网络安全法律法规体系 - 2016年11月7日通过《中华人民共和国网络安全法》 2017年6月1日起施行 作为我国第一部全面规范网络空间安全管理的基础性法律[5] - 2021年4月27日通过《关键信息基础设施安全保护条例》 2021年9月1日起施行 成为我国首部专门针对关键信息基础设施安全保护的行政法规[6] - 2021年6月10日通过《中华人民共和国数据安全法》 2021年9月1日起施行 作为数据领域的基础性法律和国家安全领域重要法律[7] - 2021年7月5日通过《汽车数据安全管理若干规定（试行）》 2021年10月1日起施行 规范汽车数据处理活动[8] - 2021年8月20日通过《中华人民共和国个人信息保护法》 2021年11月1日起施行 保护个人信息权益并规范处理活动[9] - 2022年2月15日施行新修订《网络安全审查办法》 进一步保障网络安全和数据安全[10] - 2023年8月15日施行《生成式人工智能服务管理暂行办法》 我国首个针对生成式人工智能服务的规范性政策[11] - 我国网络安全法律法规体系已基本形成[12] 关键信息基础设施保护 - 关键信息基础设施涵盖能源、交通、水利、金融、国防科技工业等重要行业和领域 一旦遭到破坏可能严重危害国家安全[15] - 认定规则由各行业主管部门制定 主要考虑业务重要程度、危害程度及行业关联性影响[16][17] - 2015年乌克兰配电公司约60座变电站遭网络攻击 导致140万名居民遭遇数小时停电[19] - 2016年美国域名服务器管理机构Dyn遭Mirai病毒攻击 造成大半个互联网瘫痪[19] - 2021年美国最大成品油运输管道运营商Colonial Pipeline遭勒索病毒攻击 导致运营中断[19] - 2022年欧洲天然气管道遭遇勒索软件攻击[19] - 2021年9月1日施行《关键信息基础设施安全保护条例》 构建安全保护体系顶层设计[20] - 2023年5月1日实施关键信息基础设施安全保护要求国家标准GB/T 39204-2022 作为首项国家标准具有重要指导意义[20] - 建立分析识别、安全防护、检测评估、监测预警、事件处理闭环安全防护体系[20] - 明确国家网信部门统筹协调 国务院公安部门指导监督 各主管部门分工负责的监管架构[20] - 运营者需落实安全保护制度 设置专门管理机构 开展安全监测和风险评估[20] 数据安全保护 - 数据安全威胁包括数据窃取或泄露、数据毁损、数据非法利用及数据非法出境等风险[23] - 2021年3月李某在军事基地周边架设设备向境外传送敏感气象数据[24] - 2022年6月西北工业大学遭美国国家安全局网络攻击 持续窃取核心技术数据[24] - 根据《数据安全法》要求将数据分为一般数据、重要数据、核心数据三个级别[25] - 数据处理者需建立备份、加密、访问控制及安全应急处置机制[26] - 重要数据处理者需明确安全负责人 成立管理机构 制定培训计划 开展年度安全评估[27][28] - 互联网平台运营者需建立平台规则披露制度 保障算法公平公正[29] 网络攻击与诈骗防范 - 钓鱼邮件通过伪造发件人地址、定制邮件正文、隐藏恶意链接及添加恶意附件等方式实施攻击[21][22] - 防范措施包括公私邮箱分开、仔细辨认发件人、多渠道核实请求、检查链接网址、安装杀毒软件等[22] - 电信网络诈骗包括杀猪盘诈骗（通过感情发展引导充值）和杀鸟盘诈骗（高薪兼职诱导投资）等模式[30] - 新型AI诈骗利用AI换脸和AI拟声技术伪造身份实施诈骗[30][31] - 防范建议包括保护个人信息、不透露密码、通过官方渠道办理业务、设置延迟到账、不共享屏幕等[31] - 帮信罪指明知他人利用信息网络实施犯罪仍提供帮助的行为 需妥善保管银行卡避免触法[31] 个人信息保护 - 个人信息包含与已识别或可识别自然人相关的各种信息 不包括匿名化处理后信息[32] - 敏感个人信息包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹及未成年人信息[32] - 泄露途径包括非法披露、非法买卖、设备不完善、证件丢失、技术不成熟及管理不规范等[32]