数据安全每周观察 | 中央网信办等四部门印发《2024年提升全民数字素养与技能工作要点》

中央网信办等四部门印发《2024年提升全民数字素养与技能工作要点》

近日，中央网信办、教育部、工业和信息化部、人力资源社会保障部联合印发《2024年提升全民数字素养与技能工作要点》（以下简称《工作要点》）。《工作要点》指出，2024年是中华人民共和国成立75周年，是习近平总书记提出网络强国战略目标10周年，是我国全功能接入国际互联网30周年，做好今年的提升全民数字素养与技能工作，要以习近平新时代中国特色社会主义思想为指导，以助力提高人口整体素质、服务现代化产业体系建设、促进全体人民共同富裕为目标，推动全民数字素养与技能提升行动取得新成效，以人口高质量发展支撑中国式现代化。　　

《工作要点》明确了年度工作目标：到2024年底，我国全民数字素养与技能发展水平迈上新台阶，数字素养与技能培育体系更加健全，数字无障碍环境建设全面推进，群体间数字鸿沟进一步缩小，智慧便捷的数字生活更有质量，网络空间更加规范有序，助力提高数字时代我国人口整体素质，支撑网络强国、人才强国建设。　　

《工作要点》部署了6个方面17项重点任务。一是培育高水平复合型数字人才，包括全面提升师生数字素养与技能、提高领导干部和公务员数字化履职能力、培育高水平数字工匠、培育乡村数字人才、壮大行业数字人才队伍。二是加快弥合数字鸿沟，包括建设数字无障碍环境、提供普惠包容的公益服务。三是支撑做强做优做大数字经济，包括加快企业数字化转型升级、扩展数字消费需求空间。四是拓展智慧便捷的数字生活场景，包括推动数字公共服务普惠高效、提升重点生活领域数字化水平。五是打造积极健康有序的网络空间，包括营造共建共享社会氛围、构建数字法治道德规范、维护安全有序数字环境。六是强化支撑保障和协调联动，包括完善协同支撑体系、加大优质数字资源供给、积极参与国际交流合作。

《工作要点》其中提出:培育高水平复合型数字人才，包括全面提升师生数字素养与技能、提高领导干部和公务员数字化履职能力、培育高水平数字工匠、培育乡村数字人才、壮大行业数字人才队伍;支撑做强做优做大数字经济，包括加快企业数字化转型升级、扩展数字消费需求空间。

自然资源部印发《自然资源数字化治理能力提升总体方案》

自然资源部制定印发《自然资源数字化治理能力提升总体方案》（以下简称《总体方案》），旨在推动自然资源整体治理数字化转型升级，高效保障“两统一”核心职责履行，切实提高政府履职能力、协同共享水平，支撑构建美丽中国数字化治理体系，服务高质量发展，促进人与自然和谐共生。

《总体方案》共分为9章，分别聚焦自然资源数字化治理能力提升的目标路径、总体架构、重点任务、保障措施等提出细化落实举措，重点部署了建设集约高效数字化基础设施、完善全域全周期数据要素体系、提高国土空间基础信息平台智能化水平、构建多维数字化应用场景、筑牢全方位安全体系、健全完善标准规范体系等方面重点任务。

《总体方案》第七章提到，制定落实《中华人民共和国网络安全法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》《商用密码管理条例》等相关配套制度文件。构建集网络安全等级保护与关键信息基础设施保护的全方位、一体化安全管理体系。制定网络安全策略与安全保护计划。建立供应链安全管理制度，健全商用密码应用安全性评估、关键信息基础设施安全检测评估、网络安全等级测评制度。

依据《中华人民共和国数据安全法》制定自然资源领域数据安全管理办法及相关规范性文件，完善数据分类分级标准规范。建立统一高效的数据安全风险报告、应急处置、检查考核等制度以及跨境数据安全管理规则，全面梳理分析自然资源领域数据目录，识别认定业务类别和安全级别，编制并动态更新数据分类分级目录，确定涉外数据清单、跨境数据白名单，实现数据分类分级的清单化、动态化管理。

加强数据分类分级保护，对重要和核心数据实行精准严格管理。制定全生命周期安全防护要求和操作规程，加强全链路全流程数据安全保护。加强数据安全技术应用，提升数据的准确性、真实性、公平性、安全性。

《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》正式发布

为进一步指导和帮助数据处理者高效合规地开展数据跨境流动，中国（上海）自由贸易试验区临港新片区管理委员会（以下简称“临港新片区管委会”）根据《网络安全法》《数据安全法》《个人信息保护法》《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》《全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案》《数据出境安全评估办法》以及《上海市数据条例》等文件，制定本办法。

《管理办法》以企业共性需求最迫切的细分领域为切入口，对跨境数据进行分类管理。同时，将跨境数据从高到低依次分为核心数据、重要数据、一般数据3个级别，即核心数据禁止跨境，重要数据形成重要数据目录，一般数据形成一般数据清单。

《管理办法》提到，数据处理者应当按照相关规定，做好自身的数据分类分级管理，并积极参与临港新片区相关数据跨境流动清单的研究制定。数据处理者在开展数据跨境活动过程中，应开展数据出境风险自评估，主动识别申报重要数据。

结合上海“五个中心”建设，围绕汽车、金融、航运、生物医药等重点领域以及临港新片区相关行业的发展要求，以跨境需求最迫切的典型场景为切入口，对跨境数据进行分类管理。

临港新片区管委会负责制定纳入数据出境安全评估管理范围的重要数据目录，并报相关部门备案。同时按照要求制定纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单，报经市委网络安全和信息化委员会批准后，报相关部门备案数据处理者对重要数据目录内的数据，可通过临港新片区数据跨境服务中心申报数据出境安全评估，临港新片区管委会负责对重要数据目录进行更新，并报相关部门备案，经批准后及时告知数据处理者。

据国外媒体报道，大型科技公司及其附属的网络安全、人工智能产品很可能会推出类似的安全研究，尽管这会引起用户极度地隐私担忧。大型语言模型被要求提供情报机构信息，并用于帮助修复脚本错误和开发代码以侵入系统，这将很可能会成为常态。

由于科技巨头能够将其与伊朗、朝鲜和俄罗斯等其他主要国家支持的黑客团体联系起来。OpenAI和与其主要投资者微软之间将开展联合研究，结合微软庞大的威胁情报，对恶意账户进行检查与分析，并最终进行封禁。

某网络安全和隐私专家指出，这证明了，尽管大型科技和AI公司广泛推动将隐私标准内化到他们的产品中，但拥有AI产品的公司倾向于筛查聊天记录和用户互动中的滥用行为，最主要的理由是考虑网络和国家安全。

CyberSheath的首席执行官埃里克·努南说：“尽管微软和OpenAI的报告中未提及隐私方面的问题，但这很明显是客观情况，想要观察到恶意用户的活动就意味着有一定程度的监视或监控。”

微软威胁情报策略总监Sherrod DeGrippo则指出，微软和OpenAI采取行动对抗已知的恶意行为者——这些行为者是微软威胁情报持续跟踪的300多个威胁行为者中的一部分，包括160个国家支持的行为者，50个勒索软件团体，以及许多其他行为者。我们的重点是识别和阻止这些我们在威胁空间中活跃的已知恶意身份、特征和基础设施。

研究人员和官员在过去一年中警告说，像OpenAI的ChatGPT或微软的Copilot这样的面向消费者的AI聊天工具的出现，可能会帮助建立起来的国家支持的黑客增强他们的能力，或者使经验不足的网络犯罪分子能够自动化部署程序，从而关闭网站或从网络中窃取敏感信息。

安全专家经常强调，网络战中新兴的AI元素是双刃剑，它帮助防御者和攻击者一样多。但是这两家公司采取的传统方法最终只是浏览消息历史并关闭相关账户，类似于社交媒体巨头分析帖子中的仇恨内容并终止用户。

这种动态在未来的网络和AI研究中可能会继续，这意味着用户可能会期望科技公司有时会深入聊天历史，并将其与网络犯罪分子或国家相关的黑客集团联系起来。鉴于我们已经看到的AI用例示例，AI隐私担忧是完全有根据的，其中用于学习模型的数据泄露或不恰当地被发现，没有适当的防护措施来保护数据。

美国公民自由联盟的隐私和技术高级政策顾问科迪·文兹克表示，任何提供在线服务的大型公司经常会引发隐私担忧，尽管许多隐私法律承认公司在减轻欺诈或解决安全漏洞时的作用。问题在于科技公司关于如何使用收集的数据的透明度通常不清楚。例如检查AI聊天记录是否阻止了攻击者并为网络安全威胁创造了缓解措施，或者这类信息是否被用在其他地方？

大型科技公司及其附属的AI或网络安全产品可能会在未来发布类似的报告，这些报告涉及扫描聊天记录以检测黑客。尽管这可能不会导致全面监控，但像Mandiant这样的网络安全巨头——其母公司谷歌最近将其Bard AI聊天机器人重新品牌化——将有动力使用他们手头的每一个工具来保障网络安全。

为贯彻落实《数字中国建设整体布局规划》工作部署，摸清数据资源底数，加快数据资源开发利用，更好发挥数据要素价值，国家数据局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合开展全国数据资源情况调查，调研各单位数据资源生产存储、流通交易、开发利用、安全等情况，为相关政策制定、试点示范等工作提供数据支持。

《通知》提出，四部门将联合开展全国数据资源情况调查，调研各单位数据资源生产存储、流通交易、开发利用、安全等情况，为相关政策制定、试点示范等工作提供数据支持。

《通知》明确，调查对象为省级数据管理机构、工业和信息化主管部门、公安厅（局），各省重点数据采集和存储设备商、消费互联网平台和工业互联网平台企业、大数据和人工智能技术企业、应用企业、数据交易所、国家实验室等单位，中央企业，行业协会商会以及国家信息中心。

国家数据局自挂牌成立以来，聚焦数字经济发展、数据基础设施建设和数据资源应用场景开发等关键领域，连续出台了《深入实施 " 东数西算 " 工程 加快构建全国一体化算力网的实施意见》《" 数据要素 × " 三年行动计划（2024 — 2026 年）》等政策文件，对进一步推动数据资源开发利用发挥了重要作用。

但是，目前数据要素化的发展现状是，绝大多数数据资源仍未实现要素化，数据作为关键生产要素的作用还未得到充分发挥，数据资源的潜在价值仍未得到充分释放。究其原因，主要由于数据资源在全生命周期各环节中，普遍存在供不出、流不动、用不好、信不过的问题。

我国数据产量高居世界第二，但长期以来，数据资源分散在各行业各领域各部门，碎片化现象比较突出，本次调查的根本目的就是在全国范围内分行业分领域全面摸清数据资源底数，准确掌握数据资源生产、存储、流通、运营、开发、利用等基本情况，包括基础运营商在内的各类企业都聚集了大量数据资源，开展相关数据资源调查，有利于摸清情况、掌握实际。

按照委员会标准制修订工作程序的要求，17项网络安全国家标准的立项工作已经完成。清单如下：

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。