隨著各行業(yè)的數(shù)字化轉(zhuǎn)型持續(xù)深入，數(shù)據(jù)安全逐步進入法制化的強監(jiān)管時代。但是因人為攻擊、技術(shù)漏洞、監(jiān)管缺位等造成的各類數(shù)據(jù)泄露事件頻發(fā)，企業(yè)數(shù)據(jù)安全威脅日益嚴峻。

針對當下的數(shù)據(jù)安全大趨勢，小編總結(jié)了2023年三季度有關國家政策、行業(yè)規(guī)范、國家標準和安全事件與大家分享。希望借此為正在數(shù)字化轉(zhuǎn)型中的企業(yè)敲響警鐘，積極推進數(shù)據(jù)安全合規(guī)建設。

發(fā)布單位：工業(yè)和信息化部、國家金融監(jiān)督管理

要求：《辦法》旨在加快推動網(wǎng)絡安全產(chǎn)業(yè)和金融服務融合創(chuàng)新，引導網(wǎng)絡安全保險健康有序發(fā)展，培育網(wǎng)絡安全保險新業(yè)態(tài)，促進企業(yè)加強網(wǎng)絡安全風險管理，推動網(wǎng)絡安全產(chǎn)業(yè)高質(zhì)量發(fā)展。

發(fā)布單位：國務院辦公廳

要求：本辦法適用于政務服務機構(gòu)開展的政務服務電子文件歸檔和電子檔案管理工作。行政處罰、行政檢查等電子文件歸檔和電子檔案管理工作可參照執(zhí)行。

發(fā)布單位：國家互聯(lián)網(wǎng)信息辦公室

要求：《辦法》旨在指導、規(guī)范個人信息保護合規(guī)審計活動，提高個人信息處理活動合規(guī)水平，保護個人信息權(quán)益。

發(fā)布單位：財政部

要求：本規(guī)定適用于企業(yè)按照企業(yè)會計準則相關規(guī)定確認為無形資產(chǎn)或存貨等資產(chǎn)類別的數(shù)據(jù)資源，以及企業(yè)合法擁有或控制的、預期會給企業(yè)帶來經(jīng)濟利益的、但由于不滿足企業(yè)會計準則相關資產(chǎn)確認條件而未確認為資產(chǎn)的數(shù)據(jù)資源的相關會計處理。

發(fā)布單位：國家金融監(jiān)管總局等五部門

要求：本通知旨在規(guī)范貨幣經(jīng)紀公司提供數(shù)據(jù)服務，鼓勵數(shù)據(jù)依法合理利用，確保數(shù)據(jù)安全，提升市場信息透明度，促進市場公平競爭，推動行業(yè)高質(zhì)量發(fā)展。

發(fā)布單位：中國人民銀行

要求：數(shù)據(jù)處理者在中華人民共和國境內(nèi)開展的中國人民銀行業(yè)務領域數(shù)據(jù)相關的處理活動，適用本辦法。法律、行政法規(guī)或者中國人民銀行另有規(guī)定。

發(fā)布單位：中國民用航空局

要求：《指導意見》旨在貫徹落實 《數(shù)字中國建設整體布局規(guī)劃》和 《關于構(gòu)建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，更好統(tǒng)籌新型基礎設施建設，激活數(shù)據(jù)要素潛能，充分發(fā)揮智慧民航建設在推進民航高質(zhì)量發(fā)展中的創(chuàng)新引擎作用。

發(fā)布單位：國家鐵路局

要求：鐵路關鍵信息基礎設施的安全保護和監(jiān)督管理工作， 適用本辦法。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標準化理委員會

要求：本文件規(guī)定了網(wǎng)絡運維訪問控制、運維審計、安全管理等安全運維系統(tǒng)安全功能要求、自身安全要求、安全保障要求及測試評價方法。本文件適用于安全運維系統(tǒng)的設計、開發(fā)、測試與評價。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標準化理委員會

要求：本標準適用于為政府部門和社會公眾提供大數(shù)據(jù)服務的相關方，包括數(shù)據(jù)提供者、大數(shù)據(jù)應用提供者、大數(shù)據(jù)平臺提供者、大數(shù)據(jù)服務協(xié)調(diào)者等，也可為第三方對大數(shù)據(jù)服務安全能力的評估提供參考。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標準化理委員會

要求：本文件提供了證券期貨業(yè)數(shù)據(jù)分類分級的適用數(shù)據(jù)范圍、保障措施、數(shù)據(jù)分類分級的原則和方法、數(shù)據(jù)分類分級中的關鍵問題處理的建議。本文件適用于證券期貨業(yè)各類機構(gòu)在防控數(shù)據(jù)安全風險時，開展數(shù)據(jù)分類分級使用。其他相關機構(gòu)可作為參考。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標準化管理委員會

要求：本文件確立了風險評估工作的要點、原則、要素和原理，規(guī)定了風險評估準備階段、識別階段、風險計算及處理階段工作的要求。本文件適用于金融管理部門、金融業(yè)機構(gòu)和網(wǎng)絡安全風險評估服務機構(gòu)開展金融信息系統(tǒng)網(wǎng)絡安全風險評估工作。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標準化理委員會

要求：本文件給出了數(shù)據(jù)安全風險評估的基本概念、要素關系、分析原理、實施流程、評估內(nèi)容、分析與評價方法等，明確了數(shù)據(jù)安全風險評估各階段的實施要點和工作方法。本文件適用于指導數(shù)據(jù)處理者、第三方評估機構(gòu)開展數(shù)據(jù)安全風險評估，也可供有關主管監(jiān)管部門實施數(shù)據(jù)安全檢查評估時參考。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標準化理委員會

要求：本文件規(guī)定了大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)的要求，包括個人信息保護監(jiān)督機構(gòu)的設置、職責、工作規(guī)則，以及個人信息保護監(jiān)督機構(gòu)的成員等要求。本文件適用于大型互聯(lián)網(wǎng)企業(yè)建立和運行個人信息保護監(jiān)督機構(gòu)，也可為監(jiān)管、檢查、評估等活動提供參考。

發(fā)布單位：國家市場監(jiān)督管理總局、國家標準化理委員會

要求：本文件規(guī)定了數(shù)據(jù)交易服務安全要求，包括數(shù)據(jù)交易參與方、交易對象、交易平臺及交易過程的安全要求。本文件適用于數(shù)據(jù)供方、數(shù)據(jù)需方、數(shù)據(jù)交易場所、數(shù)據(jù)商、第三方專業(yè)服務機構(gòu)規(guī)范其數(shù)據(jù)交易活動，也適用于監(jiān)管部門、評估機構(gòu)對數(shù)據(jù)交易服務安全進行監(jiān)督、管理、評估。

人民銀行河南省分行發(fā)布的行政處罰信息顯示，浦發(fā)銀行鄭州分行存在5項違法行為，包括：未按規(guī)定履行客戶身份識別義務；與身份不明的客戶進行交易；違反人民幣流通管理規(guī)定；違反征信安全管理規(guī)定；違反金融產(chǎn)品和服務信息披露管理規(guī)定。網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》作出人民幣90.8萬元罰款的處罰。

南昌某高校3萬余條師生個人信息數(shù)據(jù)在境外互聯(lián)網(wǎng)上被公開售賣，包括教職工信息、學生信息、繳費信息等。南昌公安網(wǎng)安部門根據(jù)《中華人民共和國數(shù)據(jù)安全法》第四十五條的規(guī)定，對該學校作出責令改正、警告并處80萬元人民幣罰款的處罰，對主要責任人作出人民幣5萬元罰款的處罰。

廣西北海公安發(fā)現(xiàn)北海某網(wǎng)站存在數(shù)據(jù)泄露問題，網(wǎng)站約22萬個人信息數(shù)據(jù)被掛在境外論壇售賣。涉案公司網(wǎng)站在日常工作中收集了個人和企業(yè)等大量公民信息，服務器安全防護措施不足，僅能對SQL注入、XSS、WebShell等簡單攻擊手段進行防御，網(wǎng)站存在被多個境外IP攻擊入侵的情況，未采取數(shù)據(jù)加密等有效的技術(shù)保護措施，且在發(fā)現(xiàn)公司發(fā)生個人信息泄露的情況下，未及時告知用戶和主動向公安機關報告。根據(jù)《網(wǎng)絡安全法》第四十二條的規(guī)定，對公司及直接負責人員分別作出罰款20萬元、3萬元的行政處罰。

重慶市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》對屬地一科技公司作出責令限期改正，給予行政警告，并處10萬元罰款的行政處罰。經(jīng)查該公司因業(yè)務開展，收集、存儲、處理的網(wǎng)絡數(shù)據(jù)量較大，但未建立健全全流程網(wǎng)絡數(shù)據(jù)安全管理制度，未組織開展網(wǎng)絡數(shù)據(jù)安全教育培訓，未采取相應的技術(shù)措施，保障網(wǎng)絡數(shù)據(jù)安全等數(shù)據(jù)安全保護義務，且存在數(shù)據(jù)庫數(shù)據(jù)泄露的情形。

上海市互聯(lián)網(wǎng)信息辦公室公布一起行政處罰案件。上海市某政府信息系統(tǒng)技術(shù)承包商違規(guī)將政務數(shù)據(jù)置于互聯(lián)網(wǎng)進行測試期間，相關存儲端存在高危漏洞，導致大量公民數(shù)據(jù)泄露，以致成為境外不法分子竊取政務數(shù)據(jù)的“供應鏈”入口，相關公民個人信息在境外黑客論壇被披露兜售。上海市網(wǎng)信辦協(xié)調(diào)有關部門已要求該公司立即下線政府網(wǎng)站頁面、關閉相關云服務端口、配合開展網(wǎng)絡資產(chǎn)清查，并對該公司作出行政處罰。

9月1日，國家網(wǎng)信辦對中國知網(wǎng)依法作出網(wǎng)絡安全審查相關行政處罰，經(jīng)查，知網(wǎng)（CNKI）主要三家運營主體運營的手機知網(wǎng)、知網(wǎng)閱讀等14款App存在違反必要原則收集個人信息、未經(jīng)同意收集個人信息、未公開或未明示收集使用規(guī)則、未提供賬號注銷功能、在用戶注銷賬號后未及時刪除用戶個人信息等違法行為。依據(jù)《網(wǎng)絡安全法》《個人信息保護法》《行政處罰法》等法律法規(guī)，對知網(wǎng)（CNKI）依法作出責令停止違法處理個人信息行為，并處人民幣5000萬元罰款的行政處罰。

截止2023年三季度，僅江蘇公安已累計依據(jù)《數(shù)據(jù)安全法》辦理行政案件336起。由此可見，數(shù)據(jù)安全合規(guī)建設對企業(yè)而言仍然是需要盡快解決的難題，數(shù)據(jù)處理者應當加強數(shù)據(jù)安全保護力度，落實國家總體安全觀，切實履行數(shù)據(jù)安全保護義務，構(gòu)建數(shù)據(jù)安全管理制度，維護國家安全和社會穩(wěn)定。