在网络强国、数字中国建设的蓝图规划下,我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心,行政法规、专项行动为依托,行业规章、地方性法规为抓手,国家标准为指南的网络安全监管保障体系。
2023年,网络空间外部风险诡谲多变,新技术、新应用源源不断引入新生威胁,个人信息主体维权意识愈发强烈,密集出台的法律、制度、条例、标准,为安全技术与产业发展提供指引,筑牢国家数字安全屏障。
安全419在此梳理总结2023年发布、修订或实施的网络安全相关政策条款,观察我国网络安全立法和监管形势,供行业同仁与甲方企业参考。
国家数据政策暖风频吹,持续激发数据要素红利,充分强调发展与安全平衡的数据安全顶层设计不断完善,数据保障的内涵和监管边际不断延展,千亿大市场呼之欲出。
1月13日,工信部等十六部门发布《关于促进数据安全产业发展的指导意见》,目标到2025年,数据安全产业基础能力和综合实力明显增强,数据安全产业规模超过1500亿元,年复合增长率超过30%。
2月27日,《数字中国建设整体布局规划》发布,夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。
3月7日,国家数据局提请组建,10月25日,国家数据局正式揭牌,12月15日,就《“数据要素×”三年行动计划(2024—2026年)》征求意见,1月4日,联合十六部门印发正式版,坚持把安全贯穿数据要素价值创造和实现全过程,从落实数据安全法规制度、丰富数据安全产品、培育数据安全服务三大角度推动工作开展。
7月24日,央行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》,提出“谁管业务,谁管业务数据,谁管数据安全”的基本原则,填补该领域制度空白。从数据分类分级、数据安全保护、风险监测评估审计与事件处置措施等方面压实数据处理活动全流程安全合规责任。
10月-12月,工信部陆续发布《工业和信息化领域数据安全风险评估实施细则(试行)》《工业和信息化领域数据安全行政处罚裁量指引(试行)》《工业和信息化领域数据安全事件应急预案(试行)》的征求意见稿,全面细化、落实1月1日实施的《工业和信息化领域数据安全管理办法(试行)》的监管要求,搭建起该领域数据安全管理方针。
承袭国家数据要素市场规划与安全保障要求,各地区加快数据立法步伐,出台相关条例制度,对数据赋能产业、数据安全保护、数据共享等内容进行规制,以促进当地数字经济高质量发展。
《河北省一体化政务大数据体系建设若干措施的通知》:2025年底形成“一数一源、多源校核”的政务数据治理机制。
《山东省工业和信息化领域数据安全管理实施细则(征求意见稿)》:加强数据安全管理,保障数据安全。
《山东省2023年数字经济“全面提升”行动方案》:推动传统基础设施数字化改造,深化数据安全管理体系。
《杭州市公共数据授权运营实施方案(试行)》(征求意见稿):建立公共数据授权运营工作机制和评价体系。
《浙江省企业首席数据官建设指南(试行)》:首席数据官全面负责企业数据管理工作,强化数据合规与治理。
《杭州市数字贸易促进条例(草案)》:加强数字营商环境、开放与合作、保障措施的建设。
《深圳市数据产权登记管理暂行办法(征求意见稿)》:规范数据产权登记行为。
《深圳市数据交易管理暂行办法》:规定数据交易主体类型、数据类型以及如何确保数据交易安全。
《深圳市企业数据合规指引》:对涉及数据各场景制定全面详细的规范指引。
《广州市公共数据开放管理办法》:明确公共数据开放及管理行为,促进数据多维度开放融合应用。
《广州市数据条例(征求意见稿)》:确立数据安全管理原则,实行数据安全主体责任制。
《“数字湾区”建设三年行动方案》:探索建设“港澳数据特区”,推动数据要素合规高效安全有序流通。
《广东省政务服务数字化条例》:建立健全政务服务数据安全管理制度。
《新疆维吾尔自治区公共数据管理办法(试行)》:规范和促进公共数据资源共享开放。
《厦门经济特区数据条例》:推进数据治理机制建设。
《苏州市数据条例》:制定数据产业发展规划,协调解决数据开发利用、区域协同和数据安全等问题。
《云南省数字政府建设总体方案》:加快推进数字政府建设,加快政府职能转变。
《2023年河南省大数据产业发展工作方案》:统筹推进数据中心安全建设。
《河南省加强数字政府建设实施方案(2023-2025年)》:解决数字政府建设在数据融通、安全保障等方面的问题。
《郑州市政务数据安全管理实施细则》:政务部门同步编制政务数据安全建设方案。
《湖北省数据交易管理暂行办法(征求意见稿)》:规定数据交易主体、标的、流程、安全和监督管理等。
《武汉市数据要素市场化配置改革三年行动计划(2023-2025年)》:夯实数据资源基础,推进数据融合应用。
甘肃省《关于促进数据要素市场发展的实施意见》:完善数据产权制度体系,强化数据要素安全治理。
《山西省政务数据安全管理办法》:建立健全政务数据全生命周期安全管理机制。
《上海市电信和互联网行业首席数据官制度建设指南 (试行)》:全面统筹数据开发、利用和安全,引导企业构建、激活数据管理能力。
上海《立足数字经济新赛道推动数据要素产业创新发展行动方案(2023-2025年)》:提出推动数据要素产业创新发展的八大方向,强化数据安全保障。
《北京市公共数据专区授权运营管理办法(征求意见稿)》:原始数据不出域,数据可用不可见。
《北京地区电信领域数据安全管理实施细则》:规定基础性数据安全保护要求、数据全生命周期安全保护要求。
《北京经济技术开发区首席数据官制度工作方案》:建立上下贯通的数据治理组织体系。
《贵州省数据流通交易促进条例(草案)(征求意见稿)》:从数据权益保护、安全保障等方面促进贵州省数据流通交易。
《长沙市数据官制度建设实施意见》:数据官负责深化数据应用、实施源头治理、提升数字素养、确保数据安全等。
《内蒙古自治区推动数字经济高质量发展工作方案(2023—2025年)》:增强通信网络、数据中心等关键基础设施安全韧性。
《海南省培育数据要素市场三年行动计划(2024—2026)》:到2026年末跨境数据安全保障体系、分级分类管理机制和监管机制形成。
数据跨境流动需求旺盛,个人信息、重要数据等敏感资产的跨境传输迎来更细致、更灵活、更落地的合规要求,开展对应的安全评估、保护认证、安全审查工作,在保障数据安全的同时促进数据自由有序流通。
2月24日,国家网信办发布《个人信息出境标准合同办法》,明确通过订立标准合同的方式开展个人信息出境活动,应坚持自主缔约与备案管理相结合、保护权益与防范风险相结合。
5月30日,国家网信办发布《个人信息出境标准合同备案指南(第一版)》,指导个人信息处理者规范、有序备案个人信息出境标准合同,对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出说明。
随后,北京、上海、浙江、贵州、天津、山东、重庆、福建、湖北、河北、新疆维吾尔自治区、江苏、广东等多地省级网信办陆续发布当地标准合同备案的具体工作指引。在重申国家网信办备案指南基本内容的基础上,部分省级网信办对查验流程进行灵活安排,以及对备案主体等事项进行特殊说明,同时开通当地的备案工作咨询电话并明确详细报送信息。
8月13日,国务院发布《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》,为符合条件的外商投资企业建立绿色通道,高效开展重要数据和个人信息出境安全评估,促进数据安全有序自由流动。
9月28日,国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》,涉及数据出境的多个场景可豁免前置程序,即不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
11月1日,全国信安标委发布《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,规定大湾区跨境处理个人信息的基本原则和保护要求,为实施大湾区个人信息保护认证提供认证依据。
12月10日,国家网信办、香港创新科技及工业局发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,粤港澳大湾区个人信息处理者及接收方可通过订立标准合同的方式进行粤港澳大湾区内地和香港之间的个人信息跨境流动。
截至12月,通过公开渠道查询到,成功通过数据出境申报(国家网信部门的“审批”或“备案”)的企业有29家,与国家网信办和各地省级网信办已受理的千余件申报相比,数据出境申报通过率仅为百分之一。(数据来源于“数据观综合”)
生成式人工智能、大语言模型等技术迎来跨越式发展,大量应用落地,各国尚未形成体系化的监管思路及规则,在前沿技术巨大社会价值与部分不可测风险之间,亟需平衡发展与安全的监管规则作为市场主体的指路明灯。
7月13日,国家网信办等七部门公布《生成式人工智能服务管理暂行办法》,8月15日正式施行,作为全球首部生成式人工智能法规,实行包容审慎和分类分级监管,需对图片、视频等生成内容进行标识,发现违法内容应当及时采取处置措施。
8月25日,全国信安标委发布《网络安全标准实践指南——生成式人工智能服务内容标识方法》,围绕文本、图片、音频、视频四类生成内容给出标识的实践指引。
10月11日,全国信安标委发布《生成式人工智能服务安全基本要求》(征求意见稿),包括语料安全、模型安全、安全措施、安全评估等。
1月10日,《互联网信息服务深度合成管理规定》发布,提出深度合成服务提供者应当落实信息安全主体责任,建立健全用户注册、算法机制机理审核、信息发布审核、数据安全、个人信息保护、反电信网络诈骗等管理制度,实施安全可控的技术保障措施。
6月20日,国家网信办发布《境内深度合成服务算法备案清单》,明确具有舆论属性或者社会动员能力的深度合成服务提供者,应当履行备案和变更、注销备案手续。
8月8日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,明确“最小使用原则”“最小存储原则”,强调“告知-同意原则”,对如何规范使用人脸识别技术提出具体安全要求。
10月8日,科技部等十部门印发《科技伦理审查办法(试行)》,涉及数据和算法的科技活动,审查重点在于数据处理活动以及研究开发数据新技术等符合国家数据安全和个人信息保护等有关规定。
10月18日,中央网信办发布《全球人工智能治理倡议》,以人为本,智能向善,推动建立风险等级测试评估体系,支持以人工智能技术防范人工智能风险,不断提升人工智能技术的安全性、可靠性、可控性、公平性。
面向不同行业及领域观察,保障民生的关键信息基础设施单位,拥有海量、高价值数据资产的机构,成为网络攻击与新生风险的靶标,亦是网络安全监管的重点对象,因其采集使用大量公民隐私,或其功能支撑社会基础运转,已成为网络对抗和国家博弈的主战场。
金融领域
1月10日,中国银保监会发布《银行保险监管统计管理办法》,根据数安法相关规定,在职责范围、统计资料管理制度、监督检查中增加涉及数据安全保护的监管内容。
2月27日,中国证监会发布《证券期货业网络和信息安全管理办法》,5月1日实施,规定网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护等。
6月9日,中国证券业协会发布《证券公司网络和信息安全三年提升计划(2023-2025)》,鼓励信息科技平均投入金额不少于2023年至2025年平均净利润的10%或平均营业收入的7%;鼓励有条件的券商逐步提升信息科技专业人员比例至员工总数的7%。
6月9日,中国期货业协会发布《期货公司网络和信息安全三年提升计划(2023-2025)》,引导期货公司持续提升网络安全工作能力和水平,防范化解系统性风险。
6月27日,国家金融监管总局发布《关于加强第三方合作中网络和数据安全管理的通知》,要求对照通报问题深入排查供应链风险隐患,切实加强整改,严肃处置因管理不当引发的重大风险事件。
8月30日,国家金融监管总局等五部门发布《关于规范货币经纪公司数据服务有关事项的通知》,要求加强数据治理,确保数据安全,规范提供数据标准。
11月2日,财政部、国家网信办联合发布《会计师事务所数据安全管理暂行办法(征求意见稿)》,加强会计师事务所数据管理,完善会计师事务所网络保障,加强监督检查。
工业领域
1月31日,国家能源局发布《2023年电力安全监管重点任务》,组织开展网络安全五年行动计划中期评估,持续推进电力行业网络安全“明目”“赋能”“强基”行动。
2月21日,国家能源局发布《水电站大坝安全提升专项行动方案》,提出加强大坝安全信息化建设,纳入企业信息化建设整体规划,实现大坝信息系统与本企业其他相关系统互联互通。
4月3日,国家能源局发布《关于加快推进能源数字化智能化发展的若干意见》,赋能传统产业数字化智能化转型升级,落实能源安全新战略和建设新型能源体系。
5月31日,工业互联网专项工作组办公室发布《工业互联网专项工作组2023年工作计划》,持续深入实施工业互联网企业网络安全分类分级管理工作,优化完善工业互联网安全技术检测服务体系以及加强重要数据保护。
12月19日,工信部国家标准化管理委员会印发《工业领域数据安全标准体系建设指南(2023版)》,到 2024 年,初步建立工业领域数据安全标准体系,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准 30 项以上。
12月19日,工信部国家标准化管理委员会印发《工业领域数据安全标准体系建设指南(2023版)》,到 2024 年,初步建立工业领域数据安全标准体系,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准 30 项以上。
交通领域
4月24日,交通运输部公布《公路水路关键信息基础设施安全保护管理办法》,包括公路水路关键信息基础设施认定、运营者责任义务、保障和监督等。
7月3日,北京市高级别自动驾驶示范区工作办公室发布《北京市智能网联汽车政策先行区数据分类分级管理细则(试行)》,构建多维统一的数据层级,将影响对象明确为六大类,区分四种危害影响程度,综合确认由低到高的1-6级数据级别。
7月3日,中国民用航空局发布《落实数字中国建设总体部署 加快推动智慧民航建设发展的指导意见》,建立行业网络安全监测预警和共享平台,建立数据分类分级保护基础制度。
7月18日,国家铁路局发布《铁路关键信息基础设施安全保护管理办法(征求意见稿)》,从铁路关键信息基础设施认定、运营者责任和义务、保障和监督等层面作出规定。
9月6日,工信部发布《民用无人驾驶航空器生产管理若干规定(征求意见稿)》,民用无人驾驶航空器存在网络或者数据安全缺陷、漏洞等风险时,应当立即采取补救措施并报告。
11月4日,浙江省委网信办联合印发《浙江省汽车数据处理管理规定》,进一步规范浙江省汽车数据处理活动,促进汽车数据合理开发利用和汽车行业健康有序发展。
面向个人网络信息安全保护,个人信息处理活动监管、未成年人用网保护、互联网内容治理、反网络诈骗及暴力是重点方向,通过规范互联网服务提供者的用户数据处理、账户运营管理、发帖评论等内容治理以及网络违法惩治治理,营造清朗网络空间。
2月6日,国家邮政局修订《寄递服务用户个人信息安全管理规定》,依法严厉打击泄露、买卖寄递服务用户个人信息等行为,督促寄递企业加强网络安全、数据安全和个人信息保护工作。
8月3日,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》,处理超100万人个人信息,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
7月7日,国家网信办发布《网络暴力信息治理规定(征求意见稿)》,要求建立健全网络暴力信息预警模型,综合考虑事件类别、针对主体、参与人数、信息内容、发布频次等维度,及时发现预警网络暴力风险。
7月10日,中央网信办发布《关于加强“自媒体”管理的通知》,提出严防假冒仿冒行为,强化资质认证展示,规范信息来源标注,加强信息真实性管理,加注虚构内容或争议信息标签等13项工作内容。
8月2日,国家网信办发布《移动互联网未成年人模式建设指南(征求意见稿)》,将“青少年模式”全面升级为“未成年人模式”,推动模式覆盖范围由APP扩大到移动智能终端、应用商店。
9月1日,中国人大网公布《治安管理处罚法(修订草案)》并征求意见,将违法出售或者提供公民个人信息增列为侵犯人身、财产权利的行为并给予处罚;增加公安机关实施人身检查、采集生物识别信息的职权。
9月25日,两高一部印发《关于依法惩治网络暴力违法犯罪的指导意见》,依法惩治网络诽谤、网络侮辱、侵犯公民个人信息、借网络暴力事件实施的恶意营销炒作、拒不履行信息网络安全管理义务等行为。
10月16日,《未成年人网络保护条例》公布,自2024年1月1日施行,对加强未成年人网络素养促进、网络信息内容规范、未成年人个人信息网络保护、未成年人网络沉迷防治等方面作出规定。
11月13日,公安部发布《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》,包括金融惩戒、电信网络惩戒、信用惩戒,联合惩戒对象为诈骗分子和实施关联犯罪的人员,坚持分级惩戒、过惩相当。
其他重磅网络安全相关法律条款,根据网络风险趋势以及产业发展形势,细化、优化各个领域的监管要求,有效规避或解决网络威胁,促进网络安全产业高质量发展。
4月12日,国家网信办联合发布《关于调整网络安全专用产品安全管理有关事项的公告》,网络安全专用产品应按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或安全检测符合要求后,方可销售或提供。
7月3日,国家网信办联合发布《关于调整<网络关键设备和网络安全专用产品目录>的公告》,包括路由器、交换机等4类网络关键设备,以及防火墙、入侵防御系统、网络安全态势感知产品、数据泄露防护产品等34类网络安全专用产品。
5月24日,《商用密码管理条例》发布,促进商用密码应用与保障安全相统一的价值导向,进一步完善商用密码科技创新的体制机制。
9月26日,国家密码管理局印发《商用密码检测机构管理办法》《商用密码应用安全性评估管理办法》,11月1日施行,对检测机构资质认定、从业规范、监督管理等提出明确要求,明确要求同步规划、同步建设、同步运行商用密码保障系统,并定期进行商用密码应用安全性评估。
4月26日,新修订的《反间谍法》将投靠间谍组织及其代理人,针对国家机关、涉密单位或者关基设施等实施网络攻击等行为明确为间谍行为,并适度扩大相关主体窃密的对象范围,将其他关系国家安全和利益的文件、数据、资料、物品纳入保护。
5月1日,《信息安全技术 关键信息基础设施安全保护要求》实施,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出111条要求,为运营者开展关基设施保护工作提供标准保障。
12月8日,国家网信办发布《网络安全事件报告管理办法(征求意见稿)》,出台网络安全事件分级指南,较大、重大或特别重大网络安全事件应当于1小时内进行报告。