1、主办单位:主办单位:公安部第三研究所网络安全法律研究中心联合主办:联合主办:北京网络空间安全协会网安联发展工作委员会协办单位:协办单位:网安联认证中心技术支持:技术支持:北京关键信息基础设施安全保护中心广东关键信息基础设施保护中心顾顾 问:问:严 明公安部第一、第三研究所 原所长、研究员中国计算机学会计算机安全专业委员会 荣誉主任指导专家:指导专家:袁旭阳 北京网络行业协会 会长总总 编编 辑:辑:黄道丽 公安部第三研究所网络安全法律研究中心 主任副总编辑:副总编辑:鲍亮 公安部第三研究所网络安全技术研发中心 副主任编委会主任:编委会主任:黄丽玲 北京网络空间安全协会 理事长编委会副主任:(排
2、名不分先后)编委会副主任:(排名不分先后)黎林烽 北京网络空间安全协会 副秘书长朱方园 上海市信息安全行业协会 副秘书长于永丰 辽宁省信息网络安全协会 秘书长闫东 辽宁省网络安全保障工作联盟 秘书长孙甲子 黑龙江省网络安全协会 会长吴晓文 安徽省计算机信息网络安全协会刘长久 湖北网络安全协会 副秘书长邓庭波 湖南省网络空间安全协会 秘书长林勇忠 广东省网络空间安全协会 党支部书记冯伟 广西网络安全协会 秘书长李春报 海南省网络安全和信息化信协会 常务副理事长戴勇 贵州省网络安全和信息化协会 常务副秘书长孙大跃 陕西省信息网络安全协会 会长卢建宙 甘肃省商用密码行业协会 会长郑方 甘肃烽侦网络安
3、全研究院 院长李学锋 新疆维吾尔自治区互联网协会 秘书长胡俊涛 郑州市网络安全协会 秘书长乔奇 武汉市网络安全协会 副秘书长樊建功 南昌市网络信息安全协会 会长王胜军 南宁市信息网络安全协会 会长邓开旭 成都信息网络安全协会 副秘书长陈建设 贵阳市信息网络协会 秘书长杨建东 昆明市网络安全协会 秘书长沈泓 宁波市计算机信息网络安全协会 秘书长卜庆亚 徐州网络安全协会 理事长孙逊 佛山市信息协会 秘书长谢照光 惠州市计算机信息网络安全协 会长孔德剑 曲靖市网络安全协会 会长贾辉民 榆林市网络安全协会 会长编委会委员:(排名不分先后)编委会委员:(排名不分先后)黄汝锡 广东关键信息基础设施保护中心
4、 党支部专职副书记王嫣 上海市信息网络安全管理协会 部长林小博 北京安网联认证服务中心 主任贺锋 广东中证声像资料司法鉴定所 主任成珍苑 网安联认证中心 副主任黎明瑶 广东新兴国家网络安全和信息化发展研究院 研究员陈菊珍 广东计安信息网络培训中心潘少芝 揭阳网络空间安全协会 秘书长编辑部主任:编辑部主任:梁思雨编编辑辑部:部:何治乐 胡文华 王彩玉 王明一 胡柯洋黎林烽 薛波 孙翊伦林 晴 徐瑞雪发行部主任:发行部主任:周贵招发发行行部:部:林永健 张 彦 高梓源声明声明:本刊定位于网络与数据安全前沿动态梳理,侧重全面跟踪、及时掌握,如需针对特定领域或前沿动态进行针对性专题研究,请将需求发送至
5、 。目目录录境内前沿观察一:安全事件境内前沿观察一:安全事件.11.习近平主席提出三大倡导,推动构建网络空间命运共同体迈向新阶段 22.中国互联网发展报告 2023和世界互联网发展报告 2023蓝皮书发布.33.中国工商银行在美子公司遭勒索软件攻击.44.韩国国家情报院将网络攻击事件归咎于中国,外交部回应.4境内前沿观察二:政策立法动向境内前沿观察二:政策立法动向.5(一)国家层面动向.61.中国等28国及欧盟签署布莱切利宣言,首个全球性人工智能声明62.中国首次提出国际科技合作倡议.7(二)部委层面动向.71.公安部发布 电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿).72.工信部发
6、布 工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿).83.财政部、国家网信办发布会计师事务所数据安全管理暂行办法(征求意见稿).94.文化和旅游部办公厅印发互联网上网服务行业上云行动工作方案105.国家市场监督管理总局发布网络交易执法协查暂行办法(征求意见稿).106.三项网络安全国家标准发布.117.全国信安标委发布网络安全标准实践指南粤港澳大湾区跨境个人信息保护要求(征求意见稿).11(三)地方层面动向.121.浙江省五部门联合印发浙江省汽车数据处理管理规定.122.浙江省杭州市人大常委会发布杭州市数字贸易促进条例(草案)133.湖北省发改委发布湖北省数据交易管理暂行办法(
7、征求意见稿)144.北京数据基础制度先行区启动运行.145.国务院批复支持北京深化国家服务业扩大开放综合示范区建设工作方案:探索形成既能便利数据流动又能保障安全的机制.156.北京市十六届人大常委会立法规划发布:涉及北京市重要信息基础设施网络安全管理条例等立法项目.157.广东省深圳市卫生健康委员会印发深圳市卫生健康数据管理办法168.广东省人大常委会审议通过广东省政务服务数字化条例179.广东省广州市印发关于更好发挥数据要素作用推动广州高质量发展的实施意见.1710.江苏省人大常委会通过关于促进车联网和智能网联汽车发展的决定1811.江西省人大常委会通过江西省数据应用条例.19境内前沿观察三
8、:治理实践境内前沿观察三:治理实践.20(一)公安机关治理实践.221.公安部公布依法惩治网络暴力违法犯罪 10 起典型案例.222.公安部通报打击黑客类违法犯罪举措成效:2022 年以来侦破黑客类犯罪案件 2430 起.233.浙江温州网警查处某大药房“内鬼”侵犯公民个人信息案.244.山东济南网警破获一起侵犯公民个人信息案.255.广东广州花都网警公布三起网络安全行政执法典型案例.266.四川成都网警破获一起编造传播证券市场网络谣言案.277.四川凉山网警打掉一虚拟助农“水军”团队.288.广东网警开展打击“网络水军”第三波次集群收网,涉案金额5.1 亿元人民币.299.上海普陀网警破获一
9、起非法获取计算机信息系统数据案.29(二)网信部门治理实践.301.中央网信办开展“清朗网络戾气整治”专项行动.302.浙江网信通报10月执法处置情况:开展行政检查、行政指导57家次313.浙江网信通报一批侵犯个人信息合法权益的违法违规 App.314.重庆网信发布通知,要求报送数据出境需求.315.海南首家企业通过数据出境安全评估.326.湖南首家企业通过个人信息出境标准合同备案.327.国际航协财务结算数据安全评估项目通过国家网信办评估.338.各地开展 2023 年度汽车数据安全管理情况报送工作.33(三)通信管理部门治理实践.331.工信部等四部委决定开展智能网联汽车准入和上路通行试点
10、工作.332.工信部及多地通信管理局通报问题 APP/SDK.34(四)其他部门治理实践.361.国家数据局将研究实施“数据要素 X”行动.362.最高人民检察院发布检察机关打击治理电信网络诈骗及其关联犯罪工作情况(2023 年).373.广东省高级人民法院发布个人信息保护典型案例.384.北京互联网法院通报个人信息保护案件审理情况.395.北京高院发布侵犯公民个人信息犯罪审判白皮书.396.杭州互联网法院发布十大典型司法建议,涉及个人信息保护、人工智能换脸等.407.国家卫生健康委强化医疗健康数据保护.418.上海市消保委与连锁经营协会联合印发上海市商超购物个人信息保护合规指引.429.因生
11、产数据安全管控不足,华美银行被罚 60 万元.4210.因使用气象仪使数据外泄至境外,浙江舟山普陀区综合行政执法局对张某罚款 5000 元.43境外前沿观察:月度速览十则境外前沿观察:月度速览十则.441.美国 FBI 发布私营行业通知,对勒索攻击提出防治对策.452.美国 CISA 发布缓解指南:医疗保健和公共卫生行业.453.澳大利亚 CISC 发布关键基础设施年度风险评估报告,将外国干涉和间谍活动确定为主要威胁.464.新西兰 NCSC 发布2022/2023 年度网络威胁报告.465.加拿大禁止在政府设备上使用微信和卡巴斯基.476.印度 8.15 亿公民数据被泄露,或成为印度最大数据
12、泄露事件487.OpenAI 确认 ChatGPT 遭遇分布式拒绝服务攻击.488.波音公司拒绝支付赎金,勒索软件LockBit直接公布43GB文件.499.丹麦关键基础设施遭遇有史以来最大规模网络攻击.4910.因受害者无视安全事件,勒索攻击组织向美国证券交易委员会提出投诉.50行业行业前沿观察一:前沿观察一:20232023 安满周筹备中安满周筹备中.4411.安满周各项筹备工作紧锣密鼓进行中,数据挖掘值得期待.4522.安满周各项筹备工作紧锣密鼓进行中,数据挖掘值得期待.4523.网络调查活动志愿服务走向常态化.454行业行业前沿观察二:行业竞争加剧,人才需求旺盛前沿观察二:行业竞争加剧
13、,人才需求旺盛.4451.网络空间竞争加剧,网络安全人才评价需求旺盛.4562.新技术引发网络安全新风险.457行业行业前沿观察三:各地协会动态前沿观察三:各地协会动态.611.2023年全国网络安全行业职业技能大赛(黑龙江赛区)重磅启动.622.重庆:成功举办 2023 数据安全治理与发展研讨会.633.甘肃省首届密码知识技能大赛圆满收官654.湖北:2023 年第三期网络与信息安全管理员(四级)职业技能等级认定考试顺利完成 665.浙江宁波:金融行业网络安全交流研讨会成功召开676.广东四会:“青春筑梦正当时 科教强市谱新篇”科普进校园活动687.辽宁铁岭:网络安全和信息化领域专家库成立7
14、01境内前沿观察一:安全事件境内前沿观察一:安全事件导读:11 月,2023 年世界互联网大会乌镇峰会成功举办。国家主席习近平向峰会开幕式发表视频致辞,提出三大倡导,倡导发展优先,构建更加普惠繁荣的网络空间;倡导安危与共,构建更加和平安全的网络空间;倡导文明互鉴,构建更加平等包容的网络空间。峰会正式发布中国互联网发展报告 2023和世界互联网发展报告2023。报告指出,一年来,全球网络安全威胁升级,各国积极布局增强网络安全能力;网络空间法治化趋势明显,多国不断推出细分领域立法;网络空间碎片化程度加剧,生成式人工智能等新技术治理引发全球关注。与此同时,我国网络安全保障体系和能力建设力度加大,数据
15、安全治理基础不断夯实;网络法治化程度不断提高,未成年人网络保护等重点领域网络立法取得突破。中国工商银行在美全资子公司遭遇勒索软件攻击,部分系统中断。目前已经切断并隔离受影响系统,正在推进恢复工作,工银金融表示未对中国工商银行其他系统产生影响。韩国国家情报院将韩国外交部此前遭遇的网络攻击事件归咎于我国有关部门,我国外交部发言人表示中方一贯坚决反对并打击所有形式的网络攻击。关键词:三大倡导、网络空间命运共同体、中国工商银行、网络攻击21.习近平主席提出三大倡导,推动构建网络空间命运共同体迈向新阶段11 月 8 日,国家主席习近平向 2023 年世界互联网大会乌镇峰会开幕式发表视频致辞,提出“三大倡
16、导”,为携手推动构建网络空间命运共同体提供重要指引。一是倡导发展优先,构建更加普惠繁荣的网络空间。深化数字领域国际交流合作,加速科技成果转化。加快信息化服务普及,缩小数字鸿沟,在互联网发展中保障和改善民生,让更多国家和人民共享互联网发展成果。二是倡导安危与共,构建更加和平安全的网络空间。尊重网络主权,尊重各国的互联网发展道路和治理模式。遵守网络空间国际规则,不搞网络霸权。不搞网络空间阵营对抗和军备竞赛。深化网络安全务实合作,有力打击网络违法犯罪行为,加强数据安全和个人信息保护。妥善应对科技发展带来的规则冲突、社会风险、伦理挑战。中方愿同各方携手落实全球人工智能治理倡议,促进人工智能安全发展。三
17、是倡导文明互鉴,构建更加平等包容的网络空间。加强网上交流对话,促进各国人民相知相亲,推动不同文明包容共生,更好弘扬全人类共同价值。加强网络文明建设,促进优质网络文化产品生产传播,充分展示人类优秀文明成果,积极推动文明传承发展,共同建设网上精神家园。(来源:中国网信网)32.中国互联网发展报告 2023和世界互联网发展报告 2023蓝皮书发布11 月 8 日,中国互联网发展报告 2023 和 世界互联网发展报告 2023蓝皮书在 2023 年世界互联网大会乌镇峰会上正式发布。中国互联网发展报告 2023重点展示了一年来中国互联网发展的新情况、新进展、新成效。一年来,数字基础设施“大动脉”作用凸显
18、,5G、IPv6 规模部署、算力总规模等多项指标居全球前列;数字经济发展势头强劲,成为稳增长促转型的重要引擎;数据管理体制更加完善,数据基础制度和数据资源体系加快构建;数字政务协同治理效能普遍提升,数字公共服务普惠便捷,“数字为民”成效彰显;网络综合治理体系基本建成,网络生态持续向好,网络空间正能量充沛、主旋律高昂;数字文化产业发展、产品丰富,人民群众精神文化生活多姿多彩;网络安全保障体系和能力建设力度加大,数据安全治理基础不断夯实;中国对人工智能治理的实践探索走在世界前列,为世界提供了中国方案;网络法治化程度不断提高,未成年人网络保护等重点领域网络立法取得突破;网络空间国际交流合作深化拓展,
19、积极搭建国际交流平台,有力推动构建网络空间命运共同体。世界互联网发展报告 2023显示,一年来,信息基础设施建设持续推进,逐渐成为大国关注焦点;信息技术创新引领社会变革,人工智能、量子计算等新兴技术进入发展快车道,全球技术合作遭冲击破坏;数字经济成为发展强劲引擎,在全球经济总量中的比重不断增加,多国强化顶层设计和布局;政府数字化转型步伐加快,一体化在线政务服务成趋势;新4技术赋能媒体融合,全球数字娱乐产业发展前景广阔;网络安全威胁升级,各国积极布局增强网络安全能力;网络空间法治化趋势明显,多国不断推出细分领域立法;网络空间碎片化程度加剧,生成式人工智能等新技术治理引发全球关注。(来源:中国网信
20、网)3.中国工商银行在美子公司遭勒索软件攻击11 月 8 日,中国工商银行在美全资子公司-工银金融服务有限责任公司在其官网发布公告称公司遭到勒索软件攻击,导致部分系统中断。工银金融表示,发现攻击后立即切断并隔离了受影响系统,已展开彻底调查并向执法部门报告,正在专业信息安全专家团队的支持下推进恢复工作。工银金融称,中国工商银行及其他国内外附属机构的系统未受此次事件影响,中国工商银行纽约分行也未受影响。(来源:观察者网)4.韩国国家情报院将网络攻击事件归咎于中国,外交部回应11 月 9 日,韩国外交部表示 2022 年 1 月韩国外交部网络系统遭不明黑客攻击。据媒体报道,韩国国家情报院认为相关攻击
21、可能来自中国有关部门。对此,外交部发言人汪文斌在例行记者会上表示:中方一贯坚决反对并打击所有形式的网络攻击。网络安全是各国面临的共同挑战,各方应通过对话合作共同维护网络安全,而不应在没有事实依据的情况下抹黑他国。(来源:中国新闻网)5境内前沿观察二:政策立法动向境内前沿观察二:政策立法动向导读:11 月,我国积极参与网络空间国际交流与合作,首次提出国际科技合作倡议。我国与美英等 28 个国家联合签署首个全球性人工智能声明布莱切利宣言,呼吁通过国际合作共同应对人工智能安全风险。公安部、工信部、国家市场监督管理总局分别发布电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)工业和信息化领域数据安
22、全行政处罚裁量指引(试行)(征求意见稿)网络交易执法协查暂行办法(征求意见稿),对联合惩戒、行政处罚裁量基准、执法协查作出规定。这表明在网络安全法治体系基本建成的当下,细化犯罪打击、行政执法各个环节的具体要求,为各部门执法提供规范性指引成为全面推进严格规范公正文明执法、提升法律实施效能的重点关注。数据仍是地方立法的核心关切,聚焦发挥数据要素价值、探索数据基础制度、推动数据应用、促进数据交易等方面。同时,汽车数据安全及车联网行业发展受到关注。浙江省五部门联合印发浙江省汽车数据处理管理规定,江苏省人大常委会通过关于促进车联网和智能网联汽车发展的决定,系促进车联网和智能网联汽车发展的全国首部省级地方
23、性法规。此外,广东省人大常委会通过广东省政务服务数字化条例,系全国首部政务服务数字化条例。关键词:全球性人工智能声明、联合惩戒、行政处罚裁量基准、数据要素、汽车数据处理、车联网、政务服务数字化6(一)(一)国家层面动向国家层面动向1.中国等 28 国及欧盟签署布莱切利宣言,首个全球性人工智能声明11 月 1 日,首届全球人工智能安全峰会在英国布莱切利庄园召开。中国、美国、英国等 28 个国家代表及欧盟出席并联合签订布莱切利宣言。该宣言是全球第一份针对人工智能这一快速新兴技术的国际性声明,旨在关注对未来强大人工智能模型构成人类生存威胁的担忧,以及对人工智能当前增强有害或偏见信息的担忧。宣言指出,
24、国际社会应认识到开发和使用人工智能需要解决人权保护、透明度和可解释性、公平性、监管与问责制、安全、数字歧视、生成式欺骗性内容、隐私和数据保护等问题。其中,通用人工智能模型可能存在特殊安全问题,故意滥用或意外脱离人类控制问题可能会产生重大风险,尤其应注意网络安全和生物技术等领域的安全风险。同时,人工智能带来的许多风险需要通过国际合作解决。针对国际合作,宣言提出,通过现有的国际论坛和其他相关组织支持所有人的利益,促进合作,以应对人工智能带来的广泛风险。各国应采取创新且适度的治理和监管方法,以最大限度实现收益提升与人工智能风险降低的平衡。同时,所有参与者都可以在保障人工智能安全方面发挥作用,国家、国
25、际论坛和其他组织需要共同努力。(来源:环球网、英国政府官网)72.中国首次提出国际科技合作倡议11 月 7 日,中国在首届“一带一路”科技交流大会上首次提出国际科技合作倡议,倡导并践行开放、公平、公正、非歧视的国际科技合作理念,坚持“科学无国界、惠及全人类”,携手构建全球科技共同体。倡议主要包括以下六方面内容:(1)坚持崇尚科学。坚持科研诚信,尊重科研伦理,塑造科技向善理念,完善全球科技治理。加强知识产权保护,加强对新兴技术发展的包容与审慎管理;(2)坚持创新发展。加强全球科技创新协作,共建全球创新网络,促进新兴技术推广应用,加强企业间创新和技术合作,为世界经济复苏和发展注入新动能。各国应携手
26、推动数字时代互联互通,加快全球绿色低碳转型,实现全人类可持续发展;(3)坚持开放合作。坚决反对限制或阻碍科技合作、损害国际社会共同利益;(4)坚持平等包容。坚决反对将科技合作政治化、工具化、武器化,反对以国家安全为借口实施科技霸权霸凌;(5)坚持团结协作;(6)坚持普惠共赢。要坚持真正的多边主义,探索互利共赢的全球科技创新合作新模式,促进科技创新成果互惠互享。(来源:外交部)(二)(二)部委层面动向部委层面动向1.公安部发布 电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)11 月 13 日,公安部发布电信网络诈骗及其关联违法犯罪联合惩戒办法(征求意见稿)。征求意见稿共十九条,主要包括惩
27、戒原则、惩戒对8象、惩戒措施、分级惩戒、惩戒程序、申诉核查六方面内容,遵循依法认定、过惩相当、动态管理原则,将个人和单位纳入惩戒对象的范围,规定金融、电信网络、信用惩戒的具体措施,根据惩戒对象违法行为分级适用惩戒,规范审核认定、惩戒期限和告知等程序,明确申诉、受理、核查、反馈和解除的程序和时限。征求意见稿坚持依法认定、预防为主,严格按照反电信网络诈骗法确定惩戒对象范围和认定标准,列举了依法被实施惩戒的具体行为,区分了设区的市级以上公安机关和省级以上公安机关审核认定惩戒对象的范围,切实强化警示教育,以实现预防犯罪的效果。(来源:公安部)2.工信部发布 工业和信息化领域数据安全行政处罚裁量指引(试
28、行)(征求意见稿)11 月 23 日,工信部发布工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)。征求意见稿由正文及附件裁量基准组成。其中,正文共五章二十六条,裁量基准共十四项。征求意见稿明确工业和信息化领域数据安全行政处罚由违法行为发生地的行政处罚机关管辖。数据安全违法行为发生地包括实施违法行为的住所地、实际经营地、工商注册地(工商注册地与实际经营地不一致的,应按实际经营地),网络接入地,取得电信和互联网信息服务相关许可(备案)所在地,网站建立者、管理者、使用者所在地,计算机等终端设备所在地,数据集中存储地、交易地、出境活动所在地等。9征求意见稿明确不履行数据安全保护义务、向境
29、外非法提供数据、不配合监管三类违法行为触发条件;围绕数据级别和数量、损害持续时间、直接经济损失、影响范围等因素,将数据安全违法行为的危害程度划分为“较轻”“较重”“严重”等情节。同时,征求意见稿规定不予处罚、从轻或减轻处罚、从重处罚的适用情形。(来源:工信部)3.财政部、国家网信办发布会计师事务所数据安全管理暂行办法(征求意见稿)11 月 2 日,财政部、国家网信办发布会计师事务所数据安全管理暂行办法(征求意见稿),规范会计师事务所数据安全管理。征求意见稿要求会计师事务所对数据区分核心数据、重要数据、一般数据进行分级分类管理,对数据传输、数据加密、数据备份等事项作出具体规定,对数据管理技术手段
30、、数据存储方式、日志管理等提出具体要求。同时对跨境审计监管中涉及的数据出境事项作出规范。同时,征求意见稿明确会计师事务所应当建立完善的网络管理治理架构,建立健全内部网络管理制度体系,按照业务活动规模及复杂程度配置具备相关职业技能水平的网络管理技术人员,确保合理的网络资源投入和资金投入。(来源:财政部)104.文化和旅游部办公厅印发互联网上网服务行业上云行动工作方案11 月 1 日,文化和旅游部办公厅印发互联网上网服务行业上云行动工作方案。方案分为总体要求、主要任务、组织实施三方面内容,明确要推进云服务试点工作,在前期试点工作基础上,不断巩固和扩大上网服务行业云服务试点,积极探索上网服务行业云服
31、务发展方法路径、市场机制,培育云服务发展生态。打造上云创新场所,鼓励各地积极探索上网服务场所云服务发展新模式,打造一批降本增效强、环境品质优、用户体验好、数字化转型成效明显的上网服务行业云服务创新场所上云创新场所,发挥典型示范和创新引领作用,探索云服务向多元场景应用推广,支持云服务标准建设。(来源:文化和旅游部)5.国家市场监督管理总局发布网络交易执法协查暂行办法(征求意见稿)11 月 14 日,国家市场监督管理总局发布网络交易执法协查暂行办法(征求意见稿)。征求意见稿规定,执法协查工作应当遵循合法、合理、高效原则,向平台调取的信息应当遵循“必要且适当”原则,不得超出履行法定职责所必需的范围和
32、限度。平台经营者应当在收到市场监督管理部门限期提供信息通知书之日起十五个工作日内完成协查工作并复函。如协查事项较复杂需延期完成的,平台经营者应当在期限届满前告知提出协查要求的市场监11督管理部门,并说明延期理由、延期期限,延期期限最长不得超过十五个工作日。紧急情况需要加急办理的,市场监督管理部门可以与平台经营者先行沟通情况后履行相应程序,必要时可以请求平台经营者住所地市场监督管理部门协助。(来源:国家市场监督管理总局)6.三项网络安全国家标准发布11 月 27 日,国家市场监督管理总局、国家标准化管理委员会发布中华人民共和国国家标准公告(2023 年第 13 号),全国信安标委归口的三项国家标
33、准正式发布,将于 2024 年 6 月 1 日起实施。三项国家标准分别是信息安全技术 网络安全应急能力评估准则(GB/T 43269-2023)、信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求(GB/T 43435-2023)以及信息安全技术 移动智能终端预置应用软件基本安全要求(GB/T 43445-2023)。(来源:国家标准化管理委员会)7.全国信安标委发布网络安全标准实践指南粤港澳大湾区跨境个人信息保护要求(征求意见稿)11 月 1 日,全国信安标委发布网络安全标准实践指南粤港澳大湾区跨境个人信息保护要求(征求意见稿)。征求意见稿规定粤港澳大湾区跨境处理个人
34、信息应遵循的基本原则和保护要求,为实施粤港澳大湾区个人信息保护认证提供认证依据,也为大湾区个人信息处理者规范个人信息跨境处理活动提供参考。12征求意见稿规定,个人信息处理者跨境处理个人信息,应满足以下要求:(1)制定个人信息跨境安全管理制度和操作规程,采取相应的加密、去标识化等安全技术措施,防范跨境个人信息遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险;(2)对个人信息跨境处理活动进行日志记录,个人信息跨境处理日志至少保存 3 年;(3)识别数据跨境处理中涉及的个人信息,形成个人信息跨境处理目录,并及时更新;(4)对被授权跨境访问或查阅个人信息的人员,建立最小授权的访问控制策
35、略,使其只能访问或查阅职责所需的最小必要的个人信息和数据操作权限;(5)承诺接受认证机构对个人信息跨境处理活动的持续监督、包括答复询问、配合检查、服从采取的措施或做出的决定等,并提供已采取必要行动的书面证明。(来源:全国信安标委)(三)(三)地方层面动向地方层面动向1.浙江省五部门联合印发浙江省汽车数据处理管理规定11 月 4 日,浙江省委网信办、省发展改革委、省经信厅、省公安厅、省交通运输厅联合印发浙江省汽车数据处理管理规定。规定共计二十六条,旨在进一步规范浙江省汽车数据处理活动,促进汽车数据合理开发利用和汽车行业健康有序发展。规定明确汽车数据处理者应当:(1)处理汽车数据具有明确、合理的目
36、的,处理的汽车数据类型应与实现产品或服务的业务功能直接关联,同时应遵守对重要数据处理的相关规定;(2)与行业组织、教育和科研机构、13有关专业机构等在数据安全风险评估、防范、处置等方面开展协作,组织数据安全教育培训,落实数据安全管理责任;(3)开展重要数据处理活动应当按照规定开展风险评并向省网信部门和有关部门报送风险评估报告,并在每年十二月十五日前向省网信部门和有关部门报送年度汽车数据安全管理情况。(来源:网信浙江)2.浙江省杭州市人大常委会发布杭州市数字贸易促进条例(草案)11 月 8 日,浙江省杭州市人大常委会发布杭州市数字贸易促进条例(草案)。草案共计七章四十二条,包括业态模式、主体培育
37、、数字营商环境、开放与合作等内容。草案规定市人民政府应当依法组织设立数据交易所,推动建设多层次数据要素交易市场,探索建设数据交易国际板。数据交易所应当建立规范、透明、安全可控、可追溯的数据交易环境。鼓励数据交易主体应用区块链、数据安全沙盒、隐私计算等技术探索建立多元化数据流通模式。数字贸易市场主体不得利用算法、数据资源、平台等优势实施垄断和不正当竞争行为。数字贸易市场主体应当依法保护消费者合法权益和个人信息安全。(来源:杭州人大)143.湖北省发改委发布湖北省数据交易管理暂行办法(征求意见稿)11 月 7 日,湖北省发展和改革委员会发布湖北省数据交易管理暂行办法(征求意见稿)。征求意见稿共计八
38、章三十九条,包括数据交易场所、主体、标的、流程、交易安全等内容。征求意见稿规定,数据交易场所应当建立全流程数据安全管理制度,设立数据安全负责人和管理机构,组织开展安全教育培训,建立数据交易安全基础设施,采取相应的技术措施和其他必要措施,保障数据安全。数据交易场所应当制定数据安全事件应急预案,定期组织应急演练,提升数据安全事件应对能力。发现泄露、篡改、损毁等数据安全事件,或者数据安全风险明显加大时,数据交易场所应当立即采取补救措施,及时告知数据供需双方,并向有关部门报告。(来源:湖北省发展和改革委员会)4.北京数据基础制度先行区启动运行11 月 10 日,北京数据基础制度先行区启动运行,北京市经
39、济和信息化局发布北京数据基础制度先行区创建方案。方案明确数据先行区总体目标,到 2030 年,北京汇聚高价值数据资产总量达到 100PB,数据交易额达到 100 亿元,数据产业规模超过 1000 亿元。北京将打造“2+5+N”的数据先行区基础设施技术架构:基础设施层包含智能算力基础设施和国家区块链网络枢纽;业务中台层包括数据资产登记平台、数据资产评估平台、数据资产托管平台、数据交易节点、数字资产管15理平台等;数据应用层涵盖金融数据、政务数据、“三医”数据、自动驾驶数据、航运贸易数据、文旅数据等数据专区与应用。(来源:新华社)5.国务院批复支持北京深化国家服务业扩大开放综合示范区建设工作方案:
40、探索形成既能便利数据流动又能保障安全的机制11 月 18 日,国务院批复支持北京深化国家服务业扩大开放综合示范区建设工作方案。工作方案明确,推动数据资源开发利用。支持北京积极创建数据基础制度先行区,推动建立健全数据产权制度、数据要素流通和交易制度、数据要素收益分配制度、数据要素治理制度。制定数据交易标准合同指引,出台数据交易负面清单和谨慎清单。在国家数据跨境传输安全管理制度框架下,开展数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证工作,探索形成既能便利数据流动又能保障安全的机制。支持设立跨国机构数据流通服务窗口,以合规服务方式优先实现集团内数据安全合规跨境传输。探索制定自动驾驶、
41、生物基因等行业数据分类分级指南和重要数据目录,以重点领域企业数据出境需求为牵引,明确重要数据识别认定标准,做好数据安全保护支撑。(来源:中国政府网)6.北京市十六届人大常委会立法规划发布:涉及北京市重要信息基础设施网络安全管理条例等立法项目11 月 24 日,北京市十六届人大常委会发布北京市十六届人大常委会立法规划。规划共确定 82 个具体项目,根据现实紧迫性和项目成熟度分16为两类:一类项目即任期内完成制定、修改的法规,有 42 项;二类项目即任期内调研起草,条件成熟时制定、修改的法规,有 40 项。从领域看,完善首都功能方面有 20 项,推动经济高质量发展方面有 15 项,保障和改善民生方
42、面有 23 项,加强城市治理方面有 19 项,推进京津冀协同发展方面有 5 项。其中,包含北京市智能网联汽车管理条例北京市未成年人保护条例(修改)北京市网络视听节目管理条例北京市重要信息基础设施网络安全管理条例等立法项目。(来源:北京人大)7.广东省深圳市卫生健康委员会印发深圳市卫生健康数据管理办法11 月 16 日,广东省深圳市卫生健康委员会印发深圳市卫生健康数据管理办法。办法共七章四十九条,包括数据收集、传输和存储,数据使用、加工和删除,数据共享和开放,安全和监管等内容。办法规定责任单位收集、存储卫生健康数据的要求,明确责任单位应当对数据传输、存储采取的安全防护措施,要求医疗卫生机构按照要
43、求在本机构信息系统中为实名就医的个人建立身份标识唯一、基本数据项一致的居民电子健康档案,记录为其提供的健康服务信息,并将数据录入或者上传至卫生健康信息化平台,实现居民电子健康档案联网管理,使用电子病历系统的医疗卫生机构还应当将患者的电子病历数据上传至卫生健康信息化平台实现联网管理。在使用、加工卫生健康数据时应制定相关管理制17度,包括合规性审查、数据访问控制、脱密脱敏、采取相应安全措施等。(来源:深圳市卫生健康委员会)8.广东省人大常委会审议通过广东省政务服务数字化条例11月23日,广东省人大常委会审议通过 广东省政务服务数字化条例,2024 年 1 月 1 日起施行。该条例是全国首部政务服务
44、数字化条例。条例要求,县级以上人民政府政务服务数据管理机构和政务服务机构应当依照法律、法规的规定和国家标准要求,建立健全政务服务数据安全管理制度,落实数据安全保护责任,采取技术措施和其他必要措施保障政务服务平台运营和数据安全。委托服务商建设、运营、维护政务服务平台的,应当监督服务商履行数据安全保护义务。政务服务机构需要通过生物识别技术核验服务对象身份的,应当具有明确、合理的目的和充分的必要性,取得服务对象的单独同意,并采取严格的数据保护措施。(来源:广东省人大常委会)9.广东省广州市印发关于更好发挥数据要素作用推动广州高质量发展的实施意见11 月 28 日,中共广州市委全面深化改革委员会印发关
45、于更好发挥数据要素作用推动广州高质量发展的实施意见。创新性规定方面,实施意见将:(1)探索通过民事商事合同、行政协议约定和资产登记等方式明确数据产权,推动数据产权“三权分置”机制在广州落地;(2)构建结构合理和运行顺畅的数据要素市场体系,推进以18政府指导价格形成机制为主的一级数据要素市场建设,完善以市场竞争价格形成机制为主的二级数据要素市场建设,支持打造国家级数据交易场所,培育多元化数据流通生态;(3)创新公共数据运营模式,培育公平竞争、多方参与、收益共享的公共数据开发利用生态,更好调动市场主体参与公共数据开发利用的积极性;(4)推动数据资产入表,探索构建数据要素价值评估与统计核算规则,并研
46、究政府在数据要素收益分配中的引导调节作用,促进全社会共享数据红利。(来源:广州市人民政府)10.江苏省人大常委会通过 关于促进车联网和智能网联汽车发展的决定11 月 29 日,江苏省十四届人大常委会第六次会议审议通过关于促进车联网和智能网联汽车发展的决定,2024 年 1 月 1 日起施行。作为促进车联网和智能网联汽车发展的全国首部省级地方性法规,该决定针对新业态新问题进行创制性立法,为江苏相关产业继续走在全国前列提供法治保障。决定共十九条,重点强化政府部门的引导推动责任。要求省政府应加强领导,制定车联网和智能网联汽车发展政策;省工业和信息化部门负责组织协调、统筹实施和监测评估,有关部门各负其
47、责促发展。安全方面,决定要求相关企业建立网络安全管理制度;落实数据分类分级保护,依法将在我国境内运营中收集和产生的重要数据和个人信息存储在境内,因业务需要确需向境外提供的,应当按照国家有关规定办理相关手续;鼓励有19关企业、机构依法开展车联网和智能网联汽车的网络安全和数据安全认证、检测、风险评估等服务。(来源:中国人大网、江苏人大发布)11.江西省人大常委会通过江西省数据应用条例11 月 30 日,江西省第十四届人大常委会第五次会议审议通过江西省数据应用条例,2024 年 3 月 1 日起施行。条例共七章五十二条,主要从数据资源、数据要素市场、发展应用、促进措施等方面做出规定。条例明确数据资源
48、的处理原则。处理涉及个人信息的数据应当具有明确、合理的目的,遵循最小必要和合理期限原则,采取对个人权益影响最小的方式,并遵守法律、法规规定的个人信息处理规则,履行个人信息处理者的法定义务。数据处理者是数据安全保护的责任主体。数据存在多个处理者的,各数据处理者承担相应的安全保护责任。数据处理者因合并、分立、收购等变更的,由变更后的数据处理者承担数据安全保护责任。(来源:江西省人民政府)20境内前沿观察三:治理实践境内前沿观察三:治理实践导读:11 月,公安部通报全国公安机关全力打击黑客类违法犯罪举措及总体成效情况。通报指出,2022 年以来,全国公安机关共侦破黑客类犯罪案件 2430 起。目前黑
49、客类犯罪中与广大网民和企业日常生产生活密切相关的犯罪手法,主要有勒索病毒攻击、网络钓鱼攻击、弱口令攻击、流量攻击、物联网设备入侵五种。数据治理方面,国家数据局表示将围绕发挥数据要素乘数作用,与相关部门一道研究实施“数据要素”行动。数据出境治理取得新进展,海南航空控股股份有限公司成为海南首家通过数据出境安全评估的企业,国际航空运输协会成为首批通过数据出境安全评估的外国航空机构之一。伟创力技术(长沙)有限公司提交的两份个人信息出境标准合同通过湖南省互联网信息办公室组织的备案审核,成为湖南省首家通过订立标准合同实现个人信息合规出境的企业。广东、北京、杭州等地法院发布个人信息保护案件相关审理情况或典型
50、案例。其中,北京市互联网法院表示受理的个人信息保护案件以互联网企业为主要被诉主体,涉诉个人信息类型和侵权形态较为多样。结合 11 月公布的行政案件中的违法行为,企业在开展合规工作时应注意以下方面:1.如实开展网络安全等级保护定级、备案、等级测评;2.履行国际联网备案职责;3.建立健全全流程数据安全管理制度;4.组织开展21数据安全教育培训;5.采取技术措施和其他必要措施保障数据安全;6.采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。关键词:黑客类违法犯罪、虚假撤销等保备案、数据出境、数据要素X、个人信息保护案件22(一)(一)公安机关治理实践公安机关治理实践1.公安部公布
浙ICP备2021020529号-1 | 浙B2-20240490 
