导航

中伦观点

网络安全与数据保护2020年度观察 作者:陈际红 蔡鹏 2020-12-23

 

2020年是阴霾笼罩的一年,也是孕育希望的一年。抗击疫情中,社会数字化转型步伐加快,我们更加关注数字化发展、保护个人隐私和维护公共利益的平衡。这一年,重磅的数据立法频出,网络安全和数据保护执法活动也在进阶和深入,数据合规治理的理念逐渐深入到各个行业。在告别2020年之际,我们对本领域的重要立法做出盘点,对年度热点事件进行扫描,多维度的分析执法活动,并对2021年作出展望。管中窥豹,以期为业内同仁和企业数据合规工作提供一些参考。

 

一、立法观察

 

2020年的疫情并未阻碍网络安全和数据保护的立法进程,基于国家安全、数字化转型的现实需要,2020年进入了立法快车道。

 

 

(一)基础性法律框架雏形初现

 

2020年,《中华人民共和国民法典》正式颁布,《中华人民共和国数据安全法(草案)》和《中华人民共和国个人信息保护法(草案)》发布并征求意见,结合2017年生效的《中华人民共和国网络安全法》,中国网络安全与数据保护的基础性法律架构逐渐成型。

 

《民法典》构建数字时代隐私和个人信息保护的民法基础。2020年5月28日,《民法典》经全国人大表决通过,并于2021年1月1日正式实施。《民法典》人格权以独立形式成编,并以“隐私权和个人信息保护”专章方式,对隐私权和个人信息定义、保护原则、法律责任、主体权利、信息处理等问题作出规定,开启了隐私权及个人信息法律保护的新时代。

 

《个人信息保护法(草案)》亮点多。2020年10月21日,全国人民代表大会常委会审议后的《个人信息保护法(草案)》(“个保法草案”)对外发布并征求意见。个保法草案采用了“目标指向标准”设定域外适用效力,使得该法具有了“长臂管辖”的效果。个保法草案确立了个人信息处理的七大基本原则,赋予了个人在个人信息处理活动中的九大法定权利。值得关注的是,个保法草案借鉴欧盟《通用数据保护条例》(“GDPR”)的经验,拓宽了处理个人信息的合法基础。除《网络安全法》确定的知情同意之外,个保法草案将合同所必需、履行法定职责或法定义务、保护自然人的重大利益、公共利益等纳入个人信息处理的合法基础,并结合疫情防控的需要,突出了突发公共卫生事件的规定。对于数据处理的敏感场景,个保法草案专门规定了此前未曾明确规定过的单独同意的要求。回应AI技术的发展,个保法草案设定专门条款规制公开数据利用和自动化决策行为。为了响应限制公权力机构对于个人信息处理的呼声,个保法草案特设专节对于国家机关处理个人信息行为进行规制,此乃立法中的一大进步。关于个人信息跨境传输的监管,个保法草案也揭开了面纱,包括:国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立合同等。为了增强对个人信息违法行为处罚的威慑力,个保法草案规定了情节严重时可高达五千万元以下或者上一年度营业额百分之五以下罚款的严厉惩罚措施,体现了监管机构整肃个人信息滥用风气,打造良好的个人信息保护生态的决心。

 

《数据安全法(草案)》确立数据安全监管的基础。《数据安全法(草案)》(“数安法草案”)于2020年7月3日对外公布并征求公众意见。数安法草案明确我国数据安全工作由中央国家安全领导机构决策和统筹协调,坚持“维护数据安全”与“促进数据开发利用”并重的立法与监管理念。数安法草案重点关注数据安全保障制度方面的建设,包括数据分类分级保护、重要数据保护目录、数据安全风险预警机制、数据安全应急处置机制、数据活动的国家安全审查机制等。需要关注的是,数安法草案规定了针对数据活动的国家安全审查要求,并将数据纳入到特定场景下实施出口管制的物项。数安法草案对重要数据的界定仍不够清晰,无法弥补现有体系下对重要数据范围认定的不足。同时,数安法草案将重要数据保护目录的制定权限下放至地方与部门,权力配置缺乏科学性,容易导致重要数据认定范围过于宽泛。针对频频发生的境外执法机构要求调取境内数据的案件,数安法草案规定了中国版的“阻断条款”,有关主体应向主管机关报告并获其批准后方可进行。

 

三驾马车分工协作。按照中国的立法程序,一部法律草案一般要经过三审才得以颁布实施,我们预计在2021年的年中,数安法草案及个保法草案两部重要的草案能够得以通过,且在2021年生效实施。之后,《网络安全法》《数据安全法》和《个人信息保护法》将构成我国网络空间管理和数据保护的三驾马车。在三部法律的分工上,《网络安全法》将主要负责网络安全等级保护制度、网络关键设备和网络安全专用产品检测与认证、关键信息基础设施安全保护、网络安全审查及网络安全监测预警和信息通报制度等;《个人信息保护法》将负责个人信息的保护,包括个人信息范围的界定、个人信息处理基本原则、个人信息跨境流动规则、个人信息主体权利及保护、处理者的安全义务等;《数据安全法》监管的主要对象为数据活动,包括数据安全标准体系建设、数据安全检测评估和认证服务、数据分类分级保护、重要数据目录清单和管理、数据安全风险预警机制及应急处置机制、数据国家安全审查、数据交易与在线数据处理监管和数据跨境流动监管等。

 

 

(二)配套法规逐步落地

 

《网络安全审查办法》颁布,网络安全审查升级。《网络安全审查办法》颁布并于2020年6月1日正式实施,取代试行了近三年的《网络产品和服务安全审查办法(试行)》。《网络安全审查办法》更为聚焦国家安全的立法目的,关注关键信息基础设施(Critical Information Infrastructure,“CII”)供应链安全,以关键信息基础设施运营者(Critical Information Infrastructure Operator,“CIIO”)为网络安全审查重要抓手,将网络安全审查改“被动确定”为“主动申报”。《网络安全审查办法》会重点评估网络产品和服务使用可能给CII带来的供应链风险等,审查程序更为透明。

 

《密码法》配套法规修订制定工作全面启动。根据2020年1月1日起生效的《中华人民共和国密码法》(“《密码法》”)及其确定的“放管服”思路,《密码法》配套法规修订制定工作在2020年全面启动。2020年8月,国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》(“密码条例”),对1999年的《商用密码管理条例》进行全面修订。首先,密码条例对商用密码产品检测与认证机构的资质要求、申请流程、主管机构、监督管理进行具体规定。其次,密码条例规定了商用密码进口许可和出口管制的内容;第三,为体现等保2.0的要求,密码条例对于网络安全等级保护第三级以上网络,要求其运营者应当使用商用密码进行保护;最后,密码条例规定了关键信息基础设施运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当依法通过国家安全审查。

 

市场监管总局、国家密码管理局于2020年3月31日发布《关于开展商用密码检测认证工作的实施意见》,于2020年5月11日发布《商用密码产品认证目录(第一批)》。商务部、国家密码管理局、海关总署于11月26日发布2020年第63号公告,公布《商用密码进口许可清单》和《商用密码出口管制清单》,对清单内商用密码产品实施进口许可和出口管制。至此,《密码法》的配套法规基本成型。

 

以生态治理高度来整治网络内容。国家网信办为了深入推进网络信息内容乱象专项整治,在2016年颁布的《移动互联网应用程序信息服务管理规定》基础上,制定颁布的《网络信息内容生态治理规定》于2020年3月1日实施。该规定将网络内容治理上升到生态高度,分别规定了网络信息内容生产者、网络信息内容服务平台和网络信息内容服务使用者在网络信息服务中应当承担的法律责任,以营造网络信息内容良好生态。10月15日,网信办公布《互联网用户公众账号信息服务管理规定》修订征求意见稿,增强对虚假流量和虚假信息的监管,并对从事经济、教育、卫生、司法等专业领域的公众账号生产运营者提出了资质要求。

 

等保2.0与关基保护。在7月份国务院印发的2020年立法工作计划中,《关键信息基础设施安全保护条例》被纳入2020立法规划,而《网络安全等级保护条例》却未列入。两个条例虽经过多年的讨论,显然立法的急迫性并不强,立法者或许会等到《数据安全法》和《个人信息保护法》尘埃落定之后,再回过头进行两个条例的制定,如此,条例的制定依据更为充分,也会避免与法律的冲突。公安部在9月份发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,进一步明确贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导思想、基本原则、工作目标及工作重点。可见,即使两个条例尚未落地,监管机构对关基的保护及等保2.0落实工作从未松懈。

 

金融领域加强金融信息保护。2020年9月18日,央行颁布《中国人民银行金融消费者权益保护实施办法》,取代2016年发布的同名规定,新办法于11月1日起实施。新办法界定了消费者金融信息的范围,规定银行、支付机构应当建立以分级授权为核心的消费者金融信息使用管理制度,并建立信息安全事件的应对制度。

 

 

(三)标准和规范目不暇接

 

《个人信息安全规范》完成修订。在信安标委制定的诸多信息安全技术国家标准中,《个人信息安全规范》无疑是最重要的一个。在个人信息保护兴起,而《个人信息保护法》缺位的情况下,就执法和企业合规工作而言,它起到了一个准法源的作用。历经多次征求意见,2020版《个人信息安全规范》(“2020版规范”)于2020年3月6日正式发布,并于2020年10月1日正式实施。2020版规范修订内容结合了APP治理工作组的动向,对于个人信息保护的热点问题,例如人脸识别信息的收集处理等,进行了回应;2020版规范在业务功能的自主选择、授权同意的例外、用户画像使用和定向推送等方面力图实现保护个人信息主体权益与数据合理商业利用的平衡;同时,2020版规范就信息委托处理、转让、共享与平台接入第三方等方面提出了更高的合规要求,即新增了个人信息安全工程以及处理活动记录等良好实践要求。

 

《个人信息安全影响评估指南》正式发布。2020年11月19日《个人信息安全影响评估指南》国家标准发布,并将于2021年6月1日正式实施。该指南给出了评估的原理、评估的实施流程,并以附录的方式给出了评估示例和评估要点、参考方法等。在《个人信息保护法(草案)》发布的背景下,该指南具有很强的现实意义。在《个人信息保护法(草案)》之前,个人信息安全影响评估(“PISIA”)并非一项法定义务,而是作为推荐性的企业良好实践或合规工具。《个人信息保护法(草案)》规定了若干场景下(处理敏感个人信息、数据跨境、自动化决策、委托处理、向第三方提供、公开数据等)个人信息处理者应当事先进行风险评估,一旦草案通过,PISIA将成为一项确定的法定义务。此外,该指南与GDPR项下的DPIA具有一致的目标和逻辑,也可以用于GDPR项下的DPIA的参照。

 

金融领域信息保护标准先行先试。中国人民银行发布的金融行业推荐性标准《个人金融信息保护技术规范》(“技术规范”)于2020年2月13日施行。《技术规范》将个人金融信息按照敏感程度从高到低分为C3、C2、C1三个类别,并对C2和C3类别的个人金融信息提出了特定保护要求。9月23日,中国人民银行正式印发《数据安全分级指南》金融行业标准,适用于金融业机构开展电子数据安全分级工作。本标准明确了金融数据安全定级的要素、规则和定级过程,将数据安全级别从高到低划分为五级。

 

围绕App专项治理工作制定的一系列标准、指南和规范。自2019年开始,有关部门连续两年开展了App违法违规收集使用个人信息专项治理工作,围绕专项治理工作发现的突出问题和难点问题,信安标委也不间断地开展了标准和规范的制定工作,成果颇丰,堪称劳模。在2020年12月,网信办发布《常见类型移动互联网应用程序必要个人信息范围(征求见稿)》,规定了常见的38类APP的“基本功能服务”和“必要个人信息”;围绕SDK收集使用个人信息的监管难点,信安标委11月份发布《网络安全标准实践指南–移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》;9月份,信安标委发布《APP个人信息保护常见问题及处理指南》,给出了APP个人信息保护十大常见问题和处置指南;同月发布《APP系统权限申请使用指南》,针对App申请使用系统权限存在的强制、频繁、过度索权,及捆绑授权、私自调用权限上传个人信息、敏感权限滥用等典型问题,给出了App申请使用系统权限的基本原则和安全要求;8月份,针对CII保护的现实需求和保护中的难点,信安标委发布《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》,给出了一种基于信息流的关键信息基础设施边界确定方法,为关键信息基础设施运营者开展关键信息基础设施边界识别工作提供参考;同月,信安标委发布《信息安全技术 关键信息基础设施安全防护能力评价方法(征求意见稿)》(“《评价方法》”);7月份,在启动2020年App违法违规收集使用个人信息治理工作同时,信安标委发布《APP收集使用个人信息自评估指南》,归纳总结了APP收集使用个人信息的六个评估点,对之前的指南进行了充分调整。

 

二、执法分析

 

 

(一)App个人信息保护专项治理数据全景分析

 

专项行动效果及2020年重点工作。2019年1月,中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展App违法违规收集使用个人信息专项治理。为开展治理工作,成立专项治理工作组,到2020年6月份,共受理网民有效举报信息12000余条,针对2300余款App开展深度评估、问题核查,对用户规模大、问题突出的260款App,有关部门采取了公开曝光、约谈、下架等处罚措施。 2020年7月,四部门启动2020年App违法违规收集使用个人信息治理工作,重点开展以下几方面工作:一是制定发布SDK、手机操作系统个人信息安全评估要点; 二是针对面部特征等生物特征信息收集使用不规范等重点问题,开展专题研究和深度检测;三是对违法违规收集使用个人信息行为加大发现力度、曝光力度、处罚力度;四是制定出台App收集使用个人信息行为应用商店审核管理指南;五是发布免费技术工具;六是推进App个人信息安全认证工作;七是加强个人信息安全评估培训。

 

案例分析。在我们收集的自2018年12月至2020年9月的案例中,被查处的App共31个类别,音视娱乐、金融借贷、网上购物是治理活动中问题最多的三个领域。在治理重点上,单纯因隐私政策问题而被查处的App数量相对较少,体现出从早期形式合规监管向实质合规监管的逐步转变。问题出现最多的环节是个人信息收集,其次是权限获取,再次是数据共享以及用户注销账号相关问题。

 

在执法/行动机构上,目前工信部、App专项治理工作组、网信办、公安部、国家计算机病毒应急处理中心等机构的执法活动均十分活跃,其中工信部与App专项治理工作组为主要力量。此外,针对金融、教育等特定领域,相应的监管机构如中国人民银行、教育部等近年来也纷纷开展治理活动;地方网信办等也在逐步加强个人信息保护执法工作。

 

治理行动趋势分析。经过近两年的专项治理行动,公众常用App存在的无隐私政策、捆绑授权和强制索权、超范围收集使用个人信息等典型问题得到明显改善。在未来的治理行动中,执法机构的关注重点将更加深入,比如SDK信息收集使用管理、生物特征信息收集使用、平台收集个人信息的规范等。在执法机构上,随着《个人信息保护法》的制定,国家网信部门、国务院有关部门(工信部、公安部及各个行业主管部门)会各司其职,多个部门的监管竞合问题将会逐渐得到解决。

 

 

(二)刑事案件

 

2016年以来,全国公安机关在打击整治网络侵犯公民个人信息犯罪专项行动、打击整治黑客攻击破坏犯罪和网络侵犯公民个人信息犯罪专项行动、“净网2018”、“净网2019”和“净网2020”专项行动中,侦破侵犯公民个人信息案件1.7万余起。2019年,公安部门以严打网贷、非法放贷、暴力催收为入手,加强对涉足互联网金融行业的大数据服务公司在网络安全及数据合规领域的执法力度,涉个人信息犯罪的案件激增,多家知名的风控数据公司卷入侵犯公民个人信息罪的漩涡。2020年展开的公安部“净网2020”专项行动,严打涉疫情“网络水军”及侵害公民个人信息违法犯罪。虽然在2020年的公安机关行动中,大数据风控公司不再是重点,公安机关对大数据行业有了更大的容忍程度,但整个行业的重生仍需要一个长期的过程。

 

(三)个人信息保护纳入民事公益诉讼范围

 

个人信息通过民事诉讼途径保护,遇到了诸多的困难,包括个人取证举证难、判赔数额低等,使得个人信息的民事维权举步维艰。目前,检察机关履行公益诉讼职责的法定范围是“4+1”,即生态环境和资源保护、食品药品安全、国有财产保护、国有土地使用权出让和英烈权益保护。在2020年,各地检察机关尝试突破“4+1”框架,将个人信息保护纳入到检察机关公益民事诉讼的范畴。比如,惠山区检察院以侵犯公民个人信息罪对一高中生提起公诉,鉴于其行为侵犯了众多公民的信息隐私权,严重损害社会公共利益,惠山区检察院向法院提起刑事附带民事公益诉讼。

 

在10月份公布的《个人信息保护法(草案)》中,试图破解个人信息民事诉讼路径的困境。草案一是明确规定了侵害个人信息权益的民事赔偿责任,二是设立了公益诉讼的条款,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。

 

三、热点扫描

 

 

(一)疫情加快企业数字化转型的步伐

 

在全球疫情的笼罩下,企业数字化转型已经不是一个可选项,而是一个“to be or not to be”的问题。把握好疫情为数字化转型带来的契机,搭上数字化转型的时代列车,就是抓住了企业生存与发展的关键。2020年3月,中央政治局常务委员会召开会议提出加快“新基建”。新基建是以新发展理念为引领,以技术创新为驱动,以信息网络为基础,面向高质量发展需要,提供数字转型、智能升级、融合创新等服务的基础设施体系。9月份,国资委下发《关于加快推进国有企业数字化转型工作的通知》,促进国有企业数字化、网络化、智能化发展。《通知》提出要加快集团数据治理体系建设,明确数据治理归口管理部门,加强数据标准化、元数据和主数据管理工作,定期评估数据治理能力成熟度。加强生产现场、服务过程等数据动态采集,建立覆盖全业务链条的数据采集、传输和汇聚体系。加快大数据平台建设,创新数据融合分析与共享交换机制。强化业务场景数据建模,深入挖掘数据价值,提升数据洞察能力。

 

 

(二)数据要素化与数据确权的尝试

 

2019年10月,党的十九届四中全会提出数据要素参与市场分配,数据将作为生产要素之一,参与市场交易,在市场上流动,并由市场决定数据的价值。但是,数据要素参与市场分配尚存障碍,规则不清晰,无法解决数据的确权、可流动性、价值衡量问题。中共中央国务院于2020年3月下发《关于构建更加完善的要素市场化配置体制机制的意见》,重点要解决目前数据流动中的具体问题,如打通政府数据和民间数据之间的互通渠道,形成数据交易市场,保护数据安全等。

 

在数据确权的试点中,深圳发挥了特区的优势。10月份,中办和国办印发了《深圳建设中国特色社会主义先行示范区综合改革试点实施方案(2020-2025年)》,提出深圳要完善要素市场化配置体制机制,加快培育数据要素市场,率先完善数据产权制度,探索数据产权保护和利用新机制,建立数据隐私保护制度;试点推进政府数据开放共享;支持建设粤港澳大湾区数据平台;研究论证设立数据交易市场或依托现有交易场所开展数据交易;开展数据生产要素统计核算试点。而在7月份深圳市公布《深圳经济特区数据条例(征求意见稿)》中,就提出了数据权的概念,即:自然人、法人和非法人组织依据法律、法规和本条例的规定享有数据权,任何组织或者个人不得侵犯。数据权是权利人依法对特定数据的自主决定、控制、处理、收益、利益损害受偿的权利。虽有争议,但该地方立法仍不失为有益的尝试。

 

 

(三)各地试水数据跨境传输

 

自从《网络安全法》第37条确立了CIIO境内存储数据和跨境传输安全评估的法律义务后,中国关于数据跨境传输的一般性规则就一直处于关注的焦点。网信办也先后推出了若干版本的个人信息及重要数据出境的安全评估办法,但是围绕安全评估展开的跨境数据规则仍然存在很大的争议。随着《个人信息保护法(草案)》的发布,中国版本的个人信息跨境传输监管方案逐渐浮出水面,该《草案》规定有以下的合法场景:国家网信部门组织的安全评估、经专业机构进行个人信息保护认证、与境外接收方订立合同及法律,以及行政法规或者国家网信部门规定的其他条件。

 

6月1日,中共中央、国务院印发了《海南自由贸易港建设总体方案》,在制度设计上,该《方案》要求海南开展国际互联网数据交互试点,建设国际海底光缆及登陆点,设立国际通信出入口局。《方案》将实现数据安全有序流动作为2035年前的一项重点任务,要求创新数据出境安全的制度设计,探索更加便利的个人信息安全出境评估办法。开展个人信息入境制度性对接,探索加入区域性国际数据跨境流动制度安排,提升数据传输便利性。积极参与跨境数据流动国际规则制定,建立数据确权、数据交易、数据安全和区块链金融的标准和规则。

 

8月12日,商务部发布《关于印发全面深化服务贸易创新发展试点总体方案的通知》,提出在条件相对较好的试点地区开展数据跨境传输安全管理试点,包括北京、天津、上海、广州、深圳、河北雄安新区、贵州贵安新区、陕西西咸新区等28个省市(区域),试点期限为3年。支持试点开展数据跨境流动安全评估,建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制。

 

11月13日,上海市发布《上海市全面深化服务贸易创新发展试点实施方案》,上海提出探索跨境数据流动分类监管模式,开展数据跨境传输安全管理试点,并明确了一系列举措,争取开放措施第一时间落地。方案提出,在临港新片区开展汽车产业、工业互联网、医疗研究(涉及人类遗传资源的除外)等领域数据跨境流动安全评估试点,推动建立数据保护能力认证、数据流通备份审查、跨境数据流动和交易风险评估等数据安全管理机制。

 

12月18日,北京市委网信办组织了北京市数据跨境流动安全管理试点首场对接会[1],开始了北京市的数据跨境试点工作。根据报道,北京的试点工作主要聚焦于人工智能、生物医药、工业互联网、跨境电商等关键领域,从企业数据跨境流动实际需求出发,在确保安全的基础上,开展政策创新、管理升级、服务优化等试点试行。在国家有关部门指导下,从个人信息出境安全评估、企业数据保护能力认证等工作入手,逐步推进。

 

总体来讲,跨境数据传输涉及国家安全、公共利益和数据主体权益的保护,非常复杂,在顶层法律设计不清晰的状况下,地方虽有积极性,但还是显得无章可循。 

 

 

(四)平台反垄断执法,数据风险不容忽视

 

2020年11月,市场监管总局起草《关于平台经济领域的反垄断指南(征求意见稿)》并公开征求意见。在该指南中,对平台经营者滥用数据优势的行为给与了充分的重视。比如,《指南》将利用数据和算法实现协调一致行为列为平台领域经营者达成横向垄断协议的一种,防止经营者利用算法共谋实现横向价格垄断。关于纵向垄断协议,除了利用数据和算法对价格进行直接或间接限定外,还包括利用技术手段、平台规则、数据和算法等方式限定其他交易条件,排除、限制市场竞争。基于大数据和算法,根据精准画像实行差异性交易价格或者其他交易条件,构成差别待遇,这一规定是对“大数据杀熟”行为的直接回应。

 

12月份,中国银保监会主席郭树清在2020年新加坡金融科技节发表主题演讲称,大型科技公司实际上拥有数据的控制权,为此,需要尽快明确各方数据权益,推动完善数据流转和价格形成机制,充分并公平合理地利用数据价值,依法保护各交易主体利益。此讲话可以看成政府部门对大型平台对数据利用公平合理性进行监管的风向标。

 

四、展望2021年

 

在2021年,我们预计:

 

重要立法逐次落地:2020年发布的《个人信息保护法(草案)》和《数据保护法(草案)》经过了一审,考虑到立法的迫切性,我们预计两部草案在2021年有较大的可能会经过二审和三审并得以颁布,在2021年的早期正式实施。藉此,网络空间监管和数据保护的三驾马车成型。《个人信息保护法(草案)》和《数据保护法(草案)》构建了许多新的监管制度,设定了数据处理者系统的法律责任,未雨绸缪,为两部基本法律的实施做好准备,是企业2021年的当务之急。

 

数据跨境传输制度逐步完善:《个人信息保护法(草案)》中设定了个人信息跨境传输的三种合法路径,在2021年随着《个人信息保护法(草案)》的落地,与个人信息跨境传输有关的安全评估办法/指南及数据跨境传输合同规范会同步制定。考虑到重要数据识别标准、识别程序和清单制定的复杂性,重要数据跨境的监管可能还会经历一个更为漫长的过程。海南和上海等地的跨境数据传输监管试点可能会有实质性的落地,在某些特定行业领域(比如车联网数据)先行先试。

 

等保和关基加强保护:考虑到两部大法是2021年立法的焦点,《关键信息基础设施安全保护条例》和《网络安全等级保护条例》可能在2021年仍会处于等待状态。需要关注的是,包括公安部在内的监管部门对等保2.0的实施和关基的监管是一个逐渐深入和趋严的趋势。企业的等保责任落实和关基的安全保护,不能等具体条例完全落地,而应当作为一个当前的法律责任。

 

平台数据的监管: 在2020年,主管部门祭起对平台经济的反垄断大旗。可以预见,平台对数据收集、使用的合法、正当和必要性在2021年将成为平台的大考。根据中央经济工作会议的决定[2],2021年不仅要健全数字规则,而且要完善平台企业垄断的认定,数据收集使用管理,以及消费者权利保护的法律规范。因此,除了平台对数据的公平使用之外,我们认为某些具有公共属性的数据可能要服务于公共利益。

 

执法继续深化:考虑到既往执法行动所取得的良好社会效果,2021年,公安部门的“净网行动”、网信办的互联网内容综合治理、工信部App侵权专项整治行动、App违法违规收集使用个人信息专项治理等将会继续推进和深化。

 

[注] 

[1]参见新京报12月19日新闻《北京推进数据跨境流动安全管理试点》

[2]瞭望:《中央经济工作会议在北京举行,习近平李克强作重要讲话》

The End