政策盘点：2024年国内网络安全领域重要政策速览

1. 2024年1月4日，国家数据局、中央网信办、科技部、工信部、中国人民银行等十七部门联合发布《“数据要素×”三年行动计划（2024—2026年）》（国数政策〔2023〕11号）

《行动计划》提出到2026年底，数据要素应用广度和深度大幅拓展，在经济发展领域数据要素乘数效应得到显现，打造300个以上示范性强、显示度高、带动性广的典型应用场景，数据产业年均增速超过20%，场内交易与场外交易协调发展，数据交易规模倍增，并从应用场景出发，明确提出了12项“数据要素×”重点行动。

2. 2024年1月11日，财政部发布《关于加强数据资产管理的指导意见》（财资〔2023〕141号）

《指导意见》要求数据资产各权利主体均应落实数据资产安全管理责任，按照分类分级原则，在网络安全等级保护制度的基础上，落实数据安全保护制度，把安全贯彻数据资产开发、流通、使用全过程，提升数据资产安全保障能力。

3. 2024年1月30日，工信部发布《工业控制系统网络安全防护指南》（工信部网安〔2024〕14号）

《防护指南》围绕安全管理、技术防护、安全运营、责任落实四方面提出安全防护要求，一是聚焦安全风险管控，突出管理重点对象，提升工业企业工控安全管理能力；二是聚焦安全薄弱关键环节，强化技术应对策略，提升工业企业工控安全防护能力；三是聚焦易发网络安全风险，增强威胁发现及处置能力，提升工业企业安全运营能力；四是聚焦工业企业资源保障，坚持统筹发展和安全，督促企业落实网络安全责任。

4. 2024年2月26日，工信部发布《工业领域数据安全能力提升实施方案（2024-2026年）》（工信部网安〔2024〕34号）

《实施方案》一是明确了指导思想、基本原则和总体目标，在总体目标中细化了各项关键任务指标；二是围绕提升工业企业数据保护、数据安全监管、数据安全产业支撑三类能力，明确提出11项任务；三是围绕《实施方案》落地实施的保障需求，提出了加强组织协调、加大资源保障、强化成效评估、做好宣传引导4项工作。

5. 2024年2月27日，中华人民共和国第十四届全国人民代表大会常务委员会第八次会议修订通过《中华人民共和国保守国家秘密法》（中华人民共和国主席令第20号）

《保密法》是我国保密领域的基础性、综合性法律，1988年制定、2010年第一次修订，2024年第二次修订。本次《保密法》的修订从法律制度上明确了进一步加强党对保密工作的领导，高度重视保密科技创新和科技防护，并完善了网络信息、数据保密管理，此外，还加强了与《数据安全法》的协同衔接，新增涉密数据管理及汇聚、关联后涉及国家秘密数据管理的原则规定。

6. 2024年3月22日，国家网信办发布《数据出境安全评估申报指南（第二版）》和《个人信息出境标准合同备案指南（第二版）》

两项《指南》分别对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明，对数据处理者需要提交的相关材料进行了优化简化，指导和帮助数据处理者规范有序申报数据出境安全评估、备案个人信息出境标准合同。

7. 2024年3月22日，国家网信办发布《促进和规范数据跨境流动规定》（国家互联网信息办公室令 第16号）

《规定》对数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出了优化调整，其中，明确了重要数据出境安全评估申报标准，规定了免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境活动条件，同时，还明确了应当申报数据出境安全评估的两类数据出境活动条件。

8. 2024年5月20日，工信部、交通运输部、商务部联合发布《制造业企业供应链管理水平提升指南（试行）》（工信厅联运行〔2024〕25号）

《提升指南》提出加快制造业企业供应链数字化转型，包括加强供应链管理系统建设，强化供应链数据安全和隐私保护能力建设，定期针对工业互联网平台、工业控制系统等开展网络安全检测评估。

9. 2024年5月22日，中央网信办、中央机构编制委员会办公室、工信部、公安部联合发布《互联网政务应用安全管理规定》

《管理规定》提到，机关事业单位开办网站，应当将运维和安全保障经费纳入预算，并且建设互联网政务应用应当落实网络安全等级保护制度和国家密码应用管理要求，按照有关标准规范开展定级备案、等级测评工作，落实安全建设整改加固措施，防范网络和数据安全风险。

10. 2024年5月24日，工信部发布《工业和信息化领域数据安全风险评估实施细则（试行）》（工信部网安〔2024〕82号）

《实施细则》提出重要数据和核心数据处理者每年至少开展一次数据安全风险评估，评估结果有效期为一年，以评估报告首次出具日期计算。评估报告应当包括数据处理者基本情况、评估团队基本情况、重要数据的种类和数量、开展数据处理活动的情况、数据安全风险评估环境，以及数据处理活动分析、合规性评估、安全风险分析、评估结论及应对措施等。

11. 2024年7月10日，工信部办公厅、中央网信办秘书局联合发布《关于开展“网络去NAT”专项工作 进一步深化IPv6部署应用的通知》（工信厅联通信函〔2024〕263号）

《通知》部署了五方面工作任务，一是细化工作方案，有序实现网络升级；二是紧抓关键环节，持续拓宽IPv6通路；三是深化应用改造，主动引导流量迁移；四是强化运行维护，做好网络安全监测和应急处置，确保网络安全稳定；五是加强督促评测，促进工作实效落地。

12. 2024年7月19日，国家密码管理局发布《国家密码管理局商用密码随机抽查事项清单(2024年版)》(国家密码管理局公告 第47号)

《清单》明确了商用密码产品检测、商用密码应用安全性评估、商用密码应用、电子认证服务使用密码、电子政务电子认证服务等抽查事项，并列出了抽查内容、抽查依据、抽查主体、抽查对象、抽查比例和频次，以及抽查方式。

13. 2024年7月22日，《中华人民共和国保守国家秘密法实施条例》（中华人民共和国国务院令 第786号）正式发布

《条例》进一步落实了2024年2月修订发布的《中华人民共和国保守国家秘密法》有关规定，其中要求机关、单位应当承担涉密数据安全保护责任，涉密数据收集、存储、使用、加工、传输、提供等处理活动应当符合国家保密规定，并防范数据汇聚、关联引发的泄密风险，对汇聚、关联后属于国家秘密事项的数据依法加强安全管理，落实安全保密防控措施。

14. 2024年7月26日，公安部、国家网信办就《国家网络身份认证公共服务管理办法（征求意见稿）》公开征集意见

《管理办法》明确了使用“网号”“网证”进行网络身份认证的方式，并对“网号”“网证”的申领条件、公共服务的使用场景、法定身份证件范围、数据和个人信息安全保护义务，以及未成年人的特殊保护等事项作出规定。

15. 2024年9月10日，全国网安标委发布《人工智能安全治理框架》1.0版

《框架》按照风险管理的理念，紧密结合人工智能技术特性，分析人工智能风险来源和表现形式，针对模型算法安全、数据安全和系统安全等内生安全风险和网络域、现实域、认知域、伦理域等应用安全风险，提出相应技术应对和综合防治措施，以及人工智能安全开发应用指引。

16. 2024年9月10日，国家网信办、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局联合发布《粤港澳大湾区（内地、澳门）个人信息跨境流动标准合同实施指引》（2024年第1号）

《实施指引》明确粤港澳大湾区个人信息处理者及接收方应通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动。被相关部门、地区告知或者公开发布为重要数据的个人信息除外。

17. 2024年9月10日，国家密码管理局发布《电子政务电子认证服务管理办法》（国家密码管理局令第4号）

《管理办法》明确电子政务电子认证服务，是指采用商用密码技术为政务活动提供电子签名认证服务，保证电子签名的真实性和可靠性的活动。从事电子政务电子认证服务的机构，应当经国家密码管理局认定，依法取得电子政务电子认证服务机构资质。

18. 2024年9月30日，《网络数据安全管理条例》（中华人民共和国国务院令 第790号）正式发布

《条例》旨在规范网络数据处理活动，保障网络数据安全，促进网络数据的合法有效利用，保护个人和组织的合法权益，维护国家安全和公共利益。该条例自2025年1月1日起施行，适用于在中国境内及境外处理中国境内自然人个人信息的活动，以及损害中国国家安全、公共利益或公民、组织合法权益的境外网络数据处理活动。

19. 2024年10月9日，中共中央办公厅、国务院办公厅联合发布《关于加快公共数据资源开发利用的意见》

《意见》旨在加快公共数据资源开发利用，充分释放公共数据要素潜能。其中提出要强化数据安全和个人信息保护，加强对数据资源生产、加工使用、产品经营等开发利用全过程的监督和管理。建立健全分类分级、风险评估、监测预警、应急处置等工作体系，开展公共数据利用的安全风险评估和应用业务规范性审查。

20. 2024年10月12日，国家发改委就《公共数据资源登记管理暂行办法（公开征求意见稿）》公开征集意见

《暂行办法》要求登记机构应建立健全数据资源登记管理责任机制，履行数据安全保护义务，妥善保管登记信息；登记主体在申请登记前应当自行或委托第三方专业服务机构，通过技术手段在保障安全的前提下对公共数据资源进行存证，确保来源可查、加工可控。

21. 2024年10月12日，国家数据局就《公共数据资源授权运营实施规范（试行）》（公开征求意见稿）公开征集意见

《规范》要求实施机构应建立健全管理制度，强化数据治理，提升数据质量，明确数据分类分级安全保护要求，加强技术支撑保障和数据安全管理；运营机构应履行数据安全主体责任，加强内控管理、技术管理和人员管理，不得超授权范围使用公共数据资源，严防数据加工、处理、运营、服务等环节数据安全风险。

22. 2024年10月31日，工信部发布《工业和信息化领域数据安全事件应急预案（试行）》（工信部网安〔2024〕214号）

《应急预案》旨在建立健全工业和信息化领域数据安全事件应急组织体系和工作机制，提高数据安全事件综合应对能力，确保及时有效地控制、减轻和消除数据安全事件造成的危害和损失，在附件中给出了数据安全事件分级指南、数据安全事件上报模板、数据安全事件应急处置工作总结报告模板和数据安全事件应急处置流程图。

23. 2024年11月15日，国家密码管理局就《关键信息基础设施商用密码使用管理规定（征求意见稿）》公开征求意见

《规定》强化了运营者责任，包括运营者总体责任以及制度保障、人员保障、经费保障；并明确了商用密码使用具体要求，包括商用密码技术、产品、服务使用要求，数据安全保护、个人信息保护要求，规划、建设、运行等阶段要求以及过渡安排，商用密码应用安全性评估要求。

24. 2024年11月20日，国家网信办发布《全球数据跨境流动合作倡议》

《倡议》鼓励因正常商业和社会活动需要而通过电子方式跨境传输数据；鼓励探索建立数据跨境流动管理负面清单，促进数据跨境高效便利安全流动；禁止通过在数字产品和服务中设置后门、利用数字技术基础设施中的漏洞等手段非法获取数据，共同打击数据领域跨境违法犯罪活动，共同保障各国公民和企业的合法权益。

25. 2024年11月22日，国家数据局就《国家数据基础设施建设指引（征求意见稿）》公开征集意见

《指引》明确国家数据基础设施是从数据要素价值释放的角度出发，面向社会提供数据采集、汇聚、传输、加工、流通、利用、运营、安全服务的一类新型基础设施，并提出在安全方面，构建整体、动态、内生的安全防护体系的目标。

26. 2024年11月23日，国家数据局发布《可信数据空间发展行动计划（2024—2028年）》（国数资源〔2024〕119号）

《行动计划》明确可信数据空间是基于共识规则，联接多方主体，实现数据资源共享共用的一种数据流通利用基础设施。并提出可信数据空间参与各方须遵守网络安全法、数据安全法、个人信息保护法等法律规定，落实数据分类分级保护、动态感知、风险识别、监测预警、应急处置、治理监管等要求，建立可信数据空间安全管理体系。

27. 2024年11月29日，国家数据局就《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》公开征集意见

《实施方案》明确坚持系统思维、底线思维，将安全贯穿数据供给、流通、使用全过程，落实国家数据分类分级保护制度，明确数据跨主体流通中的安全治理规则，加强数据流通安全技术应用和产业培育，完善责任界定和权益保护机制，提升安全治理能力，防范数据滥用风险。

28. 2024年12月25日，国家数据局、中央网信办、工信部、公安部、国务院国资委联合发布《关于促进企业数据资源开发利用的意见》（国数资源〔2024〕125 号）

《意见》旨在充分释放企业数据资源价值，构建以数据为关键要素的数字经济。在培育企业数字化竞争力方面，鼓励企业针对不同敏感级别的数据和数据处理场景，采取差异化的数据安全与合规管理措施，加强数据流转分析和风险监测。鼓励企业采用可信数据空间、区块链、隐私计算、匿名化等技术模式，促进数据安全流动和开发利用。

29. 2024年12月30日，国家发改委、国家数据局、教育部等六部门联合发布《关于促进数据产业高质量发展的指导意见》（发改数据〔2024〕1836号）

《指导意见》提出到2029年，数据产业规模年均复合增长率超过15%，数据产业结构明显优化，数据技术创新能力跻身世界先进行列；并明确要提高数据领域动态安全保障能力，包括支持企业创新数据分类分级、隐私保护、安全监测、应急处置等数据安全产品和服务；建立健全数据安全风险识别、监测预警、应急处置等相关规范，落实数据流通利用全过程相关主体的安全责任。

1. 2024年1月3日，交通运输部发布《铁路关键信息基础设施安全保护管理办法》（中华人民共和国交通运输部令2023年第20号）

《管理办法》围绕铁路关键信息基础设施认定、运营者责任和义务、保障和监督等方面提出安全管理要求，其中，规定运营者应建立铁路关键信息基础设施全过程保护制度，要求安全保护措施与关键信息基础设施同步规划、同步建设、同步使用，并明确规定了运营者在机构设置、人员配备、经费保障、产品和服务采购、数据保护、密码应用等方面的责任和义务。

2. 2024年3月22日，自然资源部发布《自然资源领域数据安全管理办法》（自然资发〔2024〕57号）

《管理办法》分别从数据分类分级管理、数据全生命周期安全管理、数据安全监测预警与应急管理等方面提出明确要求。其中，规定了数据处理者应当对数据处理活动安全负主体责任，对各类数据实行分级防护，并且在数据全生命周期处理过程中，应记录数据处理、权限管理、人员操作等日志，采用商用密码技术保护日志的完整性。

3. 2024年5月10日，财政部、国家网信办联合发布《会计师事务所数据安全管理暂行办法》（财会〔2024〕6号）

《暂行办法》是在注册会计师行业对国家网络和数据安全管理相关规定进行细化，为会计师事务所开展数据安全管理活动提供依据，有利于推动注册会计师行业数据安全管理工作制度化、规范化。其中要求会计师事务所应按照相关法律法规的规定和被审计单位所处行业数据分类分级的标准，确定核心数据、重要数据和一般数据，并对核心数据和重要数据的存储、相关日志、传输等做出了明确要求。

4. 2024年5月21日，中国气象局发布《“气象数据要素×”三年行动实施方案（2024—2026年）》

《实施方案》是自2024年1月国家数据局发布《“数据要素×”三年行动实施方案（2024—2026年）》以来，第一个推出的行业垂直“数据要素×”行动方案。其中提出要强化数据价值释放保障支撑。探索打通“政研用介商”一体的数据创新利用转化流程；健全完善气象数据安全监管平台，稳步推广气象数据身份证，保障气象数据创新、流通相关主体合法权益。

5. 2024年5月16日，国家能源局发布《电力网络安全事件应急预案》（国能发安全〔2024〕34号）

《应急预案》提到，各电力企业应组织对本单位建设运行的网络和信息系统开展网络安全监测工作，电力调度机构将并网电厂涉网部分电力监控系统网络安全运行状态纳入监测，掌握调度范围内网络安全状况。

6. 2024年6月4日，中国民航局就《民航数据管理办法》《民航数据共享管理办法》再次公开征集意见

《民航数据管理办法》从民航数据的管理原则、概念定义、职责与分工、数据资源目录、数据采集与治理、数据共享、数据应用、数据安全、监督保障等维度进行了有关规定，鼓励通过加密、脱敏、隐私计算、溯源认证等技术手段加强数据安全保护。

《民航数据共享管理办法》从民航数据的共享原则、机构职责、共享安全、共享类型、目录管理、数据归集、数据的获取与使用、保障监督等维度进行了有关规定，以促进民航数据有序合规共享和高效融合应用。

7. 2024年7月26日，自然资源部发布《关于加强智能网联汽车有关测绘地理信息安全管理的通知》

《通知》要求地理信息数据必须存储于境内，所使用的存储设备、网络和云服务等必须符合国家有关安全和保密要求，必须落实数据出境安全评估等有关规定。健全智能网联汽车地理信息安全风险防控体系，组织研发地理信息保密处理、及时预警与处置等技术，建立完善分类分级、安全风险评估等管理制度和地理信息安全风险监测预警机制。

8. 2024年11月21日，中国钢铁工业协会、中国电子信息行业联合会、中国计算机行业协会、中国通信企业协会等17家单位联合发布《工业和信息化领域数据安全合规指引》

《指引》聚焦数据处理者在履行数据安全保护义务过程中的难点问题，明确数据安全合规依据，提供实务指引。分别从数据分类分级；数据安全管理体系；数据全生命周期保护；数据安全风险监测预警、报告、处置；数据安全事件应急处置；数据安全风险评估；数据出境安全管理、数据交易等方面给出合规指引。

9. 2024年11月27日，中国人民银行、国家发改委、工信部、金融监管总局等七部门联合发布《推动数字金融高质量发展行动方案》

《行动方案》提出要完善数字金融治理体系，包括加强数据和网络安全防护。指导金融机构严格落实数据保护法律法规和标准规范，完善数据安全管理体系，强化数据安全的商用密码保护，建立健全全流程数据安全管理机制。组织金融机构定期进行数据和网络安全风险评估，识别潜在风险，接入金融行业相关网络安全态势感知平台，推动相关平台互联互通。

10. 2024年12月11日，国家能源局发布《电力监控系统安全防护规定》（2024年第27号令）

《规定》旨在深化能源管理体制改革，完善电力监控系统网络安全技术防护体系。原《规定》于2014年发布，本次修订对原《规定》做了多方修改和完善，强化了安全接入区防护要求，明确安全接入区加密认证、安全监测等技术要求；强化了技术防护措施，补充安全免疫、态势感知、动态评估和备用应急措施。

11. 2024年12月27日，国家金融监督管理总局发布《银行保险机构数据安全管理办法》（金规〔2024〕24号）

《管理办法》旨在规范银行业保险业数据处理活动，保障数据安全、金融安全，促进数据合理开发利用，保护个人、组织的合法权益，维护国家安全和社会公共利益。从数据安全治理、数据分类分级、数据安全管理、数据安全技术保护、个人信息保护、数据安全风险监测与处置等方面对银行保险机构提出数据安全管理要求。