国内外网络安全政策动态（2024年12月）

▶︎ 1.2项网络安全国家标准获批发布

2024年12月6日，根据2024年11月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第29号），全国网络安全标准化技术委员会归口的2项网络安全国家标准正式发布。具体清单如下：

▶︎ 2.香港《保护关键基础设施（计算机系统）条例草案》提交立法会审议

2024年12月6日，香港《保护关键基础设施（计算机系统）条例草案》公布，《草案》旨在对关键基础设施的指定营运者施加法定要求，确保他们采取适当措施保护计算机系统，减少网络攻击导致服务中断或受损的风险，维持社会运作和市民生活，提升整体计算机系统安全。

▶︎ 3.《公共安全视频图像信息系统管理条例（草案）》审议通过

2024年12月16日，国务院常务会议审议通过《公共安全视频图像信息系统管理条例（草案）》，旨在提高我国公共安全视频图像信息的安全和个人隐私的保护工作，针对公共安全视频图像信息设备的安装，公共安全视频图像信息的使用等方面做出了明确的指导规定。

▶︎ 4.《网络安全标准实践指南——生成式人工智能服务安全应急响应指南（征求意见稿）》公开征求意见

2024年12月17日，全国网络安全标准化技术委员会秘书处编制《网络安全标准实践指南——生成式人工智能服务安全应急响应指南（征求意见稿）》，并面向社会公开征求意见。《指南》围绕生成式人工智能服务安全事件给出了安全事件的分类和分级建议，并给出了生成式人工智能服务安全事件应急响应过程，包括应急准备、监测预警、应急处置、总结改进阶段的管理措施和技术方法，可用于指导生成式人工智能服务提供者提高安全应急响应能力。

▶︎ 5.《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》公开征求意见

2024年12月17日，全国网络安全标准化技术委员会秘书处编制《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》，并面向社会公开征求意见。实践指南规定了移动互联网未成年人模式的技术要求，包括移动智能终端应用程序、移动应用程序分发平台未成年人模式技术要求以及模式联动技术要求。适用于应用程序提供者、移动智能终端制造商和移动应用程序分发平台提供者开展未成年人模式的研发和应用，也可为监管部门、第三方评估机构对未成年人网络保护的监督、管理、评估提供参考。

▶︎ 6.《网络安全标准实践指南—— 一键停止收集车外数据指引》发布

2024年12月19日，为指导汽车制造企业、自动驾驶研发企业以及相关零部件或服务提供商在装有车载摄像头、雷达等传感器的智能网联汽车上设置一键停止收集车外数据功能，全国网络安全标准化技术委员会秘书处组织编制了《网络安全标准实践指南—— 一键停止收集车外数据指引》，给出了在智能网联汽车上设置一键停止收集车外数据功能指引，适用于重要敏感区域的管理机构对进入该区域内的汽车的数据收集状态进行判断，还可为第三方测评机构开展智能网联汽车车外数据停止收集功能性和安全性测试评估提供参考。

▶︎ 7.关于发布《隐私计算总体框架》等六项团体标准的公告

2024年12月18日，中国网络空间安全协会批准《隐私计算总体框架》(T/CSAC 005-2024)、《隐私计算脱敏控制技术要求》(T/CSAC 006-2024)、《隐私计算脱密算法能力评估技术要求》(T/CSAC 007-2024)、《隐私计算脱敏效果评估技术要求》(T/CSAC 0082024)、《隐私计算删除控制技术要求》(T/CSAC 009-2024)、《隐私计算删除方法和删除效果评估技术要求》(T/CSAC 010-2024）六项团体标准，现予以发布，自2024年12月18日起实施。

▶︎ 8.财政部印发《数据资产全过程管理试点方案》

2024年12月19日，财政部印发《数据资产全过程管理试点方案》，强调数据资产全过程管理，聚焦数据资产台账编制、登记、授权运营、收益分配、交易流通等重点环节。通过试点打造数据资产应用标杆和典型案例，规范流程，形成工作指引，目标是完善数据资产管理制度，加强数据资产管理。

▶︎ 9.《珠江委数据安全管理办法（试行）》印发实施

2024年12月21日，珠江委制定印发《珠江委数据安全管理办法（试行）》，旨在加强数据安全管理，落实党中央和水利部的数据安全要求，推进数字孪生珠江建设。《办法》明确了数据安全保护职责，细化了全生命周期的安全防护要求，并强化了对外部单位的安全管理。

▶︎ 10.《银行保险机构数据安全管理办法》发布

2024年12月28日，国家金融监督管理总局发布《银行保险机构数据安全管理办法》，以规范银行业保险业数据处理活动，保障数据安全和金融安全，促进数据的合理开发利用，维护社会公共利益和金融消费者合法权益。《办法》共9章81条，主要关注五方面内容：一是强化数据治理顶层设计，二是落实分类分级管理要求，三是强化数据安全管理体系，四是加强个人信息保护，五是完善风险监测处置机制。

▶︎ 11.国家发展改革委印发《关于促进数据产业高质量发展的指导意见》

2024年12月28日，国家发展改革委、国家数据局、教育部、财政部、金融监管总局、中国证监会联合印发《关于促进数据产业高质量发展的指导意见》，面向数据采集汇聚、计算存储、流通交易、开发利用、安全治理和数据基础设施建设，从加强数据产业规划布局、培育多元经营主体、加快数据技术创新、提高数据资源开发利用水平、发展数据流通交易、强化基础设施支撑、提高数据领域动态安全保障能力、优化产业发展环境等八个方面部署了系列政策举措。

▶︎ 1.欧洲理事会通过两项新法案加强网络安全

2024年12月2日，欧洲理事会通过两项关于网络安全的法案，这两项法律分别为《网络团结法案》和《网络安全法案》修正案，属于欧盟网络安全立法“一揽子计划”的一部分，旨在进一步加强欧盟抵御网络威胁的能力和网络团结合作。

▶︎ 2.马来西亚加强网络法律以应对数字时代挑战

2024年12月2日，马来西亚部长法赫米·法齐尔提出两项重要立法，旨在加强网络安全法律框架，应对网络骚扰和网络犯罪威胁。这两项立法分别是《2024年通信和多媒体（修正案）法案》和《2024年马来西亚通信和多媒体委员会（MCMC）（修正案）法案》。

修正案旨在更新马来西亚网络法律，以适应现代数字时代的挑战，确保马来西亚在保护公民免受网络犯罪和网络滥用的同时，保持数字创新的前沿地位。此外，MCMC法案的修正案扩大了委员会在监督数字基础设施方面的作用，并提高了合同价值上限，简化MCMC的运作。这些修正案预计将在本届国会期间获得通过，并在2025年1月17日生效，对马来西亚数字化未来具有重要意义。

▶︎ 3.多国网络安全机构联合发布《通信基础设施防护指南》

2024年12月3日，美国网络安全和基础设施安全局（CISA）、美国国家安全局（NSA）、联邦调查局（FBI）等机构发布了一份联合指南《通信基础设施增强可见性和强化指南》。该指南旨在为网络工程师和通信基础设施维护者提供最佳实践，以增强网络设备的可视性和强化防护，防止恶意网络行为者利用。指南的目的是帮助组织快速识别异常行为、漏洞和威胁，并响应网络事件，同时减少现有漏洞，改善安全配置习惯，并限制潜在的入侵点。

▶︎ 4.北约计划于2028年启用综合网络防御中心

2024年12月9日，为了增强对网络威胁的应对能力，北约宣布将于2028年启用新的综合网络防御中心。该中心将整合现有的北约网络安全中心、网络作战中心和网络威胁分析处，旨在提高信息共享、加强威胁监控和风险管理。北约首席信息官企业网络风险管理负责人Stefano Piermarocchi表示，这一举措将帮助北约更好地同步企业安全策略，提升与行业伙伴的合作和沟通能力。新的中心将设立在比利时蒙斯，提供一个物理主机托管空间，确保在网络事件发生时，成员国能实时协作应对。尽管已获批准，Piermarocchi指出，该中心的建设可能需要到2028年才能完成，主要原因是需解决各成员国间的后勤问题。此举旨在推动联盟各国在网络防御方面的协调一致，提高整体的作战效率和安全能力。

▶︎ 5.欧盟《网络韧性法案》正式生效

2024年12月10日，欧盟《网络韧性法案》（CRA）正式生效，这是欧盟首部对包含数字元素产品的强制性网络安全要求立法文件，标志着欧盟在增强网络安全保护和抵御网络威胁方面迈出了重要步伐。CRA共计8章71条，全面规定了具有数字元素的硬件和软件产品在网络安全方面的要求，涵盖从设计、开发到销售的整个生命周期，并明确了制造商、进口商、经销商等相关市场主体的责任与义务。CRA的出台极大程度上减少了网络漏洞、攻击或操作失误所带来的潜在风险，提升了欧盟市场的整体网络安全防护水平，并推动企业将网络安全融入产品开发的初期阶段。

▶︎ 6.美国密歇根州参议院通过个人数据隐私法案

2024年12月12日，美国密歇根州参议院通过了《个人数据隐私法案》，旨在规范个人数据隐私，确立数据收集、处理、销售和共享的标准，并建立消费者权利的制度，如同意、撤销和删除。法案适用于控制或处理大量消费者个人数据的实体，并禁止某些数据处理做法。

▶︎ 7.英国实施《在线安全法》瞄准社交媒体巨头

2024年12月16日，英国正式实施了《在线安全法》，针对Meta旗下的Facebook和字节跳动的TikTok等社交媒体巨头提出了更高要求，即打击平台上的犯罪行为。根据英国通信管理局的规定，这些社交媒体公司需要在2025年3月16日前评估非法内容对儿童和成年人造成的风险，并采取措施进行缓解。措施包括改进内容审核、简化举报机制以及引入内置的安全检查功能，高风险平台必须采用自动化工具（如哈希匹配和URL检测）来有效识别和处理儿童性虐等内容。对于未能遵守规定的公司，英国通信管理局将处以最高1800万英镑或公司全球年收入10%的罚款，并可向法院申请命令，禁止不合规的平台在英运营。

▶︎ 8.美国国家标准与技术研究院发布《基因组数据网络安全和隐私框架社区概况》文件

2024年12月16日，美国国家标准与技术研究院（NIST）网络安全卓越中心（NCCoE）发布了两份新的出版物草案，以帮助组织解决与处理基因组数据相关的网络安全和隐私风险。其中，《基因组数据网络安全和隐私框架社区概况》整合了NIST网络安全框架（CSF）2.0版本和NIST隐私框架（PF）1.0版本，以帮助组织优先考虑网络安全和隐私功能，提供了一个结构化的，基于风险的方法来管理处理基因组数据的网络安全和隐私风险。

▶︎ 9.美国CISA发布《国家网络事件响应计划》更新草案

2024年12月16日，美国网络安全和基础设施安全局（CISA）发布了《国家网络事件响应计划》（NCIRP）的更新草案。该计划于2016年首次发布，本次更新包括非联邦团体应对毁灭性网络攻击的参与途径。为应对外国对手可能对银行、铁路、电网和水处理厂等关键基础设施发动的不太可能但具有潜在破坏性的网络攻击，该草案将事件响应类型分为资产响应、威胁响应、情报支持和受影响实体响应四类，各种协调机构或相关团体被分配到每个层级。例如，国家情报总监办公室和联邦调查局等团体被归类为情报支持机构，而CISA和国防部等团体被归类为资产响应机构。

▶︎ 10.美国《2025财年国防授权法案》通过，重点关注人工智能、网络安全和量子技术

2024年12月18日，美国国会参议院18日表决通过总额约8950亿美元的2025财年国防授权法案。其中1438亿美元将用于国防科学技术研究，重点是人工智能、网络安全和量子技术。该法案提出的相关要求包括：开发以安全为重点、基于人工智能的生物技术应用程序；为国防制造设施开发由人工智能驱动的软件；制定针对核系统的人工智能政策；增强移动设备防护；审查过去两年内所有因间谍软件而导致泄密的事件；加速国防先进研究项目局（DARPA）的量子基准化计划；制定量子科学部署的战略规划，并将量子技术整合到关键的国防任务中。

▶︎ 11.美国参议院提出了《维护美国在人工智能领域的主导地位法案》

2024年12月19日，美国参议院提出了《维护美国在人工智能领域的主导地位法案》，旨在通过设立人工智能安全审查办公室来保护AI技术免受滥用，并确保美国在AI领域的领导地位。该办公室将与行业合作，评估AI模型风险，提供技术援助，研究未来风险，并要求数据中心报告信息以保护AI模型。同时，法案强调了与商务部的人工智能安全研究所合作，推进AI安全科学的重要性。

▶︎ 12.美国发布关于加强海底电缆安全性和韧性的白皮书

2024年12月20日，美国国土安全部（DHS）联合多个政府部门及相关行业机构发布一份关于加强海底电缆安全性和韧性的白皮书。DHS确定了三个优先事项：改善公私伙伴关系、简化许可监管流程、明确美政府在应急管理中的责任。白皮书指出，这项战略旨在建立完善的网络安全防护措施，发展可靠的海底电缆维修能力，以增强海底电缆及其供应链的安全性和韧性。

▶︎ 13.联合国大会正式通过《联合国打击网络犯罪公约》

2024年12月24日，联合国大会一致通过具有法律约束力的《联合国打击网络犯罪公约》。联合国秘书长古特雷斯指出，这是20多年来经谈判达成的首个国际刑事司法条约，反映了会员国加强国际合作以预防和打击网络犯罪的集体意愿。

该公约承认滥用信息和通信技术所带来的重大风险，认为这些技术使犯罪活动的规模、速度和范围达到前所未有的程度；强调网络犯罪可能对国家、企业、个人和社会福祉造成不利影响；意识到网络犯罪对受害者的影响日益加大，主张为弱势群体伸张正义；强调技术援助、能力建设以及各国和其他利益攸关方之间合作的必要性。该公约将于2025年在越南首都河内举行的正式仪式上开放签署，并在第40个签署国批准后90天生效。

▶︎ 14.韩国通过《人工智能发展与信任构建基本法》

2024年12月27日，韩国国民议会通过了《人工智能发展与信任构建基本法》（简称《人工智能框架法》），预计在2025年初得到内阁会议通过后，于2026年1月开始实施。韩国也因此成为欧盟后全球第二个通过《人工智能法案》的国家或地区。《人工智能框架法》主要聚焦于建设治理体系、支持产业发展、防范可能风险这三大方面，分别涵盖了韩国国家人工智能基本计划和人工智能相关政府组织运作的法律基础，人工智能发展和应用的法律支持和生态支持、受监管实体和开发方责任等内容。

▶︎ 15.美国司法部发布《加强数据安全条例》最终规则

2024年12月27日，美国司法部发布了一项最终规则，以执行第14117号行政命令，旨在解决外国对手获取美国公民敏感个人数据以及某些美国政府相关数据所构成的国家安全威胁。该规则将在发布后90天内生效，而部分合规、报告和审计要求将在发布270天内生效。

助理司法部长马修·奥尔森（Matthew Olsen）表示，此规则是阻止敌对国家通过购买或其他商业手段获取美国公民敏感个人数据的关键举措。根据这一新规，将明确列出被认为具有潜在风险的国家与个体名单，并针对不同类型的交易设定禁止、限制和豁免条款，并为敏感个人数据设定了批量阈值，包括人类组学数据、生物识别符、精确地理位置数据、个人健康数据、个人财务数据等。

此外，规则还规定了获取授权交易的流程、指定相关人员的协议，以及记录保存、报告和其他合规义务。该规则与美国促进开放、全球互联、可靠和安全互联网的承诺一致，不要求美国公民的数据物理或电子存储本地化，也不禁止美国公民与相关国家或人员进行商业交易。司法部还将发布合规、执法指南，并继续与行业和其他利益相关者合作，以确定是否需要发放任何过渡许可证。

▶︎ 16.美国国家网络总监办公室发布《能源现代化网络安全实施计划》

2024年12月27日，美国国家网络总监办公室发布了《能源现代化网络安全实施计划》（EMCIP），该计划详细阐述了美国联邦政府为实现更加安全的能源生态系统所采取的措施。白宫方面表示，EMCIP为美国下一代能源生产、输送和分配提供了路线图，需要美国政府和私营部门的紧密合作。计划包含32项举措，每项举措都由一个牵头机构管理，并有明确的完成期限。

EMCIP旨在实现五项关键能源技术的网络安全韧性，包括将电池储能系统运营商纳入网络演习计划，制定指南提高联网逆变器和电力转换设备的网络安全态势，设计关键管理软件的测试程序，以及增强建筑能源管理系统和保障电动汽车及其充电基础设施的网络安全。该计划将通过12个联邦机构实施，与利益相关者合作并在执行过程中建立新的伙伴关系。