2023年是充满挑战的一年，在全球经济增长乏力的背景下，数字技术已经成为驱动全球产业创新和经济增长的核心动力。在大数据、云计算、人工智能、物联网、区块链等技术不断夯实应用、“由虚向实"的演进中，以ChatGPT为代表的生成式人工智能在2023年异军突起，掀起了通用型人工智能技术引领的创新浪潮。与此同时，我国采取敏捷治理的思路，积极回应技术进步带来的挑战，并出台一系列释放数据要素价值的政策，数字治理体系得到进一步完善。

数据跨境监管机制的现状、痛点与新规

2022年9月1日《数据出境安全评估办法》正式实施，2023年6月1日《个人信息出境标准合同办法》正式实施，加上制度构建基本完成的个人信息跨境传输认证机制，我国“数据出境监管三套机制"业已初步形成。但是，在推进数据跨境合规落地的工作中，企业也普遍地遇到一些痛点。比如，数据出境安全评估的申报周期普遍比较长，审核标准也有待进一步清晰，企业合规成本和监管成本都较高；关于数据出境必要性，这是目前不允许出境的主要原因，但企业的理解和监管部门的视角往往存在温差。更重要的是，目前执行的触发安全评估申报的数量门槛可能比较低，从而可能会导致安全评估适用的普遍化。当然，标准合同备案的数量更为庞大，企业也非常期待标准合同备案程序能更加轻量化和便利化。

在中央稳经济、稳外资、稳外贸、保增长的政策指向下，网信部门于9月28日推出《规范和促进数据跨境流动规定（征求意见稿）》（“数据跨境新规"），以期对目前的数据跨境监管制度进行优化调整。此外，国家网信办联合香港创新科技及工业局于12月10日发布《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》，以落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局 关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施，加强个人信息跨境标准合同备案管理"的合作措施。

数据跨境新规何时落地？新旧制度如何衔接？都是企业普遍关注的问题。比如，对于已经下发的安全评估结果或备案通知，如果适用新规，可以豁免或由安全评估转为备案，且现有的结果是不通过或部分不通过的，要如何处理？新旧制度衔接需要一个过渡措施，且应当起到正向的激励效果。

AIGC的狂飙与治理体系的初步构建

随着GPT-4的热潮风靡全球，2023年可谓生成式人工智能（“AIGC"）技术狂飙的一年，同时也是AIGC治理体系构建的元年。

世界各国都在关注和研究人工智能的风险，2023年1月，美国国家标准技术研究院发布人工智能风险管理框架（AI Risk Management Framework），10月30日，美国总统拜登签署《关于安全、可靠和可信地开发和使用人工智能的行政令》，12月9日，欧洲议会和理事会就《人工智能法案》（AI Act）达成政治协议。

与此同时，中国采取敏捷治理、小切口立法的路径，迅速回应人工智能技术带来的监管、法律和伦理挑战。全球首部AIGC治理法规《生成式人工智能服务管理暂行办法》（“《暂行办法》"）于8月15日正式施行，从内容安全、禁止歧视、公平竞争、数据质量等方面对AIGC服务提供者提出要求，并衔接了信息内容监管、个人信息保护、知识产权、不正当竞争、科技伦理、生成内容标识、安全评估、算法备案等既有法规，连同9月7日发布的《科技伦理审查办法（试行）》，共同构建了我国AIGC治理的初步框架。在标准文件层面，信安标委于8月25日发布《网络安全标准实践指南——生成式人工智能服务内容标识方法》，旨在落实《暂行办法》对于生成式内容标识的相关要求；10月11日发布《生成式人工智能服务 安全基本要求（征求意见稿）》，细化了生成式人工智能服务在安全方面的基本要求，包括语料安全、模型安全、安全措施、安全评估等。

在监管行动方面，国家网信办于9月1日发布第二批境内深度合成服务算法备案信息，文心大模型、京东言犀大模型等多家大型模型已然在列。作为《互联网信息服务深度合成管理规定》《互联网信息服务算法推荐管理规定》下的强制性义务，为推进相关服务上线运行，境内AIGC服务提供者的算法备案、安全评估等工作成为必要。

数据要素化与数据资产入表

2022年12月，中共中央、国务院发布《关于构建数据基础制度 更好发挥数据要素作用的意见》（以下简称“数据二十条"），作为构建数据基础制度体系的纲领性文件，从数据产权、流通交易、收益分配、安全治理等方面明确了数据基础制度建立的框架要求。数据要素价值释放成为当今重要议题，以驱动数字经济快速发展。

数据确权是数据要素价值实现的起点。“数据二十条"创造性地提出了数据产权结构性分置机制，根据数据处理活动过程中的角色承担和参与程度，建立“数据资源持有权、数据加工使用权、数据产品经营权"分置的产权运行机制，根据不同数据类型的特点，针对公共数据、企业数据、个人信息适用不同的确权授权机制。在明确数据权益受法律保护的基本原则下，如何衔接数据产权分置机制与现有法律框架，仍有待制度设计和行业实践共同探索。

数据资产入表是数据要素价值激活的关键。2023年8月，《企业数据资源相关会计处理暂行规定》全文发布，从实务角度为企业执行会计准则提供了细化指引，数据资源入表实践路径自此有迹可循。从数据资源到数据资产，肯定数据的价值属性，并与经济利益直接挂钩，推动数据价值显性化。但具体操作中如何实现与数据资源有关的经济利益流入企业、数据资源成本的有效计量尚需探索。

数据流通交易是数据要素价值流动的主线。2023年数据交易市场蓬勃发展，数据交易产品和模式不断创新，数据交易规范和指引密集落地，多领域、多场景、多主体充分推动数据要素市场活跃探索。如何利用实践先行经验反哺数据要素制度构建成为关注重点。

数据安全治理是数据要素价值释放的前提。在《个人信息保护法》《数据安全法》《网络安全法》等基本法律要求项下，明确主体责任意识，强化合规底线要求仍为原则。保护个人信息主体权益和数据安全，审慎对待原始数据的流转交易，数据权益合理分配、交易市场公平竞争，数据治理持续深化。

数据安全与个人信息保护执法行动

2023年是《数据安全法》实施的第三年，各地以《数据安全法》为执法依据的执法活动趋于活跃。据公安部网安局公开消息，截止2023年9月，公安部门已累计依据《数据安全法》办理行政案件336起。

一是执法对象从互联网科技等行业向其他行业扩散、从大规模企业向中小规模企业转变，有明显的下沉趋势。2023年以《数据安全法》为依据的行政处罚陆续见于商旅服务、物业服务、燃气服务、医疗、不动产等行业，同时部分地方公安机关在辖区内对更为生活化的场所进行数据安全执法。对于此类执法活动，虽然有过度执法的批评声音，但可以发现，《数据安全法》的合规风险对于中小规模企业亦不再遥远。

二是对数据境外泄露引发国家安全风险问题予以重点关注。在上海网信公开的案例中，一家政务系统技术承包商使用大量中国公民数据、政务数据在某平台进行测试，上海网信调查发现该平台频繁遭受境外远程访问和数据泄露风险，对其进行了重点整改跟进并作出行政处罚。最近，为防范境外机构或人员利用地理信息系统软件，窃取涉密敏感地理信息数据，国家安全机关会同有关部门开展地理信息数据安全风险专项排查治理。同时提示，国家安全机关将会同有关部门建立健全数据安全保障工作协作机制，共同维护国家重要数据安全。

三是监管部门探索敏捷治理手段，追求更好的落地效果。上海网信办在今年密集启动了重点场景合规指引、试点案例分享等多种形式的指导活动。一方面通过数据分类分级、制定重要数据目录等试点成果，针对《数据安全法》项下一些尚未完全落地的机制为企业提供指引。另一方面，聚焦消费领域个人信息权益保护专项执法，通过检查发现消费场景的典型违法乱象，不直接作出行政处罚决定，而是采取典型问题清单、合规提示以及自律承诺等方式引导消费领域其他企业自查自改，优先示范与指引效果。

个人信息保护公益诉讼与个人信息刑事案件

《个人信息保护法》第七十条专设公益诉讼条款，将个人信息保护纳入公益诉讼范围。根据公开信息，全国检察机关2022年共立案办理个人信息保护公益诉讼案件6000余件，较2021年增加2000余件，可见公益诉讼的活跃程度。

2023年3月，最高检发布了一批个人信息保护检察公益诉讼典型案例。部分案例体现出个人信息保护检察公益诉讼的诉前监督路径，即由检察机关督促行政机关对有关问题进行处理；此外，还有部分案例来源于检察机关在追究刑事责任过程中发现的重大个人信息安全风险或大范围侵权现象，进一步追究刑事犯罪涉案人的公益损害责任。可见，我国个人信息保护公益诉讼实践正日益成熟，其综合性治理效能不断凸显。

在保护内容上，该批案例多数聚焦于个人生物识别信息、医疗健康信息等敏感个人信息保护。在“江苏省无锡市新吴区人民检察院督促保护服务场所消费者个人信息行政公益诉讼案"中，检察院审查认为：对于涉案服务场所，其采集生物识别信息并非维护公共安全必需，且未取得消费者单独同意，相关强制采集、非加密传输、违法存储、未定期删除敏感个人信息等行为，损害了众多消费者合法权益，故向当地市监局发出诉前检察建议，督促对涉案服务场所依法处理并开展行业规范整治，整改后还需向监管部门报送个人信息管理情况。

刑事犯罪方面，据公开消息，2020年至2023年8月，公安部累计侦破侵犯公民个人信息违法犯罪案件3.6万起，抓获犯罪嫌疑人6.4万名。在2023年8月的通报中，公安部特别强调行业“内鬼"信息泄露现象，称自2020年以来共抓获电信运营商、医院、保险公司、房地产、物业、快递公司等行业“内鬼"2300余名，此外公安部发布的十起涉侵犯公民个人信息犯罪典型案例中有一半均与企业员工私自窃取个人信息以谋取经济利益有关。企业的数据合规体系建设涉及制度、流程、人员、技术等多方面，其中，人员管理由于涉及“人"的因素，其不可控性更高。

网络安全审查

2023年，网络安全审查机制继续活跃，在确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全方面发挥作用。根据网络安全审查结论及发现的问题和移送的线索，网信部门对某知识服务平台因个人信息保护相关违法行为处以5000万元人民币的罚款。此外，关键信息基础设施（“CII"）供应链安全相关网络安全审查机制于2023年首次触发。针对某芯片企业被宣布未通过网络安全审查，公告的原因是其产品存在较严重网络安全问题隐患，对CII供应链造成重大安全风险，影响国家安全。

其他执法行动

APP备案工作全面落地，治理工作常态化。2023年，工信部印发《关于开展移动互联网应用程序备案工作的通知》，全面开展APP备案工作，备案成为应用程序接入网络、上架应用市场、被终端预置的准入门槛要求，是APP治理进一步常态化的表现。除备案外，工信部在2023年发布《关于进一步提升移动互联网应用服务能力的通知》，强调包括应用程序、分发平台、SDK以及终端安全等全链条管理能力提升，工信部也于2023年持续通报了关于侵害用户权益行为的APP共八批次。网信部门则继续在专项行动、集中检查等执法活动中排查APP相关信息内容安全、个人信息权益保护问题，部分地方网信部门以《APP违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》为依据进行逐项排查，呈现常态化的APP治理趋势。

网络安全专用产品安全管理制度调整，网络安全专用产品目录全面更新。2023年，《关于调整网络安全专用产品安全管理有关事项的公告》明确，自2023年7月1日起停止颁发《计算机信息系统安全专用产品销售许可证》，停止执行政府采购领域信息安全产品强制认证要求。《网络关键设备和网络安全专用产品目录》及《网络关键设备和网络安全专用产品安全认证实施规则》也于2023年迎来更新。

数据跨境新规出台，释放促进数据跨境流动信号

数据跨境新规征求意见稿亮点颇多，比如：境外个人信息过境传输的豁免；没有官方明确为重要数据的，无需就重要数据进行申报；对个人信息出境的一些普遍场景的豁免，包括履行合同所必要、人力资源管理所必须等；跨境新规也大大提升了申报数据出境安全评估和标准合同备案触发的门槛，预计一年内向境外提供不超过一万人个人信息的企业得以完全豁免；新规还为自贸区制定“负面清单"制度留出政策空间。最重要的是，监管部门的监管思路发生了转变，从强调事前监管，调整到强化事前事中事后的均衡监管。《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》取消了数量门槛，扩大了标准合同的适用范围，从内容上减轻了企业的个人信息保护影响评估负担，并放宽向同辖区第三方再传输个人信息的前提条件等，为注册于粤港澳大湾区（内地、香港）的组织之间的个人信息（非重要数据）传输活动提供了一定便利。首阶段香港地区将邀请银行业、征信业及医疗业机构参与先行先试。

AIGC规制走向深化

8月15日，《生成式人工智能服务管理暂行办法》正式施行，从内容安全、禁止歧视、公平竞争、数据质量、个人信息保护、知识产权、科技伦理、算法合规等多方面对AIGC服务提供者提出要求。12月1日，《科技伦理审查办法（试行）》正式施行，要求人工智能相关单位设立科技伦理（审查）委员会，明确具有舆论社会动员能力和社会意识引导能力的算法模型、应用程序及系统的研发等需进行科技伦理审查，重点审查数据处理活动的合规性与安全性，以及算法、模型和系统公平、公正、透明、可靠、可控等，与《暂行办法》共同初步构建了我国AIGC监管和治理的框架。此外，5月31日，《国务院2023年度立法工作计划》印发，《人工智能法（草案）》被列入国务院2023年预备提请全国人大常委会审议立法工作计划，人工智能治理将迎来顶层建筑，迈入新阶段。

个人信息合规审计有望落地

8月3日，国家网信办发布《个人信息保护合规审计管理办法（征求意见稿）》及配套的《个人信息保护合规审计参考要点》，首次从部门规范性文件层面明确处理超过100万人个人信息的个人信息处理者应当至少每一年度进行一次个人信息保护合规审计，其他的个人信息处理者应当至少每二年度进行一次合规审计，并对具体的审计范围、重点情形进行了规定，为落地《个人信息保护法》下的个人信息保护合规审计要求提供了具体指引。10月16日，国务院公布《未成年人网络保护条例》，其中亦明确个人信息处理者应每年就未成年人个人信息处理情况进行合规审计，并将审计情况及时报告网信等部门。

未成年人网络保护立法取得重大进展

《未成年人网络保护条例》自2024年1月1日起施行，其在构建多层次治理体系的同时，对手机等智能终端产品制造者及销售者，网络游戏、社交、直播、音视频等网络产品和服务提供者，未成年人用户数量巨大或对未成年人群体具有显著影响的网络平台提供者以及涉及处理未成年人个人信息的个人信息处理者等四类主体进行重点监管，并细化明确了网络空间参与者在网络信息内容规范、个人信息网络保护、网络沉迷防治三方面的义务。《条例》明确采取“双罚制"，并设计了高达5000万元或者上一年度营业额百分之五的罚款及禁业等多项严格法律责任，充分展现对未成年人网络生态治理的重视。

网络安全事件分级报告规则细化

12月8日，国家网信办发布《网络安全事件报告管理办法（征求意见稿）》，并附《网络安全事件分级指南》及《网络安全事件信息报告表》，明确发生较大、重大或特别重大网络安全事件的，应于1小时内向所属地网信部门进行报告，如1小时内不能判定事发原因、影响或趋势等的，事件基本事实外的其他部分信息可于24小时内补报，并应于5个工作日内上报事件总结报告。其中，涉及重要数据及100万人以上个人信息泄露的事件构成较大网络安全事件。此等强时效性规定将要求企业尽快搭建落地网络安全事件应急预案并开展相应的应急演练，以应对监管要求。

工业和电信数据迈向全面行业监管

2023年1月1日起，《工业和信息化领域数据安全管理办法（试行）》正式施行。该办法规定了对工信领域数据进行一般数据、重要数据和核心数据分级的“三分法"，并明确了相关数据处理者向本地区行业监管部门就本单位重要数据和核心数据目录进行备案的义务。10月9日，工信部发布《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》，就工信领域重要数据、核心数据处理者数据安全风险评估的对象、内容、评估机制、报送要求等进行了细化规定。11月23日，《工业和信息化领域数据安全行政处罚裁量指引（试行）（征求意见稿）》发布，明确行政处罚由违法行为发生地管辖、一事不再罚等要求，推动工信领域数据安全行政处罚工作规范化。

2023年，也是标准制定工作全面开花的一年

2023年，相关标准制定工作在网络安全、个人信息保护、人工智能治理、APP治理以及行业治理方面取得了丰硕的成果。

数据要素基础制度构建启航，聚焦数据要素流动和数据要素应用场景促进

2023年10月，国家数据局正式挂牌成立，对于建设数据市场、推动数字经济发展具有重要意义。2024年，统筹推进数据要素基础制度建设、搭建布局数字基础设施，将会进一步活跃。

（1）探索数据“三权"分置落地，让数据放心“供"出来，探索界定数据获取、持有、加工等过程中各参与方享有的合法权益并建立相关权益保护制度；

（2）培育多层次数据流通交易体系，让更多数据“活"起来。顶层设计推动数据交易流通体系建设，构建统一的数据交易市场规则体系，同时一级市场、二级市场分级管理，着力解决“有效入场"和“高效流通"问题，建立“国家级+区域性+行业性"多层次数据交易场所，实现错位互补，建立健全公共数据价格形成机制，促进公共数据资源开发利用；

（3）推动数据基础设施建设，让数据安全“动"起来，利用隐私计算、数据空间等方式为数据可信、高效流通提供基础支撑。

12月15日，国家数据局公布了《“数据要素×"三年行动计划（2024-2026年）（征求意见稿）》，计划到2026年底，数据要素应用场景广度和深度大幅拓展，打造300个以上示范性强、显示度高、带动性广的典型应用场景。培育一批创新能力强、市场影响力大的数据商和第三方专业服务机构，数据产业年均增速超过20%，数据交易规模增长1倍，场内交易规模大幅提升等。数据要素行动代表了技术方向、产业诉求和国家意志，期待产业界能够抓住风口，分享数据要素的红利。

可以期待更多的促进数据跨境安全有序流动的便利措施

预计2024年将是以稳定经济发展为主基调的一年，相信监管部门会有进一步的推动数据跨境有序安全流动的举措。首先，在社会的期待中，《规范和促进数据跨境流动规定》在今年底或2024年年初会发布实施，为企业减负落到实处。其次，关于行业数据跨境的“红绿灯"机制，对于数据跨境需求密集的行业，比如汽车行业等，相关部门也在梳理行业的良好实践案例，拟建立行业的“数据跨境白名单"，为企业合法开展数据出境提供方向性和指引性。最后，自由贸易试验区的“负面清单制度"，在数据跨境监管新规落地后，各自由贸易试验区都有很强的动力开展先行先试工作，负面清单制度在某些自贸区率先落地值得期待。

重要立法方面，平凡的2024年

“三法一条例"构成了我国网络空间监管的四梁八柱，与从2021年开始每年都有网安与数据领域重大立法的状况相比，2024年大概会是平凡的一年。《个人信息保护合规审计管理办法（征求意见稿）》有望落地，企业的定期合规审计将成为法定义务。《网络数据安全管理条例》自2021年公开征求意见以来，由于规制面广且包含较多存在争议的新制度导致立法难度较大，虽然仍被列入《国务院2023年度立法工作计划》，2024年落地仍有一定的难度。

执法方面，严厉与柔性交融的一年

随着《网信部门行政执法程序规定》（“《网信规定》"）、《工业和信息化行政处罚程序规定》等文件于2023年陆续发布，网络安全与数据保护领域（“网数领域"）的执法标准和程序从规范层面已逐渐清晰化，工信部亦于2023年2月8日发布《工业和信息化部行政执法项目清单（2022年版）》，对于网数领域侵害国家安全、公共利益或个人、组织权益的行为，或将面临更为严格的执法行动。

与此同时，对于一些轻微的违法行为，企业也存在适用救济制度工具的空间，体现监管部门宽严相济的温情一面。在行政领域，《网信规定》设定了“首违轻微改正不处罚"等规则；在刑事领域，自上海首例“数据合规不起诉"案起，“合规不起诉"实践的探索已延展到网数领域，针对一些犯罪事实清楚、罪名较轻、认罪认罚且主动赔礼道歉、赔偿损失的网数领域涉刑案件，企业或可通过寻求“合规不起诉"制度以规避刑事风险。

重要数据的试点工作及相关国标

重要数据一直是监管重点和合规痛点，但除汽车和电信等领域外，大部分行业和领域尚未发布重要数据目录。考虑到重要数据识别具有很强的行业判断属性，目前主要以主管部门开展本地区/本行业重要数据识别试点工作的方式推进，上海网信即于2023年陆续发布了一系列重要数据目录试点成果分享。《工业和信息化领域数据安全管理办法（试行）》为数据处理者设定了重要数据识别、形成本单位目录并向监管部门备案的合规义务，2023年，各地工信部门也在开展工信企业的数据分类分级和重要数据识别的试点，可以预计，2024年工信部将继续深化在办法项下开展重要数据识别和备案的试点工作。

此外，涉及重要数据的国家标准（重要数据识别以及重要数据安全要求）历经多轮征求意见，亦有望于2024年发布。

企业法务，合规促发展任重道远

在数据跨境监管方面，新规规定了一些豁免场景，但是，这只是事先监管程序的豁免，而非实质性合规义务的降低或免除。在监管侧，会更加强调事中和事后监管，因此，企业应做好内部的“合规留痕"，例如，开展个人信息保护影响评估并留存报告，做好数据跨境单独同意的获取及记录等。作为趋势，全球范围内数据本地化立法普遍加强，数据跨境监管日趋严格，某些国际关系因素也会投射到企业数据跨境风险上，要警惕可能的“数据脱钩"现象。中国企业应从国际化视角，审视不同法域的数据风险，整体管控涉外项目或出海项目的数据合规风险。

2023年发布的《个人信息保护合规审计管理办法（征求意见稿）》《网络安全事件报告管理办法（征求意见稿）》有望在2024年落地，这两个办法为企业设定了明确的定期合规审计、网络安全事件报告义务，将进一步为企业带来数据合规挑战。

在遭遇经济发展瓶颈，企业发展成为主要诉求的环境下，企业法务不但要做好法律风险管控和合规经营的“守门人"，还要成为企业发展的“助推剂"。比如，面对人工智能的发展浪潮，企业法务无法回避，要在监管的迷雾中寻找合规的路径，帮助企业在把控合规风险的前提下积极地实现人工智能技术的应用，做到合规与发展平衡有度、相得益彰。