1. 网络法治全面铺开——网络领域立法日趋体系化，法律实施成为关键

2023年3月，国务院新闻办公室首次发布网络法治建设领域政府白皮书——《新时代的中国网络法治建设》，白皮书充分肯定了依法治网是全面依法治国和网络强国建设重要内容，回顾中国网络法治建设的历史性成就并总结我国网络法治建设经验，也为进一步做好网络法治工作指明了方向，对于企业把握我国网络法治建设态势，解构网络法治的系统性提出了重要的指引。

在科学立法方面，白皮书明确了我国基本形成以传统立法为基础，以网络内容建设与管理、网络安全和信息化等网络专门立法为主干的网络法律体系，网络权益保障（主要涉及个人信息权益、未成年人网络保护等）、数字经济法治规则（主要涉及网络交易监管、数据竞争、算法规制等互联网经济新业态监管）、网络安全法律制度（主要涉及网络安全、关键信息基础设施安全、数据安全等）以及网络生态治理规范（主要涉及互联网信息服务、内容治理等）共同构成了中国网络空间法制基础，而未来网络立法的系统性、整体性、协同性、时效性也将不断增强，以期维护数字市场秩序，规范数字经济新业态新模式，并切实回应网络安全风险，提升我国网络法治治理能力。对此，我们建议企业密切关注以上四大维度的国家法律规范、行业立法以及标准文件的出台动态，灵活调整与及时完善企业内部网络安全与数据合规管理机制，并加强与主管部门的标准共建、立法调研、研讨解读等工作。

在严格执法方面，白皮书肯定了严格执法是依法治网的关键环节的同时，也强调了网络执法的五大重点领域：保障个人信息权益、保护网络知识产权、规范网络市场秩序、维护国家网络安全以及营造清朗网络空间。以上领域始终是我国网络执法的重点，未来也将是我国网络法治常态化监管的主要方向。

在公正司法方面，白皮书彰显了坚决打击网络违法犯罪活动的决心，提出了构建更为完善的网络司法规则，而强化公民网络民事权益司法保护与加大网络犯罪惩治力度也将相应成为网络空间司法保障的重点。

可见，我国已从整体性视角考虑和构建网络法治体系，推进常态化网络执法活动，加强网络空间司法保障，而企业网络安全与数据合规管理工作也因此相应需要构建全面性、整体性认识框架。对于企业经营而言，企业网络安全与数据合规工作不能仅满足于偶然性、应对性合规模式，而应该有效融入网络法律体系，按照网络安全、数据安全、个人信息保护的法律结构，调整完善企业治理结构，统筹企业合规设计，节约企业合规成本，创造企业合规价值。

2. 网络安全——网络安全法律制度纵深发展，网络安全保障义务不容忽视

（1）网络安全服务认证进入实施阶段

2023年3月，国家市场监管总局、国家网信办、工业和信息化部（下称“工信部”）、公安部联合发布《关于开展网络安全服务认证工作的实施意见》（下称“《实施意见》”），规定了网络安全服务认证机构的资质要求及其开展安全服务认证等安全服务的合规要求，新增工信部为网络安全服务认证工作的监管部门之一，形成了由市场监管部门统筹，网信部门、工业和信息化部门、公安部门依据各自职责开展网络安全服务监督管理的统分协作的监管工作机制。而认证规则和认证标志由市场监管总局征求中央网信办、工业和信息化部、公安部意见后另行制定发布。据此，《实施意见》已从国家层面初步明确了开展网络安全服务认证工作的主要要求，与此前公安部第三研究所公布的“全国网络安全等级测评与检测评估机构目录，均为国家统一推行的网络安全服务认证工作提供了实践指引，以期提升网络安全服务机构能力水平和服务质量。

在法律合规走向纵深之际，技术合规相应要求也陆续落地，“技术合规+法律合规”双管齐下，对于企业构建更高水平的网络安全合规体系起到了重要的作用。正如《实践意见》所言“鼓励网络运营者等广泛采信网络安全服务认证结果”，网络安全认证、检测和风险评估等安全服务是企业开展网络运营活动过程中履行网络安全保障义务的重要自证合规材料之一，在采购网络安全服务的过程中，建议作为网络运营者的企业采购通过网络安全服务认证的认证机构所提供的网络安全服务，从而为企业内部网络安全管理机制提供可信的安全评估支持。

（2）网络关键设备和网络安全专用产品目录更新

国家网信办等五部门于2023年4月联合发布的《关于调整网络安全专用产品安全管理有关事项的公告》的要求，提出了网络安全专用产品检测认证领域建立统一制度。为推动安全认证和安全检测结果互认，2023年7月，《计算机信息系统安全专用产品销售许可证》开始停发，信息安全产品强制性认证的相关公告及通知停止执行，而国家网信办、工信部、公安部、国家认证认可监督管理委员会则更新了《网络关键设备和网络安全专用产品目录》，并相应废止了《关于发布〈网络关键设备和网络安全专用产品目录（第一批）〉的公告》（2017年第1号）中的网络关键设备和网络安全专用产品目录，其中未对网络关键设备进行调整，但对网络安全专用产品目录进行了全面更新。

根据《网络安全法》的相关要求，列入签署目录的网络关键设备与网络安全专用产品在销售或提供前应注意按照《GB 40050-2021 网络关键设备安全通用要求》《GB 42250-2022 信息安全技术 网络安全专用产品安全技术要求》等国家标准的强制性要求，由《承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录（第一批）》中列明的机构安全认证合格或者安全检测符合要求。与此同时，对于采购网络产品和服务的关键信息基础设施运营者也应当重视并关注《网络关键设备和网络安全专用产品目录》，以降低和管控适用网络产品和服务可能带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险，产品和服务安全性，供应渠道的有效性，以及相关产品和服务提供者遵守中国法律、行政法规、部门规章情况等国家安全风险因素。

（3）网络安全事件报告制度流程即将确定

2023年12月8日，国家网信办向社会公开征求对《网络安全事件报告管理办法（征求意见稿）》（下称“《管理办法》”）的意见，从报告主体、监管部门、触发机制、报告时限、报告内容、法律责任和尽职免责等方面对网络安全事件的报告机制作出明确、具体的规定。（详见此前文章：一笼烽火报平安——《网络安全事件报告管理办法（征求意见稿）》解读和实践挑战）。

从触发机制而言，对于网络运营者来说，依法依规落实网络安全事件报告义务，需要准确理解网络安全事件的定义以及识别网络安全事件等级。《管理办法》确定了网络安全事件的定义，并通过《管理办法》附件2的《网络安全事件信息报告表》明确了网络安全事件的具体类型。同时，《管理办法》在其附件1《网络安全事件分级指南》（下称“《分级指南》”）主要从“网络和信息系统是否处于正常运行的状态，以及安全事件造成系统或者业务的瘫痪程度或受影响范围”与“国家秘密信息、重要敏感信息、重要数据是否完整、保密、可用”两个维度明确了确定事件级别的判断标准与识别指引，同时也设置了用于参照衡量和判断的兜底情形。

从具体程序而言，《管理办法》在国家层面首次对网络安全事件报告作出程序性要求，适用主体范围广泛覆盖“在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者”，为前述报告主体遵守《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《个人信息保护法》规定的报告义务提供了具体触发机制及程序指引，主要包括网络运营者向相关主管部门报告的时限要求相应报告内容要求。

从法律责任而言，《管理办法》规定按照相关法律、行政法规处罚，而根据《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》的规定，未依法履行网络安全报告义务的法律责任上限较高，企业依法落实网络安全事件报告义务势在必行。同时，第11条针对网络运营者尽职应对和报告安全事件而设置了责任优待条件也肯定了企业前置性合规准备的必要性。

基于上述，结合企业网络安全与数据合规实践，历年频发的数据泄露事件显然落入网络安全事件范畴之中，受内部、外部因素影响，数据泄露难以完全杜绝，呈现出常发的态势，这不仅说明数据治理领域非常重要的“数据泄露通知”制度进入实质层面，同时也对于企业梳理已有的设施、系统、平台的基本情况，也对企业如何落地网络安全事件应急预案与响应报告机制提出了细化要求，企业应当在做好相关了立法动态跟踪的同时，未雨绸缪地建立健全公司内部网络安全事件应急管理机制，在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持，将安全和合规融入日常业务经营流程，从而在安全基础上有序发展创新公司业务。

（4）网络安全领域由国家立法向行业立法深入

根据《网络安全法》和《关键信息基础设施安全保护条例》规定，网络安全和关键信息基础设施保护的关键在于行业落实。前述法律法规不仅为各行业领域深入开展关键信息基础设施安全保护提供了制度保障，也行业主管部门做好网络安全特别是关键信息基础设置安全保护提出了精细化管理要求。自2022年国家卫生健康委、国家中医药局、国家疾控局联合发布《医疗卫生机构网络安全管理办法》（国卫规划发〔2022〕29号）率先对医疗卫生领域的网络安全管理和关键信息基础设施保护作出了行业规定后，2023年，证券、能源、交通等领域行业主管部门纷纷在《网络安全法》等法律法规基础上出台行业网络安全管理规范。

考虑到电力系统结构日趋复杂、网络边界日益扩大、网络安全形势动态变化，同时也为了衔接《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》等法律法规和网络安全等级保护2.0系列标准，2022年11月，国家能源局印发了《电力行业网络安全等级保护管理办法》，明确了电力行业网络安全保护等级划分和等级保护工作原则，规定了国家能源局及其派出机构、电力企业及网络安全等级保护测评机构在电力行业网络安全等级保护定级、审核、建设、测评、检查及密码管理等方面的有关要求，以及法律责任。在此基础上，国家能源局在《2023年电力安全监管重点任务》中，重申对于“推进电力行业网络与信息安全工作”的要求，并进一步提出了开展电力行业关键信息基础设施安全保护专项监管。

人工智能、大数据、云计算等技术快速发展为证券期货行业带来便利的同时也伴生着网络安全、信息系统安全隐患，数据泄露事件时有发生，为证券交易市场的稳定发展带来安全风险。2023年2月，中国证券监督管理委员会（下称“证监会”）公布了《证券期货业网络和信息安全管理办法》，紧密衔接《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等上位法的最新要求，在《证券基金经营机构信息技术管理办法》的基础上为证券公司、期货公司、基金公司等主体的网络和信息安全、投资者个人信息保护、信息系统分类分级管理等进一步提出明确要求，同时也对于证券期货业的信息技术系统服务机构开展网络和信息安全及数据保护工作提供有效合规指引。在上述规范出台后，地方证监局也相继根据《证券期货业网络和信息安全管理办法》的规定，对于核心机构及其高级管理人员，经营机构和信息系统服务机构及其直接责任人和其他责任人员采取出具警示函等行政监管措施。可见，证券期货业的网络和信息安全呈现出常态化监管趋势，建议相关企业持续加强自身网络和信息安全的合规准备工作。

关键信息基础设施是经济社会运行的神经中枢，更是网络安全保护的重中之重。交通运输部2023年4月通过《公路水路关键信息基础设施安全保护管理办法》，针对关键信息基础设施安全保护实践中存在的突出问题，细化《关键信息基础设施保护条例》相关要求，压实交通运输部、省级人民政府交通运输主管部门、关基设施运营者等各方职责，明确了交通运输行业的关键信息基础设施认定机制，重点规定了关键信息基础设施运营者在机构设置、人员配备、经费保障、产品和服务采购、安全检测和风险评估，以及数据保护、密码应用、保密管理、教育培训等方面的责任和义务，形成了公路水路关键信息基础设施安全保护事前事中事后监管机制。同时，国家铁路局在2023年7月发布《铁路关键信息基础设施安全保护管理办法（征求意见稿）》，并在同年12月发布《铁路关键信息基础设施安全保护管理办法》（交通运输部令2023年第20号，下称“《办法》”）。《办法》已自2024年2月1日起施行，明确铁路关键信息基础设施管理体制，建立了铁路关键信息基础设施全过程保护制度，旨在加强对铁路关键信息基础设施的监督管理和保障。

从中不难发现，数据价值高、公共服务类行业网络安全与数据安全实践步伐较快，这基本符合“以安全保发展、以发展促安全”的基本原则。而电信、证券、能源、交通等行业企业均具有一定公共服务属性，巨量数据在企业侧生成、汇聚、融合，在释放数据价值的同时也带来了巨大的数据安全风险。此外，公共通信和信息服务、水利、房地产、医疗、电子政务、国防科技工业等行业相关网络设备与信息系统被破坏、丧失功能或者数据泄露后也可能引发类似的严重危害性，前述重点行业企业应该及时关注相关网络安全监管动向，及时健全和完善内部网络安全合规体系。

（5）网络安全领域行政执法有序落地

2022年9月，国家互联网信息办公室（下称“国家网信办”）在《网络安全法》实施五年后，先后发布了《网信部门行政执法程序规定（征求意见稿）》与《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》（下称“《意见稿》”）。前者对明确了网信部门的执法程序，并就管辖权问题作出清晰划定；而后者则聚焦于《网安法》第六章的“法律责任”部分，旨在从细分触发标准、增设处罚类型等维度完善了违反网络安全保障义务的法律责任，并修订关键信息基础设施安全保护的法律责任制度与个人信息保护法律责任制度，从而有力回应了实务与学界就《网络安全法》对于企业的威慑力不足，与后续制定的《个人信息保护法》等法律之间的衔接度亟待提高的法律实效问题。

在此基础上，《网信部门行政执法程序规定》（下称“《执法规定》”）自2023年6月1日正式实施，聚焦了人民群众反映强烈的网络数据安全和个人信息保护等问题，以期有效规范相关案件的行政执法程序，充分体现了国家网信部门保障网络空间规范有序的决心。同时，2023年期间，西安、北京、湖南等地公安局网安部门依法根据《网络安全法》对多家企业及相关负责人不履行网络安全保护义务予以处罚。尽管《网络安全法》的修订工作在2023年尚未完成，但《网络安全法》（修改）项目列入十四届全国人大常务会立法规划（2023-2027年）的一类项目，属于“条件比较成熟、任期内拟提请审议的法律草案”。

《网络安全法》所确定的有关网络安全保护、关键信息基础设施保护等重要制度，均在2023年积极推进的同时，《网络安全法》修订与《执法规定》出台的联系与呼应将进一步为网络安全领域的执法落地实施提供坚实保障。

（6）网络安全审查

2022年2月，《网络安全审查办法》修订出台，对于投入使用所采购网络产品和服务影响或可能影响国家安全的关键信息基础设施运营者以及掌握超过一百万用户个人信息的并赴国外上市的网络平台运营者设置了主动申报网络安全审查的法定义务，同时还明确了接受有关部门网络安全审查的适用情形。作为国家安全审查制度的重要组成部分，网络安全审查不仅持续关注关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，而且还重点聚焦数据处理活动对国家安全的影响，以期健全完善总体国家安全观指引和定位下的网络法治水平，并有效防范数据安全问题可能引发的国家安全风险。回顾《网络安全审查办法》颁布实施近两周年的历程，我国网络安全与数据合规领域的法治保障也随之稳步落地日臻完善。

2023年伊始，在《网络安全审查办法》出台一周年之际，经报网络安全审查办公室同意，滴滴出行配合开展网络安全审查并进行相应整改后，恢复了新用户注册。这不仅体现了《网络安全审查办法》的出台在“以安全促发展”的目标下持续推动中国数字经济健康持续发展，也释放出了主管部门坚持贯彻国家、网络和数据安全为本，同时兼顾社会经济发展整体利益的“利好信号”。特别是，《境内企业境外发行证券和上市管理试行办法》与《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》等相关法律规范正式施行，在《网络安全审查办法》基础上进一步压实境外发行上市活动中境内企业的网络安全、数据安全、乃至国家安全的保护义务的同时，根据有关企业的上市公告披露，已有多家企业根据《网络安全审查办法》相关规定申报并通过了赴国外上市网络安全审查，或被通知无须进行网络安全审查，充分证明了对外开放是我国的基本国策，并为合法合规经营企业依法依规合理利用境外资本市场融资发展带来信心。

2023年3月，继网络安全审查办公室重点针对违法处理个人信息、违法处理重要数据等违法行为对知网（CNKI）等多家企业启动网络安全审查后，网络安全审查办公室宣布对美光公司（Micron）在华销售的产品实施网络安全审查。同年5月，网络安全审查办公室认定美光公司产品对我国关键信息基础设施供应链造成重大安全风险，影响我国国家安全，为此依法作出不予通过网络安全审查的结论，并依法要求我国内关键信息基础设施的运营者停止采购美光公司产品。在供应链博弈形势快速变化，供应链安全风险显著增加的大变局背景下，首例明确未通过网络安全审查案件充分彰显了我国对于保障关键信息基础设施供应链安全、防范产品问题隐患造成网络安全风险以及维护国家安全的高度重视与坚定决心，而网络安全审查规则的逐步落地，无疑在网络安全与数据治理领域为维护国家安全、保障高水平对外开放筑起一道更为坚实的防护墙。与此同时，网络安全审查也为各国企业、各类平台产品服务进入中国市场提供了把握贸易新机遇的重要制度指引，保障关键信息基础设施运营者在网络安全审查机制的护航下从容应对供应链风险防控新变局。

同年9月，国家互联网信息办公室依法对知网（CNKI）涉嫌违法处理个人信息行为进行为期一年多的立案调查后，综合考虑知网（CNKI）违法处理个人信息行为的性质、后果、持续时间，特别是网络安全审查情况等因素，对知网（CNKI）依法作出网络安全审查相关行政处罚的决定，责令停止违法处理个人信息行为，并处人民币5000万元罚款。数据安全缺乏保障将直接损害本国企业开发利用数据资源的发展机会，影响我国数字产业和数字经济竞争力的提升。正如《网络安全审查办法》第十条将核心数据、重要数据或大量个人信息是否“非法”出境与网络信息安全风险纳入评估要素。无论是掌握着大量个人信息的企业，还是掌握涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及我国重大项目、重要科技成果及关键技术动态等敏感信息企业，均应当深入认识和提前预防在网络运营、数据处理（特别是个人信息处理）乃至上市活动中的相关国家安全风险。值得注意的是，前述行政处罚并非对于知网（CNKI）的网络安全审查结论，而是根据网络安全审查结论及发现的问题和移送的线索依据《个人信息保护法》等法律法规就知网（CNKI）违法处理个人信息行为而作出的顶格行政处罚，这充分体现了违法处理个人信息行为始终并将继续构成网络安全审查的审查要点之一，同时也彰显了《网络安全审查办法》与《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规共同为关键信息基础设施运营者、数据处理者共同设定了网络运营与数据处理全周期合规义务群。

3. 数据安全——从国家立法转向行业实践

考虑到数据价值存在边际效应递减的规律，即数据达到一定规模和多样性的阈值，其对于算法优化的作用会逐渐弱，在当前数据还未达到阈值前，中国处于能够最大化利用数据价值的黄金时期，数据的安全应当是重中之重。截至2023年9月，《数据安全法》正式施行已有两年。回顾过去两年，一方面，《数据安全法》确立的数据分类分级保护制度作为数据安全管理工作的前提与基础确定了企业对于不同等级与类别数据全生命周期管理应承担的保护义务。另一方面，各行业数据处理活动包罗万象，单一监管部门可能无从针对具体行业数据处理需求出发对各行业数据安全管理进行统一监管，“统筹领导+分业监管”始终也将持续成为我国数据安全治理的制度基础和必然趋势，行业立法以及场景合规指引、试点案例等行政指导活动将为中国境内企业数据安全自查自改提供精细化、场景化的合规指引。

就立法层面而言，依据《数据安全法》第六条确立的“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责”的原则，2023年，金融、工业和信息化等行业领域均在数据安全方面出台了行业立法。我们理解，相关行业或存在海量数据，或数据安全关注度高，或数据处理活动相对频繁，其主管部门制定部门规章等数据安全专门规定是其积极履行职责的重要体现。

此外，《数据安全法》监管体系下的其他重点行业和领域如教育、科技、自然资源、水利、国防科工、海关、税务等企业，也仍需继续关注其最新的立法和监管动向。

然而，《数据安全法》及配套行业立法给依法依规经营的境内外数字化企业带来的应是信心而非阻力。例如，智能网联汽车领域出台关键性政策推动量产化，智能网联车行业发展将在数据安全相关法律规范的护航下走向下一个数字经济业态风口。2023年7月，工业和信息化部和国家标准化管理委员会发布《国家车联网产业标准体系建设指南（智能网联汽车）（2023版）》从智能感知、决策控制、信息通信与资源管理等方面确立了智能网联汽车的技术框架，并明确了分阶段建立适应我国国情并与国际接轨的智能网联汽车标准体系的具体时间表，为智能网联汽车发展、应用及管理提供安全保障。同年11月，工信部、公安部、住建部、交通部联合印发《关于开展智能网联汽车准入和上路通行试点工作的通知》，明确了智能网联汽车准入和上路通行的试点申报要求及试点流程，为相关企业优化基于数据分类分级全流程管理机制以及用户告知机制提出了新的要求。这标志着我国智能网联汽车产业发展正式进入了试点准入和上路通行的新阶段。试点经验将反哺合规经营的智能网联车企业加速开拓商业化应用，加速我国智能网联车行业的发展腾飞。2024年1月，工信部、公安部、自然资源部、住建部、交通运输部出台了《关于开展智能网联汽车“车路云一体化”应用试点工作的通知》，对智能网联汽车的道路基础设施、V2X平台及架构、具体场景应用等进一步作出了部署安排。

就执法层面而言，2023年，《数据安全法》执法活动持续推进，执法频率上升，执法力度加强：

其一，就执法主体而言，公安、网信部门仍是最为主要的执法机构，但人民银行、金融监督总局等行业主管部门参与数据监管执法的比例也有所提高。

其二，就违法违规情节而言，依据既有公开案例，数据处理者可能涉及违反数据分级分类保护要求（《数据安全法》第二十一条）、未履行数据安全保护义务（《数据安全法》第二十七条）、未履行数据安全应急处置义务（《数据安全法》第二十三条、第二十九条）、未履行数据安全风险评估和监测义务（《数据安全法》第二十二条、第二十九条等）等多种违法违规行为，而据此被处以罚款、警告等处罚。需要注意的是，公安、网信部门依据《数据安全法》开展执法活动时，其执法监督对象已不限于全国大型或知名企业，地方小型公司、专业机构等可能涉及处理数据及个人信息的组织均可能因未履行《数据安全法》而受到罚款、整改等行政处罚。

此外，实践中也存在部分因违规收集、传输数据而引发国家安全风险的案件。2023年，据中国国家安全部在微信公众平台发文，国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理，调查境外气象设备代理商10余家，检查涉外气象站点3000余个，发现数百个非法涉外气象探测站点实时向境外传输气象数据，广泛分布在全国20多个省份。对此，我们理解，数字化时代多源信息融合技术的发展日渐模糊了国家秘密与非秘密之间的界限，而部分影响国家安全的数据并不在传统国家安全部门的控制之下，即使企业所掌握的某些数据不直接构成国家秘密，但是该类数据聚集后，经分析处理，或可反映国家相关行业和领域的情况，可能影响国家安全与公共利益。因此，数据处理者尤其是掌握海量、汇集数据的大型企业还应当格外关注自身持有数据对国家安全、社会公共利益的影响，避免因自身违法违规处理数据的行为而承担行政责任甚至刑事责任。

正如《网信部门行政执法程序规定》对网信部门依法履行职责的程序进行了梳理和明确，未来网信部门依据《数据安全法》等相关规定开展执法活动的频率将大幅度提高。然而，实践中，企业完成信息系统安全等级保护备案并非企业数据安全管理的“免死金牌”，如未履行实际的安全管理职责，数据处理者仍可能因未实际履行相关合规义务而承担相应的法律责任。[1]有鉴于此，企业应及时监视自身数据安全治理体系，判断自身就《数据安全法》第二十七条就建立健全全流程数据安全管理制度、组织开展数据安全教育培训等相关合规义务的履行程度，并结合自身业务性质、业务规模、数据类型、数据处理活动频率及性质等因素，适时更新内部安全管理组织体系及技术保障措施。

4. 个人信息保护——APP治理工作常态化开展，个人信息保护保护监管闭环逐渐形成

（1）APP治理工作进入常态化监管阶段

自《个人信息保护法》生效施行以来，App侵害用户权益专项整治已然成为了中国个人信息保护的常态化监管工作，2023年，工信部继续组织开展APP侵害用户权益整治行动，共通报了5批（总第31批）侵害用户权益行为的APP（SDK）。相应地，在实践中，APP治理相关部门规章、部门规范性文件以及国家标准的出台则为《个人信息保护法》的落地提供了重要的合规实践指引。

2023年2月6日，工信部印发《关于进一步提升移动互联网应用服务能力的通知》，提出26条措施，重点聚焦APP安装卸载、服务体验、个人信息保护、诉求响应等合规事项，而责任主体则包含APP开发运营者、分发平台、SDK（软件开发工具）、终端和接入企业，逐步形成了成熟的治理生态圈。

2023年5月23日发布的GB/T42574-2023《信息安全技术个人信息处理中告知和同意的实施指南》细化了处理个人信息时，向个人告知处理规则、取得个人同意的实施方法和步骤，为监管、检查、评估等活动提供参考，推动个人信息保护工作的精细化和规范化。

2023年8月6日发布的GB/T42884-2023《信息安全技术移动互联网应用程序（App）生命周期安全管理指南》为App生命周期阶段管理过程和风险监测管理过程提供安全管理指引。该指南识别了包括个人信息风险在内的App可能存在的安全问题，同时将App生命周期划分为7个阶段，并为每个阶段的风险监测管理过程提供指导，为企业相应地搭建内部个人信息处理全生命周期管理机制提供借鉴。

（2）形成“立法立规——企业自查——监管检查——常态化监管”个人信息保护执法闭环

一方面，2023年7月，工信部发布了《关于开展移动互联网应用程序备案工作的通知》，组织开展移动互联网应用程序（APP）备案工作，要求企业在2024年3月前完成存量APP备案工作，将于2024年第2季度开展APP备案检查工作，督促相关企业在2024年7月前完成APP备案工作，并将在此后进入常态化工作阶段。可见，中国个人信息保护监管在APP合规领域已经形成相对成熟的监管闭环机制。

另一方面，个人信息所具有的可复制性、流通性强等特点，对于监管部门如何对个人信息处理者的活动进行监督、企业如何自证合规以及如何有效开展自查自改工作提出了新的挑战。2023年8月3日，中国国家互联网信息办公室发布《个人信息保护合规审计管理办法（征求意见稿）》（下称“《审计办法》”），并公开征求意见。（详见前期文章：“以铜为鉴，可正衣冠”——《个人信息保护合规审计管理办法（征求意见稿）》解读）。

《审计办法》一方面承继了此前《个人信息保护法》对合规审计的二分形式，另一方面，进一步明确了开展审计工作的个人信息处理者、专业机构和履行个人信息保护职责部门的三方角色与义务。具体而言，《审计办法》以《个人信息保护法》为上位法依据，明确规定了处理超过100万人个人信息的个人信息处理者，应当每年至少开展一次个人信息保护合规审计；其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计；同时也进一步细化了《个人信息保护法》第五十四条和第六十四条规定的定期合规审计和监管审计的具体时间期限、审计流程和形式要求等，还以附件《个人信息保护合规审计参考要点》的形式为相关企业开展个人信息保护合规审计提供具体参考。对此，我们理解，《审计办法》在遵循既有的一般审计原则和《个人信息保护法》的基础上，提出了针对不同类型主体的合规审计规则，这不仅是网信部门积极履行其职责的体现，更是我国在个人信息保护合规审计方面的重要进展。

建议企业重点关注并充分考虑如何纳入企业内部合规机制建设考量的是：和一般审计相似，个人信息保护合规审计作为一种审查个人信息处理者是否依法合规开展个人信息处理活动的独立监督方式，具有强制性；另一方面，企业开展审计包括了两种审计：其一个人信息处理者组织内部可自行开展个人信息保护合规审计。其二，个人信息处理者也可委托第三方专业机构开展合规审计。结合实践经验来看，和自行审计相比，委托第三方专业机构审计更具中立性。因此，此时由第三方专业机构进行合规审计更能准确、真实地审查和评价相关企业个人信息处理活动的合规情况。因此，建议相关企业在2024年重点关注个人信息保护合规审计的立法动态，在条件允许的情况下积极寻求主管部门或者专业第三方机构的支持，提前将个人信息保护合规审计机制融入日常业务经营的合规路径中，以期有效应对后续可能的专项检查。

（3）个人信息保护司法纠纷的利益平衡

2023年是《个人信息保护法》实施两周年，最高检、公安部、北京高院、广东高院、北京互联网法院、广州互联网法院、杭州互联网法院均发布了个人信息保护典型案例及侵犯公民个人信息犯罪典型案件。在前述个人信息保护的典型司法案例中，民事案件案由主要包括个人信息保护纠纷、隐私权纠纷、侵权责任纠纷等，而刑事案例所涉罪名主要为侵犯公民个人信息罪。个人信息保护司法纠纷（特别是个人信息主体权利保护纠纷）逐渐增多充分体现了个人信息主体权益保护意识的增强。然而，需要明确的是，个人信息保护司法裁判的关键并非对于个人信息主体权益的无限满足，相反司法裁判中对个人信息保护相关争议焦点的说理，日渐彰显了个人信息权益保护和数字经济健康发展的动态平衡之道。

5. 人工智能——生成式人工智能监管备受瞩目

（1）中国人工智能治理的历史沿革

随着ChatGPT等生成式人工智能服务在世界范围内的流行以及人工智能技术的快速发展，算法及人工智能逐渐成为全球范围内各国监管部门的重点关注对象。一方面，包含中国在内的世界各国人工智能技术发展迅猛，人工智能产业亟需推动发展；另一方面，基于人工智能所引发的知识产权、个人信息等权益受侵害与虚假信息影响社会安宁及稳定秩序等问题亟待解决。此外，在国际竞争日趋激烈的大环境下，人工智能的技术与应用发展已经“开弓没有回头箭”，选择何种人工智能的治理策略和方式也将成为智能化时代国际竞争的重要方面。

为了平衡人工智能产业发展和权益保护所引发的潜在角力，2023年，中国已通过《国务院2023年度立法工作计划》将拟作为顶层设计的人工智能法草案列入其中，开启中国人工智能监管的法治轨道，有效防止陷入“科林格里奇困境”——对技术规制得太早造成扼杀，或是规制得太晚而导致安全风险泛滥。此外，科技部也已于2023年9月7日正式颁布《科技伦理审查办法（试行）》，以科技伦理为切入点，以促进创新与防范风险相统一为原则，为此后构建人工智能治理体系提供原则性指引。

而在顶层设计暂未正式出台的现阶段，人工智能的监管角度也并未止步不前。就立法而言，为了及时回应社会公众对广泛适用的文本制作、音频合成等生成式人工智能应用的担忧，国家网信办于2023年4月起草了《生成式人工智能服务管理办法（征求意见稿）》，就生成式人工智能服务的规制广泛征求意见，该生成式人工智能服务新规最终于2023年8月15日正式施行。我们理解，对特定领域的人工智能应用制定专门规则，有助于快速回应社会关切，体现了我国“敏捷治理”的监管思路。

（2）中国人工智能监管现状

由于大部分生成式人工智能服务提供者需同时适用《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》下的算法备案制度，以及《生成式人工智能服务管理暂行办法》（下称“《暂行办法》”）下的生成式人工智能（大语言模型）备案，实践中形成了以线上的算法备案以及线下的大模型备案构成的“双备案制”的生成式人工智能服务监管机制。其中，企业可通过国家网信办提供的互联网信息服务算法备案系统完成算法备案，其流程已相对成熟。

就算法备案而言，此前国家网信办已分别于2023年6月、2023年9月以及2024年1月发布三批《境内深度合成服务算法备案清单》，共计280项算法完成深度合成服务备案。就大模型备案而言，其仍属于新兴的实践监管要求。自2023年8月31日以来，已有商汤“商量 SenseChat”、MiniMax“ABAB大模型”、百度“文心一言”、阿里“通义千问”、网易有道“子曰大模型”、出门问问“序列猴子”、蚂蚁集团“百灵大模型”以及360公司“奇元大模型”等数个大模型产品陆续通过大模型备案，并正式向公众提供服务。可见，相较于算法备案而言，已通过大模型备案的企业数量仍相对较少，其落地操作仍有待实践进一步观察。考虑到算法备案及大模型备案过程中，除算法安全监测机制、内容审核等技术性措施外，企业还需就其算法安全专职机构、算法安全管理制度等内部管理体系进行说明，因此，相关企业宜尽快制定内部算法安全管理体系，并在必要时引入第三方机构协助其构建科技伦理审查制度、人工智能开发管理制度、人工智能安全应急处理要求等制度架构，或协助完成生成式人工智能服务上线前的事前备案工作。

根据现有生成式人工智能执法案例，除前述上线前的双备案监管机制外，监管部门目前还重点关注境内主体未经正当程序引入境外生成式人工智能服务和企业在未经授权情况下将客户个人信息用于算法训练等相关问题。例如，2023年6月，国家金融监督管理总局办公厅向各银保监局、银行保险机构等下发《关于加强第三方合作中网络和数据安全管理的通知》，其中涉及一例违法获取训练数据进行算法训练的通报案例，即某服务商私自使用数家银行600余万会话存档数据用于其模型训练。我们理解，这可能同时违反《个人信息保护法》《暂行办法》等相关法律法规就获取个人同意从而处理个人信息的要求。

此外，在缺乏明确法律法规指引的情形下，基于生成式人工智能服务引发的知识产权纠纷也逐渐通过司法裁判明晰相应的人工智能生成物著作权权属认定规则。2023年12月，北京互联网法院对“AI文生图著作权第一案”作出判决：考虑到著作权法并未对作品的独创性提出过高的要求，原告通过使用Stable Diffusion生成的图片也属于作品，并享有著作权。被告未经授权使用图片、去除图片水印的行为，侵害原告的信息网络传播权和署名权，须向原告赔偿500元并在其百家账号上发布道歉声明。这一裁判充分衡量了现阶段生成式人工智能产业对社会的影响以及个案当事人的利益，未来，随着生成式人工智能技术的进一步迭代升级和深入应用，人工智能生成物权属的司法实践认定规则可能基于最新实践而发生变化。

6. 跨境数据流动——探索灵活便捷的数据出境监管机制

2023年，数据跨境流动监管机制取得了突破性的实践与发展。作为2023年最为重要的网络法治议题，我国的数据跨境流动监管逐步实现了出境制度构建与创新发展间的平衡。具体而言，一方面，《数据出境安全评估办法》《个人信息出境标准合同办法》以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》细化了以《网络安全法》《数据安全法》和《个人信息保护法》为顶层设计的三大数据出境监管机制：数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证。另一方面，在确立三大数据出境监管机制的基础上，结合社会发展的最新实践与经济发展的切实需求，我国也正在积极探索更为灵活便捷的数据出境路径。

（1）我国数据出境的三大路径

a）数据出境安全评估

随着《数据出境安全评估办法》的施行，数据出境安全评估成为我国三大数据出境监管机制中首先落地实践的路径。北京市、上海市、浙江省、江苏省等各省、直辖市级网信部门有序开展数据出境安全评估工作。

为便利相关主体开展安全评估、提交材料，各地网信部门陆续制定地方指引，建设信息公开、交互便捷的数据出境安全评估申报通道。例如，在国家网信办编制的《数据出境安全评估申报指南（第一版）》的基础上，海南省、江苏省均制定当地数据出境安全评估申报工作指引。根据公开渠道检索，截至2023年11月，已有25家企业通过数据出境安全评估申报。[2]

b）个人信息出境标准合同备案

2023年6月1日，国家网信办制定的《个人信息出境标准合同办法》正式施行。《个人信息出境标准合同办法》明确了可适用标准合同备案而出境的数据处理者条件，即同时符合（1）非关键信息基础设施运营者；（2）处理个人信息不满100万人；（3）自上年1月1日起累计向境外提供个人信息不满10万人；（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人。如不符合上述任一条件，则数据处理者应履行数据出境安全评估义务。虽然和数据出境安全评估类似，企业开展标准合同备案工作也需完成相应的个人信息保护影响评估，但两者仍存在两项重要区别：其一，标准合同备案并非实质性的事前审批，仅是行政备案；其二，数据出境安全评估材料虽由省级网信部门首先接收材料，但最终需由国家网信部门最终作出安全评估结果，而个人信息出境标准合同备案工作则可在省级网信部门层级履行完毕。考虑到适用个人信息出境标准合同备案机制的数据处理者数量理论上远高于仅能通过数据出境安全评估而出境的数据处理者数量，这一负责部门的调整也有助于监管部门协同工作，助力于数据在安全的环境下高效跨境流通。

2023年6月，北京网信办受理了源于北京德亿信数据有限公司的个人信息出境标准合同备案的申请，该公司也成为了我国已公开的首个完成个人信息出境标准合同备案的数据处理者。截至2023年11月，浙江省网信办、海南省网信办、湖北省网信办以及海南省网信办也均通过了本省份内的首例个人信息出境标准合同备案。[3]

c）个人信息保护认证

自2021年11月1日《个人信息保护法》施行以外，如何通过经专业机构进行个人信息保护认证而履行数据出境义务始终是悬而未决的议题。虽然2022年12月和2023年3月，全国信息安全标准化技术委员会秘书处分别发布了《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》和《信息安全技术 个人信息跨境传输认证要求（征求意见稿）》，为专业机构开展个人信息保护认证提供依据，但实践中始终缺乏企业获得个人信息保护认证从而开展数据出境活动的公开实践案例。

2023年12月15日，中国网络安全审查技术与认证中心和市场监管大数据中心（原为“中国网络安全审查技术与认证中心”，下称“CCRC”）向多个主体颁布首批个人信息保护认证证书。由此，个人信息保护认证首获通过，三大数据出境监管机制完成最后一块拼图。具体而言，中国网络安全审查技术与认证中心和市场监管大数据中心向珠海澳科大科技研究院、支付宝（中国）网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书，这标志着我国的个人信息保护认证工作迈向实质性的发展。在数据处理者不涉及应当履行数据出境安全评估义务的情形下，如开展数据出境活动，其可依据自身组织架构的实际情况，结合相关机制履行的成本，选择适用个人信息出境标准合同备案或通过个人信息保护认证而遵循《个人信息保护法》的相关强制性要求。

（2）在“保安全”的基础上探索“促发展”的数据出境流通制度

在前述三大数据出境机制的实践过程中，涉及数据出境的企业与国家级地方网信部门沟通反馈了数据出境合规义务的落地难点，并获取了相应的行政指导。国务院于2023年8月13日发布《关于进一步优化外商投资加大吸引外商投资力度的意见》（下称“《意见》”），提出“充分发挥我国超大规模市场优势，更大力度、更加有效吸引和利用外商投资”的总体要求。其中，就提高投资运营便利化水平而言，《意见》指出需探索便利化的数据跨境流动安全管理机制，为符合条件的外商投资企业建立绿色通道；支持北京、天津、上海、粤港澳大湾区等地在实施数据出境安全评估等制度过程中，试点探索形成可自由流动的一般数据清单。

在此基础上，国家网信办于2023年9月28日发布《规范和促进数据跨境流动规定（征求意见稿）》（下称“数据跨境新规”）。数据跨境新规充分释放了“在安全中促发展”的理念，既明确了无需适用三大数据出境监管机制的情形，又拓宽了订立个人信息出境标准合同或通过个人信息保护认证的数据出境情形（也即无需通过开展数据出境安全评估而出境的情形）。同时，数据出境新规积极融入吸引外商投资的要求，赋予自贸区（港）部分自由裁量权，拟通过自贸区（港）自行制定负面清单的方式，明确需要申报数据出境安全评估、订立个人信息标准合同、通过个人信息保护认证的数据出境情形，而给予自贸区更为充分的数据自由流动空间。

此外，2023年12月，在国家网信办与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》的基础上，双方又进一步达成《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》，明确注册于（适用于组织）/位于（适用于个人）粤港澳大湾区内地部分即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市或者香港特别行政区的个人信息处理者以及接收方可以通过订立标准合同的方式，在香港和粤港澳大湾区内地部分之间进行跨境数据流动。这一便利内地数据在大湾区流动的重要政策充分释放了跨境数据流动的监管利好，极大振奋了相关地区的产业信心。在国家网信办与香港特区政府前述的《关于促进粤港大湾区数据跨境流动的合作备忘录》的倡导下，未来，我们可期待更为丰富、便利的数据跨境流动优化举措。

需进一步提示的是，在数据跨境新规仍处于征求意见的阶段，如企业依据《数据安全法》《个人信息保护法》而需遵循《数据出境安全评估办法》或《个人信息出境标准合同备案办法》的相关规定履行相应数据出境义务，企业在关注数据出境监管最新动态的同时，也宜同步开展安全评估、标准合同备案或个人信息保护认证的相关工作，避免自身数据出境活动陷于违法违规状态。

7. 发挥数据要素价值——推动“数据二十条”的实践落实

自数据被由中共中央、国务院发布的《关于构建数据基础制度 更好法规数据要素作用的意见》（下称“《数据二十条》”）确立为新型生产要素起，如何构建数据基础制度、激活数据要素潜能并优化数字经济则成为数字时代当中我国的重点议题。2023年，伴随企业数据资源入表管理要求的确立以及国家数据局的成立，数据要素市场的发展终于取得突破性的实质进展。

一方面，历经数月，我国财政部会计司于2023年8月21日正式发布《企业数据资源相关会计处理暂行规定》（下称“《数据资源会计处理规定》”），并已于2024年1月1日起施行。根据《数据资源会计处理规定》，企业可按照企业会计准则规定，根据数据资源的持有目的、形成方式、业务模式，以及与数据资源有关的经济利益的预期消耗方式等，对数据资源相关交易和事项进行会计确认、计量和报告。我们理解，《数据资源会计处理规定》的颁布是贯彻落实中共中央、国务院就发展数字经济提出的“探索数据资产入表新模式”的具体举措，有助于实现作为生产要素的数据流通价值显名化。对于企业而言，数据资源有望成为数据资产，不仅意味着企业能够实现财务报表的扩张，还能提升企业数字经济竞争优势，从而在数字时代的激烈竞争夺得头筹。

另一方面，2023年10月25日，国家数据局正式挂牌成立；随后，江苏省、四川省、内蒙古自治区、上海市、云南省、青海省和河北省等多个省份陆续成立省市级数据局，实现中央与地方的对齐与联动，有助于快速打造“全国数据一盘棋”的数据要素市场布局。如前所述，在数据已被正式确立为生产要素、数据要素流通市场需求迫切从而推动数字经济发展的现阶段，作为负责协调推进数据基础制度建设、统筹数据资源整合共享和开发利用的责任机构，国家数据局的组建“恰逢其时”，顺应了我国数字经济发展的实践需要。

国家数据局成立后起草了《“数据要素x”三年行动计划（2024-2026年）（征求意见稿）》（下称“《三年行动计划》”），并于2023年12月15日公开发布，就发挥数据要素乘数效应、赋能经济社会发展的具体行动举措征求社会意见。2023年12月31日，国家数据局协同国家网信办、科技部、商务部、工信部等多部委及行业主管部门正式发布《三年行动计划》。《三年行动计划》的总体目标为，到2026年底“形成相对完善的数据产业生态，数据产品和服务质量效益明显提升，数据产业年均增速超过20%，场内交易与场外交易协调发展，数据交易规模倍增”。为了实现这一总体目标，《三年行动计划》明确其行动将聚焦于实体经济领域、民生服务领域和社会治理领域，拟在包括工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理和绿色低碳在内的十二个领域开展重点行动，并辅以开展试点工作、“以赛促用”、加强宣传推广等配套措施以推动数据要素在前述重点领域的高速发展。

值得一提的是,《三年行动计划》提出聚焦重点行业和领域，研究《数据二十条》所述数据资源持有权、数据加工使用权、数据产品经营权的“三权分置”具体落实举措，而数据权属的确立也有助于后续企业开展数据资源入表管理的工作。具体而言，数据确权有助于数据资源相关方明确自身对特定企业数据资源所享有的权利范围以及义务边界，为数据资源入表管理提供可能性。2024年，我们也将共同期待并见证更多的数据资源入表管理实践赋能数据要素市场的发展。

8. 未成年人网络保护——构筑未成年人的网络空间保护屏障

2023年10月16日，历经十年立法路程，未成年人网络保护重要法规《未成年人网络保护条例》由国务院总理李强签署第766号国务院令而正式公布，并自2024年1月1日起试行。作为我国第一部专门针对未成年人网络空间保护方面的行政法规，该条例从网络素养促进、网络信息内容规范、个人信息网络保护、网络沉迷防治等方面，全面规定了保护未成年人在网络空间活动的相关措施，并将与《未成年人保护法》《网络安全法》《个人信息保护法》《儿童个人信息网络保护规定》等相关法律法规共同保障未成年人合法权益。

具体而言，《未成年人网络保护条例》以《未成年人保护法》为基础，凝聚了个人信息保护、信息内容治理、网络欺凌行为管控等相关要求。其中，网络产品和服务提供者一般需履行加强用户发布信息管理、监测网络欺凌行为、认证未成年人真实身份、响应未成年人及其监护人提出的未成年人个人信息主体权利请求、设定未成年人个人信息访问权限、设置防沉迷制度等相关义务，以应对互联网的迅速发展及普及所引发的未成年人过早接触不良信息、个人信息泄露、网络欺凌等社会风险。此外，考虑到未成年人用户数量巨大或者对未成年人群体具有显著影响的网络服务提供者可能对大量未成年人的身心健康发展产生直接影响，《未成年人网络保护条例》还对前述特殊大型平台企业施加了诸如开展未成年人网络保护影响评估、制定未成年人网络保护专门平台规则、按年定期发布未成年人网络保护社会责任报告等额外义务。

未成年人网络保护是一项重要的系统工程，同时受到有关网络空间治理及未成年人保护的综合法律法规体系的监管。《未成年人网络保护条例》作为一项行政法规，具有承上启下的枢纽作用，是企业合规的重要依据和制度索引。为避免《未成年人网络保护条例》所确立的企业和相关直接责任人员受处罚的“双罚制”应用，企业应依据自身提供的网络产品或服务的性质，判断相关监管要求的适用性，并在《未成年人网络保护条例》已正式施行之际“查漏补缺”，针对性地弥补现存合规差距。由于在现行未成年人网络保护框架下，未成年人用户数量巨大或者对未成年人群体具有显著影响的网络平台服务提供者需承担额外的合规义务，面向未成年人提供服务的互联网企业应持续关注网信部门等主管部门的最新动态与要求，积极肩负提供适应未成年人身心健康发展网络空间的社会责任。

回看近年来网络安全与数据合规立法精细化与执法常态化历程，网络安全与数据合规建设也逐渐纳入了越来越多企业的日常经营活动，然而，需要企业充分认识到的是，网络安全与数据合规监管并不是为了阻碍信息技术与数字经济的发展，相反，网络安全与数据合规监管不仅仅是对于网络安全、数据安全风险以及个人信息处理乱象的敏捷应对，而且还能实质上提升运营管理效率，增加企业效益与利润，最终促进企业的可持续稳定健康发展以及主动拥抱数字经济发展的新机遇。尽管我国数字经济发展与网络法治建设未必尽善尽美，但常态化网络安全与数据合规建设始终是企业开展网络运营活动与数据处理活动所必需遵守的底线，勿让被滥用的技术成为智能时代的弗兰肯斯坦。2024年，伴随着《数据安全法》《个人信息保护法》深入实施，以及人工智能监管全面启动的态势，网络安全与数据合规将从“形式合规”逐渐转向 “实质合规”，建议相关企业关注可能的立法动态与执法趋势，积极主动地做好网络安全与数据合规建设准备，共同迎接数字经济的腾飞，并肩负起网络法治建设者的责任义务。

1. 2024年网络安全与数据合规立法动态与监管趋势展望

正所谓“法治是最好的营商环境”，企业应密切关注重点国家立法以及行业立法动态，关注安全与发展的动态平衡，及时注意合规方向性调整，主动积极开展自查合规和委托第三方开展内部合规建设。首先，《网络数据安全管理条例》有望在2024年按照较快节奏出台，弥补此前网络数据安全管理领域法律规则体系中行政法规层级制度的缺失，逐步完善 “法律-行政法规-部门规章、地方性法规以及规范性文件”全位阶的法律规则体系，为企业的数据利用与数据安全提供关键性制度指引，从而促进数据开发利用与保障数据安全并重、保障数据依法有序自由流动。其次，我国人工智能立法已于2023年列入立法工作计划，相信2024年将有密集的人工智能立法活动及其重要进展。建议相关企业关注并把握我国人工智能立法的总体思路和具体制度规范体系，并积极保持与监管的有效沟通，而监管也应当鼓励市场参与者积极分享在人工智能合规建设中探索出的实践经验，共同探讨完善人工智能领域的技术监管路径，推动政府人工智能监管工具的创新。最后，数据利用的政策（特别是自贸区（港）的创新产业政策）有望实现关键性突破，国家数据局可能会以“数据要素X”三年行动为抓手，从国家层面挖掘数据要素，持续释放政策利好，换言之，合规数据将成为数据要素市场的关键要素，产生和持有越多的合规数据，就能创造更多的数据价值和产业价值，而能源、金融、交通运输等行业数据天然具有高价值性，也可能相应成为数据要素激活与合规监管并行的试点行业。

如“法律的生命力在于实施，法律的权威也在于实施”所言，2024年，网信、工信、公安等部门的执法重点将进一步清晰化、结构化，而网络安全与数据合规执法也可能侧重于分行业分地区逐步开展执法行动。特别地，考虑到自动驾驶、未成年人网络保护以及人工智能在2023年陆续出台重要的监管规范，相应地，2024年上述行业领域或者合规方向将成为监管部门的重点关注领域，相关行业企业因此需关注如何通过技术、制度和组织工具，建立一个内部逻辑自洽、行之有效的内部合规机制，以应对未来可能到来的各种监管举措。

2. 智能时代的企业合规建设方向前瞻

首先，企业的网络安全与数据合规工作亟待建立健全“隐私设计”（Privacy by Design）思路，具体而言，公司治理架构需兼顾企业经营与合规经营，提升管理层重视程度，从全局视角部署合规策略及合规机制，打通产品、业务、技术、法务（合规）部门的协作，推动常态化的企业合规机制。同时，企业宜加强与监管部门的沟通，寻求对于相关法律规范解读与适用的监管指导，必要时与第三方合作，提升合规效率，释放合规价值。

其次，企业内部网络安全与数据合规制度的有效落地将在企业自证合规，防范可能的安全风险过程中起到至关重要的作用。企业的网络安全与数据合规管理机制不再停留在形式合规层面，而需要召集产品、商务、技术与合规部门，共同了解企业当前的数据安全与合规现状，从企业的业务战略与目标出发，整理明确出数据合规的关键需求；在公司整体业务规划下进行网络安全与数据合规体系、架构等的设计规划工作，并在落实相关制度规则时，注重企业内部合规建设实施情况的反馈与制度的持续性改进。

最后，合规数据的多寡影响企业数字化能力和市场竞争力，相应地，企业数据资产管理体系的构建也因此系大势所趋。企业需要明确自身数据集合的类别与对应可主张的权利来源，完善数据融合体系，为固定形成数据资产提供必要的基础。无论是产业数字化，还是数字产业化，数据资产盘点、数据有效利用都将成为企业创新发展的主要竞争力。企业的数据合规能力决定了数字化能力，合规投入产出合规数据，从而进一步激发企业自身商业活力，助力企业实现技术模式创新、业务模式升级，创造新的利润增长点。对于数字市场而言，企业拥有的合规数据，也将成为数据市场流通、数据市场交易的新型商品，直接在市场中获取价值，甚至有望在资产化基础上实现融资功能。

可见，网络安全与数据合规立法与执法机制的逐步完善，对于提高境内企业网络安全与数据合规水平同时促进规范我国数字经济发展，都具有积极和正面的示范效应，而我国数据产业与数字经济发展将在网络法治建设的护航下走向下一个红利期，而企业只有依法履行网络数据安全管理的合规义务，才能更为精准、有力地把握数字经济发展新机遇，释放数据要素最大价值，实现美好数字图景。

*本文对任何提及“香港”和“香港特别行政区”的表述应解释为“中华人民共和国香港特别行政区”。

脚注：

[1] 北京日报：《海外购泄露个人信息致消费者险遭电诈，电商平台被判担责》，https://news.bjd.com.cn/2024/01/13/10675443.shtml， 访问时间：2024年1月30日。

[2] 数据安全之分类分级：《【最新汇总】通过数据出境安全评估、个人信息出境标准合同备案企业名单》，https://mp.weixin.qq.com/s/kiMkqdN-fvVcA3dooqJ4qw，2024年1月30日访问。

[3] 数据安全之分类分级：《【最新汇总】通过数据出境安全评估、个人信息出境标准合同备案企业名单》，https://mp.weixin.qq.com/s/kiMkqdN-fvVcA3dooqJ4qw，2024年1月30日访问。

来源：金杜研究院