我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

一、个人信息保护问题仍为各国关注重点本月，韩国通过了《个人信息保护法》（PIPA）修正案，修订范围包括统一线下和线上业务的数据保护规则、降低处理个人信息的要求、引入跨境数据流动新规则等。韩国个人信息保护委员会发布制定《国家大数据创新推进团队组建和运行规定》，完善国家数据制度，执行传输标准化任务，以确保个人信息安全。日本内阁府发布了《地理空间信息利用中的个人信息处理指南》修订草案，并就此征求公众意见。日本个人信息保护委员会（PPC）发布《正确处理个人信息的培训材料》，该材料面向从事个人信息处理的工作人员、保护官等，旨在指导各组织更妥善地处理保留的个人信息。印度政府计划修改《个人数据保护法案》中有关数据传输的条款，其中，该法案第17条下的数据传输相关规定将被重新设计，以允许数据自由跨境流动。印度信息技术部官员表示将建立数据传输的“负面清单”，向“负面清单”以外的国家的跨境数据传输将在默认情况下被允许。英国发布了国内《通用数据保护条例》的数据保护改革草案，制定有关隐私和电子通信、信息披露、生物识别数据监管等的规定。英国信息专员办公室（ICO）批准了第四套英国《通用数据保护条例》认证计划标准，用于培训和认证服务提供商。英国信息专员办公室（ICO）发布了一份“中小企业数据要点试点”项目调查报告，帮助中小企业克服在实施数据合规方面政策中的障碍。西班牙数据保护机构为软件开发者发布了《设计隐私及默认隐私》指南，明确个人信息保护的相关要求，并要求开发者在设计之初就应采取相关处理步骤。爱尔兰数据保护委员会发布了2022年工作报告，涉及17项大规模调查，执法总金额超过10亿欧元。二、各国高度关注TikTok使用问题，持续推进网络安全工作本月，美国众议院小组批准《限制出现危及信息和通信技术的安全威胁（RESTRICT）法案》，该法案将赋权拜登总统禁止TikTok以及其他构成安全风险的应用程序的权力。美国白宫也明确要求联邦政府机构在30天内从联邦设备中清除TikTok。英国将禁止其政府工作人员手机安装TikTok。加拿大以安全风险为由禁止所有政府设备商使用TikTok。荷兰内阁明确表示反对使用TikTok，并禁止公务员在工作设备上使用TikTok。各国针对网络安全持续推出新举措。美国白宫发布《网络安全战略》，该战略旨在指导未来的政策，敦促对各行业现有的网络安全进行更严格的监管，并加强政府与私营部门之间的合作。美国国家安全顾问在一份声明中表示，重新授权《外国情报监视法》第702条是美国总统拜登政府的“重中之重”，以保护美国免受外国网络攻击和军火贩子的侵害，并提供情报以面对中国、俄罗斯、伊朗和朝鲜的挑战。欧洲对外行动署（EEAS）正在更新其网络外交工具箱（Cyber

中国信通院互联网法律研究中心高级研究员一、ChatGPT数据泄露事件经过美国时间3月25日，OpenAI官方发布了3月20日ChatGPT临时中断服务的调查报告，并表示有1.2%的ChatGPT

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

全文约2100字，预计阅读时间10分钟一、ChatGPT引发新一轮人工智能监管热潮人工智能成为多国监管热点。欧洲议会在本月数次发布《人工智能法案》妥协文本，在人工智能定义、高风险人工智能分类及被禁止人工智能行为方面做出相应修改，拟将ChatGPT等生成性人工智能系统（generative

SL处以罚款，原因是控制者未能提供有关其场所视频监控的通知。由于该公司自愿缴纳并承担责任，对其罚款由原来的300欧元减为180欧元。（四）西班牙DPA处罚个人主体拟处罚金额：300处罚依据：Art.

全文共计约1500字，细读时间约5分钟文|杨春白雪，中国信通院互联网法律研究中心研究员一、背景信息2023年2月24日，美国战略与国际问题研究中心（CSIS）发布《投资于联邦网络弹性》报告，该报告是“弹性创新：新安全框架”系列研究的组成部分。该系列研究涵盖国际事务多样性和领导力计划、能源安全和气候变化计划、国际安全计划和战略性技术计划，力求在上述领域倡导更广泛的国际合作伙伴关系。报告强调，网络威胁和漏洞不断变化，很难预测未来的网络安全威胁载体。有效的网络弹性，特别是减少对网络功能的完全依赖，可以有效减轻各种原因导致的损害，因此联邦政府应当加大对弹性基础设施的投资。二、主要内容根据美国国家标准与技术研究院

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

https://www.ag.gov.au/rights-and-protections/publications/privacy-act-review-report#related-links4.

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

我国跨境数据流动管理制度概论——兼析《网络安全法》第37条的制度构建及意义域外观察|欧盟发布《欧洲互操作法案》，加速欧洲公共部门数字化转型域外观察|欧盟签署《欧洲数字权利和原则宣言》域外观察

全文共计约6000字，细读时间约20分钟姬祥|中国信息通信研究院互联网法律研究中心研究员后疫情时代背景下，平台经济成为经济复苏的主要力量之一，对优化资源配置、促进跨界融通发展、推动产业升级、拓展消费市场和增加就业，都有重要作用。目前，我国平台经济发展正处在关键时期，总体态势向好，在经济社会发展全局中的地位和作用日益突显。但也存在着发展不规范、不充分，以及监管体制不适应等问题。2022年，我国聚焦平台垄断与不正当竞争规制等内容，进一步完善相关立法。从域外立法的视角来看，各国剑指科技巨头，主要发达经济体进一步探索对“守门人”的规制路径，从市场竞争方面充实制度工具。一、国内：着重规范平台经济规范健康持续发展党中央高度重视平台经济发展，2022年以来，多次提出促进平台经济健康、规范、持续发展的目标规划。党的二十大报告指出，要加强反垄断和反不正当竞争，破除地方保护和行政性垄断，依法规范和引导资本健康发展。2022年1月，国务院印发《“十四五”数字经济发展规划》，强调强化反垄断和防止资本无序扩张，推动平台经济规范健康持续发展，建立健全适应数字经济发展的市场监管、宏观调控、政策法规体系，牢牢守住安全底线。3月25日，《中共中央、国务院关于加快建设全国统一大市场的意见》印发，强调破除平台企业数据垄断等问题，防止利用数据、算法、技术手段等方式排除、限制竞争。4月29日，中共中央政治局召开会议，强调要促进平台经济健康发展，完成平台经济专项整改，实施常态化监管，出台支持平台经济规范健康发展的具体措施。12月19日，《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》发布。《意见》在“工作原则”中提到：坚持共享共用，释放价值红利。合理降低市场主体获取数据的门槛，增强数据要素共享性、普惠性，激励创新创业创造，强化反垄断和反不正当竞争，形成依法规范、共同参与、各取所需、共享红利的发展模式。12月20日，国务院总理李克强主持召开国务院常务会议，再次强调“支持平台经济健康持续发展。”（一）互联网平台反垄断与反不正当竞争监管框架进一步完善和落实立法方面，2022年6月24日，《中华人民共和国反垄断法（2022修正）》（以下简称“新法”）正式通过，并于2022年8月1日起施行，这是我国《反垄断法》自2008年实施后的首次修正。新法在强化竞争政策的基础地位、设立公平竞争审查制度、明确垄断协议的范围和认定标准、完善规制数字经济领域的滥用行为，以及提升未依法申报经营者集中的罚则等多个层面进行了修正，并首次将鼓励创新写入立法目的。新法顺应了高质量发展的需求，因应了数字科技蓬勃发展和广泛运用带来的机遇和挑战，强化了反垄断监管能力，完善了反垄断监管体系，健全了法律责任体系，预留了制度细化的接口，更加有利于防止市场垄断，使市场在资源配置起决定性作用；更加有利于打破行政性垄断，更好地发挥政府作用，推动有效市场和有为政府更好结合，实现公平竞争与创新发展良性互动。在此基础上，新法对数字市场主体“滥用市场支配地位”的行为予以特别关切。主要表现在：第一，将数字市场反垄断问题在总则予以明确，规定经营者不得利用数据和算法、技术、资本优势以及平台规则等从事本法禁止的垄断行为，对审理平台经济领域的垄断协议、滥用市场支配地位以及经营者集中控制等案件具有重要的指导意义。第二，明确数字市场中滥用市场支配地位行为具体表现。强调具有市场支配地位的经营者不得利用数据和算法、技术以及平台规则等从事前款规定的滥用市场支配地位的行为，呼应总则第9条规定，与《国务院反垄断委员会关于平台经济领域的反垄断指南》等规定有机衔接，并且为未来的制度发展预留了必要的空间。第三，特别关注数字市场经营者集中问题。新法针对未达申报标准但可能具有排除限制竞争影响的经营者集中加强审查，以避免和减少涉案交易未达申报标准但对市场竞争影响较大的情况，特别关系到平台经济领域不合理的生态扩张。除此之外，与新法配套的《国务院关于经营者集中申报标准的规定（修订草案征求意见稿）》《禁止垄断协议规定（征求意见稿）》《禁止滥用市场支配地位行为规定（征求意见稿）》《禁止滥用知识产权排除、限制竞争行为规定（征求意见稿）》《制止滥用行政权力排除、限制竞争行为规定（征求意见稿）》《经营者集中审查规定（征求意见稿）》在2022年6月27日进行公开征求意见。执法方面，2022年7月10日，市场监管总局对28起未依法申报违法实施经营者集中案件作出行政处罚决定，多数涉及VIE架构的数字平台企业。2022年5月，市场监管总局依据《反垄断法》对知网涉嫌实施垄断行为立案调查。12月26日，根据《反垄断法》第五十七条、第五十九条规定，综合考虑知网违法行为的性质、程度、持续时间和消除违法行为后果的情况等因素，市场监管总局依法作出行政处罚决定，责令知网停止违法行为，并处以其2021年中国境内销售额17.52亿元5%的罚款，计8760万元。同时，坚持依法规范和促进发展并重，监督知网全面落实整改措施、消除违法行为后果，要求知网围绕解除独家合作、减轻用户负担、加强内部合规管理等方面进行全面整改，促进行业规范健康创新发展。二、国外：着眼数字市场竞争制定事前监管框架由于大型数字平台可能带来的市场失灵和监管失灵问题，近年来，许多国家和地区开始对现行竞争法工具的不足进行反思，认为需要考虑到数字市场的最新发展和独有特点，对竞争法工具进行相应调整。例如，欧盟《数字市场法》针对滥用行为提出事前监管的思路，对满足一定标准的数字市场主体进行行为规制，争取在竞争损害发生之前就对其进行控制。美国有关法案除了吸收事前监管的思路之外，还试图对反托拉斯法在结构上进行整体性调整，并且开始考虑对大型数字平台进行包括竞争问题、数据安全问题、隐私保护问题在内的综合治理模式。整体而言，各个国家和地区在数字市场竞争问题上，采取了大体相同的规制思路。一是介入时间上采用事前监管的思路，二是介入对象上采用非对称监管的思路，三是主体认定上采用推定+指定结合的模式，四是关注执法案例中的行为问题和结构问题。（一）欧盟：《数字市场法》构建数字守门人事前监管新框架欧盟方面，随着数字经济的发展，数字市场的跨地域性与欧盟各成员国内部的差异化法律制度产生了冲突，导致了企业高合规成本，并且破坏了内部市场的一致性。[1]因此，欧盟意识到需要将一以贯之的“内部市场”或“单一市场”战略为数字时代作出调整，于2015年通过了“数字单一市场战略”（The

编者按2022年是具有里程碑意义的一年，是党的二十大召开之年，也是我国进入全面建设社会主义现代化国家、向第二个百年奋斗目标进军新征程的重要一年。回顾过去一年，我国网络法治取得卓越成效，覆盖网络和数据生产、消费的全流程，从数字安全、数据资源、数字平台、数字技术和数字内容等方面构建和完善法律规则，聚焦重点领域、新兴领域、涉外领域立法，以良法促进发展、保障善治。中国信息通信研究院互联网法律研究中心已发布《网络立法白皮书》，在此基础上，组织研究团队对2022年国内外网络法治的发展情况和重点法律事件进行梳理和总结，并展望未来发展方向，供各位同仁参考。全文共计约3500字，细读时间约10分钟杨婕|中国信通院互联网法律研究中心高级研究员当前，全球围绕数据的合作与竞争的持续深化，数据治理已成为各国立法的重要内容，并在2022年呈现各自特点。我国以安全保障为前提加强数据要素利用，在深化个人信息保护工作的同时，推进数据治理体系逐步迈入数据赋能型阶段，建立促进数据要素流转利用的信任生态。国际层面，部分国家着力打造以构建数字生态为核心的新型数据规则，从关注个体数据处理活动逐渐转变为促进数据流通利用，一些国家开始认识到，数据保护与数据流通利用需求之间存在冲突，考虑设计更为灵活的数据保护规则。一、国内：以安全保障为前提加强数据要素利用保障数据安全与促进数据发展是数据治理的一体两面。2022年，我国坚持促进数据开发利用与保障数据安全并重理念，在持续强化数据安全的基础上，激活数据要素潜能，逐步探索构建适应数据特征、符合数字经济发展规律、彰显创新引领的数据治理体系。（一）个人信息保护执法、司法向纵深推进一是强化个人信息保护监管力度，压实企业主体责任。个人信息保护法实施一年来，有关部门出台了相关配套规定，监管力度不断加强，用户个人信息保护意识显著提升，企业滥用个人信息等问题得到有效改善。特别是，2022年7月，国家互联网信息办公室对滴滴全球股份有限公司（以下简称滴滴）依法作出网络安全审查相关行政处罚的决定，对滴滴处以人民币80.26亿元罚款。这是《网络安全法》《数据安全法》《个人信息保护法》实施以来就有关问题采取的力度最大的一次行政处罚，体现了监管部门对维护国家安全、保障公共利益、保护个人信息权益的力度和决心。不过，此次对滴滴仅处以罚款，并未施以更为严厉的行政处罚手段，未采取对滴滴正常经营活动有较大影响的措施，表明罚款不是目的，规范平台经济健康发展才是根本目的。滴滴公司的用户规模数量大，承载着公众交通出行的社会功能。为此，此举旨在创建与平台经济健康发展相适应的监管环境。此外，APP治理工作走深向实，强化监管全链条覆盖。从整治单点违规APP逐步延伸，强化对产业链上下游、各类分发平台、中间服务商监管力度。到2022年上半年，工业和信息化部累计完成630万次APP检测，实现对我国主流应用商店在架APP的全覆盖，APP治理能力显著增强。二是以案说法，筑牢个人信息保护司法防线。当前，非法获取的公民个人信息已不仅仅包括身份信息、电话号码、家庭地址等，还扩展到手机通讯录、短信、网络账号及密码、购物记录、出行记录等，而法律本身具有原则性、概括性和滞后性特征。面对侵犯公民个人信息种类多样化，如何认定相关行为的性质、如何准确定罪量刑，既关系到法律的正确适用，也关系到公平正义的实现，更考验着司法机关的智慧。2022年12月，最高人民法院发布指导性案例，明确类案裁判规则，具有较强现实意义和指导意义，如认定了人脸信息属于刑法规定的公民个人信息、居民身份证信息整体均系敏感信息；将提供服务过程中获得的验证码及对应手机号码出售给他人，情节严重的，依照侵犯公民个人信息罪定罪处罚等。（二）数据治理体系逐步迈入数据赋能型阶段一是各地竞相出台数据条例，抢抓立法先机，盘活数据资源。2022年，随着我国数字经济快速发展，各地从发挥数据要素价值角度出发，创造性先行先试，研究出台地方性数据条例，并呈现规范领域集中，阶段性立法的特征。一方面，加强公共数据管理，促进公共数据应用创新。浙江、江苏、广东、山东等地积极探索完善公共数据管理制度，通过制定出台相应条例、办法，从明确公共数据定义范围、平台建设规范、收集归集规则、共享开放机制、授权运营制度、安全管理规范等方面对公共数据发展和管理作出具体规定。这些规定对于聚焦破解部门间信息孤岛、提升数据质量、赋能基层、保障安全等共性难题，具有积极意义。另一方面，密集出台综合性地方数据条例。重庆、河北、江苏、辽宁、陕西等地纷纷出台综合性数据条例，地方数据立法虽然能够在一定程度上回应释放数据价值的现实需求，但存在鼓励性内容偏多而具体规范偏少，相互借鉴趋于同质化而略显创新性不足以及标准不一、规定冲突影响数据跨区域流动等问题。二是中央发布“数据20条”，标志我国迈入数据高效利用新阶段。数据作为新型生产要素，具有无形性、非消耗性等特点，可以接近零成本无限复制，对传统产权、流通、分配、治理等制度提出新挑战，亟需构建与数字生产力发展相适应的生产关系，不断解放和发展数字生产力。2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据20条”），坚持促进数据合规高效流通使用、赋能实体经济这一主线，以充分实现数据要素价值、促进全体人民共享数字经济发展红利为目标。“数据20条”着力构建保障权益、合规使用的数据产权制度、合规高效、场内外结合的数据要素流通和交易制度、体现效率、促进公平的数据要素收益分配制度以及安全可控、弹性包容的数据要素治理制度。二、国际：数据治理呈现新的规则走向数据保护不再是国际数据治理的主要着眼点，如何营造更加健康和更具竞争力的数字经济市场，如何实现个人、企业和政府之间合理合法流通、利用数据，促进数据产业发展，实现数据价值释放，开始成为国际数据战略布局的重点甚至是主攻方向。（一）着力打造以构建数字生态为核心的新规则模式近年来，随着数字技术在不同领域的应用和发展，国际数据治理进程从关注个体数据处理活动逐渐转变为促进数据流通利用。2022年，欧盟继续强化数据治理领域的规则引领，构建数据要素流转利用规则体系。早在2020年的《欧盟数据战略》中就提出，“让欧盟成为数据驱动社会的领导者，创建一个允许在欧盟内部和各个行业自由流动、有利于企业、研究机构和公共管理部门的单一市场”。在这一战略指导下，2022年欧盟相继制定了配套性立法。2022年2月，欧盟发布《数据法案》，在保障中小企业权益、打通商业主体与公共机构（B2G）数据流通和非个人数据跨境方面作了进一步规定；2022年5月，欧洲理事会批准通过了《数据治理法》，完善了公共机构与商业主体（G2B）之间以及商业主体（B2B）内部数据共享的相关规定。此外，印度电子与信息技术部于2022年5月发布了《国家数据治理框架政策（草案）》，提出促进数据处理者之间统一的数据共享，使企业从使用个人数据中获益。（二）部分国家考虑设计更为灵活的数据保护规则一些国家开始认识到，数据保护与数据流通利用需求之间存在冲突，立法者需要平衡数据主体权利和数据的社会价值，而非过度强调数据保护，忽视严苛性立法对于社会经济发展带来的负面影响。2022年8月，美国信息技术与创新基金会（以下简称ITIF）发布《在美国实施轻监管的数据保护方法》报告，指出GDPR式立法不仅为数据保护建立了极高的合规标准，同时也暗含巨大的“隐性成本”，主要表现在减少企业并购、风险投资、定向广告市场覆盖范围以及障碍新技术开发等方面。如果模仿GDPR式过于严苛的立法，可能会为美国经济发展带来不可估量的负担。美国应该寻求通过一套有针对性的、保护消费者的规则，将合规成本和隐性成本降至最低。如，不强制要求企业设立数据保护官、避免规定广泛的私人诉权、限制消费者控制权的适用场景等。美国众议院和参议院联合发布的《数据隐私和保护法案》也在一定程度上体现了这一立法理念。此外，2022年10月，印度尼西亚发布的《个人数据保护法》与此前的法案相比，大大简化了数据跨境流动的制度设计，并未规定数据本地化要求，立法者更加关注如何实现问责制，而非通过本地化以“控制”数据。2022年11月，印度电子和信息技术部发布的《2022年数字个人数据保护法案》与此前版本的法案，在名称、篇幅和内容上作出较大修订，从90多条缩减到30条，删除了数据本地化存储要求、数据泄露的刑事责任、可携权和被遗忘权等内容。三、展望：站在数据治理的重要转折期数据是新一代信息通信技术的底层驱动力，具备了生产要素和战略资源的双重角色。我国亟需大步迈向数据赋能阶段，通过制度设计，解决我国数据要素市场建立面临的各类障碍，充分发挥海量数据规模和丰富应用场景优势，激活数据要素潜能。一方面，从国家层面尽快出台数据治理顶层性立法，解决障碍数据价值释放的共性问题。例如从动态、场景化的角度，明确主体间的权利义务关系，保护主体利益；明确数据交易的实施路径、交易方式、交易标准等要求。另一方面，发挥《个人信息保护法》配套性立法的作用，为企业提供明确的合规指引，促进个人信息的合理有效利用。建议推动落实各行业领域个人信息保护要求与《个人信息保护法》的衔接工作，针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定灵活的个人信息保护规则。END往期精彩回顾中心会议│第六届互联网法律研讨会在京顺利召开中心研究

2023年1月13日，中国信息通信研究院互联网法律研究中心主办的“第六届互联网法律研讨会”在京顺利召开。会议邀请了有关主管部门领导，高等院校、研究机构知名学者以及实务界代表，在总结回顾过去一年国内外网络领域的立法情况的同时，探讨了网络领域存在的新情况新问题。中国信息通信研究院副院长王志勤出席会议并致欢迎辞，中央网信办网络法治局局长李长喜出席会议并致辞。中国信息通信研究院政策与经济研究所副所长肖荣美主持开场式。

全文共计约2000字，细读时间约8分钟刘耀华|中国信息通信研究院互联网法律研究中心高级研究员根据从2021年4月开始的调查，爱尔兰数据保护委员会（DPC）以《通用数据保护条例》第110、111条为依据，针对

全文共4200字，细读时间约15分钟黄潇怡|中国信息通信研究院互联网法律研究中心研究员2022年10月17日，印度尼西亚《个人数据保护法》（以下简称“PDP法案”）获总统批准，标志着法律的颁布和生效。印尼PDP法案对数据跨境流动作出了相关规定，但并未对数据本地化义务作出相关要求，境内数据传输方理论上可以向境外传输PDP法案定义下的全部数据类型。印尼作为2022年G20轮值主席国、世界第16大经济体、东南亚最大经济体，其PDP法案中避免数据本地化的做法，能否为东南亚地区乃至全球数据跨境流动探索出一条灵活和务实的新路径？对此信息技术和创新基金会（ITIF）也于2022年12月21日发布相关分析文章，值得深入研究和思考。一印尼PDP法案对数据跨境流动的规定2022年10月17日正式生效的PDP法案第56条对向境外传输个人数据作出如下规定：允许个人数据控制者在以下情况下将个人数据传输给位于印尼境外的个人数据控制者和/或处理者：（a）接收个人数据传输的个人数据控制者和/或处理者所在国家/地区的个人数据保护程度等于或高于PDP法案规定的保护程度；（b）在无法满足（a）项规定的情况下，要求个人数据控制者确保有足够的个人数据保护措施，并且这种保护措施具有约束力；（c）在无法满足（a）（b）项规定的情况下，征得个人数据主体的同意。对比2020年的PDP法案草案，正式生效的PDP法案对个人数据转移至印尼境外的相关要求大大简化。一是进行国家级评估，如果外国的数据隐私法对个人数据的保护水平与印尼相当或更高，则印尼的个人数据可以直接流向该国。二是进行企业级评估，如果国家级评估不适用，则可以评估企业/组织是否可以确保对数据进行充分有效的保护。PDP法案中没有规定数据控制者如何确保“提供充分且具有约束力的个人数据保护”，但第56条第5款指出，有关个人数据转移的进一步规定将包含在单独的法规中。预计印尼当局将会不断丰富和完善法律工具，为企业/组织提供数据转移的法律依据，可能包括标准化合同或合同条款(如《东盟示范合同条款》)、技术工具(如匿名化和加密)，以及区域性和全球个人数据传输框架（如新的全球跨境隐私制度）等。三是数据主体同意，第56条第4款规定“组织在上述条件均无法满足的情况下使用此豁免”，且并未对使用此豁免进行限制，这为“充分性”要求提供了更广泛的同意例外。如此看来，印尼对将个人数据转移到境外的要求已经简化为得到数据主体同意即可，但PDP法案第56条只涉及“数据控制者”传输个人数据的情形，这是否意味着只有数据控制者才能够将个人数据转移到境外有待印尼当局进一步明确。四是未规定“数据本地化”相关要求，此前的PDP法案草案中曾出现过的数据本地化义务，但相关义务并没有出现在正式生效文本中。这意味着个人数据跨境传输没有了数据本地化义务的阻碍，境内数据传输方理论上可以向境外传输PDP法案定义下的全部数据类型。二印尼与欧盟数据跨境流动政策对比信息技术和创新基金会（ITIF）贸易政策副主任奈杰尔·科里(Nigel

全文约3500字，细读时间约10分钟袁纪辉|中国信通院互联网法律研究中心研究员2022年，美国加快在信息通信领域的立法步伐，围绕网络安全、个人信息和隐私保护、新技术发展和监管等主题出台一系列立法。同时，还有多部进行创新性制度设计的立法尚在制定过程中。美国联邦层面ICT立法不仅对于美国ICT产业发展产生重要影响，而且对于全球相关立法和政策都将产生辐射效应，本文特对相关立法进展进行了总结梳理。一、已出台的联邦ICT领域重点立法《加强美国网络安全法》。2022年3月15日，美国总统拜登签署了《加强美国网络安全法》（Strengthening

https://fpf.org/wp-content/uploads/2022/11/FPF-APAC-Comparative-Review-DIGITAL.pdf

全文约3100字，预计阅读时间15分钟赵淑钰|中国信通院互联网法律研究中心高级研究员

全文约5500字，预计阅读时间20分钟刘耀华|中国信通院互联网法律研究中心高级研究员2022年12月15日，欧盟委员会主席、欧洲议会和理事会主席签署了《欧洲数字权利和原则宣言》（以下称《宣言》）。《宣言》由欧盟委员会于今年1月提出，体现了欧盟对安全、安全和可持续的数字化转型的承诺，该转型以人为本，符合欧盟的核心价值观和基本权利。《宣言》反映了欧盟及其成员国的共同政治承诺，有利于实现2030年数字罗盘的目标。未来，欧委会将进一步监测《宣言》的具体效果。《宣言》的具体内容如下：考虑到：欧盟是一个“价值联盟”，如《欧洲联盟条约》第2条所载，建立在尊重人的尊严、自由、民主、平等、法治和人权，包括少数群体的权利的基础上。此外，根据《欧洲联盟基本权利宪章》，欧盟是建立在人类尊严、自由、平等和团结等不可分割的普遍价值之上的。《宪章》还特别重申了各成员国共同承担的国际义务所产生的权利。数字化变革影响着人们生活的方方面面，为提高生活质量、经济增长和可持续性提供了重大机遇。数字化转型也给我们的民主社会、经济和个人带来了挑战。随着数字化转型的加速，欧盟是时候阐明其适用于线下的价值观和基本权利应如何应用于数字化环境。数字化转型不应导致权利的倒退。线下非法的东西，线上也是非法的。本宣言不妨碍“线下政策”，例如在线下获得关键公共服务。欧洲议会多次呼吁建立道德原则，指导欧盟的数字化转型方法，并确保完全遵守数据保护、隐私权、非歧视和性别平等等基本权利，以及消费者保护、技术和网络中立、可信度和包容性等原则。它还呼吁加强保护数字环境中用户的权利，以及工人的权利和断网权。在《关于电子政务的塔林宣言》和《关于数字社会和基于价值的数字政府的柏林宣言》等先前倡议的基础上，成员国通过《里斯本宣言——有目的的数字民主》呼吁建立以数字单一市场为核心的数字转型模式，加强数字生态系统的人文层面。成员国呼吁建立数字转型模式，确保技术有助于满足采取气候行动和保护环境的需要。欧盟的数字转型愿景将人置于中心，赋予个人权利并促进企业创新。《关于“2030年数字十年政策计划”的决定》基于四个基本要点(数字技能、数字基础设施、企业和公共服务数字化)制定了具体的数字目标。欧盟的社会和经济数字化转型方式尤其包括以开放的方式实现数字主权、尊重基本权利、法治和民主、包容、可及性、平等、可持续性、复原力、安全、改善生活质量、提供服务以及尊重每个人的权利和愿望。它应该为欧盟充满活力、资源高效、公平的经济和社会做出贡献。本宣言阐明了共同的政治意图和承诺，并回顾了数字化转型背景下最相关的权利。《宣言》还应指导决策者反思其数字化转型愿景:将人置于数字化转型的中心;通过互联互通、数字教育、技能培训、公平和公正的工作条件以及获得在线数字公共服务，支持团结和包容;重申在与算法和人工智能系统互动以及在公平的数字环境中自由选择的重要性;促进对数字公共空间的参与;特别是针对儿童和年轻人，加强数字环境中的安全、保障和赋权，同时确保隐私和个人对数据的控制;促进可持续发展。本宣言各章节应构成一个整体参考框架，不应孤立地加以阅读。本宣言还应作为企业和其他相关行为体在开发和部署新技术时的参考点。在这方面，促进研究和创新非常重要，因此还应特别关注中小企业和初创企业。应在充分尊重法治、有效补救和执法的基础上，进一步加强数字社会和经济的民主运作。本宣言不影响为使权利相协调而对权利行使的合法限制，也不影响为公共利益而进行的必要和适当的限制。《宣言》以欧盟主要法律，特别是《欧洲联盟条约》、《欧洲联盟运作条约》、《欧洲联盟基本权利宪章》，以及欧洲联盟次要法律和欧洲联盟法院判例法为基础，还以欧洲社会权利支柱为基础并对其进行补充。《宣言》具有声明性，因此不影响法律规则的内容或其适用。欧盟应在与其他国际组织和第三国的关系中推广《宣言》，包括在其贸易关系中反映这些权利和原则，并引导国际伙伴以这些原则为基础实现数字化转型，将人民及其普遍人权置于世界的中心。值得注意的是，《宣言》应作为国际组织开展活动的参考，例如实现《2030年可持续发展议程》。推动和落实《宣言》是欧盟及其成员国在各自职权范围内、完全符合欧盟法律的共同政治承诺和责任。委员会将定期向议会和理事会报告所取得的进展。成员国和委员会在合作时应考虑到本宣言中规定的数字原则和权利，以实现关于“2030年数字十年政策计划”的决定中规定的总体目标。我们的目标是推动数字化转型的欧洲方式，以人为本，以欧洲价值观和欧盟基本权利为基础，重申普遍人权，并使所有个人、企业和整个社会受益。因此，我们宣布:第一章:将人置于数字化转型的中心1.在欧盟，人处于数字化转型的中心。技术应该服务于并造福于所有生活在欧盟的人，使他们能够在完全安全和尊重其基本权利的情况下追求自己的愿望。我们承诺:a.加强数字化转型的民主框架，使所有人受益，改善所有生活在欧盟的人的生活;b.采取必要措施，确保欧盟的价值观和欧盟法律认可的个人权利在线上和线下都得到尊重;c.培养和确保所有公共和私人行为者在数字环境中采取负责任和勤勉的行动;d.积极推动这一数字化转型的愿景，也包括在我们的国际关系中。第二章:团结包容2.技术应该用来团结人们，而不是分裂人们。数字化转型应该有助于欧盟建立一个公平、包容的社会和经济。我们承诺:a.确保技术解决方案的设计、开发、部署和使用尊重基本权利，使其能够行使，并促进团结和包容;b.实现不让任何人掉队的数字化转型。应惠及所有人，实现性别平衡，特别是包括老年人、农村居民、残疾人，或被边缘化、弱势或被剥夺权利的人以及代表他们的人。还应促进文化和语言多样性;c.制定适当的框架，使所有受益于数字化转型的市场参与者为所有生活在欧盟的人的利益承担其社会责任，对公共产品、服务和基础设施的成本做出公平和适当的贡献。连接3.欧盟各地的每个人都应该能够获得负担得起的高速数字连接。我们承诺:a.确保欧盟任何地方的所有人，包括低收入人群，都能获得高质量的互联网连接;b.保护和促进一个中立和开放的互联网，内容、服务和应用程序不会被无理地屏蔽或降级。数字教育、培训和技能4.每个人都有权接受教育、培训和终身学习，并应能够获得所有基本和高级数字技能。我们承诺:a.促进高质量的数字教育和培训，包括弥合数字性别鸿沟;b.支持所有学习者和教师获得和分享必要的数字技能和能力，包括媒体素养和批判性思维，以积极参与经济、社会和民主进程的努力;c.促进和支持为所有教育和培训机构配备数字连接、基础设施和工具的努力;d.通过技能提升和再技能培训，让每个人都有可能适应工作数字化带来的变化。公平公正的工作条件5.人人有权在数字环境中享有与在实际工作场所一样的公平、公正、健康和安全的工作条件和适当保护，无论其就业状况、方式或期限如何。6.工会和雇主组织在数字化转型中发挥着重要作用，特别是在定义公平和公正的工作条件方面，包括在工作中使用数字工具方面。我们承诺:a.确保每个人都能在数字环境中脱离工作与生活平衡的保障措施，并从中受益;b.确保在工作环境中，数字工具不会以任何方式危及工人的身心健康;c.确保尊重工人在数字环境中的基本权利，包括隐私权、结社权、集体谈判权和行动权，以及免受非法和不正当监视的保护;d.确保在工作场所使用人工智能是透明的，遵循基于风险的方法，并采取相应的预防措施，以维持安全和健康的工作环境;e.尤其要确保在影响工人的重要决策中保证人类的监督，并确保工人通常被告知他们正在与人工智能系统进行交互。在线数字公共服务7.在欧盟，每个人都应该在网上获得关键的公共服务。在访问和使用数字公共服务时，没有人会被要求提供不必要的数据。我们承诺:a.确保居住在欧盟的人们有可能使用可访问、自愿、安全和可信的数字身份，从而获得广泛的在线服务;b.确保公共部门信息的广泛获取和再利用;c.促进和支持在整个欧盟范围内无缝、安全和互操作地获取旨在有效满足人们需求的数字公共服务，包括数字健康和护理服务，特别是获取电子健康记录。第三章:选择自由与算法和人工智能系统的交互8.人工智能应该是人类的工具，最终目的是增进人类福祉。9.每个人都应该有权从算法和人工智能系统的优势中受益，包括在数字环境中做出自己的知情选择，同时保护自己的健康、安全和基本权利免受风险和损害。我们承诺:a.

https://ec.europa.eu/competition/elojade/isef/case_details.cfm?proc_code=1_AT_39740.[2]

本文转自“网信中国”微信公众号作者：王志勤，中国信息通信研究院副院长近年来，人工智能各项技术飞速发展，应用更加普及多元。其中，深度合成技术作为人工智能领域的创新应用技术，以其较低的应用门槛、较强的娱乐属性、丰富的应用场景受到广泛关注。特别是在互联网信息服务领域，深度合成技术丰富了网络内容形式，进一步释放新技术新应用发展活力。但是，部分深度合成技术应用缺乏规范，对国家安全、社会稳定和公民合法权益带来风险挑战。党的二十大报告强调，“健全网络综合治理体系，推动形成良好网络生态”。《法治社会建设实施纲要（2020-2025年）》明确要求，要制定完善算法推荐、深度伪造等新技术应用的规范管理办法。为规范深度合成服务，国家互联网信息办公室、工业和信息化部、公安部联合发布《互联网信息服务深度合成管理规定》（以下简称《规定》）。《规定》通过系统性、创新性制度设计，首次回应了对深度合成服务的管理要求，为互联网信息服务深度合成的规范发展提供了基本遵循和合法依据。

杜安琪|中国信通院互联网法律研究中心助理研究员2022年11月21日，欧盟委员会正式发布《欧洲互操作法案》（Interoperable

王金钧|中国信通院互联网法律研究中心助理研究员欧洲数据保护委员会10月份发布了更新版《数据控制者、处理者识别牵头监管机构指南》草案，供公众咨询，此版本是在2018年指南版本基础上、针对联合控制者所做的更新。值得注意的是，只有在跨境处理数据的情景中，才存在识别牵头监管机构的问题，因此指南首先对跨境处理数据的含义作了进一步说明，主要涉及GDPR中的“营业机构所在地”和“实质性影响”两项标准，符合其中一项即满足跨境处理数据的定义。在确定了跨境数据处理的前提下，EDPB实际上将牵头监管机构的识别划为四个种类，一是只有数据控制者，二是既有数据控制者又有数据处理者，三是只有数据处理者，四是联合控制者，此次更新主要涉及第四种类型。在第一种情形中，主要涉及识别控制者的管理中心，管理中心可视作控制者的“主要营业机构”，其所在地成员国的监管机构即为牵头监管机构，但如果有关数据处理目的和方式的决定是其他机构做出的，则以其他机构为准；在既有处理者又有控制者的情形中，如果控制者在欧洲经济区内设有营业机构且适用“一站式”机制，则主要识别控制者的主要营业机构，控制者主要营业机构所在地成员国监管机构为牵头监管机构；第三种情形识别处理者的管理中心，如果在欧洲经济区内没有管理中心，则识别其在欧洲经济区内开展主要数据处理活动的地点；第四种情况中，指南阐明了“主要营业机构”的概念不能延伸至联合控制者，需要分别识别控制者的管理中心，管理中心所在地成员国的监管机构即为各自的牵头监管机构。以下是此次更新版指南草案的中文译本：

杨婕|信通院互联网法律研究中心高级研究员黄珂滢|信通院互联网法律研究中心实习生2022年11月18日，印度电子和信息技术部发布《2022年数字个人数据保护法案》（Digital

全文共4356字，细读时间约15分钟赵淑钰|中国信通院互联网法律研究中心高级研究员近期，“黑暗模式”的概念引起越来越多的关注，多国监管机构着手对线上的“黑暗模式”进行审查监管。2022年，多个国家和地区针对“黑暗模式”发布相关研究报告。3月，欧盟数据保护委员会（EDPB）发布了《关于社交媒体平台界面的黑暗模式指南：如何识别和避免》；4月，英国竞争与市场管理局（CMA）发布《在线选择架构：数字设计如何损害竞争和消费者》研究文章；9月，美国联邦贸易委员会（FTC）发布了题为《将黑暗模式带入光明》的工作报告；10月，经济合作与发展组织（OECD）发布《黑暗商业模式报告》。同时，《加州隐私权法》以及欧盟《数字服务法》《数字市场法》等多部立法中也对“黑暗模式”进行了规定。本文通过对国外相关立法及官方报告的梳理研究，简述“黑暗模式”的定义、具体模式，“黑暗模式”的危害以及现行立法对“黑暗模式”的适用。一、什么是黑暗模式（dark

EO对“信号情报活动”没有明确定义，通常是指国家安全机构基于对通信和其他电子信号的拦截（并在可能的情况下进行解释）的情报收集，包括公民、军事和其他国家等来源。[4]

Act，CRA），旨在加强欧盟数字产品的网络安全，整合现有网络安全监管框架。《网络弹性法案》对包括软件在内的数字产品提出了大量网络安全要求。该法案与《高度共同网络安全指令》（NIS

《个人信息保护法》以闭环管理机制，规制个人信息泄露问题中心解读|《个人信息保护法》与GDPR的个人信息权利对比中心研究|十问十答看懂我国个人信息去标识化规则中心研究

建立数据中心》，载https://auto.163.com/21/0415/08/G7K2B78I000884MM.html，最后访问日期：2021年11月16日[16]《微软云的欧盟数据边界

《个人信息保护法》以闭环管理机制，规制个人信息泄露问题中心解读|《个人信息保护法》与GDPR的个人信息权利对比中心研究|十问十答看懂我国个人信息去标识化规则中心研究

《个人信息保护法》以闭环管理机制，规制个人信息泄露问题中心解读|《个人信息保护法》与GDPR的个人信息权利对比中心研究|十问十答看懂我国个人信息去标识化规则中心研究

Faith）。目前，尚不确定监管部门独立起诉会不会导致个人丧失诉权，但笔者理解，从文义解释看，既然监管机构可以在接收到个人通知后决定是否提起的是独立的诉讼（independently

《个人信息保护法》以闭环管理机制，规制个人信息泄露问题中心解读|《个人信息保护法》与GDPR的个人信息权利对比中心研究|十问十答看懂我国个人信息去标识化规则中心研究

《个人信息保护法》以闭环管理机制，规制个人信息泄露问题中心解读|《个人信息保护法》与GDPR的个人信息权利对比中心研究|十问十答看懂我国个人信息去标识化规则中心研究