1. 国家铁路局就《铁路关键信息基础设施安全保护管理办法（征求意见稿）》公开征求意见，持续完善行业关基保护政策体系

【内容概述】2023年7月18日，国家铁路局发布《铁路关键信息基础设施安全保护管理办法（征求意见稿）》（以下简称《征求意见稿》）。《征求意见稿》共6章30条，旨在保障铁路关键信息基础设施安全，落实铁路关键信息基础设施的安全保护和监督管理工作。

《征求意见稿》主要内容包括以下三方面。第一，铁路关键信息基础设施认定，明确了认定规则要求，提出了组织认定要求和重大变更要求。第二，运营者责任和义务，包括建立安全管理保障制度、供应链安全保护制度、数据安全保护制度、商用密码应用安全性评估制度、保密管理制度、监测预警和信息通报制度等。第三，保障和监督，明确了国家铁路局开展工作的基本原则和具体任务等，包括建立铁路关键信息基础设施网络安全监测预警制度、网络安全事件应急处置制度、网络安全检查检测制度等。

【导读分析】此前，交通运输部发布了我国首个行业级关键基础设施保护专项规章——《公路水路关键信息基础设施安全保护管理办法》（以下简称《公路水路管理办法》）。与《公路水路管理办法》相比，本次发布的《征求意见稿》在整体制度框架上与其保持一致，但在以下三方面有所差别。一是尽管明确了铁路关键基础设施保护的监管职责以国家铁路局为主，但对地方和区域铁路监督管理局职责并未提出明确划分。二是铁路运营者的供应链安全保护制度方面，未涉及对于云计算服务的采购（《公路水路管理办法》明确要求“从已通过云计算服务安全评估的云计算服务平台中选择采购云计算服务”）。三是未对铁路运营者提出管理机构运行经费和设施设备更新经费方面的要求。以上几点或将成为后续正式文件仍需完善的地方。

对网络安全行业来说，主要可关注三方面的机会点。第一，供应链安全方面，一方面协助监管侧做好铁路领域供应链摸底工作，包括梳理资产来源、建立资产台账等；另一方面帮助铁路运营者建立供应链安全监测预警能力，包括资质审查、关基产品的风险监测等。第二，数据安全方面，包括提供数据安全防护和数据跨境安全传输技术手段和产品方案，如敏感数据发现与风险评估、数据脱敏、数据泄露防护、数据服务等。第三，在网络安全教育培训方面，推进完善铁路网络安全技能培训体系，定制化开发有针对性的人才培养课程等。

2.工信部、国家金融监管总局联合印发《关于促进网络安全保险规范健康发展的意见》，推动网络安全保险行业健康有序发展

【内容概述】2023年7月17日，工业和信息化部、国家金融监督管理总局联合发布《关于促进网络安全保险规范健康发展的意见》（以下简称《意见》）。《意见》旨在引导网络安全保险健康有序发展，培育网络安全保险新业态。

《意见》围绕完善政策标准、创新产品服务、强化技术支持、促进需求释放、培育产业生态等提出5方面10条意见。一是聚焦提升行业认知、完善行业规范，健全完善网络安全保险支持政策；二是聚焦丰富网络安全保险产品类型、创新保险服务模式，全方位加强网络安全保险产品服务创新；三是聚焦提升风险量化评估能力、加强全生命周期风险监测，强化网络安全技术赋能保险发展；四是聚焦推进网络安全保险落地应用、促进企业网络安全能力提升，撬动网络安全产业需求释放；五是聚焦培育网络安全保险优质企业、加强网络安全保险推广，培育网络安全保险发展生态。

【导读分析】《意见》作为我国网络安全保险领域的首份政策文件，初步回答了网络安全保险发展中的“是什么”和“怎么做”的问题，无论是对于促进网络安全保险行业自身规范发展，还是对于提升网络安全行业的整体发展效率和质量，都具有开创性的重要价值。

《意见》对内建章立制，明确网络安全保险行业的内涵和机制。明确了网络安全保险的基本界定和产业意义；明确了网络安全保险的基本产品门类；划定了网络安全保险的政策框架和标准体系。

《意见》对外整合资源，明确网络安全保险行业的建设发展模式。一是引导技术赋能，包括网络安全风险评估技术和网络安全风险监测技术；二是强化市场培育，包括行业级市场和企业级市场；三是注重生态发展，包括塑造生态链关键主体和培育生态链关键机制等。

对网络安全行业来说，《意见》的发布，无疑将为网络安全产业发展带来新机遇。一是为网络安全企业提供一种新的抗风险方案。按照《意见》的设计规划，网络安全保险将逐步健全覆盖技术开发和创新风险，以风险转移和社会化的方式，有助于拓展企业的抵御风险机制。二是为网络安全企业提供新的市场机遇。网络安全保险模型开发、风险评估工具开发、风险评估服务技术支撑等，都是网络安全产业较为直接的市场驱动因素。同时，由网络安全保险政策标准制订、生态机制建设等带来的衍生类市场需求，如咨询规划、方案设计等服务，也会带来一定规模的市场驱动力。

3.习近平总书记对网络安全和信息化工作作出重要指示，为网络安全产业发展指明方向

【内容概述】2023年7月14日至15日，全国网络安全和信息化工作会议在京召开。会议传达了习近平总书记近日对网络安全和信息化工作的重要指示，强调深入贯彻党中央关于网络强国的重要思想，大力推动网信事业高质量发展。

习近平总书记重要指示重点提出网信工作“十个坚持”原则。一是坚持党管互联网；二是坚持网信为民；三是坚持走中国特色治网之道；四是坚持统筹发展和安全；五是坚持正能量是总要求、管得住是硬道理、用得好是真本事；六是坚持筑牢国家网络安全屏障；七是坚持发挥信息化驱动引领作用；八是坚持依法管网、依法办网、依法上网；九是坚持推动构建网络空间命运共同体；十是坚持建设忠诚干净担当的网信工作队伍。

【导读分析】总书记的重要指示，进一步强调和明确了网络安全行业的发展思路、发展模式和发展方向，对于指导网络安全产业实现高质量发展具有重大理论和实践意义。

在发展思路方面，就是要“坚持统筹发展和安全”，确立以“总体国家安全观”为引领的网络安全企业发展思路。要求网络安全企业胸怀“国之大者”，牢固树立全局意识，从国家网络安全的整体和大局出发，以扎实的研发、过硬的产品为国家网络安全事业持续贡献力量。

在发展模式方面，就是要“构建大网络安全工作格局”，建设开放协同的网络安全企业发展模式。要求参与网络安全的各类型主体不仅要找准定位，更要强化开放、强化协同。作为企业而言立足技术研发创新，并持续探索促进技术研究与科研成果转化之间的高效链接，同高校、研究机构和地方建立深度联合攻关和产业化协同。

在发展方向上，就是要“坚持筑牢国家网络安全屏障”，以持续创新全面提升网络安全服务供给能力。要求企业牢牢把握需求导向，结合网信领域的新发展、新应用，不断拓展网络安全保障的内涵和外延，强化技术攻关、优化产品和服务体系，注重提升服务质量、创新服务模式。

4.国家互联网信息办公室等七部门联合印发《生成式人工智能服务管理暂行办法》，强化生成式人工智能监管

【内容概述】2023年7月13日，国家互联网信息办公室、国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局七部门联合发布《生成式人工智能服务管理暂行办法》（以下简称《办法》），自2023年8月15日起开始施行。《办法》共5章24条，旨在促进生成式人工智能健康发展和规范应用。

《办法》主要包括以下三方面。第一，明确适用范围，即“利用生成式人工智能技术向中华人民共和国境内公众提供生成文本、图片、音频、视频等内容的服务”（以下称生成式人工智能服务）。第二，规定生成式人工智能服务提供者（以下称提供者）的合规义务，在内容合规方面，如坚持社会主义核心价值观、防止歧视、提高生成内容的准确性和可靠性等；在模型训练合规方面，如数据和基础模型来源合法、数据标注合规等；在算法备案和评估合规方面，如按照国家有关规定开展安全评估及算法备案和变更、注销备案等；在运营合规方面，如个人信息保护机制、未成年防沉迷机制、违法处置机制等。第三，划定法律责任，提供者违反本办法规定的，按照现有法律法规予以处罚，如《网络安全法》《数据安全法》《个人信息保护法》《科学进步法》等；现有法律法规没有规定的，按照职责予以警告、通报批评，责令限期改正等规定。

【导读分析】当前，生成式人工智能主要存在三类安全风险。从数据方面看，生成式人工智能面临的潜在风险主要有数据质量、数据保护机制和数据的真实性；从算法方面看，生成式人工智能面临的潜在风险主要是认知安全问题；从算力方面看，生成式人工智能面临的潜在风险主要有成本问题和生态问题。

从国内外相关制度实践来看，《办法》是目前国际上为数不多的已正式生效实施的生成式人工智能专项管理制度之一，其为生成式人工智能制度乃至立法实践提供了重要蓝本和方案。

从网络安全产业发展来看，《办法》的施行将产生积极影响。一是安全需求的明确，将为网络安全相关产业带来增量市场机会。如对于训练数据的合规和安全评估、服务提供过程中的数据和个人信息保护、监督检查过程中的安全技术支持、安全可信相关配套等等。二是对于发展要素的培育强化，将为网络安全产业的技术创新赋能。如“公共训练数据资源平台”、“人工智能基础设施”等算力和数据要素，将极大缓解企业在生成式人工智能开发过程中的能力短板；生成式人工智能生态体系的构建，也将为企业的生成式人工智能开发注入新的活力。

从制度的健全完善角度来看，以下几个问题或许值得进一步完善和细化。一是法规的体系化方面，除《办法》外，涉及生成式人工智能技术管理相关的规定还有《互联网信息服务深度合成管理规定》、《互联网信息服务算法推荐管理规定》等，不同规定之间的竞合问题需要进一步梳理完善，且作为总体性规范的《互联网信息服务管理办法》也亟需加快推进修订。二是在监督检查机制方面，《办法》提出了不同部门按照职责开展检查的机制，对于不同部门之间的监督检查如何协调统筹，也有待进一步细化。

5.国家互联网信息办公室等四部门联合印发《关于调整<网络关键设备和网络安全专用产品目录>的公告》，明确网络安全专用产品范围

【内容概述】2023年7月3日，国家互联网信息办公室、工业和信息化部、公安部和国家认证认可监督管理委员会四部门联合发布《关于调整<网络关键设备和网络安全专用产品目录>的公告》（以下简称《产品目录》）。与此同时，2017年发布的《网络关键设备和网络安全专用产品目录（第一批）》同步废止。

调整后的《产品目录》包括路由器、交换机、服务器（机架式）和可编程逻辑控制器（PLC设备）等4种网络关键设备，以及数据备份与恢复产品、防火墙、入侵检测系统、虚拟专用产品、统一威胁管理产品（UTM）、网络安全态势感知产品、抗拒绝服务攻击产品、数据泄露防护产品、日志分析产品、终端安全监测产品等34种网络安全专用产品。

【导读分析】为解决长久以来网络安全产品的重复认证和检测问题，《网络安全法》提出“国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录，并推动安全认证和安全检测结果互认，避免重复认证、检测”等要求。此后，国家网信办会同有关部门出台《网络关键设备和网络安全专用产品目录（第一批）》（以下简称《第一批目录》）等文件，并发布《关于调整网络安全专用产品安全管理有关事项的公告》（以下简称《公告》），明确提出将“统一公布和更新符合要求的网络关键设备和网络安全专用产品清单”。本次发布的《产品目录》进一步落实了《公告》的有关规定，为后续政策制度的更新提供了基础。

与《第一批目录》相比，新版《产品目录》在网络关键设备方面没有变化，而主要对网络安全专用产品进行了全面更新，以保持与新生效的国家标准《信息安全技术 网络安全专用产品安全技术要求》（GB 42250-2022）相一致。网络安全专用产品目录在产品数量、产品类别和产品描述等方面进行了较大修订，如新增23项专用产品，并增加了供应链安全、密码要求、标识和鉴别等产品类别等。

对网络安全行业来说，以下三方面值得重点关注。第一，《产品目录》的更新事关网络产品的市场准入，根据此前发布的《公告》，现行《计算机信息系统安全专用产品销售许可证》后续停发，新产品的市场准入，将极有可能统一纳入专用产品认证体系中，因此，企业需要对照《产品目录》梳理现有产品体系，以获得或维护相关市场准入资质。第二，网络安全产品相关制度的衔接，《产品目录》是产品管理相关各类机制的基础，《产品目录》的出台，会带动有关管理制度的联动调整。如与商密检测、网络安全审查等的衔接等，均值得密切关注。第三，布局业务发展和市场机会，如加强对检测认证机构的支撑服务，包括提供专业技术支撑、研发检测工具等。