2023 年,是我国网络安全和数据安全领域法制建设持续发展的一年。政府进一步加大网络安全法规的制定和实施力度,不断强化数据安全和关键信息基础设施的保护,中央政府、国务院、中央网信办、工信部及各地方政府部门在《关键信息基础设施安全保护条例》、《个人信息保护法》、《网络安全法》、《数据安全法》的基础上,陆续颁布几百项法律法规、标准、安全指南,不断强调数据流动的安全性、关键信息基础设施的范围和分类,公民个人数据安全。
同时,2023 年我国进一步加强了个人信息保护和跨境传输工作,网信办联合相关部门发布《个人信息出境标准合同办法》,规定了个人信息出境标准合同的适用范围、订立条件和备案要求,明确了标准合同范本,为向境外提供个人信息提供了具体指引,加强对个人信息在跨境传输中的安全监管,针对数据处理者做出严格规范和惩处力度。社会对网络安全和信息安全的重视程度有了显著提升。
接下来,本文将按照时间线梳理出 2023 年网络安全行业出台的法律法规、条例、指南,希望能给企业未来的数据安全体系建设带来一些帮助。
一月
中国银保监会发布《银行保险监管统计管理办法》
中国银保监会近日发布《银行保险监管统计管理办法》,该管理办法的的发布和实施,统一了银行业保险业监管统计制度,为解决当前监管统计工作实际问题提供制度支撑,进一步夯实统计工作基础,对银行业保险业监管统计工作具有指导性作用。
工业和信息化部等十六部门关于促进数据安全产业发展的指导意见
《意见》提出,到 2025 年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。
中国证券业协会发布《证券公司网络和信息安全三年提升计划》
《计划》共计 5 章 20 条,提出 33 项重点工作,聚焦证券公司网络和信息安全能力领域普遍存在的基础性和深层次问题,从科技治理能力、科技投入机制、信息系统架构规划设计、研发测试效能与质量、系统运行保障能力和网络信息安全防护体系等六个方面明确提出提升方向和要求。
最高人民法院发布《关于为促进消费提供司法服务和保的意见》
《意见》明确,要加强消费者个人信息保护。要求经营者处理敏感个人信息、跨境转移个人信息等行为应当取得消费者单独同意,经营者以其获得消费者概括同意为由进行免责抗辩的,人民法院对其抗辩不予支持。
中国网络安全产业联盟发布《数据安全和个人信息保护社会责任指南》
《指南》重点主要聚集在组织治理和内部管理;合规性、创新性和价值体现;公平运行、竞争与合作;消费者权益保护;以及公益参与和社会发展等五个领域。
三部门联合发布的《互联网信息服务深度合成管理规定》
《规定》提出,国家和地方网信部门统筹协调深度合成服务的治理和相关监督管理职责,国务院电信主管部门、公安部门以及地方相关部门的监督管理职责。明确提供深度合成服务的总体要求,鼓励相关行业组织加强行业自律。
中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见
《意见》指出,探索建立数据产权制度,推动数据产权结构性分置和有序流通,结合数据要素特性强化高质量数据要素供给;在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易,健全数据要素权益保护制度,逐步形成具有中国特色的数据产权制度体系。
上海市经济信息化委 市互联网信息办公室印发《上海市公共数据开放实施细则》
上海市有关部门依据《上海市数据条例》《上海市公共数据开放暂行办法》等,结合本市实际,制定细则》,旨在促进和规范本市公共数据开放、获取、利用和安全管理,推动公共数据更广范围、更深层次、更高质量开放,深入赋能治理、经济、生活各领域城市数字化转型。
二月
国家能源局发布《2023 年电力安全监管重点任务》
《任务》要求,全力做好电力供应保障。开展年度电网运行方式和电力供需形势分析,做好迎峰度夏(冬) 等重点时段电力安全保障和突发事件应对工作,加强燃煤机组非计划和出力受阻停运监管,确保电力安全可靠供应。
工业和信息化部公布了《工业和信息化部行政执法事项清单(2022年版)》
2023 年 2 月,工业和信息化部对外公布了《工业和信息化部行政执法事项清单(2022年版)》,其中第247-261 条主要涉及到了数据安全的行政执法事项,特别要求对工业和信息化领域数据处理者落实数据安全保护责任义务及管理措施落实的监督检查。
2 月 21 日,外交部发布《全球安全倡议概念文件》
《文件》中多次提及了网络安全问题,其中第三章第指出,深化信息安全领域国际合作,中方已提出《全球数据安全倡议》,希望推动达成反映各方意愿、尊重各方利益的全球数字治理规则,共同应对各类网络威胁,构建开放包容、公平合理、安全稳定、富有生机活力的全球网络空间治理体系。
国家网信办发布《个人信息出境标准合同办法》
《办法》明确,个人信息处理者通过订立标准合同的方式向境外提供个人信息应当同时符合下列情形:一是非关键信息基础设施运营者;二是处理个人信息不满 100 万人的;三是自上年 1 月 1 日起累计向境外提供个人信息不满 10 万人的;四是自上年1月1日起累计向境外提供敏感个人信息不满 1 万人的。
中共中央、国务院印发了《数字中国建设整体布局规划》
《规划》要求,各方强化数字中国关键能力,切实维护网络安全,完善网络安全法律法规和政策体系。增强数据安全保障能力,建立数据分类分级保护基础制度,健全网络数据监测预警和应急处置工作体系。
工信部发布《关于电信设备进网许可制度若干改革举措的通告》
《通告》提出,对取得进网许可的电信设备,持证企业新增、变更委托生产企业(即代工企业),或者进行不改变主要功能、核心元器件的技术和外型改动的,持证企业应及时通过我部在线政务服务平台填报相关信息,无需重新进行进网检测或办理进网许可。
《智能网联汽车数据分类分级实践指南》正式发布。
《指南》明确,智能网联汽车数据分类分级的方法论,及对应不同等级的数据,在其不同生命周期,给出通用的安全措施,为实现智能网联汽车数据在数据全生命周期中安全治理 落实提供指导性建议。
杭州市数据资源管理局起草了《杭州市公共数据授权运营实施方案(试行)《征求意见稿》》
《方案》提出, 2025 年底前,迭代升级公共数据授权运营平台,形成 20 个以上有价值、可推广的数据产品和服务,发布一批典型应用案例,培育一批公共数据授权运营生态企业,促进数据要素的市场化流通。
新疆维吾尔自治区人民政府办公厅印发《新疆维吾尔自治区公共数据管理办法(试行)》
《办法》强调,公共数据管理应遵循以共享为原则,不共享为例外、需求导向,创新发展、统一标准,统筹建设、建立机制,保障安全、兵地一体,融合共享五个基本原则。
工业和信息化部发布《关于进一步提升移动互联网应用服务能力的通知》
《通知》提出,严格 APP上架审核,准确登记并核验 APP 开发运营者的真实身份和联系方式、APP的主要功能及用途等基本信息,并对拟上架APP进行技术检测。相关审核应明确负责人,并留存审核日志记录,不符合要求的不予上架。
三月
证监会制定并正式发布《证券期货业网络和信息安全管理办法》
《办法》共计 8 章 75 条,全面覆盖了包括证券期货关键信息基础设施运营者、核心机构、经营机构、信息技术系统服务机构等各类主体,以安全保障为基本原则,对网络和信息安全管理提出规范要求,并于 2023 年 5 月 1 日起正式实施。
国家网信办发布《网信部门行政执法程序规定》
《规定》,要求,网信部门实施行政执法应当坚持处罚与教育相结合,做到事实清楚、证据确凿、依据准确,规定了网信部门行政执法地域管辖、级别管辖、指定管辖、移送管辖等制度,明确了“一事不二罚”原则,2023 年 6 月 1 日起正式施行。
四部门发布《关于开展网络安全服务认证工作的实施意见》
《意见》提出,网络安全服务认证工作应坚持“统一管理、共同实施、统一标准、规范有序”的基本原则。市场监管总局、中央网信办、工业和信息化部、公安部根据职责,加强认证工作的组织实施和监督管理,鼓励网络运营者等广泛采信网络安全服务认证结果,促进网络安全服务产业健康有序发展。
深圳市发改委发公布《深圳市数据交易管理暂行办法》
《办法》共八章 35 条,包括总则、数据交易主体、数据交易场所运营机构、数据交易标的、数据交易行为、数据交易安全、管理与监督以及附则。对于数据交易主体,《办法》明确包括数据卖方、数据买方和数据商,数据卖方应当作为数据商或通过数据商保荐,方可开展数据交易。
信安标委发布《信息安全技术 信息安全控制(征求意见稿)》
《控制》适用于所有类型和规模的组织,还可作为组织在确定和实施普遍接受的信息安全控制时的指导文件,旨在用于制定行业和特定组织的信息安全管理指南,同时考虑其具体的信息安全风险环境。除本文件包含的控制外,可通过风险评估来确定特定于组织或环境所需要的控制。
国务院新闻办公室发布《新时代的中国网络法治建设》
《建设》除前言、结束语外共分为六个部分,分别是坚定不移走依法治网之路、夯实网络空间法制基础、保障网络空间规范有序、捍卫网络空间公平正义、提升全社会网络法治意识和素养、加强网络法治国际交流合作。
市场监管总局公布《互联网广告管理办法》
《办法》明确,广告主、互联网广告经营者和发布者、互联网信息服务提供者的责任;积极回应社会关切,对人民群众反映集中的弹出广告、开屏广告、利用智能设备发布广告等行为作出规范。
三部门共同颁布《数据安全工程技术人员国家职业标准》
《标准》在充分考虑产业结构变化、市场需求的发展和科技进步对数据安全工程技术人员专业要求的基础上,以客观反映数据安全发展水平及从业人员的专业能力要求为目标,对数据安全工程从业者的专业活动内容进行规范细致描述,明确了各等级专业技术人员的工作领域,工作内容以及知识水平、专业能力和实践要求。
四月
上海市发布《公共场所人脸识别分级分类应用规范(征求意见稿)》
《规范》明确,公共场所人脸识别应用基本原则的基础上,对公共场所不同人脸识别应用场景进行分类,根据人脸识别应用目的、底库规模等风险因素进行分级,并基于分级分类针对性地提出应用和管理要求,为规范应用人脸识别技术、保护公民隐私、促进行业发展提供支撑。
国家网信办发布《生成式人工智能服务管理办法(征求意见稿)》
4 月 11 日,国家网信办发布的《生成式人工智能服务管理办法(征求意见稿)》提出,利用生成式人工智能产品提供聊天和文本、图像、声音生成等服务的组织和个人(提供者),包括通过提供可编程接口等方式支持他人自行生成文本、图像、声音等,承担该产品生成内容生产者的责任;涉及个人信息的,承担个人信息处理者的法定责任,履行个人信息保护义务。
信安标委发布《信息安全技术 公钥基础设施 在线证书状态协议(征求意见稿)》
《协议》规定,面向公钥基础设施的在线证书状态协议(OCSP),此协议是一种无需请求证书撤销列表(CRL)即可查询数字证书状态的协议,包括总则、功能要求、具体协议等,适用于公钥基础设施的建设以及应用在线证书状态协议的依赖方等。
4.《汽车远程升级(OTA)信息安全测试规范(征求意见稿)》正式发布
《规范》主要内容共包括 6 个章节,包括:测试条件要求、服务平台安全测试要求、通信链路安全测试要求、车载设备安全测试要求、OTA 过程安全测试要求、OTA 升级包安全测试要求,从“测试目的、测试前置条件、测试方法、通过标准”四个维度分别进行研究。主要适用于 M 类、N 类汽车 OTA 升级的信息安全设计开发、验证和生产工作。
人民检察院印发《关于加强新时代检察机关网络法治工作的意见》
《意见》共 6 方面 21 条,围绕党的二十大关于健全网络综合治理体系的重要部署,结合检察履职实际,从网络立法、执法、司法、普法以及法治研究、队伍建设等方面,对加强新时代检察机关网络法治工作提出具体要求。
《网络安全标准实践指南——网络数据安全风险评估实施指引(征求意见稿)》正式发布
《指引》共计 8 章 72 页,提出了网络数据安全风险评估思路、主要工作内容、流程和方法,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。
信安标委征求发布《信息安全技术 软件产品开源代码安全评价方法(征求意见稿)》
《方法》给出了软件产品中的开源代码安全评价目标、评价指标体系和评价方法,评价指标体系涵盖开源代码来源、开源代码质量、开源代码知识产权和开源代码管理能力。
8.《济南市公共数据授权运营办法》正式发布
为加快公共数据开发利用,规范公共数据授权运营,培育数据要素市场,助力经济社会高质量发展,根据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《山东省大数据发展促进条例》《济南市公共数据管理办法》等法律法规,结合本市实际情况,制定本办法。
五部门发布《关于调整网络安全专用产品安全管理有关事项的公告》
《公告》提出,列入《网络关键设备和网络安全专用产品目录》的网络安全专用产品应当按照《信息安全技术 网络安全专用产品安全技术要求》等相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。
武汉市人民政府办公厅印发《武汉市数据要素市场化配置改革三年行动计划(2023—2025年)》
《计划》提出,2023年,完善数据要素市场化配置改革工作制度体系框架,组建武汉数据集团,探索开展公共数据授权运营,制定数据要素标准体系,形成数据要素利用示范性成果,初步搭建起数据要素市场化整体框架。
五月
工信部发布《整车信安技术要求》《自动驾驶数据记录系统》(征求意见稿)
《汽车整车信息安全技术要求》规定了汽车信息安全管理体系要求、车辆信息安全一般要求、车辆信息安全技术要求、审核评估及测试验证方法;适用于 M 类、N 类及至少装有 1 个电子控制单元的 O 类车辆,其他类型车辆可参考执行。
信安标委发布 3 项《信息安全技术》(征求意见稿)
《信息安全技术 终端计算机通用安全技术规范》规定了终端计算机的通用安全技术要求,并描述了测试评价方法;适用于指导终端计算机通用安全功能的设计、开发、测试和评价;《信息安全技术 机密计算通用框架》主要目标是提出一种通用的机密计算框架,给出机密计算框架组成结构、具备的基础功能;《信息安全技术 数据安全评估机构能力要求》规定了数据安全评估机构的能力要求。
交通运输部公布《公路水路关键信息基础设施安全保护管理办法》
《办法》共计 6 章 33 条,指出任何个人和组织不得实施非法侵入、干扰、破坏公路水路关键信息基础设施的活动,不得危害公路水路关键信息基础设施安全,自今年 6 月 1 日起施行。
4.《商用密码管理条例》正式发布,7 月 1 日施行
《条例》鼓励公民、法人和其他组织依法使用商用密码保护网络与信息安全,支持网络产品和服务使用商用密码提升安全性。明确关键信息基础设施的商用密码使用要求和国家安全审查要求。
国家网信办发布《个人信息出境标准合同备案指南(第一版)》
《办法》提出,个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息,应当根据《个人信息出境标准合同办法》规定,按照备案指南向所在地省级网信部门备案。
信安标委发布 2023 年度第一批网络安全国家标准需求
为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用,全国信息安全标准化技术委员会秘书处坚持问题导向,调研国家网络安全重点工作和技术产业发展需求,研究形成了 2023 年度第一批网络安全国家标准需求清单。
北京市发布《北京市智能网联汽车政策先行区数据安全管理办法(试行)》
《办法》发布办法填补了国内自动驾驶示范区级数据安全管理的空白,明确了在市自动驾驶办公室统筹指导下,企业负数据安全主体责任,构建了示范区企业数据能力提升及共享机制。
《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》
《要求》依据政策法规要求,针对室内外各区域中的人脸识别支付场景,向人脸识别支付的服务提供方及相关场所管理方提出个人信息保护要求。
工信部发布《工业领域数据安全标准体系建设指南(2023版)(征求意见稿)》
《指南》提出,到 2024 年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准 30 项以上。
六月
上海市引发《上海市电信和互联网行业首席数据官制度建设指南(试行)》
《指南》适用于在上海市行政区域内取得电信业务经营许可证的电信和互联网企业,包括基础电信业务经营者和互联网数据中心、互联网接入服务、在线数据处理与交易处理、互联网信息服务等增值电信业务经营者以及域名注册管理和服务机构等。
网信办发布《近距离自组网信息服务管理规定(征求意见稿)》
《规定》强调近距离自组网信息服务提供者和使用者违反本规定的,由网信部门、工信主管部门、公安部门依据职责,依照《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《网络信息内容生态治理规定》等相关法律法规的规定处理。
《人工智能安全标准化白皮书(2023版)》发布
《白皮书》由中国电子技术标准化研究院等20家单位共同编写,梳理了人工智能技术与应用发展现状,分析了人工智能面临的新的安全风险,结合国内外人工智能安全政策与标准现状,指出了人工智能安全标准需求,提出了下一步开展人工智能安全标准化工作的建议,为规范引导人工智能安全标准化工作提供参考。
《商用密码应用安全性评估管理办法(征求意见稿)》发布
《条例》明确了商用密码应用安全性评估相关制度要求,贯彻落实上位法规定,急需制定《办法》,进一步细化商用密码应用安全性评估范围、责任主体、工作原则及要求、实施规范等内容,依法规范商用密码应用安全性评估工作。
《基金管理公司网络和信息安全三年提升计划(2023-2025)》发布
《计划》主要包含发展现状与形势、总体要求、重点任务、保障措施及附件等 5 个部分,旨在引导公募基金管理公司全面提升网络和信息安全保障能力,保护投资者合法权益,赋能基金行业数字化转型和高质量发展。
金融监管总局发布《关于加强第三方合作中网络和数据安全管理的通知》
《通知》指出,部分银行保险机构的外包服务商发生多起安全风险事件,对银行保险机构的网络和数据安全、业务连续性造成一定影响,暴露出银行保险机构在外包服务管理上存在突出风险问题。
《期货公司网络和信息安全三年提升计划(2023-2025)》发布
《计划》围绕提升期货公司信息技术治理能力,加强系统运行维护管理,提升网络安全保障水平,旨在引导期货公司持续提升网络安全工作能力和水平,防范化解系统性风险,为服务市场功能进一步发挥和行业高质量发展提供坚实保障。
工信部发布《区块链和分布式记账技术 参考架构》
《架构》是我国首个获批发布的区块链技术领域国家标准,指导我国区块链技术应用和产业发展的基础性、通用性标准,规范了区块链系统的功能架构、核心要素等,为产业界统一对区块链概念的认识、建设完善区块链系统、选择使用区块链服务提供参考指引,目前已在上百家典型区块链企业中得到应用。
三部门联合发布《关于依法惩治网络暴力违法犯罪的指导意见(征求意见稿)》
《意见》提出,立足执法司法职能,在依法办理涉网络暴力相关案件的基础上,做实诉源治理,深入分析滋生助推网络暴力发生的根源,主动向有关监管部门提出司法建议、检察建议,促进网络暴力治理长效机制不断健全完善,从根本上减少网络暴力的发生,营造清朗网络空间。
浙江省网信办发布《浙江省个人信息出境标准合同备案指引》
《指引》适用于所在地为浙江省的个人信息处理者,提出个人信息处理者通过订立标准合同的方式向境外提供个人信息的,同时符合下列情形的,应当向浙江省互联网信息办公室 (以下简称“省网信办”) 备案标准合同,适用于所在地为浙江省的个人信息处理者。
信安标委发布《网络安全标准实践指南——IPv6 地址分配和编码规则 接口标识符》
《接口识别符》提出了 IPv6 地址接口标识符的编码方法和实施要求,为互联网接入服务商等相关实体通过IPv6网络动态分配IPv6地址接口标识符的活动提供指导和依据。
两部门联合发布《关于促进粤港澳大湾区数据跨境流动的合作备忘录》
《备忘录》提出,在国家数据跨境安全管理制度框架下,建立粤港澳大湾区数据跨境流动安全规则,促进粤港澳大湾区数据跨境安全有序流动,推动粤港澳大湾区高质量发展。
七月
国家网信办发布《网络暴力信息治理规定(征求意见稿)》
《规定》共 31 条。第 1 条至第 4 条阐述了立法的目的,适用范围、网络暴力涉及的内容管理体制。第5条至第 23 条划定明确的网络信息提供商主体责任。第 24 至 29 条为监督及法律责任,规定管理部门的能力检查、工作监管职责以及运营者的违法情形与法律责任。
中央网信办发文 13 条要求加强“自媒体”管理
7 月 10 日,中国网信办发布了《关于加强“自媒体”管理的通知》,要求严防假冒仿冒行为、强化资质认证展示、规范信息来源标注、加强信息真实性管理、完善谣言标签功能、加注虚构内容或争议信息标签、规范账号运营行为、明确营利权限开通条件、限制违规行为获利、完善粉丝数量管理措施、加大对“自媒体”所属MCN机构管理力度、严格违规行为处置、强化典型案例处置曝光。
司法部、国家网信办加快推动制定《未成年人网络保护条例》(草案)
《草案》对加强未成年人网络素养促进、网络信息内容规范、未成年人个人信息网络保护、未成年人网络沉迷防治等方面作出规定,还对有关违法行为规定了相应的法律责任。《草案>聚焦未成年人网络保护工作面临的突出问题,总结近年来未成年人网络保护工作的实践经验,将成熟做法上升为法规制度,健全网络综合治理体系。
国家网信办等七部门联合公布《生成式人工智能服务管理暂行办法》
《办法》提出国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管,明确了提供和使用生成式人工智能服务总体要求。提出了促进生成式人工智能技术发展的具体措施,明确了训练数据处理活动和数据标注等要求。
信安标委发布《信息安全技术 安全运维系统技术规范(征求意见稿)》
《规范》规定了网络运维访问控制、运维审计、安全管理等安全运维系统安全功能要求、自身安全要求、安全保障要求及测试评价方法,适用于安全运维系统的设计、开发、测试与评价。
工业和信息化部、国家金融监督管理总局印发《关于促进网络安全保险规范健康发展的意见》
《意见》提出,建立健全网络安全保险政策标准体系、加强网络安全保险产品服务创新、强化网络安全技术赋能保险发展、促进网络安全产业需求释放、培育网络安全保险发展生态等五方面共十条具体意见。
《铁路关基保护管理办法(征求意见稿)》正式发布
《办法》收紧了社会层面针对铁路关键基础设施的安全测试工作,强调未经国家网信部门、国务院公安部门批准或者国家铁路局、运营者授权,任何个人和组织不得对铁路关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害铁路关键信息基础设施安全的活动。
央行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》
《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条,规范数据分类分级要求、提出数据安全保护总体要求。
两部门联合发布《国家车联网产业标准体系建设指南(智能网联汽车)(2023版)》
《指南 》充分考虑智能网联汽车技术深度融合和跨领域协同的发展特点,设计了“三横二纵”的技术逻辑架构,针对智能网联汽车通用规范、核心技术与关键产品应用,构建包括智能网联汽车基础、技术、产品、试验标准等在内的智能网联汽车标准体系。
北京市有关部门发布《北京市智能网联汽车政策先行区数据分类分级管理细则》(试行)
《细则》核心包括构建多维统一的数据层级。首先,全面厘清自身数据资产;落实保护措施贯穿数据流转全生命周期;逐步压实企业数据治理责任。
上海出台《上海市网络点餐服务消费者个人信息保护合规指引》
《指引》针对网络点餐不同场景下餐饮经营者收集、使用、保管消费者个人信息等提出了具体的合规要求和操作准则。其中,《指引》强调餐饮经营者(1)在收集和使用消费者个人信息时,必须遵守相关法律法规,并获得消费者的明确同意。
信安标委发布《信息安全技术 网络安全产品互联互通框架(征求意见稿)》
通过统一的网络安全信息描述和安全功能实现,有效共享网络安全产品感知或产生的信息,协同不同网络安全产品的功能,支撑监测预警、信息共享、应急响应、态势感知等应用,提升网络安全防护能力和网络安全事件处置效率的一种机制。
北京市发布《北京地区电信领域数据安全管理实施细则》
《细则》所称电信领域数据是指在电信业务经营过程中产生和收集的数据,包括各类基础电信业务和增值电信业务数据。电信领域数据处理者是指数据处理活动中自主决定处理目的、处理方式的取得电信业务经营许可证的电信业务经营者。
八月
国家网信办发布《移动互联网未成年人模式建设指南(征求意见稿)》
《指南》将全面升级“青少年模式”为“未成年人模式”,并推动模式覆盖范围从仅限于 APP 扩大至移动智能终端和应用商店,实现软硬件三方联动,未成年用户可以通过一键进入模式,进而为他们营造一个安全健康的网络环境。
国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》
《办法》提出,处理超过 100 万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
国际标准《网络安全设备与服务建立可信连接的安全建议》正式发布
《建议》给出了设备和服务建立可信连接的框架和安全建议,包括对硬件安全模块、信任根、身份、身份鉴别和密钥建立、环境证明、数据完整性和真实性等组件的安全建议。该国际标准适用于基于硬件安全模块在设备和服务之间建立可信连接的场景,例如移动支付、车联网、工业物联网等,有助于提升数据从设备中采集到服务的全过程的安全性。
国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》
《规定》强调,当实体组织使用人脸识别技术处理人脸信息时,应当取得个人的单独同意或者依法取得书面同意。值得一提的是,当法律、行政法规规定不需取得个人同意的除外。
工信部组织开展 APP 备案工作:未备案不得从事 APP 互联网信息服务
工信部印发关于开展移动互联网应用程序备案工作的通知,《通知》发布前开展业务的 APP 向其住所所在地省级通信管理局履行备案手续。2024 年 4 月至 2024 年 6 月底,电信主管部门将组织对 APP 备案情况开展监督检查,对仍未履行备案手续的 APP 依法进行处置。
中央网信办印发《网站平台受理处置涉企网络侵权信息举报工作规范》
《规范》指出,网站平台对于混淆企业主体身份的仿冒性信息、影响公众公正评判的误导性信息、不符合企业客观实际的谣言性信息、贬损丑化企业或企业家的侮辱性信息、侵害企业家个人隐私的泄密性信息、其他恶意干扰企业正常经营发展的信息等,应该重点受理处置。
国家标准《信息安全技术 敏感个人信息处理安全要求》公开征求意见
《标准》对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定,明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求,重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。
8.信安标委发布《信息安全技术 数据安全风险评估方法(征求意见稿)》
《方法》给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等,明确了数据安全风险评估各阶段的实施要点和工作方法。适用于指导数据处理者、第三方评估机构开展数据安全风险评估,也可供有关主管监管部门实施数据安全检查评估时参考。
中国支付清算协会印发《个人支付信息保护指引》
《指引》提出,个人支付信息分类指个人参与支付活动中涉及的、能够被知晓和处理、与个人相关、能够单独或与其他信息结合识别该个人的任何信息。比如,账户信息指账户及账户相关信息,包括但不限于支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效期、账户开立时间、开户机构、账户余额以及基于上述信息产生的支付标记信息等。
信安标委印发《网络安全标准实践指南——网络安全产品互联互通 告警信息格式(征求意见稿)》
《指南》旨在规范描述告警信息内容和信息格式,从不同网络安全产品告警信息有效互通和整合的角度出发,将网络安全产品告警信息类型分为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警等五类,并细分为二十一个子类,规定了各类告警信息的通用信息和专有信息格式,并给出对应的字段表,包括字段名称、字段说明.字段类型以及是否必填等字段。
11.《信息安全技术 网络安全信息共享指南》正式发布
《指南》规范了网络安全信息共享活动要素和基本原则,描述了共享活动的范围和过程。标准的实施将有助于指导网络运营者、关键信息基础设施运营者、网络安全服务机构等开展网络安全信息共享,同时也将带动网络安全信息共享技术产品、工具的研发及相关产业发展。
贵州发布《贵州省数据流通交易促进条例(草案)》
《条例》提出,据流通交易应当坚持政府引导、市场主导,高效供给、合法合规,鼓励创新、释放价值,保障安全、包容审慎的原则,适用于贵州省行政区域内进行的数据流通交易及其相关活动。
国家标准《数据交易服务安全要求(征求意见稿)》发布
《安全要求》提出,要统一的数据交易安全规则,规定了数据交易服务安全要求,适用于规范数据交易场所和交易服务生态的数据交易活动,为建立健全数据交易制度,保障数据要素市场高质量发展提供标准支撑。
国家标准《大型互联网企业内设个人信息保护监督机构要求》征求意见
《要求》提供大型互联网企业建立个人信息保护监督机构的人员选择、人员资质、人员约束、运行规则等要求,用于指导大型互联网企业建立和运行个人信息保护监督机构,促进大型互联网企业个人信息保护监督机构规范、尽责履职,切实发挥个人信息保护监督机构在大型互联网企业个人信息保护工作中的作用。
九月
五部门发布《关于规范货币经纪公司数据服务有关事项的通知》
《通知》规范,货币经纪公司数据服务,对货币经纪公司提出“加强数据治理、确保数据安全”、“规范提供数据标准、提高数据服务质量”、“明确可接受服务的机构范围,加强合作管理”、“签订服务协议,规范数据使用”等四方面要求。
国家标准《信息安全技术 网络安全保险应用指南(征求意见稿)》发布
《应用指南》借鉴了国际网络安全保险相关标准成果,结合我国网络安全保险产业现状和网络安全风险管理实践,提出适合我国国情的网络安全保险应用指南,帮助并指导组织通过网络安全保险应对和管理风险。
中央网信办印发《关于进一步加强网络侵权信息举报工作的指导意见》
《意见》明确,网络侵权信息举报工作两大任务。一是切实保护公民个人网络合法权益,要求各地网信部门把握举报受理重点内容和重点领域,加强特殊群体网络合法权益保护,;二是切实维护企业网络合法权益。要求开设线上涉企举报专区,健全举报查证机制,强化举报政策指导。
国家标准《网络关键设备安全技术要求 可编程逻辑控制器(PLC)(征求意见稿)》发布
《征求意见稿》规定了列入网络关键设备的可编程逻辑控制器(PLC)在设备标识安全、几余、备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全和数据安全等方面的安全功能要求以及安全保障要求。
国家标准《信息安全技术 存储介质数据恢复服务安全规范(征求意见稿)》发布
《征求意见稿》规定了存储介质数据恢复服务的安全原则、安全管理要求和安全实施要求,并描述了满足安全管理要求和安全实施要求的评价方法,适用于指导存储介质数据恢复服务机构针对非涉及国家秘密的数据恢复服务的实施和管理、存储介质数据恢复服务机构的自评价和第三方监督评审,也适用于存储服务使用单位采购数据恢复服务的评价。
《数字政府网络安全合规性指引》正式发布
《指引》帮助政务部门高效解决网络安全突出问题,快速提升动态合规能力,全面满足网络安全各项合规性要求,为各级政务部门主管领导、技术人员、网络安全运营人员和安全测评人员在数字政府合规工作方面提供理论和实践参考。
中评协印发《数据资产评估指导意见》
《意见》所称数据资产评估,是指资产评估机构及其资产评估专业人员遵守法律、行政法规和资产评估准则,根据委托对评估基准日特定目的下的数据资产价值进行评定和估算,并出具资产评估报告的专业服务行为。
十月
工信部发布《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》
鉴于目前很多工业和信息化领域的企业都在谋求开展数据安全风险评估工作,但如何开展数据安全风险评估也是许多企业发展的“痛点”。工业和信息化部依据相关规定,制定了《评估实施细则》,旨在指导地方行业主管部门、工业和信息化领域数据处理者规范开展风险评估工作。
《生成式人工智能服务 安全基本要求(征求意见稿)》发布
《要求》给出了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施、安全评估等。适用于面向我国境内公众提供生成式人工智能服务的提供者提高服务安全水平,适用于提供者自行或委托第三方开展安全评估,也可为相关主管部门评判生成式人工智能服务的安全水平提供参考。
工业和信息化部等六部门印发《算力基础设施高质量发展行动计划》
《计划》提出,到 2025 年,计算力方面,算力规模超过 300EFLOPS(EFLOPS 是指每秒百亿亿次浮点运算次数),智能算力占比达到 35%,东西部算力平衡协调发展。
国务院总理李强签署第 766 号国务院令,公布《未成年人网络保护条例》
《未成年人网络保护条例》将于 2024 年 1 月 1 日起实施,是我国出台的首部专门性的未成年人网络保护综合立法,体现了党和国家对未成年人成长成才的高度重视和亲切关怀,为未成年人在网络空间的健康成长提供了坚实的法治保障。
工信部发布《工业互联网安全分类分级管理办法(征求意见稿)》
《办法》指出,工业互联网企业应当按照工业互联网安全定级相关标准规范,结合企业规模、业务范围、应用工业互联网的程度、运营重要系统的程度、掌握重要数据的程度、对行业发展和产业链供应链安全的重要程度以及发生网络安全事件的影响后果等要素,开展自主定级。
国家密码管理局发布《电子政务电子认证服务管理办法(征求意见稿)》
《办法》中所称电子政务电子认证服务,是指采用商用密码技术,为政务活动提供电子签名认证服务,确保电子签名的真实性和可靠性的活动,适用于在中华人民共和国境内设立电子政务电子认证服务机构、提供电子政务电子认证服务及其监督管理,适用本办法。
“两高一部”联合印发《关于依法惩治网络暴力违法犯罪的指导意见》
《意见》要求,对网络暴力违法犯罪,应当体现从严惩治精神,让人民群众充分感受到公平正义。要重点打击恶意发起者、组织者、恶意推波助澜者以及屡教不改者。
国家网信办发布《规范和促进数据跨境流动规定》(征求意见稿)
《规定》要求,数据处理者向境外提供重要数据和个人信息,应当遵守法律、行政法规的规定,履行数据安全保护义务,保障数据出境安全;发生数据出境安全事件或者发现数据出境安全风险增大的,应当采取补救措施,及时向网信部门报告。
国家密码管理局发布《商用密码应用安全性评估管理办法》
《办法》提出,从事商用密码应用安全性评估活动,向社会出具具有证明作用的商用密码应用安全性评估数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
国家密码管理局发布《商用密码检测机构管理办法》
《办法》强调,从事商用密码产品检测、网络与信息系统商用密码应用安全性评估等商用密码检测活动,向社会出具具有证明作用的数据、结果的机构,应当经国家密码管理局认定,依法取得商用密码检测机构资质。
十一月
《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求》(征求意见稿)发布
《要求》适用于大湾区内个人信息处理者依据备忘录以认证方式开展个人信息跨境处理活动。大湾区内个人信息处理者是指注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内的个人信息处理者,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,及香港特别行政区的个人信息处理者。
工信部发布《人形机器人创新发展指导意见》
《指导意见》部署了 5 方面任务:在关键技术突破方面,健全技术创新体系。在产品培育方面,打造整机产品、夯实基础部组件、推动软件创新。在场景拓展方面,打造制造业典型场景、加快民生及重点行业推广。在生态营造方面,完善创新载体和开源环境、推动产业集聚发展。在支撑能力方面,健全产业标准体系、加强安全治理能力。
《电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)》发布
为打击治理电信网络诈骗及其关联违法犯罪,建立健全联合惩戒制度,根据《中华人民共和国反电信网络诈骗法》等法律法规,制定《惩戒办法》。其中,惩戒措施主要包括金融惩戒、电信网络惩戒、信用惩戒。
财政部、国家网信办发布《会计师事务所数据安全管理暂行办法》(征求意见稿)
对违反《办法》的会计师事务所及其从业人员,《征求意见稿》指出由相关部门依照《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国注册会计师法》等法律、行政法规的规定进行处理处罚,涉及其他部门职责权限的,依法移送有关主管部门处理构成犯罪的,移送司法机关依法追究刑事责任。
《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》发布
《指引》由正文及附件裁量基准组成。其中,正文共五章二十六条,附件共十四条,为进一步细化了《数据安全法》相关罚则规定,构建行业数据安全行政处罚职权体系,统一数据安全行政处罚尺度,指导行业监管部门开展数据安全行政处罚工作,有效提升数据安全监管执法能力。
《网络安全标准实践指南——网络安全产品互联互通 资产信息格式(征求意见稿)》发布
网络安全产品互联互通包括网络安全产品的互联互通功能和互联互通信息,其中互联互通信息的类型主要分为 6 类。《实践指南》规范了网络安全产品互联互通资产信息的描述格式,适用于网络安全产品互联互通的设计、开发、应用和测试。
全国信安标委发布《网络安全标准实践指南——网络安全产品互联互通 告警信息格式》
《指南》规范了网络安全产品互联互通告警信息的描述格式,将网络安全产品告警信息类型分为恶意程序告警、网络攻击告警、数据安全告警、异常行为告警和其他告警 5 类,并细分为 21 个子类,规范了各类告警信息的通用信息和专有信息格式。
浙江省发布《浙江省汽车数据处理管理规定》
《规定》提出,汽车数据处理者处理个人信息前,应通过用户手册、车载显示面板、语音、汽车使用相关应用程序等显著方式,告知处理个人信息的具体情境和必要性、各类个人信息的保存期限、精确到设区市的保存地点、用户权益事务联系人的姓名和联系方式等事项。
上海市消保委与连锁经营协会发布《上海市商超购物个人信息保护合规指引》
《指引》要求,商超经营者应当严格按照隐私政策收集、使用、储存消费者个人信息,实际收集行为要与声明规则保持一致,收集的个人信息或索取的权限要与消费场景密切相关。
十二月
国家标准《信息安全技术 政务计算机终端核心配置规范(征求意见稿)》发布
《规范》给出了政务客户端计算机上常用的七类配置对象,包括BIOS、操作系统、办公软件、浏览器、电子邮件客户端、安全防护软件、即时通信软件。规定了政务客户端计算机各类配置对象的通用配置项及其具体配置要求。
国家标准化管理委员会宣布提前实施《民用无人驾驶航空器系统安全要求》主要条款
《安全要求》是《无人驾驶航空器飞行管理暂行条例》的配套支撑标准,可以有效指导研制单位设计生产、规范检测机构合规检测和保障使用者安全使用,有利于进一步筑牢民用无人机产品安全底线,贯彻民用无人机管理要求,促进民用无人机产业健康发展。
国家互联网信息办公室发布《网络安全事件报告管理办法(征求意见稿)》
《办法》提出国家网信部门负责统筹协调国家网络安全事件报告工作和相关监督管理工作。地方网信部门负责统筹协调本行政区域内网络安全事件报告工作和相关监督管理工作。运营者在发生网络安全事件时,应当及时启动应急预案进行处置。按照《网络安全事件分级指南》,属于较大、重大或特别重大网络安全事件的,应当于 1 小时内进行报告。
国家网信办发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引 》
《指引》明确提出,粤港澳大湾区个人信息处理者及接收方可以通过订立标准合同的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。
《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》发布
《预案》根据数据安全事件对国家安全、企业网络设施和信息系统、生产运营、经济运行等造成的影响范围和危害程度,将数据安全事件分为特别重大、重大、较大和一般四个级别。
中央网络安全和信息化委员会印发《关于防治“指尖上的形式主义”的若干意见》发布
《意见》包括总体要求、强化建设管理、强化使用管理、强化安全管理、强化组织保障五个部分,共 16 条,主要内容有一是总体要求、二是强化建设管理、三是强化使用管理、四是强化安全管理、五是强化组织保障。
国家新闻出版署发布《网络游戏管理办法(草案征求意见稿)》
《办法》共 8 章 64 条,明确提出限制游戏过度使用和高额消费”,即网络游戏不得设置每日登录、首次充值、连续充值等诱导性奖励。网络游戏出版经营单位不得以炒作、拍卖等形式提供或纵容虚拟道具高价交易行为。
《网络安全标准实践指南——大型互联网平台网络安全评估指南(征求意见稿)》发布
《指南》的发布进一步评估发现和防范可能影响社会稳定、公共利益的网络安全风险,助力大型互联网平台评估发现和防范可能影响社会稳定、公共利益的网络安全风险。
两部门印发《工业领域数据安全标准体系建设指南(2023版)》
《指南》提出,到 2024 年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准30 项以上。