开篇词

2022年全球网络安全与数据合规治理格局纵深推进,欧盟加速数据保护和数字经济一体化进展,年末在推进与美国的跨境数据传输协议中又迈出重要一步,以数据主权理念为基础的数据保护规则进一步扩大国际影响力,建立数据保护共识的“朋友圈”。同时,我们也看到诸如印尼等东南亚国家数据安全立法出现新变化,数据保护的工具箱也显现出多样化的趋势。在趋同存异的国际大环境下,我国网络空间治理框架不仅逐步成型,而且在“以安全促发展”的目标下平稳落地。数据安全和个人信息保护出台更加细节化的规则,如何通过数据保护促进数字经济发展也具备明确的指导方向。

如同习近平总书记指出,当前,世界之变、时代之变、历史之变正以前所未有的方式展开。在国际规则的迎合和差异化之间,数据保护与数字经济增长的平衡之上,动态的博弈将是长期的时代命题,“在分裂的世界中加强合作”将是国际竞争的主旋律。

在新的一年以及可预见的未来,我们理解,国际数据竞争将持续在法律、贸易、冲突等各个领域愈演愈烈,而同时我们也将依然警惕以数字化为基础的深度智能化对个人主体性以及社会群体认知的消磨和冲击。要认识和把握数字社会的规律,力争与新型社会形态的自洽和共处,我们需要及时“回头看”来总结经验,“抬头看”以鉴往知来,确保“潮平”与“风正”,期待我国的数字经济发展能“一帆风顺”的同时,也祈盼世界各国在向智能化社会的转变中“云共千帆舞,浪淘万里沙”。

一、具化:安全工具箱的丰富与成熟

(一) 网络安全审查

自2022年2月15日开始施行的新《网络安全审查办法》,无疑是过去一年中在国家安全和网络安全合规领域中的一个里程碑;而随着新法规修订后正式实施接近一周年,最集中的变化在于人们对于“什么是网络安全审查”“何时需要进行网络安全审查”和“怎么进行网络安全审查”有了更加全面和深入的认识。正是印证了市场经济原理和客观规律,规则的确定和透明化,将更有助于形成稳定的发展预期。其中,除了关键信息基础设施供应链安全保障措施之外,市场最为关注的规则便是新《网络安全审查办法》第七条将安全审查的适用范围拓展至了“掌握超过100万用户个人信息的网络平台运营者赴国外上市”的情形。该新增条款沿用了《网络安全法》的法律定义,规定了网络平台运营者应当主动向有关主管部门申报网络安全审查的客观条件。

由于与市场主体上市活动密切相关,网络安全和数据合规成为相关主体活动中的重要环节,数据合规与企业上市的互动愈加频繁。根据《<网络安全审查办法>答记者问》,网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。因此,国外证券机构对于上市主体的监管规则及其对于我国国家安全和境内用户利益的影响,成为网络安全审查中重点关心的对象。在与上市监管合规的规则衔接方面,我国证监会于2022年4月2日就《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》面向社会公开征求意见,尽管该规定目前仍未正式生效,但显然已经对上市主体在上市过程中绷紧网络安全的神经、压实数据安全责任产生了深远的影响。

《网络安全审查办法》实施的最终目的,是在确保国家安全的前提下支持境内企业依法依规合理利用境外资本市场融资发展。2022年,在境内外上市监管合作方面也取得了进展。根据官方消息,我国证监会和财政部通过与PCAOB签署审计监管合作协议并启动相关合作试点的形式,推动解决中概股企业此前在美国上市的监管冲突问题,以期在确保数据安全的前提下维护我国企业海外上市利益。

2022年网络安全审查规则日渐明确,官方监管合作不断推进,给予了投资者和市场以更多的信心。但需要注意的是,我国境外上市企业仍然应当积极承担网络数据安全主体责任,根据《数据安全法》《个人信息保护法》及一系列已确立和执行的配套规则充分做好内部的数据合规工作,在配合证券监管和提交审计材料之前对于涉及国家安全和公共利益事项的国家秘密信息、行业重要数据和核心数据,以及用户敏感个人信息履行保密义务和脱敏责任。根据我们的行业观察,目前不少企业已经逐渐意识到并建立起了框架成熟、行之有效的审计文件数据合规审阅制度和流程。我们理解,这将会进一步助力企业合法合规发挥境外资本的利用效率。

(二) 关键信息基础设施保护

2021年7月30日,国务院发布《关键信息基础设施安全保护条例》(下称“《条例》”),并自2021年9月1日起施行。《条例》明确了监管体制、关键信息基础设施范围和认定程序、保护工作部门职责、运营者责任义务、保障和促进措施、法律责任等内容,为关键信息基础设施保护工作提供了法制保障。如今,《条例》颁布实施已有一周年,我国关键信息基础设施领域的法治保护也取得了初步成效。

首先,《条例》相关系列配套标准陆续公布,我国关键信息基础设施安全保护标准体系开始布局。2022年11月7日,国家标准《信息安全技术 关键信息基础设施安全保护要求》(GB/T 39204-2022)发布,并将于2023年5月1日起实施。这是我国第一项关键信息基础设施安全保护的国家标准,该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则,从分析识别、安全防护、检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求,为运营者开展关键信息基础设施保护工作提供了强有力的标准保障。[1]围绕上述核心标准,我国关键信息基础设施相关在研的配套标准目前已经初步涵盖了总体要求、识别认定、安全防护、检测评估、监测预警和事件处置等方面,主要用于指导运营者、网络安全服务机构等相关单位共同构建关键信息基础设施安全保障体系。[2]

其次,在关键信息基础设施认定方面,《条例》界定的关键信息基础设施涉及行业领域众多,运行状态、防护需求各异,相关行业认定规则和操作标准有待继续出台。值得注意的是,《条例》施行一年以来,交通、能源、证券期货业等行业和领域主管部门加快推动关基保护工作在本行业、本领域的落地实施。例如,交通运输部发布《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》,就公路水路的关保工作进行专项规定;国家卫生健康委等部门发布《医疗卫生机构网络安全管理办法》、中国证监会发布《证券期货业网络安全管理办法(征求意见稿)》、国家能源局发布《电力行业网络安全管理办法(修订征求意见稿)》,将关键信息基础设施运行安全作为重要内容之一。[3]其中,电力行业关键信息基础设施的认定规则,已经在制定中。2022年,国家能源局安全监管司已向电力行业企业对相关文件征求意见。以发电侧为例,认定规则分为火电、水电、新能源、向计划单列市提供电力的发电厂(站)4种。[4]不难看出,以电力行业为代表的国家重点行业领域关键信息基础设施的识别认定工作也将陆续开展,相关重点行业可持续关注监管动向。

(三) 重要数据识别与保护

2021年末,全国信息安全标准化技术委员会发布的《网络安全标准实践指南——网络数据分类分级指引》(下称“《网络数据分类分级指引》”)对行业领域数据分级的原则与方法提出了一系列指导原则。2022年1月,《信息安全技术 重要数据识别指南(征求意见稿)》也相继发布,进一步界定了重要数据的特征。该稿要求从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值。

在此背景下,相关企业应根据是否涉及人口健康,资源环境、科技与政务等多方面特征对现有业务涉及数据,利用《网络数据分类分级指引》提供的原则方法进行有效地识别梳理,主动推进数据合规管理流程。尽管《网络数据分类分级指引》中对工业、电信与金融行业做出了行业区分,但当前各垂直行业重要数据识别尚待看到细致的标准性指导,这也需要各企业配合行业主管部分在实践中积极沟通落实。我们建议企业密切关注重要数据识别方面的国家法律法规与相关标准文件的指导,为数据合规建立动态管理机制,并加强与主管部门的标准共建等工作

(四) 数据跨境合规

1. 数据跨境合规三大机制基本成型

随着《网络安全法》《数据安全法》以及《个人信息保护法》三大法律的确立,以及相关法律法规征求意见稿的出台,我国数据跨境制度法律框架已经完成了基础性搭建。具体而言,若数据处理者因业务等需要确需向境外传输数据的,可以通过国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立合同这三种途径来满足数据跨境的合规要求。

(1)通过国家网信部门组织的安全评估

数据出境安全评估制度在我国的数据跨境制度中占据相当重要的地位。2022年9月1日正式生效的《数据出境安全评估办法》(下称“《评估办法》”)对数据处理者在数据出境申报中的程序性规则与实体评估内容均作出详尽规定,标志着我国数据出境安全评估制度正式迈入实践阶段。一方面,《评估办法》明确了评估流程,主要包括评估材料、评估流程、评估时间等,能够帮助数据处理者定位其申报进度;另一方面,就具体评估内容而言,《评估办法》第5条、第8条确立了风险自评估与安全评估相结合的评估原则,划定自评估与安全评估重点事项,第9条也对与境外接收方订立的数据跨境法律文件(合同)进行了规制,要求其应当明确约定数据安全保护责任义务等。

此外,国家网信办在《评估办法》生效前一夜发布了《数据出境安全评估申报指南(第一版)》,具体说明了申报流程与明确了各项申报材料,并提供申报模板以帮助企业规范、有序开展数据出境安全评估申报工作。

(2)经专业机构进行个人信息保护认证

国家市场监督管理局与国家网信办于2022年11月共同发布的《个人信息保护认证规则》,以及全国信息安全标准化技术委员会于同月发布的《个人信息跨境处理活动安全认证规范(V2.0征求意见稿)》,对通过进行个人信息保护认证实现数据跨境的机制进行了明确规定,具体也包括个人信息保护认证的适用情形、具体流程及重点内容等。

(3)根据标准合同与境外接收方订立合同

国家网信办于2022年6月30日发布了《个人信息出境标准合同规定(征求意见稿)》(下称“《标准合同规定》”)和《个人信息出境标准合同》(下称“标准合同”)。作为《个人信息保护法》的配套制度与文件,《标准合同规定》与此前发布的《评估办法》《网络数据安全管理条例(征求意见稿)》(下称“《网数条例》”)等规范中有关数据跨境的规制内容互为补充。具体而言,其中包括了标准合同的适用情形与主要内容、与个人信息保护影响评估的协作、向网信部门进行事前备案及确立主管部门与监管职权等内容进行了规定。虽然该标准合同仍处于征求意见阶段,暂未落地实行,但总的来说,未来标准合同的正式实施将极大提高《个人信息保护法》中有关个人信息跨境合规措施的可执行性,并保障个人信息主体的合法权益。

2. 数据跨境合规在实践中应注意的要点

当企业根据法律法规要求判断需通过向网信部门进行数据安全评估的方式以满足数据跨境合规要求时,根据实践经验,我们提醒需注意以下事项:

第一,判断自身是否为适格的申报主体。一方面,企业应先梳理在开展涉及数据出境业务过程中的数据处理关系,在申报审查的数据处理场景中区分和明确数据处理者角色。另一方面,企业还应梳理其是否满足《评估办法》第四条规定的应当进行数据出境安全评估申报的情形。举例而言,若企业处理个人信息数量没有达到但却十分接近申报标准的情况下,企业也可相应作申报准备以充分满足合规要求。

第二,梳理待评估客体,特别是涉及出境的数据是否有可能构成重要数据。一方面,《网络安全法》《数据安全法》等规定均对重要数据的本地化提出了原则性要求,《评估办法》亦将重要数据的出境作为需进行申报的法定情形,因此无论企业作为数据处理者或受托处理者,其业务场景中的数据出境活动若涉及重要数据的,应优先就场景进行申报;另一方面,鉴于当前法律法规对重要数据的定义和分类的颗粒度较粗,企业应持续关注立法动态,特别是其涉及数据出境业务所在的行业动态。

第三,分析数据出境活动的合法性、正当性和必要性,并评估是否需要进行整改并给出具体的整改意见。具体而言,若企业属于法律法规规定的应进行申报的情况但就具体涉及数据出境的业务场景的上述问题分析中存在瑕疵,则企业应在申报材料中提供具体的整改方案以满足数据出境的合规要求,并尽量在整改期内完成整改工作。

第四,与境外接收方签署如《个人信息跨境提供协议》等法律文件以约定数据安全保护责任义务。尽管目前标准合同仍未落地,但企业在与境外接收方签署相关法律文件时若参照目前的网信办发布的《个人信息出境标准合同》内容,则可以帮助企业在评估申报时提升数据安全保护权利义务约定的充分性,降低合规风险。

3. 数据跨境合规对跨国公司及出海企业的影响

对跨国公司及出海企业而言,数据跨境合规的落地对其在业务开展和经营管理的过程中提出了新的要求,既是挑战,也是机遇。具体而言,为了满足《个人信息保护法》《数据出境安全评估办法》等对数据跨境传输的合规要求,企业需对其进行全方位的数据盘点和挖掘,若符合数据安全评估申报的情况,则需及时向网信部门开展相关申报工作。若跨国公司和出海企业在进行数据盘点和盘点时发现存在暂不满足数据跨境合规要求的,需尽快开展整改工作,其次还需要充分关注其他国家或地区的数据保护法律环境等。不可否认,数据跨境合规会对跨国公司及出海企业的具体业务开展和整体经营管理均可能产生客观和长远影响。

但同时我们也应该认识到,一方面跨国公司和出海企业在完成并通过申报后,可充分确保其在开展涉及数据出境的业务时能充分满足监管的合规要求,因而获得了较稳定的发展环境,同时也是企业自身数据安全保护能力的一大有力证明。另一方面,企业中心化管理的数据系统显然已经与国际数据保护发展趋势产生了明显冲突,就企业发展长远战略来说,借由数据跨境合规的机遇,企业有望在“分布式部署”和“区域化管理”上先行一步,抢占区域全球化发展的市场先机。

(五) 个人信息保护(以移动互联网应用安全为例)

1. APP监管合规进入成熟期

2022年是中国App个人信息保护立法与监管逐渐走向成熟的一年。随着《个人信息保护法》生效一年多,随着个人信息保护监管力度加强,App合规治理受到不同机构的多方监管。目前App个人信息保护领域的立法除了《个人信息保护法》和国家网信办制定的规范性文件外,还包括一系列国家标准,实践中,App个人信息保护涉及国家网信办、工业和信息化部通信管理局、公安机关和国家市场监督管理局,以及各行业领域的监管部门,针对个人信息保护监管越来越普遍适用,国家出台了《App违法违规收集使用个人信息自评估指南》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等一系列法律法规供企业参考与自查自纠,移动互联网应用程序个人信息保护领域逐渐形成“立法立规——监管检查——企业自查”的合规体系。

2. 立法更新:逐渐细化要求

2022年以来,个人信息保护领域立法呈现日趋细化的趋势,最新立法进一步明确和扩大责任主体范围,逐渐形成治理生态圈并呈现不断扩大监管范围的趋势,对App数据合规提出新的升级要求。

就业务功能而言,2022年4月15日发布的GBT 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》延续监管思路,按App功能区分所需收集必要个人信息范围,将App业务功能区分为基本业务功能与扩展业务功能,多功能高度集成的App将实现用户主要使用目的的业务功能划分为基础业务,并按照为实现基本业务功能所收集的信息确立必要个人信息的范围。

就监管范围而言,2022年6月13日,信安标委发布《信息安全技术 移动智能终端的移动互联网应用程序(App)个人信息处理活动管理指南(征求意见稿)》,该指南将个人信息保护监管范围扩大至App所依托的移动智能终端及其上操作系统,对移动智能终端的权限、预置应用软件、敏感个人信息处理等作出规定,规定了移动智能终端对App个人信息处理活动的管理应遵循的原则,对App进行安装、启动、运行、更新、退出、停用/卸载全生命周期管理。针对移动智能终端提供了App个人信息安全功能设计、管理个人信息安全风险的指南,以增强App收集个人信息行为的明示程度,并为App用户提供更多个人信息保护方面的控制机制。

就责任主体而言,2022年6月14日,国家网信办发布《移动互联网应用程序信息服务管理规定》强化应用程序提供者与应用程序分发平台的合规义务,规定了应用程序分发平台的多项合规义务,包括按类别向省级网信部门备案上架的应用程序、健全信息内容审核管理机制、建立健全管理机制和技术手段、对申请应用程序进行审核、公开管理规则等。将应用程序分发平台纳入监管范围,体现了我国App个人信息保护领域治理逐渐成熟化、体系化,有利于形成成熟的治理生态圈。

3. 行业实践:“隐私设计”成为新风尚

隐私设计(Privacy by Design)原则指在产品开发阶段就考虑隐私保护问题,将个人信息保护要求纳入产品服务的设计中,隐私设计是域外立法中提出的数据保护原则,在《个人信息保护法》第五十一条等条款中有所体现,2022年10月14日,GBT 41817-2022《信息安全技术 个人信息安全工程指南》发布,该指南给出了在需求分析、产品设计、产品开发、测试部署、运行维护等系统工程阶段的个人信息保护实施指南,并且在附录中针对常见行业给出了具体的产品设计合规要点,可作为产品“隐私设计”开发落地的参考框架。随着用户和大众对隐私的逐渐重视和隐私保护理念的普及,“隐私设计”已经形成新风尚,我们预计未来“隐私设计”将会成为企业竞争的阵地。

4. 未来趋势:常态化的持续监管机制

我们留意到,国家工信部于2022年12月27日发布《工业和信息化部关于进一步提升移动互联网应用服务能力的通知(征求意见稿)》,要求从规范安装卸载行为、落实App开发运营者主体责任、强化平台分发管理、规范SDK应用服务等多维度提升全流程服务感知,保护用户合法权益。我们预计未来针对互联网应用的常态化持续监管会成为趋势,此前,工信部亦表示在“十四五”期间针对App治理,将细化实化监管举措,建立全链条监管体系。凡涉及APP、小程序等应用程序的企业应当关注行业立法动态,依据当前法律框架和行业实践开展自查自纠,提前做好合规部署。

(六) 互联网信息内容安全

2022年,国家网信办发布了多项互联网信息内容治理新规,对在跟帖评论、账号信息管理、弹窗信息推送等领域加强互联网信息服务提供者和互联网用户的主体责任,加强互联网信息内容管理是维护意识形态安全、社会公平公正和网民合法权益的需要,也是防范化解国家安全风险、维护网络空间良好生态的需要。

  • 2022年6月17日,公布《互联网跟帖评论服务管理规定(修订草案征求意见稿)》(下称《修订稿》),向社会公开征求意见。
  • 2022年6月27日,国家网信办发布《互联网用户账号信息管理规定》(下称“《规定》”),《规定》将在8月1日起正式施行,为企业留下了一个月的整改适应期。
  • 2022年9月9日,国家网信办、工业和信息化部、国家市场监督管理总局联合正式发布《互联网弹窗信息推送服务管理规定》。

我们可以预见,在未来随着移动互联网用户不断增长,监管部门会不断深化对于互联网信息内容的治理,维护健康清朗的网络生态环境。

(七) 依法行政:网信部门执法程序规定

2022年9月8日,国家网信办对《网信部门行政执法程序规定(征求意见稿)》(下称“《执法规定》”)公开征求意见。《执法规定》明确了网信部门的执法程序,并就管辖权问题作出清晰划定。随着网络安全与数据合规领域相关法律法规的不断完善和细化,配套的执法和调查依据也不断更新,《执法规定》将取代网信办此前公布并生效的《互联网信息内容管理行政执法程序规定》,明确网信部门的行政执法范围由原来单一的互联网信息内容扩大至网络信息内容、网络安全、数据安全、个人信息保护等领域,指出网信部门在办理个人信息保护案件时可以采取查封、扣押等行政强制措施,对网信部门执法程序进行规范,同时也赋予了当事人要求举行听证、申请行政复议等权利,规范和保障网信部门依法履行职责。

二、深化:发展逻辑下的协调与平衡

(一) 代表行业:“以安全促发展”及“以发展保安全”

1. 电信与互联网

作为数字经济发展的先导区,工业和信息化领域数据安全管理的重要性不言而喻。2022年12月8日,工业和信息化部印发了《工业和信息化领域数据安全管理办法(试行)》,进一步规范工业和信息化领域数据处理活动,保障数据安全、促进数据开发利用。具体而言, 其从监管范围、监管机构、监管措施三个问题出发,涵盖法律适用、数据分级、特殊保护、数据生命周期合规要求等方面。就监管范围而言,规定了工业和信息化领域数据包括工业数据、电信数据和无线电数据,工业和信息化领域数据处理者则包括工业数据处理者、电信数据处理者和无线电数据处理者;就监管机构方面,搭建了“工业和信息化部、地方行业监管部门”两层不同监管机制,分管不同工作,细化工作内容;就监管措施方面,建立了数据分级保护的原则,并体系化地明确了安全保护要求。

2. 自动驾驶

在自动驾驶监管领域,2022年各类立法新规层出不穷,旨在全方位、多维度规制自动驾驶可能涉及的合规问题,包括但不限于自动驾驶可能涉及的道路测试、准入要求、测绘行为、数据安全、交通事故责任认定等。就当前自动驾驶的监管格局而言,存在在中央统一管理的基础上,不同部门之间协同监管、地方试点不断突破等特点。

2021年,国务院办公厅在《关于进一步优化营商环境更好服务市场主体的实施意见》中提出应当“完善对新业态的包容审慎监管”,并以智能网联汽车为例,提出一系列鼓励和发展智能汽车行业发展的新政策。在中央的支持下,地方政府也陆续推出针对自动驾驶的监管方案,包括北京、上海、广州等多地均展开自动驾驶路测活动,并出具相关文件试水,力求产生示范标杆效应。例如,北京市出台了《北京市智能网联汽车政策先行区自动驾驶出行服务商业化试点管理实施细则(试行)》,并于2022年4月设立了我国首个智能网联汽车政策先行区,推动道路测试、示范应用和商业运营服务,并率先发布无人配送车上路、高速公路测试、无人化测试等政策。2022年8月,《深圳经济特区智能网联汽车管理条例》生效。该条例从道路测试和示范应用、准入和登记、使用管理、车路协同基础设施、网络安全和数据保护、交通违法和事故处理等多个维度对自动驾驶技术进行了细化规定。作为国内首部规制自动驾驶活动的地方性法规,该条例的出台标志着我国的自动驾驶立法迈出了关键性的第一步,同时也将促进其他地区乃至全国层面加快自动驾驶立法进程。

自动驾驶业务涉及大量汽车数据,并很可能涉及重要数据。考虑到自动驾驶业务可能包含不同类型、不同风险等级的数据,针对不同的数据可能有不同监管要求,如果对自动驾驶数据进行无差别管控,一方面可能难以达到合规要求,另一方面可能造成企业资源浪费,最终甚至影响自动驾驶业务的可持续性。因此,自动驾驶业务相关公司应当对数据实施分级分类管理,加强个人信息与重要数据保护。

由于自动驾驶涉及对车外道路、建筑、地形等数据进行收集,同时会获取汽车定位和途经路径并进行统一处理,因而可能因被认定为测绘行为而为自然资源部门所监管。2022年8月30日,自然资源部发布《关于促进智能网联汽车发展维护测绘地理信息安全的通知》(下称“《地理信息安全通知》”),该规定标志着我国对自动驾驶的监管进一步加强。如企业开展自动驾驶业务,并收集处理空间坐标、影像、点云等数据,则可能构成测绘行为。考虑到我国对测绘活动实行测绘资质管理制度,我们建议相关企业依法取得测绘资质证书,并在测绘资质等级许可的专业类别和作业限制范围内从事测绘活动。

3. 人遗与医疗

医疗行业大数据的发展,天然地离不开大量敏感个人信息和重要数据的合法合规使用。2022年,《医疗卫生机构网络安全管理办法》正式颁布,该办法主要明确和规定了我国医疗卫生机构在网络安全和患者数据安全方面的责任和义务。从内容上看,该办法将“网络安全”和“数据安全”作为两章专门规定内容进行独立设置,一方面在《网络安全法》《密码法》等法律的基础上,要求卫生医疗机构严密落实《关键信息基础设施安全保护条例》和网络安全等级保护制度要求;另一方面,明确要求各级卫生医疗机构加强数据全生命周期安全管理,并确立原则上应在境内开展全生命周期数据处理活动,进一步细化了《数据安全法》《个人信息保护法》在医疗卫生领域的各项实践规范。

而作为我国生物资源安全相关的重要领域,人类遗传资源的保护和发展向来受到我国相关主管部门的重视,随着近些年相关领域法规更新和执法举措要求,行业内的企业也普遍谨慎地对待我国人类遗传资源的安全管理,尤其是涉及境内人类遗传资源的国际合作和出境合规。此外,《人类遗传资源管理条例实施细则(征求意见稿)》于2022年初公开发布,该细则在沿用和细化我国《人类遗传资源管理条例》相关规则的基础上,最为突出的地方在于更加细化了“外方单位”的认定方法,特别是为企业对于判断何为境外组织、个人“实际控制”情形提供了判断依据,主要是持股比、表决权和通过协议或相关安排足以施加重大影响的多种客观类型。我们理解,待该细则正式文本发布,需要行业内相关企业及时对此做好数据合规调整,特别是在人遗资源合作方式和数据权属安排层面,做好境内外风险的事前隔离预案设计。

4. 金融、保险与征信

我国个人金融信息的保护呈强监管趋势,个人金融信息合法合规收集使用成为金融业机构不可触碰的红线,也是各监管部门关注的重点。多监管部门发文,全面梳理和排查行业内个人信息保护方面的问题和漏洞,深入整治侵犯个人金融信息主体权益乱象,督促各行业机构建立个人金融信息主体保护机制。

具体而言,《金融科技发展规划(2022-2025年)》《征信业务管理办法》《银行保险机构消费者权益保护管理办法(征求意见稿)》《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知(银保监办法〔2022〕80号)》等针对金融、征信与保险类行业个人金融信息保护的法律法规的相继出台。就从宏观政策层面而言,提出了建设具有中国特色与国际接轨的金融数字化之路,要助力经济社会全面奔向数字化、智能化发展时代;就行业层面而言,针对性地规定了信用信息的采集、整理、保存、加工、提供、使用和保障信息安全的基本办法;就具体业务开展而言,也有如要求银行保险机构针对个人信息处理问题进行整改等。

(二) 数据要素市场发展与数据交易

数据要素、数据价值化与数据资产、数据交易,这些名词或概念成为2022年炙手可热的讨论话题。随着数据作为生产要素自上而下地在市场经济领域内被确立、突出和强调,对于数据如何促进生产力发展、提升数字经济效率的探讨也更为深入。2021年底,国务院印发《要素市场化配置综合改革试点总体方案》,提出要“探索建立数据要素流通规则,完善公共数据开放共享机制,建立健全数据流通交易规则,拓展规范化数据开发利用场景,加强数据安全保护”;2022年底,中共中央和国务院正式印发《关于构建数据基础制度更好发挥数据要素作用的意见》(俗称“数据二十条”),要求构建数据产权制度、数据要素流通和交易制度、数据要素收益和分配制度、数据要素治理制度。根据国家发改委相关负责同志说法,“数据二十条”以解决市场主体遇到的实际问题为导向,创新数据产权观念,淡化所有权、强调使用权,聚焦数据使用权流通,创造性提出建立数据资源持有权、数据加工使用权和数据产品经营权“三权分置”的数据产权制度框架,构建中国特色数据产权制度体系。[5]

除了中央政策对数据要素作用和数据基础制度作出全国一盘棋的统一部署之外,各地也纷纷通过颁布地方法规条例的方式,先行先试,创新数据流通和交易规则。据相关公开数据统计,截至2022年8月,全国已有18省市颁布“数据条例”[6],进一步促进地方数据要素市场化改革和数字经济发展。值得关注的是,历经三个多月的社会公开征询意见,北京市于2022年11月25日正式发布了《北京市数字经济促进条例》。该条例中明确提出,支持在依法设立的数据交易机构开展数据交易活动。数据交易机构应当制定数据交易规则,对数据提供方的数据来源、交易双方的身份进行合规性审查,并留存审查和交易记录,建立交易异常行为风险预警机制,确保数据交易公平有序、安全可控、全程可追溯。由此可见,数据交易成为数据要素化和数据资产管理的未来发展方向。

与政策法规不断推进保持步调一致,行业实践也在不断深化对数据要素权益配置的认知。实现数据要素化和资产化,需要解决数据权益如何分配的前置性难题。对于该问题,在2022年7月第三届数据治理研讨会发布的《2022年数据治理研究报告——数据要素权益配置路径》中尝试作出解答,尤其是对数据要素权益配置的基本内涵、关键症结、机制探索和路径实现等进行了研究和观察。金杜作为参编单位之一,也在其中分享了观点,有兴趣的读者可以进一步点击前文链接详细了解。

对于数据交易而言,2022无疑是承前启后的关键年份;依托数据交易平台,数据要素流通市场和交易生态圈逐渐显现。目前,多数数据交易所或者大数据交易平台以提供数据交易备案、撮合和数据资产登记为主要功能服务,为数据供需双方或多方提供了正规化和便利化的磋商途径。不过,随着数据交易平台逐渐参与或主导制定数据交易合规指引、数据交易服务指南,以及数据资产化登记、确认和备案要求等标准或规范,突出数据交易机构在数据交易市场生态圈的核心角色作用。随着数据交易入局者不断增多、交易规则更加明确,我们有理由期待一个更为丰富、成熟和体系化的数据交易市场,一个融合兼顾了数据安全合规和自由流通的市场化业态。

(三) 合规防线:“数据合规不起诉”

常说“司法”是社会公平正义的最后一道防线,而2022年在数据合规司法领域有了新的举措。2022年5月,上海市普陀区检察院通过官方微信号向社会公示了我国首起数据合规不起诉案件基本情况。对于全国首起“数据合规不起诉”案例的聚焦和讨论,为涉嫌数据违法违规企业提供了一套通过主动合规实现自我防御的“保护盔甲”。通过观察,我们认为“数据合规不起诉”的价值主要体现在两方面,一是能够在确保日常经营业务不受数据合规问题影响,帮助企业防范和化解潜在的违法经营风险;二是通过数据合规体系的搭建,培育数据安全和合规的市场竞争力,以合规创造品牌和竞争价值。但“数据合规不起诉”并非是零门槛或者说轻而易举的,在该案检察院制发的检察建议书中,围绕“管理、技术和制度”三个维度,对数据合规不起诉的条件提出了对应的标准要求。而对于数据合规体系的搭建,需要利用系统性思维和全局观理念,在企业数据处理风险识别和整改的基础上,需强化制度规范建设与顶层方案设计,并且实现企业数据合规体系的日常维护和有效执行、监督。

我们在《苟日新,日日新,又日新——首例数据合规不起诉案例评述》一文中详细分享了金杜在“数据合规不起诉”制度运行的观察和看法,有兴趣的读者可以点击链接阅读全文。

三、演化:智能社会法律的视野前瞻

(一) 算法合规

1. 推荐算法合规

2022年3月1日,国家网信办、工信部等联合发布的《互联网信息服务算法推荐管理规定》(下称“《算法管理规定》”)正式施行,由此开启中国算法治理的元年。《算法管理规定》首次明确了算法分级分类安全管理制度,建立健全企业主体算法安全责任制度,推动算法公开透明,并要求具有舆论属性或者社会动员能力的算法推荐服务提供者进行算法备案。算法备案是推荐算法合规治理的第一步,是对国家网信办联合其他部委联合发布的《关于加强互联网信息服务算法综合治理的指导意见》中有序推进算法备案相关工作要求的有效延续。为了顺利开展算法备案工作,国家网信办还开发了互联网信息服务算法备案系统,企业可通过该备案系统申报算法主体信息、算法信息、产品及功能信息从而完成备案。

就备案主体而言,并非所有算法推荐服务提供者均需履行备案义务,具有舆论属性或者社会动员能力的算法推荐服务者才是适格义务主体;就备案内容而言,需要提交服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示的内容等;就备案时间而言,备案主体需要在提供服务之日起十个工作日内完成备案;就备案注销而言,算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。

国家网信办在其官网持续更新算法备案清单。目前,国家网信办于2022年8月、2022年10月分别发布的《境内互联网信息服务算法备案清单》显示,已备案的算法分别有30个和70个,涉及的算法类别具体包括个性化推送类、排序精选类、检索过滤类、生成合成类、调度决策类。其中,同一推荐算法服务提供者可能分别就数个算法进行备案。

2. 算法审查机制

2022年12月19日,中共中央、国务院对外公布《关于构建数据基础制度更好发挥数据要素作用的意见》,其要求建立数据要素生产流通使用全过程的合规公证、安全审查、算法审查等制度。算法审查机制在《算法管理规定》中初具雏形,有待进一步明确和完善。目前,《算法管理规定》初步规定了安全评估、算法检查两种算法审查机制。

  • 安全评估:《算法管理规定》第8条和第27条均提到了算法服务提供者对算法审核评估、安全评估的义务,即应当完善算法推荐服务管理机制,对算法推荐服务日志等信息进行留存,留存期限不少于六个月,并在相关执法部门依法查询时予以提供。若相关算法推荐服务提供者未按上述要求完成安全评估或日志留存等义务,则按照有关法律、行政法规和部门规章的规定予以处理。
  • 算法检查:《算法管理规定》第28条第2款规定了算法检查,即算法推荐服务提供者应当配合有关主管部门依法实施的安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。对于违反者按照有关法律、行政法规和部门规章的规定予以处理。这意味着主管机构在进行安全评估和检查工作时,算法推荐服务提供者可能需要向其提供数据、算法模型等,以供其查验。

(二) 算力规划

2022年,云计算的规划与发展持续走向主流视野,占据数字经济发展的重要地位。国务院发布的《“十四五”数字经济发展规划》强调,云计算是重点产业之一。具体而言,规划要求优化升级数字基础设施,推进云网协同和算网融合发展,加快构建算力、算法、数据、应用资源协同的全国一体化大数据中心体系。中国人民银行于2022年1月印发的《金融科技发展规划(2022-2025)》说明,五年发展目标之一即金融业数字化转型深化,其阐述道,金融业数字化从多点突破迈入深化发展新阶段,全局性、系统性数字思维深入人心,数字化转型的理论、方法、评价体系基本形成,上云用数赋智水平稳步提高,金融机构数字化经营能力大幅跃升。

为了支持算力发展,国家采取了一系列举措。2022年2月,“东数西算”工程全面启动,国家在京津冀、长三角、粤港澳、成渝、宁夏等地建设算力枢纽节点,规划了张家口等10个数据中心集群,完成全国一体化大数据中心体系总体布局设计。2022年6月,中国算力网正式上线,未来全国各地的人工智能计算中心、超算中心、“东数西算”枢纽节点均可接入,由此开启全国算力资源的协同调度与共享。此外,国务院于2022年10月28日第十三届全国人民代表大会常委会第三十七次会议发布的《关于数字经济发展情况的报告》显示,我国算力基础设施已达到世界领先水平,截止2022年6月,我国数据中心机架总规模已超过590万标准机架,建成153家国家绿色数据中心。与此同时,我国建成一批国家新一代人工智能公共算力开放创新平台,以低成本算力服务支撑中小企业发展需求。

(三) 科技与人工智能伦理发展

1. 深度合成、深度伪造技术合规

在我国,“辨伪求真”是十九大报告提出的“营造清朗的网络空间”总任务的一部分。为了规制深度伪造技术,国家网信办于2022年1月28日发布了《互联网信息服务深度合成管理规定(征求意见稿)》,并于同年12月11日发布《互联网信息服务深度合成管理规定》,从信息内容治理、数据安全保障以及算法技术合规等多方面进行规制。该规定将于2023年1月10日起施行。

  • 明确各方责任主体法律定义与义务:规定限缩“深度合成服务提供者”的内涵至在中国境内提供深度合成服务的组织、个人,以风险为导向细化其主要合规义务;明确了“深度合成服务技术支持者”的外延,缩减其信息内容治理义务,仅施加了履行数据安全保障义务、算法技术合规义务,以及协助发展有关深度合成技术的行业自治规范的义务;强化了应用程序分发平台等其他责任主体的信息安全义务,例如要求深度合成服务使用者仅能以单独同意作为合法性基础从而使用人脸等生物识别信息编辑功能。
  • 完善“事前预防”与“事后应对”相结合的全流程治理模式:就事前预防而言,新规要求深度合成服务提供者设立信息发布审核管理制度,细化了审核合成服务的算法备案要求,明确算法备案和变更、注销备案的要求仅适用于具有舆论属性或者社会动员能力的深度合成服务。就事后应对而言,规定要求深度合成服务提供者与应用程序分发平台设置应急处理管理制度,作为信息安全事件的关键救济机制。此外,深度合成服务提供者必须记录并保存相关网络日志,这一举措有助于监管部门及时对深度合成服务中的违法违规现象采取执法措施。
  • 打造多元化监管格局:深度合成服务的治理未来将由网信部门、电信主管部门以及公安部门协同进行;如果深度合成服务提供者和技术支持者是为从事网络出版服务、网络文化活动等,还应当同时符合新闻出版、文化和旅游、广播电视主管部门的规定。

2. 人工智能与科技伦理审查

2022年3月,中办、国办印发《关于加强科技伦理治理的意见》(下称“《意见》”),这是我国首个国家层面的科技伦理治理指导性文件,着力解决我国科技伦理治理体制不健全、制度不完善、发展不平衡等突出问题,对科技伦理治理作出顶层设计和系统部署。《意见》中提出了包括“伦理先行”“依法依规”“敏捷治理”等五项人工智能与科技伦理审查治理要求。其中提到:

  • 合理控制风险:科技活动应客观评估和审慎对待不确定性和技术应用的风险,力求规避、防范可能引发的风险,防止科技成果误用、滥用,避免危及社会安全、公共安全、生物安全和生态安全。
  • 压实创新主体科技伦理管理主体责任:根据实际情况设立本单位的科技伦理(审查)委员会,并为其独立开展工作提供必要条件。从事生命科学、医学、人工智能等科技活动的单位,研究内容涉及科技伦理敏感领域的,应当设立科技伦理(审查)委员会
  • 建立科技伦理审查和监管制度:明确科技伦理审查和监管职责,完善科技伦理审查、风险处置、违规处理等规则流程。建立健全科技伦理(审查)委员会的设立标准、运行机制、登记制度、监管制度等。

目前,法律法规层面,《算法管理规定》已经对科技伦理审查的具体内容进行了规定,其要求科技伦理审查制度至少包含以下两方面的内容:(1)定期审核、评估、验证算法机制机理、模型、数据和应用结果等;(2)不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。

3. 企业应着手准备的事项

首先,涉及科技与人工智能技术的企业需要初步建设和完善人工智能伦理体系,根据技术风险清单内部梳理公司现有的可能涉及高风险AI技术应用场景和业务条线,同时厘清相关AI技术公司所承担的主体角色。根据目前的规定,我们建议将涉及推荐算法技术(生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类),尤其在自动驾驶、智慧交通、生物识别、深度伪造或者深度学习等自动化决策领域内涉及的算法模型和人工智能系统进行梳理。梳理的过程中需注意厘清在相关高风险人工智能技术应用中企业所承担的“研究开发、设计制造、部署应用和使用”四个维度下的具体角色和职责。

其次,优先落实对现有业务算法推荐技术备案、深度合成类算法使用的风险评估和风险提示等硬性合规义务。具有舆论属性或者社会动员能力的算法推荐服务提供者应当将服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息履行备案手续。基于此,企业需在识别相关高风险人工智能技术应用场景的基础上,进一步深入开展自评估和备案工作。此外,企业还需跟踪深度机器学习、深度伪造和虚拟现实等人工智能管理规范的最新动态,在涉及提供相关服务时,通过更新用户协议文本、隐私政策或者产品内公告等合适方式,为用户增强风险提示。

最后,筹划组建科技伦理委员会或者人工智能伦理治理委员会,建立问责机制、落实主体责任。参考现有的行业实践,企业可以考虑由内部多部门(技术研发、信息安全、法律合规)以及外部专家或者第三方专业机构共同组建成立的科技伦理委员会(或者人工智能伦理治理小组),作为第一责任机构,对外负责对接相关主管部门对人工智能技术的监管指导和官方出口,对内负责人工智能治理原则规则制定、具体决策事项、理念宣传以及推动人工智能伦理具体举措落实等。而就人工智能的内部责任主体而言,保证算法与人工智能系统正常运作相关责任应当落实到具体的组织/部门与具体的岗位个人。

结束语

过去的一年,网络安全和数据合规法律服务的各个细分领域,都朝着精细化治理的方向不断延展和深入。在立法者已经搭建起的网络空间治理法律框架的基础上,执法者和司法者逐渐地丰富和熟练地掌握使用了治理工具,从而维系了整个行业的健康运转;与此同时,决策者在这个年度将关于数据注意力和想象力的眼界放得更为长远,在把握安全和发展的辩证关系上,逐步勾勒出对于数据作为生产要素和价值资产的设计蓝图;而面对智能化社会的一步步靠近和所带来的挑战,我们不再是未雨绸缪而已经开始着手应对。

2022年,告别野蛮生长、承受来自内外部压力,我们看到了中国互联网与数字经济发展中的韧劲和适应转变的速度,我们乐见于秩序更为稳健、规则更为明确的网络空间治理体系,为在虚拟世界构建人类命运共同体、贡献我们的智慧方案而拍手叫好。自由、平等、开放和共享,我们曾拥护和奔走呼号这样的互联网精神,如今迈入2023,我们仍抱以“合规创造价值”的信仰,诚挚地期盼一份笃定和踏实。