国内外网络安全政策动态（2025年1月）

▶︎ 1.国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》

1月3日，国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》。根据《意见稿》，个人信息出境个人信息保护认证，是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构，对个人信息处理者个人信息出境活动开展的个人信息保护认证。个人信息保护认证是我国个人信息出境重要合规路径，《意见稿》规定了专业认证机构的备案要求、个人信息保护认证重点评定内容、监管部门对认证活动监督等。

▶︎ 2.六部门联合发文：七项举措完善数据流通安全治理

1月6日，国家发展改革委、国家数据局等六部门联合印发了《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》。该方案旨在建立健全数据流通安全治理机制，提升数据安全治理能力，并促进数据要素合规高效流通利用。方案提出，到2027年底，将基本构建起规则明晰、产业繁荣、多方协同的数据流通安全治理体系。为实现这一目标，方案从明晰企业数据流通安全规则、加强公共数据流通安全管理、强化个人数据流通保障等多个方面作出具体部署。

▶︎ 3.三部门联合印发《国家数据基础设施建设指引》

1月6日，国家发展改革委、国家数据局、工业和信息化部联合发布了《国家数据基础设施建设指引》。该指引旨在推动国家数据基础设施的建设，形成横向联通、纵向贯通、协调有力的基本格局。根据指引，到2029年，我国将基本建成国家数据基础设施主体结构，并构建协同联动、规模流通、高效利用、规范可信的数据流通利用体系。该体系将涵盖数据采集、汇聚、传输、加工、流通、利用、运营和安全服务等多个方面，为社会提供低成本、高效率、可信赖的数据流通利用环境。

▶︎ 4.海南省网信办等多部门联合印发《海南省商场超市消费领域个人信息保护合规指引》

1月9日，海南省网信办、市监局、商务厅发布《海南省商场超市消费领域个人信息保护合规指引》。《合规指引》要求省内商超经营者通过APP或小程序向消费者提供服务时，应当向消费者提供清晰易懂的隐私政策并严格遵守、处理敏感个人信息及向第三方提供个人信息时获取消费者单独同意、保障消费者个性化商业营销拒绝权、撤回权、注销权等，切实履行个人信息保护合规义务。

▶︎ 5.国家网信办发布《网络信息内容多渠道分发服务机构相关业务活动管理规定（草案稿）》

1月10日，国家互联网信息办公室发布《网络信息内容多渠道分发服务机构相关业务活动管理规定（草案稿）》，规范MCN机构互联网信息内容相关业务活动。网络信息内容多渠道分发服务机构（MCN机构）是指在网络信息内容服务平台入驻，为网络信息内容生产者提供策划、制作、营销、经纪等相关服务的机构。草案稿对网络信息内容服务平台、MCN机构、网络信息内容生产者等的合规义务要求作出详细规定。

▶︎ 6.工信部印发《关于加强互联网数据中心客户数据安全保护的通知》

1月14日，工业和信息化部办公厅发布了关于加强互联网数据中心（IDC）客户数据安全保护的通知。通知要求IDC业务经营者根据《数据安全法》等相关法律法规，按照“权责一致、分类施策、技管结合、确保安全”的原则，加强客户数据安全保障能力建设。针对典型业务场景，提出明确安全责任界面、强化制度建设和组织保障、加强客户管理、加强客户数据安全保障、做好事件应急处置等工作要求。引导各通信管理局、基础电信运营企业和有关互联网数据中心企业做好IDC客户数据安全保护工作，推动IDC业务安全有序发展。

▶︎ 7.四部门联合制定《涉及国家安全事项的建设项目许可管理规定》

1月15日，国家安全部、国家发展和改革委员会、自然资源部、住房城乡建设部联合发布了《涉及国家安全事项的建设项目许可管理规定》，该规定将于2025年3月1日起正式施行。该规定旨在规范涉及国家安全事项的建设项目许可管理工作，防范和制止间谍行为，维护国家安全。规定明确了涉及国家安全事项的建设项目范围，包括在重要国家机关、国防军工单位等周边安全控制区域内的建设项目。这些项目在新建、改建、扩建时，需取得国家安全机关许可，并接受监督管理。

▶︎ 8.江苏首部数据领域基础性法规《江苏省数据条例》正式发布

1月22日，江苏省人大常委会发布《江苏省数据条例》，条例将于2025年4月1日起施行。《条例》规范江苏省内数据权益保护、资源管理、流通交易、产业发展、开发利用、安全和保障等活动，是江苏首部数据领域的基础性法规。《条例》统筹数据资源管理，注重数据安全治理和数据权益保护，统筹推进完善数据流通交易体系，强调公共数据开放共享及授权运营，培育数据相关产业，推进数据应用创新（如人工智能）。

▶︎ 9.网安标委就《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则（征求意见稿）》公开征求意见

1月22日，全国信息安全标准化技术委员会（网安标委）发布了《网络安全标准实践指南——人工智能生成合成内容标识服务提供者编码规则（征求意见稿）》，并公开向社会各界征求意见。该指南旨在规范人工智能生成合成内容的标识，明确服务提供者的编码规则，以提高人工智能服务的安全性和可追溯性。征求意见稿详细阐述了服务提供者编码的构成、编码原则及应用场景，并要求服务提供者在使用人工智能生成合成内容时，必须按照规则进行标识和编码。

▶︎ 10.十八部门印发《困境儿童个人信息保护工作办法》

1月23日，民政部联合中央宣传部、中央政法委等17个部门，共同印发了《困境儿童个人信息保护工作办法》。该办法旨在规范困境儿童个人信息的处理，保护其个人信息安全，维护其合法权益。办法明确规定，困境儿童个人信息是指以纸质、电子等方式记录的能够识别困境儿童的各种信息，不包括匿名化处理后的信息。各部门在处理困境儿童个人信息时，需依法进行，并采取严格保护措施。对于不满十四周岁的困境儿童，需取得其父母或其他监护人同意；对于年满十四周岁的困境儿童，则需依法取得其本人同意，并告知其监护人。

▶︎ 11.网安标委就《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》征求意见

1月23日，网安标委就《网络安全标准实践指南——摇一摇广告个人权益规范指引（征求意见稿）》公开征求意见。摇一摇广告，是指通过移动终端内置传感器感应等方式触发跳转的广告。针对App摇一摇广告提示标识不明显、触发阈值过低、关闭功能不便捷等侵害用户个人权益的问题，该实践指南给出了摇一摇广告个人权益规范指引，旨在规范App和第三方SDK展示和触发摇一摇开屏广告的行为、保障用户个人权益。

▶︎ 12.网安标委就《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》征求意见

1月26日，网安标委就《网络安全标准实践指南——人脸识别支付场景个人信息安全保护要求》征求意见。人脸识别支付场景主要包括“通过用户所拥有的设备提供人脸识别支付服务，如手机银行”和“通过经营主体布放的设备提供的人脸识别支付服务，如售货机”，该实践指南给出了人脸识别支付场景数据收集、存储、传输、导出、删除等环节的安全要求，可为人脸识别支付服务提供方、人脸验证服务方、相关场所管理方、相关设备的运营方处理个人信息提供参考。

▶︎ 13.网安标委就《人工智能安全标准体系（V1.0）》（征求意见稿）公开征求意见

1月26日，网安标委就《人工智能安全标准体系（V1.0）》（征求意见稿）公开征求意见。《标准体系》旨在积极响应《全球人工智能治理倡议》，落实《人工智能安全治理框架》，促进人工智能技术及应用健康发展。《标准体系》主要内容包括体系架构、重点领域、组织实施三章。附件部分给出了《标准体系》与《框架》中各类安全风险的映射关系表、人工智能安全现行及在研标准文件，以及人工智能安全标准重点方向明细表。

▶︎ 1.印度发布数据保护规则草案征求公众意见

1月3日，印度政府发布了《2025年数字个人数据保护法》的草案规则。这些规则旨在为数据受托人（即处理个人数据的实体）提供明确的指导，确保数据收集和使用的透明度。规则要求数据受托人在收集数据时向用户提供明确的通知，说明数据用途并获得用户的知情同意。

此外，还引入了“同意管理人”机制，以规范用户的收集过程。数据受托人需在数据泄露后72小时内通知印度数据保护委员会，并采取加密、假名化等技术措施保护数据。对于未成年人数据的处理，规则要求获得父母或法定监护人的可验证同意。跨境数据传输将受到未来政府命令的约束。规则还要求重要数据受托人定期进行数据保护影响评估和审计。

▶︎ 2.美国CISA发布加强IT网络安全的新目标

1月7日，美国国网络安全和基础设施安全局（CISA）发布针对信息技术（IT）和产品设计行业的新自愿网络安全绩效目标，IT行业特定目标（SSG）与“安全设计”原则保持一致，将有助于保护该行业免受网络事件的影响，在产品发布之前识别和解决漏洞，改善事件响应，并显著提高软件安全性。CISA与IT部门协调委员会（IT SCC）广泛合作以制定这些目标。

目标主要分为软件开发过程和产品设计两大类，包括实施多因素认证、保护凭据、进行网络监控、管理供应链风险、提供软件物料清单、检查源代码漏洞等。CISA主任珍·伊斯特利（Jen Easterly）鼓励组织采用这些目标，以加强软件和硬件的网络安全，保护供应链和消费者。这些绩效目标虽自愿，但对提升关键基础设施服务的网络安全态势至关重要。

▶︎ 3.美国国土安全部发布《公共部门生成式人工智能部署手册》

1月8日，美国国土安全部（DHS）发布《公共部门生成人工智能部署手册》，旨在帮助联邦、州和地方政府官员负责任地使用生成式人工智能（GenAI）技术，以改善公共服务。该手册基于DHS试点项目的案例研究，展示了GenAI在加强调查线索、制定灾害缓解计划和创新移民官员培训中的应用。

手册提供了公共部门组织推进GenAI使用的七类可行步骤，涵盖政策、技术和行政方面：开发增强任务的GenAI用例、建立联盟和促进有效治理、利用工具和基础设施、负责任和安全地使用AI、衡量进度和定义成功标准、培训员工和聘用技术人才，以及寻求用户反馈。国土安全部部长亚历杭德罗·马约卡斯（Alejandro Mayorkas）强调，安全利用GenAI潜力需要政府、行业、学术界和民间社会的合作，呼吁培育负责任、以使命为中心的创新文化。

▶︎ 4.英国国防委员会发布《发展英国国防人工智能能力和专业技能》报告

1月10日，英国国防委员会发布《发展英国国防人工智能能力和专业技能》报告，指出人工智能必将参与国防建设的现实。

本报告建议包括：一是国防部制定国防AI发展路径和措施；二是探索各军种协同操作方式；三是向行业释放明确采购需求、吸引投资者兴趣；四是资助潜在国防应用技术的开发、设立研究专项基金；五是与奥库斯（AUKUS）盟友（美国、英国、澳大利亚）合作开发相关技术。据悉，英国防部2022年发布《国防人工智能战略》，并成立国防人工智能和自主单位（DAU）和国防人工智能中心（DAIC），陆军和空军也相应发布了AI战略和应用路径。

▶︎ 5.美国国防部批准“美国网络司令部2.0”改革计划

1月10日，美国国防部长劳埃德·奥斯汀（Lloyd Austin）已于2024年12月18日批准“美国网络司令部2.0”计划。该计划主要包括五项改革建议：一是建立网络战创新中心；二是成立人才管理工作组；三是在各军种数字化作战部门中创立新的培养模式；四是组建先进的网络培训中心；五是遵循五大“战备支柱”。美国网络司令部司令兼国家安全局局长蒂莫西·霍（Timothy Haugh）表示，该计划将全面审视网络司令部的未来，探索组建军队和培养能力的新模式。

▶︎ 6.美国CISA、JCDC发布人工智能网络安全手册

1月15日，美国网络安全和基础设施安全局（CISA）与联合网络防御协作组织（JCDC）发布了《人工智能网络安全协作手册》。该手册旨在增强对新兴威胁的网络防御能力，为人工智能社区的组织提供自愿共享网络安全信息的指导。

手册基于2024年开展的两次桌面演练，旨在促进联邦机构、私营行业、国际合作伙伴之间的合作，提高人工智能网络安全风险的认知，并增强人工智能系统的韧性。此外，它还指导如何共享与人工智能系统相关的网络安全事件和漏洞信息，明确了信息共享的保护措施与机制。CISA局长珍•伊斯特利（Jen Easterly）强调，手册的编制汇聚了政府、行业和国际合作伙伴的专家智慧，将定期更新以适应不断演变的挑战。

▶︎ 7.欧盟发布应对医院勒索软件攻击“行动计划”

1月16日，欧盟委员会宣布了一项旨在降低医疗保健行业网络攻击风险的“行动计划”。该计划针对近年来欧洲医疗行业频发的勒索软件攻击事件，并提出了一系列指导措施。但该计划并未提供新的资金支持，而是建议利用现有资源来应对这一挑战。欧盟委员会承认，网络安全资金相对有限且是全球性的普遍挑战，在这种情况下，医疗系统的安全保障主要依赖于各成员国自身。

根据该计划的要求，欧盟网络安全局（ENISA）将建立一个专门针对医院和医疗保健提供者的网络安全支持中心，提供指导和服务目录，但不会直接为这些医疗机构提供具体的支持措施。此外，该计划还建议成员国可以通过发放网络安全券等方式，为医疗机构提供财务援助。同时，计划中也明确指出，目前许多医疗机构缺乏实施云服务安全措施的资源，针对这一现状，计划建议云服务提供商将基本安全措施作为标准功能。欧盟委员会表示，网络安全应被视为保护患者护理和数据的投资，而非开支。医院可通过“数字欧洲”和“地平线欧洲”等现有计划获得资金支持。据悉，该计划目前已进入磋商阶段，预计于2025年第四季度完善并实施。

▶︎ 8.美国政府对人工智能模型和芯片实施出口管制

1月13日，美商务部工业和安全局（BIS）发布了一项新规，对先进计算芯片和封闭式人工智能模型实施出口管制。根据新规，受控实体需遵守数据加密、访问控制和定期审计等特定要求。此外，美国将全球划分为三个层级，根据层级决定各国获取人工智能技术的限制程度。同时，新规对英伟达、AMD、微软、谷歌、亚马逊等公司提出了更为严格的出口限制和安全要求。此举旨在建立一个值得信赖的人工智能技术生态系统，以保护美国国家安全并维持其技术领先地位。

▶︎ 9.美国商务部发布《保护信息和通信技术与服务供应链：网联汽车》的规则

1月14日，美国商务部工业和安全局（BIS）发布了《保护信息和通信技术与服务供应链：网联汽车》的最终规则，最终规则将于3月17日生效。最终规则禁止销售或进口集成了“受外国对手（中国、俄罗斯）控制或指挥”的实体供应的特定硬件（VCS硬件设备）和软件（车辆连接系统（VCS）和自动驾驶系统（ADS）软件）的网联汽车相关交易，以及零售相关组件的交易。并且，对于受外国对手控制的整车制造商，即便其网联车辆整车中包含的VCS硬件或受限软件与中俄无关，也不得在美国销售。

▶︎ 10.拜登签署《关于加强和促进国家网络安全创新的行政命令》

1月16日，美国时任总统拜登签署了两项重要行政命令，分别聚焦网络安全和人工智能基础设施建设。第一项命令《关于加强和促进国家网络安全创新的行政命令》旨在提升美网络安全能力，提出八项重点措施，包括加强软件供应链安全、提高联邦系统网络安全、保护联邦通信、打击网络犯罪与欺诈、利用人工智能促进网络安全等。

该命令强调联邦政府需采用更严格的软件采购实践，推动后量子密码学（PQC）应用，并要求联邦机构在采购相关产品时优先选择支持PQC的产品。此外，命令还要求联邦机构清点主要信息系统，确保有效监督和管理。第二项命令则聚焦人工智能基础设施建设，要求国防部、能源部等联邦机构识别适合建设人工智能数据中心和清洁能源设施的场地，该命令旨在确保美在人工智能领域的领先地位，推动相关技术的本土化发展。

▶︎ 11.美国海岸警卫队发布法规《海事运输系统的网络安全》

1月17日，美国海岸警卫队发布《海事运输系统的网络安全》法规，该法规要求各海事组织制定网络安全计划及采取其他网络安全措施。具体而言，各组织的网络安全计划必须概述关键的设备安全措施，包括制定和更新已批准的硬件和软件清单，禁用关键系统上的默认可执行应用程序，制定联网资产库存清单，记录网络地图和网络配置，以及采取数据安全措施（如保护日志和使用加密来保护敏感数据）。

该法规还要求美国船舶、设施和外大陆架设施（通常是石油和勘探钻井设施）的所有者和运营商，必须将响应程序的概要纳入其事件响应计划，包括明确关键的职责、责任和决策者。该法规还要求各组织指定一名网络安全官员，以负责落实其组织的事件响应计划及其他网络安全计划。

▶︎ 12.美国政府效率部将启动“软件现代化倡议”

1月20日，美国总统特朗普签署行政令，正式设立“政府效率部”（DOGE），旨在通过现代化联邦技术和软件提升政府效率与生产力。该机构由美国企业家埃隆·马斯克负责，聚焦于技术现代化。DOGE将启动“软件现代化倡议”，提升政府软件、网络基础设施和信息技术系统的质量和效率。但DOGE计划仍面临诸多挑战，包括文化冲突、伦理和利益冲突问题，以及来自工会和公民团体的诉讼。

▶︎ 13.特朗普下令终止美国国土安全部网络审查委员会运作

1月20日，美国国土安全部（DHS）网络安全审查委员会（CSRB）的非政府成员被全部解雇，这是特朗普政府为消除“资源滥用”而采取的行动。DHS代理部长本杰明·霍夫曼（Benjamine Huffman）在内部备忘录中宣布，所有咨询委员会的成员资格将立即终止。CSRB是拜登政府根据网络安全行政令设立的，旨在调查重大网络安全事件，包括2023年黑客组织“盐台风”对美国电信系统的入侵。此次解雇可能会延缓对“盐台风”事件的调查。

▶︎ 14.美国陆军准备发布统一网络计划2.0

1月21日，美国陆军即将发布其统一网络计划2.0版本，该计划将专注于多域作战和推动陆军向数据为中心的态势转变。陆军副参谋长G6（通信与信息技术）雷伊中将（Lt. Gen. Jeth Rey）在1月17日的AFCEA北弗吉尼亚分会陆军IT日会议上表示，该计划已提交给陆军副总参谋长，预计“很快”将获得批准并公开发布。

统一网络计划最初于2021年推出，旨在打破企业网络和战术网络之间的壁垒，构建一个全球统一网络。雷伊中将强调，新版本将为2030年的陆军多域作战提供支持，推动零信任原则的实施，即假设网络已被入侵并持续验证用户、设备和数据。此外，该计划还将进一步推动陆军向数据为中心的方向发展，确保网络架构能够满足未来战争对数据的需求。

▶︎ 15.美国证券交易委员会制定加密货币监管框架

1月21日，美国证券交易委员会（SEC）成立特别工作组，制定加密货币监管框架。该工作组将由SEC委员赫斯特·皮尔斯（Hester Peirce）领导，主要任务是协助SEC明确加密货币监管边界、提供可行的注册途径、创建合理的披露框架，并审慎地部署执法资源。该工作组将解决长期以来关于加密货币监管方面界限模糊的问题，表明美国政府在加密货币监管方面的积极转变。

▶︎ 16.特朗普签署加密货币行政令

1月23日，特朗普签署加密货币行政令，宣布成立一个加密货币工作组，工作组将由财政部部长、司法部长、美国证券交易委员会和商品期货交易委员会的主席以及其他机构负责人组成。该小组的任务是制定数字资产监管框架，包括稳定币。该小组还将“评估建立和维护国家数字资产储备的可能性……这些储备可能来自联邦政府通过执法工作合法扣押的加密货币。”去年12月，特朗普任命风险投资家、前贝宝（PayPal）高管大卫·萨克斯（David Sacks）为加密和人工智能沙皇。他也将担任这个小组的主席。该行政令反映特朗普在履行竞选承诺，成为“加密货币总统，并促进数字资产的采用。”

▶︎ 17.特朗普签关于消除美国人工智能创新的障碍的行政命令

1月23日，特朗普签署旨在“消除美国在AI领域领导地位的障碍”的行政令，撤销了前总统拜登2023年发布的人工智能行政令，称美国必须果断行动，以“维持和加强美国在人工智能领域的主导地位，以促进人类繁荣、经济竞争力和国家安全”。行政令要求在六个月内制定一项新的联邦政府人工智能“行动计划”。新计划将由白宫科技政策办公室（OSTP）、管理和预算办公室（OMB）以及相关顾问制定，目标是“维持和增强美国在全球人工智能领域的主导地位”，强调“消除意识形态偏见或人为设计的社会议程”，并推动经济增长和国家安全。