编者按

2024年，人工智能引领全球经济浪潮高速发展。在保持现有治理节奏的基础上，全球网络安全、数据安全和个人信息保护均围绕着人工智能的发展调整新的关注角度。各国监管节奏不再是数据发展浪潮初期忙于应对泥沙俱下局面的仓促无力，更多显示出了契合本国经济发展的侧重点从容不迫。

在2025年新年伊始，本期专题将以中国网络安全和数据保护监管为主线，梳理过去一年来在境内外发生的重大立法和执法活动。在不胜枚举的立法和执法活动中，重点选取了国家安全、网络安全、网络信息内容安全、数据安全、个人信息保护、数据资源开发利用、公共数据授权运营、数据跨境、人工智能、平台监管十个领域作为讨论维度，有侧重地讨论我们对各领域一年内的动态和趋势观察。

一、国家安全

国家安全对网络安全和数据保护领域的全部法规起到统摄作用。无论是关键信息基础设施保护制度、数据分类分级制度、重要数据制度、数据出境制度、数据安全审查制度，均为服从国家安全利益的直接产物。2024年，境内数据法规针对国家安全进行了大量修补。2月，新修订的《中华人民共和国保守国家秘密法》发布；7月，《中华人民共和国保守国家秘密法实施条例》发布，针对国家秘密的范围确认、定密流程、责任单位等作出明确规范，并将国家机关工作秘密首次纳入管理范围。2月和7月，自然资源部发布《对外提供涉密测绘成果管理办法（征求意见稿）》《关于加强智能网联汽车有关测绘地理信息安全管理的通知》，对于垂直领域数据和资料可能涉及国家秘密的内容处理进行了补充，并进而影响到可能涉及测绘领域的汽车、海洋运输领域。4月，国家安全部发布《国家安全机关行政执法程序规定》，为后续国家安全执法储备依据。10月，2024年度首个国家安全领域涉数据处罚公布，国家安全部通报一起境外企业以汽车智驾为由非法测绘事件。该案件公布了相关测绘数据非法出境细节，在全民国家安全教育方面画下浓墨重彩的一笔。

境外方面，美国在2024年以“国家安全”为名采取了一系列行径，频频出台限制性政策及规定。2024年2月，美总统拜登签署“关于防止有关国家访问美国敏感数据”的行政令，限制数据不经限制地传输到包括中国在内的“受关注国家”。3月，美众议院全票通过《保护美国人数据免受外国对手侵害法案》，美国将对内嵌中国ICTS的联网汽车启动国家安全审查，4月，“TikTok剥离法案”及“防止受关注国家侵害美国人数据法案”生效，TikTok案件中字节的反击成为2024年度跟踪热点，6月，《保护美国人数据免受外国对手侵害法案》生效，9月，美国拟禁止智能网联车使用中国软硬件，以防止中国企业收集敏感数据，10月，美国公布“应对美国敏感数据面临的国家安全风险拟议规则”并再次征求公众意见，同月，拜登签署《关于提升美国在人工智能领域的国家安全备忘录》，为2024年度美国在科技和数据领域颇具针对性的国家安全政策画上句号。

境内：
2024.2 新修订的《保守国家秘密法》发布
2024.2 自然资源部发布《对外提供涉密测绘成果管理办法（征求意见稿）》
2024.3 中国远东国际招标有限公司存在严重失泄密风险隐患被取消装备采购招标代理资格
2024.4 国家安全部发布《国家安全机关行政执法程序规定》
2024.5 《网络安全技术关键信息基础设施边界确定方法（征求意见稿）》发布
2024.5 自然资源部等发布《关于规范移动互联网应用程序中登载使用地图行为的通知》
2024.6 《网络安全技术关键信息基础设施安全保护能力指标体系（征求意见稿）》国家标准征求意见
2024.7 自然资源部发布《关于加强智能网联汽车有关测绘地理信息安全管理的通知》
2024.7 国务院公布修订后的《中华人民共和国保守国家秘密法实施条例》
2024.10 国家安全部通报一起境外企业以汽车智驾为由非法测绘事件

境外：
2024.2 美总统拜登签署“关于防止有关国家访问美国敏感数据”的行政令
2024.3 美众议院全票通过《保护美国人数据免受外国对手侵害法案》
2024.3 美国将对内嵌中国ICTS的联网汽车启动国家安全审查
2024.4 “TikTok剥离法案”及“防止受关注国家侵害美国人数据法案”生效
2024.5 美国政府发布《关于关键基础设施安全和复原力的国家安全备忘录》
2024.6 《保护美国人数据免受外国对手侵害法案》生效
2024.8 联合国网络犯罪问题特设委员会通过《关于打击为犯罪目的使用信息和通信技术行为的全面国际公约》
2024.9 美国拟禁止智能网联车使用中国软硬件，以防止中国企业收集敏感数据
2024.10 美国公布“应对美国敏感数据面临的国家安全风险拟议规则”并再次征求公众意见
2024.10 拜登签署《关于提升美国在人工智能领域的国家安全备忘录》
2024.11 美国司法部就有关限制访问美国人敏感个人数据行政令（E.O. 14117）发布拟议规则通知
2024.12 EPIC向司法部提交关于关注国获取大量美国敏感个人数据的拟议规则的评论
2024.12 美司法部发布《防止受关注国家或涵盖人员访问美国敏感个人数据和政府相关数据的规定》最终文本

二、网络安全

自2016年公布以来，《网络安全法》已经在法规、标准层级构建了相对完善的监管框架，监管活动也日益常态化。2024年，各地均持续公布因未履行网络安全保护义务而被处罚的通报名单，除北上广深等一线城市外，山东、内蒙古、江西、四川等地也对属地企业网络安全保护工作启动了常态化监督执法工作，这一年来出现的“超市”“足浴店”因未履行网络安全保护义务而遭罚款的消息也令公众看到网络安全执法已经“走上街头”。

2024年，网络安全领域的规则也逐步在垂直化监管领域深入。2024年1月，网络安全保险工作、工控系统网络安全防护工作在工信部牵头下开展试点和发布方案，国家金融监督管理总局继续持续发布多家银行涉信息安全罚单，交通运输部针对铁路系统发布专项关键信息基础设施安全保护管理办法；车联网领域以上海“铸盾车联”为代表启动了专项行动，网安标委并针对车外画面局部轮廓化处理效果验证发布实践指南；关键信息基础设施领域，除前述交通运输部发布的铁路系统安全保护要求外，国家密码管理局在年末亦就《关键信息基础设施商用密码使用管理规定（征求意见稿）》公开征求意见。垂直领域的监管甚至细化至终端设备直连卫星服务，也进一步反映了信息技术“上天入地”般的发展向监管机构发起的挑战。

于境外，2024年网络安全也成为了境外监管的重点关注部分。2024年1月，欧盟《网络安全条例》正式生效，该法案通过明确责任、设立规划、加强合作等举措，改善欧盟预防、处理和应对大规模网络安全事件和危机的机制。同时，该法案针对关键信息基础设施保护提出了明确要求，例如要求欧盟成员国制定国家网络安全战略，任命负责网络危机管理的国家机构，设立国家大规模网络安全事件和危机应对计划，建立欧洲网络危机联络组织网络等，以提升对大规模网络安全事件和危机的管理水平。2024年10月，欧盟委员会通过“连接欧洲设施”（CEF）项目数字部分的第二个工作计划，该计划将在2024年至2027年期间为各种数字基础设施项目提供8.65亿欧元的资金。2024年11月，欧盟发布《网络弹性法案》全文，作为欧盟首部对包含数字元素产品提出强制性网络安全要求的立法文件，标志着欧盟在增强网络安全保护、抵御网络威胁方面迈出了重要步伐。

同样在1月，美国NIST发布《企业网络安全评估与改善指南（草案）》，并在10月由国防部发布了网络安全成熟度模型认证计划的最终规则，英国政府发布《网络治理实践准则》并公开征求企业意见，英国国家网络安全中心（NCSC）并敏锐观察到人工智能对网络安全带来的冲击，发布了人工智能对网络安全近期影响的报告。

随着数字经济的发展，网络安全作为数据安全、个人信息保护以及人工智能等新技术的基础和第一道防线，《网络安全法》也将作出调整应变。2024年5月，全国人大常委会公布2024年度立法工作计划，网络安全法的修订计划已经正式提上日程。

境内：
2024.1 国家金融监督管理总局公布2024年首批罚单，多家银行涉信息安全风险等被罚
2024.1 交通部发布《铁路关键信息基础设施安全保护管理办法》
2024.1 工信部印发《工业控制系统网络安全防护指南》
2024.1 工信部办公厅发布《关于组织开展网络安全保险服务试点工作的通知》
2024.2 信安标委就《信息安全技术云计算服务安全能力评估方法》（征求意见稿）公开征求意见的
2024.3 《网络安全标准实践指南——车外画面局部轮廓化处理效果验证》发布
2024.3 上海市通信管理局开展“铸盾车联”2024年车联网网络和数据安全专项行动
2024.4 全国网安标委印发《全国网络安全标准化技术委员会2024年度工作要点》
2024.4 山东省启动全省网络安全和信息化建设专项审计调查
2024.5 全国人大常委会发布2024年度立法工作计划，安排审议《网络安全法》修改案
2024.5 16项网络安全国家标准获批发布
2024.5 湖南省工信厅印发《湖南省工业和信息化领域网络安全和数据安全管理支撑服务工作管理办法（试行）》
2024.6 《电力网络安全事件应急预案》印发
2024.8 湖南省委网信办发布《关于发布政务信息系统网络安全评估报告模板的通知》
2024.9 全国网安标委就《数据安全技术二手电子产品信息清除技术要求》（征求意见稿）公开征求意见
2024.9 工信部发布《电信网和互联网安全等级保护实施指南》等19项通信行业标准报批公示
2024.9 内蒙网警通报7起不履行网络安全保护义务处罚案例
2024.9 江西某公司因为不履行网络安全保护义务被处罚
2024.9 国家网信办就《终端设备直连卫星服务管理规定（征求意见稿）》公开征求意见
2024.9 中证协发布《证券公司网络安全事件舆情处置示范案例》
2024.10 工业互联网企业网络安全系列国家标准发布，2025年1月1日实施
2024.10 北京互联网法院审结一起涉及“搬运”录取名单的网络侵权责任纠纷案件
2024.10 北京市经济和信息化局、中共北京市委金融委员会办公室联合开展北京市网络安全保险产业图谱征集工作
2024.11 国家密码管理局就《关键信息基础设施商用密码使用管理规定（征求意见稿）》公开征求意见
2024.11 国家计算机病毒应急处理中心监测发现13款违规移动应用
2024.12 市场监管总局印发《网络交易执法协查暂行办法》
2024.12 全国网安标委就《信息技术安全技术网络安全第6部分：无线网络访问安全》公开征求意见
2024.12 上海通管局组织开展2024年度云服务安全专项治理工作

境外：
2024.1 欧盟《网络安全条例》正式生效
2024.1 美国NIST发布《企业网络安全评估与改善指南（草案）》
2024.1 英国政府发布《网络治理实践准则》，并公开征求企业意见
2024.1 英国国家网络安全中心（NCSC）发布人工智能对网络安全近期影响的报告
2024.1 丹麦数据保护机构（Datatilsynet）建议对Netcompany公司的数据安全措施不足处以1500万丹麦克朗的罚款
2024.2 欧盟推出首个数字产品网络安全认证计划
2024.4 英国国家网络安全中心（NCSC）发布最新版本的网络评估框架（CAF）
2024.5 美国网络安全和基础设施安全局联合多部门发布民众网络安全指南
2024.10 英国国家网络安全中心（NCSC）发布《面向律师群体的网络安全防护指引》
2024.10 6国14家监管机构联合发布《运营技术网络安全原则》
2024.10 G7数据保护和隐私机构（DPA）公布《七国集团数据保护和隐私机构行动计划》
2024.10 美国国防部发布了网络安全成熟度模型认证计划的最终规则
2024.10 欧盟委员会通过“连接欧洲设施”（CEF）项目数字部分的第二个工作计划
2024.11 瑞士国家网络安全中心（NCSC）发布国家半年度网络安全报告
2024.11 欧盟发布《网络弹性法案》全文

三、网络信息内容安全

作为网络空间治理体系中最为成熟的方面之一，中国对网络信息内容安全的监管框架在2024年得到了进一步的完善。本年度以国家网信办为主导的监管机构出台了一系列政策，并针对新问题、新挑战进行了积极的应对。

市场监管总局等部门于2024年5月发布的《关于促进网络拍卖规范健康发展的指导意见》标志着中国对网络拍卖领域的监管进入了一个新的阶段。该意见强化了平台的监管责任，确保了拍卖活动的透明度和公平性。其后，国家网信办于6月出台的《互联网政务应用安全管理规定》则全面覆盖了互联网政务应用的安全管理，从开办、建设到运营的各个环节，构建了一个全面、系统的安全管理框架，并通过明确的责任追究机制，增强了规定的执行力。

在违法违规和不良信息治理方面，国家网信办等四部门于2024年6月公布的《网络暴力信息治理规定》，从主体责任、预防预警机制、账号处置等多方面建立了综合治理体系，为营造良好的网络生态提供了坚实的法律支撑。“清朗·优化营商网络环境—整治涉企侵权信息乱象”、“清朗·整治违规开展互联网新闻信息服务”等专项行动的开展，以及公安部公布的打击整治网络谣言、广告推广型网络黑灰产犯罪等典型案例，显示了中国在打击网络谣言和虚假信息、保护企业合法权益方面的决心和力度。

未成年人保护方面政策与行动并举，《移动互联网未成年人模式建设指南》的发布和《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》的公开征求意见，进一步加强了对未成年人网络保护的技术要求和管理规范。国家网信办启动的“清朗·2024年暑期未成年人网络环境整治”专项行动，针对未成年人网络环境中的突出问题进行了重点整治，体现了对未成年人权益保护的高度重视，其后续将侵害未成年人合法权益案例公开通报的行为，显示了中国对未成年人网络环境的持续治理之决心。与之相对应的是国家网信部门称其将持续加大治理力度，依托“清朗”系列专项行动，聚焦可能影响未成年人身心健康的各类新问题新情况，重拳出击、精准施策，持续净化未成年人上网环境。

总体来看，2024年中国网络信息内容安全监管呈现出明显的多元化、系统化趋势。监管政策的密集出台和专项行动的实施，不仅体现了监管机构对网络信息内容安全的高度重视，也反映了对网络环境治理的持续深化。未来，随着技术的不断进步和网络环境的演变，预计监管力度和频率将不断加强，我们理解“未成年人网络保护”、“打击网络谣言、虚假信息、网络暴力内容等不良信息”仍将是监管的重点议题。

境内：
2024.5 市场监管总局等发布《关于促进网络拍卖规范健康发展的指导意见》
2024.5 国家网信办发布《互联网政务应用安全管理规定》
2024.6 国家互联网信息办公室等四部门公布《网络暴力信息治理规定》
2024.7 中央网信办启动“清朗·2024年暑期未成年人网络环境整治”专项行动
2024.7 国家网信办“清朗·优化营商网络环境—整治涉企侵权信息乱象”专项行动公开曝光第二批典型案例
2024.8 上海警方纵深推进打击整治网络谣言专项行动、
2024.9 公安部公布10起打击整治网络暴力违法犯罪典型案例
2024.9 公安部公布8起打击广告推广型网络黑灰产犯罪典型案例
2024.9 公安部公布5起打击整治“移花接木”拼接网络谣言违法犯罪典型案例
2024.10 中央网信办部署开展“清朗·整治违规开展互联网新闻信息服务”专项行动
2024.10 中央网信办通报“清朗·2024年暑期未成年人网络环境整治”专项行动典型处置案例
2024.11 国家互联网信息办公室发布《移动互联网未成年人模式建设指南》
2024.12 全国网安标委就《网络安全标准实践指南——移动互联网未成年人模式技术要求（征求意见稿）》公开征求意见
2024.12 国家网信办通报7类侵害未成年人案例，涉网红儿童、直播拆卡

四、数据安全

《网络数据安全管理条例》的发布无疑是数据安全领域2024年度最为重要的事件之一。该条例不仅从行政法规层级补充了三法一条例的法律位阶空缺，在实质内容方面也是对《数据安全法》实施三年有余的阶段性总结，对网络数据处理的合法性基础、重要数据管理、数据出境规则等方面进行了细节补齐和规则充实。

除此之外，我们也不应忽视数据安全监管领域取得的成效。在垂直领域，政务数据安全、会计师审计业务数据安全、民航数据安全、工信领域数据安全、自然资源领域和征信数据安全均迎来自身具体监管规范，并出现了“浦江护航”“江淮护航”数据安全专项行动，垂直监管领域中汽车领域表现突出，随着4月《汽车企业数据安全管理体系要求》团体标准发布，8月，国家强制性标准《汽车整车信息安全技术要求》正式发布，9月，自然资源部就《智能网联汽车时空数据传感系统安全基本要求》（征求意见稿）和《智能网联汽车时空数据安全处理基本要求》（征求意见稿）等2项强制性国家标准公开征求意见。需要额外注意，各部门出台的规定可能对企业均产生影响。如今年3月来自自然资源部的《自然资源领域数据安全管理办法》即将深刻影响汽车领域的地图数据处理。可见包括汽车领域数据安全在内的监管愈加严格、细致和具有联动性。上周末，国家金融监督管理总局发布《银行保险机构数据安全管理办法》正式稿，对包括间接获取数据、重要数据处理等银行保险机构数据处理活动及安全要求提出了十分具体的安排，这一答卷可视为2024年度数据安全领域的垂直监管收官之作。

在执法领域，以违反数据安全义务为名的罚单也开始获得更多的社会关注。2024年10月，上海和郑州网信办针对企业未履行数据安全保护义务开出罚单，均对涉事企业处以五万元罚款。相比2023年期间的数据安全罚单，2024年因违反数据安全义务的罚单消息获得了人们更多关注，一度成为资讯热点被广泛讨论。

2024年境外数据安全领域，各国的治理手段均在稳步有序推进。2024年1月，欧盟《数据法案》（Data Act）正式生效。该法案旨在规范欧盟内部数据共享和使用，于2023年1月由欧盟委员会提出。该法案旨在促进公平的数据经济，让企业和个人更好地控制自己的数据，并促进数据驱动的创新。法案与《数据治理法案》（Data Governance Act）和《通用数据保护条例》（GDPR）共同构成了欧盟数据监管框架的重要支柱。治理层面，澳大利亚和韩国也在年初针对数据存储、供应链数据安全等发布指南和报告，旨在为企业实践提供更多参照。在数据利用和发展之外，数据的安全保护罚单在年末涌现，因数据安全义务存在瑕疵，或因此导致个人信息泄露案件层出不穷，美国普罗维登斯医学院、Postel等均因未履行数据安全保护义务而收到了高达数十万美元的罚单。

境内：
2024.2 中国电子信息行业联合会发布《数据合规审计指南》系列团体标准
2024.2 工业和信息化部印发《工业领域数据安全能力提升实施方案（2024—2026年）》
2024.2 上海市政府印发《上海市落实〈全面对接国际高标准经贸规则推进中国（上海）自由贸易试验区高水平制度型开放总体方案〉的实施方案》的通知
2024.3 国家标准《数据安全技术数据分类分级规则》发布
2024.3 自然资源部印发《自然资源领域数据安全管理办法》
2024.3 《江苏省关于促进数据安全产业发展的实施意见》发布
2024.4 《汽车企业数据安全管理体系要求》团体标准正式发布
2024.4 市场监管总局印发《市场监督管理行政执法电子数据取证暂行规定》
2024.4 《数据安全技术政务数据处理安全要求》发布
2024.5 《工业领域重要数据识别指南》《工业企业数据安全防护要求》等3项通信行业标准报批公示
2024.5 《会计师事务所数据安全管理暂行办法》发布
2024.5 工信部发布《工业和信息化领域数据安全风险评估实施细则（试行）》
2024.6 上海市通管局发布《关于纵深推进“浦江护航”数据安全专项行动的通知》
2024.6 国家标准《数据安全技术数据安全和个人信息保护社会责任指南》公开征求意见
2024.6 安徽省通管局印发《关于开展2024年电信和互联网行业“江淮护航”网络和数据安全专项行动的通知》
2024.6 《民航数据管理办法（征求意见稿）》《民航数据共享管理办法（征求意见稿）》发布
2024.7 中国人民银行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告（征求意见稿）》公开征求意见
2024.8 全国网安标委就《数据安全技术数据接口安全风险监测方法（征求意见稿）》公开征求意见
2024.8 《汽车整车信息安全技术要求》等三项国家强制性标准发布
2024.8 中国民航信息集团有限公司出台新规收紧“民航数据”访问权限
2024.8 全国网安标委就《网络安全标准实践指南—互联网平台停服数据处理安全要求（征求意见稿）》公开征求意见
2024.9 国家密码管理局发布《电子政务电子认证服务管理办法》
2024.9 工信部等11部门印发《关于推动新型信息基础设施协调发展有关事项的通知》
2024.9 全国网安标委就《数据安全技术二手电子产品信息清除技术要求》（征求意见稿）公开征求意见
2024.9 自然资源部就《智能网联汽车时空数据传感系统安全基本要求》（征求意见稿）和《智能网联汽车时空数据安全处理基本要求》（征求意见稿）等 2 项强制性国家标准公开征求意见
2024.9 李强签署国务院令公布《网络数据安全管理条例》
2024.9 国家金融监督管理总局印发《关于加强银行业保险业移动互联网应用程序管理的通知》
2024.10 上海网信办依法处罚未履行数据保护义务的某医疗科技公司
2024.10 郑州市网信办依法处罚违反《数据安全法》的两家公司
2024.11 工信部发布《工业和信息化领域数据安全事件应急预案（试行）》
2024.12 国务院审议通过《公共安全视频图像信息系统管理条例（草案）》
2024.12 《网络安全标准实践指南—— 一键停止收集车外数据指引》发布
2024.12 上海高院：通过技术手段修改新能源电池管理系统数据，涉破坏计算机信息系统罪案件
2024.12 四部门印发《电信网络诈骗及其关联违法犯罪联合惩戒办法》
2024.12 《银行保险机构数据安全管理办法》印发

境外：
2024.1 欧盟《数据法案》正式生效
2024.2 韩国互联网安全局（KISA）和科学与信息通信技术部（MSIT）发布数据储存安全指南
2024.2 澳大利亚信息专员办公室发布关于应申报数据泄露的报告，强调供应链风险
2024.9 欧盟委员会发布《数据治理法案》（DGA）实施指引文件
2024.10 美国联邦贸易委员会宣布与万豪和喜达屋就数据泄露达成和解
2024.10 美国加州地区法院驳回对Meta违反COPPA和其他针对儿童的有害做法的诉讼
2024.10 英国ICO因数据保护失败对北爱尔兰警察局处以75万英镑罚款
2024.10 美国卫生与公众服务部民权办公室在HIPAA勒索软件网络安全调查中对普罗维登斯医学院处以24万美元民事罚款
2024.10 土耳其个人数据保护局宣布Kilis大学数据泄露
2024.10 Postel因未及时修复安全漏洞导致数据泄露，被处以90万欧元罚款

五、个人信息保护

2014年境内个人信息保护已经“过尽千帆”。相比2019年徐玉玉案件初发之时，2024年，个人信息保护领域法律、法规、国家标准的框架已经基本齐备，2024年7月，《数据安全技术个人信息保护合规审计要求（征求意见稿）》公开征求意见，结合2023年8月国家网信办所发布的《个人信息保护合规审计管理办法（征求意见稿）》，个人信息保护合规审计制度的补齐和落地指日可待。

与此同时，各地通管局、网信办、网安部门及行业主管部门的执法活动已常态化，海南、福建、浙江、江苏、湖南、内蒙古、江西、广东等省（区）也针对个人信息保护展开持续监管活动，并针对热点事件或突出问题实施了专题化监管，如北京在5月针对停车、餐饮、商超等10大领域扫码缴费违规收集个人信息开展清朗行动，上海则在5月、8月分别针对咖啡馆、地铁售货机等具体场景展开检查和指导工作。需要看到，个人信息保护的监管活动也反向推动了相关标准对于实践中过分束缚企业经营行为的概念等进行松绑。作为反映全国网安标委标准制定趋势的重要文件，《网络安全标准实践指南——敏感个人信息识别指南》于2024年9月发布，该文件因将身份证号不再视为敏感个人信息示例而受到广泛讨论和欢迎，但事实上仍应清晰认识到相关个人信息是否视为个人信息，仍应结合处理场景、处理后果等因素确认。

在司法审判层面，7月，最高院司法案例研究院发布侵犯公民个人信息罪相关案例裁判要旨汇总，各地法院也陆续发布针对个人信息案件的审判总结。司法系统有关个人信息保护的经验积累也意味着个人信息保护争议案件已经平稳度过初期摸索阶段，从争议解决角度为个人信息保护领域中的个人信息处理行为进一步划出红线区域。

尤其值得一提的是，2024年7月，在《个人信息保护法》的顶层设计之下，公安部和国家网信办就《国家网络身份认证公共服务管理办法》公开征求意见，该办法倡导个人信息主体向具备资质的公共服务机构申请网号、网证，以替代公民身份证作为网络社会身份流通标识。尽管不乏负面声音，但必须承认网络身份认证机制建立了个人信息的源头保护机制，极大提升公民对其身份信息的自决权。

境外，2024年的个人信息保护也转入更为细致的专题化讨论，一方面，英国、美国包括西班牙在内的数据保护机构对于儿童、未成年人个人信息保护表现出了极大关切，针对儿童信息保护战略、儿童安全行为守则、儿童网络安全行为等的公开征求意见和讨论贯穿全年立法行动。2024年10月，英美两国签署历史性儿童网络安全协议以期讨论针对儿童个人信息和网络安全保护的一致准则。另一方面，欧盟持续以指南方式深化和细化GDPR规则及关联数据处理活动规则适用的解读，针对常常混淆的个人信息控制者、处理者身份认定，以及欧洲刑警组织关于确定行政个人数据存储期限等规则，均在10月份发布了指导意见。

2024年，全球范围内的个人信息保护立法及执法活动可称“盛况”。公开资料显示，包括韩国、土耳其、法国、德国、荷兰、波兰、乌拉圭、越南均不同程度修订了与个人信息保护相关的核心法规，或针对法规适用作出解释，且大部分地区有关个人信息保护领域的讨论均表现出了对人工智能等新技术的关注。个人信息保护的全球化趋势已成定局，但有关个人信息保护与新技术发展之间的冲突和磨合还有待进一步观察。

境内：
2024.1 成都铁路运输中级法院宣判全国首例公共交通领域使用人脸识别技术引发的个人信息侵权案，认定不构成侵权但建议完善告知义务
2024.2 国家邮政局网站公布《关于公开征求〈寄递服务用户个人信息安全管理办法（征求意见稿）〉意见的通知》
2024.3 金融监管总局办公厅下发《关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报》
2024.3 《消费者权益保护法实施条例》发布
2024.4 《信息安全技术基于个人请求的个人信息转移要求》等7项国家标准公开征求意见
2024.5 北京针对停车、餐饮、商超等10大领域扫码缴费违规收集个人信息开展清朗行动
2024.5 上海网信办召开“咖啡消费场景下个人信息保护”合规指导会
2024.7 《数据安全技术个人信息保护合规审计要求（征求意见稿）》公开征求意见
2024.7 《国家网络身份认证公共服务管理办法（征求意见稿）》公开征求意见
2024.7 最高院司法案例研究院发布侵犯公民个人信息罪相关案例裁判要旨汇总
2024.7 上海市网信办对属地21款App收集使用个人信息情况开展专项检查
2024.8 全国旅游标准化技术委员会就旅游行业标准《旅游大数据安全与隐私保护要求》（征求意见稿）公开征求意见
2024.8 上海市网信办就诱导“刷脸”支付、自动售货机违规收集个人信息约谈申通地铁等企业
2024.9 全国网安标委发布《网络安全标准实践指南——敏感个人信息识别指南》
2024.9 北京互联网法院发布十起个人信息保护典型案例
2024.9 南昌市网信办因某校个人信息未开展脱敏或去标识化处理对其作出行政处罚
2024.9 中国网络空间安全协会发布“关于发布完成个人信息收集使用合规整改App清单的公告”
2024.10 最高法法答网答问：侵犯公民个人信息罪案件中，在认定“违法所得”时一般不扣除成本
2024.10 上海市网信办全面整治地铁站内自动售货机人脸识别技术滥用问题
2024.11 工业和信息化部通报第44批侵害用户权益行为的APP（SDK）
2024.11 《反洗钱法》修订草案多项规定涉及数据安全和公民个人信息
2024.12 国标《数据安全技术个人信息保护合规审计要求》试点中期研讨会举办
2024.12 国家计算机病毒应急处理中心监测发现12款违规移动应用
2024.12 广西某公司因未履行网络安全主体责任被网安部门处罚
2024.12 海南一网贷机构违法违规收集用户个人信息被约谈
2024.12 内蒙古赤峰市委网信办持续开展个人信息保护现场检查行动
2024.12 福建网信办发布关于数据安全管理相关事项的公告
2024.12 湖南湘潭市联动开展医疗行业个人信息权益保护执法检查
2024.12 浙江通管局通报17款侵害用户权益行为的APP（2024年第11批）
2024.12 广东通管局通报10款未按要求完成整改APP
2024.12 江苏省通信管理局发布关于下架18款侵害用户权益APP的通报

境外：
2024.1 英国ICO发布关于儿童法规年龄保证的最新意见
2024.1 西班牙数据保护机构（AEPD）提出《未成年人、数字健康和隐私全球战略计划》
2024.2 韩国个人信息保护委员会（PIPC）发布个人信息泄露应对手册
2024.2 日本（个人信息保护委员会）PPC就数据安全措施向NTT Docomo和NTT Nexia发布行政指南
2024.3 土耳其数据保护机构（KVKK）对《个人数据保护法》（PDPL）进行多项修订
2024.4 英国ICO发布2024-2025年儿童在线个人信息保护的优先事项
2024.4 美国数据隐私立法草案——《美国隐私权法案》公布
2024.5 马里兰州签署在线数据隐私法、儿童法
2024.5 英国通信办公室就《儿童安全行为守则》草案展开公众咨询
2024.5 法国国家信息自由委员会就健康数据处理标准发布公开问卷
2024.5 德国数据保护会议就研究中二次利用基因数据问题发布立场性文件
2024.5 德国数据保护会议发布《人工智能和数据保护指南》
2024.5 荷兰数据保护局发布人脸识别应用指南
2024.5 波兰个人数据保护办公室就就业数据处理指南、应对个人数据泄露指南征求公众意见
2024.5 乌拉圭个人数据监管和控制机构发布中小微企业数据保护指南
2024.5 韩国个人信息保护委员会发布关于起草数据处理政策的指南
2024.5 新西兰议会提出消费者与产品数据法案
2024.5 西班牙数据保护局等发布Wi-Fi跟踪技术指南
2024.6 纽约州通过法律保护儿童免受成瘾性信息侵害
2024.6 韩国PIPC发布关于个人信息安全措施标准的指引
2024.6 美国：罗德岛州批准数据透明度和隐私保护法案
2024.9 美国加州州长批准了为儿童数据隐私提供进一步保护的法案
2024.9 越南发布《个人数据保护法（草案）》
2024.10 欧洲数据保护委员会就依赖处理者、分包处理者所产生的某些义务给出意见
2024.10 英美两国签达成历史性儿童网络安全协议
2024.10 EDPB发布对欧洲刑警组织关于确定行政个人数据存储期限的规则的意见
2024.10 LinkedIn因违反GDPR被爱尔兰数据保护委员会罚款3.1亿欧元
2024.10 美国德克萨斯州总检察长肯·帕克斯顿（Ken Paxton）起诉TikTok共享未成年人个人数据，违反德克萨斯州《家长同意法》
2024.10 We Repair UK Ltd因未经请求的直接营销而被ICO罚款 80,000 英镑
2024.10 法国国家信息与自由委员会对COSMOSPACE和TELEMAQUE处以罚款
2024.10 澳大利亚联邦银行因发送未经请求的直接营销电子邮件而被通信和媒体管理局罚款750万澳元
2024.10 肯尼亚数据保护专员办公室责令米戈里县议会向无法律依据处理数据支付90万肯尼亚先令
2024.10 英国2家公司因直接营销违规被ICO处以罚款处罚
2024.10 比利时DPA因Cookie横幅不合规而对RTL比利时每天罚款40,000欧元
2024.10 意大利数据保护机构以非法备份员工电子邮件为由对Selectra罚款80,000欧元
2024.10 罗马尼亚国家个人数据处理监管局因安全措施不足对沃达丰罚款24,870列伊

六、数据资源开发利用

2024年是数据要素和数据交易市场蓬勃发展的一年。

新年尚未开启，国家数据局等十七部门联合发布《“数据要素x”三年行动计划（2024—2026年）（征求意见稿）》，提出充分发挥数据要素的放大、叠加、倍增作用，从供需两端发力，在智能制造、商贸流通、交通物流、金融服务、医疗健康等若干重点领域，加强场景需求牵引、打通流通障碍、提升供给质量，推动数据要素与其他要素相结合，发挥数据要素乘数效应，赋能经济社会发展。

随后的一年中，四川、江苏、广东、山西、湖南、内蒙、天津等各省市纷纷发文落实数据要素市场化配置综合改革的实施方案，着力从顶层设计、基础建设、资产管理、知识产权登记等各方面展开具体工作部署。行业方面，气象部针对“数据要素x”行动计划开展具体实施方案，国家网信办亦在年初启动全国数据资源调查，中国人民银行针对金融数据发展亦提出具体落地建议。最为亮眼和高效的落地进展体现在数据资源的资产化和价值化方面，财政部在2024年的年初两次针对数据资产管理发布了企业可供实践依赖的重要操作指导《关于加强数据资产管理的指导意见》《关于加强行政事业单位数据资产管理的通知》，各地频频出现企业凭借数据资产获得贷款的实践案例，在法规引导和落地实践的良好互动下，财政部在2024年年尾发布了《数据资产全过程管理试点方案》交出漂亮总结。

国家数据局作为数据资源战略的统筹部门，除年初“数据要素x”行动计划提出的战略方向外，国家数据局在第三季度频频发文，分别就《关于促进数据产业高质量发展的指导意见》《数据领域名词解释》《国家数据基础设施建设指引》《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案》等数据资源发展基础底座建设广泛征求意见；第四季度，国家数据局自行或联合其他部委发布了《国家数据标准体系建设指南》《可信数据空间发展行动计划（2024—2028年）》《关于促进企业数据资源开发利用的意见》等系列年终总结。作为年终献表的一部分，国家数据局官方网站（www.nda.gov.cn）已于12月25日上线试运行，当日，国家数据局领导团队、职能、内设机构亦全部公布——距离国家数据局正式挂牌成立，上述工作成就的取得仅用时14个月。

境内：
2024.1 十七部门印发《“数据要素x”三年行动计划(2024-2026年)》
2024.1 财政部印发《关于加强数据资产管理的指导意见》
2024.1 四川省大数据中心等单位印发《关于推进数据要素市场化配置综合改革的实施方案》
2024.1 江苏印发《关于推进数据基础制度建设更好发挥数据要素作用的实施意见》
2024.1 江苏省知识产权局等四部门印发《江苏省数据知识产权登记管理办法（试行）》
2024.2 国务院国资委印发《关于优化中央企业资产评估管理有关事项的通知》
2024.2 财政部发布《关于加强行政事业单位数据资产管理的通知》
2024.2 建行上海市分行发放首笔基于“数易贷”服务的数据资产质押贷款
2024.2 国家互联网信息办公室开展全国数据资源调查
2024.2 建行上海市分行发放首笔基于“数易贷”服务的数据资产质押贷款
2024.2 贵州省大数据局印发《贵州算力券管理办法（试行）》
2024.3 《统筹融资信用服务平台建设提升中小微企业融资便利水平实施方案》发布
2024.4 杭州市数据资源管理局就《杭州市数据流通交易促进条例》公开征求意见
2024.4 《杭州市关于高标准建设“中国数谷”促进数据要素流通的实施意见》发布
2024.4 福建省发改委印发《福建省促进数据要素流通交易若干措施》
2024.5 海南工信厅就《海南自由贸易港数字经济促进条例（征求意见稿）》公开征求意见
2024.5 中国气象局印发实施方案，加快推进“气象数据要素×”行动。
2024.5 浙江首份《引导企业数据健康发展行为指引》发布
2024.5 广东省交通厅印发《广东省交通运输领域数据治理发展规划（2024—2030年）》
2024.6 中共广东省委办公厅等部门印发《关于构建数据基础制度推进数据要素市场高质量发展的实施意见》
2024.7 山西省人民政府发布《山西省数据工作管理办法》
2024.7 北京知产法院审结全国首例涉已获数据知识产权登记证书的数据竞争案件
2024.8 济宁市签发全国第一张数据资产入表保险单
2024.8 全国首笔“数据资产挂钩抵押贷款”在重庆落地
2024.9 国家数据局就《关于促进数据产业高质量发展的指导意见》公开征求意见
2024.9 天津市数据局就《天津市深化数据要素市场化配置改革实施方案（征求意见稿）》公开征求意见
2024.9 湖南省市监局等十一部门印发《湖南省数据知识产权登记管理办法（试行）》
2024.10 创造更良好营商环境，8个城市将试点信用数据开发利用
2024.10 《广东省数据条例（草案）》公开征求意见
2024.10 国家数据局就《数据领域名词解释》公开征求意见
2024.10 国家发展改革委、国家数据局等部门联合印发《国家数据标准体系建设指南》
2024.11 国家数据局印发《可信数据空间发展行动计划（2024—2028年）》
2024.11 《国家数据基础设施建设指引（征求意见稿）》发布
2024.11 上海市知识产权局、上海市数据局联合制定《上海市数据产品知识产权登记存证暂行办法》
2024.11 湖南省人民政府办公厅印发《湖南省加强数据资产管理工作方案》
2024.11 关于征求《湖北省数据产权登记管理办法（试行）（征求意见稿）》意见的公告
2024.11 海南省发布《海南自由贸易港国际数据中心发展规定》
2024.12 深数所数据产权登记服务平台发布首批数据产权登记证书
2024.12 中共中央办公厅、国务院办公厅印发《关于数字贸易改革创新发展的意见》
2024.12 国家数据局发布《关于完善数据流通安全治理更好促进数据要素市场化价值化的实施方案（征求意见稿）》
2024.12 中国人民银行等发布《推动数字金融高质量发展行动方案》
2024.12 内蒙古政务服务与数据管理局发布《内蒙古自治区数据流通交易管理暂行办法》（公开征求意见稿）
2024.12 国家数据局官网上线试运行，领导团队、职能、内设机构公示
2024.12 国家数据局等5部委印发《关于促进企业数据资源开发利用的意见》
2024.12 财政部印发《数据资产全过程管理试点方案》

境外：
2024.4 欧盟委员会发布《数据法》指南
2024.4 《欧盟官方公报》发布欧洲数字身份框架

七、公共数据资源授权运营

《数据安全法》第五章专章描述了政务数据安全与开放的规则。随着数据资源顶层战略的确定和底层基础的夯实，公共数据概念逐步与政务数据糅合，在2022年末《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》首次出现在重要政策指导意见中，作为独立于企业数据和个人数据的类别单独讨论。在此之后，北京、上海、浙江、广东、深圳、成都等省份和城市对于公共数据资源授权运营公布了规则并进行了积极试点，作为最具潜力的数据类别，公共数据资源的利用规划在2024年以“公共数据资源登记”“公共数据授权运营”为关键词迎来了更为成熟的配套规则及落地实施方案。

2024年上半年，包括广东、贵州、湖北以及厦门、济南多个省市公布了公共数据资源授权运营的具体试行办法，其中绝大多数为处于初期摸索阶段的征求意见稿。2024年10月，国家数据局正式就《公共数据资源授权运营实施规范（试行）》公开征求意见，阶段性总结了初期摸索结果，提出了“实施机构”“运营机构”和“其他经营主体”的三级运营方案。同日，国家发展改革委就《公共数据资源登记管理暂行办法》向社会公开征求意见，该暂行办法作为公共数据资源运营的重要前提，实质上从源头处框定了公共数据资源可供运营的数据范围和权责分配。在国家数据局和国家发改委两份重磅征求意见稿后，广州发布了《公共数据授权运营管理暂行办法》，该办法引入了数据商等新概念，并未完全限定在两份重磅征求意见稿范围内。

相比之下，针对政务数据乃至公共数据共享，2024年的公开可查的境外法规并无过多亮点。2024年4月，《欧洲互操作法案》公布，该法案规定了联盟实体和公共部门机构之间高度互操作的措施，并创建了互操作治理结构，旨在提高联盟实体和公共部门机构之间的数字服务跨边界和跨领域的互操作性，通过数字流程共享数据、信息和知识，提高跨境互动的能力，确保实现无缝协作和信息共享。该法案可以视为欧盟对公共数据共享的一次探索，也可用作借鉴境内公共数据资源治理思路。

公共数据资源授权运营模式的探索之路尚且漫漫，但在热切的呼声之下，两份国家数据局征求意见稿的迅速出台似乎亦可期待。

境内：
2024.1 上海浦东新区发布标准化指导性技术文件《公共数据授权运营可信环境技术规范》
2024.1 江苏省知识产权局等四部门印发《江苏省数据知识产权登记管理办法（试行）》
2024.1 厦门市政府印发《厦门市公共数据共享开放管理暂行办法》
2024.2 财政部发布《关于加强行政事业单位数据资产管理的通知》
2024.2 工业和信息化部印发《工业领域数据安全能力提升实施方案（2024—2026年）》
2024.3 《全国公共信用信息基础目录（2024年版）》和《全国失信惩戒措施基础清单（2024年版）》发布
2024.3 《新一代地理信息公共服务平台（天地图）建设总体实施方案》发布
2024.3 《无锡市公共数据授权运营管理办法（试行）》印发
2024.7 济南市大数据局公开遴选第一批公共数据授权运营单位
2024.7 湖北省通管局发布《公共互联网网络和数据安全风险监测与处置办法实施细则》
2024.7 贵州省大数据局就《贵州省公共数据授权运营管理办法（试行）（征求意见稿）》公开征求意见
2024.8 广州市政务服务和数据管理局就《广州市公共数据授权运营管理暂行办法（征求公众意见稿）》征求意见
2024.9 湖北省数据局就《湖北省公共数据授权运营管理办法（试行）（征求意见稿）》公开征求意见
2024.10 中共中央办公厅、国务院办公厅发布《关于加快公共数据资源开发利用的意见》
2024.10 国家数据局就《公共数据资源授权运营实施规范（试行）》（公开征求意见稿）向社会公开征求意见
2024.10 国家发展改革委就《公共数据资源登记管理暂行办法（公开征求意见稿）》向社会公开征求意见
2024.11 《重庆市公共数据资源登记管理实施办法（试行）》《重庆市公共数据资源授权运营管理实施办法（试行）》公开征求意见
2024.12 《广州市公共数据授权运营管理暂行办法》正式发布
2024.12 西藏发布《西藏自治区公共数据管理办法（试行）》
2024.12 西藏就《西藏自治区公共数据资源开发利用实施方案（征求意见稿）》公开征求意见
2024.12 甘肃就《甘肃省公共数据资源登记管理实施细则（试行）（公开征求意见稿）》等公开征求意见
2024.12 全国网安标委就《网络安全技术基于互联网电子政务信息安全实施指南第1部分：总则》公开征求意见

境外：
2024.1 韩国个人信息保护委员会（PIPC）将从今年开始评估1,600个公共机构的个人数据保护情况
2024.4 《欧洲互操作法案》（Interoperable Europe Act）正式生效

八、数据跨境

2024年对于存在数据跨境流动的中国企业来说是令人振奋的一年。2024年3月，国家互联网信息办公室公布发布的《促进和规范数据跨境流动规定》极大松绑了境内企业个人信息出境的合规义务，提出了六大“绝对豁免”场景，这些豁免场景在随后9月公布的《网络数据安全管理条例》中进一步增补为七个。同期，国家网信办发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》。至此，在数据出境安全评估、个人信息标准合同备案、个人信息保护认证之外，是否适用豁免场景成为了企业跨境首要的考虑因素。

《促进和规范数据跨境流动规定》提出的“绝对豁免”首次向自由贸易试验区放权制定“负面清单”，归属于负面清单之外的数据可以不经安全评估、合同备案或认证，在履行必要合规义务后出境。在此利好政策下，各地自贸区纷纷推出自家负面清单。2024年2月，天津自贸区率先推出《中国（天津）自由贸易试验区企业数据分类分级标准规范》，随后几天，《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》在上海发布，但其中清单形式为“一般数据清单”。2024年8月，《中国（北京）自由贸易试验区数据出境管理清单（负面清单）（2024版）》在北京发布，北京自贸区负面清单作为首个中央网信办审批发布的负面清单，成为了业内负面清单内容标准的重要参考。此外，2024年1月和9月，粤港澳大湾区个人信息跨境流动标准合同机制进一步构建和完善，该机制为粤港澳大湾区数据流动和促进经济活力提供了重要保障，同样成为了境内企业数据跨境的优选考虑方案。

此外，我们也观察到，与数据跨境联动的有关机制也在逐步建设。2024年5月，国家监察委员会等联合发布《关于实施〈中华人民共和国国际刑事司法协助法〉若干问题的规定（试行）》，涉及刑事证据数据出境规则，2024年11月，国务院公布《中华人民共和国两用物项出口管制条例》，企业出境数据时需要额外考虑数据所依附的业务和技术是否受到出口管制限制。

境外，有关数据跨境的规则仍在安全与发展中不断探索平衡之道。2024年1月，欧盟委员会完成对现行11项数据跨境流动“充分性决定”的审查并公布国别报告，4月，欧洲数据保护委员会发布“欧盟-美国数据隐私框架”救济流程指南，11月，EDPB发布关于欧盟—美国数据隐私框架的首次审查报告。继隐私盾坍陷后，欧美数据传输机制重新建设并展开运行。相类似的国与国之间的数据跨境机制建设在2024年还出现了欧盟与日本关于跨境数据流动的协议、中国与德国签署数据跨境流动合作的谅解备忘录等形式。

此外，各国纷纷就本国数据向境外传输展开政策讨论，2024年中，法国、土耳其、巴西、沙特均就数据出境制定了框架规则。需要特别注意，2024年，美国方面，2月，总统拜登签署“关于防止有关国家访问美国敏感数据”的行政令，3月颁布《保护美国人数据免受外国对手侵害法案》，9月公布消息拟禁止智能网联车使用中国软硬件，以防止中国企业收集敏感数据，10月公布“应对美国敏感数据面临的国家安全风险拟议规则”并再次征求公众意见，11月，EPIC向司法部提交关于关注国获取大量美国敏感个人数据的拟议规则的评论。一系列针对性规则均牵制了中国企业赴美展业的脚步，中美数据流动前景尚待进一步观察。

境内：
2024.1 广东省网信办发布关于落实《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》的通知
2024.1 广东省人大常委会通过《南沙深化面向世界的粤港澳全面合作条例》
2024.2 《中国（上海）自由贸易试验区临港新片区数据跨境流动分类分级管理办法（试行）》发布
2024.2 天津市商务局等印发《中国（天津）自由贸易试验区企业数据分类分级标准规范》
2024.3 国家互联网信息办公室公布发布《促进和规范数据跨境流动规定》
2024.3 《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》发布
2024.4 国内首个基层数据跨境服务中心在上海临港启用
2024.5 上海自贸区临港新片区数据跨境场景化一般数据清单发布
2024.5 北京市数据出境“绿色通道”首家试用企业数据出境场景全部获批
2024.5 重庆网信办发布数据出境安全评估及标准合同备案通过案例
2024.5 国家监察委员会等联合发布《关于实施〈中华人民共和国国际刑事司法协助法〉若干问题的规定（试行）》，涉及刑事证据数据出境
2024.6 海南省委网信办发布《海南自由贸易港国际数据中心发展条例（公开征求意见稿）》
2024.6 中德签署数据跨境流动合作的谅解备忘录
2024.8 北京自贸区数据出境负面清单发布
2024.8 上海市临港新片区第二批数据跨境场景化操作指引（一般数据清单）新增再保险、航运、证券3个领域
2024.8 广州互联网法院“个人信息跨境案”判决
2024.9 国家网信办发布《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》
2024.9 福建平潭发布《中国（福建）自由贸易试验区平潭片区数据跨境流动一般数据清单（试行）》
2024.11 《网络安全标准实践指南——粤港澳大湾区（内地、香港）个人信息跨境处理保护要求》发布
2024.11 国务院公布《中华人民共和国两用物项出口管制条例》
2024.11 网信办发布《我国数据出境合规指引》
2024.12 福建发布首个省级个人信息出境标准合同备案实施办法
2024.12 国家安全部提醒：数据出境要注意安全

境外：
2024.1 法国数据保护局(CNIL)发布《传输影响评估（TIA）指南（草案）》并征求公众意见
2024.1 欧盟委员会完成对现行11项数据跨境流动“充分性决定”的审查并公布国别报告
2024.2 美总统拜登签署“关于防止有关国家访问美国敏感数据”的行政令
2024.3 美众议院全票通过《保护美国人数据免受外国对手侵害法案》
2024.4 “TikTok剥离法案”及“防止受关注国家侵害美国人数据法案”生效
2024.4 欧洲数据保护委员会发布欧盟-美国数据隐私框架救济流程指南
2024.5 土耳其个人数据保护局发布关于向国外传输个人数据的程序和原则的法规草案
2024.6 《保护美国人数据免受外国对手侵害法案》生效
2024.7 欧盟数据保护委员会（EDPB）发布欧美数据隐私框架FAQ
2024.7 欧盟与日本关于跨境数据流动的协议正式生效
2024.8 巴西数据保护机构发布数据跨境传输新规及标准合同文本
2024.9 欧盟委员会计划就《通用数据保护条例》下的标准合同条款进行公众咨询
2024.9 沙特发布《沙特王国个人数据跨境传输条例》修订版以及标准合同条款模板
2024.9 美国拟禁止智能网联车使用中国软硬件，以防止中国企业收集敏感数据
2024.10 美国公布“应对美国敏感数据面临的国家安全风险拟议规则”并再次征求公众意见
2024.11 美国司法部就有关限制访问美国人敏感个人数据行政令（E.O. 14117）发布拟议规则通知
2024.11 欧洲数据保护委员会（EDPB）发布关于欧盟—美国数据隐私框架的首次审查报告
2024.12 EDPB就GDPR第48条（有关第三国当局要求提供转移或披露个人数据）适用指南征求意见
2024.12 EPIC向司法部提交关于关注国获取大量美国敏感个人数据的拟议规则的评论
2024.12 美司法部发布《防止受关注国家或涵盖人员访问美国敏感个人数据和政府相关数据的规定》最终文本

九、人工智能

人工智能在2024年迎来了监管年。过去的两年中，人工智能高速发展给各国监管机构带来了巨大压力，输入方面人工智能训练数据的可控性，计算方面人工智能模型的安全性和伦理可靠性，以及输出方面，人工智能可能导致的幻觉或侵权信息，逐渐成为监管发力的三大方向。

境内，人工智能治理逐步有序推进，大模型备案进入有序公布节奏。关于人工智能模型是否需要备案，需要参考的决定性因素等，如是否面对自然人用户，是否收费，是否涉及自主训练、是否涉及境外大模型等，均已经初步探索出相对明确的判断要素。在2023年《生成式人工智能服务管理暂行办法》的规则框架下，2024年4月，国家市场监督管理总局、国家标准化管理委员会发布针对人工智能数据标注安全、预训练和优化训练数据安全发布标准；2024年9月，国家网信办就《人工智能生成合成内容标识办法》公开征求意见，以进一步管理输入数据规范。2024年5月，《生成式人工智能服务安全基本要求》发布征求意见稿，对模型可靠性提出要求细则，9月，全国网安标委发布《人工智能安全治理框架（1.0版）》，对全面治理人工智能安全框架作出阶段性总结并指出规管方向。在输出方面，除一般治理规则的探索外，司法裁判提供了重要的参考坐标。2024年4月，全国首例AI声音侵权案一审宣判，7月，北京市人民检察院发布《关于人工智能产业发展刑事合规风险提示》，今年8月，浦东新区检察院办理的全国首例人工智能领域侵犯商业秘密案审结，11月，人工智能生成图片著作权纠纷第二案宣判，后者判决结果因认可人工智能生成物版权而受到广泛争议。

境内与境外关于人工智能治理的共识也在2024年取得进展。2024年5月，中美举行人工智能政府间对话首次会议，中国和法国发布关于人工智能和全球治理的联合声明，7月，《人工智能全球治理上海宣言》发表。全球范围内，有关人工智能治理的共识也在逐步缔结，3月，联合国大会通过了首个有关人工智能（AI）的全球决议草案，4月，英美达成全球首个涉AI安全双边协议，7月，美英欧监管机构签署关于人工智能竞争的联合声明，金秋9月，美英欧等国正式签署全球首个人工智能国际公约，G20通过关于人工智能、虚假信息和全球互联网自由接入的宣言，全球移动通信系统（GSMA）发布负责任的人工智能成熟度路线图，美国和阿联酋就人工智能合作发表声明，12月，新加坡与澳大利亚签署人工智能谅解备忘录。

境外有关人工智能治理的监管规则也在2024年爆发。全球瞩目的欧盟《人工智能法案》（AI Act）于2月正式获得欧盟议会委员会批准，并于7月正式发布全文，确立了风险路径治理的基本原则。除此之外，欧盟针对金融领域AI应用、通用人工智能行为准则等均发布了具体指南或意见，为AI Act的理解和细则补充实践规范。作为人工智能技术最为领先的地区，美国在2024年针对人工智能部署了诸多治理规则，2024年1月，美国联邦贸易委员会（FTC）启动对生成式人工智能企业的投资与合作伙伴关系的调查，2月，美国司法部任命首位首席科技顾问与首席人工智能官，4月，发布工作场所人工智能应用相关风险的指南，并提出新的AI法案，5月，白宫基于14110行政令发布180天关键AI行动。美国在人工智能对国家安全的威胁方面忧思甚重，11月，美国司法部就有关限制访问美国人敏感个人数据行政令（E.O. 14117）发布拟议规则通知中涉及了人工智能使用的注意要点，同月，美国白宫发布针对国家安全和人工智能的行政命令备忘录，提出了人工智能可能对国家安全产生的风险及相应风险控制要求。

除表现抢眼的欧美外，经济发展领先的国家和地区也纷纷针对人工智能治理提出主张，如英国、日本、新加坡、澳大利亚、韩国、德国、巴西。可见，人工智能发展与经济发展密切相关，可以想见，人工智能或能决定新一轮经济竞争秩序。

境内：
2024.1 工信部科技司就《国家人工智能产业综合标准化体系建设指南》（征求意见稿）公开征求意见
2024.2 全球AIGC平台侵权首案判决
2024.3 《生成式人工智能服务安全基本要求》发布
2024.4 《人工智能示范法2.0（专家建议稿）》发布
2024.4 国家市场监督管理总局、国家标准化管理委员会发布《网络安全技术生成式人工智能数据标注安全规范》
2024.4 国家市场监督管理总局、国家标准化管理委员会发布《网络安全技术生成式人工智能预训练和优化训练数据安全规范》
2024.4 国家互联网信息办公室发布生成式人工智能服务已备案信息
2024.4 全国首例AI声音侵权案一审宣判
2024.5 全国网安标委发布《网络安全技术生成式人工智能服务安全基本要求（征求意见稿）》
2024.5 中美举行人工智能政府间对话首次会议
2024.5 中国和法国发布关于人工智能和全球治理的联合声明
2024.7 《人工智能全球治理上海宣言》发表
2024.7 北京市人民检察院发布《关于人工智能产业发展刑事合规风险提示》
2024.8 上海市发布生成式人工智能服务登记信息公告（8月30日）
2024.8 浦东新区检察院办理的全国首例人工智能领域侵犯商业秘密案审结
2024.9 国家网信办就《人工智能生成合成内容标识办法（征求意见稿）》公开征求意见
2024.9 外交部发布《人工智能能力建设普惠计划》
2024.9 全国网安标委发布《人工智能安全治理框架（1.0版）》
2024.10 科技部回复政协提案：正有序推进人工智能立法工作
2024.10 上海市网信办发布新一批生成式人工智能服务登记信息公告
2024.11 最高法发布“法信法律基座大模型”研发成果
2024.11 网信办等四部门开展“清朗·网络平台算法典型问题治理”专项行动
2024.11 人工智能生成图片著作权纠纷第二案宣判
2024.11 北京互联网法院首例“搜索提示词”算法侵权案宣判
2024.12 《网络安全标准实践指南——生成式人工智能服务安全应急响应指南（征求意见稿）》公开征求意见
2024.12 工信部成立人工智能标准化技术委员会，负责大模型等行标制订
2024.12 国家知识产权局就《人工智能相关发明专利申请指引（征求意见稿）》公开征求意见
2024.12 上海网信发布算法治理专项行动企业自查问题清单

境外：
2024.1 世界卫生组织（WHO）发布多模态大模型人工智能伦理和管理问题指导文件
2024.1 欧盟委员会发布关于成立欧盟人工智能办公室的决定，将推动实施《人工智能法案》
2024.1 欧盟委员会提出促进欧盟委员会开发和使用合法、安全、可信的人工智能系统战略愿景
2024.1 英国中央数字与数据办公室（CDDO）发布《HMG生成式人工智能框架》
2024.1 英国BSI发布支持负责任人工智能管理指南
2024.1 日本内阁府与经济、贸易与工业省（METI）发布了《人工智能业务指南（草案）》，并征求公众意见
2024.1 新加坡资讯通信媒体发展局发布《生成式人工智能的模型人工智能治理框架（草案）》并征求公众意见
2024.1 美国联邦贸易委员会（FTC）启动对生成式人工智能企业的投资与合作伙伴关系的调查
2024.1 澳大利亚网络安全中心（ACSC）发布《参与人工智能》新指南，指导组织安全使用人工智能系统
2024.2 美国司法部任命首位首席科技顾问与首席人工智能官
2024.2 香港数据监管部门完成28家机构关于人工智能对个人信息影响的审查
2024.2 欧盟议会委员会批准《人工智能法》
2024.2 欧盟委员会成立欧洲人工智能办公室
2024.3 联合国大会通过了首个有关人工智能（AI）的全球决议草案
2024.3 新加坡个人数据保护委员会（PDPC）发布了《人工智能推荐和决策系统中个人数据使用咨询指南》
2024.3 世界知识产权组织（WIPO）发布了《生成式人工智能:知识产权导航》
2024.4 英美达成全球首个涉AI安全双边协议
2024.4 美国发布工作场所人工智能应用相关风险的指南
2024.4 美国国会提出新的AI法案
2024.4 英国FCA公布人工智能监管方法
2024.4 捷克法院判决人工智能生成图片不满足著作权主体与客体要件
2024.5 《首尔人工智能安全科学国际合作意向声明》《推进安全、创新和包容的人工智能部长级声明》发布
2024.5 英国《自动驾驶汽车法案》正式出台
2024.5 韩国个人信息保护委员会发布两份自动化决策指南草案
2024.5 美国国土安全部发布情况说明将促进联邦政府、关键基础设施以及美国经济中的安全负责任AI部署
2024.5 白宫基于14110行政令发布180天关键AI行动
2024.5 欧洲委员会宣布已通过人工智能与人权、民主及法律规则的框架性公约
2024.5 英国人工智能安全研究所发布人工智能安全评估平台
2024.5 德国数据保护会议发布《人工智能和数据保护指南》
2024.5 美国议会两党联盟推出针对AI的《加强海外关键出口国家框架法案》
2024.6 EDPS发布生成式人工智能指南
2024.6 欧盟委员会启动金融领域AI应用针对性咨询
2024.6 韩国电商平台Coupang因涉嫌操纵搜索算法被罚1400亿韩元
2024.6 NOYB投诉谷歌浏览器在未获得有效同意的情形下追踪用户
2024.7 欧盟委员会正式发布《人工智能法案》
2024.7 欧盟委员会发布《人工智能公约》草案
2024.7 新加坡个人数据保护委员会（PDPC）发布《合成数据生成指南》
2024.7 美英欧监管机构签署关于人工智能竞争的联合声明
2024.7 韩国个人信息保护委员会（PIPC）发布《人工智能（AI）开发和服务中公开个人信息的处理指南》
2024.7 台湾地区发布人工智能基本法草案、
2024.7 法国数据保护局公布关于欧盟AI法案和GDPR的常见问题
2024.7 英国政府宣布将推出《数字信息和智能数据法案》
2024.7 德国汉堡数据保护和信息自由专员办公室（HmbBfDI）发布关于《通用数据保护条例》（GDPR）和大型语言模型（LLM）之间关系的讨论文件
2024.7 韩国个人信息保护委员会（PIPC）发布《人工智能（AI）开发和服务中公开个人信息的处理指南》
2024.8 美国加州议会表决通过《前沿人工智能模型安全可靠创新法案》
2024.8 香港金融管理局（HKMA）发布关于生成式人工智能应用时保护消费者的通函
2024.8 美国联邦航空管理局（FAA）发布首版《人工智能安全保障路线图》
2024.9 美英欧等国正式签署全球首个人工智能国际公约
2024.9 G20通过关于人工智能、虚假信息和全球互联网自由接入的宣言
2024.9 全球移动通信系统（GSMA）发布负责任的人工智能成熟度路线图
2024.9 美国和阿联酋就人工智能合作发表声明
2024.9 新加坡拟立法禁止选举期间使用深度伪造技术
2024.9 韩国个人信息保护委员会发布《关于自动决策的数据主体权利指南》
2024.9 美国商务部颁布《建立高级人工智能模型和计算集群开发报告要求》拟议规则
2024.9 美国参议员向参议院提交AI民权法案
2024.9 美国加州通过三部人工智能相关法案，对抗深度伪造等AI风险
2024.9 俄罗斯423个组织签署《人工智能道德准则》
2024.9 阿根廷数据保护局（AAIP）发布人工智能透明度和个人数据保护指南
2024.11 欧盟发布通用人工智能行为准则初稿
2024.11 美国加州隐私保护局（CPPA）通过《数据经纪人注册法规》，同时推进涉自动决策技术规则制定
2024.11 美国人工智能安全研究所发布了关于透明度和合成内容的《NIST AI 100-4》报告
2024.11 美国白宫发布针对国家安全和人工智能的行政命令备忘录
2024.12 欧洲数据保护委员会（EDPB）发布关于AI模型场景下处理个人数据的意见
2024.12 新加坡与澳大利亚签署人工智能谅解备忘录
2024.12 巴西AI法案获批
2024.12 ANPD禁止X使用未成年人的数据来训练AI
2024.12 新加坡金融管理局发布有关人工智能模型风险管理的专题审查

十、平台监管

大型互联网平台因巨量用户粘性和业务复杂性，无论境内还是境外，一直被视为监管工作的重点抓手。2024年，国内主要针对经营者竞争行为发力监管，4月，国务院反垄断反不正当竞争委员会颁布新修订的《经营者反垄断合规指南》，5月，市场监管总局发布《网络反不正当竞争暂行规定》，12月，《中华人民共和国反不正当竞争法（修订草案）》发布。同时，监管部门也在网络安全方面统筹了国家标准，2024年6月，全国网络安全标准化技术委员会秘书处正式发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》，为平台自治和监管活动提供依据，2024年12月，《中华人民共和国反不正当竞争法（修订草案）》发布，新增对互联网领域利用技术手段实施不正当竞争行为的条款，成为该法的新增亮点之一。值得关注的是，2024年年末，《互联网平台企业涉税信息报送规定（征求意见稿）》公开征求意见，在灵活用工模式普遍使用的当下，该规定严重挑战了广泛存在的“灵活用工平台”运营模式中的税务合规问题。后续发展是对灵活用工模式的一剂良药还是一脚刹车，尚待观察。

境外方面，对于大型平台监管的法规如欧盟《数字服务法》已经正式实施。2024年2月，欧盟委员会根据该法案，将第一剑斩向对某大型出海社交媒体公司，对某大型出海社交媒体公司启动正式调查。3月和4月，欧盟根据《数字服务法》对速卖通、某大型出海社交媒体公司启动调查，并将认定Shein为超大型在线平台从而需要遵守《数字服务法》的系列额外义务；6月，美国联邦贸易委员会起诉某大型出海社交媒体公司违反《儿童在线隐私保护法》。简言之，这一年来，中国的大型互联网平台运营者，尤其作为最受广泛欢迎的应用程序某大型出海社交媒体公司，在境外的运营屡遭挫折和针对。

境内：
2024.4 国务院反垄断反不正当竞争委员会颁布新修订的《经营者反垄断合规指南》
2024.5 市场监管总局发布《网络反不正当竞争暂行规定》
2024.5 国务院常务会议审议通过《公平竞争审查条例》
2024.5 市场监管总局就《市场监督管理信用修复管理办法（征求意见稿）》公开征求意见
2024.6 全国网络安全标准化技术委员会秘书处发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》
2024.9 国家市场监管总局发布《关于推动网络交易平台企业落实合规管理主体责任的指导意见（征求意见稿）》
2024.10 增值电信业务扩大对外开放试点全面启动
2024.12 《中华人民共和国反不正当竞争法（修订草案）》发布
2024.12 市监总局公布七起网络不正当竞争典型案例
2024.12 《互联网平台企业涉税信息报送规定（征求意见稿）》公开征求意见
2024.12 杭州发布《平台经济新业态市场监管领域合规指引（试行）》

境外：
2024.2 欧盟委员会决定根据《数字服务法》对TikTok启动正式调查
2024.3 法国竞争管理局对谷歌处以2.5亿欧元的罚款
2024.3 欧盟委员会根据《数字服务法》对速卖通启动正式调查程序
2024.4 欧盟根据《数据服务法》认定Shein为超大型在线平台
2024.4 欧盟依据《数据服务法》对TikTok Lite开启正式调查
2024.6 美国联邦贸易委员会起诉TikTok违反《儿童在线隐私保护法》
2024.12 欧盟委员会以涉嫌干涉大选为由对TikTok启动正式调查

作者介绍

	周杨合伙人竞天公诚律师事务所邮箱：zhou.yang@jingtian.com 北京、深圳办公室专业领域：网络与数据安全、TMT与互联网、知识产权
加入竞天公诚之前，周杨律师曾就职于国内著名互联网企业法律合规部及国内知名律师事务所网络安全和数据合规业务团队，针对新经济产品合规已有十余年丰富经验。周杨律师于2014年开始聚焦于网络安全、数据合规和电子商务领域，受托处理了包括银行、保险、房地产、能源、游戏、电子商务和车联网在内诸多行业领域的数据合规专项法律服务，在数据资产及流动情况的摸排及合规差异诊断、数据分类分级、数据跨境合规、集团数据共享合规、儿童数据保护合规、GDPR和CCPA专项合规、赴港上市数据安全专项合规等服务项目中，周杨律师为客户提供了高效且贴合实际的解决方案。周杨律师参与了国家标准《信息安全技术互联网平台及产品服务隐私协议要求（征求意见稿）》的起草工作，TC260主导的《信息安全技术互联网平台及产品服务隐私协议要求》标准编纂工作，并参与编撰中国网络空间安全协会主编的《关键信息基础设施安全保护通识》《全球个人信息保护报告》等文件，发表专业领域文章数十篇。周杨律师荣获The Legal 500 2023年度数据保护领域推荐律师，2023年度《商法》律师新星，并荣获“2023亚太商业女性法律大奖”提名。
	梁天翔实习律师竞天公诚律师事务所邮箱：liang.tianxiang@jingtian.com 专业领域：网络安全、数据合规及个人信息保护