伴随数字化和网络安全深入发展,网络安全市场的政策性特征日渐显著,合规需求已与攻防需求一道,成为引领网络安全产业发展的两大核心驱动力。
本栏目基于团队在网络安全政策法规方面的日常跟踪,筛选国内外近期热点政策法规文件,并重点结合网络安全产业发展,对其内容和影响等进行分析。本期选取并分析2023年4月国内发布的热点政策法规。
|
全国人大常委会印发《中华人民共和国反间谍法》,强化涉网管理和规范
|
|
国家互联网信息办公室等五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》,启动网络安全专用产品统一检测认证工作
|
|
国家互联网信息办公室就《生成式人工智能服务管理办法(征求意见稿)》公开征求意见,强化生成式AI监管
|
1.全国人大常委会印发《中华人民共和国反间谍法》,强化涉网管理和规范
【内容概述】2023年4月26日,全国人民代表大会常务委员会正式通过修订后的《中华人民共和国反间谍法》(以下简称《反间谍法》),自2023年7月1日起施行。《反间谍法》共6章71条,旨在加强反间谍工作,防范、制止和惩治间谍行为,维护国家安全。
《反间谍法》主要内容包括以下4个方面:一是规定了间谍活动的定义和范围,即间谍活动是“为境外组织、机构或者个人提供国家秘密、情报或者协助其从事危害中华人民共和国国家安全和利益的活动”;同时明确“针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动”为间谍行为;二是确定了反间谍工作的主体和职责,即国家安全机关是负责反间谍工作的主管部门,其他有关部门和单位应当按照职责分工配合做好反间谍工作等;三是提出反间谍工作的措施和手段,授权国家安全机关采取调查取证、传唤讯问、限制出境等必要的措施和手段,依法查处间谍活动和其他危害国家安全的活动等;四是明确了反间谍工作的保障和监督,法律规定国家应当加强对反间谍工作的投入和保障,提高反间谍工作的能力和水平。同时,加强对国家安全机关工作人员的监督,明确国家安全机关应当执行内部监督和安全审查制度等。
【导读分析】全国人大常委会于2014年11月首次发布《反间谍法》,作为新中国第一部规范和保障反间谍斗争的专门法律,发挥了重要作用。为深入贯彻落实总体国家安全观,应对日益复杂的国际地缘政治局势,尤其是面临网络等非传统安全威胁的逐渐突显,本次《反间谍法》的修订可谓正逢其时。
修订后的《反间谍法》增加了多项与网络安全相关的内容,包括以下3部分:一是该法新增“网络攻击、侵入、干扰、控制、破坏等活动”为间谍行为,表明网络安全已逐步成为影响国家安全的重要因素;二是该法将持有国家秘密的“文件、数据、资料、物品”等列为窃密对象和调查对象,表明数据或将成为未来各国争夺的重要战略资源;三是该法要求重点单位“加强对要害部门部位、网络设施、信息系统的反间谍技术防范”,并对“涉及间谍行为的网络信息内容或者网络攻击等风险”进行通报和处置,表明对重点单位的网络安全监管态势趋严。
《反间谍法》的修订实施,在强化对涉网间谍行为规范和监管的同时,或在某些方面带来网络安全行业的潜在增长机会。一是监管侧技术支撑,如涉网反间谍威胁情报感知、信息共享等监管服务保障;二是涉网反间谍技术产品研发,如风险感知和智能识别、漏洞检测、知识图谱画像、威胁溯源和取证等;三是涉网反间谍合规咨询服务,如人员培训演练、安全意识和技能教育等。
2.国家互联网信息办公室等五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》,启动网络安全专用产品统一检测认证工作
【内容概述】2023年4月17日,国家互联网信息办公室、工业和信息化部、公安部、财政部和国家认证认可监督管理委员会等五部门联合发布《关于调整网络安全专用产品安全管理有关事项的公告》(以下简称《公告》)。《公告》旨在加强网络安全专用产品安全管理,推动安全认证和安全检测结果互认,避免重复认证、检测。
《公告》主要对网络安全专用产品安全管理有关事项进行如下4方面调整。第一,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供;第二,停止颁发《计算机信息系统安全专用产品销售许可证》(简称销售许可证),产品生产者无需申领;第三,停止执行《关于调整信息安全产品强制性认证实施要求的公告》和《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》;第四,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一公布和更新符合要求的网络关键设备和网络安全专用产品清单,供社会查询和使用。以上规定事项生效时间为2023年7月1日。
【导读分析】长久以来,网络安全厂商不同程度地受网络安全专用产品重复认证和检测的困扰,《公告》的发布,朝着解决该问题又迈出了坚实一步。按照此前发布的《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》,截至2023年4月,国家已公布了10批次、290种检测合格产品,且这些产品均为“网络关键设备”;而此次《公告》的发布,则意味着“网络安全专用产品”的统一检测认证工作即将启动实施。
对于开展“网络安全专用产品”统一检测认证工作,《公告》做出的“破旧”、“立新”两方面规定尤其值得关注。
在“破旧”方面。一是规定停止执行《关于调整信息安全产品强制性认证实施要求的公告》和《财政部 工业和信息化部 质检总局 认监委关于信息安全产品实施政府采购的通知》两个文件;二是规定停止颁发《计算机信息系统安全专用产品销售许可证》。不难看出,即将启动的“网络安全专用产品”统一检测认证,将对相关产品的适用范围、市场准入、应用场景、程序规则等做出重要调整,这无疑会对当前的网络安全专用产品市场产生切实而深远的影响。
在“立新”方面。一是明确了实施统一检测认证的主要标准依据为《信息安全技术 网络安全专用产品安全技术要求》(该标准为国家强制标准,将于2023年7月1日正式生效);二是明确了两个重要目录/名录,即《网络关键设备和网络安全专用产品目录》《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录》。这些规定,在巩固统一检测认证基本管理模式的基础上,填补了标准依据空白,解决了“网络安全专用产品”统一检测认证工作亟需已久的检测依据问题。
统一检测认证事关产品资质,因此文件所提及的一个标准、一个目录、一个名录的具体内容、更新频率,以及后续将出台的相关检测认证规则、机构管理方式等等问题,则无疑会成为引导网络安全厂商乃至网络安全产业发展的重要风向标。
3.国家互联网信息办公室就《生成式人工智能服务管理办法(征求意见稿)》公开征求意见,强化生成式AI监管
【内容概述】2023年4月11日,国家互联网信息办公室发布关于《生成式人工智能服务管理办法(征求意见稿)》公开征求意见的通知(以下简称《征求意见稿》)。《征求意见稿》共21条,旨在促进生成式人工智能健康发展和规范应用。
《征求意见稿》主要内容包括以下3方面:第一,明确适用范围,即“研发、利用生成式人工智能产品,面向中华人民共和国境内公众提供服务的组织和个人”(以下简称“服务提供者”);第二,规定服务提供者的合规义务,在内容合规方面,如体现社会主义核心价值观、无歧视、真实准确和内容标识等;在模型训练合规方面,如数据收集合规、人工标注合规等;在算法备案和评估合规方面,如向公众提供服务前应进行安全评估、在提供服务之日起10个工作日内进行算法备案等;在运营合规方面,如建立实名认证机制、防沉迷机制、违法处置机制等;第三,划定法律责任,按照现有法律法规予以处罚,如《网络安全法》《数据安全法》《个人信息保护法》等;现有法律法规没有规定的,按照职责给予警告批评、罚款、治安管理处罚和刑事处罚等规定。
【导读分析】伴随ChatGPT的爆红网络,生成式人工智能(AGI)技术及其安全性问题,日益成为全球关注的焦点。各国纷纷出台或更新法规政策,加强对人工智能发展和安全的管理,如美国于2023年4月11日发布《人工智能问责政策(征求意见稿)》、欧盟于2023年3月14日出台《人工智能和标准化的网络安全》等。
近年来,我国高度重视人工智能,已出台了《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》《新一代人工智能发展规划》《国家新一代人工智能标准体系建设指南》等政策文件,从战略、产业、标准等方面加强对人工智能发展的宏观部署。
本次发布的《征求意见稿》与此前人工智能相关规范文件相比,具有3个显著特点。一是规范对象的具体化,《征求意见稿》聚焦“生成式人工智能产品”这一特定对象、提出了具体的监督管理举措,与此前的文件形成互补。二是突出保发展、促成长的主旨,这一特点充分体现在突出服务提供者主体义务、对法律责任做出原则性规定等方面。三是提出了“准入+义务+责任”的新型监管模式:在“准入”方面以“安全评估”、“算法备案”为基本要求;在“义务”方面,提出了技术、服务、客户管理三类主要义务;在“责任”方面,主要明确了法律责任的依据。当然,《征求意见稿》对于生成式人工智能产品和服务管理的覆盖范围、关键环节、潜在风险等是否完善,仍是目前各界研究和讨论的热点。
而从《征求意见稿》明确的基本监管模式来看,网络安全产业领域除了要同样遵守作为服务提供者的基本义务之外,有两点值得格外关注。一是如何利用生成式人工智能技术提升现有网络安全产品、方案性能,需要密切关注生成式人工智能技术成果的发展;二是如何运用现有产品方案为生成式人工智能的网络信息安全赋能,这或许也是《征求意见稿》对于网络信息安全产业带来的潜在商机。