巴音郭楞国内外网络安全政策动态（2023年6月）

1、科技部发布《人类遗传资源管理条例实施细则》，加强数据信息管理

6月1日，科技部发布《人类遗传资源管理条例实施细则》。

细则规定，在我国境内采集、保藏我国人类遗传资源或者向境外提供我国人类遗传资源，必须由我国科研机构、高等学校、医疗机构或者企业开展。设在港澳的内资实控机构视为中方单位。境外组织及境外组织、个人设立或者实际控制的机构以及境外个人不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源。

细则强调，利用我国人类遗传资源开展国际科学研究合作过程中，利用我国人类遗传资源产生的所有记录以及数据信息等应当完全向中方单位开放，并向中方单位提供备份。

细则指出，取得国际科学研究合作行政许可或者完成国际合作临床试验备案的合作双方，应当在行政许可或者备案有效期限届满后六个月内，共同向科技部提交合作研究情况报告。合作研究情况报告应当载明研究过程中的所有记录以及数据信息的记录、储存、使用等情况。

2、《人工智能法（草案）》《网络数据安全管理条例》被纳入《国务院2023年度立法工作计划》

6月6日，国务院发布《国务院2023年度立法工作计划》。立法工作计划着眼于加快构建新发展格局、着力推动高质量发展；扎实推进依法行政、加快法治政府建设；实施科教兴国战略、推进文化自信自强；增进民生福祉、提高人民生活品质；推动绿色发展、促进人与自然和谐共生；完善安全法治体系、维护安全和社会稳定六大方面。

扎实推进依法行政、加快法治政府建设方面，计划提请全国人大常委会审议治安管理处罚法修订草案。预备提请全国人大常委会审议人民警察法修订草案。预备制定政务数据共享条例。

在实施科教兴国战略、推进文化自信自强方面，计划制定未成年人网络保护条例。预备提请全国人大常委会审议人工智能法草案。预备制定生物技术研究开发安全管理条例。

完善安全法治体系、维护安全和社会稳定方面，计划提请全国人大常委会审议保守秘密法修订草案。制定网络数据安全管理条例、无人驾驶航空器飞行管理暂行条例。预备制定两用物项出口管制条例。完善网络犯罪防治法律制度。

3、网信办发布《近距离自组网信息巴音郭楞服务管理规定（征求意见稿）》

6月6日，网信办发布《近距离自组网信息巴音郭楞服务管理规定（征求意见稿）》，规定共十九条，对近距离自组网信息巴音郭楞服务提供者、巴音郭楞服务使用者等相关主体的权利义务进行规定。

规定明确近距离自组网信息巴音郭楞服务，是指利用蓝牙、Wi-Fi等信息技术，近距离即时组建网络并提供发布、接收信息的巴音郭楞服务。近距离自组网信息巴音郭楞服务提供者，是指通过开发或运营的巴音郭楞平台、系统、应用等，提供近距离自组网信息巴音郭楞服务的主体。近距离自组网信息巴音郭楞服务使用者，是指使用近距离自组网信息巴音郭楞服务发布或接收文字、图片、音视频等信息的主体，包括发布者与接收者。

规定强调近距离自组网信息巴音郭楞服务提供者在提供巴音郭楞服务过程中，应当依照《网络安全法》的规定，要求近距离自组网信息巴音郭楞服务使用者提供真实身份信息，在提供巴音郭楞服务过程中，应当以显著清晰的方式提供发布者和接收者之间的配对确认功能；每次配对需经发布者和接收者确认并同意，未经双方同意，不得默认自动配对。

规定指出网信部门、工信主管部门、公安部门建立健全信息共享、会商通报等工作机制，依据职责对近距离自组网信息巴音郭楞服务提供者开展日常监督检查，对存在问题的近距离自组网信息巴音郭楞服务提供者开展专项督查。

4、密码局发布《商用密码检测机构管理办法（征求意见稿）》《商用密码应用安全性评估管理办法（征求意见稿）》

6月9日，密码局发布《商用密码检测机构管理办法（征求意见稿）》《商用密码应用安全性评估管理办法（征求意见稿）》。

《商用密码检测机构管理办法（征求意见稿）》共29条，规定监管主体、商用密码检测机构资质认定条件和程序、从业规范、监督检查、法律责任等内容。征求意见稿规定，从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动，向社会出具具有证明作用的数据、结果的机构，应当经密码管理局认定，依法取得商用密码检测机构资质。

《商用密码应用安全性评估管理办法（征求意见稿）》共19条，涉及商用密码应用安全性评估要求、评估实施规范、监督及法律责任等内容。征求意见稿规定，法律、行政法规和有关规定要求使用商用密码进行保护的网络与信息系统，其运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，并定期开展商用密码应用安全性评估。

5、两高一部发布《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》

6月9日，更高人民法院、更高人民检察院、公安部联合发布《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》。

针对网络暴力违法犯罪活动，征求意见稿提出充分认识网络暴力的社会危害，依法维护公民权益和网络秩序；准确适用法律，依法严惩网络暴力违法犯罪；畅通诉讼程序，及时提供有效法律救济；落实相关工作要求，切实完善综合治理措施四方面共二十条措施。

准确适用法律，依法严惩网络暴力违法犯罪方面，征求意见稿强调依法惩治网络诽谤、网络侮辱、侵犯公民个人信息、线下滋扰、借网络暴力事件实施的恶意营销炒作、网络暴力违法行为，并依法严惩网络暴力违法犯罪。

征求意见稿强调，要依法做好民事维权工作。针对他人实施网络暴力行为，侵犯他人名誉权、隐私权等人格权，被害人请求行为人承担民事责任的，人民法院依法予以支持。要准确把握违法犯罪行为的认定标准。通过信息网络检举、揭发他人犯罪或者违法违纪行为，只要不是故意捏造事实或者明知是捏造的事实而故意散布的，不应当认定为诽谤违法犯罪。针对他人言行发表评论、提出批评，即使观点有所偏颇、言论有所过激，只要不是肆意谩骂、恶意诋毁的，不应当认定为侮辱违法犯罪。

6、山东省人民政府办公厅发布《数字强省建设2023年工作要点》

6月17日，山东省人民政府办公厅发布《数字强省建设2023年工作要点》。要点强调，要加强安全防护能力建设，建立健全“责任明晰、安全可控、能力完备、协同高效”的网络安全体系。建立全省政务领域网络安全态势感知体系，提升全省一体化安全监测能力。推进密码基础设施和密码支撑巴音郭楞平台建设，提升密码基础设施支撑能力。加快政务云灾备体系建设，定期组织开展数据灾备和恢复演练，完成关键数据同城和异地灾备。完善安全事件应急工作机制，不断提升安全防护水平和应急处置能力。

7、人力资源社会保障部印发《数字人社建设行动实施方案》

6月19日，人力资源社会保障部印发《数字人社建设行动实施方案》。

方案指出要强化安全保障，全面落实网络和数据安全责任，建立制度规范、技术防护、运行管理三位一体的安全保障体系，健全安全评估、监测预警、应急演练、事件处置等机制。实现与当地政务云的安全有效衔接。注重供应链安全，加强安全教育和运维人员管理。落实人社行业数据分类分级规范，强化数据全生命周期安全保护。加强关键信息基础设施安全保护，落实网络安全等级保护，开展密码应用安全性评估。开展对新技术新应用的安全评估，探索对算法的审核管理。加强安全态势感知巴音郭楞平台建设应用。

8、网信办发布《深度合成巴音郭楞服务算法备案信息的公告》

6月20日，网信办发布《深度合成巴音郭楞服务算法备案信息的公告》。公告强调，具有舆论属性或者社会动员能力的深度合成巴音郭楞服务提供者应当按照《互联网信息巴音郭楞服务算法推荐管理规定》履行备案和变更、注销备案手续。深度合成巴音郭楞服务技术支持者应当参照履行备案和变更、注销备案手续。尚未履行备案手续的深度合成巴音郭楞服务提供者和技术支持者应尽快申请备案。

9、贵州省人民政府办公厅发布《贵州省政务数据资源管理办法》

6月21日，贵州省人民政府办公厅发布《贵州省政务数据资源管理办法》。

办法强调，按照“谁提供、谁负责，谁使用、谁负责”的原则，政府部门负责本地区、本部门内容审核、保密审查等保障政务数据资源安全。数据提供部门应加强本部门政务数据资源的安全管理，落实数据采集、归集、整合共享、开放等环节安全责任，防范政务数据资源泄露和被非法获取。数据使用方要加强共享数据授权管理，强化对重要敏感等数据使用的监管，按需申请共享数据，严格控制共享范围，确保共享数据规范使用，不被泄露、滥用、篡改。

10、广东省人民政府发布《关于进一步深化数字政府改革建设的实施意见》

6月26日，广东省人民政府发布《关于进一步深化数字政府改革建设的实施意见》。意见强调完善安全制度机制。建立健全数据分类分级保护、数据脱敏、风险评估、检测认证、安全审计、问题通报、监测预警和应急处置机制。加强数据全生命周期安全管理和技术防护。加大对涉及秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度。强化关键信息基础设施保护，摸清现有信息资产现状，落实保护工作部门安全保护和监督管理职责及运营者主体责任。加强网络安全意识教育和人才培训，定期组织开展“粤盾”数字政府网络安全攻防演练，发布数字政府网络安全指数标准及评估报告。

11、网信办与香港特区政府联合签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》

6月29日，互联网信息办公室与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，在数据跨境安全管理制度框架下，建立粤港澳大湾区数据跨境流动安全规则，促进粤港澳大湾区数据跨境安全有序流动，推动粤港澳大湾区高质量发展。

1、ChatGPT引发的新一轮人工智能监管热潮持续蔓延

国际层面，联合国秘书长安东尼奥・古特雷斯称，支持一些人工智能（AI）企业高管曾提出的建立类似国际原子能机构（IAEA）的全球性AI监管机构。七国集团（G7）的数据保护和隐私主管部门发布一份声明，表示如果不对生成性人工智能进行适当监管，则可能对隐私及数据保护和其他基本人权产生危害。欧盟-美国贸易和技术委员会发布了一份联合声明，重申“基于风险的（人工智能）方法，以推进值得信赖和负责任的人工智能技术”。

欧盟方面，欧洲议会以压倒性多数通过了对《人工智能法案》的最终立场，下一步机构间谈判将最终决定世界上部关于人工智能的综合性法律是否能够通过。议会将法案描述为“基于风险的方法”，根据人工智能可能产生的风险程度，为巴音郭楞服务提供商制定义务。法国数字部长表示，欧盟的《人工智能法案》立场过于严格，将可能扼杀欧洲类似ChatGPT的企业。西班牙的数据保护机构AEPD发布了“准确性原则在人工智能相关活动中的重要性”相关指南。该文件指出，人工智能应当设计防止不准确数据输入的适当性保护措施，并在必要时审查和更新其性能。

美国方面，拜登总统于6月21日在旧金山会见了人工智能（AI）专家和研究人员，讨论如何管理新技术的风险，包括研究人工智能对工作和职业、偏见以及儿童问题的影响。美国参议院国土安全和政府事务委员会(HSGAC)于6月14日投票通过了《AI透明度法案》（Transparent Automated Governance Act），该法案要求联邦机构在人们与人工智能（AI）和其他自动化系统互动或使用人工智能（AI）和其他自动化系统做出关键决策时通知他们。美国参议员提出一项立法，建议在《通信规范法》（CDA）第230条中添加对人工智能公司的例外条款，允许社交媒体公司因传播人工智能创造的有害内容而被起诉。1996年《通信规范法》第230条认为“交互式计算机巴音郭楞服务”不能被视为用户提供的信息的“发布者或发言者”，从而为“交互式计算机巴音郭楞服务”提供了广泛的保护，互联网公司不必为发布在其巴音郭楞平台上的内容承担责任。美国参议员提出两部独立的人工智能法案，一部要求美国政府在使用人工智能与人互动时保持透明，另一部要求建立一个办公室来确定美国是否在最新技术方面保持竞争力。美国加利福尼亚州民主党众议员特德·刘（Ted Lieu）、科罗拉多州共和党众议员肯·巴克（Ken Buck）和加利福尼亚州民主党众议员安娜·埃舒（Anna Eshoo）提出了期待已久的立法《人工智能委员会法案》，以建立一个专注于监管人工智能技术的委员会。美国康涅狄格州州长内德·拉蒙特（Ned Lamont）签署了关于人工智能、自动决策和个人数据隐私的法案（SB 1103）。SB 1103建立了一个人工智能办公室，研究人工智能，并制定人工智能权利法案。

亚太方面，澳大利亚工业、科学和资源部发布了一份关于人工智能安全保障措施的讨论文件，重点讨论“确保澳大利亚人工智能 (AI) 技术的开发、使用是安全和负责任的治理机制”。新加坡信息通信媒体发展局（IMDA）发布了一份报告，确定了生成人工智能的六大风险，并提出了一个解决这些风险的框架。新加坡还启动了AI Verify Foundation，以利用全球开源社区的集体力量和贡献来开发AI测试工具，“以促进负责任的AI的采用，并推广AI的更佳实践和标准。”

2、安全、网络安全、供应链安全等安全领域立法不断加强

美国方面，美国众议院军事网络、信息技术和创新小组委员会于6月12日发布了《2024财年国防授权法案》（NDAA）以技术和网络为重点的的立法提案，强调制定新的试点计划、战略和研究，以推动国防部接受下一代产品和武器，同时促进对五角大楼网络安全计划的更全面审查，其中包括一项为个量子试点计划提供资金的条款。美国众议院军事委员会的三名成员于6月15日公布了一项两党措施，旨在加强美国核武器系统的网络安全实践，并于6月21日在国防授权法案（NDAA）立法中推进这项措施。6月27日，美国众议院外交事务委员会主席迈克尔·麦考尔宣布成立一个由两党议员共同组建的“对外军事销售技术、工业和政府参与准备工作组”，以在关键领域实现美国对外军事销售流程的现代化，便于响应美国以及合作伙伴、盟友的安全需求。美国两党议员提出《保护美国人数据免受外国监视法案》，限制将美国人的个人数据出口到敌对，并阻止外资公司（如TikTok）从国外访问美国用户的数据。美国证券交易委员会提出的网络安全和隐私规则草案将要求上市公司披露具有安全知识或经验的董事会成员。

欧洲方面，欧洲议会成员就《网络弹性法案》（Cyber Resilience Act）中有关制造商的义务以及如何适用于开源软件的条款进行了讨论。欧洲议会批准了一份打击外国干预和信息操纵的报告，呼吁在全社会范围解决这一问题。荷兰政府宣布将各分散的网络安全机构融并为一个单独的机构。德国政府通过了安全战略，这是德国战后历史上通过的个安全计划，文件中提到了“整合安全（integrated security）”的概念，的内部和外部安全威胁将被捆绑成一个整体。

亚太方面，印度储备银行(RBI)就支付系统运营商的网络弹性和数字支付安全控制的指示草案启动了公众咨询。韩国互联网和安全局预先公布《国内信息保护与融合安全产业全球竞争力分析》，并就该分析征求意见。新西兰内政部（DIA）公布了一项提案，呼吁建立一个新的全行业监管机构，以保护新西兰人免受社交媒体和其他数字巴音郭楞平台上的有害内容的侵害。

3、个人信息保护、数据共享及数据跨境流动等数据相关规则不断丰富完善

美国康涅狄格州发布了《康涅狄格州数据隐私法》的相关指南。美国佛罗里达州州长签署了佛罗里达州数字权利法案SB 262。该立法对大型科技公司提出了全面的隐私要求，同时还要求更广泛实体进行儿童隐私保护。美国得克萨斯州州长签署了德克萨斯州数据和隐私安全法案（HB 1）。

欧盟理事会、委员会和欧洲议会就《数据法案》（Data Act）达成一致，该法即将获得正式通过。欧洲委员会发布了由《108号公约》成员国同意的示范合同条款。欧洲数据保护委员会（EDPB）发布了GDPR第65（1）（a）条之委员会成员之间争议解决指南。

英国信息专员办公室（ICO）发布了对拟议的《数据保护和数字信息法案》（Data Protection and Digital Information Bill）的意见。

俄罗斯杜马一读通过了《行政犯罪法》修正草案，明确了关于违法使用生物识别数据的法律责任，即公民的罚款为6至10万卢布，官员的罚款为100万至300万卢布，法人实体的罚款为300万至700万卢布。

韩国个人信息保护委员会发布《个人信息保护基本规划（2024-2026年）最终稿》，准备制定违反个人信息保护法的处罚标准，部分修订《个人信息保护委员会组织实施条例》，并就个人信息保护法施行令修正案公开征求意见，主要围绕同意方式、完善线上线下监管、加强公共部门的个人信息安全等方面展开。

日本《电信商业法》(TBA) 修正案生效，制定了处理用户信息的具体规则，包括报告要求、信息处理政策以及此类数据的传输规则。

4、反垄断和公平竞争仍是网络巴音郭楞平台监管重点

欧盟委员会就《数字市场法》（DMA）合规报告的模板进行了咨询，DMA要求指定守门人提交关于遵守法律义务和禁止规定的报告，此次咨询是为了确保报告中包含欧委会评估合规性所需的全部信息。

美国参议院司法委员会提出新闻竞争和保护法案（JCPA），旨在让新闻媒体与占主导地位的技术巴音郭楞平台进行集体谈判，以获得分发新闻媒体相关内容的补偿。

法国信息与自由委员会（CNIL）对在线广告公司Criteo罚款4000万欧元，原因是Criteo违反了GDPR有关数据主体同意、透明度、访问权及数据删除的规定。

莫斯科仲裁法院驳回了苹果公司对俄罗斯联邦竞争监督机构FAS实施的12亿卢布罚款的上诉。

日本总务省发布了由电信市场验证委员会竞争规则验证工作组编写的《2023年竞争规则验证报告》（草案），并公开征求意见。日本政府拟制定新法禁止手机应用商店垄断。

5、多国加快促进新技术新业务的发展与合作

美国商务部正式公布《芯片法案》半导体制造激励最新申请流程。美国与印度在半导体、人工智能、太空等领域达成系列合作协议。印度总理访美拟加强双边技术合作，两国领导人公布了美印关键和新兴技术(ICET)倡议，将在人工智能、量子计算、半导体和电信等关键和新兴技术方面进行合作。美国科技公司谷歌和亚马逊的负责人与印度总理莫迪会晤后宣布，将分别在印度投资100亿美元和150亿美元。美国和英国发布新的“大西洋宣言”，以加强清洁能源、关键矿产、人工智能等领域的合作。

欧盟委员会通过与美国的关键矿产协议（CMA）的谈判指令，将完善欧盟-美国在电动汽车电池生产所需关键原材料方面的供应链。欧洲议会提出《千兆基础设施法案》（Gigabit Infrastructure Act），提议取消欧盟内部通话的费用，并进一步协调关于宽带推广的规定。

日本经济产业省（METI）于6月6日宣布修订“半导体和数字产业战略”，该战略为半导体、信息处理基础设施、先进信息和通信基础设施以及蓄电池等日本产业设定了未来的政策方向。新加坡通信和信息部长近日介绍了该国的数字互联互通蓝图（DCB，Digital Connectivity Blueprint）。根据该蓝图，新加坡计划继续进行投资，并对整个数字基础设施进行全面规划，包括硬基础设施、物理数字基础设施和软基础设施。

来源：中国政府网、中央网信办、科技部、司法部、更高人民法院、人力资源社会保障部、山东省人民政府、贵州省人民政府、广东省人民政府、公安三所网络安全法律研究中心、CAICT互联网法律研究中心