數據合規觀察 | 2021年網絡安全與數據保護法律體系建設與2022年趨勢研判_風聞

走出去智庫觀察

2021年，我國在網絡安全和數據保護領域的立法仍然高歌猛進，可謂立法的“大年”。隨着11月1日《個人信息保護法》的生效，我國網絡空間監管的立法框架基本塵埃落定，隨之而來的配套法規和規範性文件的制定將成為重點。

面對豐碩的立法成果，企業的壓力在於如何儘快認知、識別風險和確保合規落地。在進入2022年之際，走出去智庫(CGGT)特約法律專家、中倫律師事務所合夥人陳際紅以一篇年度法律觀察奉獻給同仁，期待為企業數據合規工作帶來一些啓示和指引。

今天，走出去智庫（CGGT）刊發陳際紅律師的文章，供關注數據合規的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、《數據安全法》確立了數據分類分級的基本制度，設立了數據安全審查制度，並且較為全面地構建了我國數據跨境流動的監管制度。

2、汽車全產業鏈涵蓋交通、公共服務、工業製造等行業，智能網聯汽車配備了各種網絡系統，處理大量的數據，隨着智能網聯汽車保有量的增大，與國家安全、公共利益和個人利益關係愈發密切。

3、企業數據合規策略一定是根據企業數據處理活動的敏感程度、可投入資源，基於合規措施與風險相適應的原則量身而制。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/****陳際紅

走出去智庫(CGGT)特約法律專家

中倫律師事務所合夥人********一、立法觀察：“三駕馬車”架構下逐漸完善的法律體系

《個人信息保護法》於2021年11月1日正式實施，從個人信息處理的基本原則、合法性基礎、主體權利到處理者系列法律義務等方面，確立了與歐盟《通用數據保護條例》（General Data Protection Regulation，以下簡稱“GDPR”）基本相當的保護水準。從頒佈到正式實施，雖僅有兩個多月的時間，但給企業的合規落地帶來了不小的壓力。與GDPR相比，《個人信息保護法》的處罰手段更為豐富，除了同樣的高額罰款之外，還包括停業整頓、吊銷執照等行政處罰措施，亦可以對直接責任人員施以罰款及一定期間的職業禁入的處罰。儘管如此，《個人信息保護法》的最終實施水平還取決於未來配套法規對模糊法律條文的明晰、執法和司法裁判的指引，以及企業合規工作中的實踐。

我們認為，在《個人信息保護法》下，企業未來將面臨五大合規風險：

**《數據安全法》於2021年9月1日正式實施。**作為“數據安全領域的基礎性法律”，《數據安全法》重點關注數據安全保障制度方面的建設，此類制度建設看似多為自上而下的“頂層設計”與“制度構建”，然而其背後卻藴含着企業數據處理活動中應遵守的法律義務。尤其是，《數據安全法》確立了數據分類分級的基本制度，設立了數據安全審查制度，並且較為全面地構建了我國數據跨境流動的監管制度。

**“三駕馬車”架構。**與2017年6月1日生效的《網絡安全法》一起，上述三部基礎性法律共同構成了我國網絡空間監管的“三駕馬車”。三部法律沒有主次之分，都應當是企業在合規實施中對標的法律基準，只不過根據企業的業務類型不同，三部法律適用的緊密程度有所不同。如果要對各自的監管重點範圍做一個劃分，《網絡安全法》側重於網絡安全等級保護制度、網絡關鍵設備和網絡安全專用產品檢測與認證體系、關基保護、網絡安全審查、信息網絡內容安全及網絡安全監測預警和信息通報制度等；《數據安全法》則主要監管數據處理活動，包括數據分類分級保護制度、重要數據和國家核心數據管理、數據安全風險預警及應急處置機制、數據安全審查制度和數據跨境流動監管等；《個人信息保護法》規定了個人信息的保護，包括個人信息範圍的界定、個人信息處理基本原則及具體規則、個人信息跨境流動規則、個人信息主體權利及保護、處理者的安全義務等。

**《網絡數據安全管理條例》。**2021年11月14日，國家互聯網信息辦公室公佈《網絡數據安全管理條例（徵求意見稿）》（以下簡稱“《數安條例》”）。《數安條例》以 “三駕馬車”作為上位法，內容龐大，既有對“三駕馬車”中重要但又落地細節不足條款的細化和補充，也增設了一些新的制度體系。因《數安條例》具有較大的立法空間，未來可能成為“三駕馬車”框架制度體系下具體實施規則的決定者，該條例的發佈引起了社會的極大關注，也引發了學者和業界專家的廣泛爭議，學者和業界專家亦對某些監管機制的合理性和平衡性提出了意見。

**網絡安全審查制度的修訂。**網絡安全審查制度是國家安全審查制度的一部分，在2017年《網絡安全法》生效的伊始，我國就頒佈了《網絡產品和服務安全審查辦法（試行）》（以下簡稱“《審查辦法》”）。2020年6月1日，新生效的《網絡安全審查辦法》取代該《審查辦法》。某知名互聯網出行企業在外國上市引發網絡安全審查是今年廣受關注的一個事件，該事件源於監管部門對跨境資本市場活動所帶來的數據安全問題的擔憂。今年的7月10日，國家互聯網信息辦公室發佈《網絡安全審查辦法（修訂草案徵求意見稿）》，並公開徵求意見。此次修訂，首先是增加《數據安全法》為立法依據，為監管數據處理活動提供了直接的法律依據；其次，徵求意見稿擴大了網絡安全審查的適用，將數據處理活動納入到網絡安全審查的範圍，將網絡安全審查的義務主體涵蓋到數據處理者；第三，明確掌握超過100萬用户個人信息的數據處理者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。

**數據出境安全評估與標準合同條款。**網信辦於10月29日發佈《數據出境安全評估辦法（徵求意見稿）》，並公開徵求意見。同時，關於《個人信息出境標準合同規定》也正密集地在內部徵求意見。數據出境涉及國家安全和重大公共利益，是數據監管的最重要的環節之一。目前，這兩個法律文件可謂箭在弦上，隨時待發。

除了以上的立法之外，備受矚目的《關鍵信息基礎設施安全保護條例》於9月1月正式實施，與《網絡安全法》一起構建了國家關鍵信息基礎設施安全保護體系的頂層設計。此外，網信辦等五部門聯合發佈的《汽車數據安全管理若干規定（試行）》自 2021年10月1日起施行，開啓了我國汽車數據安全強監管時代。

在地方立法方面，《上海市數據條例》和《深圳經濟特區數據條例》分別將於2022年1月1日實施。

二、執法觀察：從行政執法邁向多元治理模式

**APP專項治理。**自2019年開展App違法違規收集使用個人信息專項治理行動以來，App個人信息保護行動不斷深化持續至今。今年以來，由網信辦等四部門聯合印發的《常見類型移動互聯網應用程序必要個人信息範圍規定》於2021年5月1日正式施行，為判斷必要個人信息的範圍設定了明確的邊界。網信辦、工信部和公安部聚焦超範圍收集、未經同意收集使用、未提供撤回同意選項等侵犯用户權益的痛點問題，累計通報了逾千款App。在未來監管要求和趨勢方面，一是治理內容精細化，監管重點將主要集中在“超範圍收集與功能無關個人信息”、“強制或頻繁索要無關權限”、“無法註銷”、“SDK治理”等更加細緻具體的問題上；二是落實應用分發平台責任，應用分發平台應當落實平台內App信息公示責任、平台管理責任；三是不斷提高技術檢測手段；四是發揮輿論監督治理作用，督促企業強化自律。

**司法解釋出台。**2021年8月1日，最高人民法院制定的《最高人民法院關於審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》（以下簡稱“《規定》”）實施。人臉識別是人工智能技術的重要應用，在為社會生活帶來便利的同時，其所帶來的敏感個人信息保護問題也日益凸顯。“人臉識別第一案”中強制顧客激活人臉識別系統，體現出人臉識別技術廣泛應用與個人信息保護的矛盾日益尖鋭。我國過去長期以行政監管和刑事懲戒作為個人信息保護的主要規制手段，基於民事司法裁判的規制不清晰、原告舉證責任難以實現等原因，以民事途徑維護個人信息權益的司法實踐並不順暢。《規定》的實施，結合《個人信息保護法》確立的侵害個人信息權益的過錯推定責任模式，將激活有關人臉識別個人信息保護案件的民事司法保護途徑。

**公益訴訟。**在《個人信息保護法》頒佈的第二天，即8月21日，最高人民檢察院下發《關於貫徹執行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知》，要求檢察院切實加大辦案力度，推動公益訴訟條款落地落實，形成個人信息保護多元共治新格局。此舉措是對《個人信息保護法》第七十條之公益訴訟條款的有力支撐。事實上，個人信息保護作為檢察公益訴訟新領域之一，在最高人民檢察院2020年9月出台的《關於積極穩妥拓展公益訴訟案件範圍的指導意見》中，已經將個人信息保護作為網絡侵害領域的辦案重點。

刑事保護。《刑法修正案（九）》將“出售、非法提供公民個人信息罪”和“非法獲取公民個人信息罪”整合為“侵犯公民個人信息罪”，擴大了犯罪主體和侵犯個人信息行為的範圍。2017年，《最高人民法院、最高人民檢察院關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》發佈。考慮個人信息犯罪較低的入刑門檻，刑事風險的防範一直是企業數據合規工作的底線。據最高人民法院統計，2017年6月至2021年6月，全國法院新收侵犯公民個人信息刑事案件10059件，審結9743件，生效判決人數21726人，對3803名被告人判處三年以上有期徒刑，比例達17.50%。

三、熱點掃描：數據治理的焦點

**境外上市之網絡安全審查。**今年某知名互聯網出行企業在國外上市引發的網絡安全審查，使得網絡安全審查制度成為社會關注的焦點。對於資本市場從業者而言，最關注的莫過於境外上市所引發的網絡安全審查，要想境外上市，先過網絡安全這一關。對比《審查辦法》和《數安條例》，我們得出以下的觀察：一是《數安條例》和《審查辦法》都採用了“一百萬”作為申報標準，最終稿採用百萬人作為申報門檻似乎是大概率事件；二是赴國外上市與赴港上市監管條件不同。相較於對國外上市所採取的一刀切的量化標準，赴港上市的網絡安全審查採取是風險導向的標準，只有確實存在影響或可能影響國家安全的風險，才會觸發網絡安全審查，這個監管尺度顯然要比國外上市寬鬆許多。上述出行企業決定從美國退市到香港上市，也印證了監管部門對兩地市場不同的風險判斷；三是《數安條例》通過使用“處理”和“數據處理者”等概念明確了網絡安全審查的適用範圍。

**平台算法治理。**8月27日，網信辦發佈《互聯網信息服務算法推薦管理規定（徵求意見稿）》，並公開徵求意見，這是我國第一部專門規制算法應用的立法，甚至在世界範圍內也尚屬首例。9月17日，網信辦等九部委聯合發佈《關於加強互聯網信息服務算法綜合治理的指導意見》，要求利用三年左右時間，逐步建立治理機制健全、監管體系完善、算法生態規範的算法安全綜合治理格局。最近的一系列有關算法治理的立法和監管行動，預示着中國對網絡空間的治理已經逐步從數據治理邁向了算法治理。事實上，企業的算法治理和數據治理密不可分，或者説一個良好的數據治理體系是開展算法治理的基礎。

**汽車數據進入強監管時代。**2021年10月1日，《汽車數據安全管理若干規定（試行）》（以下簡稱“《若干規定》”）施行。《若干規定》作為我國首個汽車行業數據安全方面的部門規章，開啓了我國汽車數據強監管時代。臨近年底，上海市、廣東省、天津市、河北省等多省市網信辦依據《汽車數據安全管理若干規定（試行）》第十三條規定，要求汽車數據處理者開展2021年度汽車數據安全管理情況報送工作，預示着《若干規定》實實在在地落地實施。

汽車全產業鏈涵蓋交通、公共服務、工業製造等行業，智能網聯汽車配備了各種網絡系統，處理大量的數據，隨着智能網聯汽車保有量的增大，與國家安全、公共利益和個人利益關係愈發密切。近期有關智能網聯汽車的產業政策或監管政策正密集發佈，2021年3月23日，深圳市人大常委會發布《深圳經濟特區智能網聯汽車管理條例（徵求意見稿）》，進一步放寬智能網聯汽車道路測試和示範應用相關條件。2021年3月24日，公安部發布《道路交通安全法（修訂建議稿）》，首次嘗試在法律層面明確具有自動駕駛功能的汽車進行道路測試和通行的相關要求，並對自動駕駛車輛違法行為和事故責任分擔進行了規定；儘管於4月正式通過的《道路交通安全法》修正案暫未採納前述修訂，但這也體現了我國監管部門將自動駕駛納入法律監管的意圖。2021年4月7日，工信部發布《智能網聯汽車生產企業及產品准入管理指南（試行）》（徵求意見稿），針對申請准入的具備有條件自動駕駛、高度自動駕駛功能的智能網聯汽車生產企業及其產品，規定了一系列安全保障能力要求、產品必備功能及准入測試要求。此外，信安標委於2021年10月8日發佈《汽車採集數據處理安全指南》，明確了對汽車採集數據開展傳輸、存儲和出境等處理活動的安全要求。

**隱私計算。**2021年一個廣受關注的技術話題是隱私計算的發展和應用。2020年4月9日，中共中央、國務院發佈《關於構建更加完善的要素市場化配置體制機制的意見》首次將數據作為新型生產要素。數據要素化要求數據的流動和交換，從而實現數據的生產價值。而制約數據交換和流動的主要因素包括隱私保護、數據權屬的不清晰等。隱私計算是指在保證數據提供方不泄露原始數據的前提下，對數據進行分析計算的一系列信息技術，從而實現數據在流通與融合過程中的“可用不可見”。業界對隱私計算破解數據流動難題寄予厚望，比如，於今年3月成立的北京國際大數據交易有限公司，宣稱是國內首家基於“數據可用不可見，用途可控可計量”新型交易範式的數據交易所。我們認為，隱私計算不是萬能的靈丹妙藥，可能只能解決一部分數據保護問題，隱私計算的輸出仍有可能構成個人信息。隱私計算技術加法律上的數據合規方案，才是完整的解決路徑。

四、合規落地：由表及裏，逐步推進

企業以“三駕馬車”作為法律基準，搭建全面的數據合規體系是個具有挑戰的任務。一方面，諸多的配套法律尚未制定，監管執法尺度亦不清晰，法律對於合規落地的指引性尚不充分；另一方面，業界在諸多層面缺乏成熟的良好實踐，能參照的經驗不多，比如如何有效地獲得“單獨同意”；再則是源於時間的緊迫，並受制於企業資源的投入。基於此，我們建議企業可以從宏觀策略和實際落地兩大方向出發，由表及裏，逐步推進企業數據合規建設：

**首先企業要制定可行的數據合規策略。**企業數據合規策略一定是根據企業數據處理活動的敏感程度、可投入資源，基於合規措施與風險相適應的原則量身而制。在合規實施上，可以採用“由表及裏，逐步推進”的方式。從宏觀策略上來看，先設定一個“quick win”的階段目標，集中解決外部網絡產品等易受用户投訴及監管關注的高風險場景的合規，完成隱私政策修改和設置、暢通數據主體行權渠道、完成與第三方商業夥伴的數據處理協議等。在此基礎上，企業再進入全面合規體系的構建階段，構建層次化（自上而下管理，自下而上落實）、全面化（覆蓋數據全生命週期）和重點化（重點環節、重點領域、重點管控）的數據合規管理體系。

**其次是設置數據合規管理機構。**徒法不足以自行，企業無崗位和職責設定，所有的合規都是紙上談兵。法律上講，《數據安全法》規定了重要數據處理者的數據安全負責人，《網絡安全法》規定了網絡安全負責人，《個人信息保護法》規定了個人信息保護負責人，這些法定義務要求企業予以遵照實施。除了依法設立的基本崗位外，對於很多互聯網平台企業及其它數據處理活動比較密集的企業，還會成立企業的隱私保護/數據合規委員會。通常而言，隱私保護/數據合規委員會採用跨部門協同的方式，負責數據合規相關的重要戰略制定、跨部門問題的決策，確保數據保護納入公司戰略。在執行層面，法務、合規、安全、技術和產品等不同的角色根據職能承擔不同的數據保護任務。

從實操層面來看，我們認為以下幾個關鍵環節需引起企業的特別重視：

**（1）風險識別。**風險識別的前提是全面梳理數據處理活動，盤點數據資產，建立企業的數據清單和數據流轉圖。在此基礎上，對重點業務場景進行合規差距分析、識別風險，並對風險進行分級，在此基礎上制定合規整改的優先順序和實施路徑。

**（2）制度體系構建。**對於覆蓋數據全生命週期的合規制度建設，三部基本法都有規定。數據保護合規規則體系分三層次構建：第一層次為政策，作為公司關於數據保護合規的綱領性文件，將在其中明確整體戰略目標、基本路徑、職責劃分等內容；第二層次為手冊，作為整體政策與具體規範的串聯，是可供員工在具體業務場景下實際操作的指南與工具，將覆蓋典型業務場景及普通員工的日常活動場景；第三層次為具體規範文本，作為具體的制度、流程及表單、模板庫，是合規工作開展的具體依據。

**（3）數據本地化與數據跨境路徑。**對於國際化經營的企業而言，數據本地化及跨境傳輸的路徑選擇是其面臨的一個比較亟迫且棘手的問題。數據本地化存儲，意味着資源的投入、IT架構的重新設定和業務流程的變化。一般而言，在考慮數據本地化必要性方面，要綜合考慮業務的類型（2C還是2B）、處理數據的量（是否超過網信辦的標準）、服務客户的類型（是否有CIIO客户），以及處理數據的性質（是否包含重要數據或受特定監管的數據）後加以確定。

**（4）開展個人信息影響評估及個人信息保護合規審計。**開展個人信息安全影響評估（以下簡稱“PIA”）的目的是檢驗數據處理活動的合法合規程度、發現潛在風險並判斷風險程度。PIA 首先是一項法定的合規義務，在《個人信息保護法》和《兒童個人信息網絡保護規定》等規定中都有明確的要求；其次，PIA 是一種普遍適用的數據處理活動風險評估方法論，可以作為一個有效的數據合規工具。除PIA外，另外一個重要的合規機制則是合規審計，審計工作是對數據合規工作的一種審視和監督，以發現數據保護工作中的疏漏和差距，對此《個人信息保護法》亦有明確要求。關於推進審計工作的重點和方法，可以參照中國信息通信研究院最近牽頭編寫的《關於推進個人信息保護合規審計的若干建議》。據此，我們建議PIA和合規審計應當成為企業數據合規體系中的基礎性制度。

**（5）信息安全事件應急機制。**一旦發生數據泄露事件，就可能演化成一場企業的危機，對此，企業要有應急預案。應急預案至少要包括風險識別和鎖定、應急處理機制、報告和通知機制以及公關應對機制等，並定期進行演練活動。對於國際公司而言，數據事件往往涉及不同法域，處理難度更大，因此需提前建立起能覆蓋各法域、應對各類安全事件的法律資源網作為有效支撐。

**（6）樹立合規標杆。**數據合規意味着資源的投入，合規同時也是價值的創造。通過數據合規項目，企業可以有效地避免法律風險，也可以申請數據保護相關認證，樹立合規標杆，打造合規品牌。

五、趨勢研判：密集的配套法規及標杆性的執法案件

在2022年，我們預計：

**三部大法的配套法規會密集出台。**據報道，目前網信辦正在抓緊制定各項配套法規規章，包括《網絡數據安全管理條例》《數據出境安全評估辦法》《個人信息出境標準合同規定》《人臉識別技術應用安全管理暫行規定》，以及數據安全、個人信息保護的合規審計制度和相關標準規範。另外，我們預計《網絡安全審查辦法》的修訂工作也會完成，據此把境外上市等活動引發的數據安全審查工作納入有效的監管機制。當然，包括工信部、市監總局、公安部、人行等在內的部門和行業立法也會非常活躍，信安標委和行業標準制定機構也會密集推出一批國家和行業標準，尤其會聚焦於金融數據、平台數據、車聯網數據等領域。

**與個人信息保護有關的執法活動將深入開展。**在《個人信息保護法》生效之前，執法機構以APP為抓手，連續地開展了App違法違規收集使用個人信息專項治理工作，突出治理App強制授權、過度索權、超範圍收集個人信息，以及違規收集個人信息的現象。在2022年，借《個人信息保護法》生效的東風，與個人信息保護有關的執法活動必將更加深入，比如，包括隱私政策設置的透明性、獲取用户同意的有效性、跨境數據傳輸的合法性等方面，也可能產生在處罰數額上創記錄的標杆性執法案件。

**平台治理的分類分級監管。**2021年，以《國務院反壟斷委員會關於平台經濟領域的反壟斷指南》為標誌，監管和執法機構開展了一場轟轟烈烈的平台經濟反壟斷、防止資本無序擴張的行動。考慮到中央確定的2022年經濟工作 “穩字當頭、穩中求進” 的主基調，2022年關於平台經濟更加嚴苛的監管措施應當會減少，監管部門將會基於“大平台、大責任、高標準”的分類分級思路推進平台治理工作。平台治理工作重點可能包括兩大方面，一是《個人信息保護法》第五十八條對重要互聯網平台服務的監管，會伴隨着《數安條例》的落地而具有更清晰的法律要求；二是平台的算法治理，在《互聯網信息服務算法推薦管理規定（徵求意見稿）》發佈實施的預期下，監管機構會逐漸落實平台算法的分類分級、備案管理和安全評估制度。

**重要數據識別和跨境數據監管。**重要數據的處理活動和跨境數據傳輸會引發國家安全和重要公共利益的考慮，歷來是數據安全監管的重點。2021年，重要數據的識別和監管率先在汽車數據領域展開，預計2022年重要數據識別的一般法律規則會出台生效，各行各業的重要數據識別會逐次展開，監管部門和行業主管部門也會把重要數據處理活動監管逐步納入程序化的軌道。對於跨境數據的流動，預計隨着《數據出境安全評估辦法》和《個人信息出境標準合同規定》的頒佈生效，必將成為企業合規的重點和監管的焦點。

**民事訴訟和公益訴訟會顯著增加。**如前文所述，《個人信息保護法》確立了侵害個人信息的過錯推定責任，非常可能會激發產生大量關於個人信息權益保護的民事案件。事實上，在2021年，各地法院已經受理了一批類似的案件。在民事訴訟案件中，數據處理者承擔自證清白的責任，而企業合規制度的構建和執行是最主要的證明手段。公益訴訟對企業的品牌和聲譽具有很大的殺傷力，也值得平台類企業密切關注社會熱點和監管重點，通過提前的合規部署化解潛在公益訴訟的發生。

來源：中倫視界