《网信上海：2025生成式人工智能行业网络数据安全风险评估工作手册（170页）.pdf》由会员分享，可在线阅读，更多相关《网信上海：2025生成式人工智能行业网络数据安全风险评估工作手册（170页）.pdf（170页珍藏版）》请在三个皮匠报告上搜索。

1、 生成式人工智能行业网络数据安全风险评估工作手册 二二五年九月生成式人工智能行业网络数据安全风险评估工作手册 I 前前 言言 为贯彻落实网络安全法数据安全法个人信息保护法上海市数据条例等法律法规，明确生成式人工智能行业网络数据安全风险评估实施细则，现将生成式人工智能行业各单位开展网络数据安全风险评估工作流程、步骤、方法等总结形成本工作手册。本工作手册参与编制单位为星环信息科技（上海）股份有限公司，由上海市委网信办、徐汇区委网信办提供指导，上海市信息安全测评认证中心提供技术支持。生成式人工智能行业网络数据安全风险评估工作手册 II 目目 录录 目 录.II 一、总体概述.1 二、行业特点与评估目

2、标.1（一）生成式人工智能业务特点.1（二）评估核心目标.2（三）工作手册依据.2（四）行业指标分析.4 三、生成式人工智能行业网络数据安全风险评估流程.8（一）评估准备.8 1、明确评估范围.8 2、组建评估团队.10 3、制定评估方案.12（二）信息调研.13 1、生成式人工智能企业基本情况调研.13 2、生成式人工智能全业务链条及技术架构调研.14 生成式人工智能行业网络数据安全风险评估工作手册 III 3、生成式人工智能数据资产调研.14 4、数据全生命周期处理活动调研.15 5、安全防护措施调研.16（三）风险识别.17 1、风险识别内容.17 2、风险识别方法.18（四）综合分析.

3、19 1、风险分析.19 2、风险评价.20（五）评估总结.21 1、编制评估报告.21 2、制定整改方案.22 附录 1 信息调研表.23 附录 1.1 生成式人工智能企业基本情况调研表.23 附录 1.2 生成式人工智能全业务链条及技术架构调研表.25 附录 1.3 生成式人工智能数据资产调研表.27 生成式人工智能行业网络数据安全风险评估工作手册 IV 附录 1.4 数据全生命周期处理活动调研表.30 附录 1.5 安全防护措施调研表.43 附录 2 风险识别表.47 附录 2.1 生成式人工智能服务基础风险识别表.47 附录 2.1.1 数据安全管理评估表.47 附录 2.1.2 数据

4、安全技术评估表.71 附录 2.1.3 个人信息保护评估表.83 附录 2.2 预训练数据和优化训练数据风险识别表.106 附录 2.2.1 数据安全管理评估表.106 附录 2.2.2 数据处理活动评估表.108 附录 2.2.3 数据安全技术评估表.120 附录 2.3 生成内容风险识别表.122 附录 2.3.1 数据处理活动评估表.122 附录 2.3.2 数据安全技术评估表.128 附录 2.4 用户交互数据风险识别表.131 附录 2.4.1 数据处理活动评估表.131 生成式人工智能行业网络数据安全风险评估工作手册 V 附录 2.4.2 数据安全技术评估表.137 附录 3 综合

5、分析方法.145 附录 3.1 典型数据安全风险类型.145 附录 3.2 风险危害程度分析.147 附录 3.3 风险发生可能性分析.153 附录 3.4 风险评价.156 附录 4 评估总结模板.158 生成式人工智能行业网络数据安全风险评估工作手册 1 一、总体概述 本工作手册介绍了生成式人工智能行业各单位评估准备、信息调研、风险识别、综合分析、评估总结等网络数据安全风险评估实施流程，明确了生成式人工智能行业网络数据安全风险评估实施工作流程、步骤、方法等。生成式人工智能企业可直接根据本工作手册开展评估；第三方评估机构可依据本工作手册出具具有生成式人工智能行业特色的评估报告；也可供生成式人

6、工智能行业主管监管部门实施检查评估时参考。二、行业特点与评估目标（一）生成式人工智能业务特点 生成式人工智能行业具备数据依赖性高、模型与生成内容的不可控性、合规与伦理挑战及动态演进的威胁场景等显著特征。首先是首先是数据依赖性高数据依赖性高，海量训练数据依赖互联网公开数据、用户生成内容（UGC）、企业私有数据等，可能涉及敏感信息（如个人隐私、商业秘密）。数据来源复杂，多源数据聚合易引入未清洗的恶意内容或偏见数据，增加数据泄露和滥用的风险。其次是其次是模型与生成内容的不可控性模型与生成内容的不可控性，可能生成虚假信息、有害内容（暴力、歧视性文本）、版权侵权内容（模仿受版权保护的风格）。模型易受提示