2023年国内外网络安全法规政策系列盘点：全面解析网络安全篇、数据篇等四部分

hwyzw

    全文共7631字，阅读时间约15分钟。

    2023年是全面贯彻落实党的二十大精神的开局之年。今年也是国家“十四五”规划实施中期评估之年。一年来，国家持续加强网络安全能力和体系建设，制定出台了多项网络安全法规和政策，推动我国网络安全法律体系不断完善。与此同时，国外相关国家也结合自身需求，通过法律手段加强自身网络安全管理。

    基于持续跟踪研究，绿盟科技现对2023年国内外网络安全法规政策发展情况进行回顾分析，并完成《2023年国内外网络安全法规政策系列盘点》，进行行业视角一些重要的法规和政策。简要评述并提出绿色联盟的看法。 《2023年国内外网络安全法规政策系列盘点》共四个部分，分别是：“网络安全篇”、“数据安全篇”、“个人信息保护篇”、“技术发展与治理篇”，每章又分为分为“国内部分”和“国外部分”；内容项按时间线排序。

    本文概述

    《数据安全》是《2023年国内外网络安全法规政策系列盘点》的第二部分。主要对涉及数据安全的法律法规进行专题梳理和点评。

    从内容来看，2023年数据安全法规政策主要涵盖数据安全产业规划、战略对接、数据跨境安全、行业数据安全监管、数据基础制度、数据安全共享机制等。

    一

    国内部分

    一月

    1、工业和信息化部、国家互联网信息办公室等16部门联合印发《关于促进数据安全产业发展的指导意见》

    【绿色联盟观点】《指导意见》的发布恰逢“二十个数据点”的发布。它是我国数据安全政策和监管体系的重要组成部分，是加快落实和完善数据安全产业体系和能力的重大政策措施。 。不仅进一步丰富了数据安全产业的基础理论，也明确了数据安全产业的体系和要素，必将为数据安全供给侧企业的发展注入强劲动力。

    综上所述，《指导意见》重点从“怎么看”和“怎么做”两个关键角度回答数据安全产业发展的四个基本问题：产业定义、产业目标、产业体系、发展因素，也为数据安全行业的发展提供指导。对如何构建数据安全产业体系和能力进行了部署。

    对于行业来说，我们可以重点关注三个方面。一是加强产品创新，结合《指导意见》明确的创新需求，重点围绕新计算模式、新网络架构、新应用场景等数据安全需求加强创新，持续提升行业数据水平安全技术产品体系。二是加强服务创新，结合《指导意见》提出的数据安全服务需求，重点加强规划咨询、建设运营维护、检测评估认证、维权、违约等服务鉴别。三是强化基础要素保障，拓展行业现有产学研合作研究平台，加大数据安全实用人才培养选拔力度。

    二月

    2、中共中央、国务院印发《数字中国建设总体布局规划》

    【绿色联盟观点】《方案》的发布可以带来四个方面的突破和指导。一是通过系统化完善发展方式。 《规划》通过布局“2522”框架、系统化、生态化设计，助力扩大我国网络与数据安全产业规模。二是以务实拓展应用需求。 《规划》将重点应用领域与在建或拟建的大项目、大平台对接起来，这无疑将有助于激发和扩大网络数据安全应用的增量市场。三是通过内生性明确供给方向。 《方案》提出了技术独立、安全可控的要求，这将成为引领和扩大市场增长的重要突破口。四是着力强化制度保障。 《方案》将通过明确制度、资金等保障措施，强化对“党政领导干部和公务员”的考核和技能要求，拓宽网络与数据安全市场的发展维度。

    八月

    3、国家网信办等五部门联合发布《关于规范货币经纪公司数据服务有关事项的通知》，加强金融领域数据安全治理。

    【绿盟观点】货币经纪公司因其业务属性，会涉及大量金融原始数据及相关数据的跨境流动，这会给数据安全带来相应的潜在风险。这份《通知》由多个部门联合发布，也凸显了金融数据安全问题的复杂性和高度关注度。

    《通知》明确了货币经纪公司应履行的数据安全保护义务，包括管理和依据。管理方面，重点建立健全数据治理机制，保障数据安全，加强协议管理；在依据上，明确了两类标准：数据标准和数据服务机构清单。

    该通知可能会产生两个影响。首先，它将在一定程度上促进货币经纪公司增强数据安全实施意识，积极构建和完善自身的数据安全保护体系。对此，数据安全企业可以重点关注数据安全合规建设、信息系统风险管理等业务机会。其次，由于货币经纪公司大多涉及跨境数据传输，因此为货币经纪公司提供专业的数据出口安全服务，如数据出口安全自评估咨询、出口数据资产审计等也有机会迎来机会。在新的发展浪潮中。 。

    九月

    4、中国资产评估协会发布《数据资产评估指导意见》，完善数据资产评估规则体系。

    【绿盟观点】《数据资产估值指引（草案）》于2022年起草，此前，中国资产评估协会也于2019年发布了《资产估值专家指引第9号——数据资产估值》作为探索数据A资产评估和管理的一系列行动。一切都与落实中共中央、国务院《关于构建数据基础设施体系更好发挥数据要素作用的意见》要求密切相关。

    《指导意见》明确了数据资产的定义，“是指特定主体合法拥有或者控制的、能够以货币计量、能够带来直接或者间接经济利益的数据资源”；提出了数据资产的三大属性、四大因素、五大特征，以及衡量数据要素价值的基本解决方案。为数据资产评估提供重要的操作指导。

    目前，数据资产评估在国家标准层面尚属空白。作为资产评估行业的操作规范，《指导意见》对从业人员具有较强的约束力，无疑将成为该领域后续国家标准起草的重要参考。当然，评估过程中如何保证相关数据信息的安全合规性也是评估标准中需要考虑的重要方面。尤其是，如何利用技术手段保证被评估数据资产的安全，也是网络安全行业需要重点关注的方向之一。

   

    5、国家网信办印发《规范和促进数据跨境流动条例（征求意见稿）》，优化完善数据跨境流动管理制度。

    【绿盟观点】数据跨境流动一直是数据安全和个人信息安全监管的核心领域之一。对此，国家网信办先后颁布实施了《数据传输安全评估办法》、《数据传输安全评估申报指南（第一版）》、《个人信息保护认证实施规则》、《标准》 《个人信息传输合同办法》、《个人信息传输标准合同备案指南（第一版）》等相关法规和规范性文件。

    从这份《征求意见稿》的内容来看，主要是为了进一步明确“数据出境安全评估”制度的申报范围，并对某些不需要申报的情况做出规定（第一条至第六条）；同时，针对特定地区，明确部门数据出境规定的依据。此外，进一步明确“数据处理者未经有关部门或地区通报或者未作为重要数据公开发布的，无需将数据出境安全评估作为重要数据申报”，以及统计数量的时间范围。导出的个人信息数量由“当年1月1日起累计”调整为“一年内”。

    《征求意见稿》是在此前跨境数据相关系统实施一段时间后提出的。它具有总结和提供监管实践反馈的属性。一定程度上体现了减轻相关方数据安全合规工作负担的目的。对于网络安全行业来说，有两个方面需要重点关注：一是密切关注数据跨境流动的市场机会，开发适合数据跨境流动场景的技术、产品和解决方案；二是继续加强对自有数据资产的梳理和监控，切实加强相关数据跨境情况的合规管理。

    十月

    6、工业和信息化部发布《工业和信息化领域数据安全风险评估实施规则（试行）（征求意见稿）》

    【绿色联盟观点】《实施细则》详细规定了《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》）中数据安全风险评估的相关要求，标志着工业和信息化领域数据安全风险评估。评价体系离实际落地又近了一步。

    《实施细则》明确了“谁评价”、“谁评价”、“谁监督”三个核心问题。首先，风险评估针对的是“工业和信息化领域重要数据、核心数据的处理者”开展的数据处理活动。二是评估工作的主要负责人是第三方评估机构。三是监管主体为部、省两级行业监管部门，包括工业和信息化部、省级工业和信息化主管部门、省级通信管理机构、省级无线电管理机构、中央政府等五类管理机构。企业。

    此外，工业和信息安全数据安全风险评估工作涉及面广，很多具体规定可能需要结合实际操作进一步优化和完善，比如是否需要明确认证机构的范围等。或实现目录管理。 《实施细则》初步呈现了工业和信息安全数据安全风险评估体系的整体情况，对于行业学会了解体系需求、预测自身数据评估工作需求、部署自身数据评估工作需求具有重要指导意义。自己提前安排好考核工作。

    十一月

    7、国家发展改革委、国家数据局召开完善公共数据价格形成机制座谈会

    【绿色联盟观点】近期，随着国家数据管理局的正式成立，我国数据管理工作提速。研讨会的召开也反映出，数据要素特别是数据要素的定价机制是国家数据管理工作的关键抓手之一。

    公共数据要素定价机制是《中共中央国务院关于构建数据基础体系更好发挥公共数据作用的意见》提出的“公共数据授权机制”中的重要环节。数据元素”（关于数据的第 20 条），并且与公共数据相关。资源市场化能否顺利实施。需要特别注意的一点是，公共数据资源纳入价格机制的范围仅限于“有条件有偿使用公共数据用于产业发展和行业发展”；不适用于“推动公共数据用于公共治理和公益事业”。 “公共数据”不包括“依照法律、法规规定必须保密的公共数据”。这说明公共数据资源定价机制的前提是这些数据资源的应用领域必须限于行业和行业发展。

    8、财政部发布《会计师事务所数据安全管理暂行办法（征求意见稿）》

    【绿盟观点】关于会计师事务所数据安全，《征求意见稿》重点强化安全体系，突出数据分级分类和跨境数据监管两个重点方向。

    此次《征求意见稿》中最重要的制度之一，就是将会计行业的数据安全监管与“网络安全审查”制度对接起来。一方面，此次连线聚焦“数据安全审查”；另一方面，《征求意见稿》中的这一制度衔接实际上扩大了网络安全审查制度的适用范围，包括“会计师事务所进行数据处理”。除“关键信息基础设施运营者采购网络产品和服务”、“网络平台运营者数据处理活动表现”外，新增“活动”作为第三类审查对象（《网络安全审查办法》第二条） 》），充分体现了加强会计行业数据安全监管的必要性。

    9、工业和信息化部发布《工业和信息化领域数据安全行政处罚裁量指南（试行）（征求意见稿）》

    【绿盟观点】《征求意见稿》内容兼具程序法和实体法性质，是落实《工业和信息化领域数据安全管理办法（试行）》的务实之举《管理办法》（以下简称《管理办法》），在行业数据安全执法监管领域具有开创性意义。值得一提的是，在“不予行政处罚”（第十八条）的情况下，“无主观过错”被作为不予处罚的重要依据。这在网络数据安全领域早已被用来破解“合规是否可以免除责任？”的问题。 “关于这个问题的争论也具有开创性的意义。当然，相关规定可能还存在需要完善的地方，比如《管理办法》覆盖不全面、属地管辖原则表述不准确等。”

    10、国家数据局局长刘烈宏首次谈数据基础设施

    【绿色联盟观点】国家数据管理局的重要职责之一就是推动数据基础设施建设。此次讨论是国家数据管理局首次提出“数据基础设施”理论，丰富和发展了“新基建”的内涵。数据基础设施的内涵与国家发改委此前提出的“新基建”内涵既有交叉继承又有发展创新。交叉传承体现在：数据基础设施包括新基建中信息基础设施下的“网络基础设施”和“计算基础设施”；而理念的发展和创新则体现在“数据流通设施”、“数据安全设施”上。

    十二月

    11、国家数据管理局发布《关于公开征求意见的通知》

    【绿色联盟观点】《征求意见稿》将数据安全放在了非常重要的位置。不仅把数据安全要求作为数据要素价值创造和实现全过程必须遵守的底线原则，而且对数据安全做出了系统安排。

    从内容体系来看，确立了数据安全的两个基本问题。一是明确了数据安全作为数据要素“保障中心”的定位；其次，明确了数据安全的制度供给和数据要素的物质供给的双重内涵。当然，数据要素×动作的可操作性、协同推进机制等问题也需要完善和加强。

    12、工业和信息化部发布《关于公开征求意见的通知》

    【绿盟观点】工业和信息化领域数据安全管理的又一制度举措，是自《工业和信息化领域数据安全管理办法（试行）》正式实施以来，《数据安全风险实施办法》 《工业和信息化领域考核》已印发。 《细则（试行）（征求意见稿）》《工业和信息化领域数据安全行政处罚裁量指南（试行）（征求意见稿）》。此次应急预案的出台，也将进一步完善工业和信息化领域数据安全管理监管体系，成为行业层面首个行业级数据安全应急预案，工业和信息化安全数据安全管理体系的系统化程度也持续领先于行业水平。

   

    二

    国外部分

    行进

    1、白宫发布《推进隐私保护数据共享与分析国家战略》强化PPDSA体系

    【绿色联盟观点】随着全球数字化转型的加速，数据逐渐成为社会发展过程中不可或缺的资源。如何在保证数据隐私的同时充分发挥数据的价值？保护数据安全已成为各国面临的共同问题。针对此类问题，《战略》提出，加快PPDSA的研究和应用，结合强有力的数据治理措施，在保护个人隐私和敏感数据的同时促进数据共享和分析，促进个人信息和数据安全。在美国。相关技术的创新与发展。

    《策略》中提出的PPDSA是平衡数据收集、分析和伦理社会技术问题的解决方案，包括方法论、技术和社会技术等一系列技术和方法。它利用隐私增强技术（PET）进行数据分析，在保证用户隐私安全的同时获取数据价值。该战略中的 PET 指的是一系列广泛的技术，通过删除个人信息、减少个人数据处理或防止非法数据处理来保护隐私，同时保持系统功能。

    美国发布《战略》对我们有两方面的影响。一方面，对安全多方计算、同态加密、差分隐私、可信执行环境等数据信息保护相关的技术研发和产品创新方向具有一定的借鉴作用，可能会收到更多的关注。注意力;另一方面，从方面来看，《战略》体现的通过“体系”手段推动数据信息保护技术发展的思路，是加快构建数据信息安全发展生态系统的有效途径。技术。

    七月

    2、欧盟委员会通过《关于欧盟-美国数据隐私框架充分性的决定》，欧美跨境数据传输合作进入新阶段。

    【绿色联盟观点】近年来，美国和欧盟不断探索跨境数据传输双边机制。但由于两党立法制度的差异，始终未能达成协议，例如美国和欧盟此前发布的《安全港协议》（Safe）。 、《隐私盾协议》( ) 被欧洲法院驳回。 2022年3月25日，美国和欧盟就新的隐私框架达成原则协议； 2022年10月7日，美国总统拜登签署《关于加强美国信号情报活动保障的行政命令》，落实美国在隐私框架中做出的相关承诺。此次欧盟委员会正式通过《隐私框架》，标志着欧美之间第三次跨境数据传输合作正式实施。隐私框架的后续运行将由欧盟和美国当局定期审查，以验证相关承诺是否在美国法律框架内得到充分落实和有效实践。

    我国还相继出台了《个人信息出境标准合同办法》、《个人信息出境标准合同登记指引》等一系列个人信息出境政策法规《数据出境安全评估办法（第一版）》、《数据出境安全评估办法》、《数据传输安全评估申请指南（第一版）》等，但在某些细分和实务方面仍有改进的空间。例如，《隐私框架》提出的自我认证制度、二级赔偿制度等都有一定的参考价值。

    九月

    3、欧盟《数据治理法案》正式实施，为欧盟提供了数据共享的新模式。

    【绿色联盟观点】《数据治理法案》于2020年11月正式提出，并于2023年6月达成政治协议( )。它是落实“欧洲数据战略”、进一步创新欧洲数据治理的重要立法措施之一。模式，旨在为欧盟创建统一的数据市场，以便欧盟科技企业能够更有效地转化和利用数据。

    我国正在全面推进数字化战略，数据要素作为战略资源的重要价值日益凸显。欧盟《数据治理法案》提出的构建数据中介机构的思路对于我国构建和完善数据要素开发利用机制具有参考意义。在促进数据开发利用方面，我国目前重点关注规范数据合法合规使用。利用第三方中介机构力量的问题也大多与数据交易平台的建设和发展有关。下一步如何充分发挥第三方中介机构尤其是非营利组织的作用，在发展层面促进和提高数据的健康发展，或者说是一个具有重要意义的新研究方向。

    十月

    4.欧盟与日本就跨境数据流动达成协议

    【绿色联盟观点】数据跨境流动是欧盟数据安全和个人隐私保护监管的核心领域之一。近年来，欧盟不断与其他国家探讨跨境数据流动的双边机制，如《欧盟-美国数据隐私框架充分性决定》（针对欧盟-美国数据）和《欧盟-美国数据隐私框架》 《新西兰贸易协定》（EU-New trade）和欧盟-英国贸易合作协定（EU-UK Trade and）均包含跨境数据流动的相关规则。欧盟通过制定双边数据跨境流动协议，建立“数据安全白名单”机制，大大降低了企业数据传输合规成本，一定程度上有助于促进两国数字经济的交流与发展双方。欧盟通过双边协议消除跨境数据流动某些障碍的方法是跨境数据流动控制一般原则的例外。其对跨境流动数据范围和主体条件的规定值得研究和持续观察。 。

    十一月

    5.欧洲议会通过数据法案

    【绿色联盟观点】“数据法案”最初由欧盟委员会于2022年2月提出，2023年6月欧洲理事会和欧洲议会达成临时协议(图)。这份《法案》和此前生效的《数据治理法案》都是落实欧洲数据战略的重要立法措施。该法明确了数据共享的对象、范围、一般原则和例外情况。随后，该《法案》将在获得欧洲理事会批准后正式公布。

    随着国家数据局的挂牌，我国数据管理工作正逐步走向协调、系统发展的新阶段。此前，“数据二十条”初步勾画了我国数据管理体系的框架和原则。具体的数据管理制度在理论和实践上仍有待完善。欧盟《数据法案》中提出的数据可携权、数据从企业到政府的流通、促进企业间数据流动等具体制度对于我国数据体系的建设和完善具有一定的参考意义。

    过去推荐的

    原文最初发布于微信公众号（绿盟科技）：2023年国内外网络安全法规政策系列盘点（二）：数据安全