數(shù)據(jù)跨境傳輸涉及國家安全、公共利益及個體權(quán)益，一直是立法和監(jiān)管的重點(diǎn)。自2017年實施的《網(wǎng)絡(luò)安全法》確立數(shù)據(jù)跨境傳輸安全評估制度以來，網(wǎng)信辦就著手制定個人信息與重要數(shù)據(jù)的出境安全評估規(guī)則，在經(jīng)歷了個人信息與重要數(shù)據(jù)評估規(guī)則的“合-分-合"過程，尤其是去年《個人信息保護(hù)法》在立法層面明確了個人信息跨境傳輸?shù)姆梢?guī)定后，規(guī)則制定明顯加快。

?

在安全評估制度方面，網(wǎng)信辦于2022年7月7日公布《數(shù)據(jù)出境安全評估辦法》，并于9月1日正式實施；此外，網(wǎng)信辦于2022年8月31日發(fā)布《數(shù)據(jù)出境安全評估申報指南(第一版)》，提供了開展安全評估的指引，之后各地網(wǎng)信部門相繼開通接受安全評估申報的窗口，安全評估申報開閘。

?

在保護(hù)認(rèn)證方面，信安標(biāo)委秘書處于2022年6月24日發(fā)布《個人信息跨境處理活動安全認(rèn)證規(guī)范》，并進(jìn)而在12月6日發(fā)布了《個人信息跨境處理活動安全認(rèn)證規(guī)范v2.0》，第二版認(rèn)證規(guī)范吸收了《數(shù)據(jù)出境安全評估辦法》及《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》的內(nèi)容，在數(shù)據(jù)跨境傳輸協(xié)議、個人信息保護(hù)影響評估要求上與之保持一致，新增個人信息主體在權(quán)益受損時的賠償請求權(quán)，并試圖將認(rèn)證的適用情形從之前的股權(quán)關(guān)聯(lián)拓寬至業(yè)務(wù)關(guān)聯(lián)，明確要求境外接收方對該規(guī)范中列明的個人信息主體權(quán)利予以承認(rèn)。11月4日，市監(jiān)總局和網(wǎng)信辦發(fā)布《個人信息保護(hù)認(rèn)證實施規(guī)則》，建立了認(rèn)證實施的程序規(guī)則，一旦認(rèn)證機(jī)構(gòu)名單經(jīng)過批準(zhǔn)后發(fā)布，認(rèn)證活動就可以正式開展。

?

在標(biāo)準(zhǔn)合同方面，自2022年6月30日網(wǎng)信辦公布《個人信息出境標(biāo)準(zhǔn)合同規(guī)定（征求意見稿）》后，即引發(fā)一些爭議，比如：GDPR的新版跨境傳輸SCCs劃分了四類個人數(shù)據(jù)跨境傳輸場景（C-C/C-P/P-C/P-P）,分別對應(yīng)不同的合同模塊。而目前中國版的標(biāo)準(zhǔn)合同僅限于境內(nèi)為個人信息處理者的情形（即C-C或C-P），此框架能否涵蓋真實的出境場景需求？以及，對境外再傳輸?shù)膱鼍?，是否可以加入對接條款（docking clause），使第三方后續(xù)以數(shù)據(jù)傳輸方或接收方的身份加入SCCs？據(jù)悉，網(wǎng)信部門也在不斷地征求各個方面的意見，但按照原來的預(yù)期，在年底前發(fā)布正式版本實有一定難度。

以某知名互聯(lián)網(wǎng)出行平臺在外國上市引發(fā)網(wǎng)絡(luò)安全審查為契機(jī)，修訂后的《網(wǎng)絡(luò)安全審查辦法》于2022年2月15日起正式施行。與2020年的版本相比，新版《網(wǎng)絡(luò)安全審查辦法》一是將平臺企業(yè)的數(shù)據(jù)處理活動納入到網(wǎng)絡(luò)安全審查制度的監(jiān)管范圍，二是對于掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運(yùn)營者赴國外上市，要求必須先行申報網(wǎng)絡(luò)安全審查。關(guān)于修訂辦法對中概股企業(yè)的境外上市影響，我們有以下的觀察：

?

• 2021年美國SEC宣布通過法規(guī)修正案，完善了《外國公司問責(zé)法案》（“HFCAA"）相關(guān)的信息披露實施細(xì)則，要求外國上市公司的審計機(jī)構(gòu)必須接受美國公眾公司會計監(jiān)督委員會（PCAOB）的審查。今年3月8日以來，美國SEC根據(jù)HFCAA，先后將約150家不符合美國PCAOB審計監(jiān)管要求的中概股公司納入“確定識別名單"，使其面臨從美股退市的風(fēng)險；

  ?

• 2022年4月2日，證監(jiān)會發(fā)布就《關(guān)于加強(qiáng)境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)保密和檔案管理工作的規(guī)定》公開征求意見的通知，對規(guī)范審計工作底稿信息安全管理提出明確要求，進(jìn)一步落實上市公司信息安全的主體責(zé)任；

  ?

• 證監(jiān)會和財政部于2022年8月26日與PCAOB簽署審計監(jiān)管合作協(xié)議，于近期啟動相關(guān)合作，中概股從美股集體退市的風(fēng)險出現(xiàn)轉(zhuǎn)機(jī)；

  ?

• 據(jù)報道，自2022年2月15日《網(wǎng)絡(luò)安全審查辦法》修訂施行以來，已有20余家擬赴國外上市企業(yè)向國家網(wǎng)絡(luò)安全審查辦公室進(jìn)行了申報。

?

據(jù)此，中美關(guān)于中概股的審計監(jiān)管基本達(dá)成短期的合作規(guī)則，網(wǎng)絡(luò)安全審查制度也逐步開始運(yùn)轉(zhuǎn)，看似為中概股赴美上市理清了通途。但是，考慮到數(shù)據(jù)跨境日益強(qiáng)監(jiān)管，關(guān)基運(yùn)營者、掌握核心數(shù)據(jù)或重要數(shù)據(jù)的數(shù)據(jù)處理者、或處理大量個人信息的平臺企業(yè)在選擇上市地時，港股或境內(nèi)A股或許是更安全的選擇。

之前我們在《網(wǎng)絡(luò)空間治理的升級：從數(shù)據(jù)治理邁向算法治理》一文中認(rèn)為，“數(shù)據(jù)治理"以保障數(shù)據(jù)安全、保護(hù)個人、組織的合法權(quán)益為主要目標(biāo)，而“算法治理"重點(diǎn)指向的則是數(shù)據(jù)應(yīng)用的內(nèi)在邏輯和產(chǎn)生的效果，平臺通過算法應(yīng)用數(shù)據(jù)來實施其行為，具有權(quán)力化的趨勢?；诖?，我們認(rèn)為，算法治理會成為未來的治理和監(jiān)管焦點(diǎn)。2022年3月1日，《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》正式生效，網(wǎng)信辦并于2月28日發(fā)布了《關(guān)于互聯(lián)網(wǎng)信息服務(wù)算法備案系統(tǒng)上線的通告》，算法備案系統(tǒng)正式上線。在2022年8月，網(wǎng)信辦發(fā)布算法備案信息，涉微博熱搜、百度檢索等。綜合來看，已經(jīng)備案公示的算法有幾個特點(diǎn)：

?

• 算法分類分級治理：同一款A(yù)PP，如存在多款需要備案的算法，需要分別申請備案；使用算法相同的不同產(chǎn)品或者同一產(chǎn)品的不同端，如：微博（APP、網(wǎng)站、小程序）均可在一個申請中進(jìn)行備案；

  ?

• 重點(diǎn)關(guān)注內(nèi)容個性化推薦：個性化推送類算法中的內(nèi)容推薦類，在首批算法備案名單中，數(shù)量最多，體現(xiàn)行業(yè)應(yīng)用和監(jiān)管關(guān)注的重點(diǎn)；

  ?

• 大多數(shù)備案的算法未經(jīng)公示，體現(xiàn)出商業(yè)秘密保護(hù)的考量，但會通過算法邏輯強(qiáng)調(diào)算法公平性。

互聯(lián)網(wǎng)內(nèi)容治理規(guī)則進(jìn)一步網(wǎng)格化。在2022年，監(jiān)管部門對互聯(lián)網(wǎng)內(nèi)容治理和生態(tài)治理進(jìn)一步細(xì)化，深化互聯(lián)網(wǎng)內(nèi)容合規(guī)的紅線要求。11月25日，網(wǎng)信辦等三部門聯(lián)合發(fā)布《互聯(lián)網(wǎng)信息服務(wù)深度合成管理規(guī)定》，對深度學(xué)習(xí)、虛擬現(xiàn)實等人工智能技術(shù)應(yīng)用于生成新型互聯(lián)網(wǎng)內(nèi)容劃定“底線"和“紅線"；8月1日，新修訂的《移動互聯(lián)網(wǎng)應(yīng)用程序信息服務(wù)管理規(guī)定》施行，要求應(yīng)用程序提供者和應(yīng)用程序分發(fā)平臺應(yīng)當(dāng)履行信息內(nèi)容管理主體責(zé)任，建立健全信息內(nèi)容安全管理、信息內(nèi)容生態(tài)治理、數(shù)據(jù)安全和個人信息保護(hù)、未成年人保護(hù)等管理制度，確保網(wǎng)絡(luò)安全，維護(hù)良好網(wǎng)絡(luò)生態(tài)。之外，新修訂的《互聯(lián)網(wǎng)跟帖評論服務(wù)管理規(guī)定》自12月15日起施行，《互聯(lián)網(wǎng)彈窗信息推送服務(wù)管理規(guī)定》自9月30日施行，《互聯(lián)網(wǎng)用戶賬號信息管理規(guī)定》自8月1日施行?；ヂ?lián)網(wǎng)內(nèi)容治理手段進(jìn)一步細(xì)化和網(wǎng)格化。

?

《反電信網(wǎng)絡(luò)詐騙法》自2022年12月1日起施行，針對電信網(wǎng)絡(luò)詐騙犯罪之頑疾，該部法律立足各環(huán)節(jié)、全鏈條防范治理電信網(wǎng)絡(luò)詐騙，精準(zhǔn)發(fā)力，為反電信網(wǎng)絡(luò)詐騙工作提供有力法律支撐。對于電信、互聯(lián)網(wǎng)和金融企業(yè)而言，需要建立防范個人信息被用于電信網(wǎng)絡(luò)詐騙的機(jī)制，主動建立監(jiān)測識別和處置機(jī)制，履行禁止為電信網(wǎng)絡(luò)詐騙活動提供支持或者幫助的義務(wù)（重點(diǎn)防范與幫助信息網(wǎng)絡(luò)犯罪活動罪的結(jié)合適用）。同時，企業(yè)應(yīng)準(zhǔn)確把握好數(shù)據(jù)共享義務(wù)與個人信息保護(hù)義務(wù)及消費(fèi)者權(quán)益保護(hù)的關(guān)系。

?

“三駕馬車"架構(gòu)中的《網(wǎng)絡(luò)安全法》實施五年后亦開始修訂工作，一是加強(qiáng)了對違法行為的處罰力度，讓《網(wǎng)絡(luò)安全法》的“牙齒"更為鋒利。修訂稿調(diào)整了行政處罰幅度并加入了從業(yè)禁止等措施，比如，“處一百萬元以上五千萬元以下或者上一年度營業(yè)額百分之五以下罰款"及“可以決定禁止其在一定期限內(nèi)擔(dān)任相關(guān)企業(yè)的董事、監(jiān)事、高級管理人員或者從事網(wǎng)絡(luò)安全管理和網(wǎng)絡(luò)運(yùn)營關(guān)鍵崗位的工作"等規(guī)定。二是解決對現(xiàn)有法律的銜接問題，以轉(zhuǎn)致性規(guī)定的形式，加強(qiáng)《網(wǎng)絡(luò)安全法》同《數(shù)據(jù)安全法》《個人信息保護(hù)法》等的關(guān)聯(lián)適用，預(yù)示著其在個人信息和重要數(shù)據(jù)保護(hù)方面將可能讓位于另外兩部法。

?

2022年9月8日，網(wǎng)信辦就《網(wǎng)信部門行政執(zhí)法程序規(guī)定（征求意見稿）》公開征求意見，并將取代之前的《互聯(lián)網(wǎng)信息內(nèi)容管理行政執(zhí)法程序規(guī)定》，網(wǎng)信部門的行政執(zhí)法案件類型也明確拓展至網(wǎng)絡(luò)信息內(nèi)容、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息保護(hù)等，賦予執(zhí)法部門的調(diào)查取證手段也更為豐富，同時還規(guī)定了聽證和約談程序。

?

工信部于12月8日印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》，自2023年1月1日起施行。值得關(guān)注的是，該辦法規(guī)定了對工業(yè)和電信數(shù)據(jù)進(jìn)行一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)分級的“三分法"，并在法規(guī)層面首次明確核心數(shù)據(jù)的范圍。該辦法明確了重要數(shù)據(jù)和核心數(shù)據(jù)目錄備案義務(wù)，如涉及處理相關(guān)數(shù)據(jù)，則應(yīng)向本地區(qū)行業(yè)監(jiān)管部門備案本單位重要數(shù)據(jù)和核心數(shù)據(jù)目錄。該辦法的發(fā)布也是工業(yè)和電信數(shù)據(jù)邁向全面行業(yè)監(jiān)管的起始。

《個人信息保護(hù)法》第四十四條至四十八條賦予了個人信息主體各種權(quán)利，并通過第五十條和第六十九條進(jìn)一步確認(rèn)了個人信息主體的訴權(quán)，2021年11月至2022年12月5日，基于威科先行法律數(shù)據(jù)庫的案例統(tǒng)計，可以檢索到的以“個人信息保護(hù)糾紛案由"的案例已有127件。在2022年，借《個人信息保護(hù)法》一周年的東風(fēng)，有些地方法院發(fā)布了典型案例。比如，杭州互聯(lián)網(wǎng)法院發(fā)布“個人信息保護(hù)十大典型案例"；廣州互聯(lián)網(wǎng)法院發(fā)布五個“個人信息保護(hù)典型案例"，涵蓋算法錯誤關(guān)聯(lián)個人信息、商家擅自公布消費(fèi)者個人信息、手機(jī)APP未經(jīng)同意收集個人信息、平臺泄露投訴舉報信息等內(nèi)容；廣東省高級人民法院亦發(fā)布了一批個人信息保護(hù)典型案例。

?

在杭州互聯(lián)網(wǎng)法院審理的“杜某訴網(wǎng)絡(luò)公司個人信息保護(hù)糾紛案"中，杜某以個人信息知情權(quán)、決定權(quán)受電商平臺侵害為由，提起訴訟。法院認(rèn)為，《個人信息保護(hù)法》第五十條第二款規(guī)定的訴權(quán)以“個人信息處理者拒絕個人行使權(quán)利的請求"為前提，個人信息主體應(yīng)先向個人信息處理者請求行使具體權(quán)利，只有在個人信息處理者無正當(dāng)理由拒絕履行義務(wù)或一定期限內(nèi)不予以處理，或者個人信息處理者提供的申請受理機(jī)制失效的情況下，個人方可向法院提起訴訟以獲得救濟(jì)。

?

當(dāng)然，此判決對于有效使用司法資源，形成個人信息多元治理模式具有裨益，對個人信息主體單純行使程序性權(quán)利的情形是恰當(dāng)?shù)?。同時我們認(rèn)為，個人信息主體受到的權(quán)益侵害可能是程序性權(quán)利受到阻礙時帶來的侵害，亦可能是違法處理其個人信息所帶來的實質(zhì)性侵害?！秱€人信息保護(hù)法》第五十條和第六十九條則分別規(guī)定了這兩種侵害對應(yīng)的請求權(quán)。《個人信息保護(hù)法》第四章賦予個人信息主體的各種權(quán)利不僅具有程序性，也可能兼具有實體性。本案中，原告主張“知情權(quán)、決定權(quán)"的背后是被告未向其告知且未經(jīng)其同意即公開其個人信息，實質(zhì)上是由于個人信息處理者違法處理其個人信息，導(dǎo)致實體上損害了原告的個人信息權(quán)利，已超出“程序性"范疇。如果法院絕對化地以“個人信息處理者拒絕個人行使權(quán)利的請求"為前提來處理個人信息主體的訴權(quán)，可能會限縮個人因損害行為而獲得司法救濟(jì)的權(quán)利。不過，本案對企業(yè)而言，意味著其在構(gòu)建響應(yīng)個人信息主體行權(quán)處理機(jī)制的同時，應(yīng)留存?zhèn)€人信息主體行權(quán)處理記錄，可將之作為可能的應(yīng)訴證據(jù)使用。

《個人信息保護(hù)法》第七十條專設(shè)公益訴訟條款，明確將個人信息保護(hù)納入公益訴訟的范圍。根據(jù)公開數(shù)據(jù)，2021年全國檢察機(jī)關(guān)共立案個人信息保護(hù)領(lǐng)域公益訴訟案件2276件，2022年1月至10月立案3936件。依照最高檢《關(guān)于貫徹執(zhí)行個人信息保護(hù)法推進(jìn)個人信息保護(hù)公益訴訟檢察工作的通知》，個人信息保護(hù)公益訴訟主要聚焦在五類個人信息的保護(hù)：敏感個人信息、特殊群體個人信息、重點(diǎn)領(lǐng)域處理的個人信息、100萬人以上的大規(guī)模個人信息，以及對因時間、空間等聯(lián)結(jié)形成的特定對象的個人信息。我們預(yù)判，在未來幾年內(nèi)，個人信息保護(hù)公益訴訟的數(shù)量還會快速增長，考慮其由國家公權(quán)力機(jī)關(guān)提起，且具備公益屬性，案件一般會引發(fā)廣泛的社會關(guān)注，給企業(yè)帶來經(jīng)濟(jì)和商譽(yù)上的雙重?fù)p害，平臺型企業(yè)應(yīng)當(dāng)尤其關(guān)注公益訴訟風(fēng)險。

?

在“杭州市余杭區(qū)人民檢察院訴某短視頻平臺未成年人保護(hù)民事公益訴訟案"中，涉案公司在開發(fā)運(yùn)營App過程中，未以顯著、清晰的方式告知并征得兒童監(jiān)護(hù)人有效明示同意，允許注冊兒童賬戶收集、存儲兒童個人信息；在未再次征得兒童監(jiān)護(hù)人有效明示同意的情況下，向用戶直接推送含有兒童個人信息的短視頻。訴訟期間，檢察機(jī)關(guān)積極推動該公司立行立改，對其運(yùn)營的App提出34項整改措施。該公司積極配合整改，雙方依法達(dá)成和解。

?

本案系全國首例兒童個人信息、網(wǎng)絡(luò)安全保護(hù)民事公益訴訟。《個人信息保護(hù)法》第二十八、三十一條明確規(guī)定十四周歲以下未成年人的個人信息屬于敏感個人信息，處理不滿十四周歲未成年人個人信息的，應(yīng)當(dāng)制定專門的個人信息處理規(guī)則，并取得未成年人的父母或者其他監(jiān)護(hù)人的同意。具體而言，企業(yè)除應(yīng)單獨(dú)制定《兒童個人信息/隱私保護(hù)政策》和《兒童個人用戶協(xié)議》，采取合理措施通知監(jiān)護(hù)人并征得監(jiān)護(hù)人有效單獨(dú)同意外，還可采取如下措施：（1）對兒童個人信息建立專門保護(hù)池，采取加密存儲等安全措施；（2）基于算法自動化決策進(jìn)行推送的場景下，需獲得兒童監(jiān)護(hù)人單獨(dú)授權(quán)同意；（3）應(yīng)強(qiáng)制為兒童開啟陌生人關(guān)注限制功能、隱藏兒童用戶位置等功能。企業(yè)需要注意，目前我國法律對未成年人個人信息權(quán)益予以特殊、優(yōu)先保護(hù)，不特定兒童用戶的個人信息權(quán)益保護(hù)具有公益屬性，企業(yè)如侵害該等用戶個人信息權(quán)益，或?qū)⒈惶崞鸸嬖V訟。

2018年至今，全國檢察機(jī)關(guān)以侵犯公民個人信息罪批捕16459人、起訴33417人，其中，2022年1月份至9月份即批捕1199人、起訴6223人。從今年批捕的人數(shù)看，數(shù)量明顯減少，我們認(rèn)為這是一種刑事司法角色的正?；貧w。猶記2017年開始的以“大數(shù)據(jù)爬蟲"為主要抓手的執(zhí)法風(fēng)暴，此次行動源于監(jiān)管部門的現(xiàn)金貸溯源性整肅，以及公安機(jī)關(guān)在全國范圍開展的掃黑除惡行動，即打掉“套路貸"和暴力催收的數(shù)據(jù)源頭。這次執(zhí)法風(fēng)暴某種程度上嚴(yán)重影響了國內(nèi)“大數(shù)據(jù)風(fēng)控"的業(yè)務(wù)體系，使得大數(shù)據(jù)業(yè)內(nèi)談爬蟲色變。得益于從業(yè)者個人信息保護(hù)意識的提高和合規(guī)能力的提升，以及專項執(zhí)法行動的結(jié)束，個人信息刑事案件數(shù)量得到控制。我們認(rèn)為，一方面，在個人信息保護(hù)領(lǐng)域，刑事手段應(yīng)用要秉持謙抑原則，讓行政執(zhí)法和民事司法保護(hù)占據(jù)更加主導(dǎo)的地位，讓數(shù)據(jù)有關(guān)的從業(yè)者對法律風(fēng)險具有更好的管控性；另一方面，與數(shù)據(jù)有關(guān)的企業(yè)仍應(yīng)當(dāng)把數(shù)據(jù)刑事風(fēng)險防范當(dāng)成一道重要的經(jīng)營紅線，唯此，才能做到基業(yè)長青。

?

數(shù)據(jù)領(lǐng)域合規(guī)不起訴制度的逐步確立。2022年5月，上海市普陀區(qū)檢察院公布我國首起數(shù)據(jù)合規(guī)不起訴案件辦理情況，本案作為數(shù)據(jù)合規(guī)治理與合規(guī)不起訴制度的首次交集，意味著我國合規(guī)不起訴制度將正式適用于數(shù)據(jù)合規(guī)領(lǐng)域。2021年4月，最高人民檢察院下發(fā)《關(guān)于開展企業(yè)合規(guī)改革試點(diǎn)工作方案》，“合規(guī)不起訴"制度得以確立，即當(dāng)涉案企業(yè)作出合規(guī)承諾并積極整改落實后，對特定類型的案件檢察機(jī)關(guān)可作出不批準(zhǔn)逮捕、不起訴決定或提出輕緩量刑建議。本案Z公司因違法使用爬蟲技術(shù)而觸發(fā)刑事責(zé)任，其在案發(fā)后即向檢察院提出了合規(guī)不起訴申請，檢察院經(jīng)審查認(rèn)定可依法啟動涉案企業(yè)合規(guī)考察，進(jìn)而啟動相應(yīng)合規(guī)不起訴程序。Z公司在整改開始之際即聘請法律顧問團(tuán)隊，在整改期內(nèi)順利根據(jù)承諾推進(jìn)對涉案數(shù)據(jù)合規(guī)問題的整改。本案的教訓(xùn)亦可成為企業(yè)積極建設(shè)數(shù)據(jù)合規(guī)體系的動力：一方面，企業(yè)可通過提前部署數(shù)據(jù)合規(guī)工具，設(shè)定數(shù)據(jù)合規(guī)管理架構(gòu)，建立數(shù)據(jù)合規(guī)制度，從而提前防范刑事風(fēng)險；另一方面，如確已進(jìn)入刑事程序，可通過“合規(guī)不起訴"制度配合檢察機(jī)關(guān)積極開展數(shù)據(jù)合規(guī)整改，繼而扭轉(zhuǎn)局勢，使企業(yè)得以轉(zhuǎn)危為安，延續(xù)經(jīng)營生命。

備受關(guān)注的某網(wǎng)絡(luò)出行平臺網(wǎng)絡(luò)安全審查案件在2022年塵埃落定，也是一場全民網(wǎng)絡(luò)安全教育的案例。該公司依法被處罰款80余億元,公司兩位管理層人員各自被處罰款人民幣100萬元。此案可以關(guān)注三點(diǎn)，一是執(zhí)法的域外效力，由于該公司對境內(nèi)各業(yè)務(wù)線重大事項具有最高決策權(quán)，制定的企業(yè)內(nèi)部制度規(guī)范對境內(nèi)各業(yè)務(wù)線全部適用，且對落實情況負(fù)監(jiān)督管理責(zé)任，據(jù)此，本案違法行為主體認(rèn)定為該網(wǎng)絡(luò)出行平臺公司；二是頂格處罰，《個人信息保護(hù)法》規(guī)定了“五千萬元以下或者上一年度營業(yè)額百分之五以下罰款的"的罰則，而該公司2021年全年總營收額為1700余億人民幣；三是一案雙罰，除了處罰公司外，還對直接負(fù)責(zé)主管人員處100萬罰款。

?

APP治理：從“雙清單"到SDK。去年工信部印發(fā)《關(guān)于開展信息通信服務(wù)感知提升行動的通知》，推動建立個人信息保護(hù)“雙清單"制度，今年工信部又在APP違法通報中首次將內(nèi)嵌第三方軟件開發(fā)工具包（SDK）違規(guī)收集用戶設(shè)備信息的行為納入監(jiān)管視野，并開展了APP侵害用戶權(quán)益整治“回頭看"行動。工信部2022年對APP的治理工作重點(diǎn)突出關(guān)鍵責(zé)任鏈監(jiān)管，對應(yīng)用商店、SDK、終端企業(yè)、重點(diǎn)互聯(lián)網(wǎng)企業(yè)等實現(xiàn)監(jiān)管全覆蓋，打造更為安全的信息通信消費(fèi)環(huán)境。網(wǎng)信辦則更加聚焦APP的生態(tài)治理，于12月部署開展“清朗·移動互聯(lián)網(wǎng)應(yīng)用程序領(lǐng)域亂象整治"專項行動，將加強(qiáng)APP全鏈條管理，全面規(guī)范移動應(yīng)用程序在搜索、下載、使用等環(huán)節(jié)的運(yùn)營行為，督促應(yīng)用程序分發(fā)平臺落實好各項任務(wù)，整治各個環(huán)節(jié)存在的問題。

?

行業(yè)執(zhí)法。在以網(wǎng)信辦、工信部、公安部為代表的綜合性網(wǎng)絡(luò)安全與數(shù)據(jù)保護(hù)執(zhí)法之外，各個行業(yè)主管部門也在不斷推進(jìn)行業(yè)監(jiān)管和執(zhí)法。以金融行業(yè)為例，作為數(shù)據(jù)密集型領(lǐng)域，金融領(lǐng)域數(shù)據(jù)合規(guī)也愈發(fā)受到監(jiān)管部門關(guān)注。根據(jù)一行兩會所公布的涉及數(shù)據(jù)監(jiān)管相關(guān)行政處罰數(shù)據(jù)不完全統(tǒng)計，金融機(jī)構(gòu)所涉違法違規(guī)事由關(guān)鍵詞可總結(jié)為數(shù)據(jù)質(zhì)量、數(shù)據(jù)處理合規(guī)、數(shù)據(jù)安全管理、個人信息主體權(quán)利保護(hù)四大方面。

點(diǎn)擊可查看大圖

2021年《汽車數(shù)據(jù)安全管理若干規(guī)定》（“《若干規(guī)定》"）生效，確立了汽車數(shù)據(jù)的強(qiáng)監(jiān)管趨勢，今年更進(jìn)一步深化了監(jiān)管規(guī)則和監(jiān)管手段。2022年，延續(xù)去年的汽車年報要求，各地網(wǎng)信辦陸續(xù)發(fā)布通知，要求本省內(nèi)汽車數(shù)據(jù)處理者開展2022年度汽車數(shù)據(jù)安全管理情況的年度報送工作。結(jié)合數(shù)據(jù)跨境等新法規(guī)的要求，細(xì)化了年報要求。在標(biāo)準(zhǔn)方面，信安標(biāo)委于10月19日發(fā)布《信息安全技術(shù) 汽車數(shù)據(jù)處理安全要求》（“《汽車數(shù)據(jù)要求》"），首次從國標(biāo)層面針對汽車數(shù)據(jù)處理者如何落實《若干規(guī)定》提出了全方位的要求。對《若干規(guī)定》一些規(guī)則的理解也曾引發(fā)業(yè)內(nèi)的諸多討論，例如，何謂“增強(qiáng)行車安全的目的"，如何理解“無法征得同意"與“向車外提供車外個人信息"以及“匿名化處理"的順序和邏輯，成為實務(wù)中困擾車企的難題。《汽車數(shù)據(jù)要求》針對由《若干規(guī)定》引發(fā)的實務(wù)難題一一展開回應(yīng)，為車企落實《若干規(guī)定》提供重要參考和指引。此外，《汽車數(shù)據(jù)要求》與各省近期發(fā)布的汽車數(shù)據(jù)安全管理情況報告模板的結(jié)構(gòu)存在高度相似性，可以理解，《汽車數(shù)據(jù)要求》也是監(jiān)管部門開展監(jiān)管工作的重要參考。

?

2022年4月15日，工信部裝備工業(yè)發(fā)展中心發(fā)布《關(guān)于開展汽車軟件在線升級備案的通知》，明確汽車OTA升級備案管理相關(guān)事項。2020年11月以來，我國對汽車OTA監(jiān)管不斷加碼，政策也逐步落地，本次升級備案的落地意味著我國正式進(jìn)入OTA監(jiān)管時代。工信部于2022年3月發(fā)布的《2022年汽車標(biāo)準(zhǔn)化工作要點(diǎn)》中，明確提及2022年工信部將開展汽車OTA升級管理試點(diǎn)，OTA相關(guān)強(qiáng)制性國家標(biāo)準(zhǔn)也將陸續(xù)出臺。

?

2022年8月30日，自然資源部發(fā)布《自然資源部關(guān)于促進(jìn)智能網(wǎng)聯(lián)汽車發(fā)展維護(hù)測繪地理信息安全的通知》，明確智能網(wǎng)聯(lián)汽車安裝或集成了衛(wèi)星導(dǎo)航定位接收模塊、慣性測量單元、攝像頭、激光雷達(dá)等傳感器后，在運(yùn)行、服務(wù)和道路測試過程中對車輛及周邊道路設(shè)施空間坐標(biāo)、影像、點(diǎn)云及其屬性信息等測繪地理信息數(shù)據(jù)進(jìn)行采集、存儲、傳輸和處理的行為，屬于測繪活動，納入測繪監(jiān)管。企業(yè)存在向境外傳輸相關(guān)空間坐標(biāo)、影像、點(diǎn)云及其屬性信息等測繪地理信息數(shù)據(jù)行為或計劃的，要依法履行對外提供審批或地圖審核程序等，在此之前應(yīng)停止數(shù)據(jù)境外傳輸行為。相關(guān)企業(yè)應(yīng)盡快申辦導(dǎo)航電子地圖制作等測繪資質(zhì)，或委托具有相應(yīng)測繪資質(zhì)的單位開展。

2022年，在很多企業(yè)的合規(guī)任務(wù)清單中，跨境數(shù)據(jù)合規(guī)落地應(yīng)該是排在最優(yōu)先級。對于數(shù)據(jù)出境安全自評估和申報工作，既具有法律性也具有技術(shù)性，申報時限緊張，企業(yè)要組織法律、合規(guī)、技術(shù)和業(yè)務(wù)等部門共同參與，需要協(xié)同境內(nèi)和境外的資源，具有很大的挑戰(zhàn)性。有效管理數(shù)據(jù)出境合規(guī)項目是項目成功的關(guān)鍵，我們根據(jù)實務(wù)經(jīng)驗總結(jié)了“七步法"來實施出境項目，如下圖。

點(diǎn)擊可查看大圖

針對自評估工作，我們建議遵循“四流程"的方法具體展開，具體如下圖。

點(diǎn)擊可查看大圖

全球數(shù)字化轉(zhuǎn)型的步伐浩浩湯湯，數(shù)字技術(shù)的進(jìn)步一日千里。2022年6月22日，中央全面深化改革委員會第二十六次會議審議通過《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》，提出四個方面的要求：一是要建立數(shù)據(jù)產(chǎn)權(quán)制度，健全數(shù)據(jù)要素權(quán)益保護(hù)制度；二是要建立合規(guī)高效的數(shù)據(jù)要素流通和交易制度，完善數(shù)據(jù)全流程合規(guī)和監(jiān)管規(guī)則體系，建設(shè)規(guī)范的數(shù)據(jù)交易市場；三是要完善數(shù)據(jù)要素市場化配置機(jī)制，更好發(fā)揮政府在數(shù)據(jù)要素收益分配中的引導(dǎo)調(diào)節(jié)作用，建立體現(xiàn)效率、促進(jìn)公平的數(shù)據(jù)要素收益分配制度；四是要把安全貫穿數(shù)據(jù)治理全過程，明確監(jiān)管紅線。國務(wù)院于6月23日發(fā)布了《關(guān)于加強(qiáng)數(shù)字政府建設(shè)的指導(dǎo)意見》，提出構(gòu)建開放共享的數(shù)據(jù)資源體系、以數(shù)字政府建設(shè)全面引領(lǐng)驅(qū)動數(shù)字化發(fā)展等意見。中共中央和國務(wù)院于12月19日正式發(fā)布《中共中央 國務(wù)院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（“ 《數(shù)據(jù)二十條》"）?！稊?shù)據(jù)二十條》所確立的數(shù)據(jù)基礎(chǔ)制度的“四梁八柱"，即：數(shù)據(jù)產(chǎn)權(quán)制度、數(shù)據(jù)要素流動和交易制度、數(shù)據(jù)要素的收益分配制度和治理制度，就是為了解決數(shù)據(jù)要素化進(jìn)程中的現(xiàn)實困境。

?

數(shù)據(jù)要素化政策暖風(fēng)頻吹，但數(shù)據(jù)確權(quán)是數(shù)據(jù)資產(chǎn)化的前提，也是數(shù)據(jù)商業(yè)性流動的基石。我國當(dāng)前數(shù)據(jù)確權(quán)制度仍不清晰，主要體現(xiàn)在數(shù)據(jù)權(quán)利主體以及權(quán)益分配的界定上。目前數(shù)據(jù)產(chǎn)權(quán)制度建設(shè)的基本推進(jìn)思路是分類確權(quán)，推進(jìn)公共數(shù)據(jù)、企業(yè)數(shù)據(jù)、個人數(shù)據(jù)的分類分級確權(quán)授權(quán)使用；回避傳統(tǒng)法律體系中的物權(quán)、所有權(quán)或知識產(chǎn)權(quán)概念，建立數(shù)據(jù)資源持有權(quán)、數(shù)據(jù)加工使用權(quán)、數(shù)據(jù)產(chǎn)品經(jīng)營權(quán)等分置的產(chǎn)權(quán)運(yùn)行機(jī)制，健全數(shù)據(jù)要素權(quán)益保護(hù)制度。

?

在數(shù)據(jù)要素流通和交易制度建設(shè)方面，2022年4月發(fā)布的《中共中央國務(wù)院關(guān)于加快建設(shè)全國統(tǒng)一大市場的意見》提到，要加快培育數(shù)據(jù)要素市場。國家工業(yè)信息安全發(fā)展研究中心發(fā)布的《2022年數(shù)據(jù)交易平臺發(fā)展白皮書》顯示，截至2022年8月，全國已成立44家數(shù)據(jù)交易機(jī)構(gòu)，此后又有蘇州、廣州、深圳等地的數(shù)據(jù)交易所相繼揭牌，全國掀起了新一輪的數(shù)據(jù)交易市場建設(shè)浪潮。

數(shù)據(jù)安全認(rèn)證業(yè)已成為一個被普遍接受的國際實踐，第三方認(rèn)證機(jī)構(gòu)按照認(rèn)證標(biāo)準(zhǔn)對數(shù)據(jù)處理者進(jìn)行技術(shù)驗證、現(xiàn)場核查和獲證后監(jiān)督，從而證明數(shù)據(jù)處理者的安全能力達(dá)到特定的標(biāo)準(zhǔn)，認(rèn)證具有權(quán)威、中立和長效的優(yōu)勢。2022年11月4日，市監(jiān)總局、網(wǎng)信辦發(fā)布《關(guān)于實施個人信息保護(hù)認(rèn)證的公告》及《個人信息保護(hù)認(rèn)證實施規(guī)則》，將個人信息保護(hù)認(rèn)證分為不含跨境處理活動認(rèn)證及包含跨境處理活動的認(rèn)證兩類。一旦發(fā)布認(rèn)證機(jī)構(gòu)名單，個人信息保護(hù)認(rèn)證工作就可以正式開展。之前于6月9日，市監(jiān)總局、網(wǎng)信辦發(fā)布《關(guān)于開展數(shù)據(jù)安全管理認(rèn)證工作的公告》及《數(shù)據(jù)安全管理認(rèn)證實施規(guī)則》，決定開展數(shù)據(jù)安全管理認(rèn)證（“DSM"）工作，鼓勵網(wǎng)絡(luò)運(yùn)營者通過認(rèn)證方式規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，取得DSM認(rèn)證在一定程度上可作為企業(yè)數(shù)據(jù)安全合規(guī)管理工作的證明。加上2019年市場監(jiān)管總局、中央網(wǎng)信辦決定開展的App安全認(rèn)證工作，至此，數(shù)據(jù)安全三個認(rèn)證已經(jīng)成型。

點(diǎn)擊可查看大圖

在立法方面，《國務(wù)院2022年度立法工作計劃》將《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》（網(wǎng)信辦組織起草）和《未成年人網(wǎng)絡(luò)保護(hù)條例》（網(wǎng)信辦起草）列入年度立法計劃。我們認(rèn)為，考慮到日益加強(qiáng)未成人保護(hù)的大環(huán)境，《未成年人網(wǎng)絡(luò)保護(hù)條例》于2023年出臺是大概率事件。而對于《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》，由于條例包含內(nèi)容非常廣泛，有些新設(shè)定的監(jiān)管制度尚存在一定的爭議，立法難度相對會更大一些?！豆I(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》在2022年底前發(fā)布，也給了一個預(yù)示，在三部大法框架之下，越來越多的行業(yè)數(shù)據(jù)監(jiān)管將由部門規(guī)章來承擔(dān)。

?

數(shù)據(jù)出境監(jiān)管機(jī)制完全落地實施?！稊?shù)據(jù)出境安全評估辦法》已在2022年正式實施，2023年3月1日該辦法所設(shè)定的整改寬限期到期，會逐步成為一種常態(tài)化的出境監(jiān)管機(jī)制。《個人信息出境標(biāo)準(zhǔn)合同規(guī)定》預(yù)計會在2023年早期公布，作為基礎(chǔ)性的個人信息出境合規(guī)路徑，企業(yè)將會更多地采用標(biāo)準(zhǔn)合同來實施跨境數(shù)據(jù)傳輸，而對應(yīng)的個人信息保護(hù)影響評估及備案程序，將是企業(yè)的挑戰(zhàn)。《個人信息保護(hù)認(rèn)證實施規(guī)則》公布后，認(rèn)證活動即將正式開展，可能會成為跨國企業(yè)或集團(tuán)企業(yè)的偏愛。監(jiān)管部門為了促進(jìn)數(shù)據(jù)跨境傳輸監(jiān)管措施的落地，在2023年就嚴(yán)重的違規(guī)數(shù)據(jù)跨境傳輸行為進(jìn)行執(zhí)法處罰，也是順理成章。

?

重要數(shù)據(jù)的識別。重要數(shù)據(jù)的識別一直是一個困擾業(yè)界的問題，可能屬于強(qiáng)監(jiān)管領(lǐng)域中的最大不確定之一，今年開展的數(shù)據(jù)出境安全評估工作又一次把這個話題拉入視野。我們預(yù)計，未來重要數(shù)據(jù)的識別規(guī)范會沿著兩個路徑徐徐展開，一方面，國家統(tǒng)一的識別規(guī)則，比如《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》和國標(biāo)《重要數(shù)據(jù)識別規(guī)則》，會確定重要數(shù)據(jù)的定義、范圍、識別原則與識別流程；另一方面，行業(yè)重要數(shù)據(jù)清單則會通過行業(yè)的規(guī)章或標(biāo)準(zhǔn)來更加清晰地界定。

?

與數(shù)據(jù)有關(guān)的國家標(biāo)準(zhǔn)。根據(jù)信安標(biāo)委發(fā)布的《2022年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)立項項目清單》，2023年值得關(guān)注的國家標(biāo)準(zhǔn)制定有《重要數(shù)據(jù)處理安全要求》、《敏感個人信息處理安全要求》、《個人信息跨境傳輸認(rèn)證要求》和《大型互聯(lián)網(wǎng)企業(yè)內(nèi)設(shè)個人信息保護(hù)監(jiān)督機(jī)構(gòu)要求》等。

?

追逐數(shù)據(jù)要素化紅利。預(yù)計在2023年隨著數(shù)據(jù)產(chǎn)權(quán)制度的逐步建立及確權(quán)授權(quán)使用規(guī)則的清晰，數(shù)據(jù)要素化政策將進(jìn)一步推進(jìn)，各地數(shù)據(jù)交易機(jī)構(gòu)亦將在數(shù)據(jù)產(chǎn)品設(shè)計和交易方式上日趨活躍。掌握數(shù)據(jù)資源的企業(yè)可以考慮追逐政策和市場紅利，盤活數(shù)據(jù)資產(chǎn)，置身于數(shù)據(jù)要素化的大潮。12月舉辦的中央經(jīng)濟(jì)工作會議指出，我國要大力發(fā)展數(shù)字經(jīng)濟(jì)，提升常態(tài)化監(jiān)管水平，支持平臺企業(yè)在引領(lǐng)發(fā)展、創(chuàng)造就業(yè)、國際競爭中大顯身手。這是一個積極復(fù)蘇和大力促進(jìn)數(shù)字產(chǎn)業(yè)的明顯信號，2023年可以期待有更多的對數(shù)字經(jīng)濟(jì)的溫暖政策。

?

域外數(shù)據(jù)風(fēng)險。2020年Schrems II 案的判決，正式宣布?xì)W盟-美國有關(guān)個人數(shù)據(jù)的隱私盾協(xié)議無效，但美歐也在今年達(dá)成了《跨大西洋數(shù)據(jù)隱私框架》，歐盟委員會并在今年年底啟動了通過歐盟-美國數(shù)據(jù)隱私框架充分性決定的程序，這將解決跨大西洋數(shù)據(jù)流動的不確定性。Schrems II案后，歐盟數(shù)據(jù)保護(hù)委員會（EDPB）明確要求在依據(jù)SCCs作為數(shù)據(jù)跨境傳輸保障機(jī)制時應(yīng)進(jìn)行數(shù)據(jù)跨境傳輸評估（TIA），尤其強(qiáng)調(diào)要評估第三國的數(shù)據(jù)保護(hù)法律或?qū)嵺`，以保證數(shù)據(jù)接收方可以達(dá)到與傳輸方所在國家/地區(qū)的同等保護(hù)水平。目前中國企業(yè)廣泛采用SCCs作為涉歐數(shù)據(jù)傳輸?shù)谋Ｕ蠙C(jī)制，而在域外所開展的TIA實踐中，往往對中國法律環(huán)境產(chǎn)生一些誤解誤讀，導(dǎo)致中國企業(yè)實施數(shù)據(jù)傳輸?shù)某杀咎嵘?。另外，考慮到國際關(guān)系的急劇變化，某些國際關(guān)系因素會投射到企業(yè)數(shù)據(jù)跨境風(fēng)險上，我們要警惕所謂的“數(shù)據(jù)脫鉤"。總之，中國企業(yè)將域外數(shù)據(jù)向境內(nèi)的傳輸行為可能會遇到越來越多的法律或非法律的挑戰(zhàn)。