2023,你过得好吗?
随着2023年度听歌报告、年度账单的陆续出炉,2023年也在悄然间走到了尾声。2023年的最后一个工作日,等到了表决通过并将于2024年7月1日起施行的新修订《公司法》,没等到国庆节前最后一个工作日公开征求意见的《规范和促进数据跨境流动规定(征求意见稿)》正式出台。
从年初首发《个人信息出境标准合同办法》,到岁末未发《规范和促进数据跨境流动规定》,数据跨境成为贯穿2023年始终的数据合规关键词,个中跌宕起伏唯有亲历者方深有所感。但数据合规的2023,不只有数据跨境。
“十”在国人心中具有特殊的意义。我们今日奉上十大立法、十大事件,不足以概括,但希望能够代表数据合规的2023。
《个人信息出境标准合同办法》自2023年6月1日起施行;配套的《个人信息出境标准合同备案指南(第一版)》自2023年5月30日起施行。按照国家网信部门制定的标准合同与境外接收方订立合同进行个人信息出境,得以落地执行。
《个人信息出境标准合同办法》及其配套规定《个人信息出境标准合同备案指南(第一版)》的施行,拉开2023年度数据跨境立法大幕的同时,也与2023年2月底结束整改过渡期的《数据出境安全评估办法》一起,成为规范2023年度数据跨境的两大重要立法,为不同情形下的数据跨境指明了方向、明确了准则。但此时又有多少人能够想到,后续《规范和促进数据跨境流动规定(征求意见稿)》的发布,会为数据跨境特别是个人信息出境标准合同备案带来什么样的影响?
2. 《信息安全技术 个人信息处理中告知和同意的实施指南》
《信息安全技术 个人信息处理中告知和同意的实施指南》自2023年12月1日起实施,其规定了告知、同意的适用情形、实施方式、实施要求等内容,并规定了十余种常见场景下的告知同意的实施内容,以及可推定为同意的情形示例。
《个人信息保护法》第十三条将处理个人信息的合法性基础扩充至七项,但基于个人同意仍然为处理个人信息最常见的合法性基础。此外,无论适用哪项合法性基础处理个人信息,除特定情形外,告知均为绕不开的合规要求。也正因此,我们将《信息安全技术 个人信息处理中告知和同意的实施指南》纳入十大立法。当然,其本身为推荐性国家标准,不具有强制执行力,但其在企业落地告知、同意要求时具有重要参考意义,在个人信息保护相关争议解决特别是就告知、同意履行的纠纷解决中也会发挥一定的作用。
3. 《生成式人工智能服务管理暂行办法》
《生成式人工智能服务管理暂行办法》自2023年8月15日起施行,对生成式人工智能服务提供者开展训练数据处理活动、对使用者的输入信息和使用记录的保护、响应个人信息权利请求等内容作出了明确规定。
ChatGPT的爆火,将生成式人工智能(AIGC)的热度推向了顶峰。AIGC的背后,涉及大量训练数据的处理;AIGC的使用,需要使用者输入信息,这些都决定着AIGC天然与数据合规强相关。随着“文心一言”等国产大语言模型的快速发展和应用,AIGC中的数据合规问题,包括数据来源合规性、《隐私政策》相关的告知同意、个人信息权利响应等,将迎来更多关注、探讨和考验,预计相应的监管执法和司法案例也会陆续增多。
4. 《未成年人网络保护条例》
《未成年人网络保护条例》于2023年10月24日发布,自2024年1月1日起施行。其第四章专章规定了未成年人“个人信息网络保护”。
与自2019年10月1日起施行的《儿童个人信息网络保护规定》和敏感个人信息保护个人信息的主体范围为不满十四周岁未成年人不同,《未成年人网络保护条例》保护个人信息的主体范围扩大至未满十八周岁的公民。此外,在《个人信息保护法》规定的基础上,条例对于查阅、复制、更正、补充、删除未成年人个人信息提出了严格的细化要求。最后,条例第三十七条明确提出了每年进行处理未成年人个人信息合规审计的要求,而且需要将审计情况及时报告网信等部门。该等合规审计的开展与报告要求,需要引起关注,但其执行情况有待进一步观察。
5. 《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》自2023年12月10日起生效。
该指引对于注册于/位于粤港澳大湾区内地部分或者香港的个人信息处理者及接收方开展个人信息跨境流动具有“一定”的“松绑”意义,主要体现在符合其适用要求的无需开展数据出境安全评估、《个人信息保护影响评估报告》无需作为备案材料等方面。就《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》内容而言,相较于《个人信息出境标准合同》的内容并未发生实质利好变化(相反在“再流转”等问题上作出了额外限制)。
6. 《个人信息保护合规审计管理办法(征求意见稿)》
《个人信息保护合规审计管理办法(征求意见稿)》于2023年8月3日公开征求意见。
作为《个人信息保护法》第五十四条的配套立法,办法规定了个人信息保护合规审计的频次要求、审计自行开展和监管要求开展的不同要求、审计参考要点等内容。其中,审计参考要点对于《个人信息保护法》的全面落地提出了细化的要求,对于企业开展个人信息合规工作具有重要指导意义。而实践中,在办法征求意见稿发布后,探索开展个人信息保护合规审计的企业明显增多。
7. 《人脸识别技术应用安全管理规定(试行)(征求意见稿)》
《人脸识别技术应用安全管理规定(试行)(征求意见稿)》于2023年8月8日公开征求意见。
自2021年央视“3.15晚会”曝光部分商家开展无感人脸识别开始,人脸识别的合规热度一直居高不下。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》,为人脸识别信息保护明确了相应的司法依据。规定征求意见稿则首次从配套立法方面,明确了不同场所、不同主体基于不同用途进行人脸识别信息处理的合规要求,并对处理人脸信息的个人信息保护影响评估提出了细化的要求。此外,规定征求意见稿还新提出了特定主体的备案要求,人脸识别的合规义务进一步增加。
8. 《规范和促进数据跨境流动规定(征求意见稿)》
《规范和促进数据跨境流动规定(征求意见稿)》于2023年9月28日公开征求意见。
作为2023年度最浓墨重彩的数据合规立法,其对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定作出了堪称“颠覆性”的修改,“松绑”效应显著。受其影响,相当一部分企业的个人信息出境标准合同备案工作在10月、11月中上旬进入了观望期,因为如果规定正式施行且内容未发生实质变化,这些企业无需再进行备案。遗憾的是,其正式稿迟迟未出,11月中下旬,备案工作不得已又“仓促”恢复开展,毕竟《个人信息出境标准合同办法》规定的整改过渡期结束之日为11月30日。而如今,《规范和促进数据跨境流动规定(征求意见稿)》也要跨年了,还有多少人仍然在翘首期盼其正式出台?
9. 《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》
《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》于2023年12月15日公开征求意见。
计划规定了数据要素×金融服务、医疗健康等十二个领域的重点行动,并明确了指导思想、基本原则、总体目标等内容,对于落实《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(数据20条),发挥数据要素乘数效应,赋能经济社会高质量发展具有重要的指导价值。
《网络安全事件报告管理办法(征求意见稿)》于2023年7月10日公开征求意见。
办法征求意见稿对网络安全事件的分级、报告时间、报告内容等作出了明确的规定。办法正式出台后,目前实践中存在的不知道如何报告网络安全事件等问题有望得到显著改善。
a. 国家互联网信息办公室关于《网络安全事件报告管理办法(征求意见稿)》公开征求意见的通知
1. 经报网安审查办公室同意,“滴滴出行”恢复新用户注册
2023年1月16日,滴滴出行官方微博发布信息,宣布经报网安审查办公室同意,即日起恢复“滴滴出行”的新用户注册。
回顾过往,2021年7月2日,网安审查办公室对“滴滴出行”启动网络安全审查;2021年7月4日,国家网信办下架“滴滴出行”App;2022年7月21日,国家网信办对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。滴滴出行被实施网络安全审查,并因违规处理个人信息等被作出80.26亿元的“天价”顶格处罚,引爆了社会各界对于网络安全审查和个人信息保护的关注,成为数据合规领域的经典案例。随着“滴滴出行”恢复新用户注册,这一事件正式落下帷幕,但其影响力之广,前无古人,后恐也难有来者。
2. 全国首个获批数据出境安全评估案例和首家企业个人信息出境标准合同备案通过案例落地
首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目,成为全国首个获批数据出境安全评估案例。北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同通过北京市网信办组织的备案审核,成为首家通过订立标准合同实现个人信息合规出境的企业。
首案落地,往往会引发较多关注,但其对于多数企业申报数据出境安全评估或进行个人信息出境标准合同备案的参考价值,相对有限。整体而言,通过数据出境安全评估和完成个人信息出境标准合同备案的企业仍然较少。而《规范和促进数据跨境流动规定(征求意见稿)》如能正式出台,将显著“松绑”数据出境监管,相当一部分企业的合规义务和合规成本将大大减轻。
3. 工业和信息化部立即查处“3·15”晚会报道的破解版APP违法违规收集用户个人信息行为
据2023年央视“3·15”晚会报道,十余款破解版App通过内置SDK的方式,窃取手机设备识别号等用户手机中的大量关键信息,形成用户的精准画像,从而推送大量的广告,实现流量变现。工业和信息化部立即组织相关通信管理局对有关线索进行调查,依法处理违法违规主体,并加强对APP和SDK的技术检测和监督检查。
自2019年开始,APP违法违规处理个人信息的技术检测和监督检查逐渐常态化,中央由工信部重点监管、地方由通信管理局重点监管,主要监管动作包括检测、要求整改、通报、下架等。而违法违规处理个人信息的SDK也先后多次被通报。可以预见的是,APP和SDK违法违规处理个人信息的监管,依然会继续强化。
2023年3月31日,网安审查办公室决定对美光公司(Micron)在华销售的产品实施网络安全审查。2023年5月21日,美光公司在华销售的产品未通过网络安全审查。
美光公司产品未通过网络安全审查的原因为存在较严重网络安全问题隐患,对我国关键信息基础设施供应链造成重大安全风险,影响我国国家安全。后果为国内关键信息基础设施的运营者应停止采购美光公司产品。对美光公司在华销售产品进行网络安全审查的重点在于关键信息基础设施供应链安全,与“滴滴出行”“运满满”“货车帮”“BOSS直聘”被实施网络安全审查的关注重点在于数据安全存在明显区别。
5. 数据合规地方执法走向足浴店、停车场、扫码点餐等民生领域
2023年8月16日,江苏淮安一家名为“六指琴魔”的足浴店因电脑未设置密码、未建立数据安全管理制度,被当地派出所予以“责令整改和警告”的行政处罚。而在上海,2023年6月中旬启动“亮剑浦江·消费领域个人信息权益保护专项执法行动”后,上海市网信办等相关部门集中整治餐饮行业普遍存在的过度收集、频繁诱导甚至强制索取消费者非必要个人信息的违法违规行为;7月中旬以来进行扫码停车场景下强制或诱导消费者加入商场会员或关注公众号等问题的集中整治。
从江苏的数据合规执法走到足浴店、水果店、美发店等街头店铺引起热议,到上海的数据合规执法重点关注停车场、扫码点餐等消费领域,数据合规地方执法走向民生领域。对于企业而言,不应再抱有侥幸心理,毕竟街头店铺都已然被作出了数据合规的行政处罚。而2023年6月1日生效的《网信部门行政执法程序规定》,则从管辖和适用、行政处罚程序、执行和结案等方面进一步规范了网信部门的行政执法程序。
2023年8月4日,工业和信息化部发布《工业和信息化部关于开展移动互联网应用程序备案工作的通知》,要求通知发布后拟开展业务的APP应按照通知要求先履行备案手续后再开展业务,存量APP应于2024年3月底前履行备案手续。2023年8月9日,微信公众平台运营中心发布《关于开展微信小程序备案的通知》,明确自2023年9月1日起,微信小程序须完成备案后才可上架,已上架的微信小程序应于2024年3月31日前完成备案。
APP备案工作的开展,对于促进互联网行业规范健康发展、进一步做好移动互联网信息服务管理和打击治理电信网络诈骗犯罪工作具有重要意义。对于企业而言,应按照备案的时间要求、内容要求等,进行并完成APP备案。
7. 公安部公布打击侵犯公民个人信息犯罪十大典型案例
2023年8月10日,公安部公布打击侵犯公民个人信息犯罪十大典型案例,其中犯罪主体所在单位包括汽车服务公司、儿童照相馆、电信公司、房地产公司等。
数据合规领域涉及的常见犯罪包括侵犯公民个人信息罪、拒不履行网络安全管理义务罪等,其中侵犯公民个人信息罪的表现形式主要包括非法向他人出售或者提供公民个人信息、窃取或者以其他方法非法获取公民个人信息。对于企业及企业的员工而言,任何时候不得以身试法侵犯公民个人信息,否则终将玩火自焚,甚至流下铁窗泪。
8. 国家网信办对知网(CNKI)依法作出网络安全审查相关行政处罚
2023年9月1日,国家网信办发布《国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚》,责令知网主要运营主体停止违法处理个人信息行为,并处人民币5000万元罚款。
回顾过往,2022年6月23日,网安审查办公室宣布对知网启动网络安全审查。如今,知网也被作出了网络安全相关的行政处罚,处罚的事实主要包括14款App存在的违法处理个人信息行为。滴滴与知网被作出网络安全相关的行政处罚,揭晓了此前大家津津乐道的《个人信息保护法》两项顶格处罚首先“花落谁家”的答案,滴滴被罚了上一年度营业额百分之五的罚款,知网被罚了人民币5000万元。
2023年10月25日,国家数据局正式挂牌。2023年12月29日,国家数据局举行首场媒体吹风会,介绍《“数据要素×”三年行动计划(2024—2026年)》的有关情况。
国家数据局的正式运行,有助于推进数据基础制度建设,统筹数据资源整合共享和开发利用,全面赋能经济社会发展。与之相关,2023年8月21日发布将于2024年1月1日施行的《企业数据资源相关会计处理暂行规定》等政策引起了市场高度重视和响应,数据合规也将成为数据资产入表等不可忽视的关注点。
10. 支付宝、京东等5企业获颁首批个人信息保护认证证书
2023年12月15日,中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书。
个人信息保护认证,是依据GB/T35273-2020《信息安全技术 个人信息安全规范》等有关国家标准,证明个人信息处理者在认证范围内开展的个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动符合认证依据标准要求,这也是《个人信息保护法》规定的“按照国家网信部门的规定经专业机构进行个人信息保护认证”的首批落地案例。
纵览数据合规2023年度十大立法,可以抓住“配套立法”“AIGC”“跨境松绑”“数据要素”和“未成年人网络保护”五个关键词;十大事件,可以提炼“网安审查”“执法民生化”“数据跨境监管”“APP备案”和“国家数据局”五个关键词。这些穿插其中的关键词,与其他发生和存在过的数据合规点滴,共同谱写了数据合规的2023。
展望未来,数据合规的2024,我们或将见证和经历:
《个人信息保护合规审计管理办法(征求意见稿)》等十大立法中的征求意见稿均有望正式出台,其中《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》马上就要公开印发。而2021年11月14日公开征求意见的《网络数据安全管理条例(征求意见稿)》能否正式出台,尚不得而知。但可以肯定的是,2024年,还会出现新的数据合规的配套立法,并对数据合规产生重要影响。
我们依然相信,历尽千帆的《规范和促进数据跨境流动规定(征求意见稿)》,终会正式出台。其对数据跨境的松绑效应,到底有多大,影响有多深远,我们一起拭目以待。可以预见的是,其正式出台后,持续2年的数据跨境监管热度将大幅下降。
APP(含小程序)的数据合规常态执法仍将继续,并将持续加强。而SDK的监管,预计也会继续向前迈进。民生领域的数据合规,将引起更多关注、热议和影响,对于消费者的我们而言,应该带来更多便利。
伴随着新规出台、跨境松绑和常态执法,《数据安全法》《个人信息保护法》的合规落地将重新引发高度关注,而这也将回归数据合规的“初心”,落地内容主要包括个人信息保护影响评估、个人信息保护合规审计、重要数据保护、数据安全风险评估等,而《个人信息保护法》的四层级义务(内部合规、备案报送、授权审批、执法监督)也将重新回到大众视野。
以上。
再见,2023
最后,预告下我们2024年的第一场直播活动,欢迎扫码预约。
