安全419盘点 | 2023年第三季度网络安全政策法规汇总

网络安全是我国维护国家安全、社会稳定，保护企业与个人隐私的前提，国家从顶层高度重视网络安全产业发展，在中央的政策支持下，省市级机构和各行业领域亦陆续出台了大量的支持性政策。安全419汇总了2023年第三季度出台或实施的网络安全相关重要政策法规，供行业同仁与甲方企业参考。
 
点击阅读：
2023年第一季度网络安全政策法规汇总
2023年第二季度网络安全政策法规汇总

第三季度重点政策法规
 
7月3日，国家网信办、工信部、公安部、国家认监委联合发布《关于调整<网络关键设备和网络安全专用产品目录>的公告》，本次发布的目录包括路由器、交换机等4类网络关键设备，以及防火墙、入侵防御系统（IPS）、网络安全态势感知产品、数据泄露防护产品等34类网络安全专用产品，2017年发布的产品目录同步废止。

扩展阅读：新增达34类！网络安全专用产品目录更新
 
7月13日，国家网信办等七部门公布《生成式人工智能服务管理暂行办法》，8月15日正式施行。对生成式人工智能服务实行包容审慎和分类分级监管，需对图片、视频等生成内容进行标识，发现违法内容应当及时采取处置措施。

扩展阅读：生成式人工智能服务内容如何标识？ 官方指引来了！
 
8月3日，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》，明确个人信息保护合规审计定义、适用对象、时限要求等，并以附件的形式提出个人信息保护合规审计参考要点。

扩展阅读：网信办：处理个人信息超百万 应每年开展一次个人信息保护合规审计
 
8月4日，工信部发布《关于开展移动互联网应用程序备案工作的通知》，在中国境内从事互联网信息服务的APP主办者，应当依照《反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续，未履行备案手续的不得从事APP互联网信息服务。

扩展阅读：干货分享 | 移动应用程序（APP）备案指引
 
9月28日，国家网信办发布《规范和促进数据跨境流动规定（征求意见稿）》，涉及数据出境的多个场景可豁免前置程序，即不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。其还明确，《数据出境安全评估办法》《个人信息出境标准合同办法》等相关规定与本规定不一致的，按照本规定执行。
 
数据安全、个人信息保护、内容安全相关政策
 
9月20日，国务院常务会议审议通过《未成年人网络保护条例（草案）》，草案对加强未成年人网络素养促进、网络信息内容规范、未成年人个人信息网络保护、未成年人网络沉迷防治等方面作出规定，还对有关违法行为规定了相应的法律责任。
 
8月8日，国家网信办发布《人脸识别技术应用安全管理规定（试行）（征求意见稿）》，明确“最小使用原则”“最小存储原则”，强调“告知-同意原则”，对相关组织或个人如何规范使用人脸识别技术提出具体安全要求。

扩展阅读：网信办规范人脸识别技术应用 使用人脸信息应取得个人同意
 
7月7日，国家网信办发布《网络暴力信息治理规定（征求意见稿）》，网络信息服务提供者应当建立健全网络暴力信息预警模型，综合考虑事件类别、针对主体、参与人数、信息内容、发布频次、环节场景、举报投诉等维度，及时发现预警网络暴力风险。
 
7月10日，中央网信办发布《关于加强“自媒体”管理的通知》，提出13项工作内容：严防假冒仿冒行为，强化资质认证展示，规范信息来源标注，加强信息真实性管理，加注虚构内容或争议信息标签，完善谣言标签功能，规范账号运营行为，明确营利权限开通条件，限制违规行为获利，完善粉丝数量管理措施，加大对“自媒体”所属MCN机构管理力度，严格违规行为处置，强化典型案例处置曝光。

8月2日，国家网信办发布《移动互联网未成年人模式建设指南（征求意见稿）》，将“青少年模式”全面升级为“未成年人模式”，推动模式覆盖范围由APP扩大到移动智能终端、应用商店。
 
9月1日，中国人大网公布《治安管理处罚法（修订草案）》并向社会公众征求意见，将违法出售或者提供公民个人信息增列为侵犯人身、财产权利的行为并给予处罚；增加公安机关实施人身检查、采集生物识别信息的职权，并对个人信息保护提出要求。
 
9月25日，最高法、最高检、公安部印发《关于依法惩治网络暴力违法犯罪的指导意见》，依法惩治网络诽谤、网络侮辱、侵犯公民个人信息、借网络暴力事件实施的恶意营销炒作、拒不履行信息网络安全管理义务等行为。
 
地方数据安全相关政策
 
7月14日，浙江省经信厅发布《浙江省企业首席数据官建设指南（试行）》，鼓励在企业决策层设置首席数据官，全面负责企业数据管理工作。负责制定和执行数据战略，协调各部门落实相关数据项目；整合企业内外数据，创新挖掘数据资产价值；制定企业数据标准和政策，强化数据合规、数据治理等。
 
7月18日，北京市经济和信息化局发布《北京市公共数据专区授权运营管理办法（征求意见稿）》，专区数据遵照“原始数据不出域，数据可用不可见”的总体要求，在保护个人隐私和确保公共安全的前提下开展授权运营。
 
7月21日，广州市政务服务数据管理局发布《广州市数据条例（征求意见稿）》，确立数据安全管理原则，建立健全分类分级、风险防范、应急处置等数据安全管理机制，并实行数据安全主体责任制、建立健全数据分类分级保护制度和数据安全风险评估与监管体系。
 
7月24日，北京市通管局发布《北京地区电信领域数据安全管理实施细则》，从基础性数据安全保护要求、数据全生命周期安全保护要求、支持与保障等方面对电信领域数据安全管理作出规定。

7月24日，上海市人民政府办公厅印发《立足数字经济新赛道推动数据要素产业创新发展行动方案（2023-2025年）》，提出推动数据要素产业创新发展的八大方向二十三项措施，强化数据安全保障。建立数据分类分级保护制度，制定重要数据目录，严格实施个人信息保护。
 
8月16日，贵州省发布《贵州省数据流通交易促进条例（草案）（征求意见稿）》，从数据交易场所建设管理、数据授权使用、数据权益保护、数据流通交易生态培育、安全保障等方面促进贵州省数据流通交易。
 
9月13日，深圳市人民检察院发布《深圳市企业数据合规指引》，立足企业数据法治需求，引导企业开展数据合规管理，提高企业数据合规意识与数据保护水平，对涉及数据各场景制定了全面详细的规范指引。
 
9月13日，长沙市数据资源管理局印发《长沙市数据官制度建设实施意见》，数据官主要负责七方面职责：统筹整体规划、推进数据汇聚、深化数据应用、实施源头治理、发展数字产业、提升数字素养、确保数据安全。
 
9月15日，北京经济技术开发区印发《北京经济技术开发区首席数据官制度工作方案》，采用“首席数据官+数据专员+部门联系人”的“三级工作制”建立起上下贯通的数据治理组织体系。
 
多地网信办公布个人信息出境标准合同备案指引/备案通知
 
7月4日，福建省网信办公布个人信息出境标准合同备案指引。适用范围方面，适用主体为所在地为福建省的个人信息处理者。材料准备方面，指引强调个人信息处理者备案个人信息出境标准合同时，应当严格按照《个人信息出境标准合同备案指南（第一版）》要求提交材料。备案流程方面，指引规定个人信息处理者应自行或委托第三方开展个人信息保护影响评估，并根据评估情况进行整改。
 
7月5日，湖北省网信办公布个人信息出境标准合同备案指引。适用范围方面，适用主体为所在地为湖北省的个人信息处理者。备案方式方面，指引强调个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向省网信办备案。备案流程方面，指引规定个人信息处理者备案标准合同，应按照《个人信息出境标准合同备案指南（第一版）》要求进行材料准备，包含自行或委托第三方进行个人信息保护影响评估的报告。
 
7月7日，河北省网信办公布个人信息出境标准合同备案指引。适用范围方面，适用主体为所在地为河北省的个人信息处理者。同时重申《个人信息出境标准合同办法》，强调个人信息处理者不得采取数量拆分等手段，将依法应当通过数据出境安全评估的个人信息通过订立标准合同的方式向境外提供。
 
7月7日，江苏省网信办公布个人信息出境标准合同备案指引。适用范围方面，适用主体为所在地为江苏省的个人信息处理者，备案主体须为法人实体，且备案主体应与境内合同签署方一致。如多家独立法人企业同属一家集团公司，可由集团公司作为个人信息出境标准合同备案主体。分公司不具备独立法人地位，不可代替总部或子公司备案。
 
7月10日，广东省网信办公布个人信息出境标准合同备案通知。适用范围方面，适用主体为所在地为广东省的个人信息处理者，个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。备案方式方面，通知强调个人信息处理者先将备案材料电子版提交所在地级以上市互联网信息办公室，经材料完整性检查后，由所在地级以上市互联网信息办公室送广东省互联网信息办公室。

扩展阅读：重要数据、个人信息要出境 合规路径有哪些？
 
金融领域网络安全相关政策
 
7月24日，中国人民银行发布《中国人民银行业务领域数据安全管理办法（征求意见稿）》，从数据分类分级、数据安全保护总体要求、风险监测评估审计与事件处置措施等方面对银行业务领域数据安全进行规定。

扩展阅读：央行拟出台《中国人民银行业务领域数据安全管理办法》
 
8月30日，国家金融监管总局等五部门发布《关于规范货币经纪公司数据服务有关事项的通知》，要求加强数据治理，确保数据安全，规范提供数据标准，提高数据服务质量，明确可接受数据服务的机构范围，加强合作管理。
 
交通领域网络安全相关政策
 
7月3日，北京市高级别自动驾驶示范区工作办公室近日发布《北京市智能网联汽车政策先行区数据分类分级管理细则（试行）》，构建了多维统一的数据层级，细化国家数据安全法相关规定，将影响对象明确为六大类，区分四种危害影响程度，最终综合确认由低到高的1-6级数据级别。
 
7月3日，中国民用航空局发布《落实数字中国建设总体部署 加快推动智慧民航建设发展的指导意见》，指出健全行业关键信息基础设施安全保护、网络安全等级保护相关制度和技术标准，建立行业网络安全监测预警和共享平台，建立数据分类分级保护基础制度。
 
7月18日，国家铁路局发布《铁路关键信息基础设施安全保护管理办法（征求意见稿）》，从铁路关键信息基础设施认定、运营者责任和义务、保障和监督等层面对铁路关键信息基础设施安全保护作出规定。
关注“安全419”回复“131”获取原文
 
9月6日，工信部就《民用无人驾驶航空器生产管理若干规定（征求意见稿）》公开征求意见，民用无人驾驶航空器生产者发现民用无人驾驶航空器存在网络或者数据安全缺陷、漏洞等风险时，应当立即采取补救措施，按规定及时告知使用人并向有关部门报告。
 
其他网络安全相关政策
 
8月13日，国务院发布《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》。落实网络安全法、数据安全法、个人信息保护法等要求，为符合条件的外商投资企业建立绿色通道，高效开展重要数据和个人信息出境安全评估，促进数据安全有序自由流动。
 
8月29日，工信部等五部门发布《元宇宙产业创新发展三年行动计划（2023－2025年）》，从构建安全可信产业治理体系等五方面提出14条重点任务，完善元宇宙协同治理机制，强化安全保障能力建设。

多项网络安全国家标准获批发布