2024年第31周安全周报 | 本周安全要闻速览
● 两部门就《国家网络身份认证公共服务管理办法(征求意见稿)》公开征求意见
为强化公民个人信息保护,推进并规范国家网络身份认证公共服务建设应用,加快实施网络可信身份战略,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国反电信网络诈骗法》等法律法规,公安部、国家互联网信息办公室等研究起草了《国家网络身份认证公共服务管理办法(征求意见稿)》,现向社会公开征求意见。《管理办法》共16条,主要包括四个方面的内容:一是明确了公共服务和“网号”“网证”等概念;二是明确了公共服务的使用方式和场景;三是强调了公共服务平台和互联网平台的数据和个人信息保护义务;四是明确了公共服务平台和互联网平台违反数据和个人信息保护义务的法律责任。
来源:网信中国
● 北京市推动“人工智能+”行动计划(2024-2025年)》发布,明确提出安全保障等措施要求
为贯彻落实党中央、国务院关于发展人工智能的决策部署,促进人工智能加速赋能千行百业,大力推进大模型技术创新与行业深度融合,推动经济社会高质量发展。北京市发展改革委、市经济和信息化局、市科委中关村管委会联合制定了《北京市推动“人工智能+”行动计划(2024-2025年)》。《行动计划》围绕算力、数据、算法、资金、平台、人才等应用发展核心要素及关键环节难点问题,提出6个方面的保障措施。同时,加大安全保障,确保大模型应用合规、安全、可信。具体来说,统筹高质量发展和高水平安全,督促指导大模型企业落实国家关于生成式人工智能服务的法律要求,坚持包容审慎监管原则,加快推动本市大模型按要求上线,编制大模型分级分类管理和安全评测标准,围绕真实场景开展大模型应用质量评估、伦理对齐等方面评测,促进大模型应用安全合规发展。夯实数据安全和个人隐私保障能力,完善面向大模型行业的数据漏洞、隐私泄露等风险监测体系,支持权威机构开发大模型风险监测平台,形成“安全态势感知+风险评估预警”运作机制。压实大模型服务开发者、使用方的主体责任,引导各方依法依规使用生成式人工智能技术,注意保护个人隐私、知识产权和秘密信息,促进人工智能产业向上向善发展。
来源:北京经信局
● 工信部发布新版工业机器人行业规范条件和管理实施办法
为进一步加强工业机器人行业规范管理,推动产业高质量发展,根据行业发展变化和有关工作部署,工业和信息化部对《工业机器人行业规范条件》和《工业机器人行业规范管理实施办法》进行了修订,形成了《工业机器人行业规范条件(2024版)》和《工业机器人行业规范条件管理实施办法(2024版)》。新版两文件自2024年8月1日起实施,《工业机器人行业规范条件》(工业和信息化部2016年第65号公告)和《工业机器人行业规范管理实施办法》(工信部装〔2017〕161号)同时废止。《工业机器人行业规范条件(2024版)》要求,我国境内的工业机器人关键零部件(指减速器、伺服驱动系统、控制器等工业机器人关键零部件)、本体制造及集成应用企业应遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,加强网络和数据安全管理,保障网络和数据安全。
来源:工业和信息化部
● 营造良好网络生态 《网络暴力信息治理规定》8月1日起施行
国家网信办等四部门公布的《网络暴力信息治理规定》(以下简称《规定》)8月1日起正式施行。《规定》要求从信息内容治理环节抓住网络暴力治理关键,进一步完善网络暴力治理规范体系,织密营造良好网络生态的规则之网。《规定》从明确网络信息内容管理主体责任、建立健全预防预警机制等方面,回应群众呼声和社会关切,为加强网络暴力信息治理提供了有力支撑。《规定》从信息内容治理的维度,健全了网络暴力信息监督管理机制和法律责任相关规定,夯实了平台主体责任,规定了网信、公安、文旅、广电等部门监督管理职责和相关部门的协同治理机制,明确了相关处罚措施。监管部门、网络平台等各方在落实落细《规定》中,须推进网络暴力源头治理、综合治理,形成对网络暴力行为的“釜底抽薪”,为营造良好网络生态、保障公民合法权益、维护社会公共利益提供重要保障。
来源:陕西政法
● 央行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告》公开征求意见
为贯彻落实《中华人民共和国行政处罚法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》有关要求,中国人民银行拟对《中国人民银行关于进一步加强征信信息安全管理的通知》(银发〔2018〕102号)部分条款进行修改,起草了《修改<中国人民银行关于进一步加强征信信息安全管理的通知>有关公告(征求意见稿)》,现向社会公开征求意见。
来源:中国人民银行网站
● 美国NIST发布《两用基础模型滥用风险管理指南》草案及三份有关AI的最终文件
美国国家标准与技术研究院 (NIST) 发布了《两用基础模型滥用风险管理指南草案》(NIST AI 800-1) 征求公众意见。该指南草案概述了基础模型开发人员如何保护其系统不被滥用以对个人、公共安全和国家安全造成故意伤害的自愿性最佳实践。该指南草案提供了七个目标,以减轻模型被滥用的风险,并就如何实施这些目标以及如何在实施过程中保持透明提出了建议。七个目标包括:预测潜在的误用风险;制定管理滥用风险的计划;管理模型被盗窃的风险;衡量滥用的风险;确保在部署基础模型之前对滥用行为进行管理;在部署后收集和响应有关滥用的信息;提供有关滥用风险的适当透明度。在其附录中,指导意见草案还提供了一份非穷尽的清单,列出了几类防止滥用基础模型的保障措施示例。公众可在 2024 年 9 月 9 日之前提交反馈意见。
来源:安全内参
● 美国NIST在白宫峰会上推动关键及新兴技术国家标准制定
美国国家标准技术研究院(NIST)参加了白宫峰会,与政府机构、行业和标准制定组织的代表共同讨论美国政府关键及新兴技术国家标准战略(USG NSSCET)。该战略旨在确立强大的技术标准,使美国产业能在国际舞台上公平竞争,并支持私营部门主导的现行标准倡议。USG NSSCET文件关注通信网络技术、量子信息技术、半导体和微电子、人工智能、生物技术、清洁能源技术等关键及新兴技术,这些技术对美国国家安全至关重要。NIST与美国政府各部门合作,创建了实施路线图,并广泛征求私营部门和更广泛利益相关者社区的反馈。路线图建议美国政府采取行动,增加对CET预标准开发活动的投资,扩大CET标准参与度,培养精通CET标准的劳动力,并确保CET标准制定过程中的包容性和完整性。
来源:industrialcyber
● 美国参议院推动联邦文件保密系统现代化改革
美国参议院的立法者们正在努力更新被认为过时且妨碍透明度和跨部门合作的联邦政府文件保密系统。去年,前总统特朗普和拜登因保留白宫和海军天文台任职期间的机密记录而受到调查,引发了对过度保密问题的新关注。随后,参议员Mark Warner和John Cornyn提出了旨在现代化保密和解密流程的两项法案。虽然《合理保密法案》已于去年12月作为2024年《国防授权法案》的一部分通过,但另一项法案的进展受阻。现在,Cornyn与参议院国土安全和政府事务委员会主席Gary Peters共同提出了《分类改革透明度法案》(S. 4648),该法案旨在建立一个新的总统特别工作组,以简化政府的分类系统,通过缩小文件分类的标准和减少机构用于避免记录自动解密的豁免数量。法案要求联邦机构书面说明其分类决策的理由,包括披露可能造成的具体伤害,并为文件分类设定了50年的“截止期限”。Peters在声明中指出,政府文件的不必要分类每年维护成本超过180亿美元,并限制了联邦机构之间的信息共享。他认为当前的分类系统不仅成本高昂、过时、效率低下,而且是一个日益严重的危机,破坏了国家安全和政府透明度。
来源:NEXTGOV FCW
● 美国参议院通过KOPSA法案,加强儿童网络隐私和安全保护
美国参议院近日以压倒性多数通过了《儿童网络安全和隐私法案》(KOPSA),这是一项具有里程碑意义的立法,旨在大幅加强17岁以下儿童的网络隐私和安全保护。KOPSA法案合并了两项先前的法案,包括《儿童和青少年网络隐私保护法案》(COPPA 2.0)和《儿童网络安全法案》(KOSA)。COPPA 2.0要求网站在收集或使用13岁以下儿童数据时必须获得家长同意,并禁止向17岁以下儿童发送定向广告,同时要求青少年同意数据收集。KOSA则规定了网站保护儿童免受有害内容侵害的义务,并赋予父母更多对孩子在线浏览内容的控制权。尽管COPPA 2.0得到了包括美国儿科学会、美国教师联合会等组织的广泛支持,但KOPSA法案在公民自由团体和儿童安全倡导者之间产生了分歧。
来源:The Record
● 俄罗斯拟立法赋予能源和交通设施保安干扰无人机导航的权利
俄罗斯国家杜马正在审议一项新法案,旨在增强能源和交通基础设施的安全。法案由国家杜马IT委员会主席提出,并由多个议员共同署名。该法案提议授予能源和交通设施的保安部门使用无线电电子战(РЭБ)手段,干扰无人机的导航系统和遥控信号,从而防止无人机对战略设施的潜在威胁。法案还计划对现行的《能源设施安全法》和《交通安全法》进行修订,并提出在保护对象范围外也允许使用这些干扰手段。为了保护保安人员在合法使用武器和技术设备时的免于责任,法案还规定了相关的法律保障措施。该措施旨在回应无人机已被用于对重要设施进行攻击的现状。
来源:SecurityLab.ru
