11月資料安全重要政策法規、檔案彙總

文化和旅遊部發布《文化和旅遊部關於推動線上旅遊市場高質量發展的意見（徵求意見稿）》

11月1日，文化和旅遊部發布《文化和旅遊部關於推動線上旅遊市場高質量發展的意見（徵求意見稿）》。徵求意見稿提出，要加強遊客“行蹤軌跡”等個人敏感資訊保護，防止超出合理經營需要收集遊客個人資訊，採取切實措施避免大資料殺熟、虛假宣傳、虛假預定等侵害遊客權益行為。強化對未經許可從事旅行社業務經營活動、“不合理低價遊”等違法違規產品的監測、發現、判定和處置，維護正常的行業秩序，切實保障遊客合法權益。

工信部發布《關於開展智慧網聯汽車准入和上路通行試點工作的通知（徵求意見稿）》

11月2日，工信部發布《關於開展智慧網聯汽車准入和上路通行試點工作的通知（徵求意見稿）》，徵求意見稿提出，試點使用主體應當對試點車輛上路通行期間收集的資料加強管理，資料儲存、傳輸、處理應當符合汽車資料安全管理等相關法律法規和技術要求。試點車輛產生的網路安全和資料安全違法違規責任，由車內安全員、試點汽車生產企業、試點使用主體、自動駕駛系統開發單位等相關主體依法承擔。

徵求意見稿明確，試點城市、試點汽車生產企業、試點使用主體未按規定落實網路安全和資料安全保護義務，拒不整改或整改後仍未解決問題的，發生嚴重網路安全或者資料安全事件的，試點應當暫停或退出。

工信部發布《關於促進網路安全保險規範健康發展的意見（徵求意見稿）》

11月7日，工信部發布《關於促進網路安全保險規範健康發展的意見（徵求意見稿）》，徵求意見稿提出，要推動企業網路安全風險應對能力提升。鼓勵重點行業企業完善網路安全風險管理機制，推動電信、能源、金融、交通、水利、教育等重點行業企業積極利用網路安全保險工具，有效轉移、防範網路安全風險，提升網路基礎設施、重要資訊系統和資料的安全防護能力。支援中小企業透過網路安全保險監控風險敞口，建立健全網路安全風險管理體系，不斷加強中小企業網路安全防護能力。

國家衛健委等印發《“十四五”全民健康資訊化規劃》

11月9日，國家衛生健康委、國家中醫藥局、國家疾控局印發《“十四五”全民健康資訊化規劃》。

《規劃》包括8個方面主要任務。一是集約建設資訊化基礎設施支撐體系；二是健全全民健康資訊化標準體系；三是深化“網際網路+醫療健康”服務體系；四是完善健康醫療大資料資源要素體系；五是推進數字健康融合創新發展體系；六是擴充基層資訊化保障服務體系；七是強化衛生健康統計調查分析應用體系；八是夯實網路與資料安全保障體系。

《規劃》同時提出要實施8個優先行動。一是互通共享三年攻堅行動；二是健康中國建設（行動）支撐行動；三是智慧醫院建設示範行動；四是重點人群智慧服務行動；五是藥品供應保障智慧監測應對行動；六是數字公衛能力提升行動；七是“網際網路+中醫藥健康服務”行動；八是資料安全能力提升行動。

全國信安標委釋出2022年網路安全國家標準專案立項清單

11月2日，全國資訊保安標準化技術委員會按照《全國資訊保安標準化技術委員會標準制修訂工作程式》的有關規定，釋出2022年網路安全國家標準專案的立項清單。清單包含“標準制定專案”17項，“標準修訂專案”13項，涉及個人資訊保護、資料安全等內容。

全國信安標委釋出《資訊保安技術 關鍵資訊基礎設施安全保護要求》

11月7日，全國信安標委釋出《資訊保安技術 關鍵資訊基礎設施安全保護要求》，實施日期為2023年5月1日。

標準提出了以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以資訊共享為基礎的協同聯防的關鍵資訊基礎設施安全保護3項基本原則，從分析識別、安全防護、檢測評估、監測預警、主動防禦、事件處置等6個方面提出了111條安全要求，為運營者開展關鍵資訊基礎設施保護工作需求提供了強有力的標準保障。

全國信安標委釋出《個人資訊跨境處理活動安全認證規範V2.0（徵求意見稿）》

11月8日，全國信安標委釋出《網路安全標準實踐指南—個人資訊跨境處理活動安全認證規範V2.0（徵求意見稿）》，相較於《認證規範V1.0》，《認證規範V2.0》在內容上做出諸多調整。適用情形方面，《認證規範V1.0》將適用範圍限定在跨國公司之間的資料跨境行為或者個保法第三條第二款的情形，《認證規範V2.0》明確個人資訊保護認證適用於“個人資訊處理者開展個人資訊跨境處理活動”。

認證主體方面，《認證規範V2.0》新增要求申請認證的個人資訊處理者應取得合法的法人資格，正常經營且具有良好的信譽、商譽。這意味著沒有法人資格的分公司、代表處、辦事處將無法作為申請認證的主體。

基本原則方面，《認證規範V2.0》將適用基本原則的主體擴張至境外接收方，並從條文表述上明確了境外接收方個人資訊違規處理活動的承擔責任主體為指定的境內一方、多方或者境外接收方在境內設定的機構。

個人資訊保護機構方面，《認證規範V2.0》新增涉及出境活動的雙方的個人資訊合規審計義務，以及配合認證機構監督工作的義務。

個人資訊主體權利方面，《認證規範V2.0》新增個人資訊主體在個人資訊跨境處理活動中權益受損時的賠償請求權。

此外，《認證規範V2.0》還細化並新增了個人資訊保護影響評估的內容和要求（第5.4條），以及個人資訊處理者和境外接收方的責任義務（第6.2條），包括及時通知（個人資訊處理者及認證機構）境外接收方的法律環境變化、儲存個人資訊跨境處理活動記錄、個人資訊事件的通知與報告、承擔相關責任義務已履行的舉證責任、適用中國法等。

全國信安標委釋出《資訊保安技術 網路安全服務能力要求（徵求意見稿）》

11月9日，全國信安標委釋出《資訊保安技術 網路安全服務能力要求（徵求意見稿）》，徵求意見稿規定，網路安全服務機構應對服務過程中獲取的資料（包括原始資料、加工分析產生的資料等）進行安全保護，並滿足以下要求：

a)在服務實施前，應與服務需求方明確約定資料保護的相關條款，包括服務過程中涉及的個人資訊（如身份資訊等）、業務資料、系統資料、安全資料、文字資料等的保護要求，以及資料的使用目的和週期、最小處理範圍、最小特權訪問、事後處置等保護措施；

b)處理網路安全服務過程中獲取的各類資料，應遵守法律、法規要求，履行資料安全保護義務，承擔社會責任，不應危害國家安全、公共利益，不得損害個人、組織的合法權益；

c)不應將網路安全服務過程中獲取的資料變更目的使用，不應向第三方提供或進行公開，服務協議中明確授權或經服務需求方同意的除外；

d)應採取必要的安全措施，如加密、完整性校驗、備份等，保證所獲取資料的真實性、準確性，未經服務需求方同意，不應更改、刪除、銷燬原始資料；

e)因服務所需向境外提供、傳輸網路安全服務過程中獲取的各類資料，應在事前向服務需求方單獨告知出境目的、資料種類、數量、週期、接收方等情況，取得服務需求方書面同意。同時，還應遵守資料出境管理相關法律法規的要求；

f)因處理外國司法或執法機構的要求提供資料時，應遵守國家有關法律法規要求，上報有關主管機關批准後方可提供；

g)在服務實施完成之後，應按服務需求方和服務協議的要求，進行資料的脫敏、移交、清理、銷燬等處置；服務需求方對處理情況提出核驗或審計的，應予以充分配合。

《廣西壯族自治區大資料發展條例》透過

11月25日，《廣西壯族自治區大資料發展條例》透過，並於2023年1月1日起施行。這是廣西第一部資料領域地方性法規。

關於資料安全保障，條例提出具體要求，包括實行資料安全責任制、明確對資料進行分級分類管理以及對公共資料進行安全監測、應急處置、安全備份、安全協作、安全銷燬等體系建設等。

《杭州市深化數字政府建設實施方案》印發

近日，《杭州市深化數字政府建設實施方案》印發，在構建數字政府全方位安全保障體系部分，提出要進一步強化政府部門資料安全管理職責，健全網路安全工作責任體系；強化網路安全、資料安全監管；加強對參與政府資訊化建設與運營企業的規範管理；構建資料安全防護能力評估指標體系；嚴格落實公共資料安全制度規範體系；完善公共資料安全技術防護體系等。