2023年中国个人信息与数据保护法律实务概览：律师视角

2023 年中国个人信息与数据保护法律实务概览：律师视角

摘要

2023年见证了我国在数字科技和人工智能领域取得的进步和成果，也见证了我国个人信息与数据保护监管政策和配套制度的进一步完善。这一年，是构建数据基础制度体系的纲领性文件“数据二十条”[1] 颁布的开局之年，我国加快激活数据要素潜能，从数据产权、数据要素流通交易、数据要素收益分配、数据要素治理等方面推进数据基础制度框架和数据要素市场化的发展。

政府组织架构方面，2023月10月，国家数据局正式揭牌，主要负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，统筹推进数字中国、数字经济、数字社会规划和建设等，由国家发展和改革委员会管理。在国家数据局的示范效应下，全国首个省级数据局江苏省数据局于2024年1月5日正式成立，开年以来，全国已相继成立四川、上海、河北、云南、青海等19个省级数据局，标志着我国对统筹推进全国数据资源整合方面的重视程度提升到了新的高度。

监管政策方面， 2023年，我们见证了数据自由流动治理实践的深化。2023年2月，国家互联网信息办公室（“国家网信办”）发布了《个人信息出境标准合同办法》（“《标准合同办法》”）及《个人信息出境标准合同》（“《标准合同》”）；9月末，国家网信办发布《规范和促进数据跨境流动规定（征求意见稿）》，尝试为数据跨境流动“松绑”，目前最终稿尚未发布；12月，《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》及《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同》发布，在局部地区放宽数据流动监管要求，进一步助力数据的安全有序自由流动。展望2024年，待未来《规范和促进数据跨境流动规定》正式稿颁布，我国优化数据跨境监管政策的探索或将进一步深化，以回应日益增长的数据跨境活动与经济企稳回升的现实需求。2023年是数据跨境传输监管变革之年，也是深化数据流通与交易和人工智能科技监管的元年。未来，随着《“数据要素x”三年行动计划（2024-2026年）（征求意见稿）》等促进数据流通和交易规则的出台和落实，我国数据要素市场化将更加深入，个人信息和数据保护发展将进入一个更具活力和多元化的阶段，为迎接新时代的机遇和挑战做足准备。

司法方面，在网络安全、数据安全和个人信息保护的法律框架下，2023年见证了一系列典型的涉个人信息、数据权益保护和AI技术前沿的民事和刑事案件，如在“AI换脸”侵犯个人信息公益诉讼案中，使用换脸技术制作、散布深度合成的虚假视频和图片构成侵犯公民个人信息权益和社会公共利益的行为；在“刷宝APP”不正当竞争纠纷案中，法院认定非独创性数据集合形成的竞争性利益属于反不正当竞争法所保护的数据权益。随着2024年数据要素市场的进一步发展，涉及数据权属、数据确权、数据交易等环节以及与人工智能数据保护相关的法律争议可能显著增加。

执法方面，《网信部门行政执法程序规定》的颁布对网信部门立案、调查取证、审核、决定、送达、执行等多个环节行政执法程序进一步明确；继2022年的滴滴公司网络安全审查案之后，我国网信部门在2023年对美光公司、中国知网实施网络安全审查并作出行政处罚决定。在网络生态方面，各级网信部门通过“清朗”专项行动整治自媒体、短视频、搜索引擎、社交媒体等方面存在的网上违法违规行为。2024年，网络安全审查与互联网违法违规行为整治将逐渐形成常态化监管模式。

2023 年，我国在数字科技和人工智能领域取得了显著的进步和成果，我国个人信息与数据保护监管政策和配套制度也取得了进一步完善。2023年是构建数据基础制度体系的纲领性文件“数据二十条”[2] 颁布的开局之年，这一年，国家数据局正式揭牌，全国各省市相继成立省级数据局，标志着我国对统筹推进全国数据资源整合方面的重视程度提升到了新的高度。回顾2023年中国的个人信息与数据保护的发展成果，我们认为——机遇仍然大于挑战。以下是我们对2023年中国个人信息与数据保护发展的一些重要变化的回顾，以及对2024年的展望。

一、 2023 年数据跨境监管发展回顾

2023年，我国数据跨境监管呈现出两大重要趋势。其一，随着《数据出境安全评估办法》《标准合同办法》以及《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》等文件的落地，我国数据出境安全评估（“安全评估”）、个人信息出境标准合同备案（“标准合同备案”）、个人信息保护认证（“认证”）三大数据跨境监管制度正式建成并从纸面走向实践。其二，数据跨境监管制度的落实同时暴露出强监管、高审核标准与我国企业对于数据要素跨境流动的需求之间的矛盾，为实现真正的“数据依法有序自由流动”，我国政府对数据跨境监管政策不断调整优化。

（一） 现行数据跨境监管政策框架

在我国现行法律框架下，个人信息和重要数据的出境受到以下限制：

• 对于重要数据，根据《网络安全法》《数据安全法》和配套规则，重要数据出境前，数据处理者（类似于欧盟GDPR下Data Controller，即数据控制者，的概念）必须进行数据出境安全评估，并获得国家网信办的批准。

• 对于个人信息，根据《个人信息保护法》和配套规则，个人信息需通过以下三种路径方可出境，即： (1 ）安全评估， (2 ）标准合同备案， (3) 认证。这三种机制的解释和应用范围如下：

（二） 2023 年数据跨境监管政策发展

继2022年安全评估和认证配套法规发布后，2023年2月22日，国家网信办正式发布《标准合同办法》及《标准合同》，于2023年6月1日起正式施行，数据跨境三路径的完整版图正式形成。与《数据出境安全评估办法》相同，《标准合同办法》也给予了6个月的整改期。

2023年8月13日，《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》（“《优化外商投资环境意见》”）横空出世，要求“营造市场化、法治化、国际化一流营商环境，充分发挥我国超大规模市场优势，更大力度、更加有效吸引和利用外商投资”。在数据跨境流动安全管理机制这一细分领域，《优化外商投资环境意见》定下了“便利化”的基调，并提出建立绿色通道，以及在北京、天津、上海、粤港澳大湾区等地区试点探索形成可自由流动的一般数据清单等具体措施。

在此背景之下，2023年9月28日，国家网信办发布了《规范和促进数据跨境流动规定（征求意见稿）》（“《征求意见稿》”）。《征求意见稿》设定了数据出境监管制度的豁免条件，并提高了三大监管制度的适用门槛，且明确了其在不一致时，优先于包括《数据出境安全评估办法》《标准合同办法》在内的其他规定适用的地位。

《征求意见稿》为数据跨境流动“松绑”的具体表现如下：

• 国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境，不包含个人信息或者重要数据的，不需要申报安全评估、订立标准合同、通过认证。

• 对于长期困扰企业的重要数据的识别问题，《征求意见稿》明确，未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估。

• 不是在境内收集产生的个人信息向境外提供，以及为订立、履行个人作为一方当事人的合同所必需，或按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理，或紧急情况下为保护自然人的生命健康和财产安全等而向境外提供的必要个人信息，均被列入“白名单”，无需通过前述三种路径出境。

《征求意见稿》规定的三条路径适用门槛如下：

《征求意见稿》大大提高了三条路径的适用门槛，这意味着数据出境是否会受到监管将取决于未来一年拟出境个人信息对应的自然人数，而不是处理者当前处理的或之前出境的个人信息对应的自然人数。如果《征求意见稿》得以实施，则预计一年内向境外提供不满1万人个人信息的企业无需通过前述三条路径出境，这将大大降低合规成本。值得注意的是，在个人信息门槛方面，《征求意见稿》没有区分一般个人信息和敏感个人信息。《征求意见稿》还允许自由贸易区自行制定需要纳入安全评估、标准合同备案或认证的数据清单，即负面清单，免除清单之外的数据的监管义务。

在地区特殊规定方面，2023年12月10日，为落实《关于促进粤港澳大湾区数据跨境流动的合作备忘录》，国家网信办与香港创新科技及工业局共同制定并正式发布了《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》，取消了大湾区内适用标准合同备案的数据规模限制，并简化了备案材料及评估要求。

在政策调整优化的春风之下，我国数据跨境流动态势有所回暖。据统计，在《优化外商投资环境意见》出台前夕的2023年7月，全国通过数据出境安全评估的单位累计仅20家，其中北京地区为6家。而据北京网信办于2024年1月初披露的数据，北京地区已有117家单位正式提交数据出境安全评估申报，45家单位的申请被国家网信办受理，获批通过评估的单位数量已达39家。

标准合同备案方面，2023年6月，北京网信办受理的北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同成为全国首个通过备案审核的案例。此后，浙江、海南、江西、湖北、湖南等地网信部门也均官宣本地区首例个人信息出境标准合同备案通过。

与前两个监管体系相比，个人信息保护认证的实施则较为延迟。2023年12月15日，珠海澳科大科技研究院、BOSS直聘、支付宝、SHEIN、京东获得第一批认证。

在2024年2月5日举行的国务院政策例行吹风会上，商务部外国投资管理司司长表示，《征求意见稿》正在研究完善，准备推动出台。展望2024年，优化数据跨境监管政策的探索或将进一步深化，以回应日益增长的数据跨境活动与经济企稳回升的现实需求。

二、 2023 年数据保护领域监管政策回顾

除数据跨境监管以外，2023年，我国在境外发行上市网络安全审查、生成式人工智能监管、工信领域的特殊监管、以及逐步走向行业纵深的网络安全等级保护制度等方面均有所发展。

（一） 境外发行上市监管：网络安全审查

2022年2月施行的《网络安全审查办法》，对于掌握超过100万用户个人信息的网络平台运营者赴国外上市，设置了主动向国家网信办网络安全审查办公室申报网络安全审查的法定义务。2023年，在《网络安全审查办法》出台一周年之际，中国证券监督管理委员会颁布《境内企业境外发行证券和上市管理试行办法》《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》等配套规范并正式施行，如果境内企业赴境外发行上市涉及安全审查，则应当履行相关安全审查程序。由此统筹规范境内企业赴包括国外及中国香港发行上市交易相关活动，进一步压实境内企业境外发行上市交易过程中的网络安全、数据安全和国家安全保护义务。

如今境内企业赴境外上市之前，通常会主动申报或在招股说明书中出具无需申报的相关说明，例如连锁酒店企业亚朵集团采取了主动申报网络安全审查并获批的方式赴美上市，人工智能企业“小i机器人”[3] 则在主动申报后取得无须就此次国外上市进行网络安全审查的书面确认后赴美上市，部分赴美国、中国香港上市的境内企业虽未申报网络安全审查，但在招股说明书中论证了自身无需申报的理由，或将触发网络安全审查与否作为尚不明确的事项进行风险披露和说明。

（二） 生成式人工智能：个人信息保护与算法备案义务

随着OpenAI技术异军突起，中国生成式人工智能企业迅猛发展，我国监管部门在《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》等算法备案监管制度的基础上出台了生成式人工智能算法管理的规定。2023年8月，国家网信办等7部门联合发布的《生成式人工智能服务管理暂行办法》正式施行，成为我国首份生成式人工智能领域的监管制度，启动生成式人工智能监管元年，也为2024年可能出台的人工智能法草案[4] 奠定基础。该暂行办法在技术治理、服务规范等方面为生成式人工智能提供者提出了明确的合规要求，另外，与前述算法备案监管规定一致，“具有舆论属性或者社会动员能力”的生成式人工智能服务提供者同样需要履行算法备案义务。

自2023年8月底以来，国家网信办已累计发布4批《境内深度合成服务算法备案清单》，商汤、百度、阿里巴巴、蚂蚁集团、网易有道以及360等数百家数字科技企业的AI大模型产品陆续通过备案并上线提供服务。面对我国人工智能技术的迅速成长，如何保障数据安全和AI大模型产品常态化的审慎监管，将是2024年行政监管的主要课题。同时，随着《科技伦理审查办法（试行）》的施行，企业需要重点注意算法备案、科技伦理评估以及个人信息合规审计等多个领域的复杂合规义务。

（三） 工信领域：更高的数据安全监管要求

2023年初，《工业和信息化领域数据安全管理办法（试行）》（“《管理办法》”）正式施行，《管理办法》对工信领域数据处理者的数据分类分级、重要数据识别与备案、数据全生命周期安全管理等提出了细致的要求。

根据《管理办法》，数据处理者应将本单位制定的重要数据和核心数据目录向本地区行业监管部门备案；重要数据和核心数据处理者应当自行或委托第三方评估机构，每年对其数据处理活动至少开展一次风险评估，并向本地区行业监管部门报送风险评估报告；对于中央企业，《管理办法》特殊规定中央企业应当督促指导所属企业做好数据安全管理工作，除履行各公司所在地监管义务外，还需要全面梳理汇总企业集团本部、所属公司的数据安全相关情况，并报送工业和信息化部。

（四） 网络安全等级保护：走向行业纵深

近年来，随着《网络安全法》的正式实施和网络安全等级保护相关标准的出台，标志着我国网络安全等级保护2.0时代正式开始。自2022年底以来，我国网络安全等级保护走向行业纵深。为规范电力行业网络安全等级保护管理，提高电力行业网络安全保障能力和水平，同时也为了与《网络安全法》《关键信息基础设施安全保护条例》和网络安全等级保护相关标准进行衔接，国家能源局颁布《电力行业网络安全等级保护管理办法》，规定了电力行业网络安全等级划分与保护、等级保护的实施与管理、网络安全等级保护的密码管理等工作内容和相应的法律责任，具体明确了国家能源局及其派出机构、电力企业、网络安全等级保护测评机构在电力行业网络安全等级保护定级、审核、建设、测评、检查及密码管理等方面的要求。为推进制度实施，国家能源局在2023年初印发的《2023年电力安全监管重点任务》中强调“推进电力行业网络与信息安全工作”和“开展电力行业关键信息基础设施安全保护专项监管”的要求。

三、    2023 年数据保护领域典型司法案件回顾

随着《个人信息保护法》相关法律框架的确立，近年来涌现了一系列典型个人信息保护领域的民事和刑事案件。涉诉个人信息类型涵盖个人信息和敏感个人信息，侵权形式主要包括未经同意收集、公开、提供个人信息，或超范围收集个人信息，所涉及的场景覆盖金融、在线教育、电商等数字经济领域。数字经济时代，数据成为经济发展的核心驱动力，商业数据已经成为企业获取竞争优势的战略性资源。随着数据要素市场的高速发展，涉及数据权属、数据确权、数据交易等环节的法律争议频发。

在网络安全、数据安全和个人信息保护的法治框架下，这些案件为未来的司法实践提供了宝贵的经验，为不断完善和加强个人信息保护法律体系提供了重要参考。2023年，云计算和人工智能的迅猛发展更使得数据权益问题也备受关注。预计未来，与人工智能数据保护相关的案件将大幅增加。

（一） 个人信息保护诉讼案件

2021年11月1日，《个人信息保护法》的正式实施为维护公民个人信息权益提供了坚实的法律基础。随着这一法律框架的确立，两年以来涌现了一系列引人关注的个人信息保护领域的民事和刑事案件。从各地法院发布的2023年个人信息保护典型案例来看，涉诉个人信息类型包括手机号码、身份证号、浏览记录、职业信息、位置信息、人脸信息等。侵权形式主要包括未经同意收集、公开、提供个人信息，或超范围收集个人信息的行为。所涉及的场景包括金融、在线教育、电商等数字经济领域。同时，也出现了涉及死者信息处理等新类型个人信息保护的相关判决。进一步为个人信息和数据保护这一前沿法律问题提供了详实的司法实践参考。

其中，部分典型案件中具有代表意义的裁判观点包括（1）个人信息处理者应当承担死者个人信息权利保护的义务。在“郭某等诉上海某科技公司等个人信息保护纠纷案”中，北京互联网法院明确了用户去世之后，个人信息处理者仍然应当承担死者个人信息权利保护的义务，允许死者近亲属查询、复制死者的个人信息，并同时明确个人信息处理者对于死者个人信息保护义务的履行边界、确认了自然人在查询、复制个人信息的合理边界需要符合“合法、必要、正当原则”。[5] （2）关联产品间共享用户数据应获有效同意。在“黄某与深圳某计算机公司等隐私权、个人信息保护纠纷案”中，北京互联网法院提出了信息处理知情同意的“透明度”标准，即信息主体在合理预期下对处理方式、目的的知晓程度及自主决定的程度，知情同意应该充分、自愿、明确。并认定个人信息处理者在一个服务平台获得处理个人信息的同意，未真实、准确、完整告知个人信息主体将个人信息提供给关联产品的，不应认定个人信息处理者获得了在关联产品中处理个人信息的有效同意。[6] （3）已脱敏处理、无法识别到具体个人的信息，在使用中不构成对个人信息的泄露。在“田某与某物业公司隐私权、个人信息保护纠纷案”中，江门市蓬江区人民法院认定个人信息的认定标准为具有“可识别性”，对于单独或者结合其他信息可识别特定自然人的信息，均纳入个人信息的范畴。而本案中物业公司已对可识别的个人信息进行脱敏处理，不构成个人信息泄露以及对隐私权的侵犯。[7] （4）未经同意采集人脸图像的证据属于非法证据。在“某科技公司与某房地产公司商品房委托代理销售合同纠纷案”中，佛山市禅城区人民法院经审理认为被告公司未经许可擅自设置人脸图像采集、个人身份识别设备，长时间收集、储存客户人脸信息，严重侵犯他人合法权益、违反法律禁止性规定，其以该方式所收集的证据属于非法证据不予采信。[8]

在公益诉讼案件方面，《个人信息保护法》明确赋予检察机关提起个人信息保护领域公益诉讼的权限，全国检察机关2022年共办理了6000余件个人信息保护公益诉讼案件。通过刑事检察和公益诉讼检察相结合，同时追究违法者的刑事责任和公益责任，有效推动了不同领域系统性的个人信息风险问题的解决，尤其是涉及新兴技术发展与个人信息保护的领域。

2023年3月30日，最高人民检察院发布的一批个人信息保护检察公益诉讼典型案例，涉及强制采集人脸信息、未定期删除用户敏感信息、医疗机构和物流公司泄露用户数据等较为典型的违法处理个人信息的行为。[9] 此外，在高速发展的人工智能等新兴技术领域所涉及的个人信息保护方面，法院也通过公益诉讼案件作出了初步探索，积累了宝贵的经验。2023年8月7日，杭州互联网法院公开审理了“AI换脸”侵犯个人信息公益诉讼案，认定被告人使用换脸技术制作并散布深度合成的虚假视频和图片，未经授权收集他人人脸敏感信息，广泛发布于多个社交软件群组，同时提供人脸替换服务并非法牟利的行为侵害了个人信息权益和社会公共利益。[10]

在网络安全、数据安全和个人信息保护的法治框架下，这些案件为未来的司法实践提供了宝贵的经验教训，为不断完善和加强个人信息与数据保护法律体系提供了重要参考。

（二） 数据权属与权益相关诉讼案件

数字经济时代下，数据成为数字经济发展的核心驱动力，商业数据已经成为企业获取竞争优势的战略性资源。随着数据要素市场的高速发展，在实际运作中，涉及数据权属、数据定价、数据交易等企业之间因为数据的收集、处理和利用而引发的法律争议频发。

从2023年公布的部分典型数据不正当竞争纠纷案件来看，法院对于如何认定当事人拥有数据权益、如何认定被诉行为构成不正当竞争行为基本形成了较为统一的裁判思路。

在认定数据权益方面，虽然尚无全国性的法律、行政法规对数据权益作出具体界定，但实践中司法观点多承认在数字经济时代下，数据极具经济意义和竞争价值，日益成为市场经营主体争夺的对象，可以构成竞争利益。因而多从涉案数据是否投入经营成本、是否带来商业利益、是否取得竞争优势等方面来判断当事方是否拥有涉案数据的合法权益。如在“刷宝APP”不正当竞争纠纷案中，北京知识产权法院认为被告公司通过合法经营，投入巨大的人力、物力、财力，收集、存储、加工、传输另一平台数据，形成了包括用户个人信息、短视频和用户评论在内的非独创性数据集合。该数据集合的规模集聚效应，能够为被告公司带来巨大的经济利益，在市场竞争中形成竞争优势。因此涉案非独创性数据集合形成的竞争性利益属于反不正当竞争法所保护的合法权益。[11]

除了数据可带来的竞争利益，数据的来源合法性也是法院重点考虑的因素。在“伪装普通平台商家”方式非法获取数据不正当竞争纠纷案中，北京市西城区人民法院要求当事方在对涉案数据的收集和使用过程中需满足合法性、最小必要性、用户自主选择性、授权同意性、数据已脱敏性的要求。该案中被告公司已在隐私政策中明确宣示收集信息的内容、方式，并确保仅收集与网购和交易安全相关的最小必要信息，允许用户自主选择提供非必要信息。此外，被告公司对个人信息进行匿名化和去标识化处理，以确保商业使用前的数据脱敏，满足隐私保护要求。因此法院认为，该案中经过被告公司匿名化和去标识化后的衍生数据，已无法与个人信息对应，且该种衍生数据可以呈现电商平台某一商品、店铺、品类或行业特有的信息，其代表的是平台自身独有的经营信息，该种经营数据和信息权益应由京东享有。[12]

在不正当竞争行为的认定方面，法院多从对数据的使用行为是否具有“搭便车”的主观恶意、是否损害了当事方和消费者的合法权益、是否破坏了市场竞争秩序、是否违背了诚实信用原则和公认的商业道德等方面予以考量。如在“高校毕业生就业数据非法使用案”中，北京知识产权法院认定，三家被告公司销售被诉数据，获取直接经济利益，并未经允许或支付费用就利用这些数据宣传自己的产品，获取竞争优势的行为直接损害了原告公司的经营收益，同时逐渐降低了大数据行业经营者进行技术创新和投入的积极性，破坏了竞争秩序，对大数据行业的正常、有序发展构成了阻碍，并最终造成社会福利的减损。[13]

除了通过不当手段获取他人合法拥有的用户信息、交易信息等竞争利益数据，2023年云计算和人工智能的迅猛发展更使得数据权益问题也备受关注。预计未来，与人工智能数据保护相关的案件将大幅增加。

四、 2023 年数据保护领域行政执法态势回顾

2023年，随着《网信部门行政执法程序规定》对网信部门立案、调查取证、审核、决定、送达、执行等多个环节行政执法程序的进一步明确，以及《网络安全法》《数据安全法》《个人信息保护法》等相关法律的深入实施，以网信部门统筹协调公安部门、国家安全部门等有关机关各司其职的网信执法和监管体制逐渐确立，我国网络安全法治的重心开始逐渐倾向执法环节，在关键基础设施供应链、电子商务、物流、教育等领域深入开展了多起引人注目的执法活动。

2023年3月31日，国家网信办公告将按照《网络安全审查办法》，对美光公司（Micron）在华销售的产品实施网络安全审查；[14] 并于5月21日宣布因美光公司产品存在较严重网络安全问题隐患，对我国关键信息基础设施供应链造成重大安全风险，影响我国国家安全，作出不予通过网络安全审查的结论。[15] 作为首例公开未通过安全审查的案件，凸显了我国对关键信息基础设施供应链安全的高度关切。

2023年9月6日，继滴滴“80亿天价罚单”开出一年后，国家网信办发布对知网（CNKI）依法作出网络安全审查相关行政处罚的通报。通报指出，国家网信办经调查发现知网所运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等侵犯用户信息的违法行为。综合考虑违法行为的性质、后果、持续时间，特别是网络安全审查情况等因素后，责令知网停止违法处理个人信息的行为，并罚款5000万元。[16]

值得注意的是，在2022年6月启动对知网的调查通报中曾提及因知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及我重大项目、重要科技成果及关键技术动态等敏感信息，因此按照《网络安全审查办法》启动调查。[17] 但在最终通报中仅披露了调查发现“违法处理个人信息行为”而作出的处罚，并未披露有关网络安全审查的结论。虽因涉及国家安全事项，没有公开网络安全审查结果。

除此之外，2023年各地继续积极开展数据安全和个人信息保护方面的执法活动，重点针对未落实数据安全管理制度、重要数据处理者未提交风险评估报告、数据泄露、未合理履行个人信息处理者的合规保障义务、未经个人同意违法收集使用信息等违法行为，广泛涉及互联网平台、软件、医疗、房地产、快递等领域，各级执法机构持续强化常态化执法并公开相应的典型案例。在此过程中，检查、警告、约谈、业务暂停和（应用程序）下架等已经成为主要的执法和监管措施。

在网络生态方面，各级网信部门还通过“清朗”专项行动，大力查处各类网上违法违规行为，包括整治自媒体、短视频、搜索引擎、社交媒体等多方面，对违规平台和账号进行及时约谈，责令整改，严格处罚，维护网络环境秩序。据统计，2023年共约谈网站10646家，责令453家网站暂停功能或更新，下架移动应用程序259款，关停小程序119款，会同电信主管部门取消违法网站许可或备案、关闭违法网站14624家，督促相关网站平台依法依约关闭违法违规账号127878个。[18]

在法律法规的不断完善和各级监管部门的执法行动趋于严格、精细和常态的背景下，对企业在数据合规和安全审查方面的能力提出了更高要求。

五、    2023 年其他值得关注的重要事件

2023年，随着个人信息保护合规审计制度、数据资产入表会计计量准则以及《“数据要素x”三年行动计划（2024-2026年）（征求意见稿）》等促进数据流通和交易规则的逐步出台，“数据二十条”提出的数据产权、数据要素流通交易、数据要素收益分配、数据要素治理等方面的政策得到进一步落实。2024年预期将见证数据要素市场化更加深入的发展。

（一） 个人信息合规审计

2023年8月，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》及其附件《个人信息保护合规审计参考要点》，明确了个人信息处理者定期开展个人信息保护合规审计、依监管要求委托机构对其个人信息处理活动进行合规审计以及对个人信息保护合规审计活动进行监管等内容，提供了企业开展审计的频率、标准、流程、主体部门及职责等合规要点，完善了我国个人信息保护监管及企业内部合规体系。

作为一种个人信息保护合规风险识别的工具，企业可依此开展个人信息保护合规自查，并通过作为合规第三道防线的内部审计部门和外部审计机构建立个人信息保护合规审计的长效机制。同时，个人信息保护合规审计也将成为监管部门常态化监管的重要抓手，良好的合规状态将成为企业向监管机构、合作伙伴、员工和社会公众展示自身合规建设能力的有效证明。

（二） 数据资产计入资产负债表

“数据二十条”明确提出“探索数据资产入表新模式”。2023年，与数据要素价值开发和利用相关机制横空出世。2023年8月，财政部颁布《企业数据资源相关会计处理暂行规定》并于2024年1月起正式施行，明确了数据资源是否能够确认为资产、可能确认的资产类别以及相关的计量等问题，企业在编制资产负债表时，应当根据重要性原则并结合本企业的实际情况，在“存货”项目、“无形资产”项目、“开发支出”项目下均增设“其中:数据资源”项目，将符合资产化条件的数据资源计入资产负债表中，使数据资源成为企业的资产。该规定兼顾信息需求、成本效益和商业秘密保护原则，结合了强制和自愿披露方式，引导企业主动加强数据资源相关信息披露。

数据资产的确权与入表，有助于明确数据资源的权利范围以及义务边界，更加真实反映企业的资产状况，推动企业积极加快数字化转型步伐。2024年，我们预期将见证更多数据资产入表的创新实践。

（三） 促进数据流通和交易规则

2023年是深化数据流通和交易元年。2022年末，“数据二十条”从数据产权、数据要素流通交易、数据要素收益分配、数据要素治理等方面推进数据基础制度框架和数据要素市场化的发展。2023年12月，为发挥数据要素乘数效应，赋能数字经济发展，国家数据局在成立之初就起草了《“数据要素x”三年行动计划（2024-2026年）（征求意见稿）》，旨在于2026年底实现“数据产业年均增速超过20%，数据交易规模增长1倍，场内交易规模大幅提升，推动数据要素价值创造的新业态成为经济增长新动力”，以数据要素赋能智能制造、智慧农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、智慧城市和绿色低碳领域开展重点行动，并通过提升数据供给、促进数据流通、保障数据安全的方式强化数据要素赋能的支撑。

为配合中央“数据二十条”关于加快数据基础制度构建、激活数据要素潜能的要求，2023年，广东、上海、贵州、广西等多地陆续发布数据流通和交易的规范性文件，旨在加强数据交易主体关于数据交易合规与安全的理解和认知，引导交易主体合规、安全开展数据交易。例如，上海数据交易所发布《数据交易安全合规指引》和配套的《上海数据交易所数据交易合规注意事项清单（第一版）》，提供了数据交易的主体、安全管理体系、来源、产品可交易性等合规注意事项和合规义务清单，助力企业开展数据交易风险识别和合规评估。总体上，以上数据流通和交易规则将进一步促进数据交易在各地方的具体落实和发展。