展望2024年：数据保护领域值得关注的十大趋势

前言

2023年是《个人信息保护法》和《数据安全法》实施的第三年。在这一年，个人信息保护、人工智能监管、网络与数据安全、数据出境等方面的规则逐渐细化与完善，国家和地方以及不同行业主管机关持续、深入开展规则落地和相应执法活动。如今，数据保护已成为企业合规内控管理中一个重要的方面。站在新一年的开头，我们在回顾2023年的数据保护立法和执法情况的同时，也对未来一年数据保护和网络安全立法和监管相关、值得关注的重大趋势和问题展开预测。

1. 数据出境新规正式出台，申报范围更加明确

2023年，随着数据跨境流动规则的进一步统一和完善，出境合规路径也相继落地实施。一方面，数据出境安全评估、个人信息出境标准合同的相关申报和备案指南先后出台，个人信息保护认证的规则也初见雏形，各行业的企业数据出境活动逐步规范化。另一方面，数据出境监管在整体上也呈现出促进数据流通的趋势。具体而言，国家网信办于2023年9月28日发布的《规范和促进数据跨境流动规定（征求意见稿）》¹提出若干豁免数据出境合规路径的情形；《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》对特定地区的个人信息跨境流通进行特殊规范，一定程度上简化了个人信息保护影响评估及标准合同的内容。此外，不同地方政府也在尝试出台促进数据流通的规定。例如，北京市商务局发布《北京市外商投资条例（草案征求意见稿）》，规定“高效开展重要数据和个人信息出境安全评估，制定可自由流动的一般数据清单，促进数据安全有序自由流动。”²广州市政务服务数据管理局发布《广州市数据条例（征求意见稿）》，提出了跨境数据流通“白名单”制度。³上海市政府则发布《上海市落实〈全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案〉的实施方案》，其中提到探索建立合法安全便利的数据跨境流动机制，提升数据跨境流动便利性。通过加强相关行业出境数据分类指导、发布示范场景、在临港新片区建立数据跨境服务中心等，便利数据处理者开展数据出境自评等数据出境安全合规工作。⁴

在2024年，《规范和促进数据跨境流动规定（征求意见稿）》有望正式出台，目前草案项下一些尚不清楚的豁免条件和豁免情形也预计随着新规发布而明确，企业届时可以按照新规确定自身适用的数据出境合规路径以及所需申报的主体范围和出境场景。另一方面，由于数据出境安全评估和标准合同备案的规定已实施一年有余，预计从今年开始，网信办等监管部门将加强对数据出境不合规情形的执法力度，这可能涉及对企业数据出境活动的信息上报和实地检查活动。而随着出境新规的落地实施，也不排除监管机关会对部分重点行业或领域的数据出境实践实施更严格的监督检查。此外，在保障数据安全的前提下，立法和监管部门可能进一步探索保障数据安全和促进数据流通之间的平衡点，出台促进数据自由有序流通的新规或指引，例如各自贸区“负面清单”特殊制度。我们预计未来一年可能会有越来越多类似的灵活性规则出台，与新规一起为企业的数据流动提供更多的便利化路径。

2. AI监管规则进一步完善，规制和发展并进

2023年，随着ChatGPT的“出圈”，人工智能的巨大潜能和影响力再次让人们惊叹。为促进人工智能的健康发展和规范应用，与生成式人工智能服务、人工智能计算平台安全框架、自动化决策以及科技伦理审查相关的法规相继出台。国家网信办发布的《互联网信息服务深度合成管理规定》和《生成式人工智能服务管理暂行办法》在这一年先后生效施行，对服务提供商在数据模型训练、产品评估备案、内容管理和保护用户权益等方面提出了合规义务。除此之外，《网络安全标准实践指南——生成式人工智能服务内容标识方法》和《生成式人工智能服务 安全基本要求（征求意见稿）》等多个标准文件（含草案）的发布为生成式人工智能服务提供了具体指导。而在监管层面，对于人工智能大模型备案、安全评估等也进行了一定程度的实践探索。

预计在2024年，中国的人工智能监管规则将会进一步完善，并逐步形成相应的监管治理体系。在促进人工智能发展、最大发挥人工智能潜力的同时，也将最大限度防范人工智能相关风险，实现激励发展与合理规制的协调。此外，相关行业可能根据本行业人工智能发展和应用的具体情况，针对人工智能出台专门规定，以形成人工智能监管的行业化。围绕着生成式人工智能，2024年的监管重点可能涉及以下方面：（1）履行深度合成算法备案、人工智能大模型备案；（2）针对人工智能生成结果进行标识；（3）训练数据相关的个人信息保护；（4）落实科技伦理审查制度等。值得注意的是，由于《国务院2023年度立法工作计划》已将人工智能法草案列为预备提请全国人大常委会审议的法律草案⁵，预计今年这部法律将会有进一步立法进展，建议各企业密切关注。

3. APP领域执法继续加强，未备案APP将被下架

目前，针对APP个人信息保护的执法从国家到地方层面已形成常态化。2023年，工信部、国家网信办和市场监管总局及其各地办公室或机构等从中央到地方层面的监管机关，通过日常通报、专项监督检查等方式，对移动互联网应用领域的个人信息保护开展了密集的执法活动。以工信部为例，2023年，工信部门共对10609款APP要求责令整改，公开通报1861款APP，以及下架289款APP。⁶此外，2023年8月4日，工信部还发布《关于开展移动互联网应用程序备案工作的通知》，宣布开展移动互联网应用程序备案（下称“APP备案”）工作，要求在通知发布前的存量APP于2024年3月之前履行APP备案手续。

2024年，App个人信息保护合规执法将会持续性、常规化开展，并且可能会在下列方面进一步加强监管：第一，针对SDK的监管力度持续加强。2023年，工信部共通报44款SDK存在侵害用户权益行为，相比于去年增加了28款。⁷苹果App Store则针对第三方SDK的隐私保护进一步要求自2024年春季开始APP在上架App Store前必须包含特定SDK的隐私清单以及SDK签名。基于此，预计2024年监管机关和应用商店都会对APP所使用的SDK情况实施更为严格的监督和管理。第二，针对APP数据安全风险的现场检查可能会加强。以北京网信办为例，其在2023年组织开展了App收集使用个人信息专项检查，对20家重点App运营企业进行数据安全风险现场检查，并识别出若干数据安全风险。今年，不排除地方监管机构会继续加强对APP数据安全的现场检查活动，建议APP运营者做好应对准备。第三，未按要求完成备案的APP可能被下架。根据工信部的通知，2024年4月至6月，工信部将正式组织开展APP备案的监督检查工作，届时，未履行备案程序、从事违法违规活动的APP，将会面临下架等处理。

4. 网络安全事件立法和执法趋于细化和严格

《网络安全法》施行至今已经6年有余，有关网络安全的各项配套规则和执法活动已逐渐深入和完善。以安全事件管理为例，2023年，国家网信办发布《网络安全事件报告管理办法（征求意见稿）》，其中规定网络运营者在发生网络安全事件时，应当及时启动应急预案进行处置；属于较大、重大或特别重大网络安全事件的，应当于1小时内进行报告。同时，各行业主管部门也于2023年针对行业领域内的数据安全事件应急处置工作制定规则或展开执法活动。例如，工信部发布的《工业和信息化领域数据安全事件应急预案（试行）（征求意见稿）》要求工信领域数据处理者一旦发生数据安全事件，应当立即先行判断，对自判为较大以上事件的，应当立即向地方行业监管部门报告。在地方网络安全执法层面，各地通信管理局也针对本地单位落实网络安全义务的情况开展了各类专项检查和执法活动。例如，上海市通信管理局在4月23日对2022年度被通报的互联网信息系统未落实通信网络安全防护管理要求等问题的单位进行了检查，并通报了29家未落实网络安全义务的单位。

我们预测，网络安全事件应急处置要求将在2024年在立法及执法层面趋于细化和严格。一方面，《网络安全事件报告管理办法（征求意见稿）》有望在2024年正式发布，届时有关网络安全事件的报告对象、形式、内容及时间要求等均从法规层面得到明确，企业将需严格履行向网信部门报告网络安全事件的义务。另一方面，网信部门和各行业主管部门在持续推动相关规则出台的同时，对网络安全事件的执法可能更加严格。企业需要更加网络安全事件风险，提前制定完善的管理制度，并采取组织措施和技术措施应对各类频发网络安全和数据泄露事件，及时发现和解决潜在的安全风险。

5. 特殊行业领域数据保护规则细化、执法加强

2023年，金融行业数据安全相关立法和执法活动非常活跃。中国银行保险监督管理委员会⁸发布了发布《银行保险机构消费者权益保护管理办法》，要求银行保险机构处理消费者个人信息应当坚持合法、正当、必要、诚信原则，切实保护消费者信息安全权。中国人民银行发布了《中国人民银行业务领域数据安全管理办法（征求意见稿）》，对数据处理者在中国境内开展的中国人民银行业务领域数据相关的处理活动的数据安全保护要求进行了全面规定。在监管执法方面，国家金融监督管理总局、中国人民银行、中国证监会分别发布了若干金融消费者权益保护典型案例，涵盖银行、保险、证券、非银支付等行业，部分案例涉及未经授权访问或非法处理消费者的个人信息的违法情形。

其他重点行业领域也进一步制定与所在行业密切相关的数据保护和网络安全法规，相应发布了适用于本行业的数据合规要求及流程。例如，在工业领域，工信部针对工信领域的工业互联网安全、数据安全行政处罚裁量等方面，先后发布《工业互联网安全分类分级管理办法（征求意见稿）》、《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》等法规征求意见稿。在汽车数据领域，工信部还发布《汽车整车信息安全技术要求》等强制性性国家标准的修订征求意见稿。

随着科技的不断发展和行业的数字化转型，对于特殊监管行业而言，信息的安全性和隐私保护变得尤为重要。我们预测，2024年针对重监管行业信息保护的监管将更加严格且具体。首先，监管机构可能制定更加严格的法规和标准，基于行业、领域的特点，趋向细节性和可操作性。其次，监管机构也将加强对监督和检查力度，以惩罚违反信息保护规定的机构。

6. 未成年人信息保护的规则细化和落地值得关注

在目前的中国法框架下，未成年人（包括未满十四周岁的儿童）的个人信息保护主要由《未成年人保护法》、《个人信息保护法》、《儿童个人信息网络保护规定》等法律法规进行规制，特殊合规义务主要包括设立专门的儿童个人信息保护规则、设立专人负责儿童个人信息保护、向第三方转移儿童个人信息需进行安全评估、取得父母或其他监护人同意等。2023年8月，国家网信办发布了《移动互联网未成年人模式建设指南（征求意见稿）》，将“青少年模式”升级为“未成年人模式”，推动模式覆盖范围由APP扩大到移动智能终端、应用商店，实现软硬件三方联动。

预计在2024年，未成年人个人信息保护的要求进一步趋于细化，相关执法监督检查工作力度将进一步加大。具体而言，随着《未成年人网络保护条例》于2024年1月1日正式施行，企业将需要严格落实该条例项下的未成年人个人信息保护合规义务，监管部门可能将针对网络产品和服务提供者建立健全防沉迷制度、设置未成年人模式、进行未成年人个人信息处理合规审计、私密信息保护等进行重点监督。

7. 各监管部门相关执法进一步深入

2023年，网络安全和数据保护的监管和执法活动进一步深入持续开展。网络安全审查方面，2023年9月，国家网信办对某网络平台依法作出网络安全审查相关行政处罚的决定，责令停止违法处理个人信息行为，并处罚款。国家网信办表示，将继续坚持统筹发展和安全，坚持依法管网，强化网络安全、数据安全和个人信息保护等领域执法。此外，各地的行业主管部门对于本地通信、工业和互联网、车联网等领域网络及数据安全情况开展了执法活动。例如，广东省通信管理局、上海市通信管理局、浙江省通信管理局先后针对属地内的电信和互联网行业开展网络安全检查；⁹北京网信办组织开展北京市汽车数据安全管理年度报告评审工作，对31家企业报送的汽车数据安全管理年度报告进行了考核评定；¹⁰湖北省通信管理局对属地内工业互联网平台企业、工业互联网标识解析企业和车联网服务平台运营企业提交的定级备案信息进行审核，发现54家单位存在未落实相关要求。¹¹

我们预计，网络和数据安全执法活动将在2024年继续在国家、地方层面以及不同行业内深入展开，执法监督检查工作力度将进一步加大。特别的，随着《工业和信息化部行政执法事项清单》、《网信部门行政执法程序规定》和《工业和信息化行政处罚程序规定》均在2023年正式生效实施，可以预见，在新的一年，工信部门和网信部门的行政执法活动的执法程序、标准将会更加明确。

8. 重要数据识别和处理规则将完善

重要数据的识别和处理要求是企业在实践中常常会遇见的难点问题，而重要数据监管又是国家数据安全工作的重点，相关规则也正处于不断建立和完成的过程之中。在重要数据识别方面，国家网信办2023年发布的《规范和促进数据跨境流动规定（征求意见稿）》中明确规定“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。”全国信息安全标准化技术委员会发布《信息安全技术 重要数据处理安全要求（征求意见稿）》，重点针对处理重要数据的信息系统、云平台应满足的安全要求、重要数据全生命周期处理过程应满足的安全要求、运行与管理安全等安全要求作出规定。但是，截至目前，上述法规和标准均未正式发布和施行。同时，各地方和行业主管部门也在不断推动重要数据识别和处理规则的建立和完善。例如，上海市通信管理局在2023年初结合行业数据安全和发展实际，建立属地数据安全风险防控重点企业名录，并组织完成属地电信和互联网行业首批重要数据和核心数据认定工作。¹²工信部发布《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》，细化工信领域重要数据处理者进行数据安全风险评估的具体要求。

我们预计，重要数据识别和处理规则将在2024年在立法层面以及实践层面得到进一步完善。一方面，重要数据识别和处理规则的相关法规标准将陆续正式出台并提供立法上的指引。另一方面，各地方和行业主管部门可能进一步建立和完善重要数据识别制度，便于企业在实践中能够正确识别和合规处理重要数据。

9. 个人信息审计可能成为企业下一步合规工作重点

自《个人信息保护法》正式生效以来，围绕个人信息保护的不同方面、不同场景的要求逐渐细化，相关实施细则和标准陆续出台，以增强法律的可操作性和执行力，为个人信息处理者提供更加具体和详细的合规指引。2023年8月，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》，该管理办法进一步细化和补充了《个人信息保护法》第54条和第64条规定的个人信息保护合规审计要求，并将合规审计的触发情形区分为“定期自主审计”与监管部门认为个人信息处理活动存在较大风险或者发生个人信息安全事件时要求的“不定期强制审计”两类，为企业开展和落实合规审计工作提供了明确的指引。

我们预测，《个人信息保护合规审计管理办法》有望在2024年正式出台并实施，对于企业而言，将需要按照生效后的管理办法，明确将个人信息保护合规审计及规定审计范围工作纳入合规工作的范围，以落实和履行法律义务。另一方面，我们理解企业在完成合规审计后形成的相应报告及其形成的记录文档也可作为合规性证明，帮助企业在政府、相关机构或商业伙伴的调查、执法、合规性审计等活动中证明其遵守了个人信息保护与数据安全等方面的法律、法规和标准的要求。建议企业应尽早结合自身业务与管理体系特点，建立内部个人信息保护合规审计工作机制，为管理办法正式实施后所需开展的合规审计做好准备。

10. 数据作为“生产要素”和 “资产”的相关规则将深化实施

随着数字化经济的深入发展，数据要素在经济社会中的潜力和价值正在日益凸显。2023年，我国在数据要素的确权、入表、运营、制度规则设计等领域开展了一系列积极探索。财政部于2023年底发布的《关于加强数据资产管理的指导意见》指出将推动数据资产权利分置，完善数据资产权利体系，同时加强数据分类分级管理，建立数据资产分类分级授权使用规范。国家数据局发布的《“数据要素×”三年行动计划（2024―2026年）》则提出“研究数据资源持有权、数据加工使用权、数据产品经营权等分置的落地举措”，在2022年底发布的“数据二十条”的基础上进一步推动数据产权制度的落地实践。这两部法规文件，连同《数据资产入表及估值实践与操作指南》等系列政策，对数据资产管理、数据要素赋能重点领域、数据资产入表等核心问题进行规范和阐明。在国家数据要素顶层政策的基础上，数据要素市场体系建设已正式进入实质性启动阶段。

我们预测，数据作为“生产要素”和“资产”的规则将在2024年进一步得到深化实施。相关规则的实施将对数据的管理和利用产生重大影响。一方面，将数据视为“资产”意味着企业和组织需要对其数据进行更加有效的管理和保护。数据的价值将被认可，并且将成为企业财务报表中的重要组成部分。这将促使企业加强数据安全措施，确保数据的完整性和保密性。另一方面，将数据视为“生产要素”将推动企业更加注重数据的收集和分析。数据将成为企业决策的重要依据，帮助企业更好地了解市场趋势和消费者需求。这也将促使企业加大对数据科学和人工智能等技术的投资，以提高数据的分析能力和洞察力。总之，相关规则的实施将为企业带来更多的机遇和挑战，需要企业积极应对和适应。

结 语

以上是我们在总结过去一年数据领域重大立法和执法事件的基础上，对2024年所做的一些展望，以期抛砖引玉，供相关从业人员进一步探讨。2024年，中国将持续发挥数据的基础资源作用和创新引擎作用，不断做强做优做大数字经济，健全和发展数据保护相关监管体系。我们将与各企业一同密切关注数据保护和网络安全领域立法动态和监管活动的新变化和新进展，并持续为客户提供及时有效的合规建议。

* 实习生夏正桐对本文亦有贡献

[1] http://www.cac.gov.cn/2023-09/28/c_1697558914242877.htm

[2] https://sw.beijing.gov.cn/zmhd/dczjj/202309/t20230920_3262661.html

[3] http://zsj.gz.gov.cn/hdjlpt/yjzj/answer/29851

[4] https://www.shanghai.gov.cn/nw12344/20240205/2af907af61cf4977866b7d377baf5d1d.html

[5] https://www.gov.cn/zhengce/zhengceku/202306/content_6884926.htm?trs=1

[6] https://www.miit.gov.cn/ztzl/rdzt/wmzyn/art/2024/art_d11e539f56104e95b6faf21b30cc8484.html

[7] 相关数据发布在工信部官网信息通信管理局“工作动态”栏目，详见https://wap.miit.gov.cn/jgsj/xgj/gzdt/index.html。

[8] 目前已组建为国家金融监督管理总局。

[9] 分别参见：https://gdca.miit.gov.cn/zwgk/tzgg/art/2023/art_144338a84aea40198959b1437f20d146.html；https://shca.miit.gov.cn/zwgk/tzgg/art/2023/art_ac67be43030348f38f24c8b3361f2841.html；https://zjca.miit.gov.cn/zwgk/tzgg/art/2023/art_85f7e7e9f078473184be09e98a0c75fd.html

[10] https://mp.weixin.qq.com/s/uqUnmWhxQy18dMNTZyrUDg

[11] https://hubca.miit.gov.cn/zwgk/tzgg/art/2023/art_c9e2c2a28e914a92b754d98e2be91f40.html

[12] https://mp.weixin.qq.com/s/cn_Bdytwzju_oIZneIC53A