©2025 云安全联盟大中华区版权所有 2 人工智能治理和合规工作组永久的官方网址是： https:/cloudsecurityalliance.org/research/working-groups/ai-governance-compliance © 2025 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查 看及打印，或者访问云安全联盟大中华区官网（https://www 只可作个人、信息获取、非商业用途；(b) 本文内容不得篡改；(c)本文不得转发；(d)该商标、 版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文内 容，使用时请注明引用于云安全联盟大中华区。 ©2025 云安全联盟大中华区版权所有 3 ©2025 云安全联盟大中华区版权所有 4 致谢 报告中文版支持单位 北京数安行科技有限公司（简称：数安行）是一家数据安全厂商。公司主 的数据安全地创造价值。公司核心团队拥有20余年产研和市场服务经验，技术 积累雄厚，服务于能源、电力、金融、运营商、教育、高端制造、软件与信息 技术服务、互联网、医疗、政府、军队军工等各行业客户。 ©2025 云安全联盟大中华区版权所有 5 报告英文版编写专家 主要作者 Maria Schwenger Louis Pinault 参与编辑 Arpitha Kaushik Bhuvaneswari Selvadurai

据， 请注明“来源：全国网络安全标准化技术委员会秘书处”。 III 摘 要 为全面提升各行业人工智能应用安全水平，以高水平 安全保障人工智能高质量发展，依据《中华人民共和国网 络安全法》《中华人民共和国数据安全法》《中华人民共 和国个人信息保护法》，以及《生成式人工智能服务管理 暂行办法》《人工智能生成合成内容标识办法》《互联网 信息服务算法推荐管理规定》《互联网信息服务深度合成 降，恶意生 成内容传播造成不良社会影响，以及影响未成年人价值观和老年用户 个人权益受损等。 15 参考文献 [1] 中华人民共和国网络安全法 [2] 中华人民共和国数据安全法 [3] 中华人民共和国个人信息保护法 [4] 中华人民共和国广告法 [5] 中华人民共和国著作权法 [6] 生成式人工智能服务管理暂行办法 [7] 人工智能生成合成内容标识管理办法 [8] 互联网信息服务算法推荐管理规定

数据， 请注明“来源：全国网络安全标准化技术委员会秘书处”。 1 摘 要 以高水平人工智能安全标准保障高质量发展，全面提 升各行业人工智能应用安全水平，依据《中华人民共和国 网络安全法》《中华人民共和国数据安全法》《中华人民 共和国个人信息保护法》等法律，以及《生成式人工智能 服务管理暂行办法》《人工智能生成合成内容标识办法》 《互联网信息服务算法推荐管理规定》《互联网信息服务 参 考 文 献 [1] 中华人民共和国网络安全法 [1.1] GB/T 22239 信息安全技术 网络安全等级保护基本要求 [1.2] GB/T 22240 信息安全技术 网络安全等级保护定级指南 [1.3] GB/T 39204 信息安全技术 关键信息基础设施安全保护要求 [1.4] GB/T 43698 网络安全技术 软件供应链安全要求 [2] 中华人民共和国密码法 [2.1] GB/T 39786 信息安全技术 信息系统密码应用基本要求 [2.2] GB/T 43207 信息安全技术 信息系统密码应用设计指南 [3] 中华人民共和国个人信息保护法 [3.1] GB/T 35273 信息安全技术 个人信息安全规范 [4] 中华人民共和国数据安全法 [4.1] GB/T 37988 信息安全技术 数据安全能力成熟度模型 [4.2] GB/T 41479 信息安全技术

了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划，部署了实施信息安 全等级保护工作的操作办法。 2016 年 11 月 7 日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网 络安全法》，网络安全法第二十一条明确规定：国家实行网络安全等级保护制度。网络运营者应当 按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授 权 破坏的情况，孰轻孰重，一目了然。怎么 叫主观上重视呢？等保工作有没有开展就是衡量的一个重要标准，因为等级保护是国家基本信息安全 制度要求。 四、合理地规避或降低风险。 4  18 依据《中华人民共和国网络安全法》 第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全 等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者 未经授权的访问，防止网络数据泄露或者被窃取、篡改。 联网攻破医院系统后植入勒索病毒，导致医院业务全面“停摆”。 针对此案，公安部门按照公安部“一案双查”工作要求，对医院未按照网 络安全等级保护制度的要求履行安全保护义务的行为进行查处，并按照 《中华人民共和国网络安全法》第五十九条之规定，对医院处以罚款一万 元，对直接负责的主管人员处以罚款五千元的行政处罚。 20 案例二：新乡市封丘县图书馆致命网站遭受攻击 河南网警发布一条公告：新乡市封丘县图书馆未按《中国人

应用方案时，必须严格遵守相关 法律法规，确保其合规性。首先，税务稽查活动需遵循《中华人民 共和国税收征收管理法》及其相关实施细则，确保稽查过程合法、 公正、透明。DeepSeek 的应用应在此框架下进行，确保其算法和 数据处理流程符合法律规定。 其次，数据隐私保护是合规性的重要组成部分。根据《中华人 民共和国个人信息保护法》（PIPL）和《中华人民共和国数据安全 法》，税务稽查中涉及的纳税人信息必须得到严格保 严格保 护。DeepSeek 在处理敏感数据时，需采取加密技术、访问控制等 措施，确保数据的安全性和隐私性。 此外，DeepSeek 的应用还需符合《中华人民共和国网络安全 法》的要求，确保系统的稳定性和安全性。具体措施包括：  定期进行网络安全评估，及时发现和修复潜在漏洞。  建立数据备份和恢复机制，防止数据丢失。  实施严格的权限管理，确保只有授权人员能够访问相关数据。 在操作层面，DeepSeek 华人民共和国税收征收管理法》是税务稽查的核心法律依据，其中 详细规定了税务机关的职责、权限以及纳税人的权利与义务。此 外，《中华人民共和国网络安全法》和《中华人民共和国数据安全 法》也为税务数据的收集、存储和传输提供了法律框架，确保数据 处理的合法性和安全性。 在具体操作中，还需遵循《中华人民共和国个人信息保护 法》，特别是在处理涉及个人纳税信息时，必须确保个人隐私得到 充分保护。同时，税务机关在工作中还应参考《税务稽查工作规

法律洞察和决策支持。收集整理法条类、案例类、模板类、书籍类、法律考试类、法律日常问答等 6 种类型的知识库，有效提升 法律问答的准确性、严谨性和可解释性。 法律基础 数据 《中华人民共和国产品质 量法》 《中华人民共和国消费者 权益保护法》 ……共 40G 法律法规 法律解释 知识 注 入 通用大模型 预训练 海分框 16,BBP, 画速成 贷 题，移照当监提 ! (-) 不 B 产面口 导性指帝事先未作； 口 ) 合备 P 应些 5 上王的“团 5 约； 知识库 法条库 类案库 《中华人民共 和国公司法》 知识 增强 企业法务大模型 指令微调数据 ■ 通用数据■法律数 据 多种法律子任务 多轮指令 - 回答对 逻辑 学习 指令微调 淬炼法律大模型 法律大模型二次微调

加州隐私法 （CCPA） 金融领域的《格雷姆-里奇= 比利雷法》（GLBA） 《健康保险流通和责任法》 （HIPPAA）等 中国 《中华人民共和国网络 安全法》 《中华人民共和国数据 安全法》 《中华人民共和国个人 信息保护法》 《中华人民共和国网络 数据安全管理条例》 法律法规对比 通过研究对比发现，美国在 联邦层面上一直没有数据安 全和个人信息保护等方面的 立法，只在个别州和金融、 （DGA）、《数据法案》（Data Act）、《数字市场法 案》（DMA）、《数字服务法案》（DSA）等数据相关法律制度，以及中国的《中华人民共和国网络安全法》《中华人民共 和国个人信息保护法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络数据安全 管理条例》等数据安全法律法规相比，美国在联邦层面上一直没有数据安全和个人信息保护等方面的立法，只在个别州和金

化系统、利用技术提升操作效率等。这些通过 解决点状问题来提升效能的活动，其实还是传 统思维下的运营方式，虽然会有一定效果，但 与真正的数字化运营还有差距。 郑军 Kyndryl 勤达睿大中华区总裁 ｜ 7 瞭望塔 │ Lookout Tower 其结果就是，优化组织职能后部门墙的问 题依然存在，业务流程打通后传统业务活动并 未消失，进行数据建设后数据依然不能很好地 支持经营决策分析，而这些问题需要通过统一 代的数据基础建设和治理应用、技术创新与业 务场景融合，再到数字化创新赋能业务升级， 推动企业整体数字化转型，以数字化转型伙伴 的身份和企业一起见证了数字化发展过程中遇 到的很多问题和挑战。 目前，勤达睿在大中华区的业务专注于为 数字化技术提供整合及可靠的数字化运营服务， 能够全方位参与企业数字化转型从关键任务型 IT 基础架构的设计、构建、管理并不断更新的 全流程，统筹企业的数字资源，提供陪伴式的 营的能力，注重通过运营来实现数字化转型的 商业价值转化。以开放探索和主动求变的视角， 把技术与员工、企业、业务伙伴和服务伙伴连 接在一起，才能推动企业获得跨越周期的价值 增长。 本文根据 Kyndryl 勤达睿大中华区总裁郑军的口述 整理 8 ｜ 数字化运营——新思路应对新周期 友邦人寿： 企业的内功关系到 数字化的价值变现 近 几年，数字化转型大潮汹涌而来，云 计算、大数据、人工智能等先进的数 字技术加速向各个行业渗透。在增长

GB/T28448-2019 ） 7. 网络安全等级保护测评过程指 南（ GB/T28449-2018 ） 1. 2. 3. 4. 5. 6. 7. 漏洞 网络产品安全漏洞管理规定 中华人民共和国境内的 网络产品（含硬件 、 软 件 ）提供 者和网络运营 者，以及从事网络产品 安全漏洞发现、收集、 发布等活动的组织或者 个人，应当遵守本规定 密码 1. 2. 3. 1 营造网络化、数字化、智能化、个性化、 终身化的教育教学环境 促进信息技术与高等学校人才培养、科学 研究、文 化 传承与创新、社会服务、国际交流 等方面的深度融合和创新应用 （试行） 中华人民共和国教育部科学技术司 2021 年 3 月  • 《中华人民共和国网络安全法》 • GB/T 2887 计算机场地通用规范 • GB 15629.11 信息技术 系统间远程通信和信息交换 局域网和城域网 特定要求 第

核心要点 标准立项建议 数据安全基础法 律 《中华人民共和国 数据安全法》 全面规范数据安全保护义务、管 理职责及监管，贯穿数据产品全 流程合规要求。 / 个人信息保护法 律 《中华人民共和国 个人信息保护法》 明确个人信息处理规则、主体权 利及处理者义务，规范数据产品 中个人数据操作。 / 网络安全法律 《中华人民共和国 网络安全法》 保障网络安全，维护网络空间主 电商交易法律 《中华人民共和国 电子商务法》（若 数据产品通过电商 平台交易） 规范电商经营者义务、电子合同 订立履行及争议解决，适用于数 据产品交易场景。 / 消费者权益保护 《中华人民共和国 消费者权益保护 在数据产品交易中保护消费者知 / TDSA/A-001-2025 48 法律 法》 情权、选择权、公平交易权等。 市场竞争法律 《中华人民共和国 反垄断法》 反垄断法》 防止数据产品市场垄断，保障公 平竞争，规范企业数据相关市场 行为。 / 知识产权法律 《中华人民共和国 著作权法》 保护数据产品中原创数据内容、 算法模型、软件程序等知识产 权。 / 标准规范 - 数 据格式 国际通用数据格式 标准 确保不同系统间数据兼容性与可 交换性，利于数据产品在不同环 境使用。 / 标准规范 - 数 据质量评估 已有行业或国际数