中国网络安全和数据保护：每月动态 - 2024年12月号

中国网络安全和数据保护

每月动态 - 2024年12月号

2024年11月，中国聚焦个人信息保护、数据资源开发与管理、数据安全等重点领域，发布一系列法律法规和政策文件，持续加强个人信息权益保障、促进数字经济发展，以及落实数据安全管理：

• 个人信息保护：公安机关、工业和信息化部（“工信部”），以及上海互联网信息办公室等部门持续加强个人信息保护监管，通过发布合规指引、开展试点工作、实施专项治理以及处罚违规企业，落实互联网平台未成年人网络保护主体责任，推动个人信息合规审计落地，并规范个人信息合法收集。同时，全国人民代表大会常务委员会（“全国人大常委会”）对反洗钱法进行修订，关注反洗钱领域个人信息和数据保护要求。

• 数据资源开发：国务院、国家数据局正积极推动数据要素市场化和价值化，通过完善国家数据基础设施建设，发展数字贸易和深化数据要素市场配置，以强化数字经济发展。同时，各地方部门持续探索数字资源开发利用，实施试点数据产品知识产权登记、规范公共数据授权运营、推动企业数据资产入表，以激发数据要素经济价值。

• 数据安全：国家互联网信息办公室（“国家网信办”）、国家数据局、工信部等部门发布一系列法律法规和政策文件，要求打造可信数据空间，加强工业和信息化领域数据安全管理，构建数据流通安全治理体系。同时，通过发布全球倡议、订立大湾区个人信息跨境保护要求，以及建设自贸港国际数据中心等一系列举措，进一步保障数据跨境安全有序流动。执法层面，持续打击不履行数据安全保护义务的违法行为，并在汽车行业开展数据安全管理情况报送工作，及时了解企业数据安全落实情况，加强重点领域数据安全监管。

(上下滑动以浏览）

1. 全国人大常委会修订并通过反洗钱法，明确数据安全及个人信息保护义务要求（11月9日）

全国人大常委会修订通过《中华人民共和国反洗钱法》，旨在进一步规范反洗钱工作，加强和完善金融法治建设。此次修订新增或明确了多项金融机构应履行的数据安全和个人信息保护义务。例如，客户身份资料留存期限由原本至少五年延长为至少十年；提供反洗钱服务的机构因提供服务获得的数据和信息，应依法处理并确保其安全等。该法将于2025年1月1日起实施，进一步加强反洗钱领域的个人信息保护，维护相关金融秩序。

2. 网安标委发布国家标准，明确粤港澳大湾区（内地、香港）个人信息跨境处理保护要求（11月21日）

全国网络安全标准化技术委员会（“网安标委”）发布《网络安全标准实践指南—粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》，旨在促进个人信息跨境安全有序流动。该指南结合内地法律与香港法律特点，规定了大湾区（内地、香港）通过安全互认方式进行个人信息跨境流动时应遵守的基本原则，明确了跨境提供或接收个人信息时的各项处理要求以及个人信息权益保障要求。该指南的发布进一步体现了内地与香港在数据保护方面的协同合作，有助于推动两地在其他领域的进一步协同发展。

3. 国家数据局发布行动计划，引导和支持可信数据空间发展（11月23日）

国家数据局发布《可信数据空间发展行动计划（2024—2028年）》，旨在引导和支持可信数据空间发展，促进数据要素流通与共享。行动计划提出，到2028年建设100个以上可信数据空间，形成互联互通、资源集聚、治理有序的可信数据空间网络，提升各领域数据开发与流通水平。行动计划还要求提高可信管控、资源交互、价值共创等能力，推动企业、行业、城市和个人可信数据空间建设，探索数据跨境流动与国际合作，并促进数据资源的安全高效共享。

4. 多个行业协会联合发布合规指引，引导工业和信息化领域数据处理者规范开展数据处理活动（11月19日）

中国通信企业协会等多个行业协会联合发布《工业和信息化领域数据安全合规指引》，旨在引导工业和信息化领域数据处理者规范开展数据处理活动，加强数据安全管理。该指引明确了数据分级分类的基本方法，要求企业建立完善的数据安全管理体系，强化数据收集、存储、传输、销毁等环节的风险防控。同时，该指引还强调企业应加强数据安全风险监测与评估，完善应急处置机制。针对数据交易和数据出境两个关键场景，指引也明确了相应的数据安全管理要求，确保数据在流通过程中的安全合规。

5. 工信部就行业标准二次征求意见，继续推进工业领域重要数据识别标准化进程（11月11日）

工信部就《工业领域重要数据识别指南》第二次面向社会公开征求意见，旨在进一步规范和优化工业领域重要数据的识别与安全管理。该指南明确了工业领域重要数据识别的基本原则和识别流程，并指导企业从国家安全、行业发展安全和行业特色等多个维度开展重要数据识别工作。同时，该文件也拟为行业监管部门制定工业领域重要数据目录提供参考。

6. 上海市发布暂行办法，推进数据产品知识产权登记存证试点工作（11月14日）

上海市知识产权局、上海市数据局联合发布《数据产品知识产权登记存证暂行办法》，旨在加强数据产品的知识产权保护，积累先行先试经验，促进数字经济发展。该办法明确了数据产品知识产权的登记存证流程，要求申请登记、变更登记等事项均应当通过上海市数据产品知识产权管理平台进行。上海市知识产权局将开展数据产品知识产权登记的审查、监督、管理等工作，依法保障企业和个人的数据产品知识产权。

7. 上海网信办发布合规指引，要求网络平台落实未成年人网络保护义务（11月28日）

在“清朗浦江·2024”网络生态治理总结活动上，上海市网信办发布《上海属地网络平台履行未成年人网络保护义务合规指引（试行）》，旨在落实属地网络平台主体责任，强化未成年人网络保护。该指引明确了网络平台服务提供者的各项具体义务，包括提供未成年人模式、开展未成年人网络保护影响评估以及建立健全合规制度体系等。文件还要求平台采取有效措施，防止未成年人沉迷网络，规范网络信息内容，并定期公开未成年人网络保护社会责任报告，接受社会监督。该指引将于发布之日起在上海20家属地网络平台试行，指导其履行未成年人网络保护义务。

8. 山东省大数据局拟制定管理办法，规范公共数据授权运营（11月7日）

山东省大数据局向社会公开征求《山东省公共数据资源授权运营管理办法（试行）》的意见，旨在规范和促进公共数据资源授权运营，推进公共数据资源开发利用。该办法要求行业主管部门做好目录编制、资源汇聚、数据治理等数据供给工作，依照实施方案和法定程序与授权运营机构签订协议，开展公共数据授权运营。办法还要求实施机构和运营机构制定严格的数据保护措施，保障数据安全。

9. 某互联网科技企业因未及时处置违法信息以及未落实青少年模式等被处罚（11月22日）

公安机关近期对某互联网科技企业处以行政处罚，认为该企业未能及时处置短视频平台上存在的违法信息，特别是未有效落实青少年模式，从而导致有害信息扩散，危害未成年人身心健康。经过调查，公安机关依据《网络安全法》对该公司给予警告并责令其全面清理违法信息，落实青少年模式，依法处置违规账号。公安机关还呼吁各互联网平台引以为戒，加强网络安全管理，防止违法信息对未成年人造成侵害。

10. 工信部通报27款侵害用户权益行为的APP（SDK），涉及违规收集个人信息等行为（11月13日）

工信部近期通报了27款存在侵害用户权益行为的APP及SDK，所涉问题包括违规或超范围收集个人信息、强制索取权限、SDK信息公示不到位等。工信部目前正持续整治APP侵害用户权益的违规行为，要求这些APP及SDK按有关规定及时整改，并且后续将对整改不到位的平台依法采取进一步处置措施。

11. 上海市通信管理局通报36款隐私违规APP及小程序 （11月15日）

上海市通信管理局发布了关于36款APP及小程序存在侵害用户权益行为的通报。通过对上海移动互联网应用程序进行抽查，发现违规APP及小程序存在违规收集个人信息、未明示个人信息处理规则等问题。通报要求这些APP及小程序按有关规定在限期内及时整改，并警告若整改不到位将依法依规开展处置工作。

12. 湖南网信办公布一执法案例，某信息技术有限公司因不履行网络安全和数据安全保护义务被处罚（11月29日）

湖南省网信办对某信息技术公司未履行数据安全保护义务作出行政处罚。经查，该公司相关系统未采取有效的技术和管理措施保障数据安全，存在未授权访问漏洞，导致部分数据多次泄露，严重危害数据安全。湖南省网信办依据《数据安全法》等相关规定对该公司作出责令改正、警告并处罚款的决定。该公司、主管人员，和直接责任人员将分别罚款二十万元、三万元，和二万元。

13. 国家计算机病毒应急处理中心通报13款隐私违规APP，主要涉及电商等领域（11月11日）

国家计算机病毒应急处理中心近期监测发现13款APP存在隐私不合规问题，这些问题主要包括首次运行时未通过明显方式提示用户阅读隐私政策、隐私政策中未详细列出收集使用个人信息的目的和方式，以及向第三方提供个人信息未经用户同意等。此外，一些应用未提供便捷的个人信息更正和删除途径，未建立并公布个人信息安全投诉、举报渠道，以及未为用户提供撤回同意的方式。针对这些情况，中心提醒广大用户谨慎下载使用违规应用，仔细阅读隐私政策，保护个人隐私信息。

14. 北京网信办等部门开展汽车数据安全管理情况等报送工作，规范汽车数据处理活动，促进汽车数据合理开发利用（11月20日）

北京市网信办、北京市经济和信息化局、北京市通信管理局联合发布通知，要求北京地区汽车数据处理者报送2024年度汽车数据安全管理情况。通知指出，汽车数据处理者包括汽车制造商、零部件和软件供应商、出行服务企业等主体，报送内容包括汽车数据安全管理情况报告、风险评估报告，以及处理重要数据的汽车数据处理者情况。

15. 广东省通信管理局通报10款未按要求完成隐私合规和数据安全相关整改的APP（11月28日）

广东省通信管理局在开展APP隐私合规和数据安全专项整治行动过程中，公开通报10款未按要求完成整改的APP，并已责令违法违规APP限期整改，但尚有10款APP到期未完成整改。广东省通信管理局要求该10款APP按有关规定在限期内及时整改，并警告若整改不到位将依法依规采取下一步处置措施。

16. 国家数据局拟发布指引，推进国家数据基础设施建设，促进数据应用开发（11月22日）

国家数据局发布《国家数据基础设施建设指引（征求意见稿）》，指导推进数据基础设施建设，推动形成横向联通、纵向贯通的国家数据基础设施基本格局。指引明确了数据基础设施的发展愿景和总体功能等内容，并提出到2029年要基本建成国家数据基础设施主体结构的总体目标。在体系建设方面，指引强调要打造数据流通利用设施底座、优化数据高效供给体系、建立数据可信流通体系等，支撑数字经济发展和数字中国建设。该指引将进一步促进国家数据基础设施建设。

17. 国务院发布意见，推动数字贸易改革创新发展（11月28日）

国务院发布《中共中央办公厅 国务院办公厅关于数字贸易改革创新发展的意见》，推动我国数字贸易改革与创新，逐步构建有序、安全、高效的治理体系。意见指出，要培育壮大数字贸易经营主体，鼓励企业在数字技术、数字服务、数字订购等方面积极发展贸易。同时，要推进数字贸易制度型开放，放宽市场准入，鼓励外商扩大数字领域投资，打造数字贸易高水平开放平台。该文件强调了加强数字贸易治理，参与国际规则制定，构建数字信任和安全体系，以期增强我国数字贸易的国际影响力。

18. 海南省发布规定，促进自由贸易港国际数据中心发展，保障数据跨境安全有序流动（11月29日）

海南省发布《海南自由贸易港国际数据中心发展规定》，旨在促进海南自由贸易港国际数据中心发展。规定支持境内外企业在海南自由贸易港建设国际数据中心，明确了促进区域性国际数据跨境流动的具体路径，并实施数据出境负面清单管理制度。同时，该规定要求强化网络和数据安全保障，建立有关部门、基础电信运营商、相关运营者共同参与的安全体系，以保障数据跨境安全有序流动。

19. 国家网信办发布倡议，呼吁推动全球数据跨境流动合作，促进贸易便利化，加快产业数字化转型（11月20日）

国家网信办发布《全球数据跨境流动合作倡议》，呼吁各国在维护国家安全、保护公共利益和尊重个人隐私的同时，推动全球数据跨境流动合作。该倡议指出，各国应秉持开放、包容、安全、合作、非歧视的原则，尊重不同国家和地区之间的制度差异，鼓励因商业和社会活动需要的跨境数据流动，推动数据跨境传输便利化。该倡议还支持发展中国家参与数字经济增长，并加强国际合作，提升数据流动的透明度与技术能力。

20. 网安标委召开个人信息保护合规审计试点启动会，为标准的推广应用积累经验（11月19日）

网安标委近期在北京组织召开国家标准《数据安全技术 个人信息保护合规审计要求》试点启动会，旨在验证标准的科学性、合理性、可操作性和适用性，积累个人信息保护合规审计的典型案例与经验，为标准推广应用提供支撑。本次试点工作将在互联网、金融、交通、医疗、电信等领域选取36家单位进行，按方案有序推进，进一步推动个人信息保护合规审计工作。

21. 国家数据局拟发布实施方案，促进数据要素市场化价值化（11月29日）

国家数据局向社会公开征求《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》的意见，促进数据要素合规高效流通使用。方案明确要求构建企业数据流通安全规则，加强公共数据流通管理，保障个人信息安全，完善数据流通安全责任界定机制，推动数据流通安全技术应用，并丰富数据流通安全服务供给。方案还提出，要防范数据滥用风险，促进数据高质量发展与安全良性互动，力争到2027年底构建基本完善的数据流通安全治理体系。

22. 2024世界互联网大会举行，为金融数据跨境流动提供更清晰的指引（11月22日）

2024年世界互联网大会上，中国人民银行发表声明，表明《促进和规范金融业数据跨境流动合规指南》正加紧出台，旨在提供清晰的规则指引，便利金融数据跨境流动。同时，国家网信办指出，《促进和规范数据跨境流动规定》实施后，数据出境安全评估用时显著缩短，已降至不到30个工作日。各方强调要继续完善数据跨境管理体系，推动数据流动与安全的平衡，支持企业全球发展。

23. 国家数据局等部门召开数字中国建设工作会议，要求持续深化数据要素市场化配置改革（11月14日）

国家数据局与相关部门召开数字中国建设工作推进会议，回顾2024年数字中国建设取得的进展，并开展下一步工作部署。会议指出，各地各部门要积极推动数据要素市场化配置改革，健全数字中国建设工作体制机制。同时，会议强调要落实主体责任，将数字化发展摆在本地区工作重要位置。会议还进一步强调要挖掘典型案例、办好数字中国建设峰会等重大活动，广泛凝聚发展共识。

24. 湖南省发布工作方案，加强数据资产管理工作，推动企业数据资产入表（11月14日）

湖南省发布《湖南省加强数据资产管理工作方案》，探索符合实际的公共数据资产管理模式。方案计划在全省统一部署开展数据资产管理试点工作，并于2026年底推动100家企业完成数据资产入表工作。方案强调建立数据资产登记、信息完善、使用管理和价值评估机制，推动企业数据资产入表和收益分配，同时探索数据资产处置与风险防控。该文件通过授权运营、数据交易流通和数据融合应用等手段，拟推动数据资产的开发利用。

25. 中消协发出倡议，呼吁经营者不能以提供个性化服务为目的非法收集消费者个人信息（11月1日）

中国消费者协会（“中消协”）近期就不明链接跳转导致的相关消费问题作出倡议。中消协指出，某些购物软件存在过度索取个人信息，强制提供个性化服务，从而将推送信息狭窄化、标签化的问题。此类行为在滥用消费者个人信息，并限制了消费者自由选择的权利。中消协建议经营者应恪守道德底线，依法保障消费者合法利益，监管应主动开展执法整治行动，而消费者在面对不明链接时应提高警惕，保护个人信息。

26. 国家网信办就数据出境发布指引图解，对我国数据合规要求进行全面梳理（11月19日）

国家网信办发布《我国数据出境合规指引》图解，旨在简化复杂的合规流程，指导和规范我国数据出境活动。图解界定了数据出境行为，明确以重要数据和个人信息作为数据出境安全管理对象。同时，图解说明了数据出境安全评估申报和个人信息出境标准合同备案在适用范围、提交材料清单以及开展流程等方面的内容。图解还提供了各省级网信办联系方式，旨在为数据处理者数据出境提供指导和协助。