2024年终盘点 · 数据安全深度解析

* 点击标题即可查看原文

* 按发布时间排序

作者：董潇 冯毅捷 陈超

2025年1月3日，国家互联网信息办公室发布《个人信息出境个人信息保护认证办法（征求意见稿）》（以下简称“《认证办法（征求意见稿）》”）。继2022年发布并实施的《个人信息保护认证实施规则》和《网络安全标准实践指南——个人信息跨境处理活动安全认证规范V2.0》（TC260-PG-20222A），《认证办法（征求意见稿）》将针对个人信息出境活动的个人信息保护认证明确定义为“个人信息出境个人信息保护认证”，并进一步对个人信息出境个人信息保护认证制度的适用情形和对象、认证评价内容、实施过程、认证结果的使用、认证后的监督等关键环节进行完善。

作者：董潇 陆斯珮 史晓宇

2024年2月28日，美国总统拜登发布了14117号行政令，旨在防止受关注国家获取美国人的大量敏感个人数据和政府相关数据导致的美国国家安全风险。同年3月5日和10月29日，美国司法部为行政令的实施，先后发布了有关拟议规则的预先通知（Advanced Notice of Proposed Rulemaking）和有关拟议规则的制定通知（Notice of Proposed Rulemaking），并向社会征求意见。在上述行政令、拟议规则的基础上，并充分考量了公众意见后，美国司法部最终于2024年12月27日发布了关于防止受关注国家及相关人员访问美国敏感个人数据和政府相关数据的规定的最终规则，以实施行政令。

作者：董潇 郭超 沈佳旖

2024年12月27日，国家金融监督管理总局正式发布《银行保险机构数据安全管理办法》，即日起生效实施。2024年3月，金融监管总局曾发布该文件的征求意见稿，向社会征求意见。本文拟就《银保数安办法》出台的背景与意义、适用范围及主要义务进行简要评析。

作者：董潇 郭静荷 郭超 冯毅捷

2024年9月24日，国务院公布《网络数据安全管理条例》（以下简称“《条例》”），自2025年1月1日起施行。《条例》是一部针对个人信息、数据安全、网络安全等方面的综合性行政法规，对《网络安全法》《数据安全法》《个人信息保护法》等上位法相关制度规定予以细化、补充、完善。

作者：董潇 郭超 沈佳旖

2024年9月10日，国家互联网信息办公室发布与澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局共同制定的《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》（下称“《实施指引》”）并以附件形式提供了《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同》（下称“《澳门标准合同》”）及《承诺书》模板。

本文将简要说明《实施指引》和《澳门标准合同》的发布背景、主要内容、与内地标准合同的比较以及我们的观察。

作者：袁琼 栗晔

近年来，我国将阿联酋作为中东外交的优先方向和高质量共建“一带一路”的重要合作伙伴。中国同阿联酋在多个经济领域的合作被称为“21世纪全球合作的典范”。据官方发布的文件显示，中阿两国在基础设施互联互通、区域经济贸易、数字经济等多个领域的合作正不断取得积极成果。在此背景下，中国企业向阿联酋拓展各类海外业务的经济活动日益增多。不可避免的，这些经济活动会涉及到个人数据的处理，企业需要事先了解并考虑如何遵守当地的数据保护法律和监管要求，以降低跨国经营中的数据合规风险。鉴于此，我们将阿联酋作为研究对象，希望通过分析其数据合规制度和实践，为中国企业在该地区开展业务提供数据合规指引。本文将聚焦于阿联酋的相关法规与实践。

作者：董潇 刘洋

2024年8月26日，北京市互联网信息办公室、北京市商务局和北京市政务服务和数据管理局共同发布了《北京市数据跨境流动便利化服务管理若干措施》，并将实施自由贸易试验区数据出境“负面清单”管理作为细化服务措施之一。2024年8月30日，《中国（北京）自由贸易试验区数据出境负面清单管理办法（试行）》和《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》正式发布。

作者：董潇 陆斯珮 沈佳旖

本文将从个人数据保护法的适用范围和重要定义、个人数据处理的合法性基础、告知同意的要求、数据主体权利、数据控制者和处理者的义务、跨境转移规则、数据保护影响评估、数据保护官的任命要求等方面对马来西亚和印度尼西亚两国的法律法规要求展开对比分析，旨在回应企业出海过程中普遍关注的个人数据保护要求，对企业出海业务的开展提供指引。

作者：董潇 陆斯珮 史晓宇

为帮助企业更系统地理解泰国、越南在个人数据保护方面的重要规则，本文我们将从个人数据保护法的适用范围和重要定义、个人数据处理的合法性基础、告知同意的要求、数据主体权利、数据控制者和处理者的权利义务、数据本地化及跨境转移规则、数据保护影响评估、数据保护官的任命要求，这几大方面对泰国、越南的法律要求进行对比分析，并为中国企业在泰国、越南经营活动中涉及的个人数据处理活动，提供初步的指引和提示。

作者：董潇 郭静荷 王威华

On July 12, 2024, the National Information Security Standardization Technical Committee issued a draft of the National Standard Data Security Technology - Personal Information Protection Compliance Audit Requirements (“Draft Audit Standard”) as part of a consultation process to solicit public comments until September 11, 2024. This article explores the legal nature of compliance audit systems for personal information protection. It briefly discusses the audit process, the requirements for audit execution, management, staffing and documentation, and key audit points for personal information compliance audits as outlined in the Draft Audit Standard.

作者：董潇 郭静荷 王威华

2024年7月12日，全国信息安全标准化技术委员会发布国家标准《数据安全技术 个人信息保护合规审计要求（征求意见稿）》（下称“《审计标准征求意见稿》”），于2024年9月11日前面向社会公开征求意见。本文拟对个人信息合规审计的制度定位进行阐述，并就该标准中规定的个人信息合规审计的流程、实施管理和人员要求、相关文件、审计内容要点进行简要分析，并向作为个人信息处理者的企业提供依法开展个人信息合规审计的建议。

作者：杨锦文 高健 王心慧

2024年4月26日，国家安全部公布《国家安全机关行政执法程序规定》，自2024年7月1日起施行。该规定共7章140条，系统性地规定了反间谍安全防范指导、调查取证、征用补偿、行政处罚、期间与送达等内容，对国家安全机关如何依法开展行政执法等作出规范指引，并保障相关企业或个人在行政执法过程中的权益。

作者：杨锦文 高健

2024年4月26日，国家安全部发布《国家安全机关行政执法程序规定》、《国家安全机关办理刑事案件程序规定》（国家安全部令第3号、第4号，均于2024年7月1日开始实施），完善了反间谍行政执法、刑事侦查的程序要求。本文拟结合《反间谍法》及配套法规，以及近几年国家安全部门公布的反间谍处罚案例，梳理跨国公司反间谍风险防范要点及救济措施。

作者：董潇 郭超 沈佳旖

2024年3月22日，国家金融监督管理总局发布了《银行保险机构数据安全管理办法（征求意见稿）》（下称“《征求意见稿》”），向社会公开征求意见。

本文拟就《征求意见稿》出台的背景与意义、适用范围及主要亮点进行简要评析。

作者：董潇 袁琼

随着信息技术的快速发展，数据已成为国家重要的战略资源。自然资源领域的数据安全对于国家安全、经济发展和社会稳定具有重要意义。2024年3月22日，自然资源部根据《数据安全法》、《网络安全法》、《个人信息保护法》等相关法律法规，制定并印发了《自然资源领域数据安全管理办法》，旨在加强自然资源领域数据的安全管理，促进数据的合法、安全和有效利用。

作者：杨锦文 李圆圆 王心慧

2024年3月22日，国家互联网信息办公室正式发布《促进和规范数据跨境流动规定》、《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》，规定自发布之日即正式生效。新规与现有数据出境安全评估、个人信息出境标准合同、个人信息保护认证三大数据出境监管制度的相关规定进行衔接，尤其是对数据出境安全评估和个人信息出境标准合同的适用范围进行了调整，并提出了一些豁免场景，对数据的跨境流通提供更加明确的指导，降低企业合规成本，充分释放数据要素价值。

作者：董潇 刘洋

On March 22, 2024, the Cyberspace Administration of China issued the Regulations on Promoting and Regulating Cross-border Data Transfers (the "New CBDT Regulations"). These regulations were released six months after the draft version (the "Draft Regulations") was made available for public comments on September 28, 2023. The New CBDT Regulations follow a similar approach to the Draft Regulations, emphasizing orderly management and appropriate relaxation, while also incorporate necessary adjustments based on the implementation of data export security management in practice.

作者：董潇 刘洋

2024年3月22日，国家互联网信息办公室发布《促进和规范数据跨境流动规定》（以下简称“《跨境新规》”），在2023年9月28日发布征求意见稿（以下简称“《征求意见稿》”）半年后，正式对现有数据跨境机制进行调整。《跨境新规》延续了《征求意见稿》有序管理、适当放宽的基调及规定框架，并结合数据出境安全管理工作实际，对《征求意见稿》进行了适当调整。

作者：杨锦文 高健

2024年2月27日，我国时隔14年对《保守国家秘密法》实施第二次修订，新增12条内容涉及国家秘密保密教育、保密工作纳入政府预算、保密队伍建设、保密风险评估及应急处置机制、保密检查及案件处理等，显示出国家健全保密法制体系、加强保密法治建设的决心。新修订的《保守国家秘密法》将于2024年5月1日正式实施，本文拟梳理新法修订要点，从跨国企业的合规运营管理角度总结国家秘密合规要点。

作者：杨锦文 李圆圆

本文拟着眼于生物相关数据出境在国家安全方面涉及人类遗传资源、重要数据出境、网络安全审查、生物相关物项和技术的出口管制、限制出境生物相关数据等几个方面的问题，将跨国公司在跨国业务中所涉的国家安全问题提纲挈领予以介绍，为处理生物相关数据的相关单位提供数据合规以及维护国家安全防范风险的思路。

作者：董潇 郭超

2023年是《个人信息保护法》和《数据安全法》实施的第三年。在这一年，个人信息保护、人工智能监管、网络与数据安全、数据出境等方面的规则逐渐细化与完善，国家和地方以及不同行业主管机关持续、深入开展规则落地和相应执法活动。如今，数据保护已成为企业合规内控管理中一个重要的方面。站在新一年的开头，我们在回顾2023年的数据保护立法和执法情况的同时，也对未来一年数据保护和网络安全立法和监管相关、值得关注的重大趋势和问题展开预测。