数据合规观察 | 回顾2020年中国数据保护执法，对2021年数据合规有哪些启示【走出去智库】

近年来，对关键数据掌控能力的竞争成为各国数字经济竞争的焦点。与此同时，大数据技术的发展使得个人隐私、企业商业秘密甚至是国家安全都更易受侵犯。因而各国都在加强数据保护的立法和执法，这无疑增加了数据科技企业的合规风险。

走出去智库（CGGT）观察到，在各国对数据保护加强监管之时，中国也对互联网平台企业进行相应监管甚至处罚，平台企业在做跨境业务时更是面临着国内外的监管。为降低平台企业跨境数据保护的合规风险，智库联合国内外顶级律所及相关机构的专家资源，推出数据合规管理咨询服务，帮助企业梳理数据保护所需要遵循的国内外政策法规，目前已为多家顶级科技企业提供相关服务。

2021年数据合规需关注哪些重点领域？今天，走出去智库（CGGT）刊发方达律师事务所合规及政府监管组的分析文章，供关注数据合规的读者参考。

要 点

CGGT，CHINA GOING GLOBAL THINKTANK

1、2021年起正式生效的《民法典》在厘清“个人隐私”与“个人信息”关系的基础上，对企业收集处理个人信息提出了更为具体的要求，也为个人信息主体主张侵权提供了更为充实的法律依据。

2、受“新冠肺炎”疫情影响，2020年网络安全与个人信息保护相关的刑事案件有所减少，但也保持在较高的水平，究其主要原因正是涉案的公民个人信息涉及住宿、财产、征信、轨迹等敏感内容，极易引发绑架、诈骗、敲诈勒索等二次关联犯罪，存在较为严重的社会危害性。

3、个人信息保护问题始终是执法关注的核心，无论是民事诉讼、行政执法还是刑事案件中都占据着较大比重，且在App合规治理领域中呈现“监管常态化、治理实质化”的趋势；预计在《个人信息保护法》正式出台后，因侵害个人信息权益引发的民事诉讼将可能大量涌现，对企业合规和应诉提出了实质的挑战。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

2020年，国内数据保护执法活动仍然活跃，在App深度治理和个人信息民事诉讼两大领域表现尤为显著。随着《数据安全法（草案）》与《个人信息保护法（草案）》在年内的发布并计划于明年正式定稿颁布，我国网络安全、数据安全和个人信息保护三大主题的基本立法框架基本完成，监管部门在执法实践中也具备了充足的执法经验，因而围绕数据保护开展的执法活动以及与之相关的司法诉讼案件将可能呈现逐步增长的趋势。

下文我们将以公开渠道所获得的数据为基础，回顾2020年度国内数据保护执法情况，以期为企业筹划2021年度的数据合规工作提供必要的启示。

个人数据司法保护路径逐渐清晰，《民法典》与《个人信息保护法》将保驾护航

长期以来，侵害个人信息在民事领域主要通过人格权中的隐私权或名誉权的侵权之诉来获得司法救济，例如被誉为我国“Cookie隐私第一案”的北京百度网讯科技公司与朱烨的隐私权纠纷案，该案中即使法院实质地分析了涉案数据是否构成个人信息的问题，但是在判决分析中并未厘清“个人信息”与“个人隐私”的关系，而最终判决的落脚点仍然是原告行为不构成侵犯被告的“隐私权”。相类似的，2017年审结的庞某与东方航空、去哪儿的个人信息泄露纠纷，二审法院的判决也仍然以“高度可能侵犯隐私权”作为定案措辞。

随着《民法总则》第一百一十一条正式明确了个人信息保护的基本要求，依据该条款提起诉讼的案例也逐步出现，例如年内受到高度关注的“微信读书”案，该案也在个人信息与个人隐私的边界问题上作出了有益的探索。该案判决明确微信好友关系、读书信息由于包含了可以指向信息主体的网络身份标识信息，且包括读书时长、最近阅读、书架、读书想法等，能够反映阅读习惯、偏好等，因此属于个人信息；单从隐私的防御性权利和精神利益特征以及个人信息的积极利用可能和财产性利益角度进行区分，法院并没有将好友关系和读书信息纳入隐私范畴。[1]

如下图所示，根据对相关的民事判决统计显示，《民法总则》实施以来以侵害个人信息权益为由引发的民事诉讼案件也在逐年递增；今年受疫情影响，案例数量轻微回落，但今年也不乏社会广泛关注的案例。例如，在被誉为国内“人脸识别第一案”的杭州市民郭兵诉杭州野生动物世界有限公司一案中，法院在一审判决中要求动物世界删除原告办理年卡时提交的面部特征信息，并赔偿原告合同利益损失及相关交通费用，驳回原告提出的确认动物世界店堂告示、短信通知中相关内容无效等其他诉讼请求。[2]从判决结果看来，法院虽然认同收集使用个人信息应遵循合法、正当、必要的原则并征得当事人同意，但似乎并没有实质审查动物世界收集使用人脸信息的合规性，而仅仅以动物世界“单方违约”为由对原告进行了消费者权益维度的个案救济。该案最终是否会讨论人脸识别技术的使用界限、面部特征信息的处理规范等核心问题，有待二审判决进一步明确。

（数据来源：威科先行法律信息库）

2021年起正式生效的《民法典》在厘清“个人隐私”与“个人信息”关系的基础上，对企业收集处理个人信息提出了更为具体的要求，也为个人信息主体主张侵权提供了更为充实的法律依据。如果《个人信息保护法》最终采纳了“过错推定”或“严格责任”的归责模式，原告在诉讼过程中的举证门槛将大大降低，以侵害个人信息权益提起的民事诉讼案件在《个人信息保护法》正式出台后可能呈现爆发式增长，这也将显著增加企业的市场与合规压力。

从企业合规的角度看，未来面临更多与个人信息纠纷相关的诉讼似乎将在所难免。为了在案件审理过程中证明自身不存在过错，除了根据法律法规和监管要求采取必要的措施保护个人信息以外，企业还需要考虑以“可证明”的方式开展数据保护工作，以便能够在诉讼中对自身合规的数据处理行为进行举证。如欧盟GDPR中的“问责原则”所要求，数据控制者需要能够自证其处理个人数据的行为符合GDPR的规定（GDPR第5条第2款），这一原则在《个人信息保护法（草案）》中亦有体现。

App治理正式进入深水区，个人信息持续严管态势

《网络安全法》第41条至第44条作为现行生效、普遍适用的个人信息保护法律规则，为监管部门开展个人信息保护的执法工作提供了法律依据。从宏观上看，尽管受疫情影响，自2017年《网络安全法》实施以来截止今年10月底，以《网络安全法》第41条至第44条作为法律依据的行政处罚数量仍呈现逐年增长趋势，个人信息保护仍持续是行政执法机关关注的重点。

（数据来源：威科先行法律信息库）

根据从公开渠道获取的行政处罚决定统计来看，截至2020年10月份，根据《网络安全法》第41条至第44条作出的执法活动中约半数的行政处罚的依据为第41条，而其中一半以上的案例均与App非法收集使用个人信息有关。由此可见，在行政执法领域，App治理依旧是监管部门在数据保护领域最为重要的抓手，今后的工作范围也可能从针对App的单一治理发展到面向App、第三方SDK、小程序、应用商店等领域的全面合规测评，这将值得涉App企业的高度关注。

（数据来源：威科先行法律信息库）

2020年7月25日，中央网信办、工业和信息化部、公安部、国家市场监管总局（以下简称“四部委”）召开了2020年App违法违规收集使用个人信息治理工作启动会，一方面总结了2019年的工作成果，即针对2300余款App开展深度评估、问题核查，对用户规模大、问题突出的260款App采取了公开曝光、约谈、下架等处罚措施，另一方面也对2020年的治理工作拟定了基调：突出问题导向、强化标准规范支撑、加强责任追究。[3]

根据公开渠道所获得的信息显示，2020年App专项监管执法势头仍然强劲，其中自2019年12月起App专项治理工作组已针对三批次、共177款App进行了通报，工信部则更是进行了七批次、共444款App的通报。除了国家层面由App专项治理工作组、工信部和公安部开展的执法治理活动外，地方有权监管单位（如北京[4]、上海[5]、贵州[6]、广东[7]等地的通信管理局）也在当地针对App收集使用个人信息的情况开展不同的巡查和执法活动。由此可见，目前国内的App治理工作仍存在多头执法、多地执法的问题。

通过对工信部七批次与App专项治理工作组三批次的通报情况进行统计，我们注意到，违规申请调用系统权限、未披露第三方SDK的相关信息、违规收集使用个人信息、账号注销难等问题仍然是监管部门在开展App监管治理工作中的重点关注对象。

值得企业关注的是，根据我们的经验来看，无论是App专项治理工作组还是其成员单位的App监管执法实践，都实质地引入了技术检测环节，通过对App代码和功能响应的情况进行技术评估和考核。监管部门独自或委托第三方开展技术检测所形成的报告主要反映App申请和调用的系统权限、接入的SDK及其调用的系统权限以及App后台的数据传输分析，而该等报告将可能作为通报点名、要求限期整改甚至处罚下架的事实基础，而且监管部门并不会就报告中可能存在的疑点与企业进行事先的核实或沟通。因此，即使在巡检计划中未被抽到的企业，可能也需要考虑是否委托专业的第三方技术检测机构对旗下App进行必要的技术盲测，以尽早发现和修正合规隐患。

此外，我们也注意到，同一问题在不同监管文件中可能存在略有不同的合规要求，例如第三方SDK的披露要求（如下表所示）。在这种情况下，建议企业应在理解监管文件要求的基础上，同步参考行业内的主流实践，并结合自身业务的实际情况确定披露的方式和字段。在对标行业实践合规水位的过程中，除了参考业内头部竞品以外，企业也可以适当参考首批获得安全认证的App[8]的实践。同时，企业应密切关注监管部门对特定问题的态度和口径，以便及时对自身的App合规实践进行改进和调整。

从企业合规的角度看，App治理的执法行动可能代表着未来数据保护监管执法的趋势，即逐步从“形式合规”时代过渡至“实质合规”时代。因此，企业在开展数据合规工作时，不能仅停留在起草隐私政策或制定内部数据合规制度和规程上，而需要在业务经营过程中贯彻和落实拟定的数据保护措施，并且确保该等措施的有效性。在很多域外执法案例中可以看到，有不少企业都是因为实际操作与隐私政策披露不符而被处于高额罚金，而且这一趋势也已经延伸到国内的监管执法。App专项治理工作组公众号近期曾撰文批评企业为了保底把所有可能的个人信息收集和处理都长篇列举在隐私政策中，却忽视对个人信息收集和处理行为的合规性进行实质评估的做法。[9]

为了保证产品全流程的合规，数据保护合规将不再仅是信息安全、法务合规部门的职责，产品和业务部门也应主动在设计、上线和运营业务的过程中嵌入数据保护的理念，以便能够在事前、事中及时发现和遏止数据合规风险。

“等保”执法重点突出，“关保”未来蓄势待发

随着《数据安全法（草案）》和《个人信息保护法（草案）》的出台以及未来的颁行，《网络安全法》的监管重心将回归“网络运营者的网络安全保护”问题上。事实上，《网络安全法》第21条至第27条所设定的网络安全合规义务（包括安全等级保护、产品安全认证、用户身份管理、应急事件处置等）也一直是监管部门的关注重心；实践中，该类执法案例虽然数量相对有限，考虑到《网络安全法》在网络安全保护领域的基础地位，也应引起相关企业的足够重视。

如下图所示，监管部门根据《网络安全法》第21条“网络安全保护义务”和第25条“应急处置措施义务”的执法比例远高于其他条款，其中第21条的执法占比甚至超过了总数的60%。随着《信息安全技术 网络安全等级保护基本要求》以及其他等保2.0的国家标准的实施，自2019年12月开始我国就已正式迈入“等保2.0”时代。对尚未开展等保合规或仅根据“等保1.0”开展合规的企业而言，应及时对照“等保2.0”的标准进行重新测评，并对相应漏洞进行识别和修复，以应对监管部门的监督和执法工作。

（数据来源：威科先行法律信息库）

虽然《网络安全等级保护条例》自2018年公开征求意见后一直未正式出台，作为网络安全等级保护事项的主管部门，公安部在年内也通过发布指导意见的方式重申了基本的观点。2020年7月22日，公安部向中央和国家机关各部委，国务院各直属机构、办事机构、事业单位，各中央企业印送了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（以下简称“《指导意见》”）。

我们理解，《指导意见》将很有可能成为2021年监管部门落实网络安全等级保护及关键信息基础设施安全保护的重要实践指导文件。根据《指导意见》，等保将朝着“实战化、体系化、常态化”的方向发展，并贯彻落实六大工作要求。[10]此外，《指导意见》也进一步明确了关保的认定机制和监管重点。因此，无论身处什么领域、业务规模如何，建议企业均应尽早按照《网络安全法》相关规定以及等保2.0相关标准落实等保工作，以应对未来常态化的监管趋势；而身处重要行业和领域的企业则更应优先落实等保，为可能需要应对的关保奠定必要的合规基础，并密切关注主管、监管部门未来下发的关保相关规则，积极应对。

打击“侵公”毫不手软，个保领域刑事先行的执法趋势依旧明显

《刑法》规定了六个主要涉及网络安全与个人信息保护的罪名，其中之一为侵犯公民个人信息罪，其余五个罪名为网络安全相关犯罪，分别为：非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪；破坏计算机信息系统罪；非法侵入计算机信息系统罪；拒不履行信息网络安全管理义务罪。

根据对相关刑事判决统计，2019年和2020年中发生的网络安全与个人信息保护罪名相关安全的整体分布大致相同，其中侵犯公民个人信息罪案件数量最多，其数量甚至超过其余网络安全相关犯罪的总和。

（数据来源：威科先行法律信息库）

单独考察近年侵犯公民个人信息罪的刑事案件走势不难发现，自《刑法修正案（九）》生效以来，侵犯公民个人信息罪的刑事判决逐年递增，2019年侵犯公民个人信息罪的刑事判决数量高达1713起，这与当年的刑事执法工作重心不无关系，例如对P2P、“套路贷”相关的违法犯罪行为的打击。随着2019年4月最高人民法院、最高人民检察院、公安部、司法部出台《关于办理“套路贷”刑事案件若干问题的意见》，集中打击、严惩“套路贷”相关犯罪也成为了2019年的扫黑除恶专项斗争的核心工作重点之一，而其中“明知他人实施‘套路贷’犯罪而出售、提供、帮助获取公民个人信息”的侵害行为也被上述意见明确列为共犯情形，并在现实执法中遭到了痛击。

受“新冠肺炎”疫情影响，2020年网络安全与个人信息保护相关的刑事案件有所减少，但也保持在较高的水平，究其主要原因正是涉案的公民个人信息涉及住宿、财产、征信、轨迹等敏感内容，极易引发绑架、诈骗、敲诈勒索等二次关联犯罪，存在较为严重的社会危害性。例如，2020年12月4日北京市第三中级法院就对审理涉公民个人信息犯罪案件的情况及典型案例进行了通报，发现近几年被侵犯的公民个人信息不仅从数量上呈现“指数级”爆炸式增长，涉案的信息类型也从过去的姓名、身份证号、手机号、住址等传统静态信息，拓展至了征信信息、定位信息、行踪轨迹信息、住宿信息、房屋产权信息等多方面、多维度的动态信息——该等信息的泄露和滥用将对公民造成极大的次生危害。[11]考虑到我国《刑法》侵犯公民个人信息罪的入刑标准相对较低，与公民个人信息息息相关的企业都需要高度重视个人信息的保护工作，尤其是涉及大量个人敏感信息的银行金融、物流快递、医药健康、儿童教育等领域，将可能是监管机构持续关注的重点行业。

（数据来源：威科先行法律信息库）

在网络安全犯罪的五个罪名中，非法获取计算机信息系统数据、非法控制计算机信息系统罪的案例数量最多，例如通过伪造ID、突破反爬措施等非法方式利用大数据爬虫获取他人信息系统数据，都有可能触犯相关罪名。值得说明的是，爬虫技术本身并不违法，但一旦爬虫的手段、方式触碰了法律的红线，则有可能会被认定为“非法获取计算机信息系统数据罪”，或根据具体爬取的数据类型可能涉及的其他罪名（例如侵犯公民个人信息罪），业务人员、经营企业都可能面临行政甚至刑事责任的风险，因此审视数据合规的界限对企业来说尤为重要。

此外，除了防范自身业务行为直接引发的刑事责任风险外，企业还应适当关注由合作方引发的共同犯罪、帮助犯罪等刑事责任风险，例如因向“套路贷”提供相关服务而引发的共同犯罪，因向信息网络犯罪提供技术支持和帮助而可能构成的“帮助信息网络犯罪活动罪”等。为此，建议企业应及时通过对业务上下游供应链的倒推排查，筛选出可能涉及的刑事责任风险，并通过调整业务模式、对合作方开展合作前尽职调查和合作中持续监测等措施提前预警，为后续可能面临的被调查或被要求配合调查提供充足的合规支撑证据。

结语

2020年国内数据保护执法稳步推进、重点突出。未来2021的执法趋势，我们建议企业可以着重关注以下方面：

·个人信息保护问题始终是执法关注的核心，无论是民事诉讼、行政执法还是刑事案件中都占据着较大比重，且在App合规治理领域中呈现“监管常态化、治理实质化”的趋势；预计在《个人信息保护法》正式出台后，因侵害个人信息权益引发的民事诉讼将可能大量涌现，对企业合规和应诉提出了实质的挑战。

·网络安全等级保护的监管执法将持续发展，为关键信息基础设施安全保护和重要数据安全保护奠定必要基础，随着《数据安全法》未来的颁行，这一领域的监管规则将进一步明朗，执法实践也将逐步出现。

·为了保证对具有较强社会危害性的违法行为的震慑力，刑事执法依然会保持活跃的态势，因而刑事合规风险不得不防。

脚注：

1. 中国信息通信研究院，《互联网法律白皮书（2020年）》，2020年12月，第21页。

2.“‘人脸识别第一案’判动物园删除原告照片信息，原告称将继续上诉”，2020年11月21日，

http://www.xinhuanet.com/legal/2020-11/21/c_1126767913.htm。

3.《2020年App违法违规收集使用个人信息治理工作启动会在京召开》，中央人民政府网，2020年7月25日，

http://www.gov.cn/xinwen/2020-07/25/content_5530048.htm。

4.“北京市通信管理局启动APP数据安全检测专项行动”，2020年9月7日，

http://bjca.miit.gov.cn/n817034/c1293805/content.html。

5.“上海市通信管理局‘四措并举’，加强App个人信息保护监管”，2020年12月4日，

http://shca.miit.gov.cn/info/447。

6.“贵州省通信管理局将严查App违法违规收集使用用户个人信息”，2020年7月27日，

https://gzca.miit.gov.cn/xwdt/xydt/art/2020/art_cdf65977880a4025bcf33180cdba344f.html。

7.“广东省通信管理局查处一批违反用户个人信息保护规定APP”，2020年3月15日，

https://gdca.miit.gov.cn/gdcmsnet/gdcms/content/staticView?path=/54/7234.html。

8.“我国App安全认证工作正式开展 首批18款App获颁认证”，2020年9月21日。

http://media.people.com.cn/n1/2020/0921/c40606-31868317.html。

9. 参见《壁纸App惊现万字长文隐私政策，“亮点”还是“痛点”》，载“App个人信息举报”公众号2020年12月28日文。

10. 具体包括深化网络定级备案工作、定期开展网络安全等级测评、科学开展安全建设整改、强化安全责任落实、加强供应链安全管理和落实密码安全防护要求。

11.“个人信息是被谁‘偷走’的？酒店快递外卖成信息泄露重灾区”，2020年12月5日，http://www.xinhuanet.com/2020-12/05/c_1126824105.htm。

来源：方达律师事务所

《应对出口管制和经济制裁实务指南｜高科技、金融、基础设施、航运四个行业应对策略报告》并附《中国出口管制法的影响和对策》。精简版为免费版本，详细版为付费版本。如您需要，请给智库公众号留言（姓名、机构、职务、电话、邮箱），我们尽快与您联系。

走出去智库全球领先的法律、投行、税收筹划、项目估值、银行保险、人力资源、风险管理、公共关系专家可以为中国企业境外投资并购提供相关咨询服务，如有需要，可给我们（cggthinktank）留言“公司+姓名+职位+手机号码+企业邮箱+需求”，获得专家帮助。

走出去智库（CGGT）

不谈大道理，只讲干货。国内外一流投行、法律、会计、风险管理、银行/保险、品牌、人力资源、估值、境外信息情报和数据管理9个领域的专业人士联袂。走出去一站式专业实务和数据信息平台，企业跨境投资并购智囊团。

更多信息请访问：www.cggthinktank.com

版权声明：走出去智库（CGGT）欢迎转载，请注明来源：走出去智库（CGGT）。如不署名来源，CGGT将追究其相关法律责任。