2023年国内外网络安全法规政策系列盘点（二）：数据安全篇

《数据安全篇》是《2023年国内外网络安全法规政策系列盘点》的第二篇。主要对涉及数据安全的法规政策进行专题梳理和点评。

从内容看，2023年度数据安全法规政策主要涵盖数据安全产业规划、战略衔接、数据跨境安全、行业数据安全监管、数据基础制度、数据安全共享机制等。

1. 工业和信息化部、国家互联网信息办公室等十六部门联合印发《关于促进数据安全产业发展的指导意见》

http://www.cac.gov.cn/2023-01/14/c_1675346873856103.htm

【绿盟观点】《指导意见》的出台，正值“数据二十条”的发布契机，是我国数据安全政策法规体系的重要组成部分，是加速落实完善数据安全产业体系和能力的重大政策举措。不仅进一步丰富了数据安全产业的基础理论，更明确了数据安全产业的体系和要素，必将为数据安全供给侧的企业发展赋予强大动能。

归纳来看，《指导意见》重点从“怎么看”和“怎么干”两大关键视角，回答了数据安全产业发展的四个基本问题：产业界定、产业目标、产业体系、发展要素，并对如何构建数据安全产业体系和能力，作出了部署。

对行业来说，可重点关注三方面。一是强化产品创新，结合《指导意见》明确的创新需求，重点围绕新计算模式、新网络架构和新应用场景等数据安全需求加强创新，持续完善行业数据安全技术产品体系。二是强化服务创新，结合《指导意见》提出的数据安全服务需求，重点强化规划咨询、建设运维、检测评估与认证、权益保护、违约鉴定等服务。三是强化基础要素保障，拓展行业现有产学研用合作攻关平台建设、加大数据安全实战人才培养和选拔等。

2. 中共中央 国务院印发《数字中国建设整体布局规划》

http://www.cac.gov.cn/2023-02/27/c_1679136694986243.htm

【绿盟观点】《规划》的发布，可以带来四个方面的突破引领。一是以体系化完善发展格局，《规划》通过擘画“2522”的框架，及面向体系化、生态化的设计，助力我国网络和数据安全产业扩大规模。二是以务实性拓展应用需求，《规划》将重点应用领域同在建或将要建设的大工程、大平台相衔接，无疑将有助于启发和扩展网络数据安全应用的增量市场。三是以内生性明确供给方向，《规划》提出技术自立、安全可控的要求，会成为引领和拓展市场增长的重要突破口。四是以重点化强化机制保障，《规划》通过具体化机构、资金等保障措施，以及强化对“党政领导干部和公务员”的考核与技能要求等，将拓宽网络和数据安全市场的发展维度。

3. 国家互联网信息办公室等五部门联合发布《关于规范货币经纪公司数据服务有关事项的通知》，强化金融领域数据安全治理

http://www.cbirc.gov.cn/cn/view/pages/governmentDetail.html?docId=1124968&itemId=861&generaltype=1

【绿盟观点】货币经纪公司因其业务属性，决定了会涉及大量金融原始数据、以及相关数据的跨境流动，由此会带来相应的数据安全潜在风险。本次《通知》由多部门联合发布，也凸显了金融数据安全问题的复杂性和高关注度。

《通知》明确了货币经纪公司应当履行的数据安全保护义务，包括管理和依据两个方面。在管理方面，重点是建立健全数据治理机制确保数据安全、强化协议管理；在依据方面，明确了提供数据标准和数据服务机构名单两类准则依据。

《通知》或将产生两方面影响。一是，将在一定程度上促进货币经纪公司提高对数据安全落地的自觉性，主动构建和完善自身数据安全防护体系。对此，数据安全企业可重点关注数据安全合规建设、信息系统风险管理等业务机会。二是，由于货币经纪公司多涉及数据跨境传输，因此，面向货币经纪公司的专业化数据出境安全服务，如数据出境安全自评估咨询、出境数据资产审计等也有机会迎来一波新的发展。

4. 中国资产评估协会发布《数据资产评估指导意见》，健全数据资产评估规则体系

http://www.cas.org.cn/ggl/427dfd5fec684686bc25f9802f0e7188.htm

【绿盟观点】《数据资产评估指导意见（审议稿）》于2022年起草，此前中国资产评估协会在2019年还发布了《资产评估专家指引第9号——数据资产评估》，作为探索数据资产评估管理的系列动作。均与落实中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》要求密切相关。

《指导意见》明确了数据资产的定义，即“指特定主体合法拥有或者控制的，能进行货币计量的，且能带来直接或者间接经济利益的数据资源”；提出了数据资产的三大属性、四大因素和五大特征，以及数据要素价值计量的基本解决方案。为数据资产评估提供了重要的操作指导。

当前在国家标准层面，数据资产评估尚处空白，《指导意见》作为资产评估行业的操作守则，对从业机构具有较强的约束力，无疑会成为该领域后续国家标准起草工作的重要参考。当然，如何保障评估过程中相关数据信息的安全、合规，也是评估标准需要考量的重要内容。尤其是如何运用技术手段实现受评估数据资产的安全保障等，也是网络安全行业需要重点关注的方向之一。

5. 国家互联网信息办公室发布《规范和促进数据跨境流动规定（征求意见稿）》，优化完善数据跨境流动管理制度

http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm

【绿盟观点】数据的跨境流动，向来是数据安全和个人信息安全监管的核心领域之一。对此，国家互联网信息办曾先后出台实施了《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》《个人信息保护认证实施规则》《个人信息出境标准合同办法》《个人信息出境标准合同备案指南（第一版）》等相关规章和规范性文件。

从本次《征求意见稿》内容来看，其主要是进一步明确“数据出境安全评估”制度的申报范围，对某些无需申报的情形作出规定（第1-6条）；同时，对特定地区、部门的数据出境法规依据进行明确。此外，进一步明确了“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”，并将出境个人信息数量统计的时间范围从“自上年1月1日起累计”调整为“一年内”。

《征求意见稿》是在此前数据跨境相关制度实施一段时间后提出的，具有对监管实践的阶段总结和反馈的属性，一定程度上体现了减轻相关方面数据安全合规工作负担的宗旨。对于网络安全行业，有两方面需要重点关注：一是密切关注数据跨境流动的市场机会，研发适用于数据跨境流动场景的技术、产品和解决方案；二是持续强化自身数据资产的梳理监测，切实加强对相关数据跨境情形的合规管理。

6. 工业和信息化部发布《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e11152265eba4c9c9876a20c63715a1a.html

【绿盟观点】《实施细则》细化了《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》）关于数据安全风险评估的相关要求，标志着工信领域数据安全风险评估制度距离真正实施又进一步。

《实施细则》明确了“谁评估”、“评估谁”、“谁监管”三个核心问题。一是风险评估的对象为“工业和信息化领域重要数据和核心数据处理者”开展的数据处理活动。二是评估工作的主要承担者为第三方评估机构。三是监管主体为部、省两级行业监管部门，包括工业和信息化部、省级工信主管部门、省级通信管理局、省级无线电管理机构、中央企业等五类管理机构。

此外，工信数据安全风险评估工作涉及面较广，很多具体规定或有待结合实际操作进一步优化完善，如：是否需要明确认证机构范围或实行目录管理等。《实施细则》初步展现了工信数据安全风险评估制度的全貌，对于业界学习理解制度要求、预判自身数据评估工作需求、以及提前部署自身评估工作安排等，都具有重要指导意义。

7. 国家发展改革委、国家数据局召开健全公共数据价格形成机制座谈会

https://www.ndrc.gov.cn/fzggw/jgsj/jgs/sjdt/202311/t20231109_1361868.html

【绿盟观点】近期，随着国家数据局正式挂牌，我国数据管理工作加速推进。座谈会的召开，更反映了数据要素尤其是数据要素的定价机制，是国家数据管理工作的关键抓手之一。

公共数据要素的定价机制，是《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（数据二十条）提出的“公共数据确权授权机制”的重要环节，事关公共数据资源的市场化能否顺利实施。有一点需特别注意，即纳入价格机制的公共数据资源，其范围仅限于“用于产业发展、行业发展的公共数据有条件有偿使用”；而不适用于“推动用于公共治理、公益事业的公共数据”、也不包括“依法依规予以保密的公共数据”。这说明公共数据资源定价机制的前提是这些数据资源的应用领域须限定为产业、行业发展之用。

8. 财政部发布《会计师事务所数据安全管理暂行办法（征求意见稿）》

http://kjs.mof.gov.cn/gongzuotongzhi/202311/t20231113_3916037.htm 

【绿盟观点】《征求意见稿》对于会计师事务所的数据安全，侧重于强化安全体系的基础上，突出强调了数据分类分级、数据跨境监管两个重点方向。

此次《征求意见稿》最重要的制度之一，就是将会计师行业数据安全监管与“网络安全审查”制度相衔接。一方面，这种衔接侧重于“数据安全审查”；另一方面，《征求意见稿》的这一制度衔接，在事实上扩大了网络安全审查制度的适用范围，将“会计师事务所开展数据处理活动”增列为“关键信息基础设施运营者采购网络产品和服务”、“网络平台运营者开展数据处理活动”（《网络安全审查办法》第二条）之外的第三类审查对象，充分体现出强化会计师行业数据安全监管的必要性。

9. 工业和信息化部发布《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_e14338d7b2684c79bec7931b75336520.html

【绿盟观点】《征求意见稿》内容上兼具程序法和实体法的性质，是贯彻《工业和信息化领域数据安全管理办法（试行）》（以下简称《管理办法》）的务实之举，在行业数据安全执法监管领域具有开创性的意义。值得一提的是，其在“不予行政处罚”（第18条）情形中，将“没有主观过错”作为不处罚的重要依据，这对于破解网络数据安全领域长久以来“合规是否免责？”问题的争论，也具有开创性的意义。当然，相关规定或存在有待完善之处，例如其对《管理办法》的规定覆盖尚不全面、对于属地管辖原则的表述尚不够准确等。

10. 国家数据局局长刘烈宏首论数据基础设施

https://mp.weixin.qq.com/s/GbUloi4JXMvbcpdVLBKb9w

【绿盟观点】国家数据局的重要职责之一是推动数据基础设施建设，该论述是国家数据局首次提出“数据基础设施”理论，丰富和发展了“新型基础设施”内涵。数据基础设施的内涵与此前国家发改委提出的“新型基础设施”内涵既有交叉继承，又有发展创新。交叉继承体现在：数据基础设施包含了新型基础设施中信息基础设施下的“网络基础设施”、“算力基础设施”；而概念的发展创新，则体现在“数据流通设施”、“数据安全设施”方面。

11. 国家数据局发布《关于<“数据要素×”三年行动计划（2024—2026年）（征求意见稿）>公开征求意见的通知》

https://www.ndrc.gov.cn/hdjl/yjzq/202312/t20231215_1362671.html

【绿盟观点】《征求意见稿》赋予数据安全工作十分重要的定位，不仅将数据安全要求作为数据要素价值创造和实现全过程中必须坚守的底线原则，更对数据安全做出了系统安排。

从内容体系上看，确立了数据安全的两个基本问题。一是，明确了数据安全之于数据要素的“保障中台”定位；二是明确了数据安全之于数据要素的制度供给和物质供给双重内涵。当然，对于数据要素×行动的操作性、协同推进机制等方面的问题，也有待提升强化。

12. 工业和信息化部发布发布《关于<工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）>公开征求意见的通知》

https://www.miit.gov.cn/jgsj/waj/wjfb/art/2023/art_119d8297cd40494994bfdf0b299023f9.html

【绿盟观点】工信数据安全管理领域的又一项制度举措，《工业和信息化领域数据安全管理办法（试行）》正式实施以来，已先后出台《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》。此次应急预案的出台，也将进一步完善工信领域数据安全管理法规体系，成为行业层面首个行业级数据安全应急预案。工信数据安全管理制度的体系化也在行业层面继续领跑。

1. 美国白宫发布《推进隐私保护的数据共享和分析的国家战略》，强化PPDSA体系

https://www.whitehouse.gov/wp-content/uploads/2023/03/National-Strategy-to-Advance-Privacy-Preserving-Data-Sharing-and-Analytics.pdf

【绿盟观点】伴随全球数字化转型的加速推进，数据逐渐成为社会发展过程中必不可少的资源。如何在保证数据隐私的前提下充分发挥数据价值？成为各国保护数据安全面临的共同课题。该《战略》针对此类问题，提出加快推进PPDSA的研究和应用，并结合强有力的数据治理措施，在促进数据共享和分析的同时保护个人隐私与敏感数据，以期促进美国个人信息和数据安全相关科技的创新发展。

《战略》提出的PPDSA，是一种平衡数据收集、分析与伦理社会技术问题的解决方案，包括方法论、技术和社会技术等一系列技术和方法，其利用隐私增强技术（PETs）进行数据分析、获取数据价值，同时确保用户隐私安全。PETs在该《战略》中是指一组范围广泛的技术，通过删除个人信息、减少个人数据处理或防止对数据进行非法处理来保护隐私，同时维持系统的功能。

美国此次《战略》的发布，对于我们有两方面启示。一方面，对数据信息保护相关技术研发和产品创新的方向具有一定参考作用，如安全多方计算、同态加密、差分隐私以及可信执行环境等技术领域，或将受到更多的关注；另一方面，《战略》所体现出的以“系统化”手段推进数据信息保护技术发展的思路，对于加快构建数据信息安全技术的发展生态，不失为一种有效途径。

2. 欧盟委员会通过《关于欧盟-美国数据隐私框架的充分性决定》，欧美数据跨境传输合作迈入新阶段

https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721

【绿盟观点】近年来，美国和欧盟持续探索数据跨境传输的双边机制，但由于双方立法制度的差异，始终未能达成一致，如此前美国和欧盟发布的《安全港协议》（Safe Harbor）、《隐私盾协议》（Privacy Shield）均被欧洲法院驳回。2022年3月25日，美国和欧盟就新的《隐私框架》达成原则性协议；2022年10月7日，美国总统拜登签署《关于加强美国信号情报活动保障措施的行政令》，以落实《隐私框架》中美国方面作出的相关承诺。本次欧盟委员会正式通过《隐私框架》，标志着欧美间数据跨境传输的第三次合作正式落地。后续《隐私框架》的运作将定期接受欧盟和美国当局的审查，以核实相关承诺是否在美国法律框架中得到充分实施并有效实践。

我国也陆续出台了一系列针对个人信息出境的政策法规，如《个人信息出境标准合同办法》《个人信息出境标准合同备案指南（第一版）》《数据出境安全评估办法》《数据出境安全评估申报指南（第一版）》等，但在某些细分领域和实操层面的内容仍有完善空间。例如，隐私框架所提出的自我认证制度、两级补救制度等，均有一定借鉴价值。

3. 欧盟《数据治理法案》正式施行，为欧盟提供数据共享新模式

https://digital-strategy.ec.europa.eu/en/news/european-strategy-data-data-governance-act-becomes-applicable

【绿盟观点】《数据治理法案》于2020年11月正式提出，并于2023年6月达成政治协议（political agreement），是落实《欧洲数据战略》的重要立法举措之一，进一步革新了欧洲数据治理模式，旨在为欧盟打造统一的数据市场，使欧盟科技企业能够更为有效地转化和利用数据。

我国正在全面推进数字战略，数据要素作为一种战略资源的重要价值也日益凸显。欧盟《数据治理法案》所提出的建设数据中介机构的思路，对于我国构建和完善数据要素开发利用机制具有借鉴意义。我国目前在促进数据开发利用方面，以规范数据合法、合规利用为侧重点，在发挥第三方中介力量问题上也较多地与数据交易平台的建设发展相关联。下一步如何充分发挥第三方中介机构尤其是非营利组织的作用，促进和完善数据在开发层面的良性发展，或是一个具有较大意义的新研究方向。

4. 欧盟和日本就数据跨境流动达成协议

https://ec.europa.eu/commission/presscorner/detail/en/ip_23_5378

【绿盟观点】数据的跨境流动是欧盟数据安全与个人隐私保护监管的核心领域之一。近年来，欧盟持续探索与其他国家在数据跨境流动方面的双边机制，如《关于欧盟-美国数据隐私框架的充分性决定》（Adequacy decision for the EU-U.S. Data Privacy Framework）《欧盟-新西兰贸易协定》（EU-New Zealand trade agreement）和《欧盟-英国贸易与合作协定》（EU-UK Trade and Cooperation Agreement）中均包括数据跨境流动的相关规则。欧盟通过制定数据跨境流动双边协议的方式建立“数据安全白名单”机制，极大地减轻了企业数据传输合规成本，一定程度上有助于促进双方数字经济的交流发展。欧盟这种以双边协议消除某些数据跨境流动壁垒的方式，是对数据跨境流动管制一般原则的例外，其对于跨境流动数据的范围、主体条件等方面的规定，值得研究和持续观察。

5. 欧洲议会通过《数据法案》

https://www.europarl.europa.eu/news/en/press-room/20231106IPR09025/parliament-backs-plans-for-better-access-to-and-use-of-data

【绿盟观点】《数据法案》最初由欧盟委员会于2022年2月提出，并由欧盟理事会和欧洲议会于2023年6月达成临时协议（Provisional agreement），该《法案》和此前生效的《数据治理法案》均为落实《欧洲数据战略》的重要立法举措。《法案》明确了数据共享的对象、范围、一般原则和例外等。后续，该《法案》经过欧盟理事会批准后将正式公布。

我国数据管理工作随着国家数据局的挂牌正逐步走向统筹、体系化发展的新阶段。此前“数据二十条”初步擘画了我国数据管理制度的框架和原则，具体的各项数据管理制度，还有待理论和实践的完善。欧盟《数据法案》中提出的数据可携权、数据从企业到政府的流通、促进企业间数据流动等具体制度，对于我国构建和完善数据制度体系具有一定借鉴意义。