以数字观立法:2023年数据合规领域立法盘点
立足事实,以数说法。本文希望通过关键数据的统计为业界同仁提供2023年数据要素治理与监管的重点趋势与要点洞察,帮助企业更好地立足数据经济发展基础制度与宏观框架的高度理解自身数据合规方面需关注的要点与痛点,展望数据要素价值开发的机会与市场。
作者丨李瑞 贾申 李梦涵
徐晨 马悦
诗有恒裁,思无定位,随性适分,鲜能通圆。立足事实,以数说法。本文希望通过关键数据的统计为业界同仁提供2023年数据要素治理与监管的重点趋势与要点洞察,帮助企业更好地立足数据经济发展基础制度与宏观框架的高度理解自身数据合规方面需关注的要点与痛点,展望数据要素价值开发的机会与市场。
一、2023年度立法总体观察:深化机制,灵活调整,发展与安全并重
就2023年度网络安全与数据合规立法和监管实践而言,我们根据统计数据,提炼了以下八个要点,以呈现2023年数据安全与数据合规立法和监管实践的主要基调和亮点。在下文中,我们将结合对相关公开数据的梳理,逐一展开:
1. 继续强调安全底线,守住“安全”红线不放松;
2. 国家数据局成立,数据要素价值开发利用相关立法活动迅猛发展;
3. 个人信息保护立法步伐稳步推进;
4. 继续落实数据出境监管,适时优化具体细则;
5. 聚焦生成合成类算法监管,AIGC规制元年开启;
6. 行业监管持续深化,助力重点行业数字化转型;
7. 地方立法快速发展,多元化立法体系稳步推进;
8. 行政执法程序性规定集中出台,执法与司法动态活跃。
1、继续强调安全底线,守住“安全”红线不放松
纵观2023年的立法,一个非常明确的总体基调是发展与安全并重,安全是发展的底线。我们统计了2023年在数据合规三大领域(网络安全、数据安全和个人信息保护)的立法数量占比(见下图)。可以看出,2023年度网络安全及数据安全领域的立法占比合计约为三分之二,“安全”仍是立法活动首要关注的重点。
点击可查看大图
我们在2023年初也通过公开数据的梳理展示了2022年的立法亮点和趋势,详见《星垂平野阔,月涌大江流:“二十条”指引下的中国网络与数据立法》。通过对比可以看出,相较2022年,2023年网络安全领域的立法占比增长明显,从约10%上升至35%;与此相对,数据安全领域的立法占比则有所下降,从约57%下降至约30%;个人信息保护领域占比则变化不大,呈现稳步推进的态势。
可见,在守住“安全”红线不放松的整体基调下,2023年度的立法更多聚焦于构建安全网络环境。具体而言,在网络关键设备和网络安全专用产品、网络安全事件响应、信息基础设施保护与管理、商用密码等领域均有多部重要立法问世。另一方面,数据安全立法占比下降,也并不代表数据安全要求有所放松,只是在2022年数据立法井喷的背景下,2023年的数据安全立法工作逐步进入“深水期”,依然有多部针对敏感安全领域的重要立法文件出台,例如地理信息数据治理文件等。
2、国家数据局成立,数据要素价值开发利用相关立法活动迅猛发展
自2022年12月19日,中共中央国务院对外公布的《关于构建数据基础制度更好发挥数据要素作用的意见》(“《二十条》”)出台以来,促进数据要素价值开发利用、推进数字经济发展,已经成为国家战略。除此之外,国家数据局在2023年挂牌成立,正式履新亮相,意义深远。
据我们不完全统计,2023年共计有约30份聚焦于数据要素价值开发和利用的法律法规及政策性文件出台。这一领域立法的一个明显特点是中央和地方立法工作齐头并进:除中央立法以外,各地政府及数据交易所也在如火如荼地开展建章立制工作。根据公开信息,有约15个省市陆续发布了与数据要素开发相关的地方性法规、操作指引、工作指南等文件。其中,北京、上海及浙江省的立法与其他工作文件发布工作最为活跃,分别占2023年度各省市有关数据要素规制总数的16%,16%及12%。
点击可查看大图
在《二十条》构建的框架下,数据知识产权登记试点在全国各地铺开,多家数据交易所也相继推进开展业务,各类数据交易第一单顺利完成,数据要素价值激活的链条初见雏形。截至目前,全国已建立约50家数据交易所,数据交易市场成绩斐然。以深圳交易所为例,其2023年全年交易规模超50亿元。[1]在数据知识产权登记方面,目前已有8个省市(北京、上海、江苏、浙江、福建、山东、广东、深圳)开展了数据知识产权登记工作,颁布超过2000份数据知识产权登记证书。
除数据确权及交易方面的立法和实践工作大步飞奔以外,2023年,与数据要素价值开发和利用有关的其他多项机制也崭露头角,其中最受关注的无疑是财政部于2023年8月21日发布的《企业数据资源相关会计处理暂行规定》,其中提出了“数据资产入表”这一广受关注的机制,预计将为数据要素价值的开发利用大大提速。
3、个人信息保护立法步伐稳步推进
如上文图一所示,与2022年度相比,个人信息保护的相关立法稳定输出,占比仍然在三分之一左右。我们认为,个人信息保护立法的本年度两大亮点,一个是个人信息合规审计制度的推进(《个人信息保护合规审计管理办法(征求意见稿)》),另一个则是未成年人个人信息保护制度的进一步深化(《未成年人网络保护条例》)。
4、继续落实数据出境监管,适时优化具体细则
我国数据出境监管框架在2022年已搭建成形,我们将其归纳为 “1+2”机制,即 “1项数据出境安全评估流程,外加2项未触发数据出境安全评估时可二选一的合规工具:个人信息出境标准合同或个人信息跨境处理活动安全认证。”
2023年,一方面,数据出境安全评估机制和个人信息出境标准合同备案机制稳步落地;另一方面,2023年,监管部门也在适时对数据出境监管机制进行优化调整,以更好助力经济发展与数据流通。2023年9月28日,国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》(下称“跨境新规征求意见稿”),提出了多个有利于规范和促进数据跨境流动的方案和机制。截止本文成文,这份征求意见稿尚未正式出台,也仍是企业关注度最高的数据合规领域立法文件之一。
5、聚焦生成合成类算法监管,AIGC规制元年开启
2023年,伴随着OpenAI的横空出世以及中国AIGC公司的迅速成长,监管部门在现有算法规制体系基础上出台了一系列聚焦生成合成类算法管理的细则与程序,使得2023年成为名副其实的AIGC监管元年。国家网信办发布了《生成式人工智能服务管理暂行办法》,聚焦AIGC监管的法规文件,框定了AIGC领域的监管框架。在此基础上,《人工智能法》已列入立法计划,可见在2024年,AI监管的立法框架还将不断完善。
根据公开资料,截至目前,共计约20多个AI大模型已通过备案。2023年8月31日,百度、字节跳动、腾讯等10余家公司相继宣布其大模型产品通过备案,成为首批正式上线的大模型产品。[1]2023年11月,网易有道、蚂蚁集团、面壁智能等约11家互联网公司宣布其AI大模型也已正式通过备案,成为第二批获批上线的大模型。[2]
6、行业监管持续深化,助力重点行业数字化转型
2023年度,各行业的数据合规立法体系持续深化。电信/互联网、金融、汽车、医疗是本年度立法最为活跃的四个行业,合计新增法规文件总数占本年度所有行业性数据合规立法文件总数的比例超过90%。与2022年度相比,电信/互联网领域的立法占比仍然占据行业立法的半壁江山,属于最受关注的数据领域监管行业;汽车领域和医疗领域的立法占比与2022年度基本持平,金融领域的立法比例则有所降低,进入平稳期。除此以外,网信部门也着重关注了餐饮外卖、零售等行业的数据合规风险。
点击可查看大图
7、地方立法快速发展,多元化立法体系稳步推进
2023年,我国网络安全及数据合规领域的立法继续呈现多元化的趋势,除法律法规以外,纲领性文件、规范性文件、标准、技术规范等补充性立法文件也频频出台。根据我们的统计,除延续了2022年度标准出台密集这一趋势外,部门规章及部门规范性文件、部门工作文件、行政许可批复等部门其他文件占2023年度所有立法文件的占比有显著提升,约为30%,呈现稳步推进、细化治理的特点。
2023年度,地方数据立法工作也大踏步推进。相较2022年(地方数据立法仅占所有数据立法文件10%左右),2023年度地方性法规及其他文件发布数量大幅增长,占本年度发布的所有数据合规领域立法文件的约35%。
点击可查看大图
就各地方而言,北京、上海、广东及浙江最为活跃,发布的文件总数占所有地方性立法文件的比例超过60%。具体来看,地方层面对于数据要素治理最为关注的话题为数据跨境传输及数据要素开发,这也与数据出境合规机制稳步落地及数据要素开发各地试点的趋势一致。
8、行政执法程序性规定集中出台,执法与司法动态活跃
2023年,随着数据合规执法的常态化开展,监管部门也陆续出台了行政执法的程序性要求细则,落实公开透明执法的准则,其中最受关注的包括《网信部门行政执法程序规定》《工业和信息化行政处罚程序规定》和《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》等。
2023年度另一重要要点就是行政执法与司法实践的活跃动态,北京互联网法院、广东省高院等各地法院发布了超过60个典型司法案例,涉及多个数字经济及数据开发和利用、个人信息保护等领域的前沿性法律问题,为诸多合规难点与要点提供了详实的判例参考,为这一领域的健康发展提供了强力支撑。
二、立法展望、远景前瞻及企业合规建议
2024年,仍有大量重要法规将发布或正式实施。特别地,我们预计一批已发布的征求意见稿的法规会陆续出台正式稿,包括:
点击可查看大图
结合前文,我们对于今年乃至未来几年的数据领域趋势有以下展望:
1、经过2017年到2023年这六年间的密集的立法工作,网络安全和数据合规领域的主干性法律法规已经出台大半,主要监管框架基本搭建成形。我们预计,接下来,除一些新兴领域以外,网络安全和数据合规领域的立法工作将持续进入稳定期和“深水期”,行业立法、地方立法和补充性立法预计将成为未来几年立法工作的重点。
2、在上述大背景之下,严守国家安全、促进数字经济发展,仍将是两条不变的主轴。企业需要深刻理解和严格遵守网络安全和数据安全监管中的红线要求;在此前提下,促进数据要素价值开发利用和推动数字经济发展的战略将可能会创造较多机遇和红利,很多产业将迎来极大的发展空间。与数据要素价值开发利用和新兴数字经济相关的法规框架在2023年仅仅搭建雏形,接下来可能还将会有大量立法动作。正因为有这样的趋势和前景,我们建议企业关注和拥抱数据合规,方能登上数字经济这列快车。
3、从2023年的实践可以看出,立法机构和执法机构越来越关注监管和发展之间的平衡,数据出境监管机制的适时调整就是一个很好的例证。预计接下来政府仍将继续深化相关举措,在严守数据安全红线的前提下,促进数据跨境交流,探索更多促进数据跨境传输的便利性举措,包括加入区域性国际数据跨境流动制度安排和国际合作的新途径、新模式等等。
4、在实体立法突飞猛进的同时,网信、工信等领域的执法程序和规则也得到了明确和规范,我们预期未来数据合规领域的监管和执法活动将更加规范和常态化。这也提示企业需要正视数据合规监管要求,否则将面临切实的监管风险。
在上述趋势和展望的基础上,我们建议企业密切关注数据领域的立法和执法动态,了解自身的数据资产和数据需求,摸清自身的数据合规现状和潜在风险,以全面坚实的网络安全与数据合规体系为基础,结合自身数据资产情况及业务特点,建立健全网络安全和数据合规制度及体系,积极探索数据要素交易与流通的切入契机与机会。固基修道,履方致远!
[注]
[1] 深圳商报,《深数所跨境交易额突破1亿元 2023年实现交易规模超50亿元》,https://www.sznews.com/news/content/2024-01/04/content_30682394.html
[2] 新华社,《中国自主研发的人工智能大模型首次向公众开放服务》,http://www.news.cn/tech/2023-09/03/c_1129843138.html
[3] 南方都市报,《第二批11家AI大模型获上岗证:教育获两席,美团知乎上榜》,https://new.qq.com/rain/a/20231107A0A6GS00
李瑞 律师
北京办公室 合伙人
业务领域:跨境投资并购, 反垄断和竞争法, 网络安全和数据保护
特色行业类别:文化娱乐产业, 通讯与技术
贾申
北京办公室 顾问
业务领域:反垄断和竞争法, 贸易合规和救济, 诉讼仲裁
李梦涵
北京办公室 合规与政府监管部
徐晨
北京办公室 合规与政府监管部
马悦
北京办公室 公司业务部
* 李洋对本文亦有贡献
《风萧萧兮:美国启动对华投资安全审查机制和风险提示》
《未达申报标准是否要做反垄断申报?——结合首起自愿申报获附条件批准交易的要点解读和合规建议》
《越南<个人数据保护法令>与数据跨境传输机制丨数据出境合规解读系列文章(七)》
《更上层楼一览:数据出境安全评估申报近期动态与实操指南丨数据出境合规解读系列文章(六)》
《<个人信息出境标准合同备案指南(第一版)>六大要点解析》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。