各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门，各银保监局，各相关单位：网络安全保险是为网络安全风险提供保险保障的新兴险种，日益成为转移、防范网络安全风险的重要工具，在推进网络安全社会化服务体系建设中发挥着重要作用。为深入贯彻《中华人民共和国网络安全法》《中华人民共和国数据安全法》等相关法律法规，加快推动网络安全产业和金融服务融合创新，引导网络安全保险健康有序发展，培育网络安全保险新业态，促进企业加强网络安全风险管理，推动网络安全产业高质量发展，现提出如下意见。 一、建立健全网络安全保险政策标准体系 （一）完善网络安全保险政策制度。加强网络安全产业政策对网络安全保险的支持，推动网络安全技术服务赋能网络安全保险发展，引导关键信息基础设施保护、新兴融合领域网络安全保障等充分运用网络安全保险。加强保险业政策对网络安全保险的支持，指导网络安全保险创新发展，引导开发符合网络安全特点规律的保险产品。推动健全完善财政政策，充分利用地方首台（套）、首版（次）等现有政策，提供保险减税、保险购买补贴等措施。 （二）健全网络安全保险标准规范。支持网络安全产业和保险业加强合作，建立覆盖网络安全保险服务全生命周期的标准体系，统一行业术语规范，明确核保、承保、理赔等主要环节基本流程和通用要求。研究制定承保前重点行业领域网络安全风险量化评估相关标准，规范安全风险评估要求；承保中网络安全监测管理服务相关标准，规范监测预警方法；承保后理赔服务实施要求相关标准，规范网络安全保险售后服务。 二、加强网络安全保险产品服务创新 （三）丰富网络安全保险产品。鼓励保险公司面向不同行业场景的差异化网络安全风险管理需求，开发多元化网络安全保险产品。面向重点行业企业开发网络安全财产损失险、责任险和综合险等，提升企业网络安全风险应对能力。面向信息技术产品开发产品责任险，面向网络安全产品开发网络安全专门保险，为信息网络技术产品提供保险保障。面向网络安全服务开发职业责任险等产品，转移专业技术人员在安全服务过程中因人为操作可能引发的安全风险。 （四）创新发展网络安全保险服务。鼓励网络安全保险服务机构协同合作，探索构建以网络安全保险为核心的全流程网络安全风险管理解决方案。充分发挥保险机构专业优势，联合网络安全企业、基础电信运营商等加快网络安全保险与网络安全服务融合创新。充分发挥网络安全企业、专业网络安全测评机构技术优势，联合保险公司提升网络安全保险服务能力。 三、强化网络安全技术赋能保险发展 （五）开展网络安全风险量化评估。围绕电信和互联网行业典型事件以及工业互联网、车联网、物联网等新兴场景开展网络安全风险研究。探索建立网络安全风险量化评估模型，加强网络安全风险影响规模预测、经济损失等分析。支持网络安全企业、专业网络安全测评机构等研发网络安全风险量化评估技术，开发轻量化网络安全风险量化评估工具，鼓励保险机构建立网络安全风险理赔数据库，支撑网络安全风险精准定价。 （六）加强网络安全风险监测能力。开展网络安全保险全生命周期风险监测，覆盖事前、事中、事后等重要环节。鼓励网络安全企业、专业网络安全测评机构等充分发挥网络安全风险监测技术优势，充分利用安全技术手段，针对网络安全漏洞、恶意网络资源、网络安全事件等开展网络安全威胁实时监测，及时发现网络安全风险隐患，提升网络安全风险监测预警、应急处置等能力。 四、促进网络安全产业需求释放 （七）推广网络安全保险服务应用。面向电信和互联网、能源、金融、医疗卫生等重点行业，以及工业互联网、车联网、物联网等新兴融合领域，围绕网络安全与信息技术产品服务供给侧和需求侧两类主体，充分发挥网络安全产业、网络安全保险相关联盟协会等作用，开展网络安全保险服务试点，形成可复制、可推广的网络安全保险服务模式，促进网络安全保险推广应用。 （八）推动企业网络安全风险应对能力提升。鼓励重点行业企业完善网络安全风险管理机制，推动电信和互联网、制造业、能源、金融、交通、水利、教育等重点行业企业积极利用网络安全保险工具，有效转移、防范网络安全风险，提升网络基础设施、重要信息系统和数据的安全防护能力。支持中小企业通过网络安全保险服务监控风险敞口，建立健全网络安全风险管理体系，不断加强中小企业网络安全防护能力。 五、培育网络安全保险发展生态 （九）培育优质网络安全保险企业。鼓励网络安全企业、保险机构积极参与网络安全保险生态建设，开展网络安全保险优秀案例征集、网络安全保险应用示范等活动，培育一批专业能力突出的保险机构，发展一批技术支撑能力领先的网络安全企业、专业网络安全测评机构等，建设一批网络安全保险创新联合体，培育网络安全保险发展良性生态。 （十）宣传推广网络安全保险服务。充分发挥相关行业联盟协会、重点企业带动作用，整合资源优势，促进网络安全产业和金融服务要素流动，开展网络安全保险教育培训，引导加强从业人员自律，规范网络安全保险推广应用。用好网络和数据安全产业高峰论坛、网络安全技术应用试点示范等活动，宣传普及网络安全保险，举办网络安全保险主题活动，加强经验总结和交流推广，营造促进网络安全保险规范健康发展的浓厚氛围。     转自Freebuf，原文链接:https://www.freebuf.com/articles/372261.html 封面来源于网络，如有侵权请联系删除

近日，国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工智能服务管理暂行办法》（以下称《办法》），自2023年8月15日起施行。国家互联网信息办公室有关负责人表示，出台《办法》，旨在促进生成式人工智能健康发展和规范应用，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益。 近年来，生成式人工智能技术快速发展，为经济社会发展带来新机遇的同时，也产生了传播虚假信息、侵害个人信息权益、数据安全和偏见歧视等问题，如何统筹生成式人工智能发展和安全引起各方关注。出台《办法》，既是促进生成式人工智能健康发展的重要要求，也是防范生成式人工智能服务风险的现实需要。 《办法》提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则，采取有效措施鼓励生成式人工智能创新发展，对生成式人工智能服务实行包容审慎和分类分级监管，明确了提供和使用生成式人工智能服务总体要求。提出了促进生成式人工智能技术发展的具体措施，明确了训练数据处理活动和数据标注等要求。规定了生成式人工智能服务规范，明确生成式人工智能服务提供者应当采取有效措施防范未成年人用户过度依赖或者沉迷生成式人工智能服务，按照《互联网信息服务深度合成管理规定》对图片、视频等生成内容进行标识，发现违法内容应当及时采取处置措施等。此外，还规定了安全评估、算法备案、投诉举报等制度，明确了法律责任。 国家互联网信息办公室有关负责人指出，生成式人工智能服务的发展与治理需要政府、企业、社会、网民等多方参与，共同促进生成式人工智能健康发展，让生成式人工智能技术更好地造福人民。     转自Freebuf，原文链接:https://www.freebuf.com/articles/371964.html 封面来源于网络，如有侵权请联系删除

为切实加强网络暴力信息治理力度，营造良好的网络生态环境，国家互联网信息办公室根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律、行政法规，起草《网络暴力信息治理规定（征求意见稿）》（以下简称《规定》）。 《规定》共 31 条。第 1 条至第 4 条阐述了立法的目的，适用范围、网络暴力涉及的内容管理体制。第5条至第 23 条划定明确的网络信息提供商主体责任。第 24 至 29 条为监督及法律责任，规定管理部门的能力检查、工作监管职责以及运营者的违法情形与法律责任。 《规定》中划定的网络暴力信息是指通过网络对个人集中发布的，侮辱谩骂、造谣诽谤、侵犯隐私，以及严重影响身心健康的道德绑架、贬低歧视、恶意揣测等违法和不良的信息。 网络信息服务商应该怎样做？ 网络信息服务商应当履行内容主体责任。《规定》指出网络信息服务提供者应当履行信息内容管理主体责任，建立完善网络暴力信息治理机制，健全账号管理、信息发布审核、监测预警、举报救助、网络暴力信息处置等制度。 网络信息服务商应当制定管理规则，定期公布治理情况。《规定》第七条要求网络信息服务提供者制定和公开管理规则、平台公约，在用户协议中明确用户制作、复制、发布和传播网络暴力信息应承担的责任，并依法依约履行相应管理职责。此外，《规定》强调网络信息服务提供者应当定期发布网络暴力信息治理公告，并在网络信息内容生态治理工作年度报告中，报告相关工作情况。 网络信息服务商应当及时预警、处理网络暴力事件。《规定》第十一条指出网络信息服务提供者应当建立健全网络暴力信息预警模型，综合考虑事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等维度，及时发现预警网络暴力风险。 一旦发现网络暴力事件，《规定》第十二条要求网络信息服务提供者发现侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力信息的，应当采取删除屏蔽、断开链接、限制传播等处置措施。 网络信息服务商应当建立完善的用户保护机制。《规定》第十八条强调网络信息服务提供者应当建立完善网络暴力防护功能，提供一键关闭陌生人私信、评论、转发和消息提醒等设置。用户面临网络暴力风险时，应当及时发送系统信息，提示其启动一键防护。值得一提的是，在《规定》第二十三条中明确指出要加强对于未成年人用户的特殊、优先保护，网络信息服务提供者应当优先处理涉未成年人网络暴力信息举报。 对于互联网新闻信息服务单位，《规定》也做出相应要求，要求这些单位应当坚持正确的舆论导向，加强信息内容真实性、合法性审核，不得渲染炒作网络暴力事件，新闻信息跟帖评论实行先审后发。 最后，《规定》第十七条中明确要求任何组织和个人不得借网络暴力事件实施蹭炒热度、推广引流、故意带偏节奏或者跨平台搬运拼接虚假信息等恶意营销炒作行为。网络信息服务提供者不得为传播网络暴力的账号、机构等提供流量、资金等支持。 网信部门依法进行监督审查 在《规定》二十四条中明确了网信部门应当依法对网络信息服务提供者网络暴力信息治理工作落实情况进行监督检查。对于违法《规定》的网络信息服务提供者，依照《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律、行政法规的规定予以处罚。 注：法律、行政法规没有规定的，各级网信部门依据职责给予警告、通报批评，责令限期改正，可以并处一万元以上十万元以下罚款；因处置不及时造成公民生命健康安全等严重后果的，处十万元以上二十万元以下罚款，可责令暂停信息更新。网络信息服务提供者发起、组织网络暴力或借网络暴力事件实施恶意营销炒作等行为，应当依法从严从重处罚。 除履行监管责任外，网信部门应当会同有关部门建立健全信息共享、会商通报、取证调证、案件督办等工作机制，协同开展网络暴力信息治理工作。 对于用户层面的网络暴力，《规定》第二十八条中提出网络用户违反本规定的，网络信息服务提供者应当依法依约采取警示提醒、限制账号功能、关闭注销账号等处置措施；对首发、多发、组织、煽动发布网络暴力信息的，采取列入黑名单、禁止重新注册等处置措施。对借网络暴力事件实施恶意营销、违规营利等行为的，除前款规定外，应当依法依约采取清除新增粉丝、暂停营利权限等处置措施。     转自Freebuf，原文链接：https://www.freebuf.com/news/371416.html 封面来源于网络，如有侵权请联系删除

安全内参7月4日消息，美国海军为水兵们制定了全新的网络战兵种，希望藉此加强培训，打造一支专业的网络作战力量。 美国海军曾长期借用其他信息战人员执行网络空间行动，比如密码学家和负责网络和网络安全的IT专业人员。将来，网络作战力量将全部由海军网络战人员组成。大约300名海军人员将专注于攻击性和防御性网络空间行动。 美国海军信息战负责人、海军信息部队指挥官Kelly Aeschbach中将表示：“过去，我们的密码学家主要关注的领域包括信号情报、电子战、机动、电磁频谱和信息行动。考虑到他们在电子和信号方面的专长，海军最初进军网络角色时，我们将大部分网络相关的职责分配给了这些密码专家。” 专门设置网络战兵种，原有人员全部转入 新的网络战工作人员将接管其他专业所分担的攻击性和防御性行动。Kelly Aeschbach认为，这意味着美国海军将“拥有专注于网络战机动性的全职人员……这将降低我们对其他类别已经承担重要职责人员的需求。这些人员将继续提供与网络相关的支持。” 2200多名专注于网络战的士兵也会面临一些改变。美国海军将用网络战技术员（CWT）取代密码学网络技术员（CTN）这一工作类别。尽管名称有所变化，工作职责将保持不变。具体包括以下内容： 1. 网络战技术员将沿用原密码学网络技术员的等级控制号（RCN）1677。 2. 网络战技术员角色将保留密码学网络技术员的所有职业标准（OCCSTDs），与密码学网络技术员正式脱钩，突出海军在网络空间进行军事行动的能力。网络战技术员角色适用于现役和选定预备役（SELRES）水兵及相关岗位。 3.新角色的设立自2023年6月28日起生效。在此日期，所有密码学网络技术员将转变为网络战技术员。所有密码学网络技术员人员需要在本通告发布后的十二个月内将其徽章更换为新的网络战技术员徽章。网络战技术员将享受密码学网络技术员水兵当前享受的全部特定等级激励津贴。 4. 密码学网络技术员晋升考试将更改为网络战技术员晋升考试。密码学网络技术员的所有晋升要求对网络战技术员仍然有效。E7/8/9评估和选拔委员会流程将不会发生任何变化。如无更新的网络战技术员职业路径（ECP），选拔委员会将沿用密码学网络技术员的职业路径。与密码学网络技术员类似，网络战技术员的职业路径不会以海上/陆上任务界定。现行政策将继续保持不变。 加强海军网络战能力专精化建设 Kelly Aeschbach表示，密码学网络技术员们“已经在从事所有网络相关工作。我们并非要改变他们的工作内容，而是继续提高他们的培训水平，让他们比以前更加出色。” 上述变化的法律依据是2023财年《国防授权法案》的一项国会授权。此前，海军领导人曾告知国会议员，海军在吸引、培训和留住网络人才方面存在困难。 Kelly Aeschbach表示，新的工作类别将在海军各层级引发更多讨论，确保水兵们的头衔与他们的工作职责相匹配。 位于弗吉尼亚州萨福克的海军网络防御行动司令部2号密码学网络技术员Kennedy Bullard为水兵们设计了全新的网络战技术员徽章。至于海军军官，可在2024年申请海军网络战军官（MCWO）头衔。 Kelly Aeschbach认为：“这将引发大量关于指导培训的讨论——我们应该提供哪些建议？候选人是否优秀？我们怎样能在年底前初步建成团队？只有这样，我们才能着手关注身份、团队精神和培训等问题，保证他们的能力日渐出色。”     转自安全内参，原文链接：https://www.secrss.com/articles/56282 封面来源于网络，如有侵权请联系删除

新规旨在确保受控非机密信息的安全和隐私保护，并改进向国土安全部报告事件的流程。 安全内参6月26日消息，美国国土安全部（DHS）发布了一项最终规定，对《国土安全采购规章》（HSAR）进行修改，删除一条现有条款，保留该条款编号，并更新了一条现有条款。该机构还将新增两条合同条款，提出对受控非机密信息（Controlled Unclassified Information，简称CUI）的保护要求。 最终规定旨在确保受控非机密信息的安全和隐私保护，改进向国土安全部报告事件的流程。这些措施十分有必要，因为国土安全部承包商遇到涉及该部门信息的事件时，亟需保护受控非机密信息，并做出适当响应。 供应商需满足新的处理要求和安全流程与程序 根据国土安全部6月21日在《联邦公报》上发布的通知，“持续且普遍的联邦信息高调泄露事件不断证明，必须在合同中明确、有效和一致地解决信息安全保护问题。因此，这些措施十分有必要。最终规定将在《联邦公报》上发布之日起30天后生效。” 2017年1月19日，国土安全部在《联邦公报》上发布过一条拟议规定制定通知（NPRM），表示该部门正在制定一项规定，要求落实充分的安全和隐私措施，以保护受控非机密信息免受未经授权的访问和披露，并改进向国土安全部报告事件的流程。 最终规定加强和扩展了《国土安全采购规章》现有措辞，以确保承包商和（或）分包商员工能足够安全地访问受控非机密信息。受控非机密信息将由承包商代表机构收集或维护，或由联邦信息系统（包括代表机构运行的承包商信息系统）收集、处理、存储或传输。 具体而言，最终规定确定了适用于联邦信息系统（包括代表机构运行的承包商信息系统）的受控非机密信息处理要求和安全流程与程序。它还确定了事件报告要求，包括报告时间表和必需数据元素、检查规定和事件后活动，并要求对政府和与政府活动相关的文件和信息进行清除认证。 最后，最终规定要求承包商制定相关程序并具备相关能力，保证在事件发生时，向那些个人身份信息（PII）或敏感个人身份信息（简称SPII、敏感PII）由承包商控制或驻留在信息系统中的任何个人发出通知。 合规成本与效益如何？ 此次发布的通知称，最终规定将适用于有下列需求的国土安全部承包商：需访问CUI；需代表政府收集或维护CUI；需运行联邦信息系统（包括代表机构运行的承包商信息系统），收集、处理、存储或传输CUI。 “国土安全部估算，在折现率为7%的情况下，最终规定的年化成本为1532万美元至1728万美元；在同一折现率下，十年总成本为1.0762亿美元至1.2137亿美元。”这些成本的主要来自独立评估、报告和记录保存。此外，熟悉最终规定、安全审查也会产生额外的小额、可量化成本。 国土安全部无法量化事件报告、PII和敏感PII通知、信用监控等要求的相关成本。所以，这些成本仅做定性讨论。 此次发布的通知称：“预计最终规定将缩短操作授权（ATO）时间、减少国土安全部审核和重新发布提案时间（因为承包商资质会得到提升）、减少数据泄露识别时间，从而节约成本。” 最终规定的效益不止于此。根据最终规定，一旦公众数据被泄露，将更好地通知受害者，并提供信用监控服务，帮助受害者有效监控数据泄露、规避数据泄露带来的高昂后果；及时报告也能降低事件的严重程度。 近日，网络威胁黑客利用MOVEit传输漏洞攻击了美国多个地方、州和联邦机构。国土安全部发布最终规定，正是对这些攻击的回应。 上周五，美国国家网络安全和基础设施安全局（CISA）更新了一份早期的网络安全建议，称Clop勒索软件团伙正在利用Progress Software的托管文件传输解决方案MOVEit Transfer中的SQL注入零日漏洞（CVE-2023-34362）。CISA在文件更新中，删除了旧的Fortra GoAnywhere Campaign IP地址，并添加了新的IP地址。     转自 安全内参，原文链接：https://www.secrss.com/articles/55980 封面来源于网络，如有侵权请联系删除

为了规范个人信息出境活动，保护个人信息权益，促进个人信息跨境安全、自由流动，近日，国家网信办公布《个人信息出境标准合同规定（征求意见稿）》（以下简称《征求意见稿》）。《征求意见稿》共计13条，文末附件为《个人信息出境标准合同》。 《征求意见稿》指出，个人信息处理者依据《中华人民共和国个人信息保护法》第三十八条第一款第（三）项，与境外接收方订立合同向中华人民共和国境外提供个人信息的，应当按照本规定签订个人信息出境标准合同（以下简称“标准合同”）。 个人信息处理者与境外接收方签订与个人信息出境活动相关的其他合同，不得与标准合同相冲突。依据标准合同开展个人信息出境活动，应坚持自主缔约与备案管理相结合，防范个人信息出境安全风险，保障个人信息依法有序自由流动。 《征求意见稿》明确，个人信息处理者同时符合下列情形的，可以通过签订标准合同的方式向境外提供个人信息： 非关键信息基础设施运营者； 处理个人信息不满100万人的； 自上年1月1日起累计向境外提供未达到10万人个人信息的； 自上年1月1日起累计向境外提供未达到1万人敏感个人信息的。 《征求意见稿》要求，个人信息处理者向境外提供个人信息前，应当事前开展个人信息保护影响评估，重点评估以下内容： 个人信息处理者和境外接收方处理个人信息的目的、范围、方式等的合法性、正当性、必要性； 出境个人信息的数量、范围、类型、敏感程度，个人信息出境可能对个人信息权益带来的风险； 境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境个人信息的安全； 个人信息出境后泄露、损毁、篡改、滥用等的风险，个人维护个人信息权益的渠道是否通畅等； 境外接收方所在国家或者地区的个人信息保护政策法规对标准合同履行的影响； 其他可能影响个人信息出境安全的事项。 《征求意见稿》明确，标准合同包括以下主要内容： 个人信息处理者和境外接收方的基本信息，包括但不限于名称、地址、联系人姓名、联系方式等； 个人信息出境的目的、范围、类型、敏感程度、数量、方式、保存期限、存储地点等； 个人信息处理者和境外接收方保护个人信息的责任与义务，以及为防范个人信息出境可能带来安全风险所采取的技术和管理措施等； 境外接收方所在国家或者地区的个人信息保护政策法规对遵守本合同条款的影响； 个人信息主体的权利，以及保障个人信息主体权利的途径和方式； 救济、合同解除、违约责任、争议解决等。 附：《个人信息出境标准合同规定（征求意见稿）》全文   转自 安全内参，原文链接：https://www.freebuf.com/news/337867.html 封面来源于网络，如有侵权请联系删除

近日，中共中央办公厅、国务院办公厅印发了《关于推进实施国家文化数字化战略的意见》（以下简称《意见》）。 《意见》明确，到“十四五”时期末，基本建成文化数字化基础设施和服务平台，形成线上线下融合互动、立体覆盖的文化服务供给体系。到2035年，建成物理分布、逻辑关联、快速链接、高效搜索、全面共享、重点集成的国家文化大数据体系，中华文化全景呈现，中华文化数字化成果全民共享。 《意见》提出了8项重点任务，分别是：1、关联形成中华文化数据库；2、夯实文化数字化基础设施；3、搭建文化数据服务平台；4、促进文化机构数字化转型升级；5、发展数字化文化消费新场景；6、提升公共文化服务数字化水平；7、加快文化产业数字化布局；构建文化数字化治理体系。 同时，《意见》还提出八大保障措施，前两条重点强调要加强文化数据安全保障和加强文化数字化全链条监管，具体如下： 1、加强文化数据安全保障 依照国家有关数据安全的法律法规，在数据采集加工、交易分发、传输存储及数据治理等环节，制定文化数据安全标准。建立健全全流程文化数据安全管理制度，确定重要文化数据目录，明确重要文化数据出境安全管理举措，切实加强文化数据安全保护。 2、加强文化数字化全链条监管 强化中华文化数据库数据入库标准，构建完善的文化数据安全监管体系，发挥好国家文化专网网关物理隔离作用，对数据共享、关联、重构等主体实行准入管理。完善文化资源数据和文化数字内容的产权保护措施。加强文化消费新场景一体化监管，确保进入传播或消费渠道的内容可管可控。 《意见》要求，各地要把推进实施国家文化数字化战略列入重要议事日程，根据本意见因地制宜制定具体实施方案，相关部门要细化政策措施，确保各项任务落到实处。实施方案和重大举措要按规定程序报批。 各地区各有关部门要加强对本意见实施情况的跟踪分析和协调指导，注重效果评估。推进实施国家文化数字化战略工作领导小组适时对工作进展及任务落实情况进行督查。严格工作纪律要求，重大问题要及时请示报告，积极稳妥推进文化数字化建设各项工作。 附：《关于推进实施国家文化数字化战略的意见》全文   转自 Freebuf，原文链接：https://www.freebuf.com/news/334081.html 封面来源于网络，如有侵权请联系删除

近日，全国信息安全标准化技术委员会发布了《网络安全标准实践指南—个人信息跨境处理活动认证技术规范（征求意见稿）》（以下简称《实践指南》）。 《实践指南》从基本原则、相关方在跨境处理活动中应遵循的要求、个人信息主体权益保障等方面提出了要求，为认证机构实施个人信息跨境处理活动认证提供认证依据，也为个人信息处理者规范个人信息跨境处理活动提供参考。 《实践指南》作为认证机构对个人信息跨境处理活动进行个人信息保护认证的基本要求，适用于以下情形： 1、 跨国公司或者同一经济、事业实体内部的个人信息跨境处理活动； 2、《中华人民共和国个人信息保护法》第三条第二款规定的境外个人信息处理者，在境外处理境内自然人个人信息的活动。按照法律、行政法规、部门规章有关规定，需要通过国家网信部门组织的安全评估的个人信息跨境处理活动，应当向国家网信部门申报安全评估。 《实践指南》指出，涉及跨境个人信息处理应遵循以下基本原则： 1、合法、正当、必要和诚信原则。个人信息直接关系到信息主体的人格尊严，跨境个人信息处理应当满足法律法规的规定，严格按照法定目的并采取对个人信息权益影响最小的方式处理个人信息，严守合同、协议等具有法律效力文件的约定和承诺，不随意违背约定、承诺损害个人信息主体的合法权益。 2、公开、透明原则。跨境处理个人信息应当满足处理规则公开、处理过程透明要求，及时向个人信息主体告知个人信息跨境提供的目的、范围和处理方式，确保个人信息主体了解自己的个人信息的处理全过程。 3、信息质量原则。参与跨境处理个人信息活动的相关方应当保证跨境个人信息的准确性、完整性，避免个人信息处理活动出现偏差，对个人信息主体权益造成不利影响。 4、同等保护原则。参与个人信息跨境处理活动的相关方应当采取必要措施，确保个人信息跨境处理活动达到中华人民共和国个人信息保护相关法律法规规定的个人信息保护标准。 5、责任明确原则。参与个人信息跨境处理活动的相关方应当采取必要措施，保护所处理个人信息的安全，保障个人信息主体权益，并指定境内一方、多方或者境外相关方在境内设置的机构承担法律责任。 6、自愿认证原则。个人信息跨境处理活动认证属于国家推荐的自愿性认证，鼓励符合条件的个人信息跨境活动相关方自愿申请个人信息跨境处理活动认证，充分发挥认证在加强个人信息保护、提高个人信息跨境处理效率的作用。 附：《网络安全标准实践指南—个人信息跨境处理活动认证技术规范（征求意见稿）》 转自 FreeBuf ，原文链接：https://www.freebuf.com/news/332355.html 封面来源于网络，如有侵权请联系删除