2023年，网络与数据安全以及个人信息保护等议题持续成为立法的重点，各方出台了一系列的法规及政策。国际上，欧洲议会通过了欧盟《数据法案》，英国政府发布《数据保护和数字信息法案》，美国多个州、印度、英国、越南、韩国、新加坡、孟加拉等陆续开展个人信息保护领域立法的颁布、修订或实施，就网络安全领域立法面向社会征求意见等。国内有关监管部门亦积极促进数据安全管理规则的形成，研究并制定了包括《工业和信息化领域数据安全风险评估实施细则（试行）（征求意见稿）》《工业互联网安全分类分级管理办法（公开征求意见稿）》《网络安全事件报告管理办法（征求意见稿）》《中国人民银行业务领域数据安全管理办法（征求意见稿）》《会计师事务所数据安全管理暂行办法（征求意见稿）》等规范性文件，并向社会公众广泛征求意见。

除了宏观层面的规则确立，监管部门对一些特殊场景和重要业态的关注更加细致，正在努力构建一个全面、精准的法律体系，以适应社会发展的多元化需求。

• 数据跨境流动方面，我国正着力重构安全可控、促进发展的数据跨境流动框架，进一步深化数据跨境流动合作，赋能全球数字经济发展。
   

• 算法与人工智能方面，我国对标国际科技发展前沿的同时，立足本土产业发展阶段，通过监管指引不断规范各类算法服务备案要求，持续细化生成式人工智能服务的安全保障义务，并着手筹备更高位阶的人工智能立法，使我国人工智能监管和治理的法律框架逐显雏形。
   

• 数据要素市场建设方面，国家数据局的成立标志着我国数据要素发展正式迈入新征程，中央的各项政策方案和规划布局正在加快推进我国数据经济发展，同时各地在数据要素市场化建设中重点发力数据知识产权、公共数据的开放共享利用与授权运营等。
   

• 未成年人保护和网络暴力防范方面，中央和各地方政府在立法角度更加注重营造有利于未成年人身心健康的网络环境，力争更好地保障未成年人合法权益，切实加大网络暴力信息治理力度，努力营造良好的网络生态。
   

• 新能源汽车和智能网联汽车领域，我国今年持续加强有关网络安全、数据合规、隐私保护等方面的立法指引与标准制定，以促进这些新兴业态全产业链条的健康发展与技术创新，为我国汽车产业的未来发展提供了坚实的法律基础。

2023年的监管在网络与数据安全和个人信息保护两大方面持续发力：

2023年的网络安全的监管重点首先在于开展执法监督检查，持续推动落实国家网络安全等级保护制度和关键信息基础设施安全保护制度，全面增强重要行业部门的网络和数据安全意识，有力提升重要信息系统安全保护能力，有效防范黑客攻击犯罪，确保国家网络和数据安全。

其次是加大对特殊主体的行政执法力度，针对关键信息基础设施运营者、重要行业部门等单位，坚持问题导向，创新方式方法开展行政执法，及时查风险、堵漏洞、除隐患、补短板，压紧压实网络运营者、数据处理者的安全责任。

再次是加强警示教育，各监管机构通过各大媒体平台、全国网安宣传矩阵、国家网络安全宣传周等多种渠道和形式，精心组织开展黑客类违法犯罪宣传和教育，提醒广大群众和企事业单位加强防范，及时发布警方打击黑客的犯罪成果，震慑违法犯罪活动。通过剖析典型案例，引导网络运营者增强安全防护意识，普及安全防护措施，督促企事业单位强化系统保护和公民个人信息安全，确保网络安全宣传教育进学校、进企业、进单位、进社区。

数据安全的监管重点关注包括数据安全保护义务、数据安全应急处置、数据安全风险评估和监测、数据交易安全等主要问题，主要监管执法的问题包括企业未及时落实数据安全管理制度和操作规程，未对单位员工开展正规的数据安全人才培训，未落实网络安全等级保护制度，系统存在未授权访问漏洞（比如办公电脑未设置开机密码等问题），缺少数据安全风险评估和监测以及应急处置制度，系统存在重大数据安全隐患等问题。

针对个人信息保护，工信、网信、公安等监管部门在2023年持续纵深对App开展执法监管活动，从执法频率来看，2023年全年，工信部共开展了9批对App的执法活动；部分地方通信管理局，如北京、上海、浙江三地省级通信管理局分别开展了10次、4次、10次执法活动。通报结果表明，大量App（包括小程序）均存在“违反必要原则，收集与其提供的服务无关的个人信息”“未明示收集使用个人信息的目的、方式和范围”“未经客户同意收集使用个人信息”等较为集中的问题。除贯彻落实中央的行动指导，部分地方网信办着力开展属地指导监督活动，如上海网信办召开个人信息保护合规工作座谈会，指导多类App运营企业加强个人信息保护合规工作，会同行业主管部门召开了教育、房产、医学、法律等多场“自媒体”分类指导会，并聚焦网络零售、餐饮服务、直播营销等方面出台合规指引等。北京、广州、杭州互联网法院等持续发布个人信息保护典型案例。

此外，我们结合不同的场景及专题，聚焦数据出境、AIGC/算法前沿、未成年人保护以及网络安全审查等方面分析2023年的监管动态。中央和地方对数据出境监管投入了更多的精力，企业开展数据出境安全评估和个人信息出境标准合同备案更加规范。我国针对人工智能的发展努力做到在鼓励和支持技术创新的同时，充分正视和预测技术发展可能带来的现实问题和未来的不确定性，做到提前布局、管促并重。针对未成年人保护，监管部门充分关注到网络沉迷、过度消费以及隐私泄露等引发舆论高度关切的现实问题，并针对性开展了相应的立法、执法及司法活动，从线上到线下、从政策到实践，我国对未成年人网络保护的大网越织越密。针对关键信息基础设施安全与国家安全监管，国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理和地理信息数据安全风险专项排查治理。

随着法律法规体系的日趋完善，监管要求也在逐步明确与加强，通过对本年度监管动态的整理，不难发现，国家网信办、工信部、公安部及各地的网信办、通信管理局等监管主体，因企业数据合规制度不完善、数据安全保护义务履行不到位、数据处理活动违规等情形对其作出处罚日渐常规化、精细化。这就要求企业在数据合规建设过程中，同时具备强合规驱动型和事件驱动型两种视角与能力，以做到保障安全的同时促进发展。