【编者按】数据要素改革、人工智能产业发展、数据跨境流动都是当前中国经济社会的高频词汇,数字经济发展已经成为2024年中国经济发展的核心引擎。
数字经济产业只有合规的发展,才是可持续、高质量的发展。2024年,中国数据合规监管会面临怎样的走势?《互联网法律评论》今日获授权刊发特约专家王岩飞律师、樊思琪律师的分析文章,分个人信息保护、数据要素市场化、人工智能以及数据跨境流动四个领域回顾2023年中国数据合规监管重点立法、执法活动,并对2024年监管走势进行预测。供业界读者参考。
2023年,中共中央 国务院印发《数字中国建设整体布局规划》明确数字中国建设按照“2522”的整体框架进行布局,即夯实数字基础设施和数据资源体系“两大基础”,推进数字技术与经济、政治、文化、社会、生态文明建设“五位一体”深度融合,强化数字技术创新体系和数字安全屏障“两大能力”,优化数字化发展国内国际“两个环境”。
随着数字中国的全面建设,数字经济已然成为稳增长促转型的重要引擎。在数字经济及数据合规领域,相关的法律法规以及执法也在进一步完善。纵观2023年数据合规领域的重要立法和执法活动,个人信息保护、数据要素市场化、人工智能以及数据跨境流动乃是本年度监管的重要关键词,本文就上述四大领域分别进行回顾总结,并借此展望2024年行业发展的新动态及监管思路的新趋势。
一、个人信息保护
2023年是《个人信息保护法》(以下简称“《个保法》”)正式实施两周年。在过去的两年中,《个保法》作为我国个人信息保护的专门性法律,为个人信息主体权利的保障以及个人信息处理者的合规义务等方面提供了重要的法律依据。
(一)合规依据的不断完善
随着个保法的颁布和实施,有关个人信息保护方面的立法正在不断完善,2023年内出台的有关个保方面的重要监管文件如下:
《个人信息保护合规审计管理办法(征求意见稿)》
《个保法》第54条和第64条对于个人信息保护合规审计的义务作出了规定,然而对于如何落地审计工作并未明确。
2023年8月,国家网信部门发布《个人信息保护合规审计管理办法》(征求意见稿),面向社会公开征求意见。《个人信息保护合规审计管理办法(征求意见稿)》共 16 条,《个人信息保护合规审计参考要点》共 31 条。上述管理办法的出台,有利于个人信息保护合规审计义务更好落地,对定期审计和监管审计两种合规审计制度进行细化,指导与规范个人信息处理者开展个人信息保护合规审计工作。此外,《个人信息保护合规审计参考要点》更进一步明确了开展个人信息合规审计的相关参考要点,列明了重点审查事项,审查重点同样也是个人信息处理者内部合规工作的要点,它便于个人信息处理者推进内部个人信息合规审计制度建设与具体实施。
《未成年人网络保护条例》
《未成年人网络保护条例》于2023年10月24日发布,自2024年1月1日起施行,是我国第一部专门立法保护未成年人网络安全的综合性法律。该条例共有七章、六十条,其第四章专章规定了未成年人“个人信息网络保护”。
在《个保法》的基础上,进一步完善了未成年人的个人信息保护规则:
网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制;处理未成年人个人信息,要符合必要性原则;个人信息处理者应采取相关措施保障未成年人或者其监护人依法请求查阅、复制、更正、补充、删除未成年人个人信息的权利;个人信息安全事件应急预案;个人信息处理者对其员工应当以最小授权为原则,严格设定信息访问权限;个人信息处理者合规审计义务;网络服务提供者如果发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息,应及时提示并采取必要的保护措施。《人脸识别技术应用安全管理规定(试行)(征求意见稿)》
2023年8月8日,国家互联网信息办公室发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,面向社会公开征求意见。《人脸识别技术应用安全管理规定(试行)(征求意见稿)》共 25 条。
该管理规定对人脸识别技术的应用者以及人脸识别技术产品或服务的提供者均作出相关合规要求:
明确人脸识别技术应用的基本安全要求,强调使用人脸识别技术的必要性,只有在具有特定目的和充分必要性并采取严格保护措施的情况下方可使用。实现相同目的或者达到同等业务要求,存在其他非生物特征识别技术方案的,应当优先选择非生物特征识别技术方案;强调取得个人的单独同意或者依法取得书面同意;列举人脸识别技术应用的典型场景,如公共场所、宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所、旅馆客房、公共浴室、更衣室、卫生间、组织内部场所等提出具体的差异化规范要求;延续《个保法》的相关规定,提出使用人脸识别技术应当事前进行个人信息保护影响评估,并对人脸信息评估内容作出具体要求;新增在公共场所使用,或存储超过 1 万人人脸信息的人脸识别技术使用者具有备案义务。《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)
在《个人信息保护法》出台前,不少企业在落地个人信息保护合规工作中的重要参考就是《信息安全技术 个人信息安全规范》(GB/T 35273-2020)等国家标准,在实践中,国家标准为企业的合规工作提供了具体可落地的操作指引。
2023年5月,《信息安全技术 个人信息处理中告知和同意的实施指南》(GB/T 42574-2023)发布,其中对于告知同意的适用情形、基本原则以及告知和同意分别的实施方式均作出了具体规定。此外,在附录中,针对不同业务场景,就如何履行告知同意义务,告知什么内容,告知和同意如何实施等要求均作出了具体规定。
《信息安全技术 个人信息去标识化效果评估指南》(GB/T 42460-2023)
早在2019年,《信息安全技术 个人信息去标识化指南》就已经出台,其中明确了去标识化的目标、原则以及去标识化的具体过程,附录中还列示了常用的去标识化技术以及模型。
2023年3月,《信息安全技术 个人信息去标识化效果评估指南》(GB/T 42460-2023)发布,该文件提供了个人信息去标识化效果分级与评估的指南,将个人信息去标识化效果分为四级,并明确了个人信息去标识化效果评估的流程,包括评估准备、定性评估、定量评估、形成评估结论、沟通协商以及评估过程文档管理等几个步骤。
《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》
2023年8月,《信息安全技术敏感个人信息处理安全要求》形成标准征求意见稿并进行发布,该文件给出了敏感个人信息的界定方法,规定了敏感个人信息处理的通用安全要求以及对于部分敏感个人信息,如宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人信息等信息的特殊安全要求。
(二)执法力度趋严,对安全管控措施的要求更高
随着立法的不断完善,执法依据也不断清晰,监管部门的执法力度也不断加强。从相关执法案例来看:
1. 在法律责任方面,个人信息保护义务的违法后果包括刑事、行政和民事三个维度,本年度执法的数量以及处罚力度均有提升。在刑事责任方面,除了常见的非法获取和出售公民个人信息之外,不少案件也出现了企业内部员工利用工作便利,获取个人信息实施违法行为,谋取利益的情形。在数据合规工作中,企业内部的管控措施和管控能力至关重要。
2.“一案双查”执法趋势显现,比如在福建厦门某科技有限公司信息泄露案中,某科技公司系统被攻击导致信息泄露,公安机关除了对犯罪嫌疑人进行抓捕之外,还对该科技有限公司未履行网络安全保护义务行为给予了行政处罚。
3. 处罚的力度越来越强,关注的合规义务越来越细节。比如在江苏淮安的某次执法活动中,所处罚的对象为某足浴会所,处罚的原因是该场所的电脑存储有客户的个人信息,但未设置密码,没有采取必要的安全措施保障数据安全。由此可见,数据合规不仅仅是互联网企业的义务,个人信息处理者涵盖的范围非常广,即便企业的主营业务不是对数据的处理,依然要履行相关的数据安全义务。
4. 个人信息行政公益诉讼实践日益成熟,2023年3月,最高检发布了一批个人信息保护检察公益诉讼典型案例,典型案例共8起,其中既涉及健身房、旅游景区等强制采集人脸信息,非加密传输、未定期删除消费者敏感个人信息,医疗机构、快递公司数据管理不规范,也涉及行政部门在政务公开过程中未能对公民个人信息进行有效保护,造成信息泄露安全隐患等问题。这批典型案例还体现了刑事检察与公益诉讼检察协同联动的特点,在依法追究行为人刑事责任的同时,追究公益损害责任,提出停止侵害、消除危险、赔偿损失等诉求。
二、要素市场化
2022年12月,中共中央、国务院发布《关于构建数据基础制度 更好发挥数据要素作用的意见》(以下简称“数据二十条”),作为构建数据基础制度体系的纲领性文件,从数据产权、流通交易、收益分配、安全治理等方面明确了数据基础制度建立的框架要求。2023年,监管政策和监管主体更加明确,将有利于推动数据要素市场化的高速发展。
2023年10月,国家数据局正式揭牌,由国家发展改革委管理。人员和职能主要整合两个部门:中央网络安全和信息化办公室、国家发展改革委。在具体职责方面,主要负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。
在数据确权方面,数据二十条确立了数据资源持有权、数据加工使用权、数据产品经营权分置的产权运行机制,绕开所有权问题,为数据确权提供依据,数据知识产权登记试点也在全国各地铺开。此外,各地数据交易所也相继推进开展业务,2023年11月26日,头豹信息科技南京有限公司、上海数据交易所等机构发布《2023年中国数据交易市场研究分析报告》(以下简称“2023数据交易报告”)显示,中国数据交易行业在过去几年内经历了稳定高速增长的发展阶段,2022年整体市场规模较上年增长42.0%,达到876.8亿元,占全球数据市场交易规模的13.4%,占亚洲数据市场交易规模的66.5%。
数据资产的评估入表是数据要素价值实现的关键。2023年8月,财政部下发《企业数据资源相关会计处理暂行规定》,明确规定了数据资源 “入表”的具体处理准则,标志着我国数据资产入表完成了从0到1的关键步骤。2023年9月8日,在财政部指导下,中国资产评估协会印发《数据资产评估指导意见》,以规范数据资产评估执业行为。从数据资源到数据资产,数据“入表”是指对满足资产确认条件的数据资源进行记录,数据资产可以作为无形资产和存货来计价,数据直接与经济利益挂钩;而数据资产的价值评估,将更有利于数据资产在企业融资、出资入股、并购重组、破产清算等多种不同商业场景中的价值体现。可以预见,数据资产形成资产报表,再以报表资产为基础推动数据资产市场价值评定,从而能够进一步推动数据资产增值、数据资产作价入股、数据资产信托、数据资产质押融资等创新方向的研究及实践落地。
随着新一轮科技革命和产业变革深入发展,数据作为关键生产要素的价值日益凸显,为落实数据二十条,2023年12月15日《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》正式发布,计划征求意见稿明确了指导思想、基本原则和总体目标,并规定了数据要素×工业制造、现代农业、金融服务医疗健康等十二个领域的重点行动。
三、人工智能
(一)人工智能领域立法及相关安全要求
2023年,ChatGPT风暴席卷全球,人工智能(AI)技术站上舞台中央。“数据+算力+算法”的组合已经在帮助人类分析、理解、预测和决策。随着“文心一言”等国产大语言模型的快速发展和应用,生成式人工智能存在的合规问题引发关注。
2023年4月11日,中国国家互联网信息办公室发布了我国首部生成式人工智能产业管理办法《生成式人工智能服务管理办法(征求意见稿)》,7月10日正式发布《生成式人工智能服务管理暂行办法》(以下简称“暂行办法”),暂行办法自2023年8月15日起施行。暂行办法在内容治理、数据合规与安全、算法备案与安全评估、知识产权合规、防沉迷与未成年人保护、平台投诉举报和监督等方面为生成式人工智能提供者提出了明确的合规要求。
2023年10月8日,科学技术部(“科技部”)、教育部、国家卫生健康委等部门联合公布《科技伦理审查办法(试行)》(“审查办法”),并将于2023年12月1日起施行。审查办法的主要内容包括,确定了哪些行为需要经过科技伦理审查、建立伦理委员会,委员会具体要求以及伦理审查流程等。根据审查办法的规定,算法模型涉及个人信息数据和公共秩序,以及提供深度合成服务的人工智能活动,都需要进行伦理审查。
有关人工智能方面的国家标准方面,《互联网信息服务深度合成管理规定》(以下简称“深度合成规定”)于2023年1月起施行,要求深度合成服务提供者对使用其服务生成或者编辑的信息内容,应当采取技术措施添加不影响用户使用的标识,且暂行办法中也进一步强调了提供者应按照深度合成规定要求,对图片、视频等生成内容进行标识。为落实该规定,全国信息安全标准化技术委员会(以下简称“信安标委”)于8月25日发布《网络安全标准实践指南——生成式人工智能服务内容标识方法》,围绕文本、图片、音频、视频四类生成内容给出了内容标识方法,可用于指导生成式人工智能服务提供者提高安全管理水平。
10月11日信安标委发布《生成式人工智能服务 安全基本要求(征求意见稿)》,给出了生成式人工智能服务在安全方面的基本要求,包括语料安全、模型安全、安全措施、安全评估等。
除此之外,有关生成式人工智能预训练和优化训练数据安全规范、生成式人工智能人工标注安全规范的相关标准也正在征集参编单位的阶段,预计2024年在人工智能领域将会出台更多具体规范和国家标准。
(二)算法备案及安全评估
根据暂行办法、深度合成规定的相关规定,具有舆论属性或者社会动员能力的深度合成服务提供者应当履行相关的算法备案以及安全评估合规义务,而在监管方面,国家网信办于2023年6月发布首批深度合成服务算法备案信息,9月1日发布第二批备案信息,2024年1月5日发布第三批备案信息。
(三)全国首例“AI文生图”著作权案
随着人工智能技术应用场景越来越多,相关的民事纠纷也逐渐显现。2023年12月,北京互联网法院针对人工智能生成图著作权侵权纠纷一案,作出一审判决。
该案号称是我国首例涉及“AI文生图”著作权的案件,引发网络关注。大概案情如下:2023年2月24日,该案原告使用开源软件Stable Diffusion通过输入提示词的方式生成了图片,后将该图片以“春风送来了温柔”为名发布在小红书平台。后原告发现,有百家号账号发布文章时配图使用了涉案图片,没有获得其许可,且截去了其在小红书平台的署名水印,为此,原告将被告告上了法庭。原告认为,被告严重侵犯了其享有的署名权和信息网络传播权,要求其赔偿经济损失5000元,并赔礼道歉。最终,法院于11月27日作出了一审判决,认定被告侵害了原告就涉案图片享有的署名权和信息网络传播权,应当在社交平台发布声明赔礼道歉,以消除影响,并在判决生效之日起七日内赔偿原告经济损失500元。
(四)全国首例涉“虚拟数字人”侵权案
虚拟数字人,是运用多项人工智能技术创造出来的与人类形象接近的数字化人物形象,目前在影音娱乐、电商带货、虚拟社交等行业领域广泛应用。2019年10月,上海魔珐公司通过公开活动发布了数字人“Ada”,并于同年10月、11月通过某网络平台发布了两段视频,一段用于介绍Ada的场景应用,另一段则用于记录真人演员与Ada的动作捕捉画面。2022年7月,杭州某网络公司未经授权发布了两段含有Ada的视频画面。上海魔珐公司认为,杭州某网络公司在未经授权的情况下传播使用该虚拟数字人,侵害了他们的美术作品、视听作品的信息网络传播权,以及侵害了录像制作者及录像制品中表演者的信息网络传播权,同时还构成虚假宣传的不正当竞争行为,因此将杭州某网络公司起诉至杭州互联网法院,要求其消除影响及赔偿经济损失50万元。法院经审理认为,被告杭州某网络公司未经许可使用并传播了相关视频,这种行为侵犯了原告上海魔珐公司的美术作品、视听作品、录像制品以及表演者的信息网络传播权,另外,杭州某网络公司利用这些视频进行引流营销,并在展示过程中加注了商标标识,可能对消费者的决策产生了一定误导,构成了虚假宣传的不正当竞争。
四、数据跨境流动
在数据跨境流动方面,除延续对数据跨境安全进行保护的主线原则外,2023年出台的系列新规也在保障数据安全的前提下放宽了某些情形下的监管,在一定程度上增强了企业在数据合规跨境流动方面的可操作性,实质降低了企业的合规负担。
(一)数据跨境流动领域新增多项合规依据
《个人信息出境标准合同办法》
2023年2月24日, 国家互联网信息办公室公布了《个人信息出境标准合同办法》的正式文本(以下简称《办法》),以保护个人信息权益,规范个人信息出境活动。《办法》的主要内容包括:
明确规定了标准合同的适用情形:《办法》结合《数据出境安全评估办法》的适用情形,两者对具有特定身份,以及处理特定数量个人信息的处理者适用何种个人信息出境机制作出了区分,针对不同情形的数据出境活动适用不同的管理方式。规定了完成标准合同的基本流程:明确完成标准合同应经过开展个人信息保护影响评估、根据双方需要增修完善标准合同内容、与境外接收方协商签约,以及在标准合同生效后及时向省网信部门备案等基本流程。明确了标准合同签订后的事后跟进规则:明确当个人信息出境情况、境外接收方所在国家/地区的个人信息保护政策和法规发生变化等情形发生时,个人信息处理者应重新进行标准合同备案,以保证个人信息出境安全。《个人信息出境标准合同备案指南(第一版)》
网信办于5月30日发布《个人信息出境标准合同备案指南(第一版)》(以下简称《备案指南》),为配合施行2023年6月1日生效的《办法》提供具体操作指引。《备案指南》中对标准合同备案的时限、流程、提交材料、结果等事项进行了释明,同时通过个人信息出境标准合同备案材料要求、个人信息出境标准合同(范本)、个人信息保护影响评估报告(模板)等附件为个人信息处理者提供具体操作指引。
《规范和促进数据跨境流动规定(征求意见稿)》
2023年9月28日,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》(“《数据跨境规定》”)并向社会公开征求意见。从内容上看,《数据跨境规定》在一定程度上降低了企业实现数据合规出境的操作难度:
《数据跨境规定》在国际贸易、学术合作、跨国生产制造、市场营销等部分场景中产生的部分数据设立了数据出境的监管白名单,规定符合相应要求的跨境数据传输活动无需再通过数据出境合规机制。《数据跨境规定》将数据出境合规义务以数据量为标准划分为三个层级,适用不同的数据出境合规监管机制。明确自由贸易试验区可自行制定需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(负面清单),放宽了自贸区范围内的数据跨境传输规则。《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
2023年12月13日,国家网信办与香港创新科技及工业局公布了《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(下称“《实施指引》”),以配合实现《关于促进粤港澳大湾区数据跨境流动的合作备忘录》中关于粤港澳大湾区数据流动的制度安排。《实施指引》及其附件《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同》文本在充分考虑内地及香港不同法域有关数据出境法律规定的情形下,在一定程度上放宽了监管要求,为大湾区组织及个人的个人信息跨境流动提供了便利。
(二)数据出境实践情况
2023年,除通过完成数据出境安全评估实现合规数据出境外,随着个人信息标准合同备案以及个人信息保护认证两种数据出境路径的规则完善,多家企业也已通过个人信息出境标准合同备案及个人信息保护认证两种方式实现数据的合规跨境流动。
2023年6月25日,北京市网信办发布公告,北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同已通过市网信办组织的备案审核,备案号为“京合同备202300001”,成为首家通过订立标准合同实现个人信息合规出境的企业,标志着个人信息出境标准合同备案制度在北京率先落地。根据各省网信办发布的公告信息,截至2023年12月31日,已有9家企业个人信息出境标准合同完成备案。
根据中国网络安全审查技术与认证中心发布的消息,2023年12 月 15 日,中国网络安全审查技术与认证中心向珠海澳科大科技研究院、 支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等 5 家企业颁发了我国首批个人信息保护认证证书。首批认证证书的颁发,标志着我国个人信息保护认证实施工作迈出了重要首批认证证书的颁发,标志着我国个人信息保护认证实施工作迈出了重要一步,为构建安全、可靠、有序的数据流通和治理环境奠定了基础。
五、结语
回顾 2023:架构设立,行稳致远
2023 年是数字经济领域不断深化发展的一年,也是数据合规领域行稳致远的一年。在全球竞争格局方面,国家不断加强网络安全审查和数据出境的监管,完善大湾区等特殊区域的数据跨境流动规则,在保证数据安全的前提下探寻促进数据跨境流通的方式,对部分场景、部分地区中的数据跨境活动进行监管的适度“松绑”。同时着力开展人工智能领域的发展和立法工作,通过进一步完善法律规范应对人工智能技术发展带来的新挑战以及在全球领域内的人工智能技术竞争。
整体数据要素市场发展以及数据治理方面,在顶层设计已经构建完成的基础上,具体规则更加细化明确,各行业的法律政策制定以及数据安全管理工作在主管机关的推动下正在有序开展,国家标准,地方标准,团体标准如雨后春笋般出台,多地积极出台数据要素相关地方性法规以及企业数据合规相关指引文件,对企业如何进行数据合规的实际操作进行指导。
执法层面,从关乎国家安全的重点领域到关乎个人权益的方方面面,执法范围更加广泛,力度更强,方向更加精准。各执法部门在职责范围内积极开展执法活动的同时,人民检察院也进一步强化了数据领域执法活动的检察监督,通过检察建议、行政公益诉讼等方式积极督促有关监管部门履职,起到了良好的外部监督作用。
展望2024年:仰望星空,乘风而起
2024年,全球数据竞争将更加激烈,在关乎国家安全和重要民生领域,中国数据出境监管工作将会更加深化,企业出海将面临更加严峻的海外执法。在促进经济发展的重要数据流通上,将依托自贸区等特殊区域探索更加便利的跨境流动机制,不仅仅是数据出境,数据入境的合规问题也值得探索。
在人工智能领域,促进人工智能发展的文件将会深化落实,顶层立法将会加快出台,规制文件会进一步细化,人工智能技术应用的商业模式将会更加丰富,由此产生的相关的执法和司法案例将会持续增加。
数据安全和个人信息保护监管将更具有针对性,重要领域的执法将会逐步开展。同时,监管下沉,数据安全与个保执法将渗透到日常生活的方方面面。
数据要素市场化方面,公共数据将以授权运营等方式探索入市,数据资产入表将会进一步探索深化,确权评估等实践工作将逐步开展,数据交易市场将更加繁荣,金融赋能数据市场的模式将会更丰富。在数据基础设施如火如荼地建设过程中必然会催生大量数据资产投资并购交易机会。
企业发展既要抬头仰望星空,关注国家大政方针,投入到数据要素市场建设中,又要低头赶路,加强合规建设,防控法律风险。在平衡发展与合规关系的博弈中,答案将更加明确,无论是数据资产化还是应对监管,合规都是基础,企业数据资产价值的实现和合规是相辅相成的,合规创造价值,这是持续发展的精神内涵,也是法律的应有之义。
新的一年,数据合规已然成为常态化要求,与此同时,数据资产化以及数据与其他要素相结合的商业实践也将成为重要议题,数据入表、出资、交易、投融资、并购、上市、信托、质押、证券化等都会是数据行业新的研究和探索方向。
【免责声明】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。
