【全文】
我们于2023年对中国数据治理制度进行了总结并展望了2024年,本文将从中央、行业、国家标准、部分地方规定角度,总结2024年中国数据治理制度的发展并对2025年进行展望。数据领域综合性规定《网络数据安全管理条例》生效,数据要素利用、数据资产化、公共数据开放、授权运营等制度密集发布。数据出境、重要数据分类分级为近年治理重点,个人信息保护制度在具体领域和事项上得以细化,仅对人工智能行业进行原则性监管,各行业与数据有关的规定明显增多。
1.网络安全和数据保护领域第一部行政法规《网络数据安全管理条例》生效
2024年8月30日,《网络数据安全管理条例》(“《条例》”)经国务院第40次常务会议通过,自2025年1月1日起施行。《条例》对网络数据的定义为“网络数据是指通过网络处理和产生的各种电子数据”,是涵盖了网络安全、个人信息保护、重要数据安全、网络数据跨境安全管理、网络平台服务提供者义务、网络设施、硬件、App等软件产品、人工智能应用等的综合性行政法规。
(1)《网络数据安全管理条例》与其他法律法规的协调适用关系
《网络安全法》(《条例》第2章)、《数据安全法》(《条例》第4章)、《个人信息保护法》(《条例》第3章)《关键信息基础设施安全保护条例》(《条例》第16条)与《条例》共同构成“三法两条例”。同时,《条例》还与《国家安全法》(《条例》第2条)《消费者权益保护法》(《条例》第6章)《反不正当竞争法》(《条例》第18条)《反电信网络诈骗法》(《条例》第8条)协调适用,为中国网络数据保护总纲。
(2)网络数据处理者及其上下游企业的责任
《条例》涉及的责任主体具体包括:网络数据处理者(第62条等)、硬件与软件产品与服务提供者(App)(第10条等)、国家机关政务数据处理者(第15条等)、关键信息基础设施运营者(第16条)、生成式人工智能服务提供者(第19条)、境外个人信息处理者的境内代表(第26条)、网络运营者(第2章)、个人信息处理者(第3章和第5章)、重要数据处理者(第4章和第5章)、(大型)网络平台服务提供者(第6章)、预装应用程序的智能终端等设备生产者(第40条)、提供网络数据保险的公司(第40条)。
(3)网络数据保护的各项制度
《条例》还规定或者细化了网络数据保护的各项制度。具体包括:网络数据分类分级(第5条)、网络数据安全管理制度(等级保护、强制性国标、加密、备份、访问控制、安全认证等)(第9条)、网络产品、服务认证和采购制度(第10条)、应急预案与网络数据安全事件(第11条)、对外数据交易制度(第12条)、国家安全审查(第13条)、重要数据管理制度和风险评估(第4章)、个人信息合规审计(第27条)、网络数据跨境安全评估(第5章)。
2.人工智能立法审慎、通过标识和备案要求进行原则性监管
人工智能是对数据更高效利用的一种技术。中国目前并没有明确的全国人大或者国务院层面的立法计划。2023年国家网信办等七部门发布的《生成式人工智能服务管理暂行办法》仍然是人工智能领域目前最系统的规定,且仅针对生成式人工智能。在此基础上,针对目前一些具体技术或者细节问题,主要从国家标准层面开始探索,内容集中在标识和备案要求,处于原则性的监管阶段。
(1)人工智能标识要求
《网络安全标准实践指南—生成式人工智能服务内容标识方法》已于2023年8月25日发布,内容比较简洁。在此基础上,2024年6月25日,国家标准化委员会将《网络安全技术 人工智能生成合成内容标识方法》列为强制性国家标准制定计划中。2024年9月14日,国家互联网信息办公室发布《人工智能生成合成内容标识办法(征求意见稿)》,拟适用于网络信息服务提供者开展人工智能生成合成内容标识,分别规定了网络信息服务提供者、提供网络信息内容传播平台服务的服务提供者、互联网应用程序分发平台和用户的责任。2024年9月14日,全国网安标委发布《网络安全技术 人工智能生成合成内容标识方法(征求意见稿)》,为人工智能生成合成内容标识提供技术指引和具体标注方法,生效后将成为个人信息保护领域首个强制性国家标准。此外,《网络安全技术 人工智能代码生成服务安全要求》《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则(征求意见稿)》等也在征集参编单位或者征求意见中。
(2)人工智能备案要求
2025年1月8日,国家互联网信息办公室发布“2024年生成式人工智能服务已备案信息的公告”。根据《生成式人工智能服务管理暂行办法》第17条的规定,截至2024年12月31日,共302款生成式人工智能服务在国家网信办完成备案,其中2024年新增238款备案;对于通过API接口或其他方式直接调用已备案模型能力的生成式人工智能应用或功能,2024年共105款生成式人工智能应用或功能在地方网信办完成登记。明确了大模型以及基于大模型的应用或者功能均需备案和登记。同时,截至2024年12月20日,根据《互联网信息服务深度合成管理规定》和《互联网信息服务算法推荐管理规定》,进行了备案的具有舆论属性或者社会动员能力的深度合成服务提供者一共达到九批。
(3)其他人工智能标准制定计划
2024年3月1日,全国网络安全标准化技术委员会发布TC260-003《生成式人工智能服务安全基本要求》,在此基础之上将形成国家标准《网络安全技术 生成式人工智能服务安全基本要求》。2025年1月26日,全国网络安全标准化技术委员会秘书处发布《人工智能安全标准体系(V1.0)(征求意见稿)》,主要由基础共性、安全管理、关键技术、测试评估、产品与应用等5个部分组成,将构成人工智能领域网络安全标准的基础框架,在此基础上逐步起草各项具体标准。工信部等四部门2024年7月2日联合印发《国家人工智能产业综合标准化体系建设指南(2024版)》,到2026年将新制定国家标准和行业标准50项以上,引领人工智能产业高质量发展的标准体系加快形成。
3.数据出境规则进一步明确
数据出境整体趋向于宽松,安全评估、标准合同、认证制度以及区域规则进一步明确。
(1)数据出境整体动向
2024年3月22日,国家网信办通过《促进和规范数据跨境流动规定》,列举了7项免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的数据出境情形。包括:(1)非重要数据处理者不需要作为重要数据申报数据出境安全评估;(2)国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中收集和产生的数据;(3)在境外收集和产生的个人信息传输至境内处理后向境外提供;(4)为订立、履行个人作为一方当事人的合同,如跨境购物、跨境寄递、跨境汇款、跨境支付、跨境开户、机票酒店预订、签证办理、考试服务等;(5)实施跨境人力资源管理向境外提供的员工个人信息;(6)紧急情况下为保护自然人的生命健康和财产安全向境外提供的个人信息;(7)关键信息基础设施运营者以外的数据处理者自当年1月1日起累计向境外提供不满10万人的个人信息(不含敏感个人信息)。
(2)数据出境的区域性规定
自由贸易试验区可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(“负面清单”)。北京、天津、上海、海南发布了自贸区“负面清单”。
2024年5月8日,天津市公布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》,列明了天津自贸试验区企业向境外提供数据需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的13大类和46子类情形,负面清单外的数据免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。同时明确涉及国家秘密的数据、核心数据、政务数据不纳入负面清单管理。
2024年8月26日,北京市互联网信息办公室、北京市商务局、北京市政务服务和数据管理局制定了《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》并附“中国(北京)自由贸易试验区数据分类分级参考规则”。目前规定了汽车行业、医药行业、民航业、零售与现代服务业、人工智能训练数据5个行业或者领域的重要数据与个人信息负面清单,清单内的数据分别通过数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证出境,清单外的数据自由出境。
2025年2月8日,上海市网信办等五部门印发《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》《中国(上海)自由贸易试验区及临港新片区数据出境负面清单实施指南(试行)》,将再保险领域、国际航运领域、商贸领域(零售与餐饮业、住宿业)3个领域的数据分为“需要通过数据出境安全评估的数据清单”和“需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单”。
2025年2月20日,海南省印发《海南自由贸易港数据出境管理清单(负面清单)(2024版)》,将深海、航天、种业、旅游、免税商品零售业务6个具有地方特色的行业或者领域数据,按照“需要通过数据出境安全评估的数据清单”和“需要通过个人信息出境标准合同备案、个人信息保护认证出境的数据清单”,在该行业或者领域内分成两类。
除自贸区外,中国内地分别和香港、澳门通过制定个人信息跨境流动标准合同实施指引,建立了区域数据跨境流动规则。早在2023年12月10日,国家互联网信息办公室和香港特区政府创新科技及工业局已经发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,国家互联网信息办公室、澳门特别行政区政府经济及科技发展局、澳门特别行政区政府个人资料保护局于2024年9月10日公布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》。中国内地与香港和澳门的个人信息跨境流动标准合同实施指引的内容和要求基本相同,通过订立标准合同的方式进行粤港澳大湾区内内地和澳门之间的个人信息跨境流动,不得向粤港澳大湾区以外的组织、个人提供。
(3)数据出境认证
2025年1月3日,国家互联网信息办公室发布《关于<个人信息出境个人信息保护认证办法(征求意见稿)>公开征求意见的通知》。这是在2022年7月7日《数据出境安全评估办法》、2022年11月4日《关于实施个人信息保护认证的公告》和2025年2月12日《个人信息保护合规审计管理办法》基础上,对《个人信息保护法》下评估、审计、认证制度再次细化。
个人信息出境个人信息保护认证,是指依法设立并经国家市场监督管理部门批准取得个人信息保护认证资质的专业认证机构,对个人信息处理者个人信息出境活动开展的个人信息保护认证。属于非强制性、自愿申请的认证。拟规定应当同时符合下列情形:(1)非关键信息基础设施运营者;(2)自当年1月1日起累计向境外提供10万人以上、不满100万人个人信息(不含敏感个人信息)或者不满1万人敏感个人信息。不包括重要数据。
(4)中国数据出境的整体要求和路径
结合《数据出境安全评估办法》《促进和规范数据跨境流动规定》《个人信息出境标准合同办法》《关于<个人信息出境个人信息保护认证办法(征求意见稿)>公开征求意见的通知》《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》《海南自由贸易港数据出境管理清单(负面清单)(2024版)》《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》的规定,目前中国数据出境的整体要求和路径图示如下:
4.数据分类分级和重要数据规制有所突破
目前数据分类分级和重要数据的规制进展主要包括:从中央角度,《网络数据安全管理条例》规定了重要数据的管理要求;从地方角度,北京、天津、上海、海南自贸区从数据出境角度制定了重要数据目录或者一般数据目录;从行业角度,部分行业主管部门对分类分级和重要数据判定标准进行了规定;从国家标准角度,数据分类分级规则和重要数据识别指南发布。
(1)《网络数据安全管理条例》关于重要数据的规定
《网络数据安全管理条例》第4章规定了重要数据安全,主要制度包括:(1)重要数据分类分级及识别申报(第29条)。各地区、各部门应当确定本地区、本部门以及相关行业、领域的重要数据具体目录,网络数据处理者应当按照国家有关规定识别、申报重要数据。(2)负责人和管理机构(第30条)。重要数据的处理者应当明确网络数据安全负责人和网络数据安全管理机构。网络数据安全负责人应当由网络数据处理者管理层成员担任,有权直接向有关主管部门报告网络数据安全情况。(3)风险评估(第31条)。重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估。(4)合并、分立等报告(第32条)。重要数据的处理者因合并、分立、解散、破产等可能影响重要数据安全的,应当向省级以上有关主管部门报告。(5)年度风险评估(第33条)。重要数据的处理者应当每年度对其网络数据处理活动开展风险评估,并向省级以上有关主管部门报送风险评估报告,有关主管部门应当及时通报同级网信部门、公安机关。(6)网络数据处理者处理1000万人以上个人信息的,还应当遵守《条例》第30条、第32条对处理重要数据的网络数据处理者作出的规定(第28条)。
(2)地方数据出境规定中关于数据分类分级和重要数据的规定
《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》从国家安全、公共安全、行业影响力、是否已纳入出口管制或技术出口管理事项等角度,列举了5个行业或者领域的重要数据清单,涉及汽车行业、医药行业、民航业、零售与现代服务业、人工智能训练数据。例如,人工智能训练数据中,在研发设计过程中收集和产生的与行业竞争力相关的高价值敏感数据为重要数据。《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》附件“中国(北京)自由贸易试验区数据分类分级参考规则”对重要数据识别参考规则进行了示例。
《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》原则性规定,按照数据分类分级要求,将“国家行业主管部门或本市认定的重要数据纳入本清单管理”。在公布的清单目录中,并未使用重要数据概念,但其13类45项需要通过数据出境安全评估的数据显然是按照构成重要数据思路来列举的,涉及国家安全、重点行业等。
2024年2月3日,上海市印发了《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》,规定上海自贸试验区管委会、临港新片区管委会按照数据分类分级保护制度,根据区内实际需求率先制定重要数据目录。2024年2月8日,中国(上海)自由贸易试验区临港新片区管理委员会(“临港管委会”)印发《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》(有效期至2025年2月7日),规定跨境数据分级从高到低依次分为核心数据、重要数据、一般数据3个级别,核心数据禁止跨境,重要数据形成重要数据目录,一般数据形成一般数据清单。2024年5月16日,临港管委会印发《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》《中国(上海)自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单(试行)》《中国(上海)自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单(试行)》三份数据清单,涉及智能网联汽车、生物医药、公募基金领域数据。2025年2月8日的《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》列举的重要数据场景包括再保险领域中的人身险再保险场景、财产险再保险场景,水路运输服务和港口作业生产相关场景,一共两个。
北京和天津自贸区的负面清单意味着不在清单中的数据不属于重要数据,不需要通过安全评估方式出境,重要数据清单外的数据要么经过认证或者签署标准合同出境,要么“什么也不需要”自由出境,但重要数据之外的数据包含什么、如何分类没有进行规定,由数据处理者自行进行判断。上海的一般数据清单包含核心数据、重要数据外的其他数据,“数据处理者对在一般数据清单内的数据,可向临港新片区管委会申请登记备案,并在满足相关管理要求下自由流动。” 上海不仅列举重要数据,还将重要数据外的一般数据也按照一定分级分类标准进行列举。我们理解,一般数据清单的作用实际上是为数据处理者自行进行重要数据之外的数据分类分级提供了指引。北京和天津的更自由,而上海的可操作行更强。
以智能网联汽车领域数据为例,《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》不仅将关键信息基础设施运营者、人脸、车牌等个人信息、可以识别到个人的车辆VIN号、可能危害国家安全、公共利益或者个人、组织合法权益的数据、可能危害国家安全的数据排除在一般清单之外,还规定了跨国生产制造、全球研发测试、全球售后服务、二手车全球贸易四个场景,并根据各场景生产经营不同环节特点列举了一般数据清单。所以,上海市的规定具有“负面清单”+“正面清单”的特点。
(3)数据分类分级和重要数据的国家标准
继2021年12月31日发布《网络安全标准实践指南——网络数据分类分级指引》后,2024年3月21日,全国网络安全标准化技术委员会发布《GB/T 43697-2024 数据安全技术 数据分类分级规则(报批稿)》对数据分类分级的原则、规则、方法、流程等给出了参考;2023年8月25日的《信息安全技术 重要数据处理安全要求》(征求意见稿)》有望在2025年正式制定。
(4)部分行业主管部门数据分类分级和重要数据的规定
水利部信息中心2025年1月13日发布行业标准《水利数据分类分级规则(征求意见稿)》,水利数据分类思路为,按照数据基本属性及所属水利业务进行分类。水利数据一级分类分别为水利基础数据、水利业务数据、地理空间数据、管理数据、个人信息和其他数据六个类别。水利数据分级思路为,基于水利行业数据处理、管理、共享流通和安全保护,将数据分级细化为5个级别,一般数据对应数据等级1-3级,重要数据为4级,核心数据为5级。
上述规制对象均不包括国家秘密层级的数据,国家秘密适用《保守国家秘密法》和2024年9月1日施行的《保守国家秘密法实施条例(2024修订)》;此外,既有民事用途、又有军事用途的两用物项数据,还应遵守2024年12月1日施行的《两用物项出口管制条例》。
5.数据要素市场规则密集发布
数据要素市场政策文件密集发布,既有宏观政策的规定,也有可操作行强的规则,整体体现出促进数据流通和发展的思路。国家数据局下增设全国数据标准化技术委员会(“TC609”);网信部门下的全国网络安全标准化技术委员会(“TC260”)新成立数据安全标准工作组(WG8)、新技术安全标准特别工作组(SWG-ETS)。
(1)从政策文件角度
国家数据局2024年6月发布了《数字中国发展报告(2023年)》,从征求意见到正式成文,2024年间还发布了多项数字经济促进政策文件,主要包括《数字社会2024年工作要点》《数字经济2024年工作要点》《数字中国建设2024年工作要点清单》《可信数据空间发展行动计划(2024—2028年)》《关于促进数据产业高质量发展的指导意见》《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》《国家数据基础设施建设指引》。此外,还分两批对《数据领域常用名词解释》征求意见,有助于形成共识。
继2023年印发《企业数据资源相关会计处理暂行规定》《关于加强数据资产管理的指导意见》后,财政部2024年2月5日发布《关于加强行政事业单位数据资产管理的通知》。2024年12月29日,财政部发布《数据资产全过程管理试点方案》,以通过在中央部门、中央企业和地方财政部门的试点,形成有效的数据资产管理模式。试点主要内容包括编制数据资产台账、开展数据资产登记、完善授权运营机制、健全收益分配机制、规范推进交易流通。可以看出,各个行业主管部门与数据治理有关的“发力点”还是建立在本行业职责及专长基础之上。
(2)从机构设置和标准化角度
2024年,全国数据标准化技术委员会(“TC609”)正式成立,包括数据治理标准工作组(WG2) 、数据流通利用标准工作组(WG3)、全域数字化转型标准工作组(WG4)、数据技术标准工作组(WG5)、数据基础设施标准工作组(WG6),一共6个工作组。是经国家标准化管理委员会批准设立的,从事数据领域国家标准化工作的专业技术组织。全国数标委的筹建单位和业务指导单位为国家数据局,秘书处承担单位为中国电子技术标准化研究院。
2024年4月15日,全国信息安全标准化技术委员会更名为全国网络安全标准化技术委员会(“TC260”)。“关于印发全国网络安全标准化技术委员会工作组设置的通知”显示一共有9个工作组,“关于征集全国网络安全标准化技术委员会数据安全标准工作组、新技术安全标准特别工作组成员单位的通知”宣布成立数据安全标准工作组(WG8)、新技术安全标准特别工作组(SWG-ETS)。
全国网络安全标准化技术委员会和全国数据标准化技术委员会均为根据《全国专业标准化技术委员会管理办法》成立的标准化委员会,均由国家标准委领导。全国网络安全标准化技术委员会业务上受中央网络安全和信息化委员会办公室指导,全国数据标准化技术委员会业务上受国家数据局指导。秘书处承担单位均为中国电子技术标准化研究院。
2024年10月8日,国家发展改革委、国家数据局等部门联合印发《国家数据标准体系建设指南》,“到2026年底,基本建成国家数据标准体系,围绕数据流通利用基础设施、数据管理、数据服务、训练数据集、公共数据授权运营、数据确权、数据资源定价、企业数据范式交易等方面,制修订30多项数据领域基础通用国家标准”。
6.公共数据开放、企业数据开发和政务数据保护制度得以强化
(1)公共数据与政务数据
《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》规定,公共数据为“各级党政机关、企事业单位依法履职或提供公共服务过程中产生的公共数据”;《数据安全法》实际上并没有专门设定公共数据的概念,对政务数据也没有明确定义。《数据安全法》第5章详细规定了国家机关政务数据的开放利用,要求国家机关履行法定职责过程中应“及时、准确地公开政务数据”和“国家制定政务数据开放目录”,同时规定“法律、法规授权的具有管理公共事务职能的组织为履行法定职责开展数据处理活动”产生的数据也属于政务数据。公共数据强调的是“提供”服务;而政务数据强调的是“管理”公共事务。
各级地方政府出台了很多关于公共数据开放利用的规定,我们以部分省级政府和特区为例进行了总结(非完全统计),如下:
图 8各级地方政府关于公共数据开放利用的规定
(2)公共数据利用
自2024年10月9日推出《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》后,国家数据局推出公共数据资源授权运营三份政策文件,以统筹推进政务数据共享、有序推动公共数据开放、鼓励探索公共数据授权运营。2025年1月,国家发展改革委、国家数据局公布了《公共数据资源登记管理暂行办法》、《公共数据资源授权运营实施规范(试行)》,以及《关于建立公共数据资源授权运营价格形成机制的通知》。该三份政策文件是针对公共数据授权运营的顶层设计。“至此,公共数据资源开发利用”1+3“政策体系初步构建完成”。也落地了《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》中“建立公共数据、企业数据、个人数据的分类分级确权授权制度”的部分内容。
公共数据资源开发利用“1+3”政策体系的目标为,形成全国统一的登记管理体系, 在全国范围内实现登记结果统一赋码,支撑登记信息的查询和共享。县级以上地方各级人民政府、国家行业主管部门应编制公共数据资源授权运营实施方案,以公开招标、邀请招标、谈判等公平竞争方式选择运营机构运营公共数据资源,制定最高准许收入和上限收费标准。
(3)企业数据开发
除上述公共数据外,国家数据局还于2024年12月20日发布了《关于促进企业数据资源开发利用的意见》,强调“企业在生产经营过程中形成或合法获取、持有的数据,是企业发展的重要资源”,规定了完善企业数据权益形成机制、完善企业数据权益保护机制、健全企业数据收益分配机制等制度。
(4)政务数据保护
《网络数据安全管理条例》第16条规定,网络数据处理者为国家机关等提供服务,应履行网络数据安全保护义务,强调服务的安全性、稳定性和持续性。未经国家机关等同意,不得访问、获取、留存、使用、泄露或者向他人提供网络数据,不得对网络数据进行关联分析。
2024年5月15日,中央网络安全和信息化委员会办公室、中央机构编制委员会办公室、工业和信息化部、公安部制定并发布《互联网政务应用安全管理规定》,于2024年7月1日起施行。主体内容包括总则、开办和建设、信息安全、网络和数据安全、电子邮件安全、监测预警和应急处置。2024年6月21日,国家网信办发布《<互联网政务应用安全管理规定>解读》,进行补充说明和解释。之前已经制定的党内法规《党政机关、事业单位和社会组织网上名称管理暂行办法》《党政机关网站开办审核、资质复核和网站标识管理办法》《电子文件管理暂行办法》仍然在党内有效适用。
7.个人信息保护中的特定制度和内容不断细化完善
(1)与《个人信息保护法》相比,《网络数据安全管理条例》中有关个人信息保护不同或者细化的规定
a.告知-同意规则的表述有所不同
告知规则中,《个人信息保护法》对告知的要求为“处理规则应当公开,并且便于查阅和保存”“应当以显著方式、清晰易懂的语言真实、准确、完整”的告知,而《条例》的表述为“应当集中公开展示、易于访问并置于醒目位置”“内容明确具体、清晰易懂”;同意规则中,《条例》增加规定不得“频繁征求同意”,但实际上也是对《个人信息保护法》取得同意应当建立在自愿基础上的解释。
b.个人信息存储和删除时间不做统一要求
《条例》不统一要求告知个人信息存储和删除的具体时间。而是规定“个人信息保存期限和到期后的处理方式,保存期限难以确定的,应当明确保存期限的确定方法”。当然,关于个人信息存储和删除时间,还需要遵守其他法律法规关于最长或者最短存储时间的要求,一般6个月到5年不等。
c.自动化采集个人信息未征得同意的豁免
对于使用自动化采集技术等无法避免采集到非必要个人信息或者未依法取得个人同意的个人信息,网络数据处理者应当删除个人信息或者进行匿名化处理。法律、行政法规规定的保存期限未届满,或者删除、匿名化处理个人信息从技术上难以实现的,网络数据处理者应当停止除存储和采取必要的安全保护措施之外的处理。
d.专门规定个人注销账号的权利
与《个人信息保护法》相比,《条例》还明确了个人注销账号不得设置不合理条件限制,这是将执法实践中较为突出的问题在《条例》进行规定。
e.收集个人信息等数据可以使用自动化工具
使用“爬虫”类工具收集数据是否违法一直是实践中的难点问题。根据《条例》的规定,数据处理者使用自动化工具访问、收集网络数据并不违法,但是应当评估对网络服务带来的影响,不得非法侵入他人网络,不得干扰网络服务正常运行。
图 12《网络数据安全管理条例》和《个人信息保护法》告知规则比较
图 13《网络数据安全管理条例》和《个人信息保护法》同意规则比较
(2)个人信息保护特定制度和内容细化
2024年7月26日,《国家网络身份认证公共服务管理办法(征求意见稿)》发布,拟规定国家根据法定身份证件信息,依托国家统一建设的网络身份认证公共服务平台,为自然人提供申领网号、网证以及进行身份核验等服务。网号是指与自然人身份信息一一对应,由字母和数字组成、不含明文身份信息的网络身份符号;网证,是指承载网号及自然人非明文身份信息的网络身份认证凭证。网号、网证可用于在互联网服务及有关部门、行业管理、服务中非明文登记、核验自然人真实身份信息。
2024年9月18日,全国网安标委发布《网络安全标准实践指南—敏感个人信息识别指南》,规定了敏感个人信息识别规则以及常见敏感个人信息类别和示例, 对《个人信息保护法》规定的敏感个人信息进行了进一步解释和说明。应识别为敏感个人信息的包括一旦遭到泄露或者非法使用,容易导致自然人的人格尊严受到侵害(包括“人肉搜索”、非法侵入网络账户、电信诈骗、损害个人名誉、歧视性差别待遇、特定身份、宗教信仰、性取向、特定疾病和健康状态等信息泄露导致的人格尊严受到侵害)、人身安全和财产安全受到危害的个人信息。
2024年7月12日,国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》开始公开征求意见。2025年2月14日,《个人信息保护合规审计管理办法》公布,将于2025年5月1日起施行。
截至2024年年12月27日,工业和信息化部按照常例,在2024年间一共开展了10批次“关于侵害用户权益行为的APP(SDK)通报”,违法事项集中在违规收集、使用个人信息,超范围收集个人信息,收集个人信息频率过高,关联启动,对“摇一摇”功能监管加强。网安标委也于2025年1月23日发布《网络安全标准实践指南——摇一摇广告个人权益规范指引(征求意见稿)》,规定“触发用户跳转的交互动作可参照如设备加速度不小于15m/s2,转动角度不小于35°,操作时间不少于3s。”
(3)“个人信息密集”行业的具体规定
修订后的《消费者权益保护法实施条例》自2024年7月1日起施行,“是《消费者权益保护法》施行30年来首次出台的配套行政法规。” 与个人信息保护直接相关的规定包括第23条(收集个人信息)和第24条(广告营销)。要求经营者在提供商品或者服务时,不得过度收集消费者个人信息,不得采用一次概括授权、默认授权等方式,强制或者变相强制消费者同意收集、使用与经营活动无直接关系的个人信息;强调收集敏感个人信息符合规定符合有关法律、行政法规的规定。未经消费者同意,经营者不得向消费者发送商业性信息或者拨打商业性电话,经营者应当提供明确、便捷的取消同意方式。消费者选择取消的,经营者应当立即停止发送商业性信息或者拨打商业性电话。
2024年2月1日,国家邮政局发布《寄递服务用户个人信息安全管理办法(征求意见稿)》,根据行业特点重申和细化了一些寄递行业个人信息保护要求,包括:(1)明确“为订立、履行寄递服务合同所必需”是寄递企业可以合法处理个人信息的情形;(2)除征得用户个人同意外,寄递企业保存用户个人信息的期限不得超过收集之日起三年;(3)寄递企业向信息汇聚平台等其他个人信息处理者提供用户个人信息的应当获得个人单独同意;(4)寄递企业应当在内部安全管理制度中加强对一线业务人员使用个人信息的管理,包括离岗审计和删除岗位账号。
8.各行业数据治理进展
(1)工业和信息化领域数据
2024年5月10日,工业和信息化部发布《工业和信息化领域数据安全风险评估实施细则(试行)》,自2024年6月1日起施行,细化了《工业和信息化领域数据安全管理办法(试行)》第31条的规定。适用于境内工业和信息化领域重要数据和核心数据处理者数据处理活动开展的数据安全风险评估,鼓励熟悉工业和信息化领域数据安全工作,满足资质要求的认证机构开展第三方评估机构的能力认证。
2024年4月30日,工业和信息化部发布《工业和信息化部2024年规章制定工作计划》,将修订2015年的《通信短信息服务管理规定》,涉及发送广告等商业性短信息的规制。由于骚扰、广告、诈骗类信息的增多,建议关注是否将从严修改。
(2)汽车数据
2024年7月26日,自然资源部发布《关于加强智能网联汽车有关测绘地理信息安全管理的通知》,明确了“空间坐标、实景影像(视频和影像等环境感知数据)、点云及其属性信息等地理信息数据(含道路拓扑数据)进行采集、存储、传输和处理”均属于测绘活动,对智能网联汽车回传的地理信息数据进行收集、存储、传输、处理以及地图制作等活动应由具有导航电子地图制作等测绘资质的单位承担。强化涉密、敏感地理信息数据的使用和出境。地理信息数据必须存储于境内安全和保密设备中,向境外提供需符合自然资源部审核程序和网信部门数据出境安全评估要求。向境外或者外商投资企业提供涉密测绘成果需符合2024年7月26日发布的《对外提供涉密测绘成果管理办法》关于分级审批的要求。
2024年4月28日,中国汽车工业协会和国家计算机网络应急技术处理协调中心发布《关于汽车数据处理4项安全要求检测情况的通报》,比亚迪、理想、路特斯、合众新能源、特斯拉、蔚来6家企业的76款车型符合汽车数据安全4项合规要求。检测依据包括:《汽车数据安全管理若干规定(试行)》、《信息安全技术 汽车数据处理安全要求(GB/T 41871-2022)》和《汽车传输视频及图像脱敏技术要求与方法(T/CAAMTB 77-2022)》相关技术标准,并参考《汽车数据通用要求(报批稿)》附录C组织实施。本次检测为非强制性检测,以后是否还会公布检测通知及名单,由企业自愿报名参加,形成长期惯例,有待观察。
2024年9月,工业和信息化部组织制定的GB 44495—2024《汽车整车信息安全技术要求》、GB 44496—2024《汽车软件升级通用技术要求》和GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》三项强制性国家标准由国家市场监督管理总局、国家标准化管理委员会批准发布,2026年1月1日起开始实施。
2024年12月19日,全国网络安全标准化技术委员会关于发布《网络安全标准实践指南——一键停止收集车外数据指引》的通知。适用于重要敏感区域的管理机构对进入该区域内的汽车的数据收集状态进行判断,还可为第三方测评机构开展智能网联汽车车外数据停止收集功能性和安全性测试评估提供参考。
(3)银行保险机构数据
2024年12月27日,国家金融监督管理总局发布《银行保险机构数据安全管理办法》。整体分为总则(第1章)、数据安全治理(第2章)、数据分类分级(第3章)、数据安全管理(第4章)、数据安全技术保护(第5章)、个人信息保护(第6章)、数据安全风险监测与处置(第7章)、监督管理(第8章)。“政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司”均属于银行保险机构。除重申数据领域常规概念外,还对大数据平台进行了定义,指以处理海量数据存储、计算、分析等为目的的基础设施,包括数据统计分析类的平台和大数据处理类平台(如数据湖、数据仓库等)。
《银行保险机构数据安全管理办法》适用的主体和数据治理、合规、安全事项非常全面,体现了国家金融监督管理总局对银行保险领域数据统一监管的特点。2025年1月24日,中国人民银行对《中国人民银行业务领域网络安全事件报告管理办法(征求意见稿)》公开征求意见,网络安全事项仍然由中国人民银行按照之前的权限进行监管。
(4)自然资源数据
自然资源部2024年3月22日发布的《自然资源领域数据安全管理办法》(“《办法》”)分为7章,共37条。分别从自然资源领域数据的定义等(第1章)、数据分类分级管理(第2章)、数据全生命周期安全管理(第3章)、数据安全监测预警与应急管理(第4章)等进行规定。
自然资源领域数据,是指在开展自然资源活动中收集和产生的数据,主要包括基础地理信息、遥感影像等地理信息数据,土地、矿产、森林、草原、水、湿地、海域海岛等自然资源调查监测数据,总体规划、详细规划、专项规划等国土空间规划数据,用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等自然资源管理数据(第3条第1款)。
数据安全纳入党委(党组)国家安全责任制(第4条第4款),在国家数据安全工作协调机制统筹协调下,自然资源部承担自然资源行业、领域数据安全监管职责,负责督促指导各省、自治区、直辖市自然资源主管部门、海洋主管部门开展数据安全监管。国家林业和草原局具体承担森林草原、湿地荒漠等数据安全监管职责(第4条第1款)。自然资源部、国家林业和草原局及地方行业监管部门统称为行业监管部门。(第4条第3款)。地方行业监管部门分别负责对本地区自然资源领域数据处理活动和安全保护进行监督管理。(第4条第2款)
自然资源部组织制定自然资源领域数据分类分级、重要数据和核心数据识别认定、数据安全保护等标准规范,指导开展数据分类分级管理工作,编制行业重要数据和核心数据目录并实施动态管理。数据处理者应当定期按照自然资源领域数据分类分级标准规范梳理填报重要数据和核心数据目录。按照《办法》规定,自然资源领域数据处理者是指开展自然资源领域数据处理活动的自然资源行业各类单位。
(5)生物、医疗健康数据
2024年4月26日,《生物安全法(2024修正)》发布,规定国家建立生物安全信息共享制度、生物安全信息发布制度、生物安全名录和清单制度等,加强对我国人类遗传资源和生物资源采集、保藏、利用、对外提供等活动的管理和监督,保障人类遗传资源和生物资源安全。从事特定人类遗传资源活动,应当经国务院卫生健康主管部门批准。
继2023年施行的《人类遗传资源管理条例实施细则》后,国务院修订的《人类遗传资源管理条例》已于2024年5月1日施行,人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料(第2条第2款)。人类遗传资源包括人类遗传资源材料和人类遗传资源信息,对于其采集和保藏(第2章)、利用和对外提供(第3章)均有特殊规定。
根据《国家安全法》的规定,国家安全包括生物安全。《生物安全法》明确规定“人类遗传资源与生物资源安全管理”适用本法。人类遗传资源信息可能构成《数据安全法》规定的核心数据或者重要数据。涉及到处理人类遗传资源信息的数据处理活动,应结合《科技伦理审查办法(试行)》,考虑科技伦理审查问题。涉及人类遗传资源材料和人类遗传资源信息出口的,需要结合《出口管制法》的规定,例如对于细胞、组织、血清等生物两用品的出口管制。
(6)民航数据
2024年6月4日,中国民航局发布《民航数据管理办法(征求意见稿)》《民航数据共享管理办法(征求意见稿)》,规定民航数据包括公共数据、企业数据和个人信息数据三类,根据数据全生命周期处理活动场景,民航数据处理主体主要分为数据提供方、数据使用方、数据管理方和数据平台方四类,将统筹编制并发布《民航数据资源目录》。
(7)数据标注
2024年12月26日,国家发展改革委、国家数据局、财政部、人力资源社会保障部联合印发《关于促进数据标注产业高质量发展的实施意见》,数据标注是人工智能的基础性产业,直接决定数据质量和算法的准确性,同时又是劳动力密集产业,因此需要人力资源部联合发文。与数据标注有关的国家标准和地方标准在几年前已经开始制定。包括《人工智能 面向机器学习的数据标注规程(GB/T 42755-2023)(2023)》《信息安全技术 机器学习算法安全评估规范(GB/T 42888-2023)(2023)》《人工智能训练师国家职业技能标准(2021年版)》《信息安全技术 生成式人工智能数据标注安全规范(征求意见稿)(2024年)》《信息安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)(2024年)》山西省地方标准《人工智能 数据标注总体框架(DB14/T 2463—2022)(2022)》黑龙江地方标准《人工智能数据标注人员培训服务规范(DB23/T 3479—2023)(2023)》等。
总结: 从宏观产业政策到可落地法律法规,从个人信息保护到数据流通促进,从个性化推送和算法到人工智能,2024年间,中国系统化地完善了网络数据制度,细化了数据出境、重要数据、公共数据、政务数据、认证和审计等个人信息保护各项制度,电商等工业和信息化领域、汽车、金融、自然资源、医疗健康、民航、寄递等行业数据治理制度得以增强。根据《全国人大常委会2024年度立法工作计划》和《国务院2024年度立法工作计划》,2025年重点关注的与数据治理的立法包括《反不正当竞争法(修改)》《网络安全法(修改)》等电信法、网络治理和人工智能健康发展等方面的立法。各自贸区等区域数据出境、各行业重要数据规则、国家数据局更多促进数据流通开放的具体措施将更多。
本文非法律意见,作者联系方式为:joan.wang@gaoqinlaw.com
附:《中国数据治理制度2024年总结与2025年展望》所涉法律规定目录(按照文中出现顺序排列)
1.《网络数据安全管理条例》
2.《网络安全法》
3.《数据安全法》
4.《个人信息保护法》
5.《关键信息基础设施安全保护条例》
6.《国家安全法》《消费者权益保护法》
7.《反不正当竞争法》
8.《反电信网络诈骗法》
9.《生成式人工智能服务管理暂行办法》
10.《网络安全标准实践指南—生成式人工智能服务内容标识方法》
11.《网络安全技术 人工智能生成合成内容标识方法》
12.《人工智能生成合成内容标识办法(征求意见稿)》
13.《网络安全技术 人工智能生成合成内容标识方法(征求意见稿)》
14.《网络安全技术 人工智能代码生成服务安全要求》
15.《网络安全标准实践指南——生成式人工智能服务安全应急响应指南(征求意见稿)》
16.《网络安全标准实践指南——人工智能生成合成内容标识 服务提供者编码规则(征求意见稿)》
17.《互联网信息服务深度合成管理规定》
18.《互联网信息服务算法推荐管理规定》
19.TC260-003《生成式人工智能服务安全基本要求》
20.《网络安全技术 生成式人工智能服务安全基本要求》
21.《人工智能安全标准体系(V1.0)(征求意见稿)》
22.《国家人工智能产业综合标准化体系建设指南(2024版)》
23.《促进和规范数据跨境流动规定》
24.《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》,
25.《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》
26.《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》
27.《中国(上海)自由贸易试验区及临港新片区数据出境负面清单管理办法(试行)》
28.《中国(上海)自由贸易试验区及临港新片区数据出境管理清单(负面清单)(2024版)》
29.《中国(上海)自由贸易试验区及临港新片区数据出境负面清单实施指南(试行)》
30.《海南自由贸易港数据出境管理清单(负面清单)(2024版)》
31.《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
32.《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》
33.《关于<个人信息出境个人信息保护认证办法(征求意见稿)>公开征求意见的通知》
34.《数据出境安全评估办法》
35.《关于实施个人信息保护认证的公告》
36.《个人信息保护合规审计管理办法》
37.《关于<个人信息出境个人信息保护认证办法(征求意见稿)>公开征求意见的通知》
38.《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》
39.《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》
40.《中国(上海)自由贸易试验区临港新片区智能网联汽车领域数据跨境场景化一般数据清单(试行)》
41.《中国(上海)自由贸易试验区临港新片区生物医药领域数据跨境场景化一般数据清单(试行)》
42.《中国(上海)自由贸易试验区临港新片区公募基金领域数据跨境场景化一般数据清单(试行)》
43.《网络安全标准实践指南——网络数据分类分级指引》
44.《GB/T 43697-2024 数据安全技术 数据分类分级规则(报批稿)》
45.《信息安全技术 重要数据处理安全要求》(征求意见稿)》
46.《水利数据分类分级规则(征求意见稿)》
47.《保守国家秘密法实施条例(2024修订)》
48.《两用物项出口管制条例》
49.《数字社会2024年工作要点》
50.《数字中国建设2024年工作要点清单》
51.《可信数据空间发展行动计划(2024—2028年)》
52.《关于促进数据产业高质量发展的指导意见》
53.《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》《国家数据基础设施建设指引》
54.《数据领域常用名词解释》
55.《企业数据资源相关会计处理暂行规定》
56.《关于加强数据资产管理的指导意见》
57.《关于加强行政事业单位数据资产管理的通知》
58.《数据资产全过程管理试点方案》
59.“关于印发全国网络安全标准化技术委员会工作组设置的通知”
60.“关于征集全国网络安全标准化技术委员会数据安全标准工作组、新技术安全标准特别工作组成员单位的通知”
61.《国家数据标准体系建设指南》
62.《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》
63.江西省数据应用条例2024年3月1日
64.中国(上海)自由贸易试验区临港新片区公共数据管理办法2024年3月5日
65.云南省公共数据管理办法(试行)2024年3月1日
66.北京市公共数据专区授权运营管理办法(试行)2023年12月8日
67.新疆维吾尔自治区公共数据管理办法(试行) 2023年2月17日
68.山东省公共数开放办法2022年4月1日
69.江西省公共数据管理办法2022年3月1日
70.浙江省公共数据条例2022年3月1日
71.江苏省公共数据管理办法2022年2月1日
72.广东省公共数据管理办法2021年11月25日
73.上海市公共数据开放暂行办法2019年10月1日
74.《中共中央办公厅、国务院办公厅关于加快公共数据资源开发利用的意见》《公共数据资源登记管理暂行办法》
75.《公共数据资源授权运营实施规范(试行)》
76.《关于建立公共数据资源授权运营价格形成机制的通知》
77.《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》
78.《关于促进企业数据资源开发利用的意见》
79.《互联网政务应用安全管理规定》
80.《<互联网政务应用安全管理规定>解读》
81.《党政机关、事业单位和社会组织网上名称管理暂行办法》
82.《党政机关网站开办审核、资质复核和网站标识管理办法》
83.《电子文件管理暂行办法》
84.《国家网络身份认证公共服务管理办法(征求意见稿)》
85.《网络安全标准实践指南—敏感个人信息识别指南》
86.《数据安全技术 个人信息保护合规审计要求(征求意见稿)》
87.《寄递服务用户个人信息安全管理办法(征求意见稿)》
88.《工业和信息化领域数据安全风险评估实施细则(试行)》
89.《工业和信息化领域数据安全管理办法(试行)》
90.《工业和信息化部2024年规章制定工作计划》
91.《通信短信息服务管理规定》
92.《关于加强智能网联汽车有关测绘地理信息安全管理的通知》
93.《对外提供涉密测绘成果管理办法》
94.《关于汽车数据处理4项安全要求检测情况的通报》
95.《汽车数据安全管理若干规定(试行)》
96.《信息安全技术 汽车数据处理安全要求(GB/T 41871-2022)》
97.《汽车传输视频及图像脱敏技术要求与方法(T/CAAMTB 77-2022)》
98.《汽车数据通用要求(报批稿)》
99.GB 44495—2024《汽车整车信息安全技术要求》
100.GB 44496—2024《汽车软件升级通用技术要求》
101.GB 44497—2024《智能网联汽车 自动驾驶数据记录系统》
102.《网络安全标准实践指南——一键停止收集车外数据指引》
103.《银行保险机构数据安全管理办法》
104.《中国人民银行业务领域网络安全事件报告管理办法(征求意见稿)》
105.《自然资源领域数据安全管理办法》
106.《生物安全法(2024修正)》
107.《人类遗传资源管理条例实施细则》
108.《人类遗传资源管理条例》
109.《科技伦理审查办法(试行)》
110.《出口管制法》
111.《民航数据管理办法(征求意见稿)》
112.《民航数据共享管理办法(征求意见稿)》
113.《关于促进数据标注产业高质量发展的实施意见》
114.《人工智能 面向机器学习的数据标注规程(GB/T 42755-2023)(2023)》
115.《信息安全技术 机器学习算法安全评估规范(GB/T 42888-2023)(2023)》《人工智能训练师国家职业技能标准(2021年版)》
116.《信息安全技术 生成式人工智能数据标注安全规范(征求意见稿)(2024年)》
117.《信息安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)(2024年)》
118.山西省地方标准《人工智能 数据标注总体框架(DB14/T 2463—2022)(2022)》黑龙江地方标准《人工智能数据标注人员培训服务规范(DB23/T 3479—2023)(2023)》
119.《全国人大常委会2024年度立法工作计划》
120.《国务院2024年度立法工作计划》《反不正当竞争法(修改)》《网络安全法(修改)》
