网络安全标准化是网络安全保障体系建设的基石。在众多国家标准中,强制性国家标准(GB标准)居于最高效力层级,是具有法律强制力的最低安全底线。
厘清网络与数据安全领域已发布的强制性国家标准,对于企业合规、产品研发和监管执法均具有基础性意义。为此,本文首先阐述强制性国家标准的制度定位,随后对主要标准进行盘点。
一、强标的制度定位
根据《中华人民共和国标准化法》,强制性标准必须严格执行,不符合强制性标准的产品、服务不得生产、销售、进口或者提供;推荐性标准国家鼓励采用,但其技术要求不得低于强制性标准。这一制度设计的核心在于:涉及国家安全、人身健康、财产安全等领域的技术底线,必须由全国统一遵守的强制性规范来保障。
在网络与数据安全领域,强制性国家标准的地位尤为突出。
2025年修订后的《中华人民共和国网络安全法》第二十四条明确规定,网络产品、服务应当符合相关国家标准的强制性要求。而针对其中的网络关键设备和网络安全专用产品,第二十五条进一步要求,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。这意味着,对于特定网络产品而言,不符合强制性国家标准就不是"合规瑕疵"问题,而是根本性的市场准入障碍。此外,等级保护、数据安全、个人信息保护等法律义务的履行,同样高度依赖强制性或推荐性国家标准的技术支撑。
忽视强制性国家标准,将面临产品下架、行政处罚乃至刑事责任。
二、网络与数据安全领域强标盘点
以下按标准所涉领域,梳理网络与数据安全领域已发布实施的强制性国家标准(不完全清单)。
(一)等级保护基础标准
- GB 17859-1999《计算机信息系统安全保护等级划分准则》
发布/实施时间:1999年9月13日发布,2001年1月1日实施;2022年1月11日完成复审并确认继续有效。
核心内容:规定了计算机信息系统安全保护能力的五个等级,由低到高依次为:第一级用户自主保护级、第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级。安全保护能力随等级逐级增强。第三级及以上等级要求具备强制访问控制能力。该标准是网络安全等级保护制度的基石,后续GB/T 22239等推荐性标准均以此为依据进行细化和扩展。
合规意义:该标准构成了我国网络安全等级保护制度的核心技术框架。在关键信息基础设施领域,根据业务和安全需求,通常要求达到等保三级或以上等级。监管部门在执法检查中不仅关注等保测评结果,也重视日常运维的持续合规性。等级划分是起点,持续的安全运营与管理方能有效落实等级保护要求。此外,《电子招标投标办法》引入该标准,要求电子招标投标系统通过第二级评测,鼓励达到第三级。
(二)网络关键设备与网络安全专用产品
GB 40050-2021《网络关键设备安全通用要求》
发布/实施时间:2021年2月20日发布,2021年8月1日实施。
核心内容:适用于路由器、交换机、服务器和可编程逻辑控制器四类网络关键设备。标准规定了安全功能要求和安全保障要求,涵盖设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全及密码应用等方面。
合规意义 :该标准是《网络安全法》第二十五条关于网络关键设备安全要求的直接技术支撑。根据该条规定,列入《网络关键设备和网络安全专用产品目录》的设备,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格 或者安全检测符合要求后,方可销售或者提供。国家网信办、工信部、公安部、认监委四部门联合推动实施,中国网络安全审查认证和市场监管大数据中心为指定机构之一。企业在产品上市前需验证设备是否符合目录中的性能指标要求。
- GB 42250-2022《信息安全技术 网络安全专用产品安全技术要求》
发布/实施时间:2022年12月29日发布,2023年7月1日实施。
核心内容:规定了网络安全专用产品的安全功能要求、自身安全要求与安全保障要求,适用于销售或提供的网络安全专用产品的研发、生产、服务、检测。
合规意义:该标准由公安部归口管理,是网络安全专用产品安全合规的技术底线。该标准是《网络安全法》第二十五条关于网络安全专用产品安全要求的直接技术支撑。根据该条规定,列入《网络关键设备和网络安全专用产品目录》的产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
(三)公共安全视频监控联网信息安全
- GB 35114-2017《公共安全视频监控联网信息安全技术要求》
发布/实施时间:2017年11月1日发布,2018年11月1日实施;2024年6月24日完成复审,结论为继续有效。
核心内容:我国首个关于视频监控联网信息安全方面的强制性国家标准。标准由公安部提出并归口,规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求,包括公共安全视频监控联网信息安全系统的互联结构、证书和密钥要求、基本功能要求、性能要求等技术要求,适用于公共安全领域视频监控系统的信息安全方案设计、系统检测、验收以及与之相关的设备研发与检测。
合规意义:该标准与《公共安全视频图像信息系统管理条例》(国务院令第799号)共同构成公共安全视频监控领域的合规要求。新建公共安全、雪亮工程、智慧交通等项目通常要求设备具备国密能力;存量系统需逐步完成改造,否则可能影响接入公共安全视频专网或项目验收。招投标环节普遍要求设备通过国密认证,支持SM2/SM3/SM4算法嵌入前端固件层。该标准的实施覆盖了从公安天网工程到社区安防等多个应用场景。
(四)智能网联汽车信息安全
- GB 44495-2024《汽车整车信息安全技术要求》
发布/实施时间:2024年8月23日发布,2026年1月1日实施。根据第1号修改单,新申请型式批准的车型自2026年7月1日起强制执行,已获得型式批准的在产车型自2028年1月1日起强制执行。
核心内容:该标准由工信部归口,规定了汽车信息安全管理体系要求、信息安全基本要求、信息安全技术要求及同一型式判 定,描述了相应的检查与试验方法,适用于M类、N类及至少装有1个电子控制单元的O类车辆。
合规意义:是我国首个汽车整车信息安全领域的强制性国家标准。该标准是国内汽车车型公告准入的法定必要条件,与GB 44496、GB 44497共同构成智能网联汽车市场准入的核心强制标准体系,为行业和监管提供了明确的技术依据,划定了整车信息安全防护的法定基线,对于提升汽车产品信息安全防护水平、强化产业链风险防范与网络攻击应对能力具有关键作用。
- GB 44496-2024《汽车软件升级通用技术要求》
发布/实施时间:2024年8月23日发布,2026年1月1日起对新申报车型全面实施。
核心内容:该标准由工信部归口,规定了汽车软件升级的管理体系要求、车辆要求、同一型式判定、机动车产品使用说明书, 描述了相应的试验方法,适用于具备软件升级功能的M类、N类和O类车辆。
合规意义:作为车型公告准入的强制性国家标准,标准明确要求车企建立覆盖软件全生命周期的升级管理体系,并对升级过程提出具体的技术规范,包括禁止静默升级、保障用户知情权和选择权、建立应急恢复机制等,以确保软件升级全链路的安全可控。
- GB 44497-2024《智能网联汽车 自动驾驶数据记录系统》
发布/实施时间:2024年8月23日发布,2026年1月1日起对新申报车型全面实施。
核心内容:该标准由工信部归口,规定了智能网联汽车自动驾驶数据记录系统的技术要求、试验方法、同一型式判定等,适用于M类和N类车辆配备的自动驾驶数据记录系统。
合规意义:该标准与GB 44495、GB 44496共同构成合规上市的必要条件。在信息安全方面,要求采用有效的密码技术保障数据的真实性和完整性,并保护重要数据的机密性,通常需配套使用商用密码技术。
(五)人工智能生成内容安全
- GB 45438-2025《网络安全技术 人工智能生成合成内容标识方法》
发布/实施时间:2025年2月28日发布,2025年9月1日实施。
核心内容:该标准由中央网信办归口,配套《人工智能生成合成内容标识办法》,规定了显式标识和隐式标识两类要求。显式标识包括文字提示、语音播报、图形标记等用户可感知的标识,文本标识应包含"人工智能"或"AI"以及"生成"和/或"合成"等要素;隐式标识包括数字水印、元数据字段、加密签名等技术可提取的标识。适用于通过人工智能生成文本、图像、音频、视频等内容并面向公众传播的场景。
合规意义:该标准与《人工智能生成合成内容标识办法》于2025年9月1日起同时施行,形成"法规+强标"的组合治理模式。二者共同构建了覆盖生成合成内容全链条的标识管理体系,配套办法明确了服务提供者、传播平台、互联网应用程序分发平台以及用户四类主体的责任和行为规范,标准为责任落地提供了全国统一的技术标尺。监管部门对AIGC标识问题开展执法,AIGC标识合规成为企业的重要内容。
(六)数据安全与个人信息保护
- GB 46864-2025《数据安全技术 电子产品信息清除技术要求》
发布/实施时间:2025年12月2日发布,2027年1月1日正式实施。
核心内容:首次以强制性国家标准形式,统一了手机、电脑、平板等带非易失性存储介质的电子产品信息清除技术规范。要求电子产品厂商内置"一键清除所有用户数据"的可便捷操作功能,清除范围覆盖常规文件、通话记录、位置轨迹、账号密码、生物识别信息等全量用户数据;同时对二手电子产品回收环节的信息清除流程、管理要求、禁止性行为作出强制规定。适用于面向境内生产、销售且具有非易失性存储介质的电子产品。
合规意义:填补了我国电子产品数据销毁环节的强制性标准空白,从产品设计源头和二手流通全链条防范数据泄露风险。它既是消费电子厂商的合规义务,也为二手电子交易行业划定了数据安全要求。二手电子产品回收经营者在回收前需主动提示用户进行清除,对清除操作和验证结果建立档案并留存不少于三年。涉及国家秘密的电子产品按国家保密规定执行。
- GB 46859-2025《儿童手表安全技术要求》
发布/实施时间:2025年12月2日发布,2027年1月1日实施。
核心内容:由工信部和中央网信办联合归口,适用于生产和销售的供3周岁及以上、14周岁以下儿童使用的手表。标准对儿童手表的外观安全、材料阻燃性、防水性、材料化学性能,以及网络安全、个人信息保护、内容安全、网络沉迷防治、付费管控、手表挂失、电磁辐射、锂电池安全、安全充电、交换电话号码、生物特征识别等方面提出安全技术要求和试验方法。
合规意义:该标准首次明确提出儿童手表应支持不同品牌产品之间互加好友。新国标的关注点集中在定位精度、通话与数据安全、个人信息保护、应用权限、广告与诱导消费、沉迷防治等方面。新国标对行业统一安全门槛起到促进作用,并对不合规产品形成淘汰压力。
三、网络与数据安全领域强标的主要特点
从上述标准的演进脉络可以看出,网络与数据安全领域的强制性国家标准呈现以下特点。
3.1 立法驱动的强制性日益强化
GB 40050和GB 42250直接响应《网络安全法》第二十五条的授权,将"网络关键设备"和"网络安全专用产品"的强制认证要求具象化为可检测、可执行的技术指标,其认证标准和检测结果由网信办、工信部、公安部和认监委联合公告统一发布,形成跨部门协同的监管闭环。GB 35114-2017则与《公共安全视频图像信息系统管理条例》(国务院令第799号)形成"行政法规+国家标准"的双重约束体系,将安全改造从"技术建议"升级为"法律义务"。GB 45438为《人工智能生成合成内容标识办法》提供了标准支撑。立法与标准的高度联动,使强制性国家标准不再是技术文件,而成为法律义务的直接延伸。
3.2 覆盖范围从传统基础设施向新兴场景快速扩展
早期的GB 17859聚焦于通用计算机信息系统等级保护,属于底座式标准。2018年实施的GB 35114-2017将强制合规延伸至公共安全视频监控领域,用国密算法解决视频监控联网的安全问题。2024年以来,三项汽车强标将智能网联汽车整车信息安全、软件升级管理、自动驾驶数据记录系统纳入强制约束;AI标识强标回应生成式人工智能治理需求;儿童手表强标和电子产品信息清除强标则将合规要求延伸至物联网终端设备和数据安全全链条治理。从通用系统到视频监控、再到智能汽车与AI应用场景的扩展,反映了监管部门对技术风险的快速响应。
强制性国家标准是网络与数据安全法律治理体系中不可或缺的技术支柱。对于企业而言,跟踪强标的立项、发布、实施动态,并提前将合规要求嵌入产品设计,是避免市场准入风险的基本功。对于监管部门而言,强标体系越完善,执法依据就越清晰。
可以预见,随着《网络安全法》《数据安全法》《个人信息保护法》等法律的深入实施,网络与数据安全领域的强制性国家标准将持续扩容,成为数字经济时代不可回避的合规底线。