隨著各行業(yè)的數(shù)字化轉(zhuǎn)型持續(xù)深入，數(shù)據(jù)安全逐步進(jìn)入法制化的強(qiáng)監(jiān)管時(shí)代。但是因人為攻擊、技術(shù)漏洞、監(jiān)管缺位等造成的各類數(shù)據(jù)泄露事件頻發(fā)，企業(yè)數(shù)據(jù)安全威脅日益嚴(yán)峻。

針對當(dāng)下的數(shù)據(jù)安全大趨勢，小編總結(jié)了2023年三季度有關(guān)國家政策、行業(yè)規(guī)范、國家標(biāo)準(zhǔn)和安全事件與大家分享。希望借此為正在數(shù)字化轉(zhuǎn)型中的企業(yè)敲響警鐘，積極推進(jìn)數(shù)據(jù)安全合規(guī)建設(shè)。

發(fā)布單位：工業(yè)和信息化部、國家金融監(jiān)督管理

要求：《辦法》旨在加快推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)和金融服務(wù)融合創(chuàng)新，引導(dǎo)網(wǎng)絡(luò)安全保險(xiǎn)健康有序發(fā)展，培育網(wǎng)絡(luò)安全保險(xiǎn)新業(yè)態(tài)，促進(jìn)企業(yè)加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理，推動(dòng)網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展。

發(fā)布單位：國務(wù)院辦公廳

要求：本辦法適用于政務(wù)服務(wù)機(jī)構(gòu)開展的政務(wù)服務(wù)電子文件歸檔和電子檔案管理工作。行政處罰、行政檢查等電子文件歸檔和電子檔案管理工作可參照執(zhí)行。

發(fā)布單位：國家互聯(lián)網(wǎng)信息辦公室

要求：《辦法》旨在指導(dǎo)、規(guī)范個(gè)人信息保護(hù)合規(guī)審計(jì)活動(dòng)，提高個(gè)人信息處理活動(dòng)合規(guī)水平，保護(hù)個(gè)人信息權(quán)益。

發(fā)布單位：財(cái)政部

要求：本規(guī)定適用于企業(yè)按照企業(yè)會(huì)計(jì)準(zhǔn)則相關(guān)規(guī)定確認(rèn)為無形資產(chǎn)或存貨等資產(chǎn)類別的數(shù)據(jù)資源，以及企業(yè)合法擁有或控制的、預(yù)期會(huì)給企業(yè)帶來經(jīng)濟(jì)利益的、但由于不滿足企業(yè)會(huì)計(jì)準(zhǔn)則相關(guān)資產(chǎn)確認(rèn)條件而未確認(rèn)為資產(chǎn)的數(shù)據(jù)資源的相關(guān)會(huì)計(jì)處理。

發(fā)布單位：國家金融監(jiān)管總局等五部門

要求：本通知旨在規(guī)范貨幣經(jīng)紀(jì)公司提供數(shù)據(jù)服務(wù)，鼓勵(lì)數(shù)據(jù)依法合理利用，確保數(shù)據(jù)安全，提升市場信息透明度，促進(jìn)市場公平競爭，推動(dòng)行業(yè)高質(zhì)量發(fā)展。

發(fā)布單位：中國人民銀行

要求：數(shù)據(jù)處理者在中華人民共和國境內(nèi)開展的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動(dòng)，適用本辦法。法律、行政法規(guī)或者中國人民銀行另有規(guī)定。

發(fā)布單位：中國民用航空局

要求：《指導(dǎo)意見》旨在貫徹落實(shí) 《數(shù)字中國建設(shè)整體布局規(guī)劃》和 《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，更好統(tǒng)籌新型基礎(chǔ)設(shè)施建設(shè)，激活數(shù)據(jù)要素潛能，充分發(fā)揮智慧民航建設(shè)在推進(jìn)民航高質(zhì)量發(fā)展中的創(chuàng)新引擎作用。

發(fā)布單位：國家鐵路局

要求：鐵路關(guān)鍵信息基礎(chǔ)設(shè)施的安全保護(hù)和監(jiān)督管理工作， 適用本辦法。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化理委員會(huì)

要求：本文件規(guī)定了網(wǎng)絡(luò)運(yùn)維訪問控制、運(yùn)維審計(jì)、安全管理等安全運(yùn)維系統(tǒng)安全功能要求、自身安全要求、安全保障要求及測試評價(jià)方法。本文件適用于安全運(yùn)維系統(tǒng)的設(shè)計(jì)、開發(fā)、測試與評價(jià)。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化理委員會(huì)

要求：本標(biāo)準(zhǔn)適用于為政府部門和社會(huì)公眾提供大數(shù)據(jù)服務(wù)的相關(guān)方，包括數(shù)據(jù)提供者、大數(shù)據(jù)應(yīng)用提供者、大數(shù)據(jù)平臺(tái)提供者、大數(shù)據(jù)服務(wù)協(xié)調(diào)者等，也可為第三方對大數(shù)據(jù)服務(wù)安全能力的評估提供參考。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化理委員會(huì)

要求：本文件提供了證券期貨業(yè)數(shù)據(jù)分類分級的適用數(shù)據(jù)范圍、保障措施、數(shù)據(jù)分類分級的原則和方法、數(shù)據(jù)分類分級中的關(guān)鍵問題處理的建議。本文件適用于證券期貨業(yè)各類機(jī)構(gòu)在防控?cái)?shù)據(jù)安全風(fēng)險(xiǎn)時(shí)，開展數(shù)據(jù)分類分級使用。其他相關(guān)機(jī)構(gòu)可作為參考。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化管理委員會(huì)

要求：本文件確立了風(fēng)險(xiǎn)評估工作的要點(diǎn)、原則、要素和原理，規(guī)定了風(fēng)險(xiǎn)評估準(zhǔn)備階段、識別階段、風(fēng)險(xiǎn)計(jì)算及處理階段工作的要求。本文件適用于金融管理部門、金融業(yè)機(jī)構(gòu)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估服務(wù)機(jī)構(gòu)開展金融信息系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估工作。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化理委員會(huì)

要求：本文件給出了數(shù)據(jù)安全風(fēng)險(xiǎn)評估的基本概念、要素關(guān)系、分析原理、實(shí)施流程、評估內(nèi)容、分析與評價(jià)方法等，明確了數(shù)據(jù)安全風(fēng)險(xiǎn)評估各階段的實(shí)施要點(diǎn)和工作方法。本文件適用于指導(dǎo)數(shù)據(jù)處理者、第三方評估機(jī)構(gòu)開展數(shù)據(jù)安全風(fēng)險(xiǎn)評估，也可供有關(guān)主管監(jiān)管部門實(shí)施數(shù)據(jù)安全檢查評估時(shí)參考。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化理委員會(huì)

要求：本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運(yùn)行個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的要求，包括個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的設(shè)置、職責(zé)、工作規(guī)則，以及個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)的成員等要求。本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運(yùn)行個(gè)人信息保護(hù)監(jiān)督機(jī)構(gòu)，也可為監(jiān)管、檢查、評估等活動(dòng)提供參考。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標(biāo)準(zhǔn)化理委員會(huì)

要求：本文件規(guī)定了數(shù)據(jù)交易服務(wù)安全要求，包括數(shù)據(jù)交易參與方、交易對象、交易平臺(tái)及交易過程的安全要求。本文件適用于數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)交易場所、數(shù)據(jù)商、第三方專業(yè)服務(wù)機(jī)構(gòu)規(guī)范其數(shù)據(jù)交易活動(dòng)，也適用于監(jiān)管部門、評估機(jī)構(gòu)對數(shù)據(jù)交易服務(wù)安全進(jìn)行監(jiān)督、管理、評估。

人民銀行河南省分行發(fā)布的行政處罰信息顯示，浦發(fā)銀行鄭州分行存在5項(xiàng)違法行為，包括：未按規(guī)定履行客戶身份識別義務(wù)；與身份不明的客戶進(jìn)行交易；違反人民幣流通管理規(guī)定；違反征信安全管理規(guī)定；違反金融產(chǎn)品和服務(wù)信息披露管理規(guī)定。網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》作出人民幣90.8萬元罰款的處罰。

南昌某高校3萬余條師生個(gè)人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣，包括教職工信息、學(xué)生信息、繳費(fèi)信息等。南昌公安網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條的規(guī)定，對該學(xué)校作出責(zé)令改正、警告并處80萬元人民幣罰款的處罰，對主要責(zé)任人作出人民幣5萬元罰款的處罰。

廣西北海公安發(fā)現(xiàn)北海某網(wǎng)站存在數(shù)據(jù)泄露問題，網(wǎng)站約22萬個(gè)人信息數(shù)據(jù)被掛在境外論壇售賣。涉案公司網(wǎng)站在日常工作中收集了個(gè)人和企業(yè)等大量公民信息，服務(wù)器安全防護(hù)措施不足，僅能對SQL注入、XSS、WebShell等簡單攻擊手段進(jìn)行防御，網(wǎng)站存在被多個(gè)境外IP攻擊入侵的情況，未采取數(shù)據(jù)加密等有效的技術(shù)保護(hù)措施，且在發(fā)現(xiàn)公司發(fā)生個(gè)人信息泄露的情況下，未及時(shí)告知用戶和主動(dòng)向公安機(jī)關(guān)報(bào)告。根據(jù)《網(wǎng)絡(luò)安全法》第四十二條的規(guī)定，對公司及直接負(fù)責(zé)人員分別作出罰款20萬元、3萬元的行政處罰。

重慶市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》對屬地一科技公司作出責(zé)令限期改正，給予行政警告，并處10萬元罰款的行政處罰。經(jīng)查該公司因業(yè)務(wù)開展，收集、存儲(chǔ)、處理的網(wǎng)絡(luò)數(shù)據(jù)量較大，但未建立健全全流程網(wǎng)絡(luò)數(shù)據(jù)安全管理制度，未組織開展網(wǎng)絡(luò)數(shù)據(jù)安全教育培訓(xùn)，未采取相應(yīng)的技術(shù)措施，保障網(wǎng)絡(luò)數(shù)據(jù)安全等數(shù)據(jù)安全保護(hù)義務(wù)，且存在數(shù)據(jù)庫數(shù)據(jù)泄露的情形。

上海市互聯(lián)網(wǎng)信息辦公室公布一起行政處罰案件。上海市某政府信息系統(tǒng)技術(shù)承包商違規(guī)將政務(wù)數(shù)據(jù)置于互聯(lián)網(wǎng)進(jìn)行測試期間，相關(guān)存儲(chǔ)端存在高危漏洞，導(dǎo)致大量公民數(shù)據(jù)泄露，以致成為境外不法分子竊取政務(wù)數(shù)據(jù)的“供應(yīng)鏈”入口，相關(guān)公民個(gè)人信息在境外黑客論壇被披露兜售。上海市網(wǎng)信辦協(xié)調(diào)有關(guān)部門已要求該公司立即下線政府網(wǎng)站頁面、關(guān)閉相關(guān)云服務(wù)端口、配合開展網(wǎng)絡(luò)資產(chǎn)清查，并對該公司作出行政處罰。

9月1日，國家網(wǎng)信辦對中國知網(wǎng)依法作出網(wǎng)絡(luò)安全審查相關(guān)行政處罰，經(jīng)查，知網(wǎng)（CNKI）主要三家運(yùn)營主體運(yùn)營的手機(jī)知網(wǎng)、知網(wǎng)閱讀等14款A(yù)pp存在違反必要原則收集個(gè)人信息、未經(jīng)同意收集個(gè)人信息、未公開或未明示收集使用規(guī)則、未提供賬號注銷功能、在用戶注銷賬號后未及時(shí)刪除用戶個(gè)人信息等違法行為。依據(jù)《網(wǎng)絡(luò)安全法》《個(gè)人信息保護(hù)法》《行政處罰法》等法律法規(guī)，對知網(wǎng)（CNKI）依法作出責(zé)令停止違法處理個(gè)人信息行為，并處人民幣5000萬元罰款的行政處罰。

截止2023年三季度，僅江蘇公安已累計(jì)依據(jù)《數(shù)據(jù)安全法》辦理行政案件336起。由此可見，數(shù)據(jù)安全合規(guī)建設(shè)對企業(yè)而言仍然是需要盡快解決的難題，數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全保護(hù)力度，落實(shí)國家總體安全觀，切實(shí)履行數(shù)據(jù)安全保護(hù)義務(wù)，構(gòu)建數(shù)據(jù)安全管理制度，維護(hù)國家安全和社會(huì)穩(wěn)定。