IT之家注意到,截至目前,微信官方已累计处置内容 532 条、关闭账号 209 个。典型案例如下:
微信官方表示,后续将持续对“利用 AI 仿冒知名人士进行营销宣传”等违规行为增加打击力度,进一步提升技术治理能力和水平,维护良好生态;同时也倡导用户自觉遵守法律法规与平台规则。
本文转自IT之家:https://www.ithome.com
第一届工业和信息化部人工智能标准化技术委员会由 41 名委员组成,秘书处由中国信息通信研究院承担。
姓名 | 标委会职务 | 工作单位 | 职务 / 职称 |
|---|---|---|---|
郑志明 | 主任委员 | 中国科学院 | 院士 |
余晓晖 | 常务副主任委员 | 中国信息通信研究院 | 院长 |
刘贤刚 | 副主任委员 | 中国电子技术标准化研究院 | 副院长 |
王蕴辉 | 副主任委员 | 工业和信息化部电子第五研究所 | 副所长 |
黄铁军 | 副主任委员 | 北京智源人工智能研究院 | 理事长 |
周伯文 | 副主任委员 | 上海人工智能实验室 | 主任 |
魏凯 | 秘书长兼委员 | 中国信息通信研究院 | 所长 |
山金孝 | 委员 | 招商局集团有限公司 | 处长 |
马艳军 | 委员 | 北京百度网讯科技有限公司 | 总经理 |
马瑞涛 | 委员 | 中国联合网络通信有限公司研究院 | 总监 |
王士进 | 委员 | 科大讯飞股份有限公司 | 副院长 |
王华 | 委员 | 摩尔线程智能科技(北京)有限责任公司 | 副总裁 |
王兴兴 | 委员 | 杭州宇树科技有限公司 | 首席执行官 |
王琛 | 委员 | 中国商用飞机有限责任公司 | 通用基础总师 |
王强 | 委员 | 国家卫生健康标准委员会 | 副秘书长 |
尤昉 | 委员 | 华为技术有限公司 | 部长 |
朱红儒 | 委员 | 阿里巴巴(中国)有限公司 | 业务副总裁 |
刘茗 | 委员 | 锐捷网络股份有限公司 | 首席架构师 |
衣丰涛 | 委员 | 工业和信息化部产业发展促进中心 | 处长 |
江豫京 | 委员 | 上海燧原科技股份有限公司 | 副总裁 |
孙孝思 | 委员 | 昆仑芯(北京)科技有限公司 | 副总裁 |
孙茂松 | 委员 | 清华大学 | 教授 |
李振廷 | 委员 | 之江实验室 | 总监 |
杨明川 | 委员 | 中国电信股份有限公司研究院 | 所长 |
吴飞 | 委员 | 浙江大学 | 教授 |
吴韶华 | 委员 | 浪潮电子信息产业股份有限公司 | 总监 |
张望 | 委员 | 上海商汤智能科技有限公司 | 副总裁 |
陈晰 | 委员 | 中国电力科学研究院 | 总监 |
金镝 | 委员 | 中国移动通信有限公司研究院 | 副总经理 |
周围 | 委员 | 维沃移动通信有限公司 | 副总裁 |
周宏毅 | 委员 | 新华三技术有限公司 | 首席技术官 |
周俊 | 委员 | 蚂蚁科技集团有限公司 | 事业部副总裁 |
郑建铧 | 委员 | 鹏城实验室 | 研究员 |
贺刚 | 委员 | 重庆长安汽车股份有限公司 | 总经理 |
钱丽娟 | 委员 | 中国计量大学 | 教授 |
曹志敏 | 委员 | 上海阶跃星辰智能科技有限公司 | 首席运营官 |
崔向雨 | 委员 | 北京海天瑞声科技股份有限公司 | 副总裁 |
董进 | 委员 | 国家区块链技术创新中心 | 主任 |
蒋杰 | 委员 | 深圳市腾讯计算机系统有限公司 | 副总裁 |
曾毅 | 委员 | 中国科学院自动化研究所 | 研究员 |
冀振燕 | 委员 | 北京交通大学 | 教授 |
姓名 | 标委会职务 | 工作单位 | 职务 / 职称 |
|---|---|---|---|
闻库 | 顾问 | 中国通信标准化协会 | 理事长 |
陈家春 | 顾问 | 中国互联网协会 | 副理事长兼常务副秘书长 |
据IT之家今年 7 月报道,工信部人工智能标准化技术委员会筹建方案拟定业务范围涵盖基础通用、基础支撑、算法模型、运维管理、安全治理等 5 方面:
本文转自IT之家:https://www.ithome.com
据了解,早在 2023 年 6 月,微软宣布不再支持自 1993 年推出的 NTLM(New Technology LAN Manager)身份验证协议,并建议用户升级至 Windows Negotiate 协议。然而,NTLM 协议的漏洞依然是攻击者的目标,Windows 7 / Server 2008 R2 至 Windows 11 Version 24H2 及 Server 2022 之间的版本均受影响。此次发现的漏洞仅需用户浏览受感染的文件夹,即可导致凭据泄露。
这一漏洞对旧版 Windows 用户的威胁尤为严重。尽管 Windows 11 预计将在未来数周或数月内收到官方补丁,Windows 7 等旧版本由于已停止官方支持,面临更高风险。虽然 Windows 10 目前仍处于支持期,但其支持将于明年 10 月结束,若未购买延长支持计划,类似问题可能在其最终版本中得不到修复。
0Patch 在其博客中透露,这并非他们近期发现的唯一安全问题。在此之前,0Patch 还修复了三个非 NTLM 的零日漏洞和三个微软“不会修复”的 NTLM 相关漏洞。由于微软不会为已停止支持的 Windows 版本或“不会修复”的漏洞发布补丁,0Patch 提供的这些修复补丁目前均可免费获取。
值得注意的是,0Patch 指出,目前尚未发现利用该 NTLM 漏洞的实际攻击案例。一些现有的安全解决方案可能已经能够自动阻止类似攻击,但无法保证所有受影响用户都具备这样的保护能力。
此次发布的补丁(“微补丁”)仅修复了一个具体的 NTLM 指令漏洞,从技术角度看,安装风险较低。然而,由于其为非官方补丁,用户仍需根据自身情况审慎决定是否安装。0Patch 呼吁微软尽快推出官方修复方案,因为仅通过浏览受感染文件夹就可能导致网络凭据被窃取的情况非常令人担忧。
本文转自IT之家:https://www.ithome.com
GraphRAG 简介
注:微软的 GraphRAG(图基检索增强生成)是一种新型的检索增强生成(RAG)框架,旨在利用知识图谱和大型语言模型(LLMs)来提升信息处理和问答能力。
图源:微软
GraphRAG 通过构建知识图谱,从非结构化文本中提取结构化数据,这使得模型能够更好地理解和处理复杂信息。自 2024 年 7 月 2 日开源以来,GraphRAG 在 GitHub 上迅速获得了超过万次的星标。
支持动态社区
新引入的动态社区选择优化了知识图谱的访问方式,从而提高了响应的质量和效率。
该过程使用轻量级模型 GPT-4o-mini 来识别相关数据部分,只有这些部分进入主要处理阶段,从而显著减少计算工作负载。内部测试显示,采用动态选择后,tokens 成本平均降低了 77%。
2024 年 11 月发布的 GraphRAG 版本 0.4.0 还包括增量索引和 DRIFT(动态检索推理与过滤技术)模块。
这些功能使得知识图谱的更新变得更为高效,同时提高了搜索的准确性。通过这种结构,GraphRAG 能够生成更具上下文的答案,减少了传统文档系统中常见的碎片化输出。
本文转自IT之家:https://www.ithome.com
OpenAI 的产品开发人员 Alex Embiricos 在媒体简报中提到,“用户可以随时轻松开始新的对话,不会打断现有工作流程,还可以接续未完成的对话或提出新问题。”
桌面版 ChatGPT 支持拍照识别和高级语音两大功能,用户可使用语音与其进行交流,并通过“Alt + 空格”键快速访问 ChatGPT,无需多次切换浏览器,就能上传文件、照片 / 截图,进行聊天问答,让工作和 ChatGPT 无缝集成。
该应用程序具备网络版 ChatGPT 的大部分功能,如 ChatGPT 搜索和高级模式 —— 但这两项功能仅对每月 20 美元(备注:当前约 145 元人民币)的 ChatGPT Plus 用户开放。
此外,Windows 版 ChatGPT 还支持截图,用户能够更加方便地将图片发送给聊天机器人,也可以自定义快捷键以调出伴随窗口。
据了解,Windows 用户能使用的功能包含 GPT-4o、OpenAI o1-preview 的所有模型,以及内置的文生图模型 DALL-E 3。
本文转自IT之家:https://www.ithome.com
Windows Terminal 简介
注:Windows Terminal 是微软开发的一款现代化、多标签的终端仿真器,旨在替代传统的 Windows 控制台。 它为命令行用户提供了一个快速、高效、功能丰富的终端应用程序,适用于 Windows 10 及更高版本。
Windows Terminal 集成 AI 功能
微软于今年 9 月预告将为 Windows Terminal 集成 AI Chat 功能,在 10 月 29 日发布的 Windows Terminal 更新中已集成上线。
前期设置
Windows Terminal 虽然集成 AI 功能,但并非免费,用户需要输入 Github Copilot API、Azure 的 OpenAI API 或 OpenAI 的 API Key。
Windows Terminal 验证 Key 后调用上述 API,用户在终端聊天窗口中输入问题后,应用会将您的请求发送给 AI,AI 处理查询并提供快速建议。
集成的 AI 能够识别用户当前所用的 Shell 环境,如 PowerShell 或 WSL,并提供相应的命令建议。
初步体验
如果用户使用 OpenAI 的 ChatGPT API,那么不需要在 Terminal 中设置端点(endpoint);如果用户使用 Azure API 时,则需要在 Terminal 中添加一个 AI 端点。
该媒体测试使用 ChatGPT API Key,添加到 Terminal 后,打开了一个新标签并选择了“Terminal 聊天”。
这将打开一个新的 Terminal 聊天窗口,里面有一个聊天框、删除历史记录按钮和导出按钮。它类似于默认的 ChatGPT 界面,但界面经过紧凑设计,以满足 Windows Terminal 环境的需求。
在测试中,用户可以通过简单的问题与 AI 进行互动。例如,在 PowerShell 中询问“如何创建文件夹”,AI 会建议使用 New-Item -ItemType Directory。在 Linux 环境下,AI 会推荐使用 mkdir 命令。
如果用户遇到错误,可以将其粘贴到终端聊天中,它会解释出错的原因以及如何修复。
本文转自51CTO:https://www.51cto.com
StatCounter 的最新数据显示,尽管 Windows 11 已经发布三年,但 Windows 10 仍然拥有 62.7% 的市场份额,而 Windows 11 的普及率仅为 33%。与此同时,Windows 7 仍然有一批忠实的用户,其市场份额为 2.8%。
一旦支持结束,微软将不再提供安全更新,这意味着未来 Windows 10 平台中发现的任何漏洞都将无法修复,而未打补丁的系统极易受到恶意软件、病毒和其他网络攻击的侵害。虽然防病毒软件可以缓解一些风险,但其无法保护系统内核级别的深度漏洞。
随着时间的推移,软件、驱动程序甚至第三方外围设备也将逐渐停止支持 Windows 10。此外,由于缺乏持续更新,系统性能可能会随着新硬件和软件与 Windows 10 不兼容而下降。
对于仍然在使用 Windows 10 的用户来说,最好的选择是升级到 Windows 11。然而 Windows 11 对硬件有更严格的要求,因此较旧的电脑可能不符合条件。
对于那些希望继续使用 Windows 10 的用户,微软将提供额外的三年付费扩展支持,直到 2028 年 10 月。此选项主要面向企业客户,个人用户的定价尚未公布。
本文转自IT之家:https://www.ithome.com
Gartner 高级首席分析师 Philip Walsh 表示:“对 AI 潜力的大胆预测引发了人们的猜测,认为 AI 可能减少对人类工程师的需求,甚至完全取代他们。尽管 AI 将重新定义软件工程师的角色,但人类的专业知识和创造力仍然是开发复杂、创新软件的关键。”
从报告获悉,AI 将在如下三阶段影响软件工程师的工作。
短期:AI 仍将在一定范围内应用
AI 工具将通过增强现有开发者的工作方式和任务,带来一定程度的生产力提升。尤其是在拥有成熟工程实践的企业中,高级开发人员的工作效率将显著提高。
中期:AI 智能体(AI Agent)将突破现有工作方式
AI 智能体将改变开发人员的工作模式,使开发者能够完全自动化,这标志着 AI 原生软件工程时代的到来。在这个阶段,大多数代码将由 AI 生成,而不是由人类编写。
Walsh 解释说:“在 AI 原生时代,软件工程师将采用‘ AI 优先’的思维方式,更多关注如何让 AI 代理理解并处理特定任务的背景和限制条件。”自然语言提示工程和增强生成(RAG)技能将成为开发人员的必备能力。
长期:AI 技术的进步将打破更多限制,AI 工程将成为主流
虽然 AI 会提升工程效率,但企业将需要更多技能娴熟的软件工程师,以满足对 AI 赋能软件快速增长的需求。
“开发 AI 驱动的应用将催生一种新型软件专业人才 —— AI 工程师。他们具备软件开发、数据科学和 AI / 机器学习方面的综合技能,这些技能将变得非常抢手。”
根据 Gartner 在 2023 年第四季度对 300 家美国和英国企业进行的一项调查,56% 的软件工程主管认为 AI / 机器学习工程师是 2024 年最急需的人才,AI / 机器学习应用于实际场景的技能也被认为是工程师最大的短板。
报告称,为了支持 AI 工程师,企业需要加大对 AI 开发平台的投资。AI 开发平台能够帮助企业更高效地构建 AI 技术,并大规模应用于企业解决方案。“这意味着企业还要为数据工程和平台工程团队提供技能培训,使其掌握支持 AI 持续集成与开发的工具和流程。”
本文转自IT之家:https://www.ithome.com/
该公司在官方公告中写道:
用户自今天开始,可以在任意 ARM 设备上安装 Arc 浏览器,欢迎 Windows on Arm 用户前往 arc.net 下载体验,也邀请更多好友参与体验。
查询公开资料,新版 Arc 浏览器除了原生支持 Windows on Arm 设备之后,新版中还修复了因拖动标签以创建新的 Arc 窗口或在两个 Arc 窗口之间拖动标签引起的崩溃问题。
本文转自IT之家:https://www.ithome.com
中华人民共和国国务院令
第790号
《网络数据安全管理条例》已经2024年8月30日国务院第40次常务会议通过,现予公布,自2025年1月1日起施行。
总理 李强
2024年9月24日
网络数据安全管理条例
第一章 总 则
第一条 为了规范网络数据处理活动,保障网络数据安全,促进网络数据依法合理有效利用,保护个人、组织的合法权益,维护国家安全和公共利益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律,制定本条例。
第二条 在中华人民共和国境内开展网络数据处理活动及其安全监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内自然人个人信息的活动,符合《中华人民共和国个人信息保护法》第三条第二款规定情形的,也适用本条例。
在中华人民共和国境外开展网络数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第三条 网络数据安全管理工作坚持中国共产党的领导,贯彻总体国家安全观,统筹促进网络数据开发利用与保障网络数据安全。
第四条 国家鼓励网络数据在各行业、各领域的创新应用,加强网络数据安全防护能力建设,支持网络数据相关技术、产品、服务创新,开展网络数据安全宣传教育和人才培养,促进网络数据开发利用和产业发展。
第五条 国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。
第六条 国家积极参与网络数据安全相关国际规则和标准的制定,促进国际交流与合作。
第七条 国家支持相关行业组织按照章程,制定网络数据安全行为规范,加强行业自律,指导会员加强网络数据安全保护,提高网络数据安全保护水平,促进行业健康发展。
第二章 一般规定
第八条 任何个人、组织不得利用网络数据从事非法活动,不得从事窃取或者以其他非法方式获取网络数据、非法出售或者非法向他人提供网络数据等非法网络数据处理活动。
任何个人、组织不得提供专门用于从事前款非法活动的程序、工具;明知他人从事前款非法活动的,不得为其提供互联网接入、服务器托管、网络存储、通讯传输等技术支持,或者提供广告推广、支付结算等帮助。
第九条 网络数据处理者应当依照法律、行政法规的规定和国家标准的强制性要求,在网络安全等级保护的基础上,加强网络数据安全防护,建立健全网络数据安全管理制度,采取加密、备份、访问控制、安全认证等技术措施和其他必要措施,保护网络数据免遭篡改、破坏、泄露或者非法获取、非法利用,处置网络数据安全事件,防范针对和利用网络数据实施的违法犯罪活动,并对所处理网络数据的安全承担主体责任。
第十条 网络数据处理者提供的网络产品、服务应当符合相关国家标准的强制性要求;发现网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;涉及危害国家安全、公共利益的,网络数据处理者还应当在24小时内向有关主管部门报告。
第十一条 网络数据处理者应当建立健全网络数据安全事件应急预案,发生网络数据安全事件时,应当立即启动预案,采取措施防止危害扩大,消除安全隐患,并按照规定向有关主管部门报告。
网络数据安全事件对个人、组织合法权益造成危害的,网络数据处理者应当及时将安全事件和风险情况、危害后果、已经采取的补救措施等,以电话、短信、即时通信工具、电子邮件或者公告等方式通知利害关系人;法律、行政法规规定可以不通知的,从其规定。网络数据处理者在处置网络数据安全事件过程中发现涉嫌违法犯罪线索的,应当按照规定向公安机关、国家安全机关报案,并配合开展侦查、调查和处置工作。
第十二条 网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。
网络数据接收方应当履行网络数据安全保护义务,并按照约定的目的、方式、范围等处理个人信息和重要数据。
两个以上的网络数据处理者共同决定个人信息和重要数据的处理目的和处理方式的,应当约定各自的权利和义务。
第十三条 网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。
第十四条 网络数据处理者因合并、分立、解散、破产等原因需要转移网络数据的,网络数据接收方应当继续履行网络数据安全保护义务。
第十五条 国家机关委托他人建设、运行、维护电子政务系统,存储、加工政务数据,应当按照国家有关规定经过严格的批准程序,明确受托方的网络数据处理权限、保护责任等,监督受托方履行网络数据安全保护义务。
第十六条 网络数据处理者为国家机关、关键信息基础设施运营者提供服务,或者参与其他公共基础设施、公共服务系统建设、运行、维护的,应当依照法律、法规的规定和合同约定履行网络数据安全保护义务,提供安全、稳定、持续的服务。
前款规定的网络数据处理者未经委托方同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。
第十七条 为国家机关提供服务的信息系统应当参照电子政务系统的管理要求加强网络数据安全管理,保障网络数据安全。
第十八条 网络数据处理者使用自动化工具访问、收集网络数据,应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
第十九条 提供生成式人工智能服务的网络数据处理者应当加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险。
第二十条 面向社会提供产品、服务的网络数据处理者应当接受社会监督,建立便捷的网络数据安全投诉、举报渠道,公布投诉、举报方式等信息,及时受理并处理网络数据安全投诉、举报。
第三章 个人信息保护
第二十一条 网络数据处理者在处理个人信息前,通过制定个人信息处理规则的方式依法向个人告知的,个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、清晰易懂,包括但不限于下列内容:
(一)网络数据处理者的名称或者姓名和联系方式;
(二)处理个人信息的目的、方式、种类,处理敏感个人信息的必要性以及对个人权益的影响;
(三)个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法;
(四)个人查阅、复制、转移、更正、补充、删除、限制处理个人信息以及注销账号、撤回同意的方法和途径等。
网络数据处理者按照前款规定向个人告知收集和向其他网络数据处理者提供个人信息的目的、方式、种类以及网络数据接收方信息的,应当以清单等形式予以列明。网络数据处理者处理不满十四周岁未成年人个人信息的,还应当制定专门的个人信息处理规则。
第二十二条 网络数据处理者基于个人同意处理个人信息的,应当遵守下列规定:
(一)收集个人信息为提供产品或者服务所必需,不得超范围收集个人信息,不得通过误导、欺诈、胁迫等方式取得个人同意;
(二)处理生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息的,应当取得个人的单独同意;
(三)处理不满十四周岁未成年人个人信息的,应当取得未成年人的父母或者其他监护人的同意;
(四)不得超出个人同意的个人信息处理目的、方式、种类、保存期限处理个人信息;
(五)不得在个人明确表示不同意处理其个人信息后,频繁征求同意;
(六)个人信息的处理目的、方式、种类发生变更的,应当重新取得个人同意。
法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。
第二十三条 个人请求查阅、复制、更正、补充、删除、限制处理其个人信息,或者个人注销账号、撤回同意的,网络数据处理者应当及时受理,并提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。
第二十四条 因使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,以及个人注销账号的,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。
第二十五条 对符合下列条件的个人信息转移请求,网络数据处理者应当为个人指定的其他网络数据处理者访问、获取有关个人信息提供途径:
(一)能够验证请求人的真实身份;
(二)请求转移的是本人同意提供的或者基于合同收集的个人信息;
(三)转移个人信息具备技术可行性;
(四)转移个人信息不损害他人合法权益。
请求转移个人信息次数等明显超出合理范围的,网络数据处理者可以根据转移个人信息的成本收取必要费用。
第二十六条 中华人民共和国境外网络数据处理者处理境内自然人个人信息,依照《中华人民共和国个人信息保护法》第五十三条规定在境内设立专门机构或者指定代表的,应当将有关机构的名称或者代表的姓名、联系方式等报送所在地设区的市级网信部门;网信部门应当及时通报同级有关主管部门。
第二十七条 网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
第二十八条 网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。
第四章 重要数据安全
第二十九条 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护。
网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。网络数据处理者应当履行网络数据安全保护责任。
国家鼓励网络数据处理者使用数据标签标识等技术和产品,提高重要数据安全管理水平。
第三十条 重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全管理机构应当履行下列网络数据安全保护责任:
(一)制定实施网络数据安全管理制度、操作规程和网络数据安全事件应急预案;
(二)定期组织开展网络数据安全风险监测、风险评估、应急演练、宣传教育培训等活动,及时处置网络数据安全风险和事件;
(三)受理并处理网络数据安全投诉、举报。
网络数据安全负责人应当具备网络数据安全专业知识和相关管理工作经历,由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。
掌握有关主管部门规定的特定种类、规模的重要数据的网络数据处理者,应当对网络数据安全负责人和关键岗位的人员进行安全背景审查,加强相关人员培训。审查时,可以申请公安机关、国家安全机关协助。
第三十一条 重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。
风险评估应当重点评估下列内容:
(一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;
(二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险;
(三)网络数据接收方的诚信、守法等情况;
(四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务;
(五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险;
(六)有关主管部门规定的其他评估内容。
第三十二条 重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当采取措施保障网络数据安全,并向省级以上有关主管部门报告重要数据处置方案、接收方的名称或者姓名和联系方式等;主管部门不明确的,应当向省级以上数据安全工作协调机制报告。
第三十三条 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。
风险评估报告应当包括下列内容:
(一)网络数据处理者基本信息、网络数据安全管理机构信息、网络数据安全负责人姓名和联系方式等;
(二)处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点等,开展网络数据处理活动的情况,不包括网络数据内容本身;
(三)网络数据安全管理制度及实施情况,加密、备份、标签标识、访问控制、安全认证等技术措施和其他必要措施及其有效性;
(四)发现的网络数据安全风险,发生的网络数据安全事件及处置情况;
(五)提供、委托处理、共同处理重要数据的风险评估情况;
(六)网络数据出境情况;
(七)有关主管部门规定的其他报告内容。
处理重要数据的大型网络平台服务提供者报送的风险评估报告,除包括前款规定的内容外,还应当充分说明关键业务和供应链网络数据安全等情况。
重要数据的处理者存在可能危害国家安全的重要数据处理活动的,省级以上有关主管部门应当责令其采取整改或者停止处理重要数据等措施。重要数据的处理者应当按照有关要求立即采取措施。
第五章 网络数据跨境安全管理
第三十四条 国家网信部门统筹协调有关部门建立国家数据出境安全管理专项工作机制,研究制定国家网络数据出境安全管理相关政策,协调处理网络数据出境安全重大事项。
第三十五条 符合下列条件之一的,网络数据处理者可以向境外提供个人信息:
(一)通过国家网信部门组织的数据出境安全评估;
(二)按照国家网信部门的规定经专业机构进行个人信息保护认证;
(三)符合国家网信部门制定的关于个人信息出境标准合同的规定;
(四)为订立、履行个人作为一方当事人的合同,确需向境外提供个人信息;
(五)按照依法制定的劳动规章制度和依法签订的集体合同实施跨境人力资源管理,确需向境外提供员工个人信息;
(六)为履行法定职责或者法定义务,确需向境外提供个人信息;
(七)紧急情况下为保护自然人的生命健康和财产安全,确需向境外提供个人信息;
(八)法律、行政法规或者国家网信部门规定的其他条件。
第三十六条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
第三十七条 网络数据处理者在中华人民共和国境内运营中收集和产生的重要数据确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。网络数据处理者按照国家有关规定识别、申报重要数据,但未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
第三十八条 通过数据出境安全评估后,网络数据处理者向境外提供个人信息和重要数据的,不得超出评估时明确的数据出境目的、方式、范围和种类、规模等。
第三十九条 国家采取措施,防范、处置网络数据跨境安全风险和威胁。任何个人、组织不得提供专门用于破坏、避开技术措施的程序、工具等;明知他人从事破坏、避开技术措施等活动的,不得为其提供技术支持或者帮助。
第六章 网络平台服务提供者义务
第四十条 网络平台服务提供者应当通过平台规则或者合同等明确接入其平台的第三方产品和服务提供者的网络数据安全保护义务,督促第三方产品和服务提供者加强网络数据安全管理。
预装应用程序的智能终端等设备生产者,适用前款规定。
第三方产品和服务提供者违反法律、行政法规的规定或者平台规则、合同约定开展网络数据处理活动,对用户造成损害的,网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应当依法承担相应责任。
国家鼓励保险公司开发网络数据损害赔偿责任险种,鼓励网络平台服务提供者、预装应用程序的智能终端等设备生产者投保。
第四十一条 提供应用程序分发服务的网络平台服务提供者,应当建立应用程序核验规则并开展网络数据安全相关核验。发现待分发或者已分发的应用程序不符合法律、行政法规的规定或者国家标准的强制性要求的,应当采取警示、不予分发、暂停分发或者终止分发等措施。
第四十二条 网络平台服务提供者通过自动化决策方式向个人进行信息推送的,应当设置易于理解、便于访问和操作的个性化推荐关闭选项,为用户提供拒绝接收推送信息、删除针对其个人特征的用户标签等功能。
第四十三条 国家推进网络身份认证公共服务建设,按照政府引导、用户自愿原则进行推广应用。
鼓励网络平台服务提供者支持用户使用国家网络身份认证公共服务登记、核验真实身份信息。
第四十四条 大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告,报告内容包括但不限于个人信息保护措施和成效、个人行使权利的申请受理情况、主要由外部成员组成的个人信息保护监督机构履行职责情况等。
第四十五条 大型网络平台服务提供者跨境提供网络数据,应当遵守国家数据跨境安全管理要求,健全相关技术和管理措施,防范网络数据跨境安全风险。
第四十六条 大型网络平台服务提供者不得利用网络数据、算法以及平台规则等从事下列活动:
(一)通过误导、欺诈、胁迫等方式处理用户在平台上产生的网络数据;
(二)无正当理由限制用户访问、使用其在平台上产生的网络数据;
(三)对用户实施不合理的差别待遇,损害用户合法权益;
(四)法律、行政法规禁止的其他活动。
第七章 监督管理
第四十七条 国家网信部门负责统筹协调网络数据安全和相关监督管理工作。
公安机关、国家安全机关依照有关法律、行政法规和本条例的规定,在各自职责范围内承担网络数据安全监督管理职责,依法防范和打击危害网络数据安全的违法犯罪活动。
国家数据管理部门在具体承担数据管理工作中履行相应的网络数据安全职责。
各地区、各部门对本地区、本部门工作中收集和产生的网络数据及网络数据安全负责。
第四十八条 各有关主管部门承担本行业、本领域网络数据安全监督管理职责,应当明确本行业、本领域网络数据安全保护工作机构,统筹制定并组织实施本行业、本领域网络数据安全事件应急预案,定期组织开展本行业、本领域网络数据安全风险评估,对网络数据处理者履行网络数据安全保护义务情况进行监督检查,指导督促网络数据处理者及时对存在的风险隐患进行整改。
第四十九条 国家网信部门统筹协调有关主管部门及时汇总、研判、共享、发布网络数据安全风险相关信息,加强网络数据安全信息共享、网络数据安全风险和威胁监测预警以及网络数据安全事件应急处置工作。
第五十条 有关主管部门可以采取下列措施对网络数据安全进行监督检查:
(一)要求网络数据处理者及其相关人员就监督检查事项作出说明;
(二)查阅、复制与网络数据安全有关的文件、记录;
(三)检查网络数据安全措施运行情况;
(四)检查与网络数据处理活动有关的设备、物品;
(五)法律、行政法规规定的其他必要措施。
网络数据处理者应当对有关主管部门依法开展的网络数据安全监督检查予以配合。
第五十一条 有关主管部门开展网络数据安全监督检查,应当客观公正,不得向被检查单位收取费用。
有关主管部门在网络数据安全监督检查中不得访问、收集与网络数据安全无关的业务信息,获取的信息只能用于维护网络数据安全的需要,不得用于其他用途。
有关主管部门发现网络数据处理者的网络数据处理活动存在较大安全风险的,可以按照规定的权限和程序要求网络数据处理者暂停相关服务、修改平台规则、完善技术措施等,消除网络数据安全隐患。
第五十二条 有关主管部门在开展网络数据安全监督检查时,应当加强协同配合、信息沟通,合理确定检查频次和检查方式,避免不必要的检查和交叉重复检查。
个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。重要数据风险评估和网络安全等级测评的内容重合的,相关结果可以互相采信。
第五十三条 有关主管部门及其工作人员对在履行职责中知悉的个人隐私、个人信息、商业秘密、保密商务信息等网络数据应当依法予以保密,不得泄露或者非法向他人提供。
第五十四条 境外的组织、个人从事危害中华人民共和国国家安全、公共利益,或者侵害中华人民共和国公民的个人信息权益的网络数据处理活动的,国家网信部门会同有关主管部门可以依法采取相应的必要措施。
第八章 法律责任
第五十五条 违反本条例第十二条、第十六条至第二十条、第二十二条、第四十条第一款和第二款、第四十一条、第四十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正或者情节严重的,处100万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款。
第五十六条 违反本条例第十三条规定的,由网信、电信、公安、国家安全等主管部门依据各自职责责令改正,给予警告,可以并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者情节严重的,处100万元以上1000万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款。
第五十七条 违反本条例第二十九条第二款、第三十条第二款和第三款、第三十一条、第三十二条规定的,由网信、电信、公安等主管部门依据各自职责责令改正,给予警告,可以并处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处1万元以上10万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处50万元以上200万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处5万元以上20万元以下罚款。
第五十八条 违反本条例其他有关规定的,由有关主管部门依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律的有关规定追究法律责任。
第五十九条 网络数据处理者存在主动消除或者减轻违法行为危害后果、违法行为轻微并及时改正且没有造成危害后果或者初次违法且危害后果轻微并及时改正等情形的,依照《中华人民共和国行政处罚法》的规定从轻、减轻或者不予行政处罚。
第六十条 国家机关不履行本条例规定的网络数据安全保护义务的,由其上级机关或者有关主管部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第六十一条 违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第九章 附 则
第六十二条 本条例下列用语的含义:
(一)网络数据,是指通过网络处理和产生的各种电子数据。
(二)网络数据处理活动,是指网络数据的收集、存储、使用、加工、传输、提供、公开、删除等活动。
(三)网络数据处理者,是指在网络数据处理活动中自主决定处理目的和处理方式的个人、组织。
(四)重要数据,是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
(五)委托处理,是指网络数据处理者委托个人、组织按照约定的目的和方式开展的网络数据处理活动。
(六)共同处理,是指两个以上的网络数据处理者共同决定网络数据的处理目的和处理方式的网络数据处理活动。
(七)单独同意,是指个人针对其个人信息进行特定处理而专门作出具体、明确的同意。
(八)大型网络平台,是指注册用户5000万以上或者月活跃用户1000万以上,业务类型复杂,网络数据处理活动对国家安全、经济运行、国计民生等具有重要影响的网络平台。
第六十三条 开展核心数据的网络数据处理活动,按照国家有关规定执行。
自然人因个人或者家庭事务处理个人信息的,不适用本条例。
开展涉及国家秘密、工作秘密的网络数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。
第六十四条 本条例自2025年1月1日起施行。
本文转自中国人民政府官方网站:https://www.gov.cn
