环球数据合规团队年度总结与展望：回望2023数据合规实践，共探2024发展新机遇

1 2 目录 2023立法和监管动态总结5 数据合规团队文章集锦25 网络数据安全和个人信息保护：构建安全屏障，筑牢合规之基25 企业对于网络和数据安全事件的防范和处置义务26 从源头到结果，从内部到外部——解析《信息安全技术重要数据处理安全要求》49 以故为新，扬帆启程——解析《个人信息保护合规审计管理办法（征求意见稿）》64 在美上市的中概股企业如何应对SEC网络安全风险披露新规94 境外发行备案新规与网络安全审查的衔接111 数据跨境流动：探索安全、合规的传输机制123 跨境数据流动创新保障性措施的先行先试——《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》发布124 欧美跨境数据流动与数据主权争夺的分析与启示181 构建安全可控、促进发展的数据跨境流动框架：法律与实践的探索187 出境在歧路，合规启山林|标准合同下的企业合规义务及备案指南205 论企业如何有效选择适当的数据跨境传输合规方案——对《个人信息出境标准合同办法》的评析219 China'sDataExportComplianceinLawandPractice265 HowShouldEnterprisesComplywithStandardContractMeasures288 算法与人工智能：紧追时代，拥抱重塑未来的力量309 人工智能大语言模型开发与应用的数据合规风险及其应对——兼论《生成式人工智能服务管理办法（征求意见稿）》合规要点310 从境内外立法与监管思路解读《生成式人工智能服务管理暂行办法》331 未雨绸缪，思则有备——《人脸识别技术应用安全管理规定（试行）（征求 意见稿）》解读346 海上潮信来——人工智能伦理视角下《科技伦理审查办法（试行）》的合规解读359 数据要素市场建设：释放数据价值，驱动经济发展378 《企业数据确权与全球合规趋势报告(2023)》379 《数字广告数据要素流通保障技术研究报告（2023）》396 未成年人保护：守护祖国花朵，共建清朗网络空间398 网游新规引新篇：《网络游戏管理办法（草案征求意见稿）》十大要点解读与分析399 弄尘复斗草，蓑衣卧月明——企业合规视角下的《未成年人网络保护条例》解读411 ESG与数据隐私合规观察——网络环境中的未成年人安全保护463 网络暴力防范：倡导文明上网，共建和谐网络社区480 防于未然、止于微末——《网络暴力信息治理规定（征求意见稿）》解读 （上篇）481 防于未然、止于微末——《网络暴力信息治理规定（征求意见稿）》解读 （下篇）492 汽车及出行行业合规：识别、评估与应对，打好合规持久战508 新能源汽车合规观察：4月份更重视“最小必要原则”509 新能源车数据合规与安全问题518 出行企业（如滴滴等平台）的合规问题555 汽车销售中的个人信息保护问题585 金融行业合规：把握关键法律动向，构建合规金融圈622 央行业务领域数据治理初探——解析《中国人民银行业务领域数据安全管理办法（征求意见稿）》623 企业ESG体系构建：塑造可持续竞争力的关键路径641 构建ESG体系对企业开展国际业务的重要意义642 2024年度展望653 2023立法和监管动态总结 2023年，数据治理推动全球数字经济向纵深发展，国内外形势在不断变化，新技术、新业态的崛起，尤其是人工智能的技术发展和数据要素市场的政策落地，为数字经济发展带来了诸多新的机遇和挑战。本文中，我们回顾了2023年数据合规与网络安全等领域的重要立法及执法行动——总的来说，在技术驱动、数据引领和治理护航多方力量的汇聚下，2023年相关领域的立法与监管趋势呈现出安全保护与促进发展并重的特点。 一、2023年的立法动态 网络与数据安全 国际方面，2023年11月9日，欧洲议会宣布以压倒性多数即481票赞成、31票反对、71票弃权通过了欧盟《数据法案》（DataAct）。该法案是依据欧盟2020年发布的《欧洲数据战略》（AEuropeanStrategyfordata）制定，是继《数据治理法案》（DataGovernanceAct）之后第二个主要的立法，是欧盟数据战略计划中的一部分，该法案在欧盟《通用数据保护条例》（GDPR）的基础上，提供了适用于所有数据的更广泛的规则，旨在通过建立互联产品及相关服务中所产生的数据的共享规则及用户访问规则，将数据作为企业与公共机构创新的关键因素并促进数据的利用，这将在包括促进人工智能领域算法训练在内的多个方面产生重要作用。2023年11月23日，英国政府公布了《数据保护和数字信息法》的第二次修订案，反映了数据保护方面最新立法动向。这是英国试图对英国版《通用数据保护条例》（GDPR）进行改革的第二次提案，相比于2022 年7月的第一版法案，此次修订更加反映了产业诉求，明确了更多便利措施。此外，今年美国多个州、印度、英国、越南、韩国、新加坡、孟加拉等陆续开展个人信息保护领域立法的颁布、修订或实施，就网络安全领域立法面向社会征求意见等。 国内方面，2023年2月13日，商务部印发《关于进一步做好两用物项出口管制工作的通知》，明确核心机构和经营机构应当依法履行网络和信息安全保护义务，对本机构网络和信息安全负责，相关责任不因其他机构提供产品或者服务进行转移或者减轻。 4月12日，国家网信办、工信部、公安部、财政部、国家认监委联合发布 《关于调整网络安全专用产品安全管理有关事项的公告》，要求加强网络安全专用产品的安全管理。 4月27日，1999年发布的《商用密码管理条例》在24年后重新修订发布，旨在规范商用密码应用和管理，保障网络与信息安全，为数字化时代的可持续发展提供了有力的保障。10月，相关配套细则《商用密码应用安全性评估管理办法》《商用密码检测机构管理办法》进一步出台。 7月1日，《中华人民共和国反间谍法》正式施行，规定任何个人和组织都不得非法获取、持有属于国家秘密的文件、数据、资料、物品。违反本法规定，拒不配合数据调取的，由国家安全机关依照《中华人民共和国数据安全法》的有关规定予以处罚。 7月24日，中国人民银行发布了《中国人民银行业务领域数据安全管理办法（征求意见稿）》，旨在指导、督促相关数据处理者依法依规开展中国人民银行业务领域内的数据处理活动，为适用范围内的数据处理活动提供一般性、兜底性安全与合规底线，同时也明确除非法律、行政法规和中国人民银行另有规定外，不改变和取代征信、反洗钱等业务领域现有管理制度对数据安全的差异化管理要求。 10月9日，《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》公布，进一步细化行业数据安全风险评估规则，可概括为主要回答了“评估谁”“谁监管”“谁评估”三个基本问题。 10月24日，为加快建立健全工业互联网安全管理制度体系，深入实施工业互联网安全分类分级管理，工信部起草了《工业互联网安全分类分级管理办法（公开征求意见稿）》。 11月13日，财政部、国家网信办联合公布《会计师事务所数据安全管理暂行办法（征求意见稿）》，该办法定位为在中国境内依法设立并为上市公司以及非上市的国有金融机构、中央企业等提供审计服务，或者开展跨境审计的会计师事务所数据安全管理的顶层设计，明确提出审计工作底稿及相关数据应在境内存储且不得境外备份，业务约定书或类似合同中不得包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。 11月23日，《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》发布，对于工业和信息化领域数据安全行政处罚裁量权做出规范化、系统化的规定。 12月8日，《网络安全事件报告管理办法（征求意见稿）》发布，旨在从规范总体层面对网络安全事件的报告程序作出明确、具体的规定，规范内容主要涉及报告主体、监管部门、触发机制、报告时限、报告内容、法律责任和尽职免责等方面。 12月22日，国家新闻出版署发布《网络游戏管理办法（草案征求意见稿）》，从办法内容来看，主管部门对游戏行业的监管变得更加全面，全文围绕网络游戏出版经营单位的设立与管理、网络游戏的出版经营、未成年人保护、监督管理、保障与奖励、法律责任和附则展开，进一步对中国境内从事网络游戏出版和运营的活动进行规制。 个人信息保护 2月6日，为优化服务供给，改善用户体验，维护良好的信息消费环境，促进行业高质量发展，工信部发布《关于进一步提升移动互联网应用服务能力的通知》。 7月21日，为促进互联网行业规范健康发展，进一步做好移动互联网信息服务管理，工信部印发《关于开展移动互联网应用程序备案工作的通知》。 8月3日，为指导、规范个人信息保护合规审计活动，国家网信办发布 《个人信息保护合规审计管理办法（征求意见稿）》，该征求意见稿适用于个人信息处理者定期开展个人信息保护合规审计，或者按照履行个人信息保护职责的部门要求委托专业机构对其个人信息处理活动进行合规审计，以及对个人信息保护合规审计活动的监督管理。 11月27日，信安标委发布国家标准GB/T43435-2023《信息安全技术移动互联网应用程序（App）软件开发工具包（SDK）安全要求》，该文件规定了移动互联网应用程序（App）软件开发工具包（SDK）设计、开发、发布、运营、终止运营等阶段和个人信息处理活动的安全要求。 2023年，网络与数据安全以及个人信息保护等议题持续成为立法的重点，除了这些宏观层面的规则确立，我们也看到了监管部门对一些特殊场景和重要业态的细致关注，正在努力构建一个全面、精准的法律体系，以适应社会发展的多元化需求： （一）数据跨境流动 2023年，我国在数据出境方面正着力重构安全可控、促进发展的数据跨境流动框架，进一步深化数据跨境流动合作，赋能全球数字经济发展。 国际方面，2023年我国正式开启《全面与进步跨太平洋伙伴关系协定》 （CPTPP）和《数字经济伙伴关系协定》（DEPA）等的谈判，推动国际数字贸易发展。 3月，俄罗斯联邦通信、信息技术和大众媒体监督局宣布关于向国外传输个人数据的新规生效，将审查运营商的数据跨境转移通知。5月，欧盟和东盟联合发布了《东盟跨境数据流动模板合同条款和欧盟标准合同条款的联合指南》。6月，英国与新加坡签署《数据保护谅解备忘录》，深化两国间数字政府领域合作。7月，欧盟委员会宣布《欧盟－美国数据隐私框架》通过了数据保护的“充分性认定”。8月，巴西数据保护局发布《个人数据国际传输条例》草 案及《标准合同条款》以征求公众意见。9月，英国正式确认建立“英美数据 桥”，将允许个人数据通过《欧盟－美国数据隐私框架的英国扩展》进行英美之间的数据跨境传输。10月，日本与欧盟在七国集团贸易部长会议期间就跨境数据流达成了协议。美国在世界贸易组织电子商务规则谈判中放弃该国长期以来坚持的部分数字贸易主张，其中包括关于跨境数据自由流动的要求，并且美国正在审查其在数据和源代码等敏感领域的贸易规则现行举措。泰国个人数据保护委员会发布了关于国际数据传输的法规草案。 国内方面，在2022年发布《数据出境安全评估办法》之后，2023年2月 22日，国家网信办公布《个人信息出境标准合同办法》以及《个人信息出境标准合同》范本，个人信息出境标准合同自此有了细化规定。 5月30日，为了指导和帮助个人信息处理者规范、有序备案个人信息出境标准合同，国家网信办编制了《个人信息出境标准合同备案指南（第一版）》，作为配套细则，其对个人信息出境标准合同备案方式、备案流程、备案材料等具体要求作出了说明。 针对个人信息保护认证，在国家网信办和国家市场监管局联合发布的《个人信息保护认证实施规则》，以及信安标委发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》TC260-PG-20222A（V2.0-202212）基础上，3月16日，《信息安全技术个人信息跨境传输认证要求》征求意见稿发布，在该征求意见稿中，对跨境认证并不设门槛要求，企业可以自行选择是否进行跨境认证。 9月28日，国家网信办发布了《规范和促进数据跨境流动规定