【全文】
我们于2022年初对中国数据合规制度进行了总结并展望了2023年,本文将总结2023年中国数据治理制度的发展并对2024年进行展望。我们以“治理”的两面“安全”与“发展”为主线,对2023年出现的重点法律新规进行总结。
一、国家数据局成立 - 数据是构建新质生产力的重要物质基础
2023年3月16日,中共中央国务院印发《党和国家机构改革方案》,中国组建国家数据局,2023年10月25日,国家数据局正式揭牌,为国家发展和改革委员会管理的国家局,副部级单位。[1]国家数据局拟内设综合司、政策规划司、数据资源司、数字经济司、数字科技和基础设施建设司。[2]
国家数据局将中央网络安全和信息化委员会办公室和发改委(创新和高技术发展司)承担的数字和数据发展职能划入国家数据局,[3]负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。意味着国家层面数据治理中的“安全”问题归中央网信委(国家网信办),“发展”归发改委(国家数据局)。国家数据局的成立体现了数据战略上重视数据要素价值发挥的国家意志。在国家数据局成立后,2024年1月至2月,共有21个地方省级数据局集中正式挂牌,分别为江苏省、四川省、上海市、云南省、青海省、河北省、湖南省、广东省、天津市、福建省、湖北省、河南省、内蒙古自治区、浙江省、甘肃省、海南省、辽宁省、山西省、陕西省、新疆兵团、西藏自治区。[4]省级数据局局长多为正厅级或者副厅级,仅有天津为正局级,整体职级较国家数据局成立前有所提高。我们在梳理中发现,地方数据局多在省政府原有已设立的大数据中心或者政务服务局等职能机构基础上增加或者修改名称,其大数据管理职能的整合需要逐渐完善。这也并不说明省级数据局仅21家,因为有的省级地方已经在之前成立了数据局,不需要重新挂牌,例如北京市大数据中心、重庆市大数据应用发展管理局等。
图1:中国地方省级数据局(原图来自“中关村互联网金融研究院”,略有改动。)
二、安全 - 确保安全下的发展
2023年4月26日,全国人大常委会发布《反间谍法》,2023年7月1日施行,这是《反间谍法》2014年11月1日通过后的首次修订。新修订的《反间谍法》调整了体例结构并大幅增加了内容。修订后的《反间谍法》对间谍行为增加规定“针对国家机关、涉密单位或者关键信息基础设施等的网络攻击、侵入、干扰、控制、破坏等活动”,增加了网络领域的间谍行为,纳入关键信息基础设施。但实际上构成关键信息基础设施的“门槛”并不高,三级及以上网络均有可能被认定为关键信息基础设施。可以看出,修订后的《反间谍法》不仅明确了网络间谍行为,且大幅度扩展了行为边界。同时,《反间谍法》将“数据”与“文件、资料、物品”并列,窃取、刺探、收买、非法提供国家秘密、情报以及其他关系国家安全和利益的文件、数据、资料、物品均违法。但是其范围大于国家秘密和情报,所有关系国家安全和利益的数据均包含在内,边界并不清晰。
结合《刑法》的规定,间谍罪的主体是个人,单位不能构成间谍罪,但是单位违法最高可能被处以违法所得五倍以下罚款。“新闻、广播、电视、文化、互联网信息服务等单位,应当面向社会有针对性地开展反间谍宣传教育。”“电信业务经营者、互联网服务提供者及时采取修复漏洞、加固网络防护、停止传输、消除程序和内容、暂停相关服务、下架相关应用、关闭相关网站等措施,保存相关记录。”
《反间谍法》整体是一部强化国家安全领域意识形态的立法。从既往案例看,构成间谍罪的主体往往都是具有一定知识和特定背景的人,例如教授、高管、官员等。[5]近年的一些热点事件也均关乎国家秘密、重要数据等,例如海洋监测数据[6]、基因数据[7]、高铁数据[8]等。
体现整体国家安全观的与《反间谍法》直接相关的法律包括《国家安全法》《保守国家秘密法》《反恐怖主义法》《国家情报法》等,其中修订后的《保守国家秘密法》将于2024年5月1日施行。[9]发布于2017年11月22日的《反间谍法实施细则》也将同步修改。《档案法实施条例》自2024年3月1日起施行,[10]对档案的数据化保存和出境进行了规定。[11]
图2:《国家安全法》下整体国家安全观
2023年国家网信办共发起2次网络安全审查,总共第3次网络安全审查(第1次为滴滴海外上市未通过网络安全审查)。2023年3月31日,国家网信办对美光(Micron)公司在华销售的产品实施网络安全审查,[12]2023年5月21日,美光公司在华销售的产品未通过网络安全审查,我国内关键信息基础设施的运营者应停止采购美光公司产品。[13]2023年9月6日,国家网信办发布公告,[14]对知网(CNKI)依法作出网络安全审查相关行政处罚,手机知网、知网阅读等14款App的三家运营者依据《网络安全法》《个人信息保护法》《行政处罚法》被处以人民币5000万元罚款。[15]
综上,尽管在机构设置和政策导向来看数据“发展”得以强调,但是有关“安全”的立法及执法也“实打实”地被完善。整体上我们认为,在安全下发展为中国数据治理的趋势。
三、发展 - 从互联网+(加)到数据x(乘)
2024年1月4日,国家数据局等17部门发布《“数据要素×”三年行动计划(2024—2026年)》,表明我们国家从互联网+(加)过渡到了数据x(乘)的行业融合发展思路。总体目标为2026年底,打造300个以上示范场景,实现数据产业年均增速超过20%,细化了工业、农业、贸易等12个行业领域的数据发展重点行动。这是未来3年中国数据和行业融合发展的指导性文件。
图3:《“数据要素×”三年行动计划(2024—2026年)》总体目标
图4:《“数据要素×”三年行动计划(2024—2026年)》重点行动(12项)
2023年8月1日,财政部正式印发《企业数据资源相关会计处理暂行规定》,适用于符合企业会计准则规定、可确认为相关资产的数据资源,以及不满足资产确认条件而未予确认的数据资源的相关会计处理。按照会计上的经济利益实现方式,根据企业使用、对外提供服务、日常持有以备出售等不同业务模式,明确相关会计处理适用的具体准则。同时加强数据资源相关信息披露。在会计确认计量方面与现行无形资产、存货、收入等相关准则是一致的,不属于国家统一的会计制度要求变更会计政策。《企业数据资源相关会计处理暂行规定》为数据入表提供了会计依据,但这仅为经济上的记账方法,并不解决法律上数据权利的归属问题,即“入表”不等于“确权”。如果数据持有方自己或者通过第三方进一步出具权属证明“登记”,仅为主张合法持有数据的表面和初步事实。
2023年12月31日,财政部印发《关于加强数据资产管理的指导意见》,从总体要求、主要任务、实施保障等三方面十八条内容,对数据资产管理进行引导规范。明确提出“构建‘市场主导、政府引导、多方共建’的数据资产治理模式,逐步建立完善数据资产管理制度,不断拓展应用场景,不断提升和丰富数据资产经济价值和社会价值,推进数据资产全过程管理以及合规化、标准化、增值化。”以及“通过加强和规范公共数据资产基础管理工作,探索公共数据资产应用机制,促进公共数据资产高质量供给,有效释放公共数据价值,为赋能实体经济数字化转型升级,推进数字经济高质量发展,加快推进共同富裕提供有力支撑。”
图5:《关于加强数据资产管理的指导意见》的主要内容
财政部同时也对会计师事务所的数据安全治理进行了更严格和细化的规定,于2023年11月2日发布《会计师事务所数据安全管理暂行办法(征求意见稿)》,拟适用于所有在中国境内设立的会计师事务所,包括本土和具有外资背景的会计师事务所。列举的特定审计活动为:(一)为上市公司以及非上市的国有金融机构、中央企业等提供审计服务的;(二)开展跨境审计业务的。会计师事务所的非审计业务数据管理可参照执行。
会计师事务所需承担数据安全管理责任,会计师事务所的首席合伙人(主任会计师)是本所数据安全负责人。对审计资料按照核心数据、重要数据、一般数据进行分类分级,审计工作底稿及相关数据、审计业务相关的日志应当存储在境内,审计工作底稿和相关数据的加密设备应当设置在境内并由境内团队负责运行维护,密钥应当存储在境内。会计师事务所不得在业务约定书或类似合同中包含会计师事务所向境外监管机构提供境内项目资料数据等类似条款。加入国际网络的会计师事务所使用所在国际网络的信息系统的,应当采取用户隔离和数据隔离等措施。[16]
四、人工智能 - 促进政策和立法监管框架
中国国务院政府工作报告从2015年开始提及人工智能相关概念,并逐年强化其重要性。从《2015年政府工作报告》和《2016年政府工作报告》开始强调制造业“智能转型”,《2017年政府工作报告》正式将“人工智能”作为一个独立的新兴产业。之后,各年的政府中国报告逐渐将人工智能拓展到各行业“智能+”融合发展的地位。从《2023年政府工作报告》来看,人工智能作为关键核心技术取得了新突破,强调传统产业和中小企业智能化水平提升,人工智能产业方面仍然集中在智能家电和工业制造业。《2024年政府工作报告》通过提出开展“人工智能+”行动,推动数据开发、开放和流通使用,支“持平台企业在促进创新、增加就业、国际竞争中大显身手”。[17]
图6:《2024年政府工作报告》“深入推进数字经济创新发展”具体举措
2023年3月左右,Open AI公司的交互式对话人工智能产品ChatGPT引发各国监管的关注,中国也从政策层面的促进到对生成式人工智能实施有法律约束力的规制。从2023年4月11日开始征求意见,到2023年7月13日正式发布,国家网信办等七部门用3个月制定了《生成式人工智能服务管理暂行办法》,中国首部专门对人工智能进行立法的专项综合规定,中国人工智能监管框架初步搭建。[18]生成式人工智能技术,是指具有文本、图片、音频、视频等内容生成能力的模型及相关技术。
《生成式人工智能服务管理暂行办法》从网络安全、数据和个人信息保护、内容安全、知识产权保护等诸多方面提出了原则性要求,也对算法和训练数据以及服务规范等生成式人工智能产品和技术中比较突出的问题进行了细节规定,例如“采取有效措施防止产生民族、信仰、国别、地域、性别、年龄、职业、健康等歧视”和“增强训练数据的真实性、准确性、客观性、多样性”等。服务提供者(包括提供可编程接口者)和产品使用者均需遵守适用的规定,提供具有舆论属性或者社会动员能力的生成式人工智能服务的,还应当按照已有的《互联网信息服务算法推荐管理规定》进行评估和备案。
中国有关人工智能的政策文件主要包括:《国务院关于印发促进大数据发展行动纲要的通知(国发〔2015〕50号)》(2015年),提及支持自然语言理解,机器学习,深度学习等人工智能技术创新,提高数据分析能力,知识发现能力和辅助决策能力;《国务院关于印发新一代人工智能发展规划的通知(国发〔2017〕35号)》(2017年),提及这是一种颠覆性技术,可能改变就业结构、冲击法律与社会伦理,侵犯个人隐私、挑战国际关系准则等问题;工信部《新一代人工智能产业发展三年行动计划(2018-2020年)》(2018年),特别提及面向语音识别,视觉识别,自然语言处理等基础领域,支持建设高质量人工智能训练资源库。
与人工智能规制关系比较密切的其他法律规定主要包括:网信办《关于加强互联网服务算法综合治理的指导意见》,规定利用三年左右时间,逐步建立治理机制健全、监管体系完善、算法生态规范的算法安全综合治理格局;《互联网信息服务算法推荐管理规定》要求利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息进行备案,《互联网信息服务深度合成管理规定》对应用深度合成技术提供互联网信息服务进行了进一步规定,自2023年6月开始,2023年度完成的第一批和第二批深度合成服务算法备案共154件。[19]
在人工智能的治理中,伦理为基础性要求。2023年10月18日,中国发布《全球人工智能治理倡议》,包括“发展人工智能应坚持‘以人为本’理念”等11项倡议,与2023年11月首届人工智能安全全球峰会上欧盟、中国、美国等28国签署的《布莱切利宣言》达成的“以人为本”的共识一致。
实际上2023年9月7日,科技部等即发布《科技伦理审查办法(试行)》(已于2023年12月1日起施行),将“涉及以人为研究参与者的科技活动,包括以人为测试、调查、观察等研究活动的对象,以及利用人类生物样本、个人信息数据等的科技活动。”纳入科技伦理审查范围,要求责任主体设立科技伦理(审查)委员会,对侵入式脑机接口、人机融合系统、具有舆论社会动员能力和社会意识引导能力的算法模型、具有高度自主能力的自动化决策系统的研发进行重点审查。
五、数据合规 - 细化《个人信息保护法》的各项制度
2023年8月3日,国家互联网信息办公室发布《个人信息保护合规审计管理办法(征求意见稿)》,和2022年发布的《数据出境安全评估办法》、《关于实施个人信息保护认证的公告》一起,分别落实了《个人信息保护法》关于评估、认证、审计的要求。
《个人信息保护合规审计管理办法(征求意见稿)》的上位法依据是《个人信息保护法》第54条和第64条的规定,分别为普遍性地要求个人信息处理者定 期进行合规审计和当存在较大风险或者发生个人信息安全事件时应要求其委托专业机构进行合规审计,可以自行审计或者外聘第三方机构进行审计。是对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。审计依据为法律和行政法规,不包括部门规章、规范性文件、国家标准、团体标准等文件,虽然这些文件是重要参考。审计频率上,拟要求处理超过100万人个人信息的个人信息处理者每年至少开展一次个人信息保护合规审计,其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。
比较成问题的是,《个人信息保护合规审计管理办法(征求意见稿)》对具体的审计方法没有具体的指引,审计范围不聚焦。附件“个人信息保护合规审计参考要点”规定的审计内容囊括和重述了信息安全、数据安全和个人信息保护的全部要求,涵盖了大型互联网企业的全部业务活动的所有方面,还包括评价平台规则的公平公正性,是否存在恶意竞争、影响消费者权益等已经超出了个人信息保护领域问题,涉及消费者保护和反垄断反不正当竞争制度。[20]并没有对“存在较大风险或者发生个人信息安全事件”进行解释,应当严格定义并且列举窄范围的风险事件和安全事件为触发监管审计的条件。[21]
2023年11月23日,工信部发布《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》及附件《工业和信息化领域数据安全行政处罚裁量基准》,区分了后果较轻(第13条)、后果较重(第14条)、后果严重(第15条)三种违法行为。
图7:《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》拟规定的三种违法情节
2023年12月8日,网信办发布《网络安全事件报告管理办法(征求意见稿)》,在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者在发生危害网络安全的事件时应当向主管部门进行报告。网络安全事件分级依据为《信息安全技术 网络安全事件分类分级指南(GB/T 20986—2023)》,于2023年12月1日实施。网络安全事件被分为特别重大事件(一级)、重大事件(二级)、较大事件(三级)、一般事件(四级)。发生网络安全事件时需要向主管部门报告和通知个人是各国普遍的要求,《网络安全事件报告管理办法(征求意见稿)》仅涉及向主管部门的报告,不涉及面向个人的通知。报告时限分别为1小时或者24小时内补报,事件处置结束后运营者应当于5个工作日内进行分析总结后按照原渠道上报。
2023年10月9日的《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》和2023年11月23日的《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》也在征求意见中。该两个规定的制定是自2023年1月1日“工业和信息化领域数据安全管理顶层制度文件”《工业和信息化领域数据安全管理办法(试行)》生效后,解决“谁来管、管什么、怎么管”问题的具体落地文件。
六、人脸识别 - 受高关注度的个人敏感信息再规制
2023年8月8日,国家网信办发布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》,拟对从线上到线下,从商用到公共目的使用人脸识别技术和图像采集进行规制。在人脸识别规制领域,继杭州野生动物园违约收集人脸识别信息案之后,中国铁路成都局因进站要求人脸识别被乘客起诉[22],虽然最后法院判决告知缺陷不足以单独构成对乘客个人信息权益的侵害,但引发的思考包括承担公共服务的部门是否可以泛化公共安全职能而普遍性地要求出入公共场所无差别地进行人脸比对。实际上,“2024年全国两会之际,戴斌提交了一份《关于限制旅游场景过度使用”人脸识别“的提案》,直言在酒店加装人脸识别设备终端既没有明确的法律和行政法规规定,建议公安部指导地方取消入住酒店必须刷脸的规定,并召回相关软硬件设备。”[23]
《人脸识别技术应用安全管理规定(试行)(征求意见稿)》主要内容包括:
(1)非必要不使用人脸识别信息(第4条)。只有具有特定目的和充分必要的情况下才可以处理人脸识别信息,优先选择非生物特征识别技术方案。使用人脸识别技术验证个人身份、辨识特定自然人的,鼓励优先使用国家人口基础信息库、国家网络身份认证公共服务等权威渠道。
(2)获得单独同意或者书面同意(第5条)。使用人脸识别技术处理人脸信息应当取得个人的单独同意或者依法取得书面同意。
(3)各场所图像采集、个人身份识别设备要求
·涉及隐私(第6条)。旅馆客房、公共浴室、更衣室、卫生间及其他可能侵害他人隐私的场所不得安装图像采集、个人身份识别设备。
·公共场所(第7条)。设置显著提示标识,负有保密义务,不得非法泄露或者对外提供。
·组织机构内部(第8条)。应当根据实际需求合理确定图像信息采集区域,采取严格保护措施。
(4)不强制收集(第9条)。宾馆、银行、车站、机场、体育场馆、展览馆、博物馆、美术馆、图书馆等经营场所,不得强制、误导、欺诈、胁迫个人接受人脸识别技术验证个人身份。
(5)远距离、无感式辨识(第10条)。应当为维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,并由个人或者利害关系人主动提出。
(6)目的限制(第11条)。除维护国家安全、公共安全或者为紧急情况下保护自然人生命健康和财产安全所必需,或者取得个人单独同意外,任何组织或者个人不得利用人脸识别技术分析个人种族、民族、宗教信仰、健康状况、社会阶层等敏感个人信息。
(7)社会福利、重大权益处置(第12条)。涉及社会救助、不动产处分等个人重大利益的,不得使用人脸识别技术替代人工审核个人身份,人脸识别技术可以作为验证个人身份的辅助手段。
(8)14岁未成年人(13条)。人脸识别技术使用者处理不满十四周岁未成年人人脸信息的,应当取得未成年人的父母或者其他监护人的单独同意或者书面同意。
(9)物业服务(第14条)。物业服务企业等建筑物管理人不得将使用人脸识别技术验证个人身份作为出入物业管理区域的唯一方式。
(10)个人信息保护影响评估(第15条)。人脸识别技术使用者处理人脸信息,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
(11)备案(第16条)。在公共场所使用人脸识别技术,或者存储超过1万人人脸信息的人脸识别技术使用者,应当在30个工作日内向所属地市级以上网信部门备案。
(12)存储(第17条)。不存储原始图片,应当符合等级保护和关键信息基础设施安全保护的要求。
(13)最小化(第18条)。使用人脸识别技术处理人脸信息应当尽量避免采集与提供服务无关的人脸信息。
(14)检测评估(第19条)。人脸识别技术使用者应当每年对图像采集设备、个人身份识别设备的安全性和可能存在的风险进行检测评估。
(15)网络关键设备和网络安全专用产品(第20条)。按照国家有关规定列入网络关键设备和网络安全专用产品目录的图像采集设备、个人身份识别设备,检测符合要求后方可销售或者提供。
由于《人脸识别技术应用安全管理规定(试行)(征求意见稿)》规定的比较全面和技术性,我们期待很快通过生效。这是继2021年7月《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》首次专门对人脸识别中的个人信息保护问题进行规定后,又一项专门的立法。
七、个人信息出境 - 受国际环境影响可能不会放松的一项制度
2023年5月30日,国家互联网信息办公室发布《个人信息出境标准合同备案指南(第一版)》。个人信息处理者通过与境外接收方订立个人信息出境标准合同的方式向境外提供个人信息,应当根据2023年6月1日起施行的《个人信息出境标准合同办法》规定,按照备案指南向所在地省级网信部门备案。个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信办备案,需同时提交“标准合同”和《个人信息保护影响评估报告》。省级网信办收到材料后,在15个工作日内完成材料查验,并通知个人信息处理者备案结果。
2023年9月28日,国家网信办发布关于《规范和促进数据跨境流动规定(征求意见稿)》,拟放宽数据出境的限制。目前,数据合法出境方式包括三种方式,分别为申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。放宽数据出境的限制意味着不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证,自由出境。拟“放宽”措施包括:(1)场景放宽。国际贸易、学术合作、跨国生产制造和市场营销等活动中产生的数据出境,不包含个人信息或者重要数据的,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证(第1条);(2)数据类型放宽。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估(第2条)[24];(3)数据来源地放宽。不是在境内收集产生的个人信息向境外提供,不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证(第3条);(4)特定情形放宽。跨境购物、跨境汇款、机票酒店预订、签证办理等,履行劳动合同,紧急情况下为保护自然人的生命健康和财产安全等 (第4条);(5)数量放宽。预计一年内向境外提供不满1万人个人信息的可以不申报数据出境安全评估(第5条),预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估;向境外提供100万人以上个人信息的,应当申报数据出境安全评估(第6条);(6)特定出境区域放宽。自由贸易试验区[25]可制定负面清单,负面清单外数据出境,可以不申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证(第7条)。
2023年12月10日,国家网信办发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,这是继2023年2月22日网信办发布《个人信息出境标准合同办法》之后的首个区域性标准合同指引,也是香港首个生效的数据出境标准合同规则。由国家互联网信息办公室和香港特区政府创新科技及工业局根据《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》联合发布,自发布之日起生效。适用于粤港澳大湾区[26]个人信息(被相关部门、地区告知或者公开发布为重要数据的个人信息除外)跨境双向流动,但不得向粤港澳大湾区以外的组织、个人提供。在标准合同生效之日起10个工作日内备案且事前获得个人同意并开展个人信息保护影响评估。
由于欧盟没有将中国列入个人信息出境14个“白名单”国家,但美国拟将中国(包括香港和澳门)、俄罗斯、伊朗、朝鲜、古巴和委内瑞拉和列入“黑名单”,在此国际大背景下,我们认为中国个人信息出境制度不会短时间普遍性放松,比较可行的是特定区域间(例如大湾区、自贸区等)和东南亚国家间根据国际条约等数据跨境采取更灵活形式。
八、内容治理 - 网络和数据治理的首要合规“阵地”
中国互联网信息内容治理仍然以2000年9月25日公布(2011年1月8日修改)的《互联网信息服务管理办法》为上位法,《互联网信息服务管理办法(修订草案征求意见稿)》仍在征求意见当中。
2023年7月7日,国家网信办发布《网络暴力信息治理规定(征求意见稿)》。《网络暴力信息治理规定(征求意见稿)》分为七章,其中最核心的内容为第二章一般规定、第三章网络暴力信息监测预警、第四章网络暴力信息处置、第五章保护机制,要求互联网信息服务提供者及相关主体采取措施来防止网络暴力。网络暴力信息是指通过网络对个人集中发布的侮辱谩骂、造谣诽谤、侵犯隐私,以及严重危害身心健康的道德绑架、贬低歧视、恶意揣测等违法和不良信息。拟规定的主要内容包括:(1)信息内容管理主体责任。主要义务承担方为网络信息服务提供者(如App或互联网平台),第二章(第5—8条)对网络信息服务提供者的信息内容管理主体责任提出了更细节的要求。首先,该规定强调了防止假冒、仿冒、恶意关联网络暴力事件当事人进行违规注册或发布信息,协助当事人进行个人账号认证;其次,平台必须明确规定用户发布网络暴力信息应当承担的责任;最后,平台应当定期发布网络暴力信息治理公告,并在网络信息内容生态治理工作年度报告中,报告相关工作情况;(2)事前监测预警。第三章(第9—11条)要求建立网络暴力信息分类标准和典型案例样本库,同时区分舆论监督和善意批评,动态管理涉网络暴力重点账号,并建立健全网络暴力信息预警模型;(3)网络暴力信息的事后处置。第四章网络暴力信息处置(第12—17条)还针对网络暴力信息提供了后置救济措施。当出现侮辱谩骂、造谣诽谤、侵犯隐私等网络暴力信息时,平台应该采取行动制止;(4)一键关闭网络暴力信息的保护机制。第五章保护机制(第18—23条)从用户的角度出发,对App或者网页功能修改提出要求,以防止网络暴力信息发布和传播。[27]
九、未成年人个人信息保护 - 立法丰富但公开的实践案例较少的一个领域
2023年8月2日,国家互联网信息办公室发布“关于《移动互联网未成年人模式建设指南(征求意见稿)》公开征求意见的通知”,“将全面升级‘青少年模式’为‘未成年人模式’,推动模式覆盖范围由APP扩大到移动智能终端、应用商店,实现软硬件三方联动,方便用户一键进入模式,为未成年人营造安全健康的网络环境。” 要求移动智能终端按照年龄进行使用时长管理。
图8:《移动互联网未成年人模式建设指南(征求意见稿)》移动智能终端使用时长管理要求
未成年人模式下,移动智能终端、应用程序、应用程序分发平台应为家长提供使用时长、信息服务接收、应用程序下载安装等方面的管理权限,移动智能终端应为未成年人账号提供至少1个亲情号绑定作为家长账号。
2023年10月16日,国务院发布《未成年人网络保护条例》,自2024年1月1日起施行。自2016年9月30日正式征求意见到正式发布历经7年。第四章规定了未成年人个人信息网络保护内容。包括:(1)网络实名制(第31条)。未成年人或者其监护人不提供未成年人真实身份信息的,网络服务提供者不得为未成年人提供相关服务。网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制;(2)仅收集必要个人信息(第32条)。不得强制要求未成年人或者其监护人同意非必要的个人信息处理行为,不得因为未成年人或者其监护人不同意处理未成年人非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务;(3)保障未成年人个人信息权益(第33、34条)。保障查阅、复制、更正、补充、删除权。对未成年人或者其监护人依法提出的转移未成年人个人信息的请求,符合国家网信部门规定条件的,个人信息处理者应当提供转移的途径;(4)个人信息安全事件应急预案(第35条)。发生或者可能发生未成年人个人信息泄露、篡改、丢失的,个人信息处理者应当立即启动个人信息安全事件应急预案;(5)内部管理以最小授权为原则(第36条)。个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围;(6)合规审计(第37条)。个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规的情况进行合规审计,并将审计情况及时报告网信等部门;(7)私密信息处理(第38条)。网络服务提供者发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,应当及时提示,并采取停止传输等必要保护措施,防止信息扩散。
需要说明,未成年人指所有未满18周岁的人,其中14周岁以下是儿童,儿童个人信息保护更加严格。例如,根据《个人信息保护法》,儿童个人信息属于敏感个人信息(14周岁至18周岁以下并非为法定敏感个人信息),收集儿童个人信息需要监护人同意(收集14周岁至18周岁以下未成年人个人信息可以由未成年人本人同意或者监护人同意),儿童个人信息还需要遵守更加严格的《儿童个人信息网络保护规定》。
2023年12月22日,国家新闻出版署发布《网络游戏管理办法(草案征求意见稿)》。中国对网络游戏的系统性规制始于2010年的《网络游戏管理暂行办法》(2017年修订),自2019年被废止,同年文化和旅游部不再承担网络游戏行业管理职责。[28]之后一直没有替代性新规,这是国家新闻出版总署关于网络游戏的立法首次亮相。随后国家新闻出版署有关负责人表示还将进一步修改完善[29],尤其是公众关切的第17条(禁止强制对战)[30]和第18条(限制游戏过度使用和高额消费)[31]有可能在正式稿中修改或者取消。
十、深圳地方数据合规指引 – “先行先试”典范地区
深圳市在数据治理和交易方面的立法与实践均非常活跃。2023年9月11日,深圳市人民检察院主导制定了非强制性的《深圳市企业数据合规指引》, “构建了覆盖数据全生命周期及数据交易、出境等各类场景的全流程合规标准体系,为企业开展各类数据处理活动提供更加明确、具体的规范指引。”包括数据处理者的管理和制度体系建设和数据生命周期管理。
图9:《深圳市企业数据合规指引》数据合规制度体系
就数据生命周期中的算法和自动化决策问题而言,还明确排除了不属于差别待遇的情形,对合规中的重点和难点问题进行了说明。[32]虽然《深圳市企业数据合规指引》为非强制性规定,但是这说明了至少监管层面就差别待遇的认知达成了一定程度的共识,对深圳当地企业进行产品设计时具有重要指导意义。
总结:国家据局正式成立后,其内部组织结构和职能在完善之中,地方省级数据局也积极加挂了牌照。2023年度的数据治理立法仍然十分丰富,国家安全类立法修改内容均包含了数据安全的要求,在人工智能和算法、内容安全、未成年人保护、人脸识别、审计与出境方面均有新的规定征求意见或者正式生效。以国家数据局《“数据要素×”三年行动计划(2024—2026年)》为框架,数据乘以12个产业的融合发展为方向,和《2024年政府工作报告》提出的发展“人工智能+”是一致的,财政部“数据入表”制度正式确立,我们认为“入表”不等于“确权”,数据利用和交易规则等“数据基础制度”仍在非常初期的探索阶段。整体上,中国将在加强国家安全的空间中发展数字经济,以数据为物质基础的“人工智能+”行业数字化融合发展。
附:《中国数据治理制度2023年总结与2024年展望》所涉法律规定目录(按照文中出现顺序排列)
1.《党和国家机构改革方案》2023年3月16日
2.《中华人民共和国反间谍法》发布日期:2023年4月26日,施行日期:2023年7月1日。
3.《中华人民共和国刑法》
4.《中华人民共和国国家安全法》
5.《中华人民共和国保守国家秘密法》修订日期:2024年2月27日,施行日期:2024年5月1日。
6.《中华人民共和国反恐怖主义法》
7.《中华人民共和国国家情报法》
8.《中华人民共和国档案法实施条例》发布日期:2024年1月25日,施行日期:2024年3月1日。
9.《中华人民共和国网络安全法》
10.《中华人民共和国个人信息保护法》
11.《中华人民共和国行政处罚法》
12.《企业数据资源相关会计处理暂行规定》发布日期:2023年11月2日,施行日期:2024年1月1日。
13.《关于加强数据资产管理的指导意见》发布日期:2023年12月31日
14.《会计师事务所数据安全管理暂行办法(征求意见稿)》发布日期:2023年11月2日。
15.《生成式人工智能服务管理暂行办法》发布日期:2023年7月13日,施行日期:2023年8月15日
16.《国务院关于印发促进大数据发展行动纲要的通知(国发〔2015〕50号)》
17.《国务院关于印发新一代人工智能发展规划的通知(国发〔2017〕35号)》
18.《新一代人工智能产业发展三年行动计划(2018-2020年)》
19.《关于加强互联网服务算法综合治理的指导意见》
20.《互联网信息服务算法推荐管理规定》发布日期:2022年1月4日,施行日期:2022年3月1日。
21.《互联网信息服务深度合成管理规定》发布日期:2022年12月11日,施行日期:2023年1月10日。
22.《全球人工智能治理倡议》2023年10月18日
23.《科技伦理审查办法(试行)》发布日期:2023年9月7日,施行日期:2023年12月1日。
24.《个人信息保护合规审计管理办法(征求意见稿)》发布日期:2023年8月3日。
25.《数据出境安全评估办法》
26.《关于实施个人信息保护认证的公告》
27.《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》,发布日期:2023年10月9日。
28.《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》,发布日期:2023年11月23日。
29.《工业和信息化领域数据安全事件应急预案(试行)(征求意见稿)》,发布日期:2023年12月15日。
30.《网络安全事件报告管理办法(征求意见稿)》发布日期:2023年12月8日。
31.《信息安全技术 网络安全事件分类分级指南(GB/T 20986-2023)》发布日期:2023年5月23日,施行日期:2023年12月1日。
32.《人脸识别技术应用安全管理规定(试行)(征求意见稿)》发布日期:2023年8月8日。
33.《个人信息出境标准合同备案指南(第一版)》发布日期:2023年5月30日,施行日期:2023年6月1日。
34.《个人信息出境标准合同办法》发布日期:2023年2月22日,施行日期:2023年6月1日。
35.《规范和促进数据跨境流动规定(征求意见稿)》发布日期:2023年9月27日。
36.《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》发布日期:2023年12月13日,同日施行。
37.《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局 关于促进粤港澳大湾区数据跨境流动的合作备忘录》
38.《互联网信息服务管理办法》
39.《互联网信息服务管理办法(修订草案征求意见稿)》发布日期:2021年1月8日。
40.《网络暴力信息治理规定(征求意见稿)》发布日期:2023年7月7日。
41.《移动互联网未成年人模式建设指南(征求意见稿)》发布日期:2023年9月28日。
42.《未成年人网络保护条例》通过日期:2023年9月20日,施行日期:2023年1月1日。
43.《网络游戏管理办法(草案征求意见稿)》
44.《网络游戏管理暂行办法》已废止
45.《深圳市企业数据合规指引》发布日期:2023年9月11日,同日施行。
【注释】
[1] 国家数据局:“丁薛祥出席国家数据局揭牌仪式”,载公众号“国家数据局”,https://mp.weixin.qq.com/s/IRdMeH_RZ0IOm1rTUsfekA,最后访问时间:2024年3月4日。
[2] 南方杂志:“新成立的国家数据局内设机构亮相”,载南方杂志公众号,https://mp.weixin.qq.com/s/osv4LjiNuz1JOpeJRiQbpg ,最后访问时间:2024年3月6日。
[3] 王源:“国家数据局对中国数据治理格局的影响”及“及视频对谈回放”,载公众号“数据法盟”,https://mp.weixin.qq.com/s/KDXx9B4l5M6ogwn37oRpYg, 最后访问时间:2024年3月4日。
[4] 中关村互联网金融研究院:“33天内!21个省级数据局成立,数据要素市场发展提速”,载163.com, https://www.163.com/dy/article/IS2CS3OK0538GOD6.html,最后访问时间:2024年3月4日。略有改动。
[5] 真知见:“中方再抓美谍,法媒:在华11万间谍中,仅5万外籍,其他全是中国人”,载腾讯网,https://new.qq.com/rain/a/20230821A03IC600,最后访问日期2024年3月4日。
[6] 国家安全机关:“某海洋组织接受境外资助,在我国非法设监测点,22个靠近军事目标”,载环球网,https://m.huanqiu.com/article/45PEvShzX6N,最后访问日期2024年3月4日。
[7] 天使的蔑视:“复旦大学在外刊公布国人基因图谱,时间点实在蹊跷,令人生疑”,载网易首页,https://www.163.com/dy/article/I7OOLNL50534PAAE.html,最后访问日期2024年3月4日。
[8] 央视网:“境外公司谎称调研窃取高铁数据,我国首例涉高铁运行国家安全案被破获”,载观察者网,https://www.guancha.cn/politics/2022_04_15_635005.shtml?s=zwyxgtjdt,最后访问日期2024年3月4日。
[9] 新华网:“新修订的保守国家秘密法今年5月1日起施行”,载全国人民代表大会官网,http://www.npc.gov.cn/npc/c2/c30834/202402/t20240228_434897.html,最后访问日期2024年3月4日。
[10] 中央人民政府:“李强签署国务院令 公布《中华人民共和国档案法实施条例》”,载中国政府网,https://mp.weixin.qq.com/s/edV-PPe9nVzhFKYz1G42qQ,最后访问日期2024年3月4日。
[11] 本文旨在对2023年的数据合规制度进行总结,2024年的规定我们仅简要提及,2025年再对2024年的规定进行详细总结。
[12] 中国网信网:“关于对美光公司在华销售产品启动网络安全审查的公告”,载国家网信办官网,https://www.cac.gov.cn/2023-03/31/c_1681904291361295.htm,最后访问日期2024年3月4日。
[13] 中国网信网:“美光公司在华销售的产品未通过网络安全审查”,载国家网信办官网,https://www.cac.gov.cn/2023-05/21/c_1686348043518073.htm,最后访问日期2024年3月4日。
[14] 中国网信网:“国家互联网信息办公室对知网(CNKI)依法作出网络安全审查相关行政处罚”,载国家网信办官网,https://www.cac.gov.cn/2023-09/06/c_1695654024248502.htm,最后访问日期2024年3月4日。
[15] 数据合规专栏|王源:“再谈网络安全审查和知网(CNKI)被罚”,载公众号“北大法宝智慧法务研究院”,https://mp.weixin.qq.com/s/TZtm1-U6iYeaiCUdvlyJCw,最后访问日期2024年3月4日。
[16] 数据合规专栏|王源:“简评《会计师事务所数据安全管理暂行办法(征求意见稿)》”,载公众号“北大法宝智慧法务研究院”,https://mp.weixin.qq.com/s/0AYTGPSQTcDGmi7e76N3Pw,最后访问日期:2024年3月6日。
[17] 中央人民政府:“最全!50个动态场景看2024《政府工作报告》全文”,载中国政府网,https://www.gov.cn/yaowen/liebiao/202403/content_6936260.htm,最后访问时间:2024年3月6日。
[18] 王源:“文章推荐 | 《生成式人工智能服务管理办法(征求意见稿)》解读“,载”法宝学堂“,https://mp.weixin.qq.com/s/LRAVt-_0bof2zIxrugDK4Q ,后访问时间:2024年3月6日。
[19] 截止本文完成时间2024年3月,2024年度第三批和第四批一共有395深度合成服务算法备案。
[20] 隐私护卫队:“个保合规审计新规:处理超百万人个人信息企业需年度“体检”,载隐私护卫队公众号,https://mp.weixin.qq.com/s/Shy2l_ow3v5HiPsdyujYpg, 最后访问时间:2024年3月4日。
[21] 数据合规专栏|王源:“《个人信息保护合规审计管理办法(征求意见稿)》简评“,载公众号”北大法宝智慧法务研究院“,https://mp.weixin.qq.com/s/73roWieoFeko4a3ma91JRQ ,最后访问时间:2024年3月6日。
[22] 法治日报:“全国首例!进火车站被刷脸,她把铁路公司告了”,载公众号“法治日报”,https://mp.weixin.qq.com/s/gXJJ8d4OrM7OSDPCGx_abQ ,最后访问时间:2024年3月6日。
[23] 程姝雯 莫倩如:“两会热话题I住酒店先刷脸?有信息泄露风险,无法律依据,建议取消”,载公众号“南都鉴定评测实验室”,https://mp.weixin.qq.com/s/hY2ioIJQU-bltnE5yTl5Ag ,最后访问时间:2024年3月6日。
[24] 解读:“数据处理者不需要作为重要数据申报数据出境安全评估”并不意味着不需要进行出境安全评估,仅意味着不需要作为重要数据进行出境安全评估。
[25] 解读:如何判定自由贸易试验区数据,我们认为以企业注册地为标准,而非数据存储地。
[26]个人信息处理者及接收方应注册于(适用于组织)/位于(适用于个人)粤港澳大湾区内地部分,即广东省广州市、深圳市、珠海市、佛山市、惠州市、东莞市、中山市、江门市、肇庆市,或者香港特别行政区。
[27] 王源:“《网络暴力信息治理规定(征求意见稿)》解读”,载北大法律信息网,https://mp.weixin.qq.com/s/fDl_-akrimd4UXJKRRPS-A, 最后访问时间:2024年3月4日。
[28] 李卓:文旅部不再承担网络游戏管理职责,独家解析中国游戏产业监管史,https://www.sohu.com/a/336169945_152615
[29] 国家新闻出版署有关负责人:“《网络游戏管理办法》(征求意见稿)旨在促进行业繁荣健康发展”,载公众号“中国新闻出版政务”,https://mp.weixin.qq.com/s/gFylRfJ1_cb3J29EVRwLJA ,最后访问时间:2024年3月4日。
[30] 《网络游戏管理办法(草案征求意见稿)》第17条,【禁止强制对战】网络游戏出版经营单位不得在网络游戏中设置强制对战。
[31] 《网络游戏管理办法(草案征求意见稿)》第18条,【限制游戏过度使用和高额消费】网络游戏不得设置每日登录、首次充值、连续充值等诱导性奖励。
网络游戏出版经营单位不得以炒作、拍卖等形式提供或纵容虚拟道具高价交易行为。
所有网络游戏须设置用户充值限额,并在其服务规则中予以公示,对用户非理性消费行为,应进行弹窗警示提醒。
[32] 《深圳市企业数据合规指引》:“企业不得利用数据分析,对交易条件相同的交易相对人实施差别待遇,但是有下列情形之一的除外:(一)根据交易相对人的实际需求,且符合正当的交易习惯和行业惯例,实行不同交易条件的;(二)针对新用户在合理期限内开展优惠活动的;(三)基于公平、合理、非歧视规则实施随机性交易的;(四)法律、法规规定的其他情形。
前款所称交易条件相同,是指交易相对人在交易安全、交易成本、信用状况、交易环节、交易持续时间等方面不存在实质性差别。”
