> **来源:[研报客](https://pc.yanbaoke.cn)** # 生成式人工智能行业网络数据安全风险评估工作手册总结 ## 核心内容概述 本手册为生成式人工智能行业提供网络数据安全风险评估的实施细则,旨在落实《网络安全法》《数据安全法》《个人信息保护法》《上海市数据条例》等法律法规,构建系统化、场景化、合规化的风险评估框架。手册聚焦于“三类核心资产”:训练数据集、生成内容输出、用户交互数据,以保障数据安全和合规性。 ## 主要观点 - **业务特点**:生成式人工智能行业具有数据依赖性强、模型与生成内容不可控、合规与伦理挑战大、威胁场景动态演进等特点。 - **评估目标**:围绕训练数据、生成内容、用户交互数据,识别和评估数据安全风险。 - **评估流程**:分为评估准备、信息调研、风险识别、综合分析和评估总结五个阶段。 - **风险识别**:分为基础风险识别和专项风险识别,后者包括预训练与优化训练数据、生成内容、用户交互数据。 - **风险分析与评价**:从危害程度和发生可能性两个维度进行分析,形成风险清单。 - **评估总结**:包括评估报告编制和整改方案制定,确保风险可控并满足监管要求。 ## 关键信息 ### 一、评估准备 1. **明确评估范围**: - 覆盖训练数据、模型资产及生成内容。 - 评估范围可聚焦于某技术环节、业务系列或具体场景。 - 未分级情况下,优先评估数据采集与清洗、模型训练平台、生成内容审核、用户交互接口等。 2. **组建评估团队**: - 企业可自行评估或委托第三方。 - 自行评估时,由首席安全官或数据保护负责人牵头,联合技术、法务、合规及业务部门。 - 第三方需具备 AI 安全专项经验、合规评估资质及跨境数据合规能力。 3. **制定评估方案**: - 包括评估概述、范围、内容和方法、人员安排、实施计划、工作要求、测试方案等。 - 方案需经过专家评议,确保可操作性、技术可行性和风险管控。 ### 二、信息调研 1. **企业基本情况调研**: - 包括企业名称、统一社会信用代码、注册地址、法定代表人、数据安全负责人等信息。 - 企业性质、商业模式、是否为特定类型数据处理者等。 2. **全业务链条及技术架构调研**: - 包括模型名称、业务功能、适用人群、适用场合、业务用户规模、服务入口、训练算力资源、是否采用已备案模型等。 3. **数据资产调研**: - 涵盖数据资产清单、数据范围、数据规模、数据分类分级等。 4. **数据全生命周期处理活动调研**: - 包括数据收集、存储、传输、使用、共享、删除、公开等环节的合规性、安全性及具体操作。 5. **安全防护措施调研**: - 包括已开展的安全测评、安全管理制度、组织架构、人员配置、安全技术应用、安全事件处理情况等。 ### 三、风险识别 1. **风险识别内容**: - 涉及数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面。 - 风险识别可参考附录 2 中的风险识别表。 2. **风险识别方法**: - 包括人员访谈、文档查验、安全核查、技术测试等。 ### 四、综合分析 1. **风险分析**: - 梳理存在的数据安全问题,形成数据安全问题清单,包括问题编号、类别、子类、描述、评估对象等。 2. **风险评价**: - 基于风险问题清单,结合风险危害程度和发生可能性,进行风险等级评定,形成数据安全风险清单。 ### 五、评估总结 1. **编制评估报告**: - 报告需包括评估概述、工作情况、信息调研、风险识别、风险分析与评价、整改建议、风险源清单等。 - 报告需由评估组长、审核人签字,并加盖评估机构公章。 2. **制定整改方案**: - 针对发现的风险问题,提出整改措施或建议,区分高风险、中低风险处理方式。 - 整改情况需保留记录,供监管部门检查。 ## 附录内容 - **附录 1**:信息调研表,包括企业基本情况、业务链条、数据资产、数据生命周期处理活动、安全防护措施等。 - **附录 2**:风险识别表,包括基础风险识别及三大专项风险识别(预训练与优化训练数据、生成内容、用户交互数据)。 - **附录 3**:综合分析方法,包括典型风险类型、危害程度分析、可能性分析、风险评价等。 - **附录 4**:评估总结模板,包括评估报告格式和整改方案模板。 ## 总结 本手册为生成式人工智能行业提供了一套系统、规范、可操作的网络数据安全风险评估流程,强调数据安全管理、处理活动合规性、技术措施有效性及个人信息保护。其核心在于构建“行业基础+场景特点”的多层次评估体系,推动企业在数据生命周期中全面识别和控制安全风险,满足法律法规要求,提升数据安全治理能力。