在網絡強國、數字中國建設的藍圖規劃下，我國已基本形成以《網絡安全法》《數據安全法》《個人信息保護法》《密碼法》等法律為核心，行政法規、專項行動為依托，行業規章、地方性法規為抓手，國家標準為指南的網絡安全監管保障體系。

2023年，網絡空間外部風險詭譎多變，新技術、新應用源源不斷引入新生威脅，個人信息主體維權意識愈發強烈，密集出臺的法律、制度、條例、標準，為安全技術與產業發展提供指引，筑牢國家數字安全屏障。

在此梳理總結2023年發布、修訂或實施的網絡安全相關政策條款，觀察我國網絡安全立法和監管形勢，供行業同仁與甲方企業參考。

國家部委意見法規

國家數據政策暖風頻吹，持續激發數據要素紅利，充分強調發展與安全平衡的數據安全頂層設計不斷完善，數據保障的內涵和監管邊際不斷延展，千億大市場呼之欲出。

1月13日，工信部等十六部門發布《關于促進數據安全產業發展的指導意見》，目標到2025年，數據安全產業基礎能力和綜合實力明顯增強，數據安全產業規模超過1500億元，年復合增長率超過30%。

2月27日，《數字中國建設整體布局規劃》發布，夯實數字基礎設施和數據資源體系“兩大基礎”，推進數字技術與經濟、政治、文化、社會、生態文明建設“五位一體”深度融合，強化數字技術創新體系和數字安全屏障“兩大能力”，優化數字化發展國內國際“兩個環境”。

3月7日，國家數據局提請組建，10月25日，國家數據局正式揭牌，12月15日，就《“數據要素×”三年行動計劃（2024—2026年）》征求意見，1月4日，聯合十六部門印發正式版，堅持把安全貫穿數據要素價值創造和實現全過程，從落實數據安全法規制度、豐富數據安全產品、培育數據安全服務三大角度推動工作開展。

7月24日，央行發布《中國人民銀行業務領域數據安全管理辦法（征求意見稿）》，提出“誰管業務，誰管業務數據，誰管數據安全”的基本原則，填補該領域制度空白。從數據分類分級、數據安全保護、風險監測評估審計與事件處置措施等方面壓實數據處理活動全流程安全合規責任。

10月-12月，工信部陸續發布《工業和信息化領域數據安全風險評估實施細則（試行）》《工業和信息化領域數據安全行政處罰裁量指引（試行）》《工業和信息化領域數據安全事件應急預案（試行）》的征求意見稿，全面細化、落實1月1日實施的《工業和信息化領域數據安全管理辦法（試行）》的監管要求，搭建起該領域數據安全管理方針。

地區法規

承襲國家數據要素市場規劃與安全保障要求，各地區加快數據立法步伐，出臺相關條例制度，對數據賦能產業、數據安全保護、數據共享等內容進行規制，以促進當地數字經濟高質量發展。

《河北省一體化政務大數據體系建設若干措施的通知》：2025年底形成“一數一源、多源校核”的政務數據治理機制。

《山東省工業和信息化領域數據安全管理實施細則（征求意見稿）》：加強數據安全管理，保障數據安全。

《山東省2023年數字經濟“全面提升”行動方案》：推動傳統基礎設施數字化改造，深化數據安全管理體系。

《杭州市公共數據授權運營實施方案(試行)》（征求意見稿）：建立公共數據授權運營工作機制和評價體系。

《浙江省企業首席數據官建設指南（試行）》：首席數據官全面負責企業數據管理工作，強化數據合規與治理。

《杭州市數字貿易促進條例（草案）》：加強數字營商環境、開放與合作、保障措施的建設。

《深圳市數據產權登記管理暫行辦法（征求意見稿）》：規范數據產權登記行為。

《深圳市數據交易管理暫行辦法》：規定數據交易主體類型、數據類型以及如何確保數據交易安全。

《深圳市企業數據合規指引》：對涉及數據各場景制定全面詳細的規范指引。

《廣州市公共數據開放管理辦法》：明確公共數據開放及管理行為，促進數據多維度開放融合應用。

《廣州市數據條例（征求意見稿）》：確立數據安全管理原則，實行數據安全主體責任制。

《“數字灣區”建設三年行動方案》：探索建設“港澳數據特區”，推動數據要素合規高效安全有序流通。

《廣東省政務服務數字化條例》：建立健全政務服務數據安全管理制度。

《新疆維吾爾自治區公共數據管理辦法（試行）》：規范和促進公共數據資源共享開放。

《廈門經濟特區數據條例》：推進數據治理機制建設。

《蘇州市數據條例》：制定數據產業發展規劃，協調解決數據開發利用、區域協同和數據安全等問題。

《云南省數字政府建設總體方案》：加快推進數字政府建設，加快政府職能轉變。

《2023年河南省大數據產業發展工作方案》：統籌推進數據中心安全建設。

《河南省加強數字政府建設實施方案(2023-2025年)》：解決數字政府建設在數據融通、安全保障等方面的問題。

《鄭州市政務數據安全管理實施細則》：政務部門同步編制政務數據安全建設方案。

《湖北省數據交易管理暫行辦法（征求意見稿）》：規定數據交易主體、標的、流程、安全和監督管理等。

《武漢市數據要素市場化配置改革三年行動計劃（2023-2025年）》：高夯實數據資源基礎，推進數據融合應用。

甘肅省《關于促進數據要素市場發展的實施意見》：完善數據產權制度體系，強化數據要素安全治理。

《山西省政務數據安全管理辦法》：建立健全政務數據全生命周期安全管理機制。

《上海市電信和互聯網行業首席數據官制度建設指南 (試行)》：全面統籌數據開發、利用和安全，引導企業構建、激活數據管理能力。

上海《立足數字經濟新賽道推動數據要素產業創新發展行動方案（2023-2025年）》：提出推動數據要素產業創新發展的八大方向，強化數據安全保障。

《北京市公共數據專區授權運營管理辦法（征求意見稿）》：原始數據不出域，數據可用不可見。

《北京地區電信領域數據安全管理實施細則》：規定基礎性數據安全保護要求、數據全生命周期安全保護要求。

《北京經濟技術開發區首席數據官制度工作方案》：建立上下貫通的數據治理組織體系。

《貴州省數據流通交易促進條例（草案）（征求意見稿）》：從數據權益保護、安全保障等方面促進貴州省數據流通交易。

《長沙市數據官制度建設實施意見》：數據官負責深化數據應用、實施源頭治理、提升數字素養、確保數據安全等。

《內蒙古自治區推動數字經濟高質量發展工作方案（2023—2025年）》：增強通信網絡、數據中心等關鍵基礎設施安全韌性。

《海南省培育數據要素市場三年行動計劃(2024—2026)》：到2026年末跨境數據安全保障體系、分級分類管理機制和監管機制形成。

數據跨境流通相關法規

數據跨境流動需求旺盛，個人信息、重要數據等敏感資產的跨境傳輸迎來更細致、更靈活、更落地的合規要求，開展對應的安全評估、保護認證、安全審查工作，在保障數據安全的同時促進數據自由有序流通。

2月24日，國家網信辦發布《個人信息出境標準合同辦法》，明確通過訂立標準合同的方式開展個人信息出境活動，應堅持自主締約與備案管理相結合、保護權益與防范風險相結合。

5月30日，國家網信辦發布《個人信息出境標準合同備案指南(第一版)》，指導個人信息處理者規范、有序備案個人信息出境標準合同，對個人信息出境標準合同備案方式、備案流程、備案材料等具體要求作出說明。

隨后，北京、上海、浙江、貴州、天津、山東、重慶、福建、湖北、河北、新疆維吾爾自治區、江蘇、廣東等多地省級網信辦陸續發布當地標準合同備案的具體工作指引。在重申國家網信辦備案指南基本內容的基礎上，部分省級網信辦對查驗流程進行靈活安排，以及對備案主體等事項進行特殊說明，同時開通當地的備案工作咨詢電話并明確詳細報送信息。

8月13日，國務院發布《關于進一步優化外商投資環境 加大吸引外商投資力度的意見》，為符合條件的外商投資企業建立綠色通道，高效開展重要數據和個人信息出境安全評估，促進數據安全有序自由流動。

9月28日，國家網信辦發布《規范和促進數據跨境流動規定（征求意見稿）》，涉及數據出境的多個場景可豁免前置程序，即不需要申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。

11月1日，全國信安標委發布《網絡安全標準實踐指南—粵港澳大灣區跨境個人信息保護要求（征求意見稿）》，規定大灣區跨境處理個人信息的基本原則和保護要求，為實施大灣區個人信息保護認證提供認證依據。

12月10日，國家網信辦、香港創新科技及工業局發布《粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引》，粵港澳大灣區個人信息處理者及接收方可通過訂立標準合同的方式進行粵港澳大灣區內內地和香港之間的個人信息跨境流動。

截至12月，通過公開渠道查詢到，成功通過數據出境申報（國家網信部門的“審批”或“備案”）的企業有29家，與國家網信辦和各地省級網信辦已受理的千余件申報相比，數據出境申報通過率僅為百分之一。（數據來源于“數據觀綜合”）

生成式人工智能相關法規

生成式人工智能、大語言模型等技術迎來跨越式發展，大量應用落地，各國尚未形成體系化的監管思路及規則，在前沿技術巨大社會價值與部分不可測風險之間，亟需平衡發展與安全的監管規則作為市場主體的指路明燈。

7月13日，國家網信辦等七部門公布《生成式人工智能服務管理暫行辦法》，8月15日正式施行，作為全球首部生成式人工智能法規，實行包容審慎和分類分級監管，需對圖片、視頻等生成內容進行標識，發現違法內容應當及時采取處置措施。

8月25日，全國信安標委發布《網絡安全標準實踐指南——生成式人工智能服務內容標識方法》，圍繞文本、圖片、音頻、視頻四類生成內容給出標識的實踐指引。

10月11日，全國信安標委發布《生成式人工智能服務安全基本要求》（征求意見稿），包括語料安全、模型安全、安全措施、安全評估等。

1月10日，《互聯網信息服務深度合成管理規定》發布，提出深度合成服務提供者應當落實信息安全主體責任，建立健全用戶注冊、算法機制機理審核、信息發布審核、數據安全、個人信息保護、反電信網絡詐騙等管理制度，實施安全可控的技術保障措施。

6月20日，國家網信辦發布《境內深度合成服務算法備案清單》，明確具有輿論屬性或者社會動員能力的深度合成服務提供者，應當履行備案和變更、注銷備案手續。

8月8日，國家網信辦發布《人臉識別技術應用安全管理規定（試行）（征求意見稿）》，明確“最小使用原則”“最小存儲原則”，強調“告知-同意原則”，對如何規范使用人臉識別技術提出具體安全要求。

10月8日，科技部等十部門印發《科技倫理審查辦法（試行）》，涉及數據和算法的科技活動，審查重點在于數據處理活動以及研究開發數據新技術等符合國家數據安全和個人信息保護等有關規定。

10月18日，中央網信辦發布《全球人工智能治理倡議》，以人為本，智能向善，推動建立風險等級測試評估體系，支持以人工智能技術防范人工智能風險，不斷提升人工智能技術的安全性、可靠性、可控性、公平性。

行業性數據安全法規

面向不同行業及領域觀察，保障民生的關鍵信息基礎設施單位，擁有海量、高價值數據資產的機構，成為網絡攻擊與新生風險的靶標，亦是網絡安全監管的重點對象，因其采集使用大量公民隱私，或其功能支撐社會基礎運轉，已成為網絡對抗和國家博弈的主戰場。

金融領域

1月10日，中國銀保監會發布《銀行保險監管統計管理辦法》，根據數安法相關規定，在職責范圍、統計資料管理制度、監督檢查中增加涉及數據安全保護的監管內容。

2月27日，中國證監會發布《證券期貨業網絡和信息安全管理辦法》，5月1日實施，規定網絡和信息安全運行、投資者個人信息保護、網絡和信息安全應急處置、關鍵信息基礎設施安全保護等。

6月9日，中國證券業協會發布《證券公司網絡和信息安全三年提升計劃（2023-2025）》，鼓勵信息科技平均投入金額不少于2023年至2025年平均凈利潤的10%或平均營業收入的7%；鼓勵有條件的券商逐步提升信息科技專業人員比例至員工總數的7%。

6月9日，中國期貨業協會發布《期貨公司網絡和信息安全三年提升計劃（2023-2025）》，引導期貨公司持續提升網絡安全工作能力和水平，防范化解系統性風險。

6月27日，國家金融監管總局發布《關于加強第三方合作中網絡和數據安全管理的通知》，要求對照通報問題深入排查供應鏈風險隱患，切實加強整改，嚴肅處置因管理不當引發的重大風險事件。

8月30日，國家金融監管總局等五部門發布《關于規范貨幣經紀公司數據服務有關事項的通知》，要求加強數據治理，確保數據安全，規范提供數據標準。

11月2日，財政部、國家網信辦聯合發布《會計師事務所數據安全管理暫行辦法（征求意見稿）》，加強會計師事務所數據管理，完善會計師事務所網絡保障，加強監督檢查。

工業領域

1月31日，國家能源局發布《2023年電力安全監管重點任務》，組織開展網絡安全五年行動計劃中期評估，持續推進電力行業網絡安全“明目”“賦能”“強基”行動。

2月21日，國家能源局發布《水電站大壩安全提升專項行動方案》，提出加強大壩安全信息化建設，納入企業信息化建設整體規劃，實現大壩信息系統與本企業其他相關系統互聯互通。

4月3日，國家能源局發布《關于加快推進能源數字化智能化發展的若干意見》，賦能傳統產業數字化智能化轉型升級，落實能源安全新戰略和建設新型能源體系。

5月31日，工業互聯網專項工作組辦公室發布《工業互聯網專項工作組2023年工作計劃》，持續深入實施工業互聯網企業網絡安全分類分級管理工作，優化完善工業互聯網安全技術檢測服務體系以及加強重要數據保護。

12月19日，工信部國家標準化管理委員會印發《工業領域數據安全標準體系建設指南（2023版）》，到 2024 年，初步建立工業領域數據安全標準體系，基本滿足工業領域數據安全需要，推進標準在重點行業、重點企業中的應用，研制數據安全國家、行業或團體標準 30 項以上。

交通領域

4月24日，交通運輸部公布《公路水路關鍵信息基礎設施安全保護管理辦法》，包括公路水路關鍵信息基礎設施認定、運營者責任義務、保障和監督等。

7月3日，北京市高級別自動駕駛示范區工作辦公室發布《北京市智能網聯汽車政策先行區數據分類分級管理細則（試行）》，構建多維統一的數據層級，將影響對象明確為六大類，區分四種危害影響程度，綜合確認由低到高的1-6級數據級別。

7月3日，中國民用航空局發布《落實數字中國建設總體部署 加快推動智慧民航建設發展的指導意見》，建立行業網絡安全監測預警和共享平臺，建立數據分類分級保護基礎制度。

7月18日，國家鐵路局發布《鐵路關鍵信息基礎設施安全保護管理辦法（征求意見稿）》，從鐵路關鍵信息基礎設施認定、運營者責任和義務、保障和監督等層面作出規定。

9月6日，工信部發布《民用無人駕駛航空器生產管理若干規定（征求意見稿）》，民用無人駕駛航空器存在網絡或者數據安全缺陷、漏洞等風險時，應當立即采取補救措施并報告。

11月4日，浙江省委網信辦聯合印發《浙江省汽車數據處理管理規定》，進一步規范浙江省汽車數據處理活動，促進汽車數據合理開發利用和汽車行業健康有序發展。

個人信息保護相關法規

面向個人網絡信息安全保護，個人信息處理活動監管、未成年人用網保護、互聯網內容治理、反網絡詐騙及暴力是重點方向，通過規范互聯網服務提供者的用戶數據處理、賬戶運營管理、發帖評論等內容治理以及網絡違法懲治治理，營造清朗網絡空間。

2月6日，國家郵政局修訂《寄遞服務用戶個人信息安全管理規定》，依法嚴厲打擊泄露、買賣寄遞服務用戶個人信息等行為，督促寄遞企業加強網絡安全、數據安全和個人信息保護工作。

8月3日，國家網信辦發布《個人信息保護合規審計管理辦法（征求意見稿）》，處理超100萬人個人信息，應當每年至少開展一次個人信息保護合規審計；其他個人信息處理者應當每二年至少開展一次個人信息保護合規審計。

7月7日，國家網信辦發布《網絡暴力信息治理規定（征求意見稿）》，要求建立健全網絡暴力信息預警模型，綜合考慮事件類別、針對主體、參與人數、信息內容、發布頻次等維度，及時發現預警網絡暴力風險。

7月10日，中央網信辦發布《關于加強“自媒體”管理的通知》，提出嚴防假冒仿冒行為，強化資質認證展示，規范信息來源標注，加強信息真實性管理，加注虛構內容或爭議信息標簽等13項工作內容。

8月2日，國家網信辦發布《移動互聯網未成年人模式建設指南（征求意見稿）》，將“青少年模式”全面升級為“未成年人模式”，推動模式覆蓋范圍由APP擴大到移動智能終端、應用商店。

9月1日，中國人大網公布《治安管理處罰法（修訂草案）》并征求意見，將違法出售或者提供公民個人信息增列為侵犯人身、財產權利的行為并給予處罰；增加公安機關實施人身檢查、采集生物識別信息的職權。

9月25日，兩高一部印發《關于依法懲治網絡暴力違法犯罪的指導意見》，依法懲治網絡誹謗、網絡侮辱、侵犯公民個人信息、借網絡暴力事件實施的惡意營銷炒作、拒不履行信息網絡安全管理義務等行為。

10月16日，《未成年人網絡保護條例》公布，自2024年1月1日施行，對加強未成年人網絡素養促進、網絡信息內容規范、未成年人個人信息網絡保護、未成年人網絡沉迷防治等方面作出規定。

11月13日，公安部發布《電信網絡詐騙及其關聯違法犯罪聯合懲戒辦法（征求意見稿）》，包括金融懲戒、電信網絡懲戒、信用懲戒，聯合懲戒對象為詐騙分子和實施關聯犯罪的人員，堅持分級懲戒、過懲相當。

其他重磅網絡安全相關法律條款，根據網絡風險趨勢以及產業發展形勢，細化、優化各個領域的監管要求，有效規避或解決網絡威脅，促進網絡安全產業高質量發展。

4月12日，國家網信辦聯合發布《關于調整網絡安全專用產品安全管理有關事項的公告》，網絡安全專用產品應按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或安全檢測符合要求后，方可銷售或提供。

7月3日，國家網信辦聯合發布《關于調整<網絡關鍵設備和網絡安全專用產品目錄>的公告》，包括路由器、交換機等4類網絡關鍵設備，以及防火墻、入侵防御系統、網絡安全態勢感知產品、數據泄露防護產品等34類網絡安全專用產品止。

5月24日，《商用密碼管理條例》發布，促進商用密碼應用與保障安全相統一的價值導向，進一步完善商用密碼科技創新的體制機制。

9月26日，國家密碼管理局印發《商用密碼檢測機構管理辦法》《商用密碼應用安全性評估管理辦法》，11月1日施行，對檢測機構資質認定、從業規范、監督管理等提出明確要求，明確要求同步規劃、同步建設、同步運行商用密碼保障系統，并定期進行商用密碼應用安全性評估。

4月26日，新修訂的《反間諜法》將投靠間諜組織及其代理人，針對國家機關、涉密單位或者關基設施等實施網絡攻擊等行為明確為間諜行為，并適度擴大相關主體竊密的對象范圍，將其他關系國家安全和利益的文件、數據、資料、物品納入保護。

5月1日，《信息安全技術 關鍵信息基礎設施安全保護要求》實施，從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置6個方面提出111條要求，為運營者開展關基設施保護工作提供標準保障。

12月8日，國家網信辦發布《網絡安全事件報告管理辦法（征求意見稿）》，出臺網絡安全事件分級指南，較大、重大或特別重大網絡安全事件應當于1小時內進行報告。