数据合规领域大事记:2023回顾与2024展望

2024-02-07

作者:胡俊、李纯、刘玉珠、张畅然、郭玉瑶、杨宇涵

引言

过去的2023是数据合规监管与数据流通利用齐头并进的一年。一方面,数据出境“合规三路径”全面落地,个人信息保护合规审计规制初现框架,人工智能法律与伦理治理机制初步构建,敏感个人信息保护不断深化;另一方面,数据跨境流动新规草案释放为企业减轻合规成本的积极信号,粤港澳大湾区数据跨境流动机制为该区域数据流通利用创造了更为便利的条件,《数据二十条》构建了数据资源持有权、数据加工使用权、数据产品经营权“三权分置”的基本框架,我国数据产权制度初具雏形,国家数据局与各地数据局陆续成立,数据资产入表、数据交易平台搭建等各项工作稳步推进,数据要素市场与数字经济发展未来可期。值此辞旧迎新之际,立方数据合规与网络安全团队撰写本文回顾2023年数据合规领域的重要事件,并展望2024年法律与监管发展态势,以期为业界和同行开展2024年数据合规工作提供参考和帮助。

一、促进数据跨境流动

数据跨境流动是2023年数据合规领域的一大重点,相关监管机构、标准委员会等陆续发布了一系列规定及标准文件,用以规范企业数据跨境传输行为,特别是个人信息的跨境传输。此外,2023年数据跨境传输的监管也愈加规范,企业在相关法律规定生效后陆续开展数据跨境传输的合规工作,各地监管机构陆续涌现安全评估、标准合同备案等的示范案例。

(一)个人信息出境“合规三路径”全面落地实施

2022年实施的《数据出境安全评估办法》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》确立了个人信息跨境传输安全评估和认证两种方式,随着《个人信息出境标准合同办法》及《个人信息出境标准合同备案指南(第一版)》于2023年开始实施,标志着我国的“申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证”个人信息出境“合规三路径”已初步形成并落地实施,我国对于个人信息跨境流动的监管步入正轨。

(二)发布关于个人信息跨境传输认证的参考文件

2023年3月16日,全国信息安全标准化技术委员会(“信安标委”)发布了《信息安全技术 个人信息跨境传输认证要求》(征求意见稿)。虽然该标准目前尚未发布正式生效文件,且为推荐性国标,无强制约束力,但可作为企业开展个人信息跨境传输认证的重要参考文件。例如,该标准明确了认证的基本要求,包括签订具有法律约束力的文件、设置个人信息保护负责人的管理要求等。

(三)释放减轻企业数据跨境传输监管负担的信号

2023年最受企业关注的监管文件/征求意见稿,当属国家互联网信息办公室(“国家网信办”)发布的《规范和促进数据跨境流动规定(征求意见稿)》。该征求意见稿的发布,反映出国家网信办对《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》中“探索便利化数据跨境流动安全管理机制”的积极响应,亦释放出为企业减轻数据跨境传输监管负担的信号,主要体现在:该规定明确了无需采取任一“合规三路径”的豁免情形,调整了申报数据出境安全评估及订立标准合同的数量标准。该规定如得以实施,将在一定程度上降低企业在监管程序方面的合规负担。

(四)有序推进数据的跨境安全、自由流动

2023年,国家网信办、各地网信办陆续公布企业通过“合规三路径”审核的信息,促进企业通过规范路径开展数据的跨境流动。

在申报数据出境安全评估方面,北京网信办于2023年1月18日公布全国首个数据合规出境案例,即首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目。中国国际航空股份有限公司项目作为全国第二例也成功获批通过[1]。

在个人信息出境标准合同备案方面,北京网信办于2023年6月25日公布全国首家通过订立标准合同实现个人信息合规出境的企业,即北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同的备案[2]。

在个人信息保护认证方面,中国网络安全审查技术与认证中心于2023年12月25日公开发布称:“中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书。”[3]

(五)促进粤港澳大湾区个人信息的流动

国家网信办、香港创新科技及工业局于2023年12月10日共同发布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,为注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区的个人信息处理者及接收方之间的数据传输活动提供便利,并提供了适用标准合同路径的实操指引。此外,信安标委于2023年11月1日发布了《网络安全标准实践指南—粤港澳大湾区跨境个人信息保护要求(征求意见稿)》,虽目前尚未发布正式生效文件,但为大湾区内个人信息处理者以认证方式开展个人信息跨境处理活动提供实操指引,丰富了粤港澳大湾区跨境传输个人信息的路径。

展望2024年——数据跨境流动将兼顾安全性与便利性

随着“合规三路径”的确立实施以及相关征求意见稿的不断发布,在未来一年中,可以预见监管部门或将继续兼顾数据安全与自由流动的原则,陆续发布关于数据跨境流动的配套规定。其中,备受企业关注的《规范和促进数据跨境流动规定(征求意见稿)》也在研究完善、准备推动出台[4],该规定出台后将显著降低企业数据跨境流动的合规负担,促使数据跨境流动兼具安全性与便利性。

二、挖掘数据价值、鼓励数据交易

2022年12月,中共中央、国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(“《数据二十条》”),2023年在《数据二十条》的基础上,我国在数据要素领域的布局日益清晰,数据价值进一步释放,数据产权管理、交易更加规范和有序,为数字经济的健康发展提供了有力支持。

(一)   数据产权制度初具雏形

《数据二十条》《数字中国建设整体布局规划》等政策文件,均要求释放数据价值、加快建立数据产权制度。《数据二十条》亦进一步明确数据资源持有权、数据加工使用权、数据产品经营权的“三权分置”制度框架,强调了数据产权的多元性,使得不同环节和角色在数据生命周期中可以有清晰的权利划分。同时,2023年3月16日国务院印发《党和国家机构改革方案》明确组建国家数据局,负责协调推进数据基础制度建设。2023年10月25日,国家数据局正式挂牌成立。此后,天津、上海、湖北、河南等多个省市亦建立了地方性数据局,响应国家进行数据基础制度建设。

(二)   完善数据交易制度,刺激数据交易市场

财政部于2023年8月1日发布的《企业数据资源相关会计处理暂行规定》为企业提供了明确的数据资源会计处理规范,明确了数据资源的可财产性,有助于企业更加积极参与数据市场的交易。同时,数据交易平台配套基础设施建设亦在同步推进,2023年发布的《元宇宙产业创新发展三年行动计划(2023-2025年)》《数字中国建设整体布局规划》《全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案》《支持北京深化国家服务业扩大开放综合示范区建设工作方案》等政策性文件,致力于构建全面的数字基础设施,为数据的交易提供更加便捷、高效的支持,提出了包括探索数字身份认证制度、提供数据交易服务等措施。此外,部分地区还通过利好政策刺激数据交易市场活跃度,如2023年8月上海数据交易所发布“数据要素市场繁荣计划”并设立专项激励资金,促进数据要素市场的活跃度。

(三)   促进公共数据资产的开发和利用

2023年12月31日国务院发布《关于加强数据资产管理的指导意见》,鼓励公共管理和服务机构将具有管理服务潜力的公共数据资源纳入资产管理,并鼓励探索开展公共数据资产权益在特定领域和经营主体范围内入股、质押等路径,为公共数据资产的多元化价值流通提供了新思路。此外,通过《数字经济促进共同富裕实施方案》、《数字中国建设整体布局规划》等文件,政府对数字经济的支持力度加大,为公共数据在数字经济中的更广泛应用创造了条件。

展望2024年——数据交易与流通机制将进一步完善

近期,国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024-2026年)》,将数据作为生产要素,推动数字经济发展。可以预见,2024年,中国将继续深化数据治理体系建设,通过完善国家和地方层面的数据法律法规及建立数据治理机构,提高治理效能,全面推动数据管理。其次,强化数据产权和流通机制是发展的重要方向,通过明晰产权关系和提供安全可靠的交易环境,促进更广泛领域的数据资源共享与交换。此外,在产权清晰的背景下,预计将继续创新数据激励政策,以更具创新性的机制奖励企业和组织参与数据市场,进一步激发数据产业发展的活力。

三、规范人工智能领域数据使用

总结2023年数据合规工作的热点领域,人工智能必然有一席之地。自2022年11月30日OpenAI正式发布ChatGPT以来,众多海内外公司如百度、阿里、腾讯、360、科大讯飞等纷纷入局,推出各自的人工智能产品。为应对这一新兴技术带来的监管需求,各个国家纷纷制定相关规则,我国相关部门也对此先后发布了一系列规定。

(一)   保证数据安全

2023年,我国陆续发布及实施《生成式人工智能服务管理暂行办法》《网络安全标准实践指南——生成式人工智能服务内容标识方法》《科技伦理审查办法(试行)》《生成式人工智能服务 安全基本要求(征求意见稿)》《互联网信息服务深度合成管理规定》等文件,以明确对于人工智能的监管,保证数据安全。值得关注的是,当生成式人工智能服务提供者处理的数据涉及个人信息时,其应当承担个人信息处理者的责任,履行个人信息保护义务,包括对使用者的输入信息和使用记录履行保护义务、不得收集非必要个人信息、不得非法留存能够识别使用者身份的输入信息和使用记录、不得非法向他人提供使用者的输入信息和使用记录、及时受理和处理个人关于查阅、复制、更正、补充、删除其个人信息等的请求等。

(二)   促进数据使用

人工智能领域的数据使用强调拓展数据资源。相关规定鼓励生成式人工智能技术在各行业、各领域的创新应用,支持行业组织、企业、教育和科研机构、公共文化机构、有关专业机构等在生成式人工智能数据资源建设等方面开展协作。

在数据使用的具体要求方面,《生成式人工智能服务管理暂行办法》明确了对于数据标注的相关要求。同时,信安标委制定的《生成式人工智能服务安全基本要求(征求意见稿)》进一步明确了对于语料的标注要求,包括对标注人员、标注规则、标注内容的要求。

展望2024年——我国人工智能法草案值得期待

随着人工智能技术、产业的进一步发展,对于数据的使用和开发在人工智能领域将变得更为重要。目前我国在人工智能规制方面已经明确了发展和安全并重的原则,然而在细节方面尚有许多内容值得进一步细化和补充,如企业如何保证自身数据的合法合规,拥有数据资源的专业机构如何进行合作等。值得注意的是,我国在2023年5月将人工智能法草案列入国务院年度立法工作计划,而目前欧盟已通过全球首个《人工智能法案》,美国已发布人工智能规制框架,我国也或将在接下来的几年里公布人工智能法草案,进一步规范人工智能领域的数据使用。

四、推动个人信息合规审计落地

国家网信办于2023年8月3日发布了《个人信息保护合规审计管理办法(征求意见稿)》[5](“《征求意见稿》”),对外公开征求意见,在同年10月实施的《未成年人网络保护条例》[6]中也体现了相关审计要求,个人信息保护合规审计规制思路初现框架。

(一)合规审计频率

根据《征求意见稿》,处理超过100万个人信息的处理者以每年不低于一次的频率开展个人信息保护合规审计,其他个人信息处理者的合规审计频率可降低为每两年不低于一次。在《征求意见稿》发布前,《个人信息保护法》要求个人信息处理者定期对其处理个人信息遵守法律、行政法规的情况进行合规审计,但并未明确具体的审计频率。《征求意见稿》生效后,企业合规审计频率将有章可循。

(二)合规审计机构

个人信息保护合规审计分为个人信息处理者自行定期审计和应监管要求审计两种方式。在企业自主开展的情况下,可由企业内部相关部门组成审计小组进行审计,或委托外部专业机构(如律所、审计机构等)进行审计;在监管部门强制要求审计的情况下,存在审计周期、审计结果报告、整改和复核的客观评价要求,相应地对专业机构的资质、审计权限和行为规范也存在一定要求,强调专业机构应具备充分的专业性、独立性和客观性。

(三)未成年人信息的审计

目前的《未成年人网络保护条例》于第三十七条规定了个人信息处理者承担将处理未成年人个人信息情况进行审计并报告主管部门的责任。在《征求意见稿》附件中第十四条,特别提出对于涉及处理不满十四周岁未成年人个人信息的,应重点审计是否制定了专门的处理规则,是否向未成年人及其监护人告知相应的处理目的、方式、必要性、保护措施等信息,以及是否存在强制要求未成年人或其监护人同意处理非必要信息的行为。

展望2024年——个人信息合规审计指引规定有望落地

考虑到个人信息保护合规审计仍处于规则制定阶段,未来一年的进展极有可能主要见于最终出台正式的审计管理办法,若办法出台早,可能还会出现一批企业个人信息保护合规审计示范案例。结合当下个人信息保护其他法律规章内容和部分合规审计相关研究报告看,个人信息保护合规审计需进一步明确审计流程和方式出台指导性审计问题/标准清单,明确审计报告撰写提交规范以及特定环节(如数据交易、跨境传输等)的个人信息保护合规审计要点。此外,对于特定的主体,如大型互联网平台、关键信息基础设施运营者、境外个人信息处理者、国家机关等,或可考虑出台专门的审计指导性规定或提示文件,与已有的特殊领域数据合规规范衔接补充。

五、明确敏感个人信息的安全管理要求

《个人信息保护法》对敏感个人信息的保护提出了更为严格的要求,企业在开展个人信息保护合规工作过程中,应当注意识别敏感个人信息,并采取特殊安全措施予以保护。此前,对敏感个人信息的识别与保护,监管机构及企业主要参照《GB/T 35273—2020 信息安全技术 个人信息安全规范》,但该标准的发布时间早于《个人信息保护法》,并且内容较为模糊,因此企业在实践过程中仍有诸多疑问之处。对此,信安标委于2023年8月9日发布了《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》(“《敏感个人信息安全要求》”),对实践中遇到的问题作出回应。

(一)细化并丰富了敏感个人信息的识别方法

《敏感个人信息安全要求》进一步明确了敏感个人信息的界定,采取“属性识别+列举示例”的方式界定敏感个人信息的范围。就属性识别而言,信安标委在明确单一属性的基础上,创新性地提出对汇聚融合后整体属性的判断要求,即总体考虑个人信息汇聚融合后的整体属性,如汇聚融合的个人信息遭到泄露或者非法使用容易对个人权益造成较大影响的,应判断个人信息整体具有敏感个人信息属性。就列举示例而言,正文与附录A相结合,丰富了常见敏感个人信息的类型。二者结合有助于企业准确识别敏感个人信息。

(二)明确了收集敏感个人信息的前提条件

《敏感个人信息安全要求》指出敏感个人信息的收集应满足“增强告知+单独同意”的要求。“增强告知”的要求体现在形式与内容两方面,形式上要求通过单独弹窗、短信等方式告知;内容上要求个人信息处理者对于敏感个人信息的处理,应告知更加全面与详细的内容。“单独同意”要求个人信息处理者将敏感个人信息与一般个人信息区分,应获取个人信息主体的对于敏感个人信息收集的明示同意,获取方式可以为个人信息主体主动填写或者点击、勾选等。进一步的具体要求可参考信安标委于2023年5月23日发布的《GB/T 42574-2023 信息安全技术 个人信息处理中告知和同意的实施指南》。

(三)提出了安全保护+安全管理的双重要求

《敏感个人信息安全要求》要求个人信息处理者处理敏感个人信息时遵守安全保护要求及安全管理要求。

1709780027297379.png

(四)划定了需满足特殊安全要求的特定类型

《敏感个人信息安全要求》对于生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人信息提出特殊安全保护要求。以生物识别信息为例,《敏感个人信息安全要求》要求处理不同的生物识别信息应符合相应的国家和行业标准。如对于人脸识别信息,国家网信办于2023年8月8日发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》、信安标委于2023年5月23日发布的《网络安全标准实践指南——人脸识别支付场景个人信息保护安全要求(征求意见稿)》,均系监管部门于2023年度发布的对人脸识别信息处理的特殊要求。

展望2024年——逐步落实敏感个人信息的安全处理要求

敏感个人信息的特殊保护是《个人信息保护法》的基本要求。前述各征求意见稿的发布,体现了监管部门对于企业安全处理敏感个人信息的严格监管态势。2024年,监管部门或将陆续发布针对敏感个人信息的处理要求及标准,尤其是上文提及的有特殊处理要求的敏感个人信息,逐步落实敏感个人信息安全处理的要求,降低敏感个人信息的处理给个人信息主体所带来的风险。

六、加强网络安全审查

2023年,中国网络安全执法方面备受瞩目,监管机构通过网络安全审查执法行为展现出对保护关键信息基础设施网络安全及个人信息安全等问题的高度重视。另一方面,网络安全方面立法也在逐步完善,安全事件报告制度正在建立。

(一)加强网络安全审查执法

据国家网信办官网消息,网络安全审查办公室于2023年对某知名集成电路制造商的产品进行了网络安全审查,审查发现,该集成电路制造商产品存在严重问题,对国家安全构成了重大威胁,故网络安全审查办公室依法作出了不予通过审查的决定,并禁止该集成电路制造商向国内关键信息基础设施供应商提供产品。

无独有偶,某知名数据库因涉嫌违法处理个人信息行为被立案调查,调查发现,其在14款App中存在多项违法行为,包括未经同意收集个人信息、未提供账号注销功能等。故国家网信办基于《网络安全法》、《个人信息保护法》和《行政处罚法》等法律法规,综合考虑该知名数据库违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对该知名数据库处以5000万元罚款。

(二)完善网络安全事件报告立法

2023年12月8日,国家网信办发布的《安全事件报告管理办法(征求意见稿)》(“《办法》”)则进一步规范了网络安全事件的报告程序,要求网络运营者在发生较大、重大或特别重大网络安全事件时迅速报告,未按规定报告的将由主管部门进行相应处罚。这反映了政府加强对网络和数据安全的监管,以维护国家的整体网络安全。

《办法》规定了网络运营者在发生危害网络安全事件时的报告主体、层级和时限。尤其突出的是对较大、重大或特别重大网络安全事件要求1小时内进行报告,以确保及时响应和处置。报告内容方面,《办法》明确了《网络安全事件信息报告表》的具体要求,包括对事发单位、事件基本情况、发现时间、地点、影响和危害、事件原因、调查线索、应对措施等方面的详细内容。责任追究方面,《办法》规定了对未按规定报告网络安全事件的处罚机制,包括行政罚款和刑事责任。同时也强调了鼓励社会组织和个人报告网络安全事件,以形成多方共同防范的网络安全态势。整体而言,该《办法》着眼于建立健全的网络安全报告制度,通过法律约束和激励机制,提升网络安全防范和处置的效能。

展望2024年——网络安全审查监管或将不断加强

未来一年,网络安全审查方面将持续成为监管部门关注的焦点。预计我国将继续强化对关键信息基础设施供应链的安全审查,以确保国家的网络基础设施不受威胁。同时,随着技术的发展和网络威胁的不断演变,预计监管部门将进一步完善网络安全方向的相关立法。除了监管部门主动审查外,《安全事件报告管理办法(征求意见稿)》的发布是一个积极信号,表明政府正在从多个维度设置不同的监管措施,以更加有效地应对各类网络安全事件。

结语

展望2024年,数据与网络空间仍将是挑战与机遇并存。数字经济、人工智能、数据交易等领域的蓬勃发展为企业推陈出新和建立新的增长点提供了难得的发展机遇,另一方面,数据安全、网络安全与个人信息安全作为国家与企业发展的底线和基石变得日益重要,数据合规领域不断深入和精细化的合规监管对企业自身的数据合规治理提出了更高的要求,企业需要结合自身实际情况不断提升合规管控水平方能行稳致远。新的一年,立方数据合规与网络安全团队将继续深耕本领域实务与前沿问题,并结合国家监管要求与企业实际需求打造更专业、更全面、更务实的法律服务产品,从而为企业发展更好地保好驾,护好航!

注释:

[1] 网信北京:《全国首个获批数据出境安全评估案例落地北京》,微信公众号,2023年1月18日,https://mp.weixin.qq.com/s/mCS7dZIuqs7LCevDUnd58g。

[2] 网信北京:《北京市通过首家企业个人信息出境标准合同备案》,微信公众号,2023年6月25日,https://mp.weixin.qq.com/s/PCJluMb_6hdpB5BbMCsz5g。

[3] 中国网络安全审查技术与认证中心:《5家企业获颁首批个人信息保护认证证书》,网页新闻,2023年12月15日,https://www.isccc.gov.cn/xwdt/tpxw/12/909546.shtml。

[4] 中国政府网:《国务院政策例行吹风会》,2024年2月5日,https://www.gov.cn/xinwen/2024zccfh/3/index.htm。

[5] 网信中国:《国家互联网信息办公室关于《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见的通知》,微信公众号,2023年8月3日,https://mp.weixin.qq.com/s/xBoy1IBrfIhQlynzw39-AA。

[6]《未成年人网络保护条例》第37条。


特别声明

本文仅供参考,不构成律师的正式意见,不应被看作是采取任何法律行动或进行法律决策的依据。文中所述仅代表作者个人观点,并不反映作者所服务的任何机构或客户的立场。

相关人士

专业领域