《网络安全篇》是《2023年国内外网络安全法规政策系列盘点》的第一篇。主要对涉及传统网络安全的法规政策进行专题梳理和点评。

从内容看，2023年度网络安全法规政策主要涵盖战略规划、关键基础设施保护、供应链安全、密码应用、行业监管机制、重点领域应用、人才资金保障等。

1. 中国证券监督管理委员会发布《证券期货业网络和信息安全管理办法》

http://www.csrc.gov.cn/csrc/c100028/c7202729/content.shtml

【绿盟观点】证券期货业的行业性质决定了其发展与网络、数据密不可分，其面临的网络安全挑战也更加突出和复杂。2012年以来，证监会相继发布了《证券期货业信息安全保障管理办法》《证券基金经营机构信息技术管理办法》等规范性文件，推进行业网络和信息安全治理体系建设。以此为基础，2022年4月，证监会发布了《证券期货业网络安全管理办法（征求意见稿）》（以下简称《征求意见稿》），面向社会公开征求意见。

相比《征求意见稿》，《办法》主要有3方面重要变化。一是拓展规范对象范围，规范对象由原来的“网络安全”调整为“网络和信息安全”；二是突出个人信息保护，将原来的“数据安全统筹管理”一章整体变更为“投资者个人信息保护”，相关内容也更加聚焦于核心机构和经营机构的个人信息保护义务；三是进一步明确细化相关规定，如细化了对于人员职责、运行标准、管理制度等方面的要求，增加了新业务模式安全的规定等等。

《办法》的发布，或将带来网络安全产业发展的新契机。一是在证券期货行业网络和信息安全方面，《办法》明确了监测预警、入侵检测和防御、态势感知等方面的建设需求，有助于促进网络安全咨询和评估、网络安全运维、网络安全事件响应等业务的发展。二是在证券期货行业个人信息保护方面，《办法》重点强调了个人信息保护相关的加密、脱敏、备份和恢复、审计监督等保护措施，无疑将带动与个人信息保护强相关的数据信息处理技术研发、数据信息审计溯源等业务发展。三是在关键信息基础设施安全保护方面，《办法》将《关键信息基础设施安全保护条例》的相关要求在证券期货行业落地，并具体化为关键信息基础设施分类分级保护、关键信息基础设施产品风险监测和评估检测、关键信息基础设施应急保障等，也有助于促进关键信息基础设施网络安全相关产品、方案和服务的发展。四是在行业网络安全基础方面，《办法》所明确的人才培育、资金投入、技术支持等保障举措，对于进一步优化网络安全人才实训、推进行业网络安全产业生态构建等，也会有较直接的促进。

2. 国家市场监管总局等四部门联合印发《关于开展网络安全服务认证工作的实施意见》

https://www.gov.cn/zhengce/zhengceku/2023-04/02/content_5749741.htm

【绿盟观点】此次《实施意见》对于进一步推动网络安全服务认证工作的体系化、规范化和有序化发展，对完善我国网络安全认证体系具有现实意义。一是立足解决当前网络安全服务机构面临的重复认证等问题，推动网络安全服务认证的一体化发展；二是推进完善、优化网络安全服务认证体系，明确提出建立“网络安全服务认证目录”、组建“网络安全服务认证技术委员会”等制度安排；三是实现政策间的衔接，例如《实施意见》将等级保护测评纳入认证目录，与此前发布的《检验机构能力认可准则在网络安全等级测评领域的应用说明》等制度设计保持一致。

对于网络安全行业而言，“网络安全服务认证目录”等制度值得持续关注。如新的网络安全服务认证涉及哪些服务类别？现有的网络安全服务认证资质在申请流程等方面是否有变化？都与业务开展密切相关。

3. 国家互联网信息办公室等五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》

http://www.cac.gov.cn/2023-04/17/c_1683373663312410.htm

【绿盟观点】按照此前发布的《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》，截至2023年4月，国家已公布了10批次、290种检测合格产品，且这些产品均为“网络关键设备”；而此次《公告》的发布，则意味着“网络安全专用产品”的统一检测认证工作即将启动实施。

《公告》对于开展“网络安全专用产品”统一检测认证工作，做出了“破旧”、“立新”两方面规定尤其值得关注。

在“破旧”方面。一是规定停止执行《关于调整信息安全产品强制性认证实施要求的公告》和《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》两个文件；二是规定停止颁发《计算机信息系统安全专用产品销售许可证》。不难看出，即将启动的“网络安全专用产品”统一检测认证，将对相关产品的适用范围、市场准入、应用场景、程序规则等做出重要调整，这无疑会对当前的网络安全专用产品市场产生切实而深远的影响。

在“立新”方面。一是明确了实施统一检测认证的主要标准依据为《信息安全技术 网络安全专用产品安全技术要求》（该标准为国家强制标准，于2023年7月1日正式生效）；二是明确了两个重要目录/名录，即《网络关键设备和网络安全专用产品目录》《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》。这些规定，在巩固统一检测认证基本管理模式的基础上，填补了标准依据空白，解决了“网络安全专用产品”统一检测认证工作亟需已久的检测依据问题。

统一检测认证事关产品资质，因此文件所提及的“一个标准”、“一个目录”、“一个名录”的具体内容、更新频率，以及后续将出台的相关检测认证规则、机构管理方式等等问题，则无疑会成为引导网络安全厂商乃至网络安全产业发展的重要风向标。

4. 交通运输部发布《公路水路关键信息基础设施安全保护管理办法》，为我国首个行业级关基保护专项规章

https://xxgk.mot.gov.cn/2020/jigou/fgs/202305/t20230506_3822075.html

【绿盟观点】2022年8月23日，交通运输部发布《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》，此次为正式颁行。

《管理办法》是首个行业级关键信息基础设施保护专项规章。此前，不同行业针对关基保护工作的法规依据，大多是融入到各自行业的网络安全整体法规中，如《医疗卫生机构网络安全管理办法》《电力行业网络安全管理办法》《证券期货业网络和信息安全管理办法》等。

《管理办法》于2023年6月1日起施行，或将为网络安全行业带来以下两大市场抓手。一是供应链安全市场，如公路水路领域监管侧网络资产梳理的市场机会，以及供应链安全监测预警能力建设市场机会，包括公路水路关键基础设施产品的网络安全风险检测支撑等。二是个人信息和数据安全市场，如公路水路关基系统个人信息和数据安全保护、数据跨境安全技术和产品方案，包括敏感数据发现与风险评估、数据脱敏、数据泄露防护、数据安全服务等。

5. 国务院印发《商用密码管理条例》，全面强化商密监管重要制度体系

http://www.gov.cn/zhengce/zhengceku/202305/content_6875928.htm

【绿盟观点】从内容对比来看，《条例》主要有3方面修订。一是优化商用密码监管方式，包括由原《条例》规定的全面严格管控，调整为以重点制度强化对关键环节的重点把控，管理方式由重事前审批转为加强事前事中事后的全周期监管；二是强化商用密码检测认证，以此严守产品服务的“入口关”，包括推进商用密码检测认证体系建设、明确商用密码检测和认证机构资质规范、对使用网络关键设备和网络安全专用产品的商用密码服务等实行强制性检测认证制度等；三是加强商用密码进出口管理，包括明确商用密码实施进出口管理的范围、对商用密码实行进口许可清单和出口管制清单管理等。

对网络安全行业来说，有三方面值得重点关注。一是密切关注商密相关重要资质管理规定，及时履行商用密码合规义务，及时梳理企业是否涉及相关商密产品的使用许可、是否涉及商密服务认证许可，以及是否需要开展商密应用安全性评估（即密评）；二是密切关注商密重要制度同现行网络安全相关制度的衔接，如商密检测认证与“网络关键设备和网络安全专用产品”制度的衔接变化、相关检测产品目录和检测机构目录的变化调整等等；三是加强商用密码技术、产品和方案研发，如安全认证网关、密钥管理系统、数字证书认证系统、可信计算密码支撑平台等，为或将到来的新一轮商密市场机会做好积极准备。

6. 国家密码管理局就《商用密码检测机构管理办法（征求意见稿）》和《商用密码应用安全性评估管理办法（征求意见稿）》公开征求意见

https://www.oscca.gov.cn/sca/hdjl/2023-06/09/content_1061072.shtml

【绿盟观点】两办法是落实《中华人民共和国密码法》和新修订的《商用密码管理条例》等上位法规定，对国家密码局2017年颁布的《商用密码应用安全性测评机构管理办法（试行）》和《商用密码应用安全性评估管理办法（试行）》进行的修订。

与此前版本相比，两办法内容修订主要体现在以下3方面。一是检测机构职责范围，主要为《机构办法》由“应用安全性测评”改为“检测”，体现了对原有相互独立的商密检测机构、密评测评机构进行统一管理的新模式，是对《商密条例》相关规定的细化落实。二是监管职级调整，此前规定省级主管部门的部分权责下放至县一级，并进一步明确了相关监管职责。三是管理流程优化，《机构办法》明确对商用密码检测机构实行资质证书管理，并对资质的申请流程做出细化；《评估办法》将商用密码应用安全性评估的方式，由委托测评机构开展评估调整为自行或委托商用密码检测机构进行评估，并明确要求评估不通过的系统不得投入运行。

7. 工业和信息化部印发《工业互联网专项工作组2023年工作计划》，提升工业互联网安全防护水平

https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2023/art_747f4c19cd484676aa3f7583e25bb57a.html

【绿盟观点】《2023年工作计划》是《工业互联网创新发展行动计划（2021-2023年）》的第3个年度任务安排。

对比三个年度任务安排，我们大致可以学习理解国家对工业互联网安全管理政策的基本发展脉络。一是在政策体系层面，经历了由分级分类向外围相关政策发展的过程，呈现出“建制、试点验证、扩展”的脉络特征；二是在防护对象层面，防护重点经历了由国家到地方再到企业的发展过程，呈现出防护对象日渐具体细化的脉络特征；三是在监测管理层面，经历了由建立健全平台功能到逐步完善覆盖对象范围的发展过程，呈现出从监测平台入手逐步健全监测范围的发展脉络。

《2023年工作计划》的发布，标志着三年行动计划进入收官阶段。后续在工业互联网安全管理方面如何布局？无疑成为各界普遍关注的焦点问题。从2023年度工作任务的部署来看，数据安全或将成为工业互联网安全在三年行动计划任务完成后新的重要领域之一。另外，如何推动工业互联网安全市场的快速提升、并形成规模，也是需要重点关注的潜在方向之一。

8. 国家金融监督管理总局发布《关于加强第三方合作中网络和数据安全管理的通知》，加强金融行业供应链安全管理

https://m.21jingji.com/article/20230628/herald/4dba73ab5c2b7cb445bd00e697548a82.html

【绿盟观点】《通知》是金融监管总局挂牌以来发布的首个网络安全管理文件，突出强化了对金融保险行业信息技术供应链的安全管理要求。

近年来，金融保险业因其业务范围广、数据处理量大等特殊性，往往成为供应链攻击的重灾区。《通知》在强化供应链安全管理要求的同时，还重点对两方面风险进行了通报：一是企业微信服务风险，包括不当存储敏感个人数据、私自利用存档数据进行模型训练等；二是科技外包风险，包括越权访问漏洞、私自使用邮件代理工具被攻击等。

目前，我国在信息技术供应链安全方面的专项政策法规尚未出台。从国家和行业监管需求来讲，亟待建立健全有关政策制度和标准规范，以指导和规范提升重点行业信息技术供应链的保障能力和水平。从实践层面来看，建立健全信息技术供应链安全的监测预警能力，或是强化信息技术供应链安全的基础性制度之一，包括供应商资质和风险行为监测、关键基础设施产品脆弱性监测、开源技术脆弱性监测等重要内容。

9. 国家互联网信息办公室等四部门联合印发《关于调整<网络关键设备和网络安全专用产品目录>的公告》，明确网络安全专用产品范围

http://www.cac.gov.cn/2023-07/03/c_1690034742530280.htm

【绿盟观点】为落实《网络安全法》提出的“国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测”等要求，国家网信办会同有关部门出台《网络关键设备和网络安全专用产品目录（第一批）》（以下简称《第一批目录》）等文件，并发布《关于调整网络安全专用产品安全管理有关事项的公告》（以下简称《公告》），明确提出将“统一公布和更新符合要求的网络关键设备和网络安全专用产品清单”。本次发布的《产品目录》进一步落实了《公告》的有关规定，为后续政策制度的更新提供了基础。

与《第一批目录》相比，新版《产品目录》主要对“网络安全专用产品”进行了全面更新，以保持与新生效国家标准《信息安全技术 网络安全专用产品安全技术要求》（GB 42250-2022）相一致。如新增23项专用产品，并增加了供应链安全、密码要求、标识和鉴别等产品类别等。

对网络安全行业来说，有两点值得重点关注。第一，《产品目录》的更新事关网络产品的市场准入，根据此前发布的《公告》，现行《计算机信息系统安全专用产品销售许可证》后续停发，新产品的市场准入，将极有可能统一纳入专用产品认证体系中。第二，网络安全产品相关制度的衔接，《产品目录》的出台，会带动有关管理制度的联动调整，如与商密检测、网络安全审查等的衔接等。

10. 习近平总书记对网络安全和信息化工作作出重要指示，对网络安全产业发展意义重大

http://www.cac.gov.cn/2023-07/15/c_1691074006592801.htm

【绿盟观点】总书记的重要指示，进一步强调和明确了网络安全行业的发展思路、发展模式和发展方向，对于指导网络安全产业实现高质量发展具有重大理论和实践意义。

在发展思路方面，就是要“坚持统筹发展和安全”，确立以“总体国家安全观”为引领的网络安全企业发展思路。要求网络安全企业胸怀“国之大者”，牢固树立全局意识，从国家网络安全的整体和大局出发，以扎实的研发、过硬的产品为国家网络安全事业持续贡献力量。

在发展模式方面，就是要“构建大网络安全工作格局”，建设开放协同的网络安全企业发展模式。要求参与网络安全的各类型主体不仅要找准定位，更要强化开放、强化协同。作为企业而言立足技术研发创新，并持续探索促进技术研究与科研成果转化之间的高效链接，同高校、研究机构和地方建立深度联合攻关和产业化协同。

在发展方向上，就是要“坚持筑牢国家网络安全屏障”，以持续创新全面提升网络安全服务供给能力。要求企业牢牢把握需求导向，结合网信领域的新发展、新应用，不断拓展着网络安全保障的内涵和外延，强化技术攻关、优化产品和服务体系，注重提升服务质量、创新服务模式。

11. 工信部、国家金融监管总局联合印发《关于促进网络安全保险规范健康发展的意见》，推动网络安全保险行业健康有序发展

https://www.miit.gov.cn/zwgk/zcwj/wjfb/yj/art/2023/art_0cc1cefdb4e74a169e0a98649c427153.html

【绿盟观点】《意见》作为我国网络安全保险领域的首份政策文件，初步回答了网络安全保险发展中的“是什么”和“怎么做”的问题，无论对于促进网络安全保险行业自身规范发展，还是对于提升网络安全行业的整体发展效率和质量，都具有开创性的意义。

《意见》对内建章立制，明确网络安全保险行业的内涵和机制。明确了网络安全保险的基本界定和产业意义；明确了网络安全保险的基本产品门类；划定了网络安全保险的政策框架和标准体系。

《意见》对外整合资源，明确网络安全保险行业的建设发展模式。一是引导技术赋能，包括网络安全风险评估技术和网络安全风险监测技术；二是强化市场培育，包括行业级市场和企业级市场；三是注重生态发展，包括塑造生态链关键主体和培育生态链关键机制等。

对网络安全行业来说，《意见》的发布，无疑将为网络安全产业发展带来新机遇。一是为网络安全企业提供一种新的抗风险方案。按照《意见》的制度设计，网络安全保险将逐步健全覆盖技术开发和创新风险，以风险转移和社会化的方式，有助于拓展企业的抵御风险机制。二是为网络安全企业提供新的市场机遇。网络安全保险模型开发、风险评估工具开发、风险评估服务技术支撑等，都是网络安全产业较为直接的市场驱动因素。此外，由网络安全保险政策标准制订、生态机制建设等带来的衍生类市场需求，如咨询规划、方案设计等服务，也会带来一定规模的市场驱动力。

12. 工业和信息化部发布《关于开展移动互联网应用程序备案工作的通知》

https://ythxxfb.miit.gov.cn/ythzxfwpt/hlwmh/tzgg/bayw/txxyghjsglxxxt/art/2023/art_133f415075024d7c96eaf060cb7e0be4.html

【绿盟观点】APP备案是移动互联网监督管理的一项重要制度，其意义堪称移动互联网领域的“网站备案”。该监管机制源于《中华人民共和国反电信网络诈骗法》第二十三条“设立移动互联网应用程序应当按照国家有关规定向电信主管部门办理许可或者备案手续”。

本次《通知》进一步细化了移动互联网应用程序备案制度要求。除了申请备案需提交相关资料外，《通知》尤其开宗明义地明确了“未履行备案手续的，不得从事APP互联网信息服务”。可见，对“APP主办者”而言，备案是开展从业的“必备动作”。同时，从《通知》的立法依据来看，《互联网信息服务管理办法》（国务院令第292号）也将是实施备案工作的重要操作准则之一。

对网络安全行业来说，有两点需要重点关注。一是备案实施工作中的能力匹配和保障，如支撑相关备案实施机构强化数据安全监测和防护、开展相关突发事件的应急处置等。二是密切关注相关法规的修订衔接，《互联网信息服务管理办法》（国务院令第292号）距上次修订已近十年，此间已有多部有关移动互联网监管的法规和政策文件发布，如《移动互联网应用程序信息服务管理规定》等等。

13. 国家认证认可委员会发布《关于修订<网络关键设备和网络安全专用产品安全认证实施规则>的公告》，相关安全认证工作迎来重大更新

https://www.cnca.gov.cn/zwxx/gg/2023/art/2023/art_ef3bb2fec17b44929aae94f807bbf2cf.html

【绿盟观点】此前，国家网信办已会同有关部门先后发布了《关于调整网络安全专用产品安全管理有关事项的公告》《网络关键设备和网络安全专用产品目录》等政策文件，分别就检测认证工作机制衔接、产品范围等问题做出专门规定。本次《公告》的发布，对实施规则进行了明确，又朝着优化并推进认证工作迈出了坚实一步，也为后续认证工作的实际落地奠定了基础。

与2018版《实施规则》相比，新版《实施规则》在认证模式、认证流程、认证时限等方面进行了全面更新。如认证模式减少“工厂检查”环节，变为“型式试验+获证后监督”；认证流程将“认证申请及受理、文档审核”等简化为“认证委托”程序；认证时限由90个工作日缩短为60天等。此外，该规则还要求认证机构编制认证实施细则，包括细化监督频次、评价内容及评价方式等方面。

14. 中央网信办发布《云计算服务安全评估专业技术机构》，持续完善云计算服务安全评估机制

http://www.cac.gov.cn/2023-09/25/c_1697301645483790.htm

【绿盟观点】早在2019年7月，国家互联网信息办公室、工业和信息化部等四部门联合印发了《云计算服务安全评估办法》，旨在“提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平”。

云计算服务安全评估由国家市场监管总局下属的中国网络安全审查技术与认证中心（CCRA）牵头组织开展，此次专业技术机构新增4家，总数共8家。截止到2023年7月底，通过云计算服务安全评估的云平台已有70余家。

15. 全国信息安全标准化技术委员会发布《信息安全技术 网络安全保险应用指南》（征求意见稿），推进网络安全保险规范化

https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230913143935&norm_id=20221102152348&recode_id=53044&from=industrynews

【绿盟观点】近年来，我国积极探索网络安全保险管理体制建设，出台了相关政策文件。早在2021年7月，工信部《网络安全产业高质量发展三年行动计划（2021-2023年）》（征求意见稿）中明确提出，要“探索开展网络安全保险，开展网络安全保险服务试点，加快网络安全保险政策引导和标准制定”；2023年7月，工信部、国家金融监管总局又联合印发《关于促进网络安全保险规范健康发展的意见》，提出了网络安全保险标准体系的基本构成，包括：网络安全保险行业术语规范、风险量化评估标准、监测管理服务标准、理赔实施标准等。

《征求意见稿》是网络安全保险领域的首个国家标准（稿），主要从风险管理角度描述了网络安全保险中各方的主要行为、网络安全保险的基本流程等。勾画了推进网络安全保险落地实施的基本操作依据。而对于网络安全保险中的风险量化、检测管理、理赔实施等重点内容，或将成为网络安全保险标准领域未来关注的核心问题。

16. 工业和信息化部发布《工业互联网安全分类分级管理办法（公开征求意见稿）》

https://www.miit.gov.cn/gzcy/yjzj/art/2023/art_cce18e45a43f4cf6818f0b98ee39c2b4.html

【绿盟观点】工业互联网是制造强国和网络强国两大战略的衔接点。近年来，国家相继开展了工业控制系统信息安全防护、工业互联网+安全、工业互联网安全深度行等一系列专项行动，持续加强工业互联网安全。

分类分级管理制度是实践形成的工业互联网安全基础制度之一，本次《征求意见稿》的发布无疑是对我国工业互联网安全管理实践工作的阶段性总结提升。《征求意见稿》重点明确了工业互联网安全分级分类的基本界定、监管机制、配套保障等内容。另一方面，从《征求意见稿》目前内容体系可以发现，其管理范围又不仅局限于分类分级，还涵盖了工业互联网安全的其他制度，如监测、应急、评估等，后续如何协调工业互联网分级分类制度与工业互联网安全的其他制度之间的关系，是值得业界深入探讨的重要课题。

17. 公安部发布《电信网络诈骗及其关联违法犯罪联合惩戒办法（征求意见稿）》

https://www.mps.gov.cn/n2254536/n4904355/c9288546/content.html

【绿盟观点】《征求意见稿》旨在落实《反电信网络诈骗法》“由国务院公安部门会同有关主管部门规定联合惩戒的具体办法”的规定，其内容呈现出三方面特点。一是强化关键点管控，突出体现为“三张（个）卡或账户”、“三次违法行为”“三个交易对象”等重点环节和行为的管控。二是突出惩戒措施的整体性，即全面推进涵盖金融、电信网络、信用三方面的综合惩戒体系。三是强调过惩相当原则，在综合运用相关惩戒措施的同时，保留了惩戒对象基本的金融、通信服务，充分体现了惩戒的适度性。作为《反电信网络诈骗法》正式施行后的首个配套性实施政策（草案），《征求意见稿》无疑将会对预防、遏制和惩戒电信网络诈骗违法犯罪提供新的综合治理思路。

18. 多部门持续强化涉电信网络诈骗专项整治

https://www.spp.gov.cn/xwfbh/wsfbt/202311/t20231130_635181.shtml?from=industrynews#1

https://app.mps.gov.cn/asop/login.asop

https://www.miit.gov.cn/jgsj/waj/gzdt/art/2023/art_eff87105d3b7463293b999f6e49491c8.html

【绿盟观点】截至2023年12月，《中华人民共和国反电信网络诈骗法》实施满一周年，多部门展开反电信网络诈骗相关总结工作。最高人民检察院、公安部等重点从法律监督和打击犯罪角度推进相关工作，而工业和信息化部作为行政机关，则更加侧重于行业准入监管，如开展电信和互联网行业反电诈法宣贯培训等。对网络安全行业而言，可重点关注电信诈骗黑产整治、电信网络诈骗技术防护能力等业务机会，合规依据主要有《电信业务涉诈风险安全评估要求》（行业标准，标准号YD/T 0723—2022）等。

19. 国家互联网信息办公室发布《网络安全事件报告管理办法（征求意见稿）》

http://www.cac.gov.cn/2023-12/08/c_1703609634347501.htm

【绿盟观点】长期以来，各类网络安全法律、法规大多都会规定监管对象的网络安全事件报告义务，但管理机制、上报内容都存在不尽一致的情况，对贯彻落实造成一定困扰。可见，除了提高网络安全事件应对效率之外，加强对网络安全报告工作的统筹管理，或许也是《征求意见稿》的重要立法目的之一。《征求意见稿》主要明确了网络安全事件报告的四个关键问题，即“谁该报告、报告给谁、报告什么、何时报告”，并以附件形式提出了《网络安全事件分级指南》作为重要操作依据。《征求意见稿》的相关规定对网络安全供应商而言，既是责任也是拓展市场的机会，尤其是网络安全威胁情报监测、事件应急响应和处置等方面。

20. 中央经济工作会议在北京举行

https://www.miit.gov.cn/xwdt/szyw/art/2023/art_5fc8189b9540403482b37ca018fbe4d6.html

【绿盟观点】会议的主旨是部署2024年经济发展总体任务和要求，与2022年经济工作会议相比，“新质生产力”、“先立后破”等为新提法，且增加了区域协调、绿色低碳、民生等三项工作重点。

对于网络安全的关联可以从三个方面予以理解。一是在统筹重大关系层面，强调安全和发展的协同，“必须坚持高质量发展和高水平安全良性互动”，强调发展为安全赋能、安全为发展护航，而不是片面强调安全。二是重视产业链安全，尤其强调在现代化产业体系建设过程中，提升产业链供应链韧性和安全水平。三是重视数据安全，将解决数据跨境流动作为提高对外开放水平的一项重要工作。这些都是网络安全行业发展的重要风向标。

1. 《关于在欧盟全境实现高度统一网络安全措施的指令》正式生效

https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32022L2555&qid=1672747885309&from=EN

【绿盟观点】为应对数字化发展带来的网络安全威胁，欧盟于2016年7月通过关于网络安全的第一部综合性立法——《网络和信息系统安全指令》（《NIS指令》），旨在欧盟范围内实现统一、高水平的网络和信息系统安全，为提升欧盟成员国网络安全水平发挥了指引作用。本次发布的《指令》在《NIS指令》的基础上，扩大了被约束对象的范围，增至包括公共电子通信网络和服务、数据中心服务、医疗卫生和关键产品制造等关键部门与实体。同时该指令还是“欧盟数字战略”的重要组成部分。

2. 美国CISA宣布联合网络防御协作组织的2023年规划议程

https://www.cisa.gov/blog/2023/01/26/jcdc-focused-persistent-collaboration-and-staying-ahead-cyber-risk-2023

【绿盟观点】JCDC由CISA及其合作伙伴在2021年成立，旨在落实《2021年国防授权法案》中“增加和扩大公共和私营部门人员对联邦网络防御和安全工作的参与和整合”等相关规定。JCDC的核心职能包括制定网络防御行动计划、推动公私部门协作与信息共享以及制定网络防御指南等，其主要成员包括政府组织、服务提供商、基础设施运营商和网络安全公司等。本次发布的《议程》是该组织制定的首份规划文件，对于促进美国在网络安全领域的合作与健全美国政府部门信息共享机制具有里程碑意义。

3. 美国白宫发布《国家网络安全战略》，完善网络安全施政纲领

https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/

【绿盟观点】2023版《战略》体现出以下4方面特点。第一，2023版《战略》是美国承前启后推进网络安全战略思路的重要一环，完善了美国网络安全治理体系；第二，持续强化重点领域战略投资举措，重点强调“投资和建设未来的数字生态系统”；第三，以联合手段逐步增强网络安全联盟生态；第四，优化网络安全监管原则、压实企业主体责任。

2023版《战略》提出的建设内容反映了拜登政府下一步网络安全治理思路。一是进一步强化“以攻为守”的网络安全策略，后续或将对美国网络安全的监管方式、合作路径等方面产生影响；二是带动网络安全市场发展，如零信任、量子计算等相关技术和信息基础设施、半导体供应链等应用场景；三是对产业、外交等领域的溢出效应将持续显现，影响网络空间生态、地域联盟等的发展。

4. 美国NIST发布《对联邦漏洞披露指南的建议》，推进漏洞披露体系化建设

https://csrc.nist.gov/publications/detail/sp/800-216/final

【绿盟观点】《建议指南》旨在落实《2020年提升物联网网络安全法案》（IoT Cybersecurity Improvement Act of 2020）第5章的要求，由NIST制定“与信息系统（包括物联网设备）相关的安全漏洞的披露流程指南”，以帮助美国联邦政府机构建立标准化的漏洞披露流程。

美国此次发布的《建议指南》，有两个特点。一是以“框架”的模式，推动加强网络产品和系统漏洞相关标准的体系化发展，提升标准间的衔接与协同；二是以指南建议的方式，加强对网络产品和系统漏洞的披露规范化，推进不同部门、行业间相关漏洞披露机制、披露信息的权威性、准确性和及时性。

5. 美国白宫发布《国家网络安全战略实施计划》，细化网络安全战略目标“路线图”

https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/13/fact-sheet-biden-harrisadministration-publishes-thenational-cybersecurity-strategyimplementation-plan/

【绿盟观点】《国家网络安全战略实施计划》是ONCD发布的首份《实施计划》，该计划将根据网络威胁形势的变化完善对应举措，并以年度为单位进行更新。

《实施计划》有三个特点。一是强调具体举措的可操作性，包括划定相关部门具体时间表，为每项举措明确规定了负责机构、参与实体和截止日期等。二是注重修复和强化网络安全联盟生态，加强对合作与联合的回归和强化。三是突出网络安全监管中的企业主体责任，强化软件产品和服务提供商的网络安全保护义务。

总体来看，本次《实施计划》对网络安全发展或将产生以下影响。一是强化争夺技术标准国际话语权，《实施计划》明确提出“要根据《关键和新兴技术的国家标准战略》加强美国联邦机构对国际网络安全标准化进程的参与”。二是带动网络安全技术和应用的市场发展。《实施计划》提出的零信任、量子计算等相关技术和应用场景，对其国内乃至国外网络安全相关的市场发展都会起到重要的风向标作用。三是对产业、外交等领域的溢出效应将持续显现。

6. 美国白宫发布《国家网络人才和教育战略》，加强网络安全人才培养

https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/31/fact-sheet-biden-%e2%81%a0harris-administration-announces-national-cyber-workforce-and-education-strategy-unleashing-americas-cyber-talent/

【绿盟观点】近年来，美国政府高度重视网络人才建设，出台一系列政策法规促进网络人才培养，如《加强联邦网络安全人才战略》（Strengthening the Federal Cybersecurity Workforce）（奥巴马政府）、《美国网络安全人才行政令》（Executive Order on America’s Cybersecurity Workforce）（特朗普政府）、《2021年联邦网络人才轮岗计划法案》（Federal Rotational Cyber Workforce Program Act of 2021）（拜登政府）等。本次发布的《国家网络人才和教育战略》不仅落实了美国《国家网络安全战略》和《国家网络安全战略实施计划》中提出的“制定国家战略以加强美国网络人才”的相关要求，而且还体现了美国在网络人才培养方面的综合方法，后续或将对其他国家在该领域的政策出台起到一定示范作用。

7. 美国网络安全和基础设施安全局发布《为供水公司提供免费的网络漏洞扫描》情况说明书，加强供水关键基础设施信息安全

https://www.cisa.gov/resources-tools/resources/cisas-free-cyber-vulnerability-scanning-water-utilities

【绿盟观点】供水系统事关民众基本生活，近年来针对城市供水系统的网络攻击日益增加，如以色列中部供水设施遭遇国家级黑客组织网络攻击、美国佛罗里达州自来水厂系统遭黑客入侵等。美国政府此前开展一系列监管行动审查供水行业网络安全，如针对水和废水部门的百日行动计划、环境保护署提高公共供水系统的网络安全弹性专项行动、NIST提出《确保水和污水公共服务的安全：水和污水系统部门的网络安全》草案等。

“水及污水处理系统”是美国政府认定的16类关键基础设施部门之一（奥巴马总统行政令PPD-21，2013）。在水及污水处理网络系统中推行免费漏洞扫描服务，是美国加强水及污水处理系统关键基础设施安全的一项重要举措。

8. 美国国防部发布《2023年国防部网络战略》摘要

https://www.defense.gov/News/Releases/Release/Article/3523199/dod-releases-2023-cyber-strategy-summary/

【绿盟观点】美国于2011年发布了首份《国防部网络空间行动战略》（Department of Defense Strategy for Operating in Cyberspace），此后又发布了《2015年国防部网络战略》《2018年国防部网络战略》。《2023战略》贯彻了美国网络安全战略的“综合威慑、国际合作、投资引领”等指导思想，并对美国国防领域的具体网络行动进行了明确，如开展前出防御（Defend Forward）、前出狩猎（Hunt Forward）等。

美国防部每年发布的网络战略可以视为其网络空间军事化发展的一个风向标。从中，不仅可以观察美军的网络武器储备、网络攻防技术研发等领域的大致情况，也能对其发展目标、战略布局、重点工作和举措等有一个大概的了解。

9. 美国网络安全和基础设施安全局发布《CISA开源软件安全路线图》

https://www.cisa.gov/resources-tools/resources/cisa-open-source-software-security-roadmap

【绿盟观点】开源软件是美国网络安全监管的重点领域之一。开源软件安全风险主要来自两方面。一方面，开源软件自身的安全风险，会直接威胁基于其建立的各类信息系统，此类典型事件如Log4j2事件。另一方面，对开源软件供应链的攻击，会威胁开源软件上、下游多个环节，此类典型事件如太阳风（SolarWinds）事件等。美国政府对此开展了一系列行动，包括召开开源软件安全峰会、发布《关于开源软件安全和内存安全编程语言的征求意见》、发布《提高运营技术和工业控制系统中开源软件的安全性》政策文件等。

10. 美国网络安全和基础设施安全局宣布修订《国家网络事件响应计划》

https://www.cisa.gov/news-events/news/cisa-announces-effort-revise-national-cyber-incident-response-plan

【绿盟观点】《响应计划》是白宫此前发布的《2023年国家网络安全战略实施计划》所明确的一项重要任务，也是美国CISA的联合网络防御协作组织（JCDC）2023年规划议程中的优先事项之一。根据CISA公布的情况说明书，新版《响应计划》将于2023年12月开始撰写，然后向公众开放以征求意见,并将于2024年底之前获得批准和发布。

11. 美国网络安全和基础设施安全局与韩国国家情报院签署《关于加强防御网络威胁合作的谅解备忘录》

https://www.cisa.gov/news-events/news/cisa-signs-memorandum-understanding-republic-korea-share-cyber-threat-information-and-cybersecurity

【绿盟观点】近年来，美国与韩国持续加强网络安全领域合作。顶层设计方面，美韩两国元首曾于2023年4月签署新的双边《网络安全框架》（以下简称《框架》）；组织架构方面，CISA和NIS于2023年6月成立关键基础设施框架行动小组。此次《备忘录》强调了《框架》中概述的两国合作领域，如加强联合演习、专家交流、人才培养，以分享网络和基础设施领域最佳实践等。开展同盟合作是美国网络安全战略规划的重要举措之一，除签署备忘录外，CISA还通过发布联合网络安全咨询、漏洞/恶意软件分析报告等方式加强与国际伙伴网络安全合作。

12. 拜登宣布采取30余项新行动以加强美国的供应链

https://www.whitehouse.gov/briefing-room/statements-releases/2023/11/27/fact-sheet-president-biden-announces-new-actions-to-strengthen-americas-supply-chains-lower-costs-for-families-and-secure-key-sectors/

【绿盟观点】长期以来，美国政府高度关注关键部门供应链安全。拜登政府执政期间发布多项供应链政策文件，如《美国供应链行政令》（第14017号）、《利用安全的软件开发实践增强软件供应链的安全性》备忘录、《2022年芯片和科学法案》《网络安全供应链风险管理指南》（NIST）等。本次发布的一揽子供应链行动计划，不仅是对未来相关部门的工作部署，也是对拜登执政期间供应链工作的总结。行动虽没有特别针对信息技术供应链制定规则，但在网络安全方面宣布成立新的机构、并推动关键跨境供应链安全演习，也突出反映了美国近期重点关注的供应链网络安全领域，如港口、跨境以及半导体供应链等方面。

13. 欧洲议会审议通过《网络团结法案》提案

https://www.europarl.europa.eu/news/en/press-room/20231204IPR15645/cybersecurity-meps-back-plans-to-increase-cooperation-against-threats

【绿盟观点】《网络团结法案》将进一步完善欧盟网络安全法律体系，对提升欧盟应对网络威胁能力具有重要意义。从本提案可以看出欧盟在对待网络安全方面的几个基本主张和态度。一是注重技术防御，从欧盟安全运营中心（SOC）的设置和运营模式不难发现，欧盟在网络安全防护体系建设中，较强调先进技术在网络安全中的融合应用，如人工智能等。二是重视中小企业网络防御，这些企业设施由于缺乏财政资源往往更容易受到网络攻击，属于国家网络安全防御的薄弱环节。三是看重公私合作，这一点也可体现在创建欧盟网络安全后备军、强化网络安全应急机制等方面。四是开展集体防御，这可以视为欧洲集体防御政策在网络安全领域的延伸，以夯实成员国之间的协同，促进欧洲的区域网络安全防护体系不断走向健全。

14. 美国联邦调查局发布《关于投资者要求延迟报告重大网络安全事件程序的指南》

https://www.fbi.gov/investigate/cyber/fbi-guidance-to-victims-of-cyber-incidents-on-sec-reporting-requirements-fbi-policy-notice-summary

【绿盟观点】美国证券交易的强制公开披露制度，是根据美国证券交易委员会（SEC）的规定，上市公司必须定期向公众披露财务信息、业务运营情况、风险因素和其他重要信息的制度。这些披露文件包括年度报告（Form 10-K）、季度报告（Form 10-Q）、重大事件报告（Form 8-K）等。这些披露文件的目的是保护投资者，让他们能够获得充分的信息。此次《指南》则是旨在为重大网络安全事件的报告披露设定了时限的延迟和例外。

15. 美国众议院通过《2024财年国防授权法案》

https://www.armed-services.senate.gov/press-releases/reed-wicker-praise-senate-passage-of-the-fy-2024-national-defense-authorization-act

【绿盟观点】法案此前已经由参议院投票通过，此后将提交总统签署并正式生效。总预算8860亿美元，较2023年增长了280亿美元，增幅约3%。据初步统计，其中网络安全预算约14.5亿美元，比2023年增长14%。可见，美国网络安全国防预算的增速远高于国防预算整体增速。根据法案，2024年美国网络安全国防主要支出领域包括：网络安全风险和态势感知、信息技术和数据管理、网络战能力、人工智能等。可见，在网络安全投入方面的增长速度远高于国防预算整体增速，反映了美国大力加强国防网络安全的趋势。

《数据安全篇》是《2023年国内外网络安全法规政策系列盘点》的第二篇。主要对涉及数据安全的法规政策进行专题梳理和点评。

从内容看，2023年度数据安全法规政策主要涵盖数据安全产业规划、战略衔接、数据跨境安全、行业数据安全监管、数据基础制度、数据安全共享机制等。

1. 工业和信息化部、国家互联网信息办公室等十六部门联合印发《关于促进数据安全产业发展的指导意见》

http://www.cac.gov.cn/2023-01/14/c_1675346873856103.htm

【绿盟观点】《指导意见》的出台，正值“数据二十条”的发布契机，是我国数据安全政策法规体系的重要组成部分，是加速落实完善数据安全产业体系和能力的重大政策举措。不仅进一步丰富了数据安全产业的基础理论，更明确了数据安全产业的体系和要素，必将为数据安全供给侧的企业发展赋予强大动能。

归纳来看，《指导意见》重点从“怎么看”和“怎么干”两大关键视角，回答了数据安全产业发展的四个基本问题：产业界定、产业目标、产业体系、发展要素，并对如何构建数据安全产业体系和能力，作出了部署。

对行业来说，可重点关注三方面。一是强化产品创新，结合《指导意见》明确的创新需求，重点围绕新计算模式、新网络架构和新应用场景等数据安全需求加强创新，持续完善行业数据安全技术产品体系。二是强化服务创新，结合《指导意见》提出的数据安全服务需求，重点强化规划咨询、建设运维、检测评估与认证、权益保护、违约鉴定等服务。三是强化基础要素保障，拓展行业现有产学研用合作攻关平台建设、加大数据安全实战人才培养和选拔等。

2. 中共中央 国务院印发《数字中国建设整体布局规划》

http://www.cac.gov.cn/2023-02/27/c_1679136694986243.htm

【绿盟观点】《规划》的发布，可以带来四个方面的突破引领。一是以体系化完善发展格局，《规划》通过擘画“2522”的框架，及面向体系化、生态化的设计，助力我国网络和数据安全产业扩大规模。二是以务实性拓展应用需求，《规划》将重点应用领域同在建或将要建设的大工程、大平台相衔接，无疑将有助于启发和扩展网络数据安全应用的增量市场。三是以内生性明确供给方向，《规划》提出技术自立、安全可控的要求，会成为引领和拓展市场增长的重要突破口。四是以重点化强化机制保障，《规划》通过具体化机构、资金等保障措施，以及强化对“党政领导干部和公务员”的考核与技能要求等，将拓宽网络和数据安全市场的发展维度。

3. 国家互联网信息办公室等五部门联合发布《关于规范货币经纪公司数据服务有关事项的通知》，强化金融领域数据安全治理

http://www.cbirc.gov.cn/cn/view/pages/governmentDetail.html?docId=1124968&itemId=861&generaltype=1

【绿盟观点】货币经纪公司因其业务属性，决定了会涉及大量金融原始数据、以及相关数据的跨境流动，由此会带来相应的数据安全潜在风险。本次《通知》由多部门联合发布，也凸显了金融数据安全问题的复杂性和高关注度。

《通知》明确了货币经纪公司应当履行的数据安全保护义务，包括管理和依据两个方面。在管理方面，重点是建立健全数据治理机制确保数据安全、强化协议管理；在依据方面，明确了提供数据标准和数据服务机构名单两类准则依据。

《通知》或将产生两方面影响。一是，将在一定程度上促进货币经纪公司提高对数据安全落地的自觉性，主动构建和完善自身数据安全防护体系。对此，数据安全企业可重点关注数据安全合规建设、信息系统风险管理等业务机会。二是，由于货币经纪公司多涉及数据跨境传输，因此，面向货币经纪公司的专业化数据出境安全服务，如数据出境安全自评估咨询、出境数据资产审计等也有机会迎来一波新的发展。

4. 中国资产评估协会发布《数据资产评估指导意见》，健全数据资产评估规则体系

http://www.cas.org.cn/ggl/427dfd5fec684686bc25f9802f0e7188.htm

【绿盟观点】《数据资产评估指导意见（审议稿）》于2022年起草，此前中国资产评估协会在2019年还发布了《资产评估专家指引第9号——数据资产评估》，作为探索数据资产评估管理的系列动作。均与落实中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》要求密切相关。

《指导意见》明确了数据资产的定义，即“指特定主体合法拥有或者控制的，能进行货币计量的，且能带来直接或者间接经济利益的数据资源”；提出了数据资产的三大属性、四大因素和五大特征，以及数据要素价值计量的基本解决方案。为数据资产评估提供了重要的操作指导。

当前在国家标准层面，数据资产评估尚处空白，《指导意见》作为资产评估行业的操作守则，对从业机构具有较强的约束力，无疑会成为该领域后续国家标准起草工作的重要参考。当然，如何保障评估过程中相关数据信息的安全、合规，也是评估标准需要考量的重要内容。尤其是如何运用技术手段实现受评估数据资产的安全保障等，也是网络安全行业需要重点关注的方向之一。

5. 国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》，优化完善数据跨境流动管理制度

http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm

【绿盟观点】数据的跨境流动，向来是数据安全和个人信息安全监管的核心领域之一。对此，国家互联网信息办曾先后出台实施了《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《个人信息出境标准合同备案指南（第一版）》等相关规章和规范性文件。

从本次《征求意见稿》内容来看，其主要是进一步明确“数据出境安全评估”制度的申报范围，对某些无需申报的情形作出规定（第1-6条）；同时，对特定地区、部门的数据出境法规依据进行明确。此外，进一步明确了“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”，并将出境个人信息数量统计的时间范围从“自上年1月1日起累计”调整为“一年内”。

《征求意见稿》是在此前数据跨境相关制度实施一段时间后提出的，具有对监管实践的阶段总结和反馈的属性，一定程度上体现了减轻相关方面数据安全合规工作负担的宗旨。对于网络安全行业，有两方面需要重点关注：一是密切关注数据跨境流动的市场机会，研发适用于数据跨境流动场景的技术、产品和解决方案；二是持续强化自身数据资产的梳理监测，切实加强对相关数据跨境情形的合规管理。

6. 工业和信息化部发布《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e11152265eba4c9c9876a20c63715a1a.html

【绿盟观点】《实施细则》细化了《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》）关于数据安全风险评估的相关要求，标志着工信领域数据安全风险评估制度距离真正实施又进一步。

《实施细则》明确了“谁评估”、“评估谁”、“谁监管”三个核心问题。一是风险评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动。二是评估工作的主要承担者为第三方评估机构。三是监管主体为部、省两级行业监管部门，包括工业和信息化部、省级工信主管部门、省级通信管理局、省级无线电管理机构、中央企业等五类管理机构。

此外，工信数据安全风险评估工作涉及面较广，很多具体规定或有待结合实际操作进一步优化完善，如：是否需要明确认证机构范围或实行目录管理等。《实施细则》初步展现了工信数据安全风险评估制度的全貌，对于业界学习理解制度要求、预判自身数据评估工作需求、以及提前部署自身评估工作安排等，都具有重要指导意义。

7. 国家发展改革委、国家数据局召开健全公共数据价格形成机制座谈会

https://www.ndrc.gov.cn/fzggw/jgsj/jgs/sjdt/202311/t20231109_1361868.html

【绿盟观点】近期，随着国家数据局正式挂牌，我国数据管理工作加速推进。座谈会的召开，更反映了数据要素尤其是数据要素的定价机制，是国家数据管理工作的关键抓手之一。

公共数据要素的定价机制，是《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（数据二十条）提出的“公共数据确权授权机制”的重要环节，事关公共数据资源的市场化能否顺利实施。有一点需特别注意，即纳入价格机制的公共数据资源，其范围仅限于“用于产业发展、行业发展的公共数据有条件有偿使用”；而不适用于“推动用于公共治理、公益事业的公共数据”、也不包括“依法依规予以保密的公共数据”。这说明公共数据资源定价机制的前提是这些数据资源的应用领域须限定为产业、行业发展之用。

8. 财政部发布《会计师事务所数据安全管理暂行办法（征求意见稿）》

http://kjs.mof.gov.cn/gongzuotongzhi/202311/t20231113_3916037.htm 

【绿盟观点】《征求意见稿》对于会计师事务所的数据安全，侧重于强化安全体系的基础上，突出强调了数据分类分级、数据跨境监管两个重点方向。

此次《征求意见稿》最重要的制度之一，就是将会计师行业数据安全监管与“网络安全审查”制度相衔接。一方面，这种衔接侧重于“数据安全审查”；另一方面，《征求意见稿》的这一制度衔接，在事实上扩大了网络安全审查制度的适用范围，将“会计师事务所开展数据处理活动”增列为“关键信息基础设施运营者采购网络产品和服务”、“网络平台运营者开展数据处理活动”（《网络安全审查办法》第二条）之外的第三类审查对象，充分体现出强化会计师行业数据安全监管的必要性。

9. 工业和信息化部发布《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e14338d7b2684c79bec7931b75336520.html

【绿盟观点】《征求意见稿》内容上兼具程序法和实体法的性质，是贯彻《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》）的务实之举，在行业数据安全执法监管领域具有开创性的意义。值得一提的是，其在“不予行政处罚”（第18条）情形中，将“没有主观过错”作为不处罚的重要依据，这对于破解网络数据安全领域长久以来“合规是否免责？”问题的争论，也具有开创性的意义。当然，相关规定或存在有待完善之处，例如其对《管理办法》的规定覆盖尚不全面、对于属地管辖原则的表述尚不够准确等。

10. 国家数据局局长刘烈宏首论数据基础设施

【绿盟观点】国家数据局的重要职责之一是推动数据基础设施建设，该论述是国家数据局首次提出“数据基础设施”理论，丰富和发展了“新型基础设施”内涵。数据基础设施的内涵与此前国家发改委提出的“新型基础设施”内涵既有交叉继承，又有发展创新。交叉继承体现在：数据基础设施包含了新型基础设施中信息基础设施下的“网络基础设施”、“算力基础设施”；而概念的发展创新，则体现在“数据流通设施”、“数据安全设施”方面。

11. 国家数据局发布《关于<“数据要素×”三年行动计划（2024—2026年）（征求意见稿）>公开征求意见的通知》

https://www.ndrc.gov.cn/hdjl/yjzq/202312/t20231215_1362671.html

【绿盟观点】《征求意见稿》赋予数据安全工作十分重要的定位，不仅将数据安全要求作为数据要素价值创造和实现全过程中必须坚守的底线原则，更对数据安全做出了系统安排。

从内容体系上看，确立了数据安全的两个基本问题。一是，明确了数据安全之于数据要素的“保障中台”定位；二是明确了数据安全之于数据要素的制度供给和物质供给双重内涵。当然，对于数据要素×行动的操作性、协同推进机制等方面的问题，也有待提升强化。

12. 工业和信息化部发布发布《关于<工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）>公开征求意见的通知》

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_119d8297cd40494994bfdf0b299023f9.html

【绿盟观点】工信数据安全管理领域的又一项制度举措，《工业和信息化领域数据安全管理办法（试行）》正式实施以来，已先后出台《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》。此次应急预案的出台，也将进一步完善工信领域数据安全管理法规体系，成为行业层面首个行业级数据安全应急预案。工信数据安全管理制度的体系化也在行业层面继续领跑。

1. 美国白宫发布《推进隐私保护的数据共享和分析的国家战略》，强化PPDSA体系

https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Strategy-to-Advance-Privacy-Preserving-Data-Sharing-and-Analytics.pdf

【绿盟观点】伴随全球数字化转型的加速推进，数据逐渐成为社会发展过程中必不可少的资源。如何在保证数据隐私的前提下充分发挥数据价值？成为各国保护数据安全面临的共同课题。该《战略》针对此类问题，提出加快推进PPDSA的研究和应用，并结合强有力的数据治理措施，在促进数据共享和分析的同时保护个人隐私与敏感数据，以期促进美国个人信息和数据安全相关科技的创新发展。

《战略》提出的PPDSA，是一种平衡数据收集、分析与伦理社会技术问题的解决方案，包括方法论、技术和社会技术等一系列技术和方法，其利用隐私增强技术（PETs）进行数据分析、获取数据价值，同时确保用户隐私安全。PETs在该《战略》中是指一组范围广泛的技术，通过删除个人信息、减少个人数据处理或防止对数据进行非法处理来保护隐私，同时维持系统的功能。

美国此次《战略》的发布，对于我们有两方面启示。一方面，对数据信息保护相关技术研发和产品创新的方向具有一定参考作用，如安全多方计算、同态加密、差分隐私以及可信执行环境等技术领域，或将受到更多的关注；另一方面，《战略》所体现出的以“系统化”手段推进数据信息保护技术发展的思路，对于加快构建数据信息安全技术的发展生态，不失为一种有效途径。

2. 欧盟委员会通过《关于欧盟-美国数据隐私框架的充分性决定》，欧美数据跨境传输合作迈入新阶段

https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

【绿盟观点】近年来，美国和欧盟持续探索数据跨境传输的双边机制，但由于双方立法制度的差异，始终未能达成一致，如此前美国和欧盟发布的《安全港协议》（Safe Harbor）、《隐私盾协议》（Privacy Shield）均被欧洲法院驳回。2022年3月25日，美国和欧盟就新的《隐私框架》达成原则性协议；2022年10月7日，美国总统拜登签署《关于加强美国信号情报活动保障措施的行政令》，以落实《隐私框架》中美国方面作出的相关承诺。本次欧盟委员会正式通过《隐私框架》，标志着欧美间数据跨境传输的第三次合作正式落地。后续《隐私框架》的运作将定期接受欧盟和美国当局的审查，以核实相关承诺是否在美国法律框架中得到充分实施并有效实践。

我国也陆续出台了一系列针对个人信息出境的政策法规，如《个人信息出境标准合同办法》《个人信息出境标准合同备案指南（第一版）》《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》等，但在某些细分领域和实操层面的内容仍有完善空间。例如，隐私框架所提出的自我认证制度、两级补救制度等，均有一定借鉴价值。

3. 欧盟《数据治理法案》正式施行，为欧盟提供数据共享新模式

https://digital-strategy.ec.europa.eu/en/news/european-strategy-data-data-governance-act-becomes-applicable

【绿盟观点】《数据治理法案》于2020年11月正式提出，并于2023年6月达成政治协议（political agreement），是落实《欧洲数据战略》的重要立法举措之一，进一步革新了欧洲数据治理模式，旨在为欧盟打造统一的数据市场，使欧盟科技企业能够更为有效地转化和利用数据。

我国正在全面推进数字战略，数据要素作为一种战略资源的重要价值也日益凸显。欧盟《数据治理法案》所提出的建设数据中介机构的思路，对于我国构建和完善数据要素开发利用机制具有借鉴意义。我国目前在促进数据开发利用方面，以规范数据合法、合规利用为侧重点，在发挥第三方中介力量问题上也较多地与数据交易平台的建设发展相关联。下一步如何充分发挥第三方中介机构尤其是非营利组织的作用，促进和完善数据在开发层面的良性发展，或是一个具有较大意义的新研究方向。

4. 欧盟和日本就数据跨境流动达成协议

https://ec.europa.eu/commission/presscorner/detail/en/ip_23_5378

【绿盟观点】数据的跨境流动是欧盟数据安全与个人隐私保护监管的核心领域之一。近年来，欧盟持续探索与其他国家在数据跨境流动方面的双边机制，如《关于欧盟-美国数据隐私框架的充分性决定》（Adequacy decision for the EU-U.S. Data Privacy Framework）《欧盟-新西兰贸易协定》（EU-New Zealand trade agreement）和《欧盟-英国贸易与合作协定》（EU-UK Trade and Cooperation Agreement）中均包括数据跨境流动的相关规则。欧盟通过制定数据跨境流动双边协议的方式建立“数据安全白名单”机制，极大地减轻了企业数据传输合规成本，一定程度上有助于促进双方数字经济的交流发展。欧盟这种以双边协议消除某些数据跨境流动壁垒的方式，是对数据跨境流动管制一般原则的例外，其对于跨境流动数据的范围、主体条件等方面的规定，值得研究和持续观察。

5. 欧洲议会通过《数据法案》

https://www.europarl.europa.eu/news/en/press-room/20231106IPR09025/parliament-backs-plans-for-better-access-to-and-use-of-data

【绿盟观点】《数据法案》最初由欧盟委员会于2022年2月提出，并由欧盟理事会和欧洲议会于2023年6月达成临时协议（Provisional agreement），该《法案》和此前生效的《数据治理法案》均为落实《欧洲数据战略》的重要立法举措。《法案》明确了数据共享的对象、范围、一般原则和例外等。后续，该《法案》经过欧盟理事会批准后将正式公布。

我国数据管理工作随着国家数据局的挂牌正逐步走向统筹、体系化发展的新阶段。此前“数据二十条”初步擘画了我国数据管理制度的框架和原则，具体的各项数据管理制度，还有待理论和实践的完善。欧盟《数据法案》中提出的数据可携权、数据从企业到政府的流通、促进企业间数据流动等具体制度，对于我国构建和完善数据制度体系具有一定借鉴意义。

《个人信息保护篇》是《2023年国内外网络安全法规政策系列盘点》的第三篇。主要对涉及个人信息保护的法规政策进行专题梳理和点评。

从内容看，本年度个人信息保护法规政策主要涵盖个人信息出境管理、个人信息审计机制、特殊群体保护、区域性个人信息跨境共享机制等。

1. 国家互联网信息办公室印发《个人信息出境标准合同办法》

http://www.cac.gov.cn/2023-02/24/c_1678884830036813.htm

【绿盟观点】近年来，我国高度重视个人信息出境安全保护。《个人信息保护法》第38条明确规定了个人信息出境的相关条件，即通过国家网信部门组织的安全评估、进行个人信息保护认证、以及与境外接收方订立标准合同等。

本次出台的《个人信息出境标准合同办法》，与此前发布的《数据出境安全评估办法》《个人信息保护认证实施规则》形成互补，一同构建起完整的个人信息出境安全保护体系，为我国个人信息安全保护工作奠定了坚实基础。

2. 国家互联网信息办公室发布《个人信息出境标准合同备案指南（第一版）》，标志个人信息出境标准合同备案工作实际启动

http://www.cac.gov.cn/2023-05/30/c_1687090906222927.htm

【绿盟观点】《备案指南》是《个人信息出境标准合同办法》（以下简称《合同办法》）出台后的首个配套文件。从内容来看，《备案指南》对个人信息出境标准合同的适用范围、申报材料等做出了细化规定，也在一定程度上反映了个人信息出境监管具有趋严的特点。

与此同时，《备案指南》的发布也预示着，个人信息出境标准合同备案工作已在监管侧及运营侧准备就绪，相关管理实施工作进入实际启动阶段。

《备案指南》及《合同办法》的出台，不仅强化了个人信息出境管理，对于促进个人信息出境安全相关产业的发展也同样具有较强的导向作用。对于网络安全行业，有两方面需要重点关注。一是密切关注个人信息出境安全评估的业务机会，深化技术产品研发。二是持续强化内部合规监测，加强在产品技术研发、重点任务和重大项目支撑等业务活动的个人信息和数据保护。

3. 国家互联网信息办公室就《个人信息保护合规审计管理办法（征求意见稿）》公开征求意见，促进个人信息保护审计活动规范化

http://www.cac.gov.cn/2023-08/03/c_1692628348448092.htm

【绿盟观点】个人信息保护是网络和数据安全的重要领域之一。此前我国在个人信息保护领域先后出台了《个人信息保护法》《个人信息出境标准合同办法》等法规政策，并持续开展了多项个人信息保护专项行动。不同于以往，此次《征求意见稿》所规范的“个人信息保护审计”更加侧重于对个人信息保护的事前防范，强调个人信息处理者的常态化合规。

《征求意见稿》法律依据为《个人信息保护法》第五十四条：“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”，旨在建立健全我国个人信息保护合规审计制度。对于个人信息处理者以及第三方专业机构开展个人信息合规审计工作具有重要实践意义。

目前，《个人信息保护合规审计管理办法（征求意见稿）》尚处于征求意见阶段，对网络安全行业来说，可重点关注以下两点。一是，关注后续相关政策的更新与落实，如个人信息保护合规审计相关标准、个人信息保护合规审计专业机构管理政策，以及与个人信息保护影响评估等制度的衔接等。二是，关注新的市场机会点，如服务于个人信息处理者的个人信息保护合规审计咨询、教育和培训服务等；服务于个人信息保护合规审计专业机构的技术产品、解决方案等。

4. 国务院常务会议审议通过《未成年人网络保护条例》，强化未成年人特殊群体的网络保护

https://www.gov.cn/zhengce/content/202310/content_6911288.htm

【绿盟观点】随着移动互联网的普及发展，未成年人使用互联网的比例迅速提升。与此同时，网络攻击、个人信息滥用等传统网络安全问题也加速向未成年人群体扩散。此前发布的《未成年人保护法》《关于规范网络直播打赏 加强未成年人保护的意见》《移动互联网未成年人模式建设指南（征求意见稿）》等政策法规，均对未成年人网络保护提出了相应要求。本次《未成年人网络保护条例》（以下简称《条例》）以行政法规的形式出台，进一步细化了保护要求。

与2022年3月发布的《未成年人网络保护条例（征求意见稿）》相比，《条例》主要有以下3方面修改。一是进一步明确管理制度和依据，如明确授权制定“网络平台服务提供者认定办法”等；二是加强与《个人信息保护法》等上位法衔接，如“网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销”等规定；三是加强新兴技术手段应用，如要求网络产品和服务提供者采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测等。

5. 国家互联网信息办公室发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》

http://www.cac.gov.cn/2023-12/13/c_1704042786237103.htm

【绿盟观点】当前，国家对于个人信息跨境的监管主要有三种方式：一是国家网信部门组织跨境安全评估，二是经专业机构对个人信息处理者进行个人信息安全认证，三是签订跨境标准合同并备案。三种方式适用的区别主要在于个人信息数据的重要性程度、规模等不同。

粤港澳大湾区作为我国区域经济发展的重要载体，也已成为个人信息跨境管理的重要试验田，大湾区此前已先后启动了个人信息跨境标准合同、个人信息跨境认证等个人信息保护专项管理机制。有一点需特别注意，即：目前粤港澳大湾区相关的个人信息跨境管理机制，其适用范围仅限于大湾区内部，大湾区与外部其他地区之间的个人信息保护管理工作，还要以我国现行个人信息保护相关法律法规为依据。

1. 美国参议院提出《2023年保护美国人数据免受外国监视法案》

https://www.wyden.senate.gov/imo/media/doc/protecting_americans_data_from_foreign_surveillance_act_text.pdf

【绿盟观点】拜登总统上任以来，美国政府持续加强个人数据跨境传输的保护工作，发布了一系列政策法规。主要包括2021年6月拜登签署的《关于保护美国公民敏感数据免受外国对手侵害的行政令》、2022年6月美国参议院提出的《2022年健康和位置数据保护法案》以及《2022年保护美国人数据免受外国监视法案》等。

本次《2023年保护美国人数据免受外国监视法案》（以下简称《法案》）主要增加了对数据经纪人和中介机构、以及TikTok等公司数据传输行为的限制要求。其反映在立法思路上，不仅监管要求日益明确，而且重点监管对象的范围也日渐具体化。

《法案》立法思路的变化、及其对某些大型互联网及科技企业提出明确要求的做法，值得关注。一方面，对于涉及个人数据跨境相关业务的国内公司而言，宜加强对此类法规的密切关注，并优化自身个人数据信息的保护机制；另一方面，从保护产业发展层面而言，需警惕此类“借安全为由、行遏制之实”的立法，并推动健全相关应对机制。

2. 欧盟委员会通过《关于欧盟-美国数据隐私框架的充分性决定》，欧美数据跨境传输合作迈入新阶段

https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

【绿盟观点】近年来，美国和欧盟持续探索数据跨境传输的双边机制，但由于双方立法制度的差异，始终未能达成一致，如此前美国和欧盟发布的《安全港协议》（Safe Harbor）、《隐私盾协议》（Privacy Shield）均被欧洲法院驳回。2022年3月25日，美国和欧盟就新的《隐私框架》达成原则性协议；2022年10月7日，美国总统拜登签署《关于加强美国信号情报活动保障措施的行政令》，以落实《隐私框架》中美国方面作出的相关承诺。本次欧盟委员会正式通过《隐私框架》，标志着欧美间数据跨境传输的第三次合作正式落地。后续《隐私框架》的运作将定期接受欧盟和美国当局的审查，以核实相关承诺是否在美国法律框架中得到充分实施并有效实践。

我国也陆续出台了一系列针对个人信息出境的政策法规，如《个人信息出境标准合同办法》《个人信息出境标准合同备案指南（第一版）》《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》等，但在某些细分领域和实操层面的内容仍有完善空间。例如，隐私框架所提出的自我认证制度、两级补救制度等，均有一定借鉴价值。

3. 欧盟和日本就数据跨境流动达成协议

https://ec.europa.eu/commission/presscorner/detail/en/ip_23_5378

【绿盟观点】数据的跨境流动是欧盟数据安全与个人隐私保护监管的核心领域之一。近年来，欧盟持续探索与其他国家在数据跨境流动方面的双边机制，如《关于欧盟-美国数据隐私框架的充分性决定》（Adequacy decision for the EU-U.S. Data Privacy Framework）、欧盟-新西兰贸易协定》（EU-New Zealand trade agreement）和《欧盟-英国贸易与合作协定》（EU-UK Trade and Cooperation Agreement）中均包括数据跨境流动的相关规则。欧盟通过制定数据跨境流动双边协议的方式建立“数据安全白名单”机制，极大地减轻了企业数据传输合规成本，一定程度上有助于促进双方数字经济的交流发展。欧盟这种以双边协议消除某些数据跨境流动壁垒的方式，是对数据跨境流动管制一般原则的例外，其对于跨境流动数据的范围、主体条件等方面的规定，值得研究和持续观测。

《技术发展与治理篇》是《2023年国内外网络安全法规政策系列盘点》的第四篇。主要对涉及网络安全技术的法规政策进行专题梳理和点评。

从内容看，本年度技术发展与治理类法规政策主要涵盖个人信息审计机制、特殊群体保护、区域性个人信息跨境共享机制等。

1. 国家互联网信息办公室发布《生成式人工智能服务管理办法（征求意见稿）》

http://www.cac.gov.cn/2023-04/11/c_1682854275475410.htm

【绿盟观点】伴随ChatGPT的爆红网络，生成式人工智能（AGI）技术及其安全性问题，日益成为全球关注的焦点。各国纷纷出台或更新法规政策，加强对人工智能发展和安全管理，如美国于2023年4月11日发布《人工智能问责政策（征求意见稿）》、欧盟于2023年3月14日出台《人工智能和标准化的网络安全》等。

近年来，我国高度重视人工智能，已出台了《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》《新一代人工智能发展规划》《国家新一代人工智能标准体系建设指南》等政策文件，从战略、产业、标准等方面加强对人工智能发展的宏观部署。

本次发布的《征求意见稿》与此前人工智能相关规范文件相比，具有3个显著特点。一是规范对象的具体化，《征求意见稿》聚焦“生成式人工智能产品”这一特定对象、提出了具体的监督管理举措。二是突出保发展、促成长的主旨，这一特点充分体现在突出服务提供者主体义务、对法律责任作出原则性规定等方面。三是提出了“准入+义务+责任”的新型监管模式：在“准入”方面以“安全评估”、“算法备案”为基本要求；在“义务”方面，提出了技术、服务、客户管理三类主要义务；在“责任”方面，主要明确了法律责任的依据。当然，《征求意见稿》对于生成式人工智能产品和服务管理的覆盖范围、关键环节、潜在风险等是否完善，仍是目前各界研究和讨论的热点。

2. 国家互联网信息办公室等七部门联合印发《生成式人工智能服务管理暂行办法》，强化生成式人工智能监管

http://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm

【绿盟观点】当前，生成式人工智能（GAI）主要存在三类安全风险。从数据方面看，生成式人工智能面临的潜在风险主要有数据质量、数据保护机制和数据的真实性；从算法方面看，生成式人工智能面临的潜在风险主要是认知安全问题；从算力方面看，生成式人工智能面临的潜在风险主要有成本问题和生态问题。

从国内外相关制度实践来看，《办法》是目前国际上为数不多的已正式生效实施的生成式人工智能专项管理制度之一，其为生成式人工智能制度乃至立法实践提供了重要蓝本和方案。

从网络安全产业发展来看，《办法》的施行将产生积极影响。一是安全需求的明确，将为网络安全相关产业带来增量市场机会。如对于训练数据的合规和安全评估、服务提供过程中的数据和个人信息保护、监督检查过程中的安全技术支持、安全可信相关配套等等。二是对于发展要素的培育强化，将为网络安全产业的技术创新赋能。如“公共训练数据资源平台”、“人工智能基础设施”等算力和数据要素，将极大缓解企业在生成式人工智能开发过程中的能力短板；生成式人工智能生态体系的构建，也将为企业的生成式人工智能开发注入新的活力。

从制度的健全完善角度来看，以下几个问题或许值得进一步完善和细化。一是法规的体系化方面，除《办法》外，涉及生成式人工智能技术管理相关的规定还有《互联网信息服务深度合成管理规定》《互联网信息服务算法推荐管理规定》等，不同规定之间的竞合问题需要进一步梳理完善，且作为总体性规范的《互联网信息服务管理办法》也亟需加快推进修订。二是在监督检查机制方面，《办法》提出了不同部门按照职责开展检查的机制，对于不同部门之间的监督检查如何协调统筹，也有待进一步细化。

3. 国家互联网信息办公室发布《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，属首部人脸识别技术应用安全监管政策

http://www.cac.gov.cn/2023-08/08/c_1693064670537413.htm

【绿盟观点】近年来，各国针对人脸识别技术发展均出台了相应监管政策，如美国联邦贸易委员会就“滥用生物特征信息及其对消费者造成的危害”发布政策声明、欧洲数据保护委员会通过《关于在执法领域使用面部识别技术的指南》等。

《征求意见稿》是我国首部针对人脸识别技术应用安全的专项政策草案，其提出的事前影响评估、备案管理、设备安全检测等制度，对建立健全我国人脸识别安全管理体系具有重要作用。当然，目前《征求意见稿》在内容上还是更侧重于网络层面，而对于数据层面的问题诸如存储安全、个人信息数据使用情况监测检查等，尚未设置相关专属监管机制，这或许是下一步完善的一个方向。

对网络安全行业而言，可重点关注两点。一是，需深入学习《征求意见稿》有关要求，合理管控自身合规风险。二是，安全需求的明确或将为网络安全相关产业带来增量机会，如特定场景下的人脸识别技术网络风险评估、相关应用系统的等级保护、密评检测等。

4. 工业和信息化部发布《关于印发<“5G+工业互联网”融合应用先导区试点工作规则（暂行）><“5G+工业互联网”融合应用先导区试点建设指南>的通知》

https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2023/art_8cf1d738035c404dbedaf9074657992a.html

【绿盟观点】工业互联网是制造强国和网络强国两大战略的衔接点，国家此前在“国家制造强国建设领导小组”下专门设立了工业互联网专项工作组，统筹推进国家工业互联网发展。“5G+工业互联网”融合应用先导区建设即是工业互联网专项工作组“年度工作计划”的重要目标任务之一。

《“5G+工业互联网”融合应用先导区试点工作规则（暂行）》将“发生重大网络安全事件、重大安全生产事故等情况”作为评价先导区试点工作的否决性指标，这充分体现了网络安全在“5G+工业互联网”融合应用整体工作中的重要意义。后续，如何推进先导区工业互联网安全分类分级管理等工作，也是值得网络安全业界期待的重要关注点之一。

1. 美国CISA发布《零信任成熟度模型》（第二版），完善国土安全领域零信任实施规范

https://www.cisa.gov/news-events/news/cisa-releases-updated-zero-trust-maturity-model

【绿盟观点】近年来，美国政府高度重视对“零信任”的战略部署，联邦相关部门先后发布了一系列零信任相关政策和规范，如：《推动美国政府向网络安全零信任原则迈进备忘录》（白宫）、《拥抱零信任安全模型指南》（国家安全局）、《国防部零信任战略》（国防部）、《零信任架构》（商务部 NIST）、《基于零信任架构的企业移动安全计划》（国土安全部 CISA）等。

本次发布的《零信任模型》进一步完善了美国国土安全领域零信任的实施规范，并在《零信任成熟度模型1.0》基础上，对零信任成熟度阶段、关键支柱的功能、评估指标与描述等方面做出更新。

目前，我国正在积极推进零信任相关政策及标准制定。此前发布的《网络安全产业高质量发展三年行动计划（2021-2023年）》，对零信任相关技术研发和产业化已提出了发展举措；也正在推进零信任专项标准的研发，如《信息安全技术 零信任参考体系架构》（征求意见稿）等。

美国国土安全部发布的零信任相关政策战略和标准规范，在具体内容和实施方式上均或有可借鉴之处。如美国对零信任划分不同发展阶段，并以“功能支柱”的形式，对各阶段零信任发展目标水平做出明确分解等。此外，该标准所重点关注的一些关键技术，也可辅助成为我们开展零信任技术攻关、产品方案研发等工作的参考方向，如可见性分析、自动化和编排、网络弹性等。

2. 美国白宫发布《关键和新兴技术的国家标准战略》，巩固和加强技术竞争力

https://www.whitehouse.gov/briefing-room/statements-releases/2023/05/04/fact-sheet-biden-harris-administration-announces-national-standards-strategy-for-critical-and-emerging-technology/

【绿盟观点】自拜登政府上任以来，高度重视国际标准体系建设，尤其是在新兴技术等领域，并试图借此强化在相关领域的影响力，以维护美国在全球科技创新领域的领导地位。

《关键和新兴技术的国家标准战略》可以给我们带来三点思考。一是，标准不仅是规范和促进技术发展的手段，更是开展技术竞争的重要阵地，技术标准领域的国际话语权，已经成为当前反映各国技术创新竞争力的核心指标之一。二是，标准战略并非仅限于技术本身，而是涵盖与技术相关的诸多关键要素，并且这些要素对于标准的发展往往具有更加重要的决定作用，例如《战略》所强调的投资、合作、人才等等。三是，美国作为全球领先的技术强国，其技术标准战略或对我有重要参考意义，如《战略》所提出的重点技术框架及其关键技术方向，包括半导体和微电子、人工智能等，已经或正在引领着全球技术创新和变革的方向。对此，我们不仅需要加强布局和储备，更可以从中寻求可以实现换道超车的潜在机会。

3. 美国白宫科技政策办公室发布2023版《国家人工智能研发战略计划》，优化AI研发方向

https://www.whitehouse.gov/wp-content/uploads/2023/05/National-Artificial-Intelligence-Research-and-Development-Strategic-Plan-2023-Update.pdf

【绿盟观点】从时间轴来看，2023版《国家人工智能研发战略计划》（以下简称《战略计划》）是对2019版《国家人工智能研发战略计划》的更新，重申了之前的8项战略目标并对各战略的具体优先事项进行了调整和完善，还新增了第9项战略即强调国际合作。本次更新版本的发布，既是延续每三年定期评估和调整美国人工智能战略的惯例，也反映了美国政府对于人工智能技术的最新要求和发展重点。

从横向部门政策对比来看，近期美国政府各部门陆续发布了一系列人工智能相关政策和行动，但侧重方向有所不同。如标准建设方面，美国NIST发布《人工智能风险管理框架》；AI工具审查方面，美国国家电信和信息管理局发布《人工智能问责政策（征求意见稿）》；机构设置方面，美国国土安全部宣布成立首个人工智能工作组、美国国家科学基金会将拨款1.4亿美元建设7个新的人工智能研究中心；AI培训方面，美国教育部发布报告研究AI在教育和学习中面临的风险和机遇等等。

《战略计划》及美国其他相关部门的一系列AI政策，对完善我国AI管理的政策法规体系或有其参考借鉴意义，主要包括其“分工协同”的管理思路，即以战略规划的方式明确AI研发方向，其他各部门也结合职能定位从不同方面做出各自安排，形成合力。此外，在该战略所列明的关于AI安全的技术保护措施方面，如对抗AI数据操纵、红蓝对抗、漏洞挖掘等，对于我国开展AI网络安全的技术创新演进，也有一定的参考价值。

4. 美国白宫更新《利用安全的软件开发实践增强软件供应链的安全性》备忘录，强化软件供应链主导权

https://www.whitehouse.gov/wp-content/uploads/2023/06/M-23-16-Update-to-M-22-18-Enhancing-Software-Security.pdf

【绿盟观点】《利用安全的软件开发实践增强软件供应链的安全性》（以下简称《备忘录》）是美国保持其政策连贯性、发挥软件供应链政策双重战略价值的方式。一方面，软件供应链政策的对内价值在于维护其自身软件供应链的安全和连续性；另一方面，软件供应链政策的对外价值在于可作为一种战略手段或筹码，维护美国在相关技术产业生态中的主导权，也常伴随出口管制等常见管理手段。

《备忘录》也反映出目前美国联邦机构落实软件供应链安全监管的现实状况。一方面，从第14028号行政令的时间进度表来看，部分重要任务的实施进度已经滞后。另一方面，《备忘录》延长了各联邦机构从软件生产制造商获取证明文件的截止日期，为实际规则的落地实施预留了一定灵活空间。

由于美国在信息技术多个领域处于领先地位，故其发布的关于软件供应链安全管理方面的实践，也极有可能会在一定范围产生示范效应，某些程度上会促进其他国家完善软件供应链相关管理机制和规范、并加强自身软件供应链供给能力建设。

5. 美国国家标准和技术委员会发布《网络安全框架2.0》草案，加强网络安全风险管理

https://www.nist.gov/news-events/news/2023/08/nist-drafts-major-update-its-widely-used-cybersecurity-framework

【绿盟观点】伴随新形势下网络安全风险的变化，NIST《网络安全框架》也随之进行动态更新。2014年2月，NIST发布《改进关键基础设施网络安全框架》（《框架1.0》）；2018年4月，NIST发布《框架1.1》版本；2023年4月，NIST发布《框架2.0》核心讨论草案。

本次发布的《框架2.0》主要对《框架1.0》进行了如下三方面的更新。第一，扩大了覆盖范围。《框架2.0》直接更名为“网络安全框架”，此前两个版本的官方名字都是以关键基础设施为对象，体现该框架进一步扩大了适用范围。第二，强化网络安全治理。在《框架2.0》中，“治理”调整到与其他的5个核心功能平级，反映了美国政府对于网络安全治理的重要性认知。第三，强调供应链风险管理。《框架2.0》提供了更多关于如何评估和管理供应链中的安全风险的内容，反映了美国政府日益加强对供应链安全的重视程度，并致力于从供应商和合作伙伴处获取的产品和服务的安全性。

《框架2.0》是网络安全不断适应环境变化和各方最新需求的体现，也反映出美国政府通过扩大标准适用范围，来推进其网络安全国内标准国际化的意图。

6. 美国NIST发布三份后量子密码标准草案，推动后量子密码技术发展

https://www.nist.gov/news-events/news/2023/08/nist-standardize-encryption-algorithms-can-resist-attack-quantum-computers

【绿盟观点】量子计算是当前国际科技竞争的前沿领域之一，大国纷纷在国家战略层面布局量子科技的发展。各国关注的重点内容，多聚焦于量子计算、量子加密、后量子密码等。NIST在2017年就启动了后量子密码学算法标准化研究，本次公布的标准草案是2022年7月份选定的四种后量子密码算法中的三种算法标准，第四种算法的标准草案按计划也将于一年之后发布。

我国也高度重视量子科技领域的研究与应用。在标准层面，我国目前已颁布两项国家标准：《量子计算 术语和定义》（GB/T 42565-2023）、《量子保密通信应用基本要求》（GB/T 42829-2023），将分别于2023年12月和2024年3月起实施。

后量子密码研究中有关网络安全方面的问题，值得网络安全企业重点关注。例如：加强对量子攻击技术的跟踪观测，提升监测预警能力并制定应急响应方案；对处于两种密码体系更替阶段的重要系统构建全方位防护体系，为客户增强系统网络安全韧性等。

7. 美国参议院召开听证会审议《两党人工智能立法框架》，强化AI安全保护

https://www.judiciary.senate.gov/committee-activity/hearings/oversight-of-ai-legislating-on-artificial-intelligence

【绿盟观点】目前，人工智能安全监管是很多国家政策法规建设关注的重点领域。美国联邦政府将人工智能列为网络安全研究6大关键方向之首（《联邦网络空间安全研究和发展战略规划（2019-2023）》），并通过发布《国家人工智能研发战略计划》（白宫）、《人工智能风险管理框架》（NIST）等政策文件，对AI的可解释性、风险管理、责任机制、专职机构等做出规定。欧盟发布《人工智能法案》草案，侧重于关注AI系统的具体利用及其风险。我国也已将“人工智能法草案”列入国务院2023年立法工作的预备提请审议计划中，并正式发布了《生成式人工智能服务暂行管理办法》等规章。

《两党人工智能立法框架》提出了许多具体的监管制度和机制，如建立独立监管机构对模型开发公司进行审核、推动AI开发企业为模型输出内容承担责任制、以及利用出口管制等法律政策限制AI系统转让等。这些对于丰富当前各国的AI立法实践，规范和引导相关产业健康发展等，都具有一定的示范意义。

8. 美国国土安全部网络安全与基础设施安全局发布《人工智能路线图》

https://www.cisa.gov/news-events/news/dhs-cybersecurity-and-infrastructure-security-agency-releases-roadmap-artificial-intelligence

【绿盟观点】《人工智能路线图》（以下简称《路线图》）概述了CISA拟在网络安全领域落实人工智能安全的具体举措，旨在落实此前拜登政府签署的《关于安全、可靠和可信任地开发和使用人工智能的行政令》（以下简称《行政令》）。近期以来，美国政府频繁发布一系列人工智能监管政策法规，如《国家人工智能研发战略计划》《人工智能风险管理框架》《2023年人工智能研究、创新和责任法案》等，充分反映了美政府对人工智能安全的高度重视。

此前，美国政府对人工智能的关注点主要在其可解释性、可追溯性等方面，《路线图》则将关注点进一步体系化，扩展到包括国际合作、关基保护、人才培养等在内的多个领域。当前，我国《生成式人工智能服务管理暂行办法》已正式生效，在立法进程上占据一定先机，但加强对美国人工智能关注重点的跟踪研究，对于持续完善健全我国人工智能监管制度体系仍具有重要参考意义。

9. 欧洲议会与欧盟理事会就《人工智能法案》达成临时协议

https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai

【绿盟观点】该法是全球第一部关于人工智能的综合立法。其延续了欧洲注重个人信息保护、严格违法惩处等立法传统，在达成临时协议后，相关机构将继续在技术层面进行细化明确，并向成员国代表提交最终文本以供批准。法案对于人工智能系统的限制性规定、高风险模型的监管要求、以及鼓励创新的“法规沙盒”等举措，都或将为其他国家的人工智能立法带来启示和参考借鉴。