公众号文章 2026-06-21

投标政务大模型合规指南:安全标准和测试方法

全国网络安全标准化技术委员会于二零二五年九月十一日发布政务大模型应用安全规范,聚焦政务场景特殊性,明确从选用、部署、运行到停用全生命周期的安全要求与测试方法,覆盖供应商资质审查、模型选型评估、数据接入隔离、权限分级管控、内容审核机制、日志留存追溯、应急响应处置及数据迁移销毁等环节,并配套功能、性能、安全测试与符合性验证方法,为投标政务项目的企业明确合规底线。

公众号文章 2026-06-21

AI大模型相关法规和合规要点

国内人工智能大模型合规以生成式人工智能服务管理暂行办法为基础,要求直接向公众提供服务或提供接口的企业完成备案,覆盖日活十万以上平台,备案周期三至六个月。语料须授权合规,人工抽检违法信息占比不高于百分之四,技术抽检违规识别率不低于百分之九十八。模型须采用关键词过滤、分类模型与人工审核三级拦截,漏洞修复率不低于百分之九十五,日志留存六个月以上。

公众号文章 2026-06-21

人工智能安全治理:AI带来的风险及应对措施

全国网络安全标准化技术委员会与国家计算机网络应急技术处理协调中心于二零二五年九月联合发布人工智能安全治理框架二点零,应对技术发展新风险。框架对模型算法研发、应用建设部署、应用运行管理、应用访问使用四大环节提出要求:研发须嵌入可靠性、透明度与隐私保护能力;部署须分级评估并防供应链后门;运行须建立人工复核,留存六个月以上日志,对生成内容加标识;使用须保障未成年人权益。

公众号文章 2026-06-21

合规标准之(1):数据安全国家标准体系

全国网络安全标准化技术委员会秘书处于二零二五年九月发布数据安全国家标准体系二零二五版。截至当年八月已发布四十四项国家标准,初步构建覆盖数据全生命周期的标准框架。体系以数据为核心分为六大类:基础共性、数据安全技术和产品、数据安全管理、数据安全服务、产品和服务数据安全、行业与应用数据安全,面向金融、医疗等重点行业及人工智能等新技术应用,附件列出现有五十二项标准详情。

公众号文章 2026-06-21

个人信息泄露的等级标准来了,100万的量化

国家互联网信息办公室于二零二五年九月十一日发布国家网络安全事件报告管理办法,自十一月一日起施行。办法将网络安全事件依据危害程度划分为特别重大、重大、较大与一般四个等级,量化指标涵盖个人信息泄露规模、关键信息基础设施受损情况、经济损失金额与社会影响范围,其中泄露一百万条以上个人信息将构成较大级别事件,为应急响应分级施策与责任认定提供客观标准。

公众号文章 2026-06-21

企业出海数据合规之(18)俄罗斯

俄罗斯以二零二二年修订的个人数据法为核心,由通信信息技术和大众传媒监督局监管,处罚多源于未本地化存储。中国企业处理俄籍公民数据须将原始副本存于境内服务器,仅匿名化数据可豁免。跨境传输原则禁止,须取得专项许可或基于用户单独授权并加密传输,审批一至三个月。泄露须七十二小时内上报,处理活动三十日内备案,业务变更十五日内更新,建议聘请本地律所协同支持。

公众号文章 2026-06-21

企业出海数据合规之(17)印度

印度二零二三年通过的数字个人数据保护法是该国首部综合性个人数据保护法,适用于境内采集及境外向境内主体提供服务相关的处理活动。中国企业须区分一般、敏感与儿童数据,处理敏感信息须取得明示同意,儿童数据须获可验证的父母同意。敏感数据强制本地化存储,跨境传输仅限政府公布的允许名单国家。新设数据保护委员会负责执法,企业须建立专属合规策略与内部审计。

公众号文章 2026-06-21

企业出海数据合规之(16)土耳其

土耳其以个人数据保护法为核心构建合规体系。中国企业落地须完成数据控制者信息系统注册,无本地实体时须委任经公证授权的本地代表对接监管。处理须基于明示同意、合同履行或合法利益,并完成数据映射与最小化收集。跨境传输优先选充分保护国家,否则签订标准合同备案或申请约束性规则,特殊数据传输前须开展影响评估并报批。处理大量特殊数据的企业须任命独立数据保护官。

公众号文章 2026-06-21

公共数据开发运营的春天来了?各地关于数据要素部分的实施方案

国务院于二零二五年九月八日印发批复,同意在十个区域开展为期两年的要素市场化配置综合改革试点,围绕深化要素协同配置、提升配置效率、探索新型配置方式、优化新业态新领域要素保障、促进服务业高质量发展五大目标推进改革。数据要素方面,各地实施方案聚焦公共数据共享体系建设与数据市场开发,涵盖资源汇聚、跨部门共享、授权运营服务、构建开发利用场景等举措。

公众号文章 2026-06-21

迪奥(Dior)被处罚:一堂企业数据出境合规的公开课

迪奥上海公司因二零二五年五月发生用户数据泄露被公安网安部门立案,查实三项违法:未通过数据出境安全评估或标准合同备案即向法国总部传输信息,未告知境外接收方处理方式并取得单独同意,未对个人信息采取加密与去标识化措施。依据个人信息保护法第六十六条可处一百万元以下罚款,情节严重最高可达年营业额百分之五。事件还暴露其延迟五天才通知用户,违反七十二小时立即上报义务。