随着各行业的数字化转型持续深入，数据安全逐步进入法制化的强监管时代。但是因人为攻击、技术漏洞、监管缺位等造成的各类数据泄露事件频发，企业数据安全威胁日益严峻。

针对当下的数据安全大趋势，小编总结了2023年三季度有关国家政策、行业规范、国家标准和安全事件与大家分享。希望借此为正在数字化转型中的企业敲响警钟，积极推进数据安全合规建设。

发布单位：工业和信息化部、国家金融监督管理

要求：《办法》旨在加快推动网络安全产业和金融服务融合创新，引导网络安全保险健康有序发展，培育网络安全保险新业态，促进企业加强网络安全风险管理，推动网络安全产业高质量发展。

发布单位：国务院办公厅

要求：本办法适用于政务服务机构开展的政务服务电子文件归档和电子档案管理工作。行政处罚、行政检查等电子文件归档和电子档案管理工作可参照执行。

发布单位：国家互联网信息办公室

要求：《办法》旨在指导、规范个人信息保护合规审计活动，提高个人信息处理活动合规水平，保护个人信息权益。

发布单位：财政部

要求：本规定适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源，以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。

发布单位：国家金融监管总局等五部门

要求：本通知旨在规范货币经纪公司提供数据服务，鼓励数据依法合理利用，确保数据安全，提升市场信息透明度，促进市场公平竞争，推动行业高质量发展。

发布单位：中国人民银行

要求：数据处理者在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动，适用本办法。法律、行政法规或者中国人民银行另有规定。

发布单位：中国民用航空局

要求：《指导意见》旨在贯彻落实 《数字中国建设整体布局规划》和 《关于构建数据基础制度更好发挥数据要素作用的意见》，更好统筹新型基础设施建设，激活数据要素潜能，充分发挥智慧民航建设在推进民航高质量发展中的创新引擎作用。

发布单位：国家铁路局

要求：铁路关键信息基础设施的安全保护和监督管理工作， 适用本办法。

发布单位：国家市场监督管理总局、国家标准化理委员会

要求：本文件规定了网络运维访问控制、运维审计、安全管理等安全运维系统安全功能要求、自身安全要求、安全保障要求及测试评价方法。本文件适用于安全运维系统的设计、开发、测试与评价。

发布单位：国家市场监督管理总局、国家标准化理委员会

要求：本标准适用于为政府部门和社会公众提供大数据服务的相关方，包括数据提供者、大数据应用提供者、大数据平台提供者、大数据服务协调者等，也可为第三方对大数据服务安全能力的评估提供参考。

发布单位：国家市场监督管理总局、国家标准化理委员会

要求：本文件提供了证券期货业数据分类分级的适用数据范围、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议。本文件适用于证券期货业各类机构在防控数据安全风险时，开展数据分类分级使用。其他相关机构可作为参考。

发布单位：国家市场监督管理总局、国家标准化管理委员会

要求：本文件确立了风险评估工作的要点、原则、要素和原理，规定了风险评估准备阶段、识别阶段、风险计算及处理阶段工作的要求。本文件适用于金融管理部门、金融业机构和网络安全风险评估服务机构开展金融信息系统网络安全风险评估工作。

发布单位：国家市场监督管理总局、国家标准化理委员会

要求：本文件给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等，明确了数据安全风险评估各阶段的实施要点和工作方法。本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

发布单位：国家市场监督管理总局、国家标准化理委员会

要求：本文件规定了大型互联网企业建立和运行个人信息保护监督机构的要求，包括个人信息保护监督机构的设置、职责、工作规则，以及个人信息保护监督机构的成员等要求。本文件适用于大型互联网企业建立和运行个人信息保护监督机构，也可为监管、检查、评估等活动提供参考。

发布单位：国家市场监督管理总局、国家标准化理委员会

要求：本文件规定了数据交易服务安全要求，包括数据交易参与方、交易对象、交易平台及交易过程的安全要求。本文件适用于数据供方、数据需方、数据交易场所、数据商、第三方专业服务机构规范其数据交易活动，也适用于监管部门、评估机构对数据交易服务安全进行监督、管理、评估。

人民银行河南省分行发布的行政处罚信息显示，浦发银行郑州分行存在5项违法行为，包括：未按规定履行客户身份识别义务；与身份不明的客户进行交易；违反人民币流通管理规定；违反征信安全管理规定；违反金融产品和服务信息披露管理规定。网安部门根据《中华人民共和国数据安全法》作出人民币90.8万元罚款的处罚。

南昌某高校3万余条师生个人信息数据在境外互联网上被公开售卖，包括教职工信息、学生信息、缴费信息等。南昌公安网安部门根据《中华人民共和国数据安全法》第四十五条的规定，对该学校作出责令改正、警告并处80万元人民币罚款的处罚，对主要责任人作出人民币5万元罚款的处罚。

广西北海公安发现北海某网站存在数据泄露问题，网站约22万个人信息数据被挂在境外论坛售卖。涉案公司网站在日常工作中收集了个人和企业等大量公民信息，服务器安全防护措施不足，仅能对SQL注入、XSS、WebShell等简单攻击手段进行防御，网站存在被多个境外IP攻击入侵的情况，未采取数据加密等有效的技术保护措施，且在发现公司发生个人信息泄露的情况下，未及时告知用户和主动向公安机关报告。根据《网络安全法》第四十二条的规定，对公司及直接负责人员分别作出罚款20万元、3万元的行政处罚。

重庆市网信办依据《数据安全法》对属地一科技公司作出责令限期改正，给予行政警告，并处10万元罚款的行政处罚。经查该公司因业务开展，收集、存储、处理的网络数据量较大，但未建立健全全流程网络数据安全管理制度，未组织开展网络数据安全教育培训，未采取相应的技术措施，保障网络数据安全等数据安全保护义务，且存在数据库数据泄露的情形。

上海市互联网信息办公室公布一起行政处罚案件。上海市某政府信息系统技术承包商违规将政务数据置于互联网进行测试期间，相关存储端存在高危漏洞，导致大量公民数据泄露，以致成为境外不法分子窃取政务数据的“供应链”入口，相关公民个人信息在境外黑客论坛被披露兜售。上海市网信办协调有关部门已要求该公司立即下线政府网站页面、关闭相关云服务端口、配合开展网络资产清查，并对该公司作出行政处罚。

9月1日，国家网信办对中国知网依法作出网络安全审查相关行政处罚，经查，知网（CNKI）主要三家运营主体运营的手机知网、知网阅读等14款App存在违反必要原则收集个人信息、未经同意收集个人信息、未公开或未明示收集使用规则、未提供账号注销功能、在用户注销账号后未及时删除用户个人信息等违法行为。依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规，对知网（CNKI）依法作出责令停止违法处理个人信息行为，并处人民币5000万元罚款的行政处罚。

截止2023年三季度，仅江苏公安已累计依据《数据安全法》办理行政案件336起。由此可见，数据安全合规建设对企业而言仍然是需要尽快解决的难题，数据处理者应当加强数据安全保护力度，落实国家总体安全观，切实履行数据安全保护义务，构建数据安全管理制度，维护国家安全和社会稳定。