环球数据合规团队年度总结与展望：回望2023数据合规实践，共探2024发展新机遇

1 2 3 目录 2023立法和监管动态总结 .................................................................. 5 数据合规团队文章集锦 ..................................................................... 25 网络数据安全和个人信息保护：构建安全屏障，筑牢合规之基 .................. 25 企业对于网络和数据安全事件的防范和处置义务 .......................................... 26 从源头到结果，从内部到外部——解析《信息安全技术 重要数据处理安全要求》 .................................................................................................................. 49 以故为新，扬帆启程——解析《个人信息保护合规审计管理办法（征求意见稿）》 ................................................................................................................ 64 在美上市的中概股企业如何应对SEC网络安全风险披露新规 ..................... 94 境外发行备案新规与网络安全审查的衔接 .................................................... 111 数据跨境流动：探索安全、合规的传输机制 ................................................ 123 跨境数据流动创新保障性措施的先行先试——《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》发布 ........................................ 124 欧美跨境数据流动与数据主权争夺的分析与启示 ........................................ 181 构建安全可控、促进发展的数据跨境流动框架：法律与实践的探索 ........ 187 出境在歧路，合规启山林 | 标准合同下的企业合规义务及备案指南 ......... 205 论企业如何有效选择适当的数据跨境传输合规方案——对《个人信息出境标准合同办法》的评析 .................................................................................... 219 China's Data Export Compliance in Law and Practice. ...................................... 265 How Should Enterprises Comply with Standard Contract Measures ................. 288 算法与人工智能：紧追时代，拥抱重塑未来的力量 .................................... 309 人工智能大语言模型开发与应用的数据合规风险及其应对——兼论《生成式人工智能服务管理办法（征求意见稿）》合规要点 .................................. 310 从境内外立法与监管思路解读《生成式人工智能服务管理暂行办法》 .... 331 未雨绸缪，思则有备——《人脸识别技术应用安全管理规定（试行）（征求 4 意见稿）》解读 .................................................................................................. 346 海上潮信来——人工智能伦理视角下《科技伦理审查办法（试行）》的合规解读 .................................................................................................................... 359 数据要素市场建设：释放数据价值，驱动经济发展 .................................... 378 《企业数据确权与全球合规趋势报告(2023)》.............................................. 379 《数字广告数据要素流通保障技术研究报告（2023）》 .............................. 396 未成年人保护：守护祖国花朵，共建清朗网络空间 .................................... 398 网游新规引新篇：《网络游戏管理办法（草案征求意见稿）》十大要点解读与分析 ................................................................................................................ 399 弄尘复斗草，蓑衣卧月明——企业合规视角下的《未成年人网络保护条例》解读 .................................................................................................................... 411 ESG与数据隐私合规观察——网络环境中的未成年人安全保护 ................ 463 网络暴力防范：倡导文明上网，共建和谐网络社区 .................................... 480 防于未然、止于微末——《网络暴力信息治理规定（征求意见稿）》解读（上篇） ............................................................................................................ 481 防于未然、止于微末——《网络暴力信息治理规定（征求意见稿）》解读（下篇） ............................................................................................................ 492 汽车及出行行业合规：识别、评估与应对，打好合规持久战 .................... 508 新能源汽车合规观察：4月份更重视“最小必要原则” .................................. 509 新能源车数据合规与安全问题 ........................................................................ 518 出行企业（如滴滴等平台）的合规问题 ........................................................ 555 汽车销售中的个人信息保护问题 .................................................................... 585 金融行业合规：把握关键法律动向，构建合规金融圈 ................................ 622 央行业务领域数据治理初探——解析《中国人民银行业务领域数据安全管理办法（征求意见稿）》 .................................................................................. 623 企业ESG体系构建：塑造可持续竞争力的关键路径 .................................. 641 构建ESG体系对企业开展国际业务的重要意义 ........................................... 642 2024年度展望 ..................................................................................653 5 2023立法和监管动态总结 2023年，数据治理推动全球数字经济向纵深发展，国内外形势在不断变化，新技术、新业态的崛起，尤其是人工智能的技术发展和数据要素市场的政策落地，为数字经济发展带来了诸多新的机遇和挑战。本文中，我们回顾了2023年数据合规与网络安全等领域的重要立法及执法行动——总的来说，在技术驱动、数据引领和治理护航多方力量的汇聚下，2023年相关领域的立法与监管趋势呈现出安全保护与促进发展并重的特点。 一、2023年的立法动态 ➢ 网络与数据安全 国际方面，2023年11月9日，欧洲议会宣布以压倒性多数即481票赞成、31票反对、71票弃权通过了欧盟《数据法案》（Data Act）。该法案是依据欧盟2020年发布的《欧洲数据战略》（A European Strategy for data）制定，是继《数据治理法案》（Data Governance Act）之后第二个主要的立法，是欧盟数据战略计划中的一部分，该法案在欧盟《通用数据保护条例》（GDPR）的基础上，提供了适用于所有数据的更广泛的规则，旨在通过建立互联产品及相关服务中所产生的数据的共享规则及用户访问规则，将数据作为企业与公共机构创新的关键因素并促进数据的利用，这将在包括促进人工智能领域算法训练在内的多个方面产生重要作用。2023年11月23日，英国政府公布了《数据保护和数字信息法》的第二次修订案，反映了数据保护方面最新立法动向。这是英国试图对英国版《通用数据保护条例》（GDPR）进行改革的第二次提案，相比于2022 6 年7月的第一版法案，此次修订更加反映了产业诉求，明确了更多便利措施。此外，今年美国多个州、印度、英国、越南、韩国、新加坡、孟加拉等陆续开展个人信息保护领域立法的颁布、修订或实施，就网络安全领域立法面向社会征求意见等。 国内方面，2023年2月13日，商务部印发《关于进一步做好两用物项出口管制工作的通知》，明确核心机构和经营机构应当依法履行网络和信息安全保护义务，对本机构网络和信息安全负责，相关责任不因其他机构提供产品或者服务进行转移或者减轻。 4月12日，国家网信办、工信部、公安部、财政部、国家认监委联合发布《关于调整网络安全专用产品安全管理有关事项的公告》，要求加强网络安全专用产品的安全管理。 4月27日，1999年发布的《商用密码管理条例》在24年后重新修订发布，旨在规范商用密码应用和管理，保障网络与信息安全，为数字化时代的可持续发展提供了有力的保障。10月，相关配套细则《商用密码应用安全性评估管理办法》《商用密码检测机构管理办法》进一步出台。 7月1日，《中华人民共和国反间谍法》正式施行，规定任何个人和组织都不得非法获取、持有属于国家秘密的文件、数据、资料、物品。违反本法规定，拒不配合数据调取的，由国家安全机关依照《中华人民共和国数据安全法》的有关规定予以处罚。 7月24日，中国人民银行发布了《中国人民银行业务领域数据安全管理办法（征求意见稿）》，旨在指导、督促相关数据处理者依法依规开展中国人民银行业务领域内的数据处理活动，为适用范围内的数据处理活动提供一般性、兜底性安全与合规底线，同时