2022年,国际和国内网络数据治理活动异常活跃,关注度火爆。疫情期间,市民生活、经济活动与社会运转对网络的依赖度加剧,“健康码”、“行程码”的广泛应用和后续退场让寻常百姓有机会深度感知“数据治理”的冷暖,对数字社会、隐私保护与数据安全也有了切肤的体验。
合规,这个数据领域伊始就自带流量的永恒主题,在2022年的数据治理实践中不断证明着流量的强大力量。而彼时岁末,数据领域另一个原生主题——利用和交易,也在沉寂了三年之后以另一种形态慢慢走入大家的视线。我们期待数据合规与数据利用这两条主线可以在新的一年中通过碰撞奏响新的数据篇章。
见出以知入,观往以知来。藉此文聊表我们的工作感悟和对来路的期许,并致敬我们行路中的伙伴。
-
一、数据出境,框架渐明
-
二、网络安审,达摩剑出鞘
-
三、重要数据识别,前路确定
-
四、算法治理,先行总有烦恼
-
五、数据20条,明灯启路
-
六、执法与司法,辩证唯法
-
七、行业治理,典范先行
一、数据出境,框架渐明
数据处理者可以自由地将数据转移到境外,除非法律有明确的规定或限制。在2022年之前,数据出境的整体框架由以下三部分构成:(1)《数据安全法》(“数安法”)和《个人信息保护法》(“个保法”)为数据跨境流动提供了顶层设计,提出了核心数据绝对本地化、重要数据经审批后可出境以及个人信息获取单独同意等合法性基础并适用相应的出境机制后出境的要求;(2)部分监管部门根据受监管行业和业务特点,制定了出口数据的负面清单(例如人类遗传资源、测绘地理信息、征信信息等);和(3)根据出口管制法律,禁止或限制与出口管制物项相关的数据出境。
2022年,为进一步落地数安法和个保法的数据出境要求,国家网信办牵头加速制定了数据出境相关配套措施和框架,主要包括《数据出境安全评估办法》《个人信息出境标准合同规定(征求意见稿)》《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》。
数据出境安全评估
2022年7月7日,网信办公布了《数据出境安全评估办法》(“评估办法”),旨在落实数安法下重要数据出境和个保法下个人信息出境的行政审批程序。评估办法规定了安全评估的门槛,符合该门槛的数据处理者必须通过安全评估才能继续向境外传输数据,否则将被视为非法活动,会受到主管部门依据个保法、数安法和网安法规定的处罚。考虑到这是一个全新的机制,数据处理者和申报受理机关都需要对此进行熟悉与磨合,评估办法提供了一个为期6个月的整改期(整改期将在2023年3月1日结束)。在这段整改期内,为了方便安全评估的准备工作,国家及各省网信办发布了《数据出境安全评估申报指南(第一版)》及其各地适配版本,并通过热线电话为数据处理者提供申报咨询,部分地方网信办还发布了多轮申报工作实务问答,以及针对企业开展了政策宣讲会或内部研讨会。
基于上述诸多努力,截至2023年1月,北京和上海两地网信办已收到正式申报材料80余件(据悉,截至2023年2月16日上海网信办接受正式申报材料量已超过110件)。2023年1月18日,北京网信办官宣了全国首例数据出境项目的过审消息。第一个通过安全评估的案例是北京友谊医院和荷兰某大学医学中心作为全球牵头中心发起的国际多中心临床研究项目(编号20220001)。(针对该案例的评析,详见团队之前的文章《环球合规与风控 | 全国首个获批数据出境安全评估案例的提示》)
尽管安全评估工作取得了一定的进展,但申报实践中依然存在不少实际问题,数据处理者亟需更多指导以完成申报。例如,在当前未公布重要数据目录和关键信息基础设施运营者(“CIIO”)名单的情况下,数据处理者如何判断自身是否会构成CIIO或者目前出境的数据是否为重要数据;境外公司在境内运营但未在境内设立实体时被要求单独为申报目的设立实体是否合理;等等。期待网信部门能够及时总结目前申报受理中发现的共性问题并出台申报指南(第二版),并以示范案例、宣介会等形式对过审项目进行解读,帮助数据处理者更好地理解审查要点和细节。
标准合同和跨境安全认证
在未触发安全评估门槛的情况下,个人信息处理者可以选择使用标准合同机制实现个人信息出境的目的。根据已经公布的草案和网信办的态度来看,使用网信办公布的标准合同条款(“CN SCCs”)不仅将更容易通过数据出境合同备案审查,也会使需要进行数据出境安全评估的数据处理者在安全评估中面临更少阻力。虽然在国内使用看似便利多多,但就目前公布的草案来看,说服境外的集团内外部接收方接受中国版的标准合同仍需要付出诸多努力,尤其要帮助境外接收方理解CN SCCs与域外标准合同机制(例如欧盟SCCs)的异同及其背后的考量。期待CN SCCs及其使用规则在2023年能以更加成熟和便利的姿态瓜熟蒂落。
跨境安全认证是另一个有意思的现象。2022年,全国信息安全标准化技术委员会(“信安标委”)秘书处在不到6个月内发布了两版个人信息跨境处理活动的安全认证规范(“安全认证规范”)。虽然信安标委并非具有监管职权的政府机构(因而其发布的规范本身并无强制力),但市监总局和网信办在去年11月发布的《个人信息保护认证实施规则》中援引了该规范,从而赋予了这一技术文件支撑跨境安全认证工作的地位。需要说明的是,跨境安全认证是一个自愿的过程,因而理论上并不能免除数据处理者在触发特定条件时需要履行的安全评估义务。据悉,中国网络安全审查技术与认证中心(“CCRC”)已成为首个认证机构(尚不清楚是否还有其他的认证机构),其官网已经公示个人信息保护认证申请书样本并提供下载。作为一个得到官方认可的第三方机构认证,跨境安全认证是实现“国家-社会”共同治理的一个全新尝试,我们期待通过缔造透明的机制和引入充分公平的竞争后,跨境安全认证机制得以逐步成熟、行之有效,最终得到市场的认可。
二、网络安审,达摩剑出鞘
在去年2月15日生效的新版《网络安全审查办法》中,网信办要求掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。新规出台后,业界对于香港上市是否属于国外上市存在疑惑,但随后承担网络安全审查部分辅助职能的中国网络安全审查技术与认证中心确认在港交所申请IPO的中国企业不需要主动申请网络安全审查,为港股申报企业传递了一个利好消息。根据我们的观察,近一年在美股上市的中国企业往往会在招股书中主动披露其已经通过了网络安全审查或未达到申报网络安全审查条件的事实情况(例如已在纳斯达克上市的量子之歌、亚朵酒店和金太阳教育集团),而港股企业一般在招股书中声明其无需主动申报网络安全审查。
去年7月,网信办结束了对某知名移动出行平台长达一年之久的网络安全审查,披露了该公司从2015年6月以来违法违规处理个人信息以及存在严重影响国家安全的数据处理活动的情况,并作出了对公司处以80.26亿元罚款,对两名负责人各处100万元罚款的决定。这是在新修订的《网络安全审查办法》出台后由网信办公示的第一个执法案例,展示了其对网络安全与数据保护领域违法违规行为的打击力度,对其他从业者起到了强大的震慑作用。
不同于上述移动出行平台是由于国外上市而引发的监管高压,某国内知名的学术文献数据库服务商则是因为其日常业务中掌握着大量个人信息和重要数据、以及重大项目、重要科技成果和关键技术动态等而被启动网络安全审查。不过,自去年6月23日网信办宣布对其开展网络安全审查以来,尚未有该案的最新进展。
随着新版《网络安全审查办法》的出台以及执法活动的展开,适用范围扩展后的网络安全审查机制俨然已成为了悬在网络平台运营者头上的达摩之剑。以守法合规为底线、防范国家安全风险为核心、审视范围覆盖技术制度组织业务的网络安全审查,是所有寻求海外上市的互联网企业和科技企业都需要事先考虑并精心规划的,更是处理大量敏感数据和个人信息的网络平台运营者需要杜微慎防的。谁会成为下一个网络安审聚光灯下的“明星”呢?
三、重要数据识别,前路确定
重要数据的识别一直是困扰网络数据安全实践的现实问题,导致这个问题的原因有技术性的和非技术性的,较为复杂。自2016年公布的网安法首次提出重要数据概念至今,重要数据识别鲜有进展。2021年生效的数安法明确了对重要数据识别的方法论——“重要数据从群众中来,其识别也应该回到群众中去”,即法律应授权各地区政府、各行业主管确定本地区、本行业的重要数据目录并针对性地提出对重要数据的保护要求,再由数据处理者根据目录制作其处理的重要数据目录,按照保护要求落实保护措施。
在过去的一年中,越来越多的行业法规与标准指引为重要数据识别的工作做出了有益的铺垫与尝试。例如汽车行业的立法已经明确列出了汽车数据中的重要数据目录,工信部于12月8日印发的《工业和信息化领域数据安全管理办法(试行)》虽未列明工信领域的重要数据清单,但提出了五项重要数据的识别因素。2022年1月,信安标委发布《信息安全技术 重要数据识别指南(征求意见稿)》(其在2022年4月再次修改并更名为《信息安全技术 重要数据识别规则》),提供了识别重要数据的基本原则、考虑因素以及重要数据描述格式等。
值得一提的是,部分地方的网信部门(例如江苏省、海南省)在数据出境安全评估申报的工作指引中也提供了重要数据的参考标准。我们希望这些参考标准是经过与地方政府和相关行业主管部门的充分沟通后做出的,其作用应是既符合地方特色也代表行业要求,而不仅仅局限于数据出境安全评估参考本身。
尽管大多数行业的重要数据目录在2022年仍未取得突破性的发展,但过去一年有关重要数据的工作迹象表明,重要数据的识别标准正在逐步形成,并在国家、地方和行业层面逐渐取得共识。接下来,我们期待“谁行使权力,谁承担责任”这个重要数据识别的核心问题会逐步得到满意的解答,进而进一步推动整个网络数据安全工作励志前行。
四、算法治理,先行总有烦恼
当前,越来越多国家的监管机构已意识到算法技术在应用中可能产生的负面效应并考虑出台法案规制算法,但同时也担忧过早遏制新技术将不利于算法技术发展创新并可能使本国处于不利的国际竞争地位,因而在算法监管上踌躇不前。2022年,算法技术已在全球处于先列的中国敢为天下先,出台了两个重磅规定,对内容推荐和深度合成两类算法技术在互联网信息服务领域的应用进行专门规制,为人类在算法技术早期发展阶段实施向上向善规制做出了重要试验性贡献。
内容推荐
2022年3月1日生效的《互联网信息服务算法推荐管理规定》是中国第一个约束使用算法推荐内容的部门规章,由网信办牵头工信部、公安部和市监总局联合制定。该规定主要是为了禁止任何人利用基于算法推荐来传播非法或不当的信息。它还针对算法推荐应用相关的现象(如信息茧房、“大数据杀熟”和侵犯个人隐私)采取了监管措施。另外,该规定要求算法推荐服务提供者必须保障用户权益,这些权益包括用户对算法的知情权、选择权等,这与个保法提出的“透明度”、“可解释”、“可控”等理念不谋而合。而算法推荐服务提供者若具备舆论属性或者社会动员能力,还需向网信办履行备案手续,并公示有关算法的基本信息。
为了落实该规定的监管要求,中央网信办牵头于2022年4月开展了算法综合治理专项执法行动,重点检查具有较强舆论属性或社会动员能力的大型网站、平台及产品,整治算法乱象现象并推进大平台的算法备案。截至2023年1月底,中国共有101家互联网公司对223种算法进行了备案,其中不乏阿里巴巴、腾讯、百度、美团等互联网巨头。
深度合成
2022年11月,网信办、工信部和公安部联合发布《互联网信息服务深度合成管理规定》,该规定已于2023年1月10日生效。这是继算法推荐规定之后,中国针对算法规制的第二个果断尝试,反映了监管部门主要关注内容监管的可追溯性,以及对滥用生成技术“深度造假”的担忧。规定对当时类似ChatGPT的内容生成、AI换脸等热门技术和现象进行了回应,提示在中国境内的深度合成服务提供者应承担信息安全主体责任,配备安全可控的技术保障措施确保数据和个人信息的安全。另外,如果服务提供者提供人脸、人声等生物识别信息编辑功能的,还应当提示使用者告知被编辑的用户并取得其单独同意。上述要求,沿袭了《个人信息保护法》对敏感个人信息的规定,因为此类信息一旦泄露或者非法使用,容易导致数据主体的人格尊严受到侵害或者人身、财产安全受到危害。
在过去的一年里,中国的互联网监管机构已经为控制塑造互联网的算法做出了开创性的实质努力。监管者采取安全评估、备案、公示等多种行政和技术手段对发展中的算法技术实施针对性规制监管,尝试限制互联网企业所依赖的算法影响力和日渐外溢的不良效应,包括侵犯数据主体的隐私和其他权益。但同期,ChatGPT在美国横空出世夺取全球目光,证明了算法可以提升数据生产力的巨大潜力。主管部门接下来将对算法治理思路如何进行微调,使得治理措施既能控制不良效应,又可以不妨碍中国算法技术的快速发展并继续保持全球领先,将会是一个重要看点。
五、数据20条,明灯启路
历经三年多的探索工作,《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据20条”)于2022年12月2日正式出炉。在国内行业历经三年多严格的数据治理后,数据20条提出了发挥数据要素作用回归数据使用流动本源的20条关键措施,主要包括:(1)提出全新的数据产权法律概念,明晰数据产品参与各方权益;(2)呼吁建立合规高效的数据要素流通和场内外交易机制,促进数据产品的合法合规开发和交易;(3)要求参与数据价值创造的各方基于数据产权进行有效公平的数据产品收益分配;(4)对数据治理,除保持安全理念外,提出了弹性、包容的新理念。数据20条一经发布,便在市场上引起了最积极和最热烈的讨论,数据要素、数据利用和数据产业这些概念也迅速升温并占据了去年年末的热点话题,可见市场对于恢复数据流动的渴望。
数据20条中,以三权分置为核心的数据产权制度最受关注。数据作为新型生产要素之一,具有非竞争性和非排他性,与土地、劳动和资本等要素不同,因此很难用传统的所有权理论去解释,也很难参照传统方式进行管理和利用。数据20条淡化和回避了所有权这一棘手的法理问题,而是比照早年国有资产管理的思路创造数据产权概念,提出建立“数据资源持有权+数据加工使用权+数据产品经营权”三权分置的数据产权制度框架。虽然数据20条未对这三项权利进行解释,但至少传递了一个明确的信号——即国家产业政策承认分处于数据流通各阶段的不同参与者有机会凭借自身创造的贡献来共享数据流通所创造的价值的红利。
在行业实践方面,过去一年的数据交易市场建设如火如荼,数据交易机构的多点开花为数据要素流通交易提供了落地可能。根据中国信息通信研究院的一份报告显示,截至2022年11月,各地先后成立48家,尚有8家正在筹备建设中。北上广深四大一线城市在这波浪潮中表现出强劲的热情,目前均已成立数据交易所。以上海为例,上海数据交易所在去年提出打造“数商”概念后,已签约了500余家数商。在这些数商中,既包含数据产品的直接提供者,也包含为数据交易提供合规咨询、质量评估、资产评估、技术支持等服务的第三方服务商,他们共同构成了数据交易生态体系的主角。
数据20条提出了新的数据政策重点,接下来可期待的看点就是如何以及多快为数据产权概念夯实法律基础,并且转换数据治理思路,以弹性和容错的新型治理理念确保数据产品可用、可流动、可变现和可分配,这将是激发数据创新和数字经济市场的关键一步。
六、执法与司法,辩证唯法
行政执法
去年,我国个人信息保护行政监管与专项整治活动贯穿全年,打击力度空前。7月,某知名移动出行平台因违法处理个人信息达647.09亿条,情节严重,被处以80.26亿元天价罚单,让所有人见识了个保法规定的巨额顶格罚款的雷霆之威。
移动应用程序监管方面去年共有635款App因强制、频繁、过度索取权限等个人信息保护问题被工信部、网信办、公安部通报。从通报的对象来看,SDK、小程序、快应用、应用分发平台等已纳入监管视野;从通报问题的分布来看,除了常见的“强制、频繁、过度索取权限”、“超范围收集个人信息”等之外,“违规推送弹窗信息”、“SDK违规收集个人信息”、“应用分发平台管理责任落实不到位”等成为了监管关注的新晋重点;从通报的后果来看,执法约谈和限期整改依旧是主流监管手段,但应用程序下架也屡见不鲜。
除个保法外,依据数安法的执法也有了新进展。2022年7月,广州某技术公司因未履行数据安全保护义务,导致该系统安全漏洞被不法分子利用,1000余万条公民个人信息面临泄露风险,被警方罚款5万元。上海网信办也对其辖内一科技公司在处理政务类数据时违规操作以及未履行数据安全保障义务作出罚款5万元的行政处罚。值得一提的是,2022年,国家安全机关公布了一起为境外刺探、非法提供高铁数据的案件,涉案公司为境外公司搜集、提供的数据涉及铁路GSM-R敏感信号(相关数据被国家保密行政管理部门鉴定为情报),因而涉案人员因涉嫌触犯《刑法》规定的“为境外刺探、非法提供情报罪”被移送司法程序。这起案件是数安法实施以来,首例涉案数据被鉴定为情报的案件,也是我国首例涉及高铁运行安全的危害国家安全类案件,体现了行政执法与司法程序的联动与转化。
司法实践
-
“合规不起诉”首案落地
数据合规领域的免予起诉是指检察院与违反数据保护相关法律的企业达成协议,违法企业承诺根据检察院批准的计划建立合格的合规机制和政策,纠正其当前的违法行为,并防止其未来的违法行为。2022年5月,上海市普陀区检察院发布了我国首起数据合规不起诉案件的办理情况,检察院根据涉案公司的申请启动了合规不起诉程序。随后,该公司聘请了外部法律顾问团队提供建议并制定了合规整改计划,在检察院规定的期限内及时纠正了其违法行为因而被免于刑事起诉。
数据合规以及违规责任对大多数中小企业来说是一项比较繁重的负担。当违法行为并不严重且违法公司有真诚意愿遵守法律时,坚持对中小企业实施严厉的处罚并不能产生良好的社会效益;而合规不起诉机制则提供一个兼顾个人利益、企业合法权益和社会效益的平衡解决方案。随着普陀区检察院在去年开了“合规不起诉”的先河,期待检察系统能够为这一制度提供更透明和成熟的司法实践,使得越来越多的中小企业和社会体会到合规不起诉的真正价值。
-
民事诉讼
除检察系统外,法院在去年爆发式地办结了一批涉及数据、算法和个人信息保护纠纷的案件,并主动向社会分享,起到了良好的示范启迪效果。例如,杭州互联网法院公布了10个个人信息保护纠纷的典型案例,范围覆盖个人信息公益诉讼、个人信息权利行使、个人信息违规对外提供的认定等方面。通过典型司法判例的公示,法院为数据处理者提供了个人信息保护民事责任判定的实践依据,为数据处理者的合规及如何控制民事责任风险提供了依据;另一方面,判例的公示也是活生生的普法教育,通过提高数据主体保护个人信息的意识反过来督促数据处理者进一步提高合规质量。
公布的部分判例还直面司法疑难问题,为学术争鸣和立法优化提供丰富的养料。例如杭州互联网法院公示的全国首例个人信息权利请求权诉权行使前置条件审查案,围绕着个保法第50条的规定,法院认为个人在行使个保法规定的权利时,必须先向个人信息处理者提出请求,被拒绝后才能向法院起诉。但有学者表达了不同看法,其认为诉权是民事主体的基本权利,必须要有法律的明确规定才能加以限制。而回应个保法第50条,无论是个人信息处理者的拒绝抑或履行个人信息保护职责部门的查处,都不是个人提起诉讼的前置程序。换言之,个人寻求司法救济不应当有任何前置条件。尽管法学理论界与实务界的思考差异更多地体现了理想和现实的差距,但这种立场差异的思维碰撞恰恰能够使真理越辩越明,进而推动“学术-实务”的良性互动和数据治理工作的整体迈进。
七、行业治理,典范先行
汽车行业与金融行业是近年来受到网数安全监管的典范行业,管中窥豹典范行业的网数治理将会为其他行业的合规准备提供强关联的参考。
汽车行业
对某知名移动出行平台的安全审查事件让人、车、路、网的大量数据处理活动以及汽车制造商和服务提供商所掌握的数据受到主管部门的高度关注。在汽车行业监管框架的基础上,更细致的规则于去年应运而生:
-
自然资源部发布《关于促进智能网联汽车发展维护测绘地理信息安全的通知》,于2022年8月25日生效。该通知明确,智能网联汽车通过摄像头、激光雷达等传感器采集和处理测绘地理信息的活动测绘活动,应当接受测绘监管。
-
2022年8月施行的《深圳经济特区智能网联汽车管理条例》专章强调了智能网联汽车产品、服务的网络安全和数据保护义务要求。
-
各地出台的汽车数据安全管理情况报告模板在去年基本得到了统一,年报工作有序管理大幅改善。
金融行业
在金融机构数字化转型的浪潮之中,金融消费者信息安全权益的保护成为了金融机构合规工作的重中之重。金融行业主管部门在去年持续发力,行业精细化立法渐进,整治问责并举:
-
2022年4月底,证监会就《证券期货业网络安全管理办法》公开征求意见,要求核心机构、经营机构等建立健全网络安全管理体制机制,提升网络安全运行保障能力。
-
2022年5月,证监会机构部下发《机构监管情况通报》,就近期行业内存在的信息系统安全事件情况进行专门通报。
-
2022年8月,银保监会下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求排摸银行保险机构侵害个人信息权益乱象,包括个人信息的收集、存储与传输、查询、使用、提供、删除、与第三方合作等七方面内容。
-
2022年12月底,《银行保险机构消费者权益保护管理办法》出台并将于今年3月1日生效。
-
2023年1月,人民银行福州中心支行对辖内两家银行涉及个人金融信息保护、金融消费者权益保护以及征信业务管理问题处以百万级的罚款。
随着《人类遗传资源管理条例实施细则(征求意见稿)》《医疗卫生机构网络安全管理办法》《工业和信息化领域数据安全管理办法(试行)》等行业规章的相继出台或施行,我们预计网数治理工作的典范效应将很快延及医药业和由工信部监管的高科技和高端制造业。
最后,没有最后
回顾往昔,我们会再发现过去一年网数治理工作的大发展以及大发展下的小遗憾。借由治理工作的共识可以期待需要继续完成的工作,借由些许的遗憾可以期待全新的工作正蓄势待发。通过这些发现,从业的我们也明确了接下来应该特别留意的、需要感知的以及更加期待的。
过去一年,数据治理工作繁忙而富有成效。一方面,监管者一腔热血投身于织密数据监管的细节之中,在新建立的数据治理框架中尽力去填满各种空缺,同时也通过勤恳的工作开创了诸多引人注目的执法和司法案例;而一方面,数据治理的另一条主线——交易与利用,也在蛰伏多年后崭露头角。在此寒尽春生之际,我们期待监管者能稳定对于合规的热情,期待数据交易和利用的雨露甘霖能惠及数据产业链的芸芸众生。而对于我们自己,期待能继续秉持一颗同理心协助客户筑牢和守卫数据安全和信息保护的城郭,期待心怀激情为数据利用和交易添枝增叶,期待所有我们协助的和协助我们的数据业者在新的一年行稳致远。
举杯,致寒冬,盼春生。
本文亦有英文版本,如需要,请通过作者邮箱联系,我们后续向您发送。
参考资料:
[1] 国务院关于数字经济发展情况的报告,http://www.gov.cn/xinwen/2022-11/28/content_5729249.htm.
[2] 中国信息通信研究院:《数据要素白皮书(2022)》,2023年1月。
[3] 南都个人信息保护课题组:《个人信息安全年度报告(2022)》,2022年12月。
[4] 杭州互联网法院(2022)浙0192民初4330号民事裁定书。
[5] 程啸:《论个人信息权益》,载《华东政法大学学报》2023年第1期。
[6] 洪延青:《个人信息保护认证:实现个人信息保护共同治理的方案》,载《中国信息安全》2022年第12期。
[7] Karen Hao, China, a Pioneer in Regulating Algorithms, Turns Its Focus to Deepfakes, Jan. 8, 2023.