近期，国家数据局等17部门印发《“数据要素×”三年行动计划（2024—2026年）》。《突发事件应对管理法》草案二审稿增加个人信息保护规定。交通运输部公布《铁路关键信息基础设施安全保护管理办法》。广东省网信办发布关于落实《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》的通知。因存在信息安全风险，中国银行、中信银行被罚。

1. 《突发事件应对管理法》草案二审稿增加个人信息保护规定

12月25日，《突发事件应对管理法（草案）》提请全国人大常委会会议二次审议。草案二审稿要求加强对个人信息的保护，严格规范个人信息处理活动。《突发事件应对法》自2007年11月1日起施行。2021年12月，第十三届全国人大常委会第三十二次会议曾初次审议《突发事件应对管理法（草案）》。

信息来源：

2. 国家发展改革委、国家数据局印发《数字经济促进共同富裕实施方案》

12月25日消息，国家发展改革委、国家数据局近日印发《数字经济促进共同富裕实施方案》，明确了以数字经济促进共同富裕的指导思想、发展目标、重点举措和保障措施。

实施方案提出到2025年以数字经济促进共同富裕在缩小区域、城乡、群体、基本公共服务差距上取得积极进展，数字经济在促进共同富裕方面的积极作用开始显现；并展望2030年，提出要在加速弥合区域、城乡、群体、基本公共服务等差距方面取得显著成效，形成一批东西部协作典型案例和可复制可推广的创新成果，数字经济在促进共同富裕方面取得实质性进展。

实施方案部署了四方面重点举措。一是推动区域数字协同发展。推进数字基础设施建设，推进产业链数字化发展，加强数字经济东西部协作。二是大力推进数字乡村建设。加快乡村产业数字化转型步伐，加大农村数字人才培养力度，提升乡村数字治理水平。三是强化数字素养提升和就业保障。加强数字素养与技能教育培训，实施“信息无障碍”推广工程，加强新就业形态劳动者权益保障。四是促进社会服务普惠供给。促进优质数字教育资源共享，强化远程医疗供给服务能力，提升养老服务信息化水平，完善数字化社会保障服务。

实施方案从加强组织领导、强化要素保障、建立评价体系、加大宣传力度等四方面提出了保障措施，确保目标任务落到实处。

信息来源：

https://mp.weixin.qq.com/s/vHKRsdKjxpoYLGEuTo9dpw

3. 国家金融监督管理总局修订发布《银行保险机构操作风险管理办法》

12月29日，国家金融监管总局发布《银行保险机构操作风险管理办法》，于2024年7月1日起施行。

办法共六章五十二条及附录，主要包括五个方面的内容。一是明确风险治理和管理责任。明确董事会、监事（会）和高级管理层的责任，界定三道防线的具体范围和职责，压实分支机构和附属机构的操作风险管理责任。二是规定风险管理基本要求。明确银行保险机构应当建立操作风险管理基本制度、操作风险偏好和传导机制，建立健全操作风险的管理信息系统，培育良好的操作风险管理文化。三是细化管理流程和管理工具。要求银行保险机构对操作风险进行全流程管理。规定了内部控制、业务连续性管理、网络安全、数据安全、业务外包管理等操作风险控制、缓释措施的基本要求，建立操作风险情况和重大操作风险事件报告机制，应用操作风险损失数据库等三大基础管理工具以及新型工具。四是完善监督管理职责。金融监管总局及其派出机构要检查评估银行保险机构操作风险管理体系的健全性和有效性，行业协会应当发挥自律和服务作用。五是在《办法》附录中对部分规定内容的含义进行了说明和举例，以便于银行保险机构落实执行。

信息来源：

https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1144382&itemId=928

4. 国家数据局等17部门印发《“数据要素×”三年行动计划（2024—2026年）》

12月31日，国家数据局等17部门印发《“数据要素×”三年行动计划（2024—2026年）》，旨在充分发挥数据要素乘数效应，赋能经济社会发展。

行动计划明确总体目标是到2026年底，数据要素应用广度和深度大幅拓展，打造300个以上示范性强、显示度高、带动性广的典型应用场景，涌现出一批成效明显的数据要素应用示范地区，培育一批创新能力强、成长性好的数据商和第三方专业服务机构，数据产品和服务质量效益明显提升，数据产业年均增速超过20%，场内交易与场外交易协调发展，数据交易规模倍增。

行动计划明确十二项重点行动，包括工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等方面。行动计划同时明确三方面保障措施。一是提升数据供给水平，完善数据资源体系，加大公共数据资源供给，健全标准体系，加强供给激励。二是优化数据流通环境，提高交易流通效率，打造安全可信流通环境，培育流通服务主体，促进数据跨境有序流动。三是加强数据安全保障，落实数据安全法规制度，丰富数据安全产品，培育数据安全服务。

信息来源：

https://mp.weixin.qq.com/s/YyhLQo4lZIFNMiyupdvO1A?version=2.5.50001.5476&platform=win

5. 交通运输部发布《铁路关键信息基础设施安全保护管理办法》

1月3日，交通运输部公布《铁路关键信息基础设施安全保护管理办法》（交通运输部令2023年第20号）。办法共6章30条，主要围绕铁路关键信息基础设施认定、运营者责任和义务、保障和监督、法律责任等方面作出规定。

办法明确，国家铁路局负责制定铁路关键信息基础设施认定规则，制定认定规则应当主要考虑下列因素：（一）网络设施、信息系统等对于铁路关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。

办法压实运营者责任和义务，规定铁路关键信息基础设施的网络安全保护等级应当不低于第三级。运营者的主要负责人对所运营的铁路关键信息基础设施安全保护负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。运营者应当为每个铁路关键信息基础设施明确安全管理责任人。

办法强化铁路关键信息基础设施的监督管理和保障。规定国家铁路局应组织建立铁路关键信息基础设施网络安全监测预警制度；建立健全铁路关键信息基础设施网络安全事件应急预案体系，定期组织应急演练；定期组织开展铁路关键信息基础设施网络安全检查检测等内容。

信息来源：

https://xxgk.mot.gov.cn/2020/jigou/fgs/202401/t20240104_3980678.html

6. 广东省网信办发布关于落实《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》的通知

1月4日，广东省网信办发布关于落实《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同实施指引》的通知。

通知明确适用范围，注册于广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市的个人信息处理者及接收方，可以通过订立《粤港澳大湾区（内地、香港）个人信息跨境流动标准合同》的方式进行粤港澳大湾区内地和香港之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。通知明确备案工作采取电子版预审与纸质版查验相结合的方式。备案流程包括材料提交、材料查验及反馈备案结果、补充或者重新备案等环节。

信息来源：

https://mp.weixin.qq.com/s/v0SPhjQ4cTPM72U3ibhrrg

7. 北京网信办启动加强未成年人网络保护专项行动

12月30日，北京市网信办发布《关于启动加强未成年人网络保护专项行动的公告》。北京市网信办自2024年1月1日起，在属地网站平台开展为期3个月的未成年人网络保护专项行动。本次专项行动立足广大网民反映强烈的典型乱象，集中整治内容导向不良、未成年人网络沉迷、个人隐私保护不力3类9个方面影响未成年人身心健康的突出问题。

信息来源：

https://mp.weixin.qq.com/s/q0VzW2gMb31_-6F0aITmAQ

8. 因存在未授权访问漏洞，重庆市南岸区网信办依法约谈区级某部门

12月29日消息，重庆市南岸区网信办近期巡查发现区级某部门业务系统存在未授权访问漏洞情况。南岸区网信办依据《网络安全法》《党委（党组）网络安全工作责任制实施办法》有关规定，对该部门进行约谈，要求该部门严格落实网络安全工作主体责任和本行业本领域的网络安全指导监管责任，紧紧围绕网络安全风险防范，开展自查整改。

信息来源：

https://mp.weixin.qq.com/s/UCD0V-C46DZAu1ZtgkLlkw?version=2.5.50001.5476&platform=win

9. 因APP个人信息保护合规性检测不充分等多项违规行为，黑龙江证监局对江海证券公司出具警示函

12月25日，黑龙江证监局公开关于对江海证券有限公司采取出具警示函措施的决定（监管措施〔2023〕20号）。

决定显示，江海证券有限公司存在以下问题：一是关于IT治理、网络安全管理的内部决策、执行机制不健全，违反了《证券期货业网络和信息安全管理办法》（证监会令第218号）第九条第一款规定；二是公司APP个人信息保护合规性检测不充分，存在APP强制、频繁、过度索取权限问题，违反了《证券期货业网络和信息安全管理办法》第三十条规定。

信息来源：

http://www.csrc.gov.cn/heilongjiang/c103838/c7451853/content.shtml

10. 因涉及信息安全风险，国家金融监督管理总局对中国银行、中信银行处以罚款

1月5日，国家金融监督管理总局公开对中国银行股份有限公司、中信银行股份有限公司的行政处罚信息。

中国银行存在以下违规违法事实：（一）部分重要信息系统识别不全面，灾备建设和灾难恢复能力不符合监管要求；（二）重要信息系统投产及变更未向监管部门报告，且投产及变更长期不规范引发重要信息系统较大及以上突发事件；（三）信息系统运行风险识别不到位、处置不及时，引发重要信息系统重大突发事件；（四）监管意见整改落实不到位，引发重要信息系统重大突发事件；（五）信息科技外包管理不审慎；（六）网络安全域未开展安全评估，网络架构重大变更未开展风险评估且未向监管部门报告；（七）信息系统突发事件定级不准确，导致未按监管要求上报；（八）迟报重要信息系统重大突发事件；（九）错报漏报监管标准化（EAST）数据。

中信银行存在以下违规违法事实：（一）部分重要信息系统应认定未认定，相关系统未建灾备或灾难恢复能力不符合监管要求；同城数据中心长期存在基础设施风险隐患未得到整改；对外包数据中心的准入前尽职调查和日常管理不符合监管要求，部分数据中心存在风险隐患；数据中心机房演练流于形式，部分演练为虚假演练，实际未开展；数据中心重大变更事项未向监管部门报告；运营中断事件报告不符合监管要求。

国家金融监督管理总局根据《银行业监督管理法》第二十一条、第四十六条和相关审慎经营规则，对中国银行、中信银行分别处以430万元、400万元罚款。

信息来源：

https://www.cbirc.gov.cn/cn/view/pages/ItemDetail.html?docId=1146085&itemId=4113&generaltype=9

11. 四川省成都市新都区检察院办理一起利用技术手段非法窃取公民个人信息案

1月5日消息，四川省成都市新都区检察院近日办理一起利用技术手段非法窃取公民个人信息案。案中，网络黑客共攻击涉及全国21个省市的社保、医疗等共计29个行业的51个系统，非法获利500余万元。

经查，王某等人于2021年初至2022年7月通过网络渠道委托黑客，利用搜集到的各种政府、企业网络平台的接口漏洞，通过对接口进行数据抓包、参数解析等，开发出100余款黑客软件。王某等人利用相关黑客软件，先后入侵全国21个省市的社保、医疗等共计29个行业的51个系统，“爬取”包括姓名、身份证号、手机号码、工作单位、家庭成员、社保缴纳等在内的公民个人信息，并贩卖给相关催债公司。被盗的公民个人信息被催债公司大规模用于数据画像，勾勒人物关系和活动轨迹，由此通过手机短信、微信、抖音等社交平台向欠款人的社会关系人发送催债信息。通过梳理固定涉案数据、司法鉴定意见及审计的获利情况，该院认定该团伙非法获利达500余万元。

从数据掮客、黑客、网络催债公司三类人员着手，新都区检察院指控了从信息盗取源头到提供、倒卖、购买终端全链条各环节的10名犯罪嫌疑人，法院最终以侵犯公民个人信息罪判处王某等人有期徒刑三年至十个月不等。对作为催债公司中下层员工的犯罪分子，新都区检察院在训诫后依法作出不起诉决定。同时，针对办案中发现的系统数据管理缺失、政务平台运维机制不完善等问题，新都区检察院于2023年9月向该区医保局制发了检察建议，积极推动相关部门修补网络安全漏洞、加强保密安全培训、健全公民个人信息保护制度。

信息来源：

https://baijiahao.baidu.com/s?id=1787222241811296067&wfr=spider&for=pc

国内数据治理资讯（2023.12.09-2023.12.22）

国内数据治理资讯（2023.11.25-2023.12.08）

国内数据治理资讯（2023.11.10-2023.11.24）

国内数据治理资讯（2023.11.1-2023.11.15）