

为进一步强化网络安全管理和保护工作，积极应对日益复杂的网络安全威胁，2024 年 5 月，国内相关政府部门和行业协会继续加大力度，相继发布了多项针对网络安全行业的重要政策法规，涵盖了个人隐私数据保护、会计事务、自然资源数据信息、人工智能伦理规范以及信息安全管理标准等多个关键领域。

这些政策的发布，不仅为网络安全行业的发展提供了更为明确的法律依据和操作指南，同时也为企业和个人在数字化转型过程中，确保信息安全和隐私保护提供了有力支持，旨在共同营造一个更加安全、可信的网络环境，为社会经济的健康发展保驾护航。以下是2024年5月网络安全行业政策法规汇总。

一、网安标委发布《网络安全技术 网络安全众测服务要求》

近日，全国网络安全标准化技术委员会发布《网络安全技术 网络安全众测服务要求》（以下简称《要求》），并将在 2024 年 11 月 1 日正式实施。

《要求》由国家计算机网络应急技术处理协调中心 、中国电子技术标准化研究院 、国家信息技术安全研究中心 、阿里云计算有限公司 、奇安信网神信息技术（北京）股份有限公司 、中国移动通信集团有限公司 、中国科学院软件研究所 、上海斗象信息科技有限公司等多家单位、企业共同编制，进一步促进众测服务产业发展。

《要求》确立网络安全众测服务的角色及其职责，描述了服务流程，规定了服务要求；适用于众测需求方、众测组织方、授权测试方和众测审计方在开展网络安全众测服务时使用，进一步规范了网络安全众测服务所涉及角色的安全职责、服务流程和要求。 本标准适用于网络安全众测服务过程中的众测需求方、众测组织方、授权测试方和众测审计方在开展网络安全众测服务时使用。

主要内容包括：

（1）网络安全众测服务的定义和服务流程；

（2）网络安全众测服务可能存在的安全风险；

（3）网络安全众测服务的各相关方（众测需求方、众测组织方、授权测试方、众测审计方），各相关方在众测项目实施过程中的交互关系以及各相关方的职责；

（4）在网络安全众测服务准备阶段、实施阶段、后处理阶段各相关方应遵循的要求；其中后处理阶段给出众测服务结果为交付安全众测报告及安全审计报告，安全众测报告内容包括但不限于：安全测试对象、测试时间、测试人员、测试对象整体安全情况分析、漏洞分布及分析、漏洞信息、漏洞修复建议、安全防护建议等，安全审计报告的内容包括但不限于测试范围、测试时间、测试人员、审计内容、及审计结果等；

（5）网络安全众测服务平台安全要求，包括用户数据隔离要求、数据库加固要求、身份鉴别要求、访问控制要求等；

（6）网络安全众测服务平台功能参考；

（7）授权测试方行为准则，用于规范授权测试方的行为。

二、财政部、国家网信办发布《会计师事务所数据安全管理暂行办法》

数字化浪潮下，会计师事务所承担着金融和商业决策的关键支撑角色，积聚了海量敏感数据。这一背景下，会计师事务所迫切需要遵循一套标准化、系统化的数据安全管理框架。为响应这一需求，结合《国务院办公厅关于进一步规范财务审计秩序 促进注册会计师行业健康发展的意见》（国办发〔2021〕30号）中的相关规定，财政部和国家互联网信息办公室联合制定了《会计师事务所数据安全管理暂行办法》（以下简称《办法》），旨在强化会计师事务所的数据安全管理，确保其数据处理活动的规范性和安全性。

《办法》主要适用于境内依法设立的会计师事务所开展的审计业务相关数据处理活动，包括为上市公司以及非上市的国有金融机构或中央企业等提供审计服务、为关键信息基础设施运营者或者超过100万用户的网络平台运营者提供审计服务、为境内企业境外上市提供审计服务。

《办法》提出，会计师事务所的首席合伙人（主任会计师）是本所数据安全负责人，要求会计师事务所应当建立健全数据全生命周期安全管理制度，完善数据运营和管控机制、健全数据安全管理组织架构，明确数据安全管理权责机制、实施与业务特点相适应的数据分类分级管理、建立数据权限管理策略，按照最小授权原则设置数据访问和处理权限，定期复核并按有关规定保留数据访问记录、组织开展数据安全教育培训以及法律法规规定的其他事项。

《办法》强调、会计师事务所的数据分类分级，要求会计师事务所应当按照法律、行政法规的规定和被审计单位所处行业数据分类分级标准确定核心数据、重要数据和一般数据，并且要求会计师事务所当明确数据传输操作规程，核心数据、重要数据传输过程中应当采用加密技术，保护传输安全。

此外，《办法》》对会计师事务所在建立内部网络安全管理制度、网络管理资源投入、网络安全技术防护、网络管理账户权限等方面做出具体要求，提出会计师事务所应当建立完善的网络安全管理治理架构，建立健全内部网络安全管理制度体系，建立内部决策、管理、执行和监督机制，确保网络安全管理能力与提供的专业服务相适应，为数据安全管理工作提供安全的网络环境。

最后，《办法》明确指出，相关单位的监管职责，提出省级以上财政部门、省级以上网信部门对会计师事务所数据安全情况开展监督检查，公安机关、国家安全机关依法在职责范围内承担会计师事务所数据安全监管职责。会计师事务所在面对监管时，对于依法实施的数据安全监督检查，应当予以配合，不得拒绝、拖延、阻挠。

三、市场监管总局发布《网络反不正当竞争暂行规定》

为预防和制止网络不正当竞争行为，维护公平竞争的市场秩序，鼓励创新，保护经营者和消费者的合法权益，促进数字经济规范持续健康发展，市场监管总局根据《中华人民共和国反不正当竞争法》、《中华人民共和国电子商务法》等法律、行政法规，制定、发布《网络反不正当竞争暂行规定》（以下简称《规定》）。

《规定》提出，鼓励和支持经营者依法开展经营活动，公平参与市场竞争。经营者通过互联网等信息网络从事生产经营活动，应当遵循自愿、平等、公平、诚信的原则，遵守法律法规规章，遵守商业道德。

在经营过程中，经营者不得实施网络不正当竞争行为，扰乱市场竞争秩序，影响市场公平交易，损害其他经营者或者消费者的合法权益。网络不正当竞争的具体行为如下：

（一）擅自使用与他人有一定影响的域名主体部分、网站名称、网页等相同或者近似的标识；

（二）擅自将他人有一定影响的商品名称、企业名称（包括简称、字号等）、社会组织名称（包括简称等）、姓名（包括笔名、艺名、译名等）作为域名主体部分等网络经营活动标识；

（三）擅自使用与他人有一定影响的应用软件、网店、客户端、小程序、公众号、游戏界面等的页面设计、名称、图标、形状等相同或者近似的标识；

（四）擅自使用他人有一定影响的网络代称、网络符号、网络简称等标识；

（五）生产销售足以引人误认为是他人商品或者与他人存在特定联系的商品；

（六）通过提供网络经营场所等便利条件，与其他经营者共同实施混淆行为；

（七）其他利用网络实施的足以引人误认为是他人商品或者与他人存在特定联系的混淆行为。

《规定》确定，国家市场监督管理总局及地方市场监督管理部门作为主要监管机构，负责监督指导和查处网络不正当竞争行为，应当坚持依法行政，保证严格、规范、公正、文明执法，并提出市场监督管理部门应当加强对网络不正当竞争行为的监测，发现违法行为的，依法予以查处。

市场监督管理部门在查办网络不正当竞争案件过程中，被调查的经营者、利害关系人及其他有关单位、个人应当如实提供有关资料或者情况，不得伪造、销毁涉案数据以及相关资料，不得妨害市场监督管理部门依法履行职责，不得拒绝、阻碍调查。对涉嫌构成犯罪，相关部门依法需要追究刑事责任的，市场监督管理部门应当按照有关规定及时将案件移送公安机关处理。

四、《湖南省工业和信息化领域网络安全和数据安全管理支撑服务工作管理办法》发布

加强工业和信息化领域的网络安全和数据安全管理，已经成为整个社会不可回避的紧迫任务。在这样的背景下，为加强全省工业和信息化领域网络安全和数据安全管理，规范工业和信息化领域网络安全和数据安全支撑服务工作，湖南省根据工信部《工业互联网安全分类分级管理办法》《工业和信息化领域数据安全管理办法（试行）》和《工业控制系统网络安全防护指南》等有关规定，制定《湖南省工业和信息化领域网络安全和数据安全管理支撑服务工作管理办法（试行）》（以下简称《办法》）。

《办法》要求，省工业和信息化厅负责统筹推进全省工业和信息化领域网络安全和数据安全管理工作，推进全省工业和信息化领域网络安全和数据安全技术支撑队伍建设，培育发展一批本地支撑机构，壮大支撑服务力量，构建支撑服务资源池。各市县工信部门负责推进本行政区域工业和信息化领域网络安全和数据安全管理工作和支撑工作。

《办法》强调，支撑机构应履行接受省工业和信息化厅对支撑工作的指导协调，严格遵守《中华人民共和国网络安全法》《中华人民共和国数据安全法》等有关法律法规以及支撑工作的有关规定、规范和工作要求；发现重大网络或数据安全事件、风险隐患、高危漏洞和安全威胁时，应及时通报企业，并同步报告市州工信部门和省工业和信息化厅；每季度向省工业和信息化厅报告支撑工作情况；确保支撑工作中涉及的网络信息和数据安全；建立网络安全和数据安全应急处置机制和纠纷处理机制，防范支撑工作风险，妥善处理纠纷等自身义务。

对于未按照有关标准规范、工作流程开展支撑工作，运行管理不规范、支撑服务工作质量不达标；支撑工作中弄虚作假，出具不实支撑服务报告，隐瞒支撑工作中发现的重大安全问题；非授权占有、使用或泄露企业相关资料及数据；因支撑工作不到位，导致被支撑服务单位多次发生网络安全和数据安全事件；限定被支撑服务单位购买、使用指定网络安全和数据安全产品；监督检查中发现存在其他突出问题或违反法律法规情形等支撑机构，省工业和信息化厅责令其限期整改；情节严重的，将其移出资源池。一旦发现支撑机构在支撑工作中如有违反国家法律法规的行为，由其依法承担相应法律责任。

五、四部门联合发布《互联网政务应用安全管理规定》

为保障互联网政务应用安全，指导各级党政机关和事业单位建设运行互联网政务应用，中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《党委（党组）网络安全工作责任制实施办法》等，发布了《互联网政务应用安全管理规定》（以下简称《规定》），自 2024 年 7 月 1 日起施行。

《规定》提出，机关事业单位开办网站应当按程序完成开办审核和备案工作，一个党政机关最多开设一个门户网站，且机关事业单位网站应当在首页底部中间位置加注网上标识。中央网络安全和信息化委员会办公室会同中央机构编制管理部门协调应用程序分发平台以及公众账号信息服务平台，在移动应用程序下载页面、公众账号显著位置加注网上标识。

《规定》要求，建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求，按照有关标准规范开展定级备案、等级测评工作，落实安全建设整改加固措施，防范网络和数据安全风险。中央和国家机关、地市级以上地方党政机关门户网站，以及承载重要业务应用的机关事业单位网站、互联网电子邮件系统等，应当符合网络安全等级保护第三级安全保护要求。

《规定》强调，中央网络安全和信息化委员会办公室会同国务院电信主管部门、公安部门和其他有关部门，组织对地市级以上党政机关互联网政务应用开展安全监测，各地区、各部门应当对本地区、本行业机关事业单位互联网政务应用开展日常监测和安全检查。机关事业单位应当建立完善互联网政务应用安全监测能力，实时监测互联网政务应用运行状态和网络安全事件情况。

《规定》还划定了监督职责，提出中央网络安全和信息化委员会办公室负责统筹协调互联网政务应用安全管理工作。中央机构编制管理部门负责互联网政务应用开办主体身份核验、名称管理和标识管理工作。国务院电信主管部门负责互联网政务应用域名监督管理和互联网信息服务（ICP）备案工作。对违反或者未能正确履行本规定相关要求的，按照《党委（党组）网络安全工作责任制实施办法》等文件，依规依纪追究当事人和有关领导的责任。

六、网安标委印发《网络安全技术 生成式人工智能服务安全基本要求（征求意见稿）》

生成式人工智能服务也可能会引发新的安全危机，因此，对于生成式人工智能服务提供者来说，如何保证人工智能服务或产品的安全性，以及满足安全合规仍然是痛点。全国网络安全标准化技术委员会根据相关政策法规，制定并发布了《网络安全技术 生成式人工智能服务安全基本要求（征求意见稿）》（以下简称《要求》）。

《要求》规定了生成式人工智能服务在安全方面的基本要求，包括训练数据安全、模型安全、安全措
施等，并给出了安全评估参考要点，旨在帮助服务提供者明确生成式人工智能服务网络安全基线、提高服务安全水平，适用于服务提供者开展安全评估，也可为相关主管部门提供参考。

《要求》明确，生成式人工智能服务的训练数据安全要求包括数据来源安全、数据内容安全以及数据标注安全。其中，数据来源安全方面要求服务提供者面向特定数据来源进行采集前，应当对该来源数据进行安全评估，对于数据内容中含违法不良信息超过 5% 的，不应当采集该来源数据。此外，服务提供者在面向特定数据来源进行采集后，应该对所采集的该来源数据进行核验，含违法不良信息情况超过 5% 的，不应使用该来源数据进行训练。

《要求》提出，服务提供者在模型训练过程中应将生成内容安全性作为评价生成结果优劣的主要考虑指标之一，并且定期对所使用的开发框架、代码等进行安全审计，关注开源框架安全及漏洞相关问题，识别和修复安全漏洞。

《要求》着重提到了未成年人使用生成式人工智能服务的限制，规定当服务适用未成年人时，应允许监护人设定未成年人防沉迷措施、不应向未成年人提供与其民事行为能力不符的付费服务，积极展示有益未成年人身心健康的内容，对于服务不适用未成年人的，应采取技术或管理措施防止未成年人使用。

七、工业和信息化部印发《工业和信息化领域数据安全风险评估实施细则（试行）》

为引导工业和信息化领域数据处理者规范开展数据安全风险评估工作，提升数据安全管理水平，维护国家安全和发展利益，保障国家关键信息基础设施的安全稳定，推动数字经济的健康发展，工业和信息化部根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律，按照《工业和信息化领域数据安全管理办法(试行)》有关要求，印发了《工业和信息化领域数据安全风险评估实施细则（试行）》（以下简称《细则》）。

《细则》适用于对中华人民共和国境内工业和信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估。

《细则》指出，重要数据和核心数据处理者应当按照国家法律法规、行业监管部门有关规定以及评估标准，对数据处理活动的目的和方式、业务场景、安全保障措施、风险影响等要素，展数据安全风险评估，重点评估以下内容:

(一)数据处理目的、方式、范围是否合法、正当、必要;
(二)数据安全管理制度、流程策略的制定和落实情况:(三)数据安全组织架构、岗位配备和职责履行情况;
(四)数据安全技术防护能力建设及应用情况:
(五)数据处理活动相关人员是否熟悉数据安全相关政策法规、是否具备数据安全知识技能、是否接受数据安全相关教育培训等情况;
(六)发生数据遭到篡改、破坏、泄露、丢失或者被非法获取、非法利用等安全事件，对国家安全、公共利益的影响范围、程度等风险;
(七)涉及数据提供、委托处理、转移的，数据获取方或受托方的安全保障能力、责任义务约束和履行情况:
(八)涉及国家法律法规中规定需要申报的数据出境安全评估情形，履行数据出境安全评估要求情况。

重要数据和核心数据处理过程中，相关负责人应当及时、客观、有效的原则开展数据安全风险评估，形成真实、完整、准确的评估报告。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等，并对最后的评估结果负责。

《细则》指出，工业和信息化部统一管理、监督和指导工业和信息化领域数据安全风险评估工作，组织开展相关评估标准制修订及推广应用，各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各省、自治区、直辖市通信管理局和无线电管理机构依据职责分别负责监督管理本地区工业、电信、无线电重要数据和核心数据处理者开展数据安全风险评估工作。

八、自然资源部发布《智能网联汽车时空数据安全处理基本要求（征求意见稿）》

智能网联汽车安装或集成了卫星导航定位接收模块、惯性测量单元、摄像头、激光雷达等传感器后在运行、服务和道路测试过程中对车辆及周边道路设施空间坐标、影像、点云及其属性信息等智能网联汽车时空数据进行收集、存储、传输和处理的行为，属于《中华人民共和国测绘法》规定的测绘活动，应当依照测绘法律法规政策进行规范和管理。

为了加强对智能网联汽车时空数据的安全处理，保障用户的数据隐私和信息安全，自然资源部(国土)自然资源部地图技术审查中心组织完成了《智能网联汽车时空数据安全处理基本要求（征求意见稿）》（以下简称《要求》）

《要求》规定了智能网联汽车对时空数据进行保密处理，以及存储、传输等环节进行地理信息安全处理的基本要求，适用于面向社会销售且在中国境内运行的智能网联汽车，并提出，时空数据分为位置类（车端收集到的能确定车辆在地球上绝对位置的坐标数据）、点云类（时空数据传感器收集到的点云数据）、影像类（时空数据传感器收集到的图像或视频数据）、惯导类（时空数据传感器获取到的车辆姿态角(或角速率)、加速度及其衍生数据、构图类（上述数据进行加工生成的含有绝对位置坐标的矢量数据）。

其中，位置类数据和构图类数据应在存储和向车外传输前按照国家认定的地理信息保密处理技术完成处理。值得一提的是，《要求》还明确了车辆数据传输问题，提出严禁传输上文提到的军事、政府部门、公路以及其它类型的敏感数据，并规定向车外传输的目的地应在中国境内且符合国家数据安全相关法规。

九、网安标委印发《网络安全技术 关键信息基础设施边界确定方法（征求意见稿）》

为更好地保障能源、交通、水利、金融、公共服务、电子政务、国防科技工业等关键信息基础设施的网络安全，明确关键基础设施边界的确定方法，进一步完善相关技术标准和规范，全国网络安全标准化技术委员会秘书处印发《网络安全技术 关键信息基础设施边界确定方法（征求意见稿）》（以下简称《方法》）。

《办法》给出了关键信息基础设施边界确定的方法，包括基本信息梳理、关键信息基础设施功能识别、关键业务链与关键业务信息识别、关键业务信息流识别和资产识别、关键信息基础设施要素识别和边界确定的流程、步骤等内容，适用于指导关键信息基础设施运营者确定关键信息基础设施边界，也可为关键信息基础设施安全保护的其他相关方使用。

《办法》提出，关键信息基础设施根据关键业务类型，分为提供信息化共性服务的关键信息基础设施和高度依赖信息化业务的关键信息基础设施。其中，提供信息化共性服务的关键信息基础设施，是在经济社会运行中发挥重要支撑作用、提供人民生产生活不可或缺的算力资源供给、重要数据处理和基础网络通信等服务的关键信息基础设施，如云平台、数据中心、基础通信网络等；高度依赖信息化业务的关键信息基础设施，是具备高度信息化、自动化和网络化特点的关键信息基础设施，如监控系统、交易系统、控制系统等。

《办法》强调，关键信息基础设施边界确定基于信息流方式，将支撑关键业务的网络设施和信息系统的软硬件资产等识别出来，经过不可或缺性判定，理清功能、部署信息、业务关系等相关描述信息，并对同一软硬件资产等进行归集形成关键信息基础设施要素，由所有关键信息基础设施要素的集合形成关键信息基础设施边界。针对提供信息化共性服务的基础通信网络，由网元（在网络管理中最小设备或服务单元）、网络功能及其依赖的资源池识别软硬件资产。

《办法》强调，关键信息基础设施边界是由基本信息、要素信息以及识别时间组成，通常以文件形式描述。其中关键信息基础设施边界基本信息包括运营者信息、关键信息基础设施信息、数据资产信息、租用网络设施信息等；关键信息基础设施要素信息包括要素总计、对应关系、关键业务链、系统功能架构、网络拓扑、关键业务信息、关键业务信息流、要素清单等信息；识别时间是文件完成时间。

重要声明：本文来自freebuf，经授权转载，版权归原作者所有，不代表锐成观点，转载的目的在于传递更多知识和信息。