作者:陈际红
引言
“无边落木萧萧下,不尽长江滚滚来”,我们很难用一种确切的感受形容即将过去的2022年,但该前行的还是在前行。在网络安全和数据保护领域,2022年是在“三驾马车”法律架构下细化落地监管措施,并大力促进数据要素释放红利的一年,以三套数据跨境传输机制、算法规制、网络安全审查、数字化转型和数据要素化政策等为代表。2022年虽看似重要立法没有2021年密集,但昔日花今日果,回顾一年来的实践情况,2022年企业所面临的数据合规实施压力可能更大。
网络安全与数据保护领域的内涵不断丰富,监管边际也在不断延展,虽知用一篇小文来总结一个年度犹如以管窥天,但仍不妨我们以一个业内实践者的角度给些观察,为企业提供一些实务建议。
一.立法篇
“数据跨境传输三件套”逐次落地
数据跨境传输涉及国家安全、公共利益及个体权益,一直是立法和监管的重点。自2017年实施的《网络安全法》确立数据跨境传输安全评估制度以来,网信办就着手制定个人信息与重要数据的出境安全评估规则,在经历了个人信息与重要数据评估规则的“合-分-合”过程,尤其是去年《个人信息保护法》在立法层面明确了个人信息跨境传输的法律规定后,规则制定明显加快。
在安全评估制度方面,网信办于2022年7月7日公布《数据出境安全评估办法》,并于9月1日正式实施;此外,网信办于2022年8月31日发布《数据出境安全评估申报指南(第一版)》,提供了开展安全评估的指引,之后各地网信部门相继开通接受安全评估申报的窗口,安全评估申报开闸。
在保护认证方面,信安标委秘书处于2022年6月24日发布《个人信息跨境处理活动安全认证规范》,并进而在12月6日发布了《个人信息跨境处理活动安全认证规范v2.0》,第二版认证规范吸收了《数据出境安全评估办法》及《个人信息出境标准合同规定(征求意见稿)》的内容,在数据跨境传输协议、个人信息保护影响评估要求上与之保持一致,新增个人信息主体在权益受损时的赔偿请求权,并试图将认证的适用情形从之前的股权关联拓宽至业务关联,明确要求境外接收方对该规范中列明的个人信息主体权利予以承认。11月4日,市监总局和网信办发布《个人信息保护认证实施规则》,建立了认证实施的程序规则,一旦认证机构名单经过批准后发布,认证活动就可以正式开展。
在标准合同方面,自2022年6月30日网信办公布《个人信息出境标准合同规定(征求意见稿)》后,即引发一些争议,比如:GDPR的新版跨境传输SCCs划分了四类个人数据跨境传输场景(C-C/C-P/P-C/P-P),分别对应不同的合同模块。而目前中国版的标准合同仅限于境内为个人信息处理者的情形(即C-C或C-P),此框架能否涵盖真实的出境场景需求?以及,对境外再传输的场景,是否可以加入对接条款(docking clause),使第三方后续以数据传输方或接收方的身份加入SCCs?据悉,网信部门也在不断地征求各个方面的意见,但按照原来的预期,在年底前发布正式版本实有一定难度。
新《网络安全审查办法》生效,中概股国外上市前景渐明
以某知名互联网出行平台在外国上市引发网络安全审查为契机,修订后的《网络安全审查办法》于2022年2月15日起正式施行。与2020年的版本相比,新版《网络安全审查办法》一是将平台企业的数据处理活动纳入到网络安全审查制度的监管范围,二是对于掌握超过100万用户个人信息的网络平台运营者赴国外上市,要求必须先行申报网络安全审查。关于修订办法对中概股企业的境外上市影响,我们有以下的观察:
2021年美国SEC宣布通过法规修正案,完善了《外国公司问责法案》(“HFCAA”)相关的信息披露实施细则,要求外国上市公司的审计机构必须接受美国公众公司会计监督委员会(PCAOB)的审查。今年3月8日以来,美国SEC根据HFCAA,先后将约150家不符合美国PCAOB审计监管要求的中概股公司纳入“确定识别名单”,使其面临从美股退市的风险;
2022年4月2日,证监会发布就《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》公开征求意见的通知,对规范审计工作底稿信息安全管理提出明确要求,进一步落实上市公司信息安全的主体责任;
证监会和财政部于2022年8月26日与PCAOB签署审计监管合作协议,于近期启动相关合作,中概股从美股集体退市的风险出现转机;
据报道,自2022年2月15日《网络安全审查办法》修订施行以来,已有20余家拟赴国外上市企业向国家网络安全审查办公室进行了申报。
据此,中美关于中概股的审计监管基本达成短期的合作规则,网络安全审查制度也逐步开始运转,看似为中概股赴美上市理清了通途。但是,考虑到数据跨境日益强监管,关基运营者、掌握核心数据或重要数据的数据处理者、或处理大量个人信息的平台企业在选择上市地时,港股或境内A股或许是更安全的选择。
算法备案正式实施
之前我们在《网络空间治理的升级:从数据治理迈向算法治理》一文中认为,“数据治理”以保障数据安全、保护个人、组织的合法权益为主要目标,而“算法治理”重点指向的则是数据应用的内在逻辑和产生的效果,平台通过算法应用数据来实施其行为,具有权力化的趋势。基于此,我们认为,算法治理会成为未来的治理和监管焦点。2022年3月1日,《互联网信息服务算法推荐管理规定》正式生效,网信办并于2月28日发布了《关于互联网信息服务算法备案系统上线的通告》,算法备案系统正式上线。在2022年8月,网信办发布算法备案信息,涉微博热搜、百度检索等。综合来看,已经备案公示的算法有几个特点:
算法分类分级治理:同一款APP,如存在多款需要备案的算法,需要分别申请备案;使用算法相同的不同产品或者同一产品的不同端,如:微博(APP、网站、小程序)均可在一个申请中进行备案;
重点关注内容个性化推荐:个性化推送类算法中的内容推荐类,在首批算法备案名单中,数量最多,体现行业应用和监管关注的重点;
大多数备案的算法未经公示,体现出商业秘密保护的考量,但会通过算法逻辑强调算法公平性。
其它重要立法活动
互联网内容治理规则进一步网格化。在2022年,监管部门对互联网内容治理和生态治理进一步细化,深化互联网内容合规的红线要求。11月25日,网信办等三部门联合发布《互联网信息服务深度合成管理规定》,对深度学习、虚拟现实等人工智能技术应用于生成新型互联网内容划定“底线”和“红线”;8月1日,新修订的《移动互联网应用程序信息服务管理规定》施行,要求应用程序提供者和应用程序分发平台应当履行信息内容管理主体责任,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。之外,新修订的《互联网跟帖评论服务管理规定》自12月15日起施行,《互联网弹窗信息推送服务管理规定》自9月30日施行,《互联网用户账号信息管理规定》自8月1日施行。互联网内容治理手段进一步细化和网格化。
《反电信网络诈骗法》自2022年12月1日起施行,针对电信网络诈骗犯罪之顽疾,该部法律立足各环节、全链条防范治理电信网络诈骗,精准发力,为反电信网络诈骗工作提供有力法律支撑。对于电信、互联网和金融企业而言,需要建立防范个人信息被用于电信网络诈骗的机制,主动建立监测识别和处置机制,履行禁止为电信网络诈骗活动提供支持或者帮助的义务(重点防范与帮助信息网络犯罪活动罪的结合适用)。同时,企业应准确把握好数据共享义务与个人信息保护义务及消费者权益保护的关系。
“三驾马车”架构中的《网络安全法》实施五年后亦开始修订工作,一是加强了对违法行为的处罚力度,让《网络安全法》的“牙齿”更为锋利。修订稿调整了行政处罚幅度并加入了从业禁止等措施,比如,“处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款”及“可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作”等规定。二是解决对现有法律的衔接问题,以转致性规定的形式,加强《网络安全法》同《数据安全法》《个人信息保护法》等的关联适用,预示着其在个人信息和重要数据保护方面将可能让位于另外两部法。
2022年9月8日,网信办就《网信部门行政执法程序规定(征求意见稿)》公开征求意见,并将取代之前的《互联网信息内容管理行政执法程序规定》,网信部门的行政执法案件类型也明确拓展至网络信息内容、网络安全、数据安全、个人信息保护等,赋予执法部门的调查取证手段也更为丰富,同时还规定了听证和约谈程序。
工信部于12月8日印发《工业和信息化领域数据安全管理办法(试行)》,自2023年1月1日起施行。值得关注的是,该办法规定了对工业和电信数据进行一般数据、重要数据和核心数据分级的“三分法”,并在法规层面首次明确核心数据的范围。该办法明确了重要数据和核心数据目录备案义务,如涉及处理相关数据,则应向本地区行业监管部门备案本单位重要数据和核心数据目录。该办法的发布也是工业和电信数据迈向全面行业监管的起始。
二.执法篇
个人信息保护纠纷案件
《个人信息保护法》第四十四条至四十八条赋予了个人信息主体各种权利,并通过第五十条和第六十九条进一步确认了个人信息主体的诉权,2021年11月至2022年12月5日,基于威科先行法律数据库的案例统计,可以检索到的以“个人信息保护纠纷案由”的案例已有127件。在2022年,借《个人信息保护法》一周年的东风,有些地方法院发布了典型案例。比如,杭州互联网法院发布“个人信息保护十大典型案例”;广州互联网法院发布五个“个人信息保护典型案例”,涵盖算法错误关联个人信息、商家擅自公布消费者个人信息、手机APP未经同意收集个人信息、平台泄露投诉举报信息等内容;广东省高级人民法院亦发布了一批个人信息保护典型案例。
在杭州互联网法院审理的“杜某诉网络公司个人信息保护纠纷案”中,杜某以个人信息知情权、决定权受电商平台侵害为由,提起诉讼。法院认为,《个人信息保护法》第五十条第二款规定的诉权以“个人信息处理者拒绝个人行使权利的请求”为前提,个人信息主体应先向个人信息处理者请求行使具体权利,只有在个人信息处理者无正当理由拒绝履行义务或一定期限内不予以处理,或者个人信息处理者提供的申请受理机制失效的情况下,个人方可向法院提起诉讼以获得救济。
当然,此判决对于有效使用司法资源,形成个人信息多元治理模式具有裨益,对个人信息主体单纯行使程序性权利的情形是恰当的。同时我们认为,个人信息主体受到的权益侵害可能是程序性权利受到阻碍时带来的侵害,亦可能是违法处理其个人信息所带来的实质性侵害。《个人信息保护法》第五十条和第六十九条则分别规定了这两种侵害对应的请求权。《个人信息保护法》第四章赋予个人信息主体的各种权利不仅具有程序性,也可能兼具有实体性。本案中,原告主张“知情权、决定权”的背后是被告未向其告知且未经其同意即公开其个人信息,实质上是由于个人信息处理者违法处理其个人信息,导致实体上损害了原告的个人信息权利,已超出“程序性”范畴。如果法院绝对化地以“个人信息处理者拒绝个人行使权利的请求”为前提来处理个人信息主体的诉权,可能会限缩个人因损害行为而获得司法救济的权利。不过,本案对企业而言,意味着其在构建响应个人信息主体行权处理机制的同时,应留存个人信息主体行权处理记录,可将之作为可能的应诉证据使用。
个人信息保护公益诉讼
《个人信息保护法》第七十条专设公益诉讼条款,明确将个人信息保护纳入公益诉讼的范围。根据公开数据,2021年全国检察机关共立案个人信息保护领域公益诉讼案件2276件,2022年1月至10月立案3936件。依照最高检《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,个人信息保护公益诉讼主要聚焦在五类个人信息的保护:敏感个人信息、特殊群体个人信息、重点领域处理的个人信息、100万人以上的大规模个人信息,以及对因时间、空间等联结形成的特定对象的个人信息。我们预判,在未来几年内,个人信息保护公益诉讼的数量还会快速增长,考虑其由国家公权力机关提起,且具备公益属性,案件一般会引发广泛的社会关注,给企业带来经济和商誉上的双重损害,平台型企业应当尤其关注公益诉讼风险。
在“杭州市余杭区人民检察院诉某短视频平台未成年人保护民事公益诉讼案”中,涉案公司在开发运营App过程中,未以显著、清晰的方式告知并征得儿童监护人有效明示同意,允许注册儿童账户收集、存储儿童个人信息;在未再次征得儿童监护人有效明示同意的情况下,向用户直接推送含有儿童个人信息的短视频。诉讼期间,检察机关积极推动该公司立行立改,对其运营的App提出34项整改措施。该公司积极配合整改,双方依法达成和解。
本案系全国首例儿童个人信息、网络安全保护民事公益诉讼。《个人信息保护法》第二十八、三十一条明确规定十四周岁以下未成年人的个人信息属于敏感个人信息,处理不满十四周岁未成年人个人信息的,应当制定专门的个人信息处理规则,并取得未成年人的父母或者其他监护人的同意。具体而言,企业除应单独制定《儿童个人信息/隐私保护政策》和《儿童个人用户协议》,采取合理措施通知监护人并征得监护人有效单独同意外,还可采取如下措施:(1)对儿童个人信息建立专门保护池,采取加密存储等安全措施;(2)基于算法自动化决策进行推送的场景下,需获得儿童监护人单独授权同意;(3)应强制为儿童开启陌生人关注限制功能、隐藏儿童用户位置等功能。企业需要注意,目前我国法律对未成年人个人信息权益予以特殊、优先保护,不特定儿童用户的个人信息权益保护具有公益属性,企业如侵害该等用户个人信息权益,或将被提起公益诉讼。
个人信息刑事案件与合规不起诉制度
2018年至今,全国检察机关以侵犯公民个人信息罪批捕16459人、起诉33417人,其中,2022年1月份至9月份即批捕1199人、起诉6223人。从今年批捕的人数看,数量明显减少,我们认为这是一种刑事司法角色的正常回归。犹记2017年开始的以“大数据爬虫”为主要抓手的执法风暴,此次行动源于监管部门的现金贷溯源性整肃,以及公安机关在全国范围开展的扫黑除恶行动,即打掉“套路贷”和暴力催收的数据源头。这次执法风暴某种程度上严重影响了国内“大数据风控”的业务体系,使得大数据业内谈爬虫色变。得益于从业者个人信息保护意识的提高和合规能力的提升,以及专项执法行动的结束,个人信息刑事案件数量得到控制。我们认为,一方面,在个人信息保护领域,刑事手段应用要秉持谦抑原则,让行政执法和民事司法保护占据更加主导的地位,让数据有关的从业者对法律风险具有更好的管控性;另一方面,与数据有关的企业仍应当把数据刑事风险防范当成一道重要的经营红线,唯此,才能做到基业长青。
数据领域合规不起诉制度的逐步确立。2022年5月,上海市普陀区检察院公布我国首起数据合规不起诉案件办理情况,本案作为数据合规治理与合规不起诉制度的首次交集,意味着我国合规不起诉制度将正式适用于数据合规领域。2021年4月,最高人民检察院下发《关于开展企业合规改革试点工作方案》,“合规不起诉”制度得以确立,即当涉案企业作出合规承诺并积极整改落实后,对特定类型的案件检察机关可作出不批准逮捕、不起诉决定或提出轻缓量刑建议。本案Z公司因违法使用爬虫技术而触发刑事责任,其在案发后即向检察院提出了合规不起诉申请,检察院经审查认定可依法启动涉案企业合规考察,进而启动相应合规不起诉程序。Z公司在整改开始之际即聘请法律顾问团队,在整改期内顺利根据承诺推进对涉案数据合规问题的整改。本案的教训亦可成为企业积极建设数据合规体系的动力:一方面,企业可通过提前部署数据合规工具,设定数据合规管理架构,建立数据合规制度,从而提前防范刑事风险;另一方面,如确已进入刑事程序,可通过“合规不起诉”制度配合检察机关积极开展数据合规整改,继而扭转局势,使企业得以转危为安,延续经营生命。
其它执法行动
备受关注的某网络出行平台网络安全审查案件在2022年尘埃落定,也是一场全民网络安全教育的案例。该公司依法被处罚款80余亿元,公司两位管理层人员各自被处罚款人民币100万元。此案可以关注三点,一是执法的域外效力,由于该公司对境内各业务线重大事项具有最高决策权,制定的企业内部制度规范对境内各业务线全部适用,且对落实情况负监督管理责任,据此,本案违法行为主体认定为该网络出行平台公司;二是顶格处罚,《个人信息保护法》规定了“五千万元以下或者上一年度营业额百分之五以下罚款的”的罚则,而该公司2021年全年总营收额为1700余亿人民币;三是一案双罚,除了处罚公司外,还对直接负责主管人员处100万罚款。
APP治理:从“双清单”到SDK。去年工信部印发《关于开展信息通信服务感知提升行动的通知》,推动建立个人信息保护“双清单”制度,今年工信部又在APP违法通报中首次将内嵌第三方软件开发工具包(SDK)违规收集用户设备信息的行为纳入监管视野,并开展了APP侵害用户权益整治“回头看”行动。工信部2022年对APP的治理工作重点突出关键责任链监管,对应用商店、SDK、终端企业、重点互联网企业等实现监管全覆盖,打造更为安全的信息通信消费环境。网信办则更加聚焦APP的生态治理,于12月部署开展“清朗·移动互联网应用程序领域乱象整治”专项行动,将加强APP全链条管理,全面规范移动应用程序在搜索、下载、使用等环节的运营行为,督促应用程序分发平台落实好各项任务,整治各个环节存在的问题。
行业执法。在以网信办、工信部、公安部为代表的综合性网络安全与数据保护执法之外,各个行业主管部门也在不断推进行业监管和执法。以金融行业为例,作为数据密集型领域,金融领域数据合规也愈发受到监管部门关注。根据一行两会所公布的涉及数据监管相关行政处罚数据不完全统计,金融机构所涉违法违规事由关键词可总结为数据质量、数据处理合规、数据安全管理、个人信息主体权利保护四大方面。
三.焦点篇
汽车行业监管
2021年《汽车数据安全管理若干规定》(“《若干规定》”)生效,确立了汽车数据的强监管趋势,今年更进一步深化了监管规则和监管手段。2022年,延续去年的汽车年报要求,各地网信办陆续发布通知,要求本省内汽车数据处理者开展2022年度汽车数据安全管理情况的年度报送工作。结合数据跨境等新法规的要求,细化了年报要求。在标准方面,信安标委于10月19日发布《信息安全技术 汽车数据处理安全要求》(“《汽车数据要求》”),首次从国标层面针对汽车数据处理者如何落实《若干规定》提出了全方位的要求。对《若干规定》一些规则的理解也曾引发业内的诸多讨论,例如,何谓“增强行车安全的目的”,如何理解“无法征得同意”与“向车外提供车外个人信息”以及“匿名化处理”的顺序和逻辑,成为实务中困扰车企的难题。《汽车数据要求》针对由《若干规定》引发的实务难题一一展开回应,为车企落实《若干规定》提供重要参考和指引。此外,《汽车数据要求》与各省近期发布的汽车数据安全管理情况报告模板的结构存在高度相似性,可以理解,《汽车数据要求》也是监管部门开展监管工作的重要参考。
2022年4月15日,工信部装备工业发展中心发布《关于开展汽车软件在线升级备案的通知》,明确汽车OTA升级备案管理相关事项。2020年11月以来,我国对汽车OTA监管不断加码,政策也逐步落地,本次升级备案的落地意味着我国正式进入OTA监管时代。工信部于2022年3月发布的《2022年汽车标准化工作要点》中,明确提及2022年工信部将开展汽车OTA升级管理试点,OTA相关强制性国家标准也将陆续出台。
2022年8月30日,自然资源部发布《自然资源部关于促进智能网联汽车发展维护测绘地理信息安全的通知》,明确智能网联汽车安装或集成了卫星导航定位接收模块、惯性测量单元、摄像头、激光雷达等传感器后,在运行、服务和道路测试过程中对车辆及周边道路设施空间坐标、影像、点云及其属性信息等测绘地理信息数据进行采集、存储、传输和处理的行为,属于测绘活动,纳入测绘监管。企业存在向境外传输相关空间坐标、影像、点云及其属性信息等测绘地理信息数据行为或计划的,要依法履行对外提供审批或地图审核程序等,在此之前应停止数据境外传输行为。相关企业应尽快申办导航电子地图制作等测绘资质,或委托具有相应测绘资质的单位开展。
数据出境项目的管理
2022年,在很多企业的合规任务清单中,跨境数据合规落地应该是排在最优先级。对于数据出境安全自评估和申报工作,既具有法律性也具有技术性,申报时限紧张,企业要组织法律、合规、技术和业务等部门共同参与,需要协同境内和境外的资源,具有很大的挑战性。有效管理数据出境合规项目是项目成功的关键,我们根据实务经验总结了“七步法”来实施出境项目,如下图。
针对自评估工作,我们建议遵循“四流程”的方法具体展开,具体如下图。
构建数据基础制度,激发数据要素红利
全球数字化转型的步伐浩浩汤汤,数字技术的进步一日千里。2022年6月22日,中央全面深化改革委员会第二十六次会议审议通过《关于构建数据基础制度更好发挥数据要素作用的意见》,提出四个方面的要求:一是要建立数据产权制度,健全数据要素权益保护制度;二是要建立合规高效的数据要素流通和交易制度,完善数据全流程合规和监管规则体系,建设规范的数据交易市场;三是要完善数据要素市场化配置机制,更好发挥政府在数据要素收益分配中的引导调节作用,建立体现效率、促进公平的数据要素收益分配制度;四是要把安全贯穿数据治理全过程,明确监管红线。国务院于6月23日发布了《关于加强数字政府建设的指导意见》,提出构建开放共享的数据资源体系、以数字政府建设全面引领驱动数字化发展等意见。中共中央和国务院于12月19日正式发布《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(“ 《数据二十条》”)。《数据二十条》所确立的数据基础制度的“四梁八柱”,即:数据产权制度、数据要素流动和交易制度、数据要素的收益分配制度和治理制度,就是为了解决数据要素化进程中的现实困境。
数据要素化政策暖风频吹,但数据确权是数据资产化的前提,也是数据商业性流动的基石。我国当前数据确权制度仍不清晰,主要体现在数据权利主体以及权益分配的界定上。目前数据产权制度建设的基本推进思路是分类确权,推进公共数据、企业数据、个人数据的分类分级确权授权使用;回避传统法律体系中的物权、所有权或知识产权概念,建立数据资源持有权、数据加工使用权、数据产品经营权等分置的产权运行机制,健全数据要素权益保护制度。
在数据要素流通和交易制度建设方面,2022年4月发布的《中共中央国务院关于加快建设全国统一大市场的意见》提到,要加快培育数据要素市场。国家工业信息安全发展研究中心发布的《2022年数据交易平台发展白皮书》显示,截至2022年8月,全国已成立44家数据交易机构,此后又有苏州、广州、深圳等地的数据交易所相继揭牌,全国掀起了新一轮的数据交易市场建设浪潮。
数据安全认证体系建设加快
数据安全认证业已成为一个被普遍接受的国际实践,第三方认证机构按照认证标准对数据处理者进行技术验证、现场核查和获证后监督,从而证明数据处理者的安全能力达到特定的标准,认证具有权威、中立和长效的优势。2022年11月4日,市监总局、网信办发布《关于实施个人信息保护认证的公告》及《个人信息保护认证实施规则》,将个人信息保护认证分为不含跨境处理活动认证及包含跨境处理活动的认证两类。一旦发布认证机构名单,个人信息保护认证工作就可以正式开展。之前于6月9日,市监总局、网信办发布《关于开展数据安全管理认证工作的公告》及《数据安全管理认证实施规则》,决定开展数据安全管理认证(“DSM”)工作,鼓励网络运营者通过认证方式规范网络数据处理活动,取得DSM认证在一定程度上可作为企业数据安全合规管理工作的证明。加上2019年市场监管总局、中央网信办决定开展的App安全认证工作,至此,数据安全三个认证已经成型。
四.2023年前瞻
在立法方面,《国务院2022年度立法工作计划》将《网络数据安全管理条例》(网信办组织起草)和《未成年人网络保护条例》(网信办起草)列入年度立法计划。我们认为,考虑到日益加强未成人保护的大环境,《未成年人网络保护条例》于2023年出台是大概率事件。而对于《网络数据安全管理条例》,由于条例包含内容非常广泛,有些新设定的监管制度尚存在一定的争议,立法难度相对会更大一些。《工业和信息化领域数据安全管理办法(试行)》在2022年底前发布,也给了一个预示,在三部大法框架之下,越来越多的行业数据监管将由部门规章来承担。
数据出境监管机制完全落地实施。《数据出境安全评估办法》已在2022年正式实施,2023年3月1日该办法所设定的整改宽限期到期,会逐步成为一种常态化的出境监管机制。《个人信息出境标准合同规定》预计会在2023年早期公布,作为基础性的个人信息出境合规路径,企业将会更多地采用标准合同来实施跨境数据传输,而对应的个人信息保护影响评估及备案程序,将是企业的挑战。《个人信息保护认证实施规则》公布后,认证活动即将正式开展,可能会成为跨国企业或集团企业的偏爱。监管部门为了促进数据跨境传输监管措施的落地,在2023年就严重的违规数据跨境传输行为进行执法处罚,也是顺理成章。
重要数据的识别。重要数据的识别一直是一个困扰业界的问题,可能属于强监管领域中的最大不确定之一,今年开展的数据出境安全评估工作又一次把这个话题拉入视野。我们预计,未来重要数据的识别规范会沿着两个路径徐徐展开,一方面,国家统一的识别规则,比如《网络数据安全管理条例》和国标《重要数据识别规则》,会确定重要数据的定义、范围、识别原则与识别流程;另一方面,行业重要数据清单则会通过行业的规章或标准来更加清晰地界定。
与数据有关的国家标准。根据信安标委发布的《2022年网络安全国家标准立项项目清单》,2023年值得关注的国家标准制定有《重要数据处理安全要求》、《敏感个人信息处理安全要求》、《个人信息跨境传输认证要求》和《大型互联网企业内设个人信息保护监督机构要求》等。
追逐数据要素化红利。预计在2023年随着数据产权制度的逐步建立及确权授权使用规则的清晰,数据要素化政策将进一步推进,各地数据交易机构亦将在数据产品设计和交易方式上日趋活跃。掌握数据资源的企业可以考虑追逐政策和市场红利,盘活数据资产,置身于数据要素化的大潮。12月举办的中央经济工作会议指出,我国要大力发展数字经济,提升常态化监管水平,支持平台企业在引领发展、创造就业、国际竞争中大显身手。这是一个积极复苏和大力促进数字产业的明显信号,2023年可以期待有更多的对数字经济的温暖政策。
域外数据风险。2020年Schrems II 案的判决,正式宣布欧盟-美国有关个人数据的隐私盾协议无效,但美欧也在今年达成了《跨大西洋数据隐私框架》,欧盟委员会并在今年年底启动了通过欧盟-美国数据隐私框架充分性决定的程序,这将解决跨大西洋数据流动的不确定性。Schrems II案后,欧盟数据保护委员会(EDPB)明确要求在依据SCCs作为数据跨境传输保障机制时应进行数据跨境传输评估(TIA),尤其强调要评估第三国的数据保护法律或实践,以保证数据接收方可以达到与传输方所在国家/地区的同等保护水平。目前中国企业广泛采用SCCs作为涉欧数据传输的保障机制,而在域外所开展的TIA实践中,往往对中国法律环境产生一些误解误读,导致中国企业实施数据传输的成本提升。另外,考虑到国际关系的急剧变化,某些国际关系因素会投射到企业数据跨境风险上,我们要警惕所谓的“数据脱钩”。总之,中国企业将域外数据向境内的传输行为可能会遇到越来越多的法律或非法律的挑战。
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
声明:本文来自中伦视界,版权归作者所有。
还没有评论,来说两句吧...