©2025 云安全联盟大中华区版权所有 2 人工智能治理和合规工作组永久的官方网址是： https:/cloudsecurityalliance.org/research/working-groups/ai-governance-compliance © 2025 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查 看及打印，或者访问云安全联盟大中华区官网（https://www 只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改；(c)本文不得转发；(d)该商标、 版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文内 容，使用时请注明引用于云安全联盟大中华区。 ©2025 云安全联盟大中华区版权所有 3 ©2025 云安全联盟大中华区版权所有 4 致谢 报告中文版支持单位 北京数安行科技有限公司（简称：数安行）是一家数据安全厂商。公司主 的数据安全地创造价值。公司核心团队拥有20余年产研和市场服务经验，技术 积累雄厚，服务于能源、电力、金融、运营商、教育、高端制造、软件与信息 技术服务、互联网、医疗、政府、军队军工等各行业客户。 ©2025 云安全联盟大中华区版权所有 5 报告英文版编写专家 主要作者 Maria Schwenger Louis Pinault 参与编辑 Arpitha Kaushik Bhuvaneswari Selvadurai

了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安 全等级保护工作的操作办法。 2016 年 11 月 7 日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网 络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当 按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授 权 破坏的情况，孰轻孰重，一目了然。怎么 叫主观上重视呢？等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全 制度要求。 四、合理地规避或降低风险。 4  18 依据《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全 等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者 未经授权的访问，防止网络数据泄露或者被窃取、篡改。 联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。 针对此案，公安部门按照公安部“一案双查”工作要求，对医院未按照网 络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照 《中华人民共和国网络安全法》第五十九条之规定，对医院处以罚款一万 元，对直接负责的主管人员处以罚款五千元的行政处罚。 20 案例二：新乡市封丘县图书馆致命网站遭受攻击 河南网警发布一条公告：新乡市封丘县图书馆未按《中国人

应用方案时，必须严格遵守相关 法律法规，确保其合规性。首先，税务稽查活动需遵循《中华人民 共和国税收征收管理法》及其相关实施细则，确保稽查过程合法、 公正、透明。DeepSeek 的应用应在此框架下进行，确保其算法和 数据处理流程符合法律规定。 其次，数据隐私保护是合规性的重要组成部分。根据《中华人 民共和国个人信息保护法》（PIPL）和《中华人民共和国数据安全 法》，税务稽查中涉及的纳税人信息必须得到严格保 严格保 护。DeepSeek 在处理敏感数据时，需采取加密技术、访问控制等 措施，确保数据的安全性和隐私性。 此外，DeepSeek 的应用还需符合《中华人民共和国网络安全 法》的要求，确保系统的稳定性和安全性。具体措施包括：  定期进行网络安全评估，及时发现和修复潜在漏洞。  建立数据备份和恢复机制，防止数据丢失。  实施严格的权限管理，确保只有授权人员能够访问相关数据。 在操作层面，DeepSeek 华人民共和国税收征收管理法》是税务稽查的核心法律依据，其中 详细规定了税务机关的职责、权限以及纳税人的权利与义务。此 外，《中华人民共和国网络安全法》和《中华人民共和国数据安全 法》也为税务数据的收集、存储和传输提供了法律框架，确保数据 处理的合法性和安全性。 在具体操作中，还需遵循《中华人民共和国个人信息保护 法》，特别是在处理涉及个人纳税信息时，必须确保个人隐私得到 充分保护。同时，税务机关在工作中还应参考《税务稽查工作规

-27- 文物活化大模型，助力国家博物馆：《中华文明云展》 在生动呈现文化内容，创新文博场馆观展体验方面，凭借在大模型、数字人、 虚拟空间建设等方面的核心优势，对中国国家博物馆古代中国展部分精品文物 活化展示，以联通元景大模型实现国博数字人线上讲解和互动问答，生动呈现 中华文明优秀成果。 通过文物元素属性创 作，生成民族服饰； 传播与创作中华文化 。 基于大模型创作生 成汉服、游戏、卡

加州隐私法 （CCPA） 金融领域的《格雷姆-里奇= 比利雷法》（GLBA） 《健康保险流通和责任法》 （HIPPAA）等 中国 《中华人民共和国网络 安全法》 《中华人民共和国数据 安全法》 《中华人民共和国个人 信息保护法》 《中华人民共和国网络 数据安全管理条例》 法律法规对比 通过研究对比发现，美国在 联邦层面上一直没有数据安 全和个人信息保护等方面的 立法，只在个别州和金融、 （DGA）、《数据法案》（Data Act）、《数字市场法 案》（DMA）、《数字服务法案》（DSA）等数据相关法律制度，以及中国的《中华人民共和国网络安全法》《中华人民共 和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络数据安全 管理条例》等数据安全法律法规相比，美国在联邦层面上一直没有数据安全和个人信息保护等方面的立法，只在个别州和金

化系统、利用技术提升操作效率等。这些通过 解决点状问题来提升效能的活动，其实还是传 统思维下的运营方式，虽然会有一定效果，但 与真正的数字化运营还有差距。 郑军 Kyndryl 勤达睿大中华区总裁 ｜ 7 瞭望塔 │ Lookout Tower 其结果就是，优化组织职能后部门墙的问 题依然存在，业务流程打通后传统业务活动并 未消失，进行数据建设后数据依然不能很好地 支持经营决策分析，而这些问题需要通过统一 代的数据基础建设和治理应用、技术创新与业 务场景融合，再到数字化创新赋能业务升级， 推动企业整体数字化转型，以数字化转型伙伴 的身份和企业一起见证了数字化发展过程中遇 到的很多问题和挑战。 目前，勤达睿在大中华区的业务专注于为 数字化技术提供整合及可靠的数字化运营服务， 能够全方位参与企业数字化转型从关键任务型 IT 基础架构的设计、构建、管理并不断更新的 全流程，统筹企业的数字资源，提供陪伴式的 营的能力，注重通过运营来实现数字化转型的 商业价值转化。以开放探索和主动求变的视角， 把技术与员工、企业、业务伙伴和服务伙伴连 接在一起，才能推动企业获得跨越周期的价值 增长。 本文根据 Kyndryl 勤达睿大中华区总裁郑军的口述 整理 8 ｜ 数字化运营——新思路应对新周期 友邦人寿： 企业的内功关系到 数字化的价值变现 近 几年，数字化转型大潮汹涌而来，云 计算、大数据、人工智能等先进的数 字技术加速向各个行业渗透。在增长

GB/T28448-2019 ） 7. 网络安全等级保护测评过程指 南（ GB/T28449-2018 ） 1. 2. 3. 4. 5. 6. 7. 漏洞 网络产品安全漏洞管理规定 中华人民共和国境内的 网络产品（含硬件 、 软 件 ）提供 者和网络运营 者，以及从事网络产品 安全漏洞发现、收集、 发布等活动的组织或者 个人，应当遵守本规定 密码 1. 2. 3. 1 营造网络化、数字化、智能化、个性化、 终身化的教育教学环境 促进信息技术与高等学校人才培养、科学 研究、文 化 传承与创新、社会服务、国际交流 等方面的深度融合和创新应用 （试行） 中华人民共和国教育部科学技术司 2021 年 3 月  • 《中华人民共和国网络安全法》 • GB/T 2887 计算机场地通用规范 • GB 15629.11 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第

过度到面向信息系统的信息保障(信息系统安全)，并进一步演进为面向网络空间的 网络安全。网络安全(cybersecurity)以其更丰富的内涵逐步取待信息安全成为安全领 域共识，2017 年 6 月 1 日正式实施的《中华人民共和国网络安全法》明确规定“国 家实行网络安全等级保护制度“，相关法律条文和标准也需保持一致性，正在修订 中的“网络安全等级保护 2.0”以下简称等保 2.0，与时俱进的将原标准的”信息系统安 关于加强智慧城市网络安全管理工作的若干意见（中网办发文【2015】9 号） 5 智安网络等级保护安全防御体系方案 2016 《中华人民共和国网络安全法》发布 2016《国民经济和社会发展第十三个五年规划纲要》 2016 习近平总书记在网络安全和信息化工作座谈会上的讲话（4.19） 2017《中华人民共和国网络安全法》6 月 1 日正式实施 2018 公安部发布《网络安全等级保护条例（征求意见稿）》 2019《信息安全技术 智安网络等级保护安全防御体系方案 2 等级保护 2.0 简析 2.1 整体分析 等保 2.0 编订过程中，最重要的一个变化，是从条例法规提升到法律层面， 2017 年 6 月 1 日正式施行的《中华人民共和国网络安全法》明确要求，“国家施行 网络安全等级保护制度”，“针对公共通信和信息服务、能源、交通、水利、金融、 公共服务、电子政务等重要行业和领域，在网络安全等级保护制度的基础上，施行

巴彦淖尔市甘其毛都口岸管理委员会综合服务中心采购联检大楼出入境查验设施 设备 巴彦淖尔市甘其毛都口岸管理委员会综合服 务中心 1526 2023/8/21 大连周水子出入境边防检查站智能验证台升级改造项目 中华人民共和国大连周水子出入境边防检查 站 210 2023/8/30 关累港口岸联检楼扩建项目（配套设施设备） 云南勐腊（磨憨）重点开发开放试验区管理 委员会 431 2023/9/11 烟台 东乌珠穆沁旗珠恩嘎达布其口岸管理委员会东乌珠穆沁旗珠恩嘎达布其口岸货运 通道配套查验设施设备采购安装项目 东乌珠穆沁旗珠恩嘎达布其口岸管理委员会 779 2023/10/17 中华人民共和国满洲里海关智慧口岸采购项目（一标段智慧旅检设备采购） 中华人民共和国满洲里海关 414 2023/10/20 霍尔果斯经济开发区政府采购中心关于霍尔果斯市经济开发区管理委员会招商局 （商务经信局）南部联检查验现场软件平台开发服务采购项目

力将进一步扩大。 14. 法律法规与合规性 在设计和实施商务 AI 智能体应用服务方案时，必须严格遵守 相关法律法规和行业合规性要求，以确保服务的合法性和安全性。 首先，企业应遵循《中华人民共和国网络安全法》、《中华人民共 和国数据安全法》和《个人信息保护法》等法律法规，确保在数据 处理、存储和传输过程中保护用户隐私和信息安全。对于涉及跨境 数据传输的情况，需遵守《个人信息出境安全评估办法》的相关规 相关的法律法规，以确保方案的合法性和合规性。首先，需要遵循 《中华人民共和国网络安全法》，该法律规定了网络运营者在数据 收集、存储、使用和传输过程中的责任和义务，特别是对个人信息 保护提出了明确要求。其次，《中华人民共和国数据安全法》和 《个人信息保护法》也是必须遵守的重要法律，这两部法律对数据 处理活动和个人信息保护设定了严格的标准和规范。 此外，根据《中华人民共和国民法典》的相关规定，AI 智能体 据隐私保护、用户权限管理、信息安全等方面，还需要确保 AI 决 策过程的透明性和可解释性，避免潜在的歧视或偏见问题。以下是 具体的合规性检查实施步骤： 首先，建立全面的合规性检查清单，涵盖所有相关法律法规， 例如《中华人民共和国网络安全法》、《个人信息保护法》、《数 据安全法》等。清单应详细列出每项法规的具体要求，并将其映射 到系统的功能模块中。例如，数据存储模块需要符合数据本地化要 求，用户数据处理模块需要满足知情同意原则。