专业研究
专业研究
朋说丨清朗风起吹净网络生态,英伟达后门彰示合规红线——数据合规月刊第7期
2025-08-07
朋说丨清朗风起吹净网络生态,英伟达后门彰示合规红线——数据合规月刊第7期(图1)

朋说丨清朗风起吹净网络生态,英伟达后门彰示合规红线——数据合规月刊第7期(图2)

一、新规速递


1. 7月4日3项网络安全国家标准发布


GB/T 20988—2025《网络安全技术信息系统灾难恢复规范》
该标准确立了信息系统灾难恢复工作原则,给出了信息系统灾难恢复生命周期,规定了信息系统灾难恢复应遵循的基本要求,描述了灾难恢复能力等级划分和测试评价方法;适用于灾难恢复的需求方、服务提供方和评估方等各类组织开展信息系统灾难恢复的规划设计、建设实施和运行管理等工作。

GB/T 22080—2025《网络安全技术 信息安全管理体系要求》
该标准规定了在组织环境下建立、实施、维护和持续改进信息安全管理体系的通用要求。这些要求适用于各种类型、规模和性质的组织,并包括根据组织需求进行剪裁的信息安全风险评估和处置要求。需要注意的是,当组织声称符合本文件时,不得排除第4章到第10章中规定的任何要求。

GB/T 45909—2025《网络安全技术数字水印技术实现指南》
该标准提供了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封装形式选择等方面的建议;适用于数字水印技术的设计、开发、应用和测试。
以上标准将于2026年1月1日起正式实施。

相关链接:
3项网络安全国家标准获批发布

标准解读 | 深度解读GB/T 20988-2025《网络安全技术 信息系统灾难恢复规范》

一图读懂GB/T 22080-2025《网络安全技术 信息安全管理体系 要求》

《GB/T 45909—2025 网络安全技术 数字水印技术实现指南》(自2026年1月1日起实施)

2. 7月22日《网络安全标准实践指南——摇一摇广告触发行为安全要求》


为解决移动智能终端摇一摇广告乱跳转问题,规范摇一摇广告的展示和触发行为,秘书处组织编制了《网络安全标准实践指南——摇一摇广告触发行为安全要求》。本《实践指南》规定了移动智能终端摇一摇广告个人权益保障的基本原则和触发行为安全要求,适用于规范摇一摇广告的展示和触发行为,也可为移动智能终端、App、第三方SDK等个人信息处理者或评估机构提供参考。

相关链接:
关于发布《网络安全标准实践指南——摇一摇广告触发行为安全要求》的通知


朋说丨清朗风起吹净网络生态,英伟达后门彰示合规红线——数据合规月刊第7期(图2)

二、治理关注


1. 7月2日,网信中国


互联网新闻信息稿源单位名单(截至2025年6月)
稿源单位(除中央和国家机关、群团组织等政务发布平台和省级政务发布平台外)取得互联网新闻信息服务许可的公众账号、应用程序、网络直播等服务形式发布的新闻信息,为新闻信息转载来源。稿源单位取得互联网新闻信息服务许可情况,可通过国家网信办官方网站(www.cac.gov.cn)——“全国网信政务办事大厅”版块——“互联网新闻信息服务单位许可信息”入口进行查询。

互联网新闻信息稿源单位名单(截至2025年6月)

《互联网新闻信息稿源单位名单》(截至2025年6月)有关情况说明

2. 7月18日,网信中国


关于开展个人信息保护负责人信息报送工作的公告
一、信息报送要求
根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定,处理100万人以上个人信息的个人信息处理者,应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。
二、信息报送时间
(一)自本公告发布之日起,个人信息处理者处理个人信息达到100万人的,应当自数量达到之日起30个工作日内完成信息报送。
(二)本公告发布前,个人信息处理者处理个人信息数量已经达到100万人的,应当在2025年8月29日前完成信息报送。
(三)报送信息发生实质性变更的,应当在变更之日起30个工作日内办理信息变更手续。
三、信息报送方式
个人信息保护负责人信息报送工作采用线上方式。请直接访问“个人信息保护业务系统”(https://grxxbh.cacdtsc.cn),按照系统首页提供的《个人信息保护负责人信息报送系统填报说明(第一版)》,准备相关材料并履行信息报送手续,也可从中国网信网(https://www.cac.gov.cn)首页“全国网信政务办事大厅”栏目访问“个人信息保护业务系统”。
四、法律责任未按照《个人信息保护法》《个人信息保护合规审计管理办法》等法律法规规章的规定履行信息报送手续的,依照有关法律法规规章的规定处理。特此公告。

关于开展个人信息保护负责人信息报送工作的公告

3. 7月27日,中国信息安全


人工智能全球治理行动计划(全文)

4. 7月30日,网信中国


国家互联网信息办公室发布《国家信息化发展报告(2024年)》

图解|一图速览《国家信息化发展报告(2024年)》

5. 7月清朗行动,网信中国


网信公安联合打击网络谣言 整治AI制假信息 清理“韦东奕”仿冒账号 拘留处罚恶意造谣者

网信部门大力整治假冒仿冒“自媒体”账号

中央网信办部署开展“清朗·2025年暑期未成年人网络环境整治”专项行动

聚焦摆拍、编造、仿冒、低俗、炒作等突出问题 “清朗”专项行动严处一批短视频账号

关于开展“清朗·整治‘自媒体’发布不实信息”专项行动的通知

关于开展“清朗·成都世运会网络环境整治”专项行动的通知

6. 7月违法违规APP,国家网络安全通报中心


国家计算机病毒应急处理中心检测发现68款违法违规收集使用个人信息的移动应用

公安部计算机信息系统安全产品质量监督检验中心检测发现33款违法违规收集使用个人信息的移动应用

朋说丨清朗风起吹净网络生态,英伟达后门彰示合规红线——数据合规月刊第7期(图2)

三、热点快评

以“H20芯片漏洞门”为镜,透视在华跨国科技企业的合规深水区
——兼论网信部门约谈英伟达的示范意义
(AI生成)

2025年7月,中央网信办、工信部、国家安全部罕见联合约谈美国英伟达公司,起因是其专供中国市场的H20 AI算力芯片被多家安全机构证实存在可被远程激活的“调试接口”。该接口原为海外版本预留的维护通道,却在销售给中国客户的量产版本中被完整保留,且默认开启、缺乏国密级加密。事件迅速引发连锁反应:十余家头部云厂商紧急下架H20实例,两家国有大行暂停基于H20的智算中心招标,市值单日蒸发逾120亿美元。网信部门的约谈不只是一次危机公关,更为在华跨国科技企业划出了四条新的合规红线。

一、技术合规:从“功能合规”走向“场景合规” 
过去外企只需证明产品技术指标符合国标即可上市,如今必须把潜在使用场景纳入评估。H20芯片在美方出口管制清单中被阉割了部分双精度算力,却在调试接口上“网开一面”,恰恰落入“管制盲区”。网信部门明确要求:所有在华销售的高性能芯片必须提交源代码级安全审计报告、关闭或国密化所有非必要调试接口,并每季度接受穿透式抽检。这意味着“技术合规”不再是静态证书,而是与业务场景同步迭代的动态义务。

二、数据合规:从“数据不出境”到“参数可验证” 
《数据跨境流动安全管理办法》2025年修订版首次把“模型参数”纳入敏感数据范畴。H20芯片在训练过程中会缓存权重文件至板载HBM,且可通过调试接口外传。网信部门要求英伟达在30天内提交“参数流转白名单”,并承诺在芯片固件层面实现国产可信执行环境(TEE)。对跨国企业而言,仅仅声明“数据不出境”已不足够,还必须证明“算法不可被远程操控”,这对芯片微码、驱动乃至上层CUDA库的全栈可信提出系统性挑战。

三、算法合规:从“透明可释”升级到“对抗可控” 
《生成式AI服务管理暂行办法》第16条要求提供者对算法进行安全评估。H20芯片漏洞暴露的更大风险在于:攻击者可利用调试接口注入恶意微码,改变矩阵运算结果,从而让大模型在特定提示下输出错误结论。网信部门首次将“硬件级对抗样本”纳入评估范围,要求外企在提交算法备案时,一并提供芯片级防护方案和第三方红队测试报告。算法合规由此从“软件透明”下沉到“硬件可信”,成为新的必修课。

四、供应链合规:从“厂商声明”到“国家级背书” 
H20事件后,网信部门同步发布《关键信息基础设施供应链安全评估指南(试行)》,要求所有进入关键领域的外资芯片必须通过国家信息技术安全评测中心的“双目录”认证:既列入《关键设备安全目录》,又列入《安全可控产品目录》。英伟达已宣布将联合三家国产安全厂商,对H20进行国密算法替换和可信启动改造,并在苏州设立“中国合规实验室”,所有发往关基行业的产品均需在此完成二次签名。供应链合规的“国家级背书”将成为外企进入中国市场的新门票。

结语 
H20芯片漏洞门不是简单的质量缺陷,而是把“技术—数据—算法—供应链”四重合规风险一次性暴露在阳光下。网信部门的雷霆手段向市场传递清晰信号:中国欢迎高科技产品,但前提是必须“听得懂、改得快、守得住”。对于跨国科技企业而言,合规不再是法务部门的边缘职能,而是CEO工程;不再是单一产品线的补丁,而是全球技术架构的再设计。谁能在“深合规”中率先跑通,谁就能在下一轮AI算力竞赛中赢得最大红利。

相关链接:
国家互联网信息办公室就H20算力芯片漏洞后门安全风险约谈英伟达公司


作者介绍

朋说丨清朗风起吹净网络生态,英伟达后门彰示合规红线——数据合规月刊第7期(图5)

王兴华

上海道朋律师事务所

副主任、合伙人

王兴华,毕业于华东政法大学,曾长期担任某合资网络公司法务。2006年起执业,执业期间曾参与多起重大政府项目法律服务,现任上海市律师协会企业法律顾问业务研究委员会委员,先后为数十家企业提供法律顾问服务。



王律师主要业务领域不仅包括股权纠纷、合同纠纷等诉讼业务,也涉及到数据合规、债券融资、企业清算等非讼业务,故对于企业从设立经营到融资发展到清算关闭的整个生存周期所涉法律事务,均有着丰富的实战经验,可以为企业提供全方位的法律服务。

END


朋说丨清朗风起吹净网络生态,英伟达后门彰示合规红线——数据合规月刊第7期(图6)