网安标委就OpenClaw安全指引征求意见

1.工业企业数据安全能力成熟度模型（ISMM）：

ISMM 的架构由以下三个维度构成：

(1)工业企业数据安全能力要素维度：组织工业企业数据安全能力要素包括组织建设、制度流程、技术工具和人员能力。

(2)能力成熟度等级维度：组织工业企业数据安全能力成熟度等级划分为五级，由低至高分别为基础建设级、精准防护级、集成管控级、综合协同级和智能优化级。

(3)工业企业数据安全过程维度：组织工业企业数据安全能力建设过程包括工业企业数据全生命周期安全和通用安全：

a）工业企业数据全生命周期安全包括：工业企业数据收集安全、数据存储安全、数据使用与加工安全、数据传输安全、数据提供安全、数据公开安全、数据销毁安全 7 个过程类；

b）通用安全包括：安全管理制度、组织机构、人员保障、权限管理、系统与设备安全、数据供应链安全、数据分类分级、安全风险评估、日志留存、监控与安全审计、监测预警、信息共享与应急处置、数据出境 12 个过程

2.工业企业数据安全能力成熟度等级：根据组织开展安全防护的能力分为 5 个能力成熟度等级，自低向高分别是基础建设级、精准防护级、集成管控级、综合协同级、智能优化级

3.PA（Process Area，过程域）体系：分为工业企业数据全生命周期安全过程域和工业企业通用安全过程域两部分，共包含 30 个 PA。

《通知》就新修订的反不正当竞争法的工作重点给出明确方向，其中：

1.综合整治“内卷式”竞争。综合运用各类反不正当竞争措施，着力防治平台经济、光伏、锂电池、新能源汽车等重点行业和领域“内卷式”竞争。精准辨识和依法查处平台企业无正当理由，利用搜索排名、经营评价、算法控制、限制流量、下架商品、增加费用、拖欠账期、中止交易、内部惩戒等手段，或在补贴、优惠、红包、折扣、“满减”、“买赠”、促销等活动中，强制或者变相强制平台内经营者以低于成本的价格销售商品，扰乱市场竞争秩序。

2.强化网络不正当竞争行为监管。统筹好活力和秩序的关系，完善网络竞争规则，着力提升对网络不正当竞争行为的常态化监管水平。运用好禁止侵害数据权益的专款规定、商业秘密保护规则，准确识别数据不正当竞争行为，平衡好数据保护和数据利用的关系，加大对人工智能等新兴产业的保护力度，有效保护数据要素各参与方的合法权益，维护数据市场竞争秩序。及时应对各类新型网络不正当竞争行为，有效规制利用数据和算法、技术、平台规则等实施不正当竞争行为。

3.探索反不正当竞争域外执法。探索推动我国反不正当竞争法律规则的域外适用，对在境外实施的虚假宣传、网络不正当竞争、商业诋毁、侵犯商业秘密等不正当竞争行为，扰乱境内市场竞争秩序，损害境内经营者或者消费者合法权益的，坚决予以打击，保障我国产业链供应链安全，维护我国国家和企业利益。积极探索域外执法实践，加快建设专门的涉外执法人才队伍，支持有条件的地方开展试点。

在中华人民共和国境内的小型个人信息处理者实施个人信息保护，适用规定。规定所称小型个人信息处理者，是指处理不满10万人个人信息的个人信息处理者。

其内容要点如下：

1.个人信息处理规则与告知义务的简化

(1)通过简便方式（如张贴公告、服务协议）公开个人信息处理规则：小型个人信息处理者线下收集个人信息的，可以通过在经营场所醒目位置张贴公告等简便方式公开个人信息处理规则；线上收集个人信息的，可以通过服务协议等方式公开个人信息处理规则。

(2)园区、物业等可为多个小型处理者统一制定规则：支持园区、产业基地、商业物业等服务管理单位，为其服务管理范围内开展相同线下业务的小型个人信息处理者统一制定并公开个人信息处理规则，同意遵守统一个人信息处理规则且在该规则中被列明的小型个人信息处理者，可以不再制定个人信息处理规则。

(3)特定条件下可免于单独制定规则或重复履行告知义务：同时符合下列条件的小型个人信息处理者可以不再制定个人信息处理规则、履行告知义务：（一）小型个人信息处理者仅通过网络平台处理个人信息，且不向网络平台外的其他个人信息处理者提供；（二）网络平台已制定发布个人信息处理规则，并履行了告知义务；（三）小型个人信息处理者声明遵守网络平台制定的个人信息处理规则，且处理个人信息为提供产品或者服务所必需。符合前款条件的，网络平台已开展个人信息保护合规审计、个人信息保护影响评估的，小型个人信息处理者可以不再重复开展。

2.告知与同意机制

(1)特定情形下（处理非敏感信息、不对外提供），仅公开规则即视为履行告知义务：小型个人信息处理者同时符合下列条件的，可以仅通过公开个人信息处理规则向个人履行告知义务，个人信息处理规则应当便于查阅和保存：（一）处理个人信息（不含敏感个人信息）为提供产品或者服务所必需；（二）不向其他个人信息处理者提供且不对外公开个人信息，并在个人信息处理规则中明示。

(2)个人主动提供必要信息且规则已告知的，可依规处理：

个人因获取产品或者服务需要，主动向小型个人信息处理者提供获取产品或者服务所必需的个人信息，小型个人信息处理者已公开个人信息处理规则并履行告知义务的，即可按照公开的个人信息处理规则处理其个人信息。

个人在知情情况下主动配合提供人脸信息、生物样本等敏感个人信息的，小型个人信息处理者即可按照已告知的个人信息处理目的、方式、种类等处理其敏感个人信息。

3.个人信息保护影响评估的简化：明确小型个人信息处理者可以按照附件《小型个人信息处理者个人信息保护影响评估表》的简便方式开展个人信息保护影响评估，仅需记录影响评估结论，显著降低了评估复杂度和操作成本。

4.个人信息保护合规审计的简化：提供了《小型个人信息处理者个人信息保护合规审计自查表》，要求小型个人信息处理者至少每五年开展一次合规审计。该自查表仅需就24个审计项勾选合规情况，并说明不合规及整改情况，相比 GB/T 46903-2025《数据安全技术 个人信息保护合规审计要求》，显著简化了审计流程。

3月11日，国家药品监督管理局发布《国家药监局关于“人工智能+药品监管”的实施意见》。

《意见》提出，到2030年初步构建药品监管与人工智能融合创新体系，推进人工智能在审评审批、监督检查、检验监测、政务服务等场景应用。

重点包括：建设人机协同审评审批机制，推进第二类医疗器械审评、药品上市后变更备案、普通化妆品备案及许可审批智能化；完善临床试验、生产、流通使用全链条数智监管，推进全品种追溯赋码和多码映射；升级风险监测预警、智慧药检、网售监测、投诉举报分析及检查执法系统；建设高质量数据集、大模型与算力底座，完善算法备案、安全审查、模型验证、数据安全及应用治理机制。