2023年7月13日，国家网信办发布《生成式人工智能服务管理暂行办法》（以下简称《办法》）。《办法》旨在促进生成式人工智能的健康发展和规范应用，明确了适用范围、生成式人工智能的定义以及相关产品和服务提供者的合规义务，对生成式人工智能（AIGC）进行专项监管，以期逐步完善中国人工智能法律体系、为相关产业提供更为明确的监管指导。

《办法》由总则、技术发展与治理、服务规范、监督检查与法律责任、附则一共五章内容组成。在促进生成式人工智能健康发展的前提需求下，承袭现有规范关于算法治理的内容基础上，《办法》明确了促进生成式人工智能技术发展的具体措施，规定了生成式人工智能服务的基本规范。其中特别强调AIGC服务提供者所必须履行的算法训练义务、内容管理义务、用户管理义务和监督检查义务几大义务模块。除上述合规义务外，AIGC服务提供者还应采取措施防止因AIGC技术不可预测风险而引发的AIGC服务使用者输入数据对外泄露，AIGC服务提供者应通过用户协议等对AIGC服务使用者的使用规则作出限制，并事先制定数据泄露事件应急预案。

对于作为AIGC服务使用者的企业来说，出于合法合规使用服务、防范数据泄露风险的目的，企业应当关注境外供应商产品的合规风险及业务连续性风险，加强供应商资质审查，确保采购合法合规的AIGC产品、服务或接口。同时，我们建议企业应进一步健全信息安全内控管理制度，开展有针对性的数据风险防控工作，加强宣传和引导，提升员工的风险防范和数据保护意识。我们建议企业在制度层面，需要结合生成式人工智能底层技术所需数据的特性和作用，建立健全数据分类分级保护制度，并建立与数据类型和安全级别相配套的数据保护标准与共享机制；在企业内控管理方面，企业应与人工智能服务提供者签署完备的合作协议以保障企业权益和义务边界；针对员工使用人工智能产品的情况，企业应结合业务运营实际情况，及时发布通知、提示等要求员工谨慎使用AIGC工具。

2023年7月3日，国家网信办、工信部、公安部、国家认证认可监督管理委员会等四部门联合发布“关于调整《网络关键设备和网络安全专用产品目录》的公告”，公布更新版《网络关键设备和网络安全专用产品目录》（下称“2023目录”）。《关于发布〈网络关键设备和网络安全专用产品目录（第一批）〉的公告》（2017年第1号）中的网络关键设备和网络安全专用产品目录（下称“2017目录”）同步废止。

同2017目录相比，2023目录未对网络关键设备进行调整，但对网络安全专用产品目录进行了全面更新。即便如此，企业仍应当遵循2017目录中的设备产品认证检测要求。另外，列入2023目录的网络关键设备与网络安全专用产品应注意按照《GB 40050-2021 网络关键设备安全通用要求》《GB 42250-2022 信息安全技术 网络安全专用产品安全技术要求》等国家标准的强制性要求，由《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录（第一批）》中列明的机构安全认证合格或者安全检测符合要求后，方可销售或者提供。

今年3月份，网警支队在检查中发现，广州某科技有限公司运营的“**智慧办公管理软件”未依法开展等级保护测评工作。经查，该系统于2020年7月定级为三级等级保护系统并取得备案证明，却在依然正常投入使用的情况下撤销等级保护测评备案，在2021年度、2022年度均未依法开展三级系统的等级保护测评，未履行网络安全等级保护测评的法定职责。为打击逃避履行等级保护测评义务而虚假撤销备案的行为，督促相关单位依法落实网络安全管理制度和保护技术措施。广州警方对该虚假撤销备案的违法行为给予警告的行政处罚，并责令限期改正。

本案中有两个违法点，一是该公司在系统正常投入运营的过程中虚假撤销备案；第二是该公司未按照等级保护制度要求定期开展等级测评。可以推断，该公司未按照网络安全等级保护要求开展建设整改以及日常运营工作。以此案为鉴，建议企业在等保工作中及时盘点自身业务及所涉信息系统，明确落入等级保护的范围，并及时将上述系统纳入网络安全等级保护工作范畴，尽快开展等保定级、备案、测评、整改等一系列合规工作。

2023年3月，中央网信办曾部署开展了为期两个月的“清朗·从严整治‘自媒体’乱象”专项行动，聚焦社交、短视频、网络直播等类型重点平台，针对“自媒体”突出问题，坚决打击，从严处置。在对该专项行动的经验总结基础上，中央网信办于7月5日发布了《关于加强“自媒体”管理的通知》（以下简称“通知”），第一次将自媒体相关的管理措施做完整、集中的展示及规定。

《通知》包含13条规定，以压实网站平台信息内容管理主体责任，健全常态化管理制度机制为落脚点，从信息的真实性、自媒体营利规范、MCN机构监管、处置措施四个方面对自媒体管理作出了具体规定，意在对“自媒体”乱象进行整治，破解“自媒体”信息内容失真、运营行为失度等深层次问题，维护网上信息内容传播良好秩序。这些规定对当下“自媒体”存在的乱象具有较强针对性，为“自媒体”规范有序营运划定了鲜明底线。

“自媒体”乱象正成为国家相关部门的重点治理领域，立法工作和监管行动正齐头并进。预计近期各地网信部门将根据《关于加强“自媒体”管理的通知》精神及公安部关于开展网络谣言打击整治专项行动相关要求相继开展对“自媒体”的专项监管行动，重拳出击严格执法，集中清理违规账号和信息，对处置不当的网络平台进行处罚通报。因此，网络平台和自媒体运营者应对照《通知》及相关规定要求进行整改：

(1) 网络平台应深入自查自纠，从严从重处置顶风违规、屡教不改的自媒体，做好平台自媒体账号的自我管理，并通过经济手段、宣传引导等，规制自媒体出现的违法违规行为；另一方面网络平台自身应建立健全自媒体注册、运营、关闭等各环节的管理细则并不断完善，严格落实政策法规要求，从严审核相关认证材料，加注专业领域类型明确标识；

(2) 自媒体运营者不得发布谣言、散布有害信息、传播虚假信息以及进行恶意炒作等行为，不得违规与官方机构、新闻媒体和特定人员的账号信息混淆，确保账号主体真实和账号内容合法合规。

此外，网络平台和自媒体运营者还应注意到“网络暴力”也是近期重点治理对象。我们建议网络平台企业切实加大“自媒体”领域的网暴治理力度，依照《关于依法惩治网络暴力违法犯罪的指导意见（征求意见稿）》和《网络暴力信息治理规定（征求意见稿）》的要求履行相应合规义务。自觉承担主体责任，依法合规经营，切实加强自媒体管理，营造清朗的网络空间，更好地促进企业良性发展。

工业和信息化部、国家金融监督管理总局于7月2日联合印发《关于促进网络安全保险规范健康发展的意见》（以下简称“《意见》”），提出了建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态等五方面共十条具体意见，为行业发展提供了市场化路径。一是聚焦提升行业认知、完善行业规范，健全完善网络安全保险支持政策；二是聚焦丰富网络安全保险产品类型、创新保险服务模式，全方位加强网络安全保险产品服务创新；三是聚焦提升风险量化评估能力、加强全生命周期风险监测，强化网络安全技术赋能保险发展；四是聚焦推进网络安全保险落地应用、促进企业网络安全能力提升，撬动网络安全产业需求释放；五是聚焦培育网络安全保险优质企业、加强网络安全保险推广，培育网络安全保险发展生态。

在网络安全保险的完整业态中，包含保险机构、网络安全企业、保险科技公司、专业风险管理/网络安全测评机构等主体。因此，加强多主体的协同合作对于构建网络安全社会化服务体系、推动网络安全保险市场良性发展而言至关重要：

(1) 网络安全企业发挥网络安全技术与服务优势，协助保险机构为客户方提供全面风险管理方案；

(2) 保险科技公司针对场景化网络安全风险，协助保险机构基于数据清洗整合优势，优化风险定价模型、构建全流程保险业务体系；

(3) 第三方风险管理技术机构将网络安全企业的安全技术能力与保险科技公司的科技能力进行有机地整合。?

北京市通信管理局于2023年7月10日发布公告称，为加强北京市电信和互联网行业各通信网络单元的安全管理，提升行业网络安全整体防护水平，保障公共互联网网络安全、稳定、畅通，根据《网络安全法》《通信网络安全防护管理办法》《公共互联网网络安全威胁监测与处置办法》《网络产品安全漏洞管理规定》等有关法律法规和文件要求，结合北京实际，明确了进一步加强本市电信和互联网行业通信网络安全防护管理工作的相关任务。北京市通信管理局统筹推进通信网络安全防护管理工作，指导监督北京地区电信和互联网行业企业落实落细网络安全管理各项要求；结合工作需求组建网络安全专项支撑团队，开展宣贯培训、定级备案评审、结果通报与公示，开展行业网络安全监督检查，督促完成风险排查、威胁治理和问题整改等工作。

北京市的电信和互联网企业应按照该通知要求并结合企业实际情况，关注以下要点：

(1) 各电信和互联网企业要高度重视通信网络安全防护工作，加强组织领导，强化内部部署，制定防护方案，明确责任分工，在保障日常网络安全的基础上重点做好通信网络单元的安全防护工作，切实落实各通信网络单元的定级备案、符合性评测、安全风险评估和隐患整改相关要求。

(2) 各电信和互联网企业的通信网络安全防护管理工作要与关键信息基础设施安全保护制度、网络安全等级保护制度做好衔接。电信和互联网行业各通信网络单元的定级原则上应不低于国家网络安全等级测评的参考定级；其中，认定为关键信息基础设施的通信网络单元，其安全管理参照工业和信息化部关于电信行业关键信息基础设施的安全保护的有关要求实施，并在定级备案和评测、评估工作中予以重点监管。

根据《中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知》(银发〔2019〕237号）规定，中国互联网金融协会（以下简称“协会”）对备案的金融App进行风险监测与共享，投诉受理与转办，并按照《移动金融客户端应用软件备案管理办法（试行）》（以下简称备案管理办法）有关规定，对版本维护、风险处置、投诉处理、备案标志使用、外部评估等情况开展常规检查。

在前期调查监测结果并结合有关监管部门的问题通报的基础上，协会于7月13日通报了移动金融客户端应用软件备案自律管理情况（2023年第1期）。总体来看，备案金融App安全风险态势总体平稳，备案金融App整体安全水平较高。目前已完成备案的2400余款金融App，被监管部门通报的占比不足1%。通过备案工作，大多数备案机构已初步建立了App管理的内控制度和安全检测机制，有效降低了安全风险。但仍存在“备案后管理有所放松”、“对部分标准要求的理解和落实不够”以及“使用第三方开发框架和工具时引入风险”等问题。

针对相关监管部门对侵害用户信息安全的问题App通报情况，备案机构应落实好安全主体责任，严格执行备案管理办法，对照国家标准和行业标准要求持续完善健全合规管理体系。作为企业，也应该加强客户端软件安全管理，自觉履行相应的备案义务。

在贯彻和衔接《中华人民共和国数据安全法》等上位法的要求，并充分调研总结金融行业标准指南与成熟经验的基础上，中国人民银行于2023年7月24日发布《中国人民银行业务领域数据安全管理办法（征求意见稿）》（下称“《管理办法》”），为相关数据处理者依法依规开展中国人民银行业务领域数据处理活动、完善数据合规管理制度提供了实践指引。

《管理办法》就数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任等方面作出了颇为详尽的规定。整体来看，这些规定并未超出现有法律法规的相关要求，更多的是基于现有监管规则与金融行业标准进行的细化、总结和延伸补充。我们理解其应当作为对金融领域数据处理者在数据安全管理义务方面提供整合和指导作用的“合规参考手册”。

值得注意的是，《管理办法》所要求的数据分类分级的不同将导致作为金融领域数据处理者的企业面临的合规义务有较大差别，特别是对于后续数据的处理使用存在不同限制，而新规的大量管理措施、技术措施都依赖数据分类分级的完成，对于业务的确切影响暂无法判断。就现阶段而言，相关主体可以先考虑初步制定合规制度文本和工作机制流程，并密切关注后续更新的金融数据分类分级行业标准，待新规生效后再视需要对组织的金融数据安全保障措施进一步调整优化和完善。