在数字经济浪潮席卷全球的今天,中国作为世界第二大经济体,正以前所未有的速度
推进国家数字经济建设。这一宏伟蓝图的背后,是一系列坚实法律框架的支撑,网络
和数据安全立法实现由点到面、由面到体加速构建,目前已基本形成以《网络安全法
》《数据安全法》《个人信息保护法》《密码法》等法律为核心,行政法规、部门规
章为依托,地方性法规、地方规章为抓手,国家标准为指南的安全法规保障体系。
一、上半年网络和数据安全政策汇总合集
2024年,这一进程加速推进,上半年密集出台的一系列网络和数据安全法规政策,不
仅细化了合规要求,更为安全技术与产业的发展指明方向,构筑起国家数字安全的坚
固屏障,为网络强国战略注入强劲动力。本文梳理了我国2024年上半年发布的网络和
数据安全领域国家法律法规、行业规章、技术标准等近百项文件,为行业同仁提供参
考。
1.国家法律规章
《网络暴力信息治理规定》
【发布时间】2024/6/12
【发布单位】国家互联网信息办公室、公安部、文化和旅游部、国家广播电视总局
【概述要求】《规定》自2024年8月1日起施行,要求网络信息服务提供者应当履行网
络信息内容管理主体责任,建立完善网络暴力信息治理机制,健全用户注册、账号管
理、个人信息保护、信息发布审核、监测预警、识别处置等制度。违反本规定的,依
照《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《中华人
民共和国治安管理处罚法》、《互联网信息服务管理办法》等法律、行政法规的规定
予以处罚。
《信息化标准建设行动计划 (2024—2027年)》
【发布时间】2024/5/29
【发布单位】中央网信办、市场监管总局、工业和信息化部
【概述要求】《行动计划》要求,推进数据密码保护、数据分类分级、数据脱敏脱密
、数据跨境传输等数据安全相关标准研制。推动数据要素流通标准研制。
《2024年数字乡村发展工作要点》
【发布时间】2024/5/15
【发布单位】中央网信办、农业农村部、国家发展改革委、工业和信息化部
【概述要求】《工作要点》指出,持续开展网络安全督查检查专项行动,加强涉农重
点网站和业务信息系统防护能力建设。持续开展农民手机应用技能、网络安全进农村
等培训活动,提升广大农民数字素养与技能。
《关于深化智慧城市发展 推进城市全域数字化转型的指导意见》
【发布时间】2024/5/14
【发布单位】国家发展改革委、国家数据局、财政部、自然资源部
【概述要求】《意见》围绕总体要求、全领域推进城市数字化转型、全方位增强城市
数字化转型支撑、全过程优化城市数字化转型生态以及保障措施等5个方面着力推进
城市全域数字化转型。《意见》要求,加快推进城市数据安全体系建设,依法依规加
强数据收集、存储、使用、加工、传输、提供、公开等全过程安全监管,落实数据分
类分级保护制度,压实数据安全主体责任。加强个人隐私保护。推进建设有韧性的城
市数据可信流通体系,健全数据要素流通领域数据安全实时监测预警、数据安全事件
通报和应急处理机制。
《全国人大常委会2024年度工作要点》
【发布时间】2024/5/8
【发布单位】第十四届全国人民代表大会常务委员会第23次委员长会议
【概述要求】《工作要点》指出,完善国家安全法治体系。统筹高质量发展和高水平
安全,制定突发事件应对管理法、危险化学品安全法,修改保守国家秘密法、国防教
育法、网络安全法,为推进国家安全体系和能力现代化提供法律保障。
《国务院2024年度立法工作计划》
【发布时间】2024/5/6
【发布单位】国务院办公厅
【概述要求】《工作计划》围绕健全国家安全法治体系,2024年拟制定《网络数据安
全管理条例》。此次列入国务院2024年度立法工作计划,预计条例发布在即。
《中华人民共和国保守国家秘密法》
【施行时间】2024/5/1
【发布单位】第十四届全国人民代表大会常务委员会第八次会议第二次修订
【概述要求】此次《保守国家秘密法》修订,加强与数据安全法的协同衔接,新增涉
密数据管理及汇聚、关联后涉及国家秘密数据管理的原则规定。《保守国家秘密法》第
三十六条规定,开展涉及国家秘密的数据处理活动及其安全监管应当符合国家保密规定。
国家保密行政管理部门和省、自治区、直辖市保密行政管理部门会同有关主管部门建
立安全保密防控机制,采取安全保密防控措施,防范数据汇聚、关联引发的泄密风险。
机
关、单位应当对汇聚、关联后属于国家秘密事项的数据依法加强安全管理。
《数字经济2024年工作要点》
【发布时间】2024/4/29
【发布单位】国家发展改革委办公厅、国家数据局综合司
【概述要求】《工作要点》指出,全面筑牢数字安全屏障,增强网络安全防护能力,健
全数据安全治理体系,切实有效防范各类风险。
《加快数字人才培育支撑数字经济发展行动方案(2024-2026年)》
【发布时间】2024/4/2
【发布单位】人力资源社会保障部、中共中央组织部、中央网信办、国家发展改革委、
教育部、科技部、工业和信息化部、财政部、国家数据局
【概述要求】《行动方案》指出,在全国技能大赛专设智能制造、集成电路、人工智能、
数据安全等数字职业竞赛项目,以赛促学、以赛促训,以赛选拔培养数字人才。支持各地
根据行业发展需要增设人工智能、集成电路、大数据、工业互联网、数据安全等数字领域
职称专业。
《促进和规范数据跨境流动规定》
【施行时间】2024/3/22
【发布单位】国家互联网信息办公室
【概述要求】《促进和规范数据跨境流动规定》经2023年11月28日国家互联网信息办公室
2023年第26次室务会议审议通过,自公布之日(2024年3月22日)起施行,旨在保障数据
安全,保护个人信息权益,促进数据依法有序自由流动。《规定》主要内容包括明确重要
数据出境安全评估申报标准,明确免予申报数据出境安全评估、订立个人信息出境标准合
同、通过个人信息保护认证的数据出境活动条件,设立自由贸易试验区负面清单制度,调
整应当申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数
据出境活动条件,延长数据出境安全评估结果有效期,增加数据处理者可以申请延长评估
结果有效期的规定。
《数据出境安全评估申报指南(第二版)》
《个人信息出境标准合同备案指南(第二版)》
【发布时间】2024/3/22
【发布单位】国家互联网信息办公室
【概述要求】为指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出
境标准合同,国家互联网信息办公室编制发布了《数据出境安全评估申报指南(第二版)》
、《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安全评估、备案个人
信息出境标准合同的方式、流程和材料等具体要求作出说明,对数据处理者需要提交的相
关材料进行优化简化。国家互联网信息办公室开通了“数据出境申报系统”,网址:https:
//sjcj.cac.gov.cn。数据处理者可以通过该系统申报数据出境安全评估、备案个人信息
出境标准合同。
《中华人民共和国消费者权益保护法实施条例》
【发布时间】2024/3/15
【发布单位】国务院第26次常务会议
【概述要求】《消费者权益保护法实施条例》经2024年2月23日国务院第26次常务会议通
过,自2024年7月1日起施行。《条例》规定,经营者应当依法保护消费者的个人信息。经
营者处理包含消费者的生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹
等信息以及不满十四周岁未成年人的个人信息等敏感个人信息的,应当符合有关法律、行
政法规的规定。
《最高人民检察院工作报告》
【发布时间】2024/3/8
【发布单位】第十四届全国人民代表大会第二次会议
【概述要求】《报告》指出,针对互联网领域侵犯个人信息、虚假宣传、消费欺诈等乱象,
办理公益诉讼6766件,督促落实监管责任和平台责任,用法治力量维护网络清朗。加强个
人信息保护等民生领域司法保障。
《最高人民法院工作报告》
【发布时间】2024/3/8
【发布单位】第十四届全国人民代表大会第二次会议
【概述要求】《报告》指出,贯彻总体国家安全观,依法严惩危害国家安全、公共安全等
犯罪,加强个人信息保护,完善数字权益保护规则。
《全国人民代表大会常务委员会工作报告》
【发布时间】2024/3/8
【发布单位】第十四届全国人民代表大会第二次会议
【概述要求】《报告》指出,完善国家安全立法。修订保守国家秘密法,健全保密管理制
度和监管措施。将提供公民个人信息等行为纳入处罚范围。围绕推进国家安全体系和能力
现代化,修改国防教育法、网络安全法。
《2024年政府工作报告》
【发布时间】2024/3/5
【发布单位】第十四届全国人民代表大会第二次会议
【概述要求】《报告》指出,推动解决数据跨境流动等问题。加强重点领域安全能力建设。
提高网络、数据等安全保障能力。有效维护产业链供应链安全稳定,支撑国民经济循环
畅通。
《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》
【发布时间】2024/2/28
【发布单位】国务院办公厅
【概述要求】《方案》指出,规范数据跨境安全管理,组织开展数据出境安全评估、规范个
人信息出境标准合同备案等相关工作,促进外商投资企业研发、生产、销售等数据跨境安全
有序流动。健全数据跨境流动规则。科学界定重要数据的范围。
《关于开展全国数据资源调查的通知》
【发布时间】2024/2/7
【发布单位】国家数据局综合司、中央网信办秘书局、工业和信息化部办公厅、公安部办公厅
【概述要求】《通知》要求,调研各单位数据资源生产存储、流通交易、开发利用、安全等情况,
要求按照公安部的要求组织填报《数据安全情况调查表》,旨在贯彻落实《数字中国建设整体布
局规划》工作部署,摸清数据资源底数,加快数据资源开发利用,更好发挥数据要素价值。
《关于推动未来产业创新发展的实施意见》
【发布时间】2024/1/18
【发布单位】工业和信息化部、教育部、科学技术部、交通运输部、文化和旅游部、国务院国
有资产监管理委员会、中国科学院
【概述要求】《意见》指出,强化安全治理。引导企业建立数据管理、产品开发等自律机制,
完善安全监测、预警分析和应急处置手段,防范前沿技术应用风险。
《“数据要素×”三年行动计划(2024—2026年)》
【发布时间】2024/1/5
【发布单位】国家数据局、中央网信办、科技部、工业和信息化部、交通运输部、农业农村部、
商务部、文化和旅游部、国家卫生健康委、应急管理部、中国人民银行、金融监管总局、国家医
保局、中国科学院、中国气象局、国家文物局、国家中医药局
【概述要求】《行动计划》指出,加强数据安全保障。落实数据安全法规制度,完善数据分类分
级保护制度,落实网络安全等级保护、关键信息基础设施安全保护等制度,加强个人信息保护,
提升数据安全保障水平。丰富数据安全产品,发展面向重点行业、重点领域的精细化、专业型数
据安全产品,开发适合中小企业的解决方案和工具包,支持发展定制化、轻便化的个人数据安全
防护产品。培育数据安全服务,鼓励数据安全企业开展基于云端的安全服务,有效提升数据安全
水平。
2.重点行业
政务
《互联网政务应用安全管理规定》
7月1日,由中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化
部、公安部联合制定的《互联网政务应用安全管理规定》正式施行。《管理规定》从等级保护、
安全评估、访问控制、日志备份、数据保护、数据公开、容灾备份等维度进行了重点要求,比
如,机关事业单位需要对其互联网政务应用中的重要数据和信息系统进行容灾备份等要求。
《个人求助网络服务平台管理办法(征求意见稿)》
6月19日,民政部发布《个人求助网络服务平台管理办法(征求意见稿)》,《管理办法》强调
个人求助网络服务平台应当满足网络安全保护等级不低于三级,并取得公安机关出具的信息系
统安全管理保护备案证明。个人求助网络服务平台应当查验求助信息的真实性,加强个人信息保
护,规范个人信息处理。
教育
《国家智慧教育平台数字教育资源入库出库管理规范》
6月16日,教育部办公厅印发《国家智慧教育平台数字教育资源入库出库管理规范》。《规范》
提出平台服务提供单位应当遵守相关法律法规和国家标准规范,采取技术措施和其他必要措施,
保障平台和资源安全,依法留存网络日志。
医疗
《关于进一步推进医师电子化信息管理工作的通知》
3月19日,国家卫生健康委、国家中医药局、国家疾控局联合发布《关于进一步推进医师电子
化信息管理工作的通知》。《通知》提出各地要落实数据安全管理责任制,加强数据安全监
测和预警,定期开展安全性评测和风险评估,做好数据容灾备份,确保电子化注册系统数据
信息安全。
金融
《会计师事务所数据安全管理暂行办法》
5月10日,财政部、国家网信办印发《会计师事务所数据安全管理暂行办法》。《暂行办法》
要求会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准,
确定核心数据、重要数据和一般数据,并对核心数据和重要数据的存储、相关日志、传输等
作出明确要求。
《关于促进企业集团财务公司规范监控发展提升监管质效的指导意见》
4月29日,国家金融监督管理总局印发《关于促进企业集团财务公司规范监控发展提升监管
质效的指导意见》。《办法》主要特点:落实数据安全责任制、明确数据安全归口管理部门、
将数据安全风险纳入全面风险管理体系、强化数据安全评估、建立数据安全保护基线。
《反保险欺诈工作办法(征求意见稿)》
4月11日,国家金融监督管理总局发布《反保险欺诈工作办法(征求意见稿)》。《办法》要
求保险机构和行业组织应按照职责分工统筹网络安全、数据安全与创新发展,依法履行安全
保护义务,完善管理制度,加强网络安全和数据安全防护,保障必要的人员和资源投入,采
取网络安全、数据安全管理和技术措施,确保反欺诈信息系统安全可控运行。
《银行保险机构数据安全管理办法(征求意见稿)》公开征求意见
3月22日,国家金融监督管理总局发布《银行保险机构数据安全管理办法(征求意见稿)》。
《办法》要求银行保险机构建立针对大数据、云计算、移动互联网、物联网等多元异构环境
下的数据安全技术保护体系,建立数据安全技术架构,明确数据保护策略方法,采取技术手
段保障数据安全。
《证券期货业网络和信息安全管理办法》
3月3日,证监会发布《证券期货业网络和信息安全管理办法》,并要求,采取更为严格的管
理措施来保障网络安全,包括相应信息系统和相关基础设施的要求,重要信息系统定期压力
测试,重要信息系统上线、运行、变更、下线要求、数据备份与灾难备份等。
《关于加强数据资产管理的指导意见》
1月4日,财政部制定印发了《关于加强数据资产管理的指导意见》。在数据安全方面,《意
见》要求数据资产各权利主体建立健全全流程数据安全管理机制,提升安全保护能力。数据
资产各权利主体均应落实数据资产安全管理责任,按照分类分级原则,在网络安全等级保护
制度的基础上,落实数据安全保护制度,把安全贯彻数据资产开发、流通、使用全过程,提
升数据资产安全保障能力。数据资产各权利主体应分类分级建立数据资产预警、应急和处置
机制,深度分析相关领域数据资产风险环节,梳理典型应用场景,对数据资产泄露、损毁、
丢失、篡改等进行与类别级别相适的预警和应急管理,制定应急处置预案。
交通
《民航数据管理办法》《民航数据共享管理办法》征求意见
6月4日,民航局发展计划司印发《民航数据管理办法》《民航数据共享管理办法》征求意见。
《办法》提出民航数据处理主体应当对数据处理活动负安全主体责任,应建立覆盖数据采集
传输、存储、使用、共享以及销毁等数据全生命周期的安全保护机制。鼓励通过加密、脱敏、
隐私计算、湖源认证等技术手段加强数据安全保护。
《公路工程施工安全监测与预警系统技术要求(征求意见稿)》
5月27日,由交通运输部科学研究院主编的《公路工程施工安全监测与预警系统技术要求》已
形成征求意见稿。《意见稿》明确要求数据传输系统中应设计数据备份机制,以保证在传输
线路故障时数据的完整性和可靠性,宜设置双卡槽的数据存储介质以满足连续观测需要,其
容量应根据系统每天接收的数据量选取。系统应具备数据备份、故障恢复等能力,宜考虑数
据的容灾备份。
《网络平台道路货物运输服务规范》
5月15日,交通运输部发布《网络平台道路货物运输服务规范》等行业标准,《规范》明确
要求网络平台应具备GB/T 22239-2019规定的三级及以上信息系统安全等级保护能力。
《关于支持引导公路水路交通基础设施数字化转型升级的通知》
5月1日,财政部、交通运输部联合印发了《关于支持引导公路水路交通基础设施数字化转
型升级的通知》并要求,推动基础设施安全增效。围绕行业管理提升,对通道基础设施安
全监测、运行管控和应急指挥调度体系进行数字化改造,加快应用新一代信息采集、智慧
分析与处理系统等,推进实施数字化管养系统、运行监测预警平台、数字治超及大件运输
全链条监管系统、应急指挥调度系统等建设,推动开展业务流程和运行机制优化重构,有
效提高安全风险识别预警、快速响应和联动处置能力,持续提升公共服务和行业治理水平。
二、我国网络安全合规面临诸多挑战
随着网络安全监管规定繁多且复杂,网络安全监管要求越来越多,越来越细,网络安全面
临着诸多挑战。
1.网络安全监管合规要求多
《网络安全法》、《数据安全法》、《密码法》、《个人信息保护法》、《网络安全责任制
》、《关键信息基础设施保护条例》、《信息安全技术 信息系统安全等级保护基本要求》
等法律、制度、条例要求不断完善。
2.合规验证工作存在重复性
网络安全不同法规、标准间可能存在交叉,导致合规评估与整改工作耗时耗力,效率亟待提
升。为满足监管要求,开展了等级测评、密码应用安全评估、数据安全、风险评估、个人信
息保护等工作,但其中近40%的工作都存在一定的重复,付出了大量重复工作和重复劳动,如
重复编写文档、填写报告、测评等,浪费了时间、人力、资金成本。
3.难以实现一次性合规
由于法规更新频繁、技术发展迅速、业务需求变化等因素,信息系统难以实现一次性合规。
没有形成动态管理的机制,没有随着信息系统、信息资产、外部环境等各类变化,动态调整
相应的合规管理工作,缺乏对合规问题的持续监测与跟踪,不能满足长期符合不断演进的网
络安全监管要求。
三、注重多规管理融合,一次测评,多规满足
面临诸多合规挑战,道普信息风险管控专家提出,可以借助专业的第三方风险管控服务,在
合规规划、实施、结果管理和跟踪等环节,实施多规管理融合策略。
基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要
求,从“合规规划、合规实施、结果管理、合规跟踪”四个维度,开展等保、密码、关保测评,
针对风险提出改进建议,帮助完成合规整改,响应《规定》要求,做到一次测评,多规满足,
避免了重复测评带来的时间和经济额外成本。
2024年上半年,我国网络和数据安全领域的法规政策密集发布,标志着中国网络安全法治建设进入了一个新的阶段。 面对更加严格的监管要求,多规管理融合已成为行业共识,一次测评、多规满足的实践正逐步成为趋势。这不仅是对 企业合规能力的考验,更是对国家数字治理体系现代化水平的检验。 在法治的引领下,我国正稳步迈向网络强国的目标,共同构筑起守护数字未来的坚固长城。