其他
中国数据合规制度2021年总结与2022年展望
The following article is from 数据法盟 Author 王源
2021年是中国网络安全和数据保护立法迸发的一年,从中央到地方、各部门、各行业、各领域新增或者修改的有实质影响力的法规或者草案超过50份。搭建了完整的数据保护框架,人脸识别数据、汽车数据、个人征信信息、算法规制、向境外提供数据等特定数据领域的处理规则得到细化。国家层面网信部门统筹协调职能增强,国际层面数据区域内自由流动趋势明显。我们分别从十个方面进行总结与展望。
#01
网信部门统筹协调作用进一步加强
在内容监管方面,2021年1月,网信办发布,拟在“国务院电信主管部门”等基础上增加“国家网信部门”作为监管机构,拟增加互联网网络接入服务提供者信息安全义务和真实身份查验要求,拟增加规定互联网信息服务提供者应当“建立互联网新业务安全评估制度”等。随后,(2021年1月,网信办)、(2021年12月,网信办)发布。需要关注现有规则(2016,网信办)、(2016,网信办)、(2016,网信办)、(2017,网信办)(2017,网信办)、(2017,网信办)等是否将进一步朝着从严方向修改,以及互联网电子邮件、域名、互联网视听节目、互联网药品、互联网金融信息等专项规定方面与工信部等主管部门的工作协调机制。
在网络数据监管方面,“着力夯实数字基础设施建设水平”是“十四五”信息化规划的首要重大任务。列入(2017,网信办)的设备和产品,应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。具备资格的机构指国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室按照国家有关规定共同认定的机构。截止2021年12月21日,已有62款产品通过公安部计算机信息系统安全产品质量监督检测中心检测,获得网络安全专用产品安全检测证书。根据(2019,网信办),为提高党政机关、关键信息基础设施运营者采购使用云计算服务的安全可控水平,云服务商可申请对面向党政机关、关键信息基础设施提供云计算服务的云平台进行安全评估。截止2021年12月24日,已有65个云平台通过中国网络安全审查技术与认证中心评估,评估有效期为3年。
在算法规制方面,(2021,网信办)规定利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局,在未来三年,算法规制应该是监管部门工作重点。(2021,网信办)对算法、自动化决策、个性化营销推送等进行了更具体的规定,但这些具体规定实际在合规落地方面还是非常原则性,需要最佳实践指导。
互联网信息服务市场准入方面,2021年10月8日,发改委公开征求对的意见,为第5次对市场准入负面清单进行修改。重申非公有资本不得从事新闻采编播发业务,并拟强调非公有资本不得投资设立和经营新闻机构、非公有资本不得经营新闻机构的版面、频率、频道、栏目、公众账号等、非公有资本不得从事涉及关系政治方向、舆论导向和价值取向等活动、事件的实况直播业务、非公有资本不得引进境外主体发布的新闻、非公有资本不得举办新闻舆论领域论坛峰会和评奖评选活动。2021年12月27日发改委发布,为第5次对外商投资准入负面清单进行修改。拟增加从事《外商投资准入负面清单》禁止投资领域业务的境内企业到境外发行股份并上市交易的,应当经国家有关主管部门审核同意,包括禁止外资投资的互联网新闻信息服务、网络出版服务、网络视听节目服务、互联网文化经营(音乐除外)、互联网公众发布信息服务等。这些禁止类互联网信息服务提供者直接海外上市或者通过VIE结构间接上市均有可能需要证监会或者其行业主管部门审核同意。实际上,类似要求在(2021年7月,人民银行)中即有规定,通过协议控制架构等方式赴境外首次公开发行股票需要向人民银行报告。
#02
数据安全和个人信息保护立法框架建立,App纵深执法频率增加
《数据安全法》是中国数据安全领域的一部基础性法律,也是《国家安全法》下总体国家安全观的一个重要方面和环节。建立健全数据安全治理体系,提高数据安全保障能力,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
《个人信息保护法》从个人信息处理的合法、正当、必要和诚信原则,收集处理个人信息的“告知-同意”及例外规则,敏感个人信息特殊处理规则、跨境提供、个人权利和个人信息处理者的地位和义务,履行个人信息保护职责的部门等方面进行规定。其中取得个人单独同意、公共场所图像和生物识别信息处理、获得个人同意之外的合法处理事由等为适用中的难点。
工信部等继续加强执法力度,多次通报或者下架违法《个人信息保护法》的App,问题集中在超过必要种类和频率等过度收集或使用地理位置、通讯等个人信息,不给权限不让用、要求一揽子授权等手机系统权限问题,未列举第三方SDK等个人信息保护政策条款问题,私自共享、频繁征求同意、自启动和关联启动、无法关闭定向推送功能、无法注销等问题。2021年10月15日,“工信部下架96款侵害用户权益APP、通报3款违规SDK”首次通报SDK;2021年11月3日,网信海南“关于对‘[某]自助点餐’等11款小程序违法违规收集使用个人信息情况的通报”首次通报小程序。工信部共三次就App超范围索取权限、过度收集用户个人信息等问题“回头看”并通报。
制度层面,(2021年3月,网信办)规定39类移动互联网应用程序保障App基本功能服务正常运行所必需的个人信息种类,明确App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。
自2019年1月国家网信办、工信部、公安部、市场监管总局“四部门”发布后,工信部先后于2019年和2020年发布的“337号”文和《关于开展纵深推进App侵害用户权益专项整治行动的通知》的“164号”文,作为App治理主要细化依据。(2021年4月,工信部)和的“524行动”(工信部,2021年11月)要求“双清单”,即各相关企业应于2021年12月底前完成建立已收集个人信息清单和与第三方共享个人信息清单,并在APP二级菜单中展示,方便用户查询。
从目前趋势看,App个人信息保护执法力度仍然会增强,尤其是小程序、SDK第三方共享以及算法推荐等方面为监管重点。2022年为《个人信息保护法》正式施行的第二年,其规定了最高人民币5000万元或者年营业额5%的罚款,消费者组织和检察院等均可以提起公益诉讼且举证责任倒置,平台需要“自证清白”,对于作为个人信息处理者的大型平台来说,均有承担行政处罚或者民事赔偿的风险,庭审时是否能出具个人信息保护制度文件及其完善程度和措辞规范程度将直接关系到诉讼的胜败及承担责任大小。
2021年4月22日,最高人民检察院发布检察机关个人信息保护公益诉讼典型案例11件。2021年8月21日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》,明确个人信息保护公益诉讼五个办案重点,分别为敏感信息、弱势群体、民生产业、处理100万人以上信息、特定对象,这些也自然应当是数据合规重点关注问题。
#03
数据跨境规则逐渐明晰,本地化要求增强、海外上市受限
2021年10月29日,网信办向社会公开征求意见,对中国境内收集和产生的重要数据和个人信息向境外提供提出了评估要求,其中重要数据、关键信息基础设施收集的个人信息、处理个人信息达到100万人、累计向境外提供超过10万人以上个人信息或者1万人以上敏感个人信息均需进行自评估或者向网信部门申报评估。需要关注评估流程、合同模板等细化规定和指引出台。
数据出境安全评估规定最早见于2017年《网络安全法》,要求对关键信息基础设施产生的个人信息和重要数据的境外提供进行评估。规定关键信息基础设施运营者在内的所有运营者均需评估。《网络安全等级保护条例(征求意见稿)》规定第三级以上网络确需进行境外远程技术维护的,应当进行网络安全评估。2017年的《个人信息和重要数据出境安全评估办法(征求意见稿)》、2019年的《个人信息出境安全评估办法(征求意见稿)》、国家标准《信息安全技术数据出境安全评估指南(征求意见稿)》也对数据出境有过规定。《数据出境安全评估办法(征求意见稿)》正式生效后,应当统一适用。
美国时间2021年6月30日,中国某网约车企业在美国纽交所上市;2021年7月2日网信办对该企业实施网络安全审查,截止2021年7月9日共下架该企业25款App;2021年12月3日,该企业启动在纽交所退市工作和香港上市的准备工作。在此期间,网信办于2021年7月10日发布《网络安全审查办法(修订草案征求意见稿)》,在网络安全审查制度的基础上增加了数据安全审查的规定,不仅针对关键信息基础设施运营者采购网络产品和服务的供应链安全,还针对影响国家安全的“数据处理者开展数据处理活动,掌握超过 100 万用户个人信息的运营者赴国外上市”审查。与海外上市审查相关的制度还有:
2020年3月《证券法》,境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。
2021年7月6日,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》,抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。加强跨境信息提供机制与流程的规范管理。坚持依法和对等原则,进一步深化跨境审计监管合作。
2021年7月23日,商务部、中央网信办、工信部《数字经济对外投资合作工作指引》“完善对外投资备案报告制度”。“鼓励数字经济企业完善内部合规制度,严格落实我国法律法规有关数据出境安全管理的规定”“健全数据安全管理制度,采取必要技术措施,保护数据安全和个人信息。”
2021年12月24日,证监会会同国务院有关部门对《国务院关于股份有限公司境外募集股份及上市的特别规定》提出了修订建议,研究起草了《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》,并同步起草了《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,向社会公开征求意见。
除了上述证券行业和海外上市情形,金融、医疗健康、汽车、交通地理等行业或领域均有数据出境或者本地化要求。2020年《出口管制法》等配套法律法规对两用物项、军品、核、导弹、化学品、生物两用品、核两用品的货物、技术、服务的出口管制明确包括其技术资料等数据,数据出口需要遵守专门的规定。
#04
促进区块链技术发展,虚拟货币监管趋严
《区块链信息服务管理规定》(2019,网信办)规定促进区块链技术及相关服务的健康发展,同时要求区块链信息服务者履行备案手续,截止2021年11月9日,已经有1500家左右的公司分六批完成备案,完成备案的区块链信息服务涉及药品食品溯源和供应链、电子数据司法存证和文件验证签署、金融、艺术品鉴赏、音乐娱乐、健康旅游、信息服务等。
区块链底层技术和服务在中国不违法,但是基于区块链的比特币等代币发行和融资为中国法律所禁止,具体规定体现在被称为“94禁令”的《关于防范代币发行融资风险的公告》(2017,人民银行等)和“289号文”的《关于防范比特币风险的通知》(2013,人民银行等)。代币兑换、买卖、定价、信息中介、保险、账户开立、登记、交易、清算、结算、储存、托管、抵押、发行、信托、基金投资共16种行为被禁止。但是根据《民法典》,比特币等代币的数据、网络虚拟财产性质在司法实践中被裁判机关认可,特定情况下个人场外交易受到保护,矿机买卖和挖矿行为并不违法。例如2019年杭州互联网法院在网络购物合同纠纷案((2018)浙01民终10053号)中判决,比特币…具有商品属性,可以作为商品被依法使用货币购买,我国法律、行政法规并未禁止比特币以及比特币“挖矿机”买卖。2018年北京海淀法院在合同纠纷案((2018)京01民终9579号)中判决,比特币发行网站A公司应当向原告发放比特币现金38.748个,比特币为民事利益,可以作为商品交换,受法律保护。冯某作为持有比特币的“民事利益”的权利人,有权获取等额的比特币现金。
但自2021年开始,监管趋严。《关于防范虚拟货币交易炒作风险的公告》(2021年5月,互联网金融协会等)、《关于整治虚拟货币“挖矿”活动的通知》(2021年9月,发改委)、《关于进一步防范和处置虚拟货币交易炒作风险的通知》(2021年9月,人民银行等)趋严监管体现在:(1)重申虚拟货币相关业务活动属于非法金融活动,涉嫌非法发售代币票券、擅自公开发行证券、非法经营期货业务、非法集资等;(2)禁止互联网平台企业会员单位为虚拟货币相关业务活动提供网络经营场所、商业展示、营销宣传、付费导流等服务;(3)境外虚拟货币交易所通过互联网向我国境内居民提供服务同样属于非法金融活动,境内人员不得为其提供营销宣传、支付结算、技术支持等服务;(4)任何法人、非法人组织和自然人投资虚拟货币及相关衍生品,违背公序良俗的,相关民事法律行为无效,由此引发的损失由其自行承担;(5)虚拟货币“挖矿”能源消耗和碳排放量大,内蒙古、云南、新疆、青海、四川、安徽各省开始清理关停虚拟币挖矿项目。
上述2021年趋严监管主要体现在禁止为虚拟货币提供信息中介和平台服务、禁止境内人员向面向境内居民销售的虚拟货币提供支持服务、投资虚拟货币民事行为无效、清退挖矿。这种趋严监管直接体现在法院判决中。2021年12月15日北京朝阳法院判决原告委托被告的比特币“挖矿”合同无效,因此被告无需向原告支付278个左右比特币的数据增值收益,同时向四川省发改委提出清理整治的司法建议。根据政策趋势,之前法院判决认定的比特币等代币的虚拟财产性质在司法实践中有所动摇。
2019年,基于区块链技术的中国央行数字货币DCEP正式在银行和各支付场景进行试点。国家法定数字货币之外的虚拟货币发行、融资、交易均属于非法行为。从刑事法律角度,涉及罪名包括非法吸收公众存款或变相吸收公众存款,非法集资罪,擅自发行股票、公司、企业债权,洗钱罪,组织、领导传销活动罪,非法获取计算机信息系统数据罪,诈骗罪等;从民事法律角度,无论是通过交易所交易或者场外个人交易的虚拟货币理财、挖矿等合同被认定为无效的可能性极大,无法获得增值虚拟货币收益,甚至无法要求返还本金;境内向境外交易所提供的支持、宣传服务违法,挖矿、矿机销售将逐步清退取缔。
#05征信信息“断直连”
第一次为“非银行支付机构– 银行”模式改为“非银行支付机构– 网联平台– 银行”的支付模式断直连,依据为《中国人民银行支付结算司关于将非银行支付机构网络支付业务由直连模式迁移至网联平台处理的通知》(2017,人民银行),微信、支付宝等非银行支付机构发起的涉及银行账户的网络支付业务由银行直连模式迁移至支付清算协会建设的“非银行支付机构网络支付清算平台”,于2018年6月30日完成。
第二次为“个人信用信息源–金融机构”改为“个人信用信息源– 持牌个人征信机构–金融机构”的征信数据断直连,依据为《征信业务管理办法》(2021年9月,人民银行),信用信息包括基本信息、借贷信息、其他相关信息,以及基于前述信息形成的分析评价信息四种,其中“其他信息”包括所有可以判断信用状况的“替代数据”,范围很宽泛,消费购物、行程等其他所有信息均有可能成为替代数据。利用替代数据为金融和经济活动提供信用管理服务,在本质上属于征信活动,需要纳入征信监管,这是人民银行的基本思路。目前,取得中国人民银行个人征信机构许可的机构仅两家,分别是百行和朴道,其股东均为互联网公司或者“国字头”的金融公司,金融机构如果需要进行授信审查、风险控制,目前只能从百行和朴道获得征信信息,由百行和朴道从信息提供者处收集个人信用信息再提供给金融机构,金融机构不能直接外包个人信用信息评估业务。
《征信业务管理办法》对金融机构和以前直接向金融机构提供个人信用信息的信息提供者的业务模式影响均较大,金融机构需要重新梳理与持牌个人征信机构的合作掐断数据接口,信息提供者和持牌征信机构也需要按照《征信业务管理办法》履行数据安全义务和个人信息保护义务,包括向个人告知、处理个人不良信息异议、征信信息接入基础数据库和上报人民银行、对禁止采集信息等进行分类,这些均为《征信业务管理办法》规定的全新义务,需要结合《个人信息保护法》和《个人金融信息保护技术规范》等核心规定,对现有业务和流程进行整改和优化。此外,金融机构不仅包含银行或者非银行支付机构,还包括国务院金融管理部门监督管理的从事金融业务的机构,例如基金证券、保险等,范围大于仅适用于银行和非银行支付机构的《金融消费者权益保护实施办法》。此外,还建议关注个人征信机构牌照在2022年是否会继续向百行和朴道之外的机构颁发,我们认为,即使增加持牌个人征信机构,数量也不会很多,否则不利于数据集中和统一管理。
2021年也是对非银行支付机构严监管的一年,从数据保护角度,《非银行支付机构条例(征求意见稿)》(2021年1月,人民银行)规定了非银行支付机构个人信息保护义务以及被认定为关键信息基础设施时的信息本地化存储义务。
#06加强数据反垄断和反不正当竞争立法及执法力度
2021年全年,中国对互联网平台的反垄断罚款累计不低于人民币200亿,反垄断罚款金额以上年度销售额的1%-10%计算。2021年10月23日,人大常委对《中华人民共和国反垄断法(修正草案)》进行了审议,拟增加“经营者不得滥用数据和算法、技术、资本优势以及平台规则等排除、限制竞争。”2021年2月7日,《国务院反垄断委员会关于平台经济领域的反垄断指南》正式生效,预防和制止平台经济领域垄断行为,禁止“二选一”、“大数据杀熟”,强化反垄断和防止资本无序扩张。对数据和算法引发的垄断行为的三种形态(达成垄断协议、滥用市场支配地位、形成经营者集中)的新问题进行了规定。
就垄断协议而言,通过数据、算法、平台规则或者其他方式实质上存在协调一致的行为也被视为垄断协议。与算法与数据相关的规则包括:(1)利用平台收集并且交换价格、销量、成本、客户等敏感信息等可能构成横向垄断协议;(2)利用数据和算法对价格进行直接或者间接限定可能构成纵向垄断协议;(3)平台经营者和平台内经营者之间利用技术手段、平台规则、数据和算法等方式可能构成轴辐垄断协议。
就滥用市场支配地位而言,包括进行不公平价格行为、低于成本销售、拒绝交易、限定交易、搭售或者附加不合理交易条件、差别待遇六种行为。与算法与数据相关的规则包括:(1)要求平台内经营者在竞争性平台间进行“二选一”可能构成限定交易;(2)强制收集非必要用户信息可能构成搭售等不合理交易条件;(3)基于大数据和算法,根据交易相对人的支付能力、消费偏好、使用习惯等,实行差异性交易价格或者其他交易条件可能构成差别待遇。
就经营者集中而言,判断经营者集中是否构成垄断需要考虑多个因素,与算法和数据相关的因素包括:(1)活跃用户数、点击量、使用时长;(2)掌握和处理数据的能力、对数据接口的控制能力;(3)用户在费用、数据迁移、谈判、学习、搜索等各方面的转换成本;(4)不恰当使用消费者数据损害消费者利益。
《网络交易监督管理办法》(市场监管总局,2021年5月)、《互联网平台分类分级指南(征求意见稿)》(市场监管总局,2021年10月)、《互联网平台落实主体责任指南(征求意见稿)》(市场监管总局,2021年10月)陆续出台,对网络交易经营者的个人信息保护义务进行规定,包括“不得采用一次概括授权、默认授权、与其他授权捆绑、停止安装使用等方式,强迫或者变相强迫消费者同意收集、使用与经营活动无直接关系的信息。收集、使用个人生物特征、医疗健康、金融账户、个人行踪等敏感信息的,应当逐项取得消费者同意。”,互联网平台共有六大类,分别为网络销售类平台、生活服务类平台、社交娱乐类平台、信息资讯类平台、金融服务类平台、计算应用类平台;互联网平台共有三个级别,分别为超级平台(活跃用户不低于5亿、市值不低于10000亿人民币等)、大型平台(活跃用户不低于5000万、市值不低于1000亿人民币等)、中小平台。
#07人脸识别特殊规制
人脸识别为通过面部特征识别个人的过程。通过拍摄设备、发光源、传感器等从活体或者视频图片中采集提取有区别、可重复的人脸特征数据后,在人脸识别系统中进行注册、提取特征值、搜索、匹配、分析、计算、验证、比对等自动化数据处理。人脸识别信息属于生物识别信息的一种,为敏感信息。在公共和商业场景、人工智能领域的应用具有价值高、风险大的特点,应用方式有四种:一对一验证、一对多识别、持续追踪、深度分析。人脸识别带来的风险具有不可预知性,从国外情况看,整体趋于审慎。
自2019年开始,美国和欧洲的城市、高科技跨国公司纷纷限制和禁止人脸识别技术的应用,中国媒体也对地产、消费品行业违法使用人脸识别信息的新闻进行了报道。中国一家人工智能企业于2021年12月30日在香港成功上市,之前美国财政部称该企业的人脸识别技术协助军方识别少数民族,将该企业列入涉军企业名单,最终的发行将美国人排除在购买其股票之外并退还申请股款。中国从个人信息保护角度专门对人脸识别问题进行规定始于2019年左右,包括立法、司法解释、国家标准、团体标准等。
从中央立法来看,2021年7月,《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》首次专门对人脸识别中的个人信息保护问题进行规定,列举了宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等,重点规定小区物业等不能以人脸识别作为出入唯一验证方式,应提供其他合理验证方式。《个人信息保护法》(2021年11月,人大常委)规定在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的;取得个人单独同意的除外。
从地方立法来看,《深圳经济特区数据条例》(2021年7月,深圳)规定,处理生物识别数据的,应当在征得该自然人明示同意时,提供处理其他非生物识别数据的替代方案。《天津市社会信用条例》(2021年1月,天津)规定,市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。涉及反恐怖主义、出入境管理、刑事犯罪等公共立法中对人脸信息的采集有特殊规定,其他各行业部门并没有看到关于人脸识别信息保护的专项规定。
从国家标准和行业标准来看,《人脸识别数据安全要求(征求意见稿)》(2021年4月,信安标委)正式征求意见,电信终端产业协会还制定了团体标准《APP收集使用个人信息最小必要评估规范人脸信息》,金标委制定了《人脸识别线下支付安全应用技术规范》等。
#08用户画像、定向推送、自动化决策等算法规制
个人信息处理者直接或者从其他渠道间接收集的个人信息被分类整理,然后按照多个维度给用户群体或者用户个人贴上标签(例如年龄段、居住城市、性别等),形成“用户画像”;获得“用户画像”信息后,进一步分析和预测用户群体或者用户个人的行为,从而精准推送信息或者广告,为“定向推送”;如果再进一步根据这些信息做出对个人有影响力的决定,则为“自动化决策”。自动化决策可以依据“用户画像”反映的信息进行,也可以不依据这些信息而直接做出。
《个人信息保护法》(2021年11月,人大常委)关于定向推送和自动化决策的核心规定为,应当保证决策的透明度和结果公平、公正,保障个人选择权、拒绝权、知情权。《互联网信息服务算法推荐管理规定(征求意见稿)》(网信办,2021年8月)进行了细化,例如,App应当向用户提供关闭定向推送的按钮,用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务,从用户界面、推送内容、内部标签模型管理制度等方面进行了细化。《机器学习算法安全评估规范(征求意见稿)》(2021年8月,信安标委)正式征求意见,其中有不少伦理、制度措施的规定,填补了人脸识别和生物识别信息领域国家标准仅局限在技术措施的一些空缺。
对算法的规制应成为数据治理的核心。目前执法层面主要集中在对App申请使用的手机系统操作权限、App弹窗、个人信息保护政策文本、通过SDK等向第三方传输信息检测等几个方面,集中在信息收集阶段;信息使用阶段如何将数据共享、汇聚、训练、标记、计算才能真正达到治理与促进的平衡,保护个人信息和隐私。
#09首部汽车数据专项规定试行
2021年10月1日,由网信办牵头制定的《汽车数据安全管理若干规定(试行)》正式施行,为汽车领域首部专门针对数据的规定,要求严于《个人信息保护法》等一般规定,重点规制汽车重要数据和敏感个人信息。
《汽车数据安全管理若干规定(试行)》规定了三种报告评估制度。年报制度要求处理重要数据的汽车数据处理者每年12月15日之前通过省级网信部门报送年度汽车数据安全管理情况。在2021年12月初,天津、河北、广东、上海等网信部门在微信公众号催报,实践中报送效果是否理想不得而知。汽车数据处理者和重要数据范围均比较宽泛,例如,《重要数据识别指南(征求意见稿)》(2021年11月9日,信安标委)确定的重要数据范围就有所不同,当然应当以《汽车数据安全管理若干规定(试行)》为准,10万人个人信息、人脸信息、车牌等车外视频图像均为重要数据。此外还有主管部门可以主动进行数据安全评估和处理者处理重要数据自评估两项要求。
《汽车数据安全管理若干规定(试行)》对敏感信息设定详细的特殊处理规则,要求具有直接服务于个人的目的、取得个人单独同意、个人可以自主设定同意期限、应个人要求于10个工作日内删除等,车辆行踪轨迹、音频、视频、图像和生物识别特征等信息均为敏感信息,补充了《个人信息保护法》的规定。就一般个人信息而言,限制汽车数据共享、营销、默认不收集、地理位置精度范围适用等,整体体现为“汽车数据不出车”。
2021年10月,信安标委发布《汽车采集数据处理安全指南》,以指南方式细化了技术要求,此后《汽车采集数据的安全要求(征求意见稿)》也正式征求意见,将汽车数据分为车外数据、座舱数据、运行数据、位置轨迹数据四种,远程平台存储不超过14天,车外数据、座舱数据、位置轨迹数据不出境等。信安标委在早些时候还制定发布有《网络预约汽车服务数据安全指南(征求意见稿)》、《车载网络设备信息安全技术要求》等。
工信部和汽车标准化技术委员会也有自己的标准体系。工信部主要集中在智能网联汽车,汽车标准化技术委员会主要集中在个人信息之外的汽车数据。例如,2022年1月1日《汽车事件数据记录系统》正式实施,为强制性的国家标准,9座及以下乘用车辆必需遵守。自2017年开始制定的国家车联网产业标准体系建设指南分为智能网联汽车、电子产品与服务、信息通信、总体要求、车辆智能管理等,2021年2月增加《国家车联网产业标准体系建设指南(智能交通相关)》部分。从世界范围来看,该部分研究均处于初级阶段,最新进展包括欧盟网络安全局(ENISA)2021年2月11日发布《人工智能应用于自动驾驶的网络安全挑战》,德国2021年3月9日《修订交通法和强制保险法的草案,亦称L4级自动驾驶法案》等。
#10 数据区域内自由流动趋势各国均将数据作为经济发展新引擎,抢占人工智能、大数据计算创造的网络空间新战略高地,维持和增强国家整体经济实力。一方面要保护个人信息,另一方面要发展和利用数据,二者均需符合国家利益诉求。
2019年初,WTO成员国启动电子商务和数据流动条款谈判,目前已有多个国家提案,但是要所有国家达成一致非常艰难。目前数据在区域内自由流动的趋势明显,韩国于2021年12月通过欧盟充分保护国家认定,成为欧盟第14个“白名单”国家。亚洲太平洋经济合作组织(APEC)、《区域全面经济伙伴关系协定》(RCEP)、《全面与进步跨太平洋伙伴关系协定》(CPTPP)等均对数据跨境传输和自由流动有规定,每种区域规则下均有十几个以上国家形成自己的“朋友圈”。以中国加入的RECP为例,电子商务数据在RECP国家之间可以自由流动,不得以要求缔约方将其计算设施“本地化”作为商业行为的条件,通过电子方式跨境传输信息的基本原则为缔约方应允许电子商务电子信息的自由跨境,但需要符合合法的公共政策目标和保护基本安全利益所必要的措施。
欧盟法院判决欧洲经济区向美国转移个人数据的便捷机制“隐私盾”框架无效后,同时确认了通过签署标准合同条款将个人数据从欧洲经济区转移至美国仍然有效。此后欧盟委员会修订了标准合同条款,于2021年6月24日生效,适用于欧洲经济区成员国以及其他适用《通用数据保护条例》的法域向其他法域转移个人数据。新修订的标准合同条款最大的变化在于将多个合同范本合并为一个,不再像旧版本那样根据数据控制者和数据处理者的不同角色分别适用不同范本,但是在实质上还是区分为四个模块,分别是数据“从控制者转移到控制者”、“从控制者转移到处理者”、“从处理者转移到处理者”、“从处理者转移到控制者”。数据出口方和数据进口方根据其控制者和处理者角色不同,选定适用的模块,不同模块下权利义务有所不同。
总结
总结:2022年是“十四五”信息化规划的第一年,“信息化为中华民族带来了千载难逢的机遇”。从支付“断直连”到征信数据“断直连”,从央行发行DCEP数字货币到比特币等虚拟货币发行融资交易及挖矿被全面确认为非法和清退,从App执法到数据反垄断,网络空间和数据治理领域国家意志得到进一步加强,数据本地化要求和出境评估、海外上市网络安全审查、检测、评估、认证、审批、备案制度增多。目前关于数据安全和个人信息保护规则较多,数据价值利用、“可见不可用”的隐私计算、数据托管、大数据交易等平衡促进可落地规则较少,行政执法依据多头、执法方式灵活。
2022年企业合规成本和合规义务将明显增加,需要进一步以《个人信息保护法》为基础,结合本行业规定和标准梳理合规要求、制定合规制度、选择技术工具,对直面监管的高风险数据处理行为优先整改,慢慢将数据合规要求植入业务常规发展之中,数据合规不同于传统网络安全,要求企业具备整合数据政策、法律、技术、制度的立体能力。2022年建议关注依据《个人信息保护法》的高额罚款或者民事诉讼,目前处于征求意见阶段的数据出境评估、算法推荐等各规则正式生效,中国版个人信息出境标准合同、人脸识别技术应用安全、合规审计等细化规则也将出台。
编辑排版丨王梦雨
审核人员丨蒋秋怡
本文声明丨本文章仅为交流之目的,不代表北大法宝的法律意见或对相关法规/案件/事件等的解读。
▼往期精彩回顾▼
谁是新中国第一个法学博士 前42个法学博士又是哪些
法律博士专业学位点重磅来袭
中共中央 国务院印发《法治政府建设实施纲要(2021-2025年)》
骑手谜云:法律如何打开外卖平台用工的「局」
点击下方公众号名片
获取更多信息