汇编作者:金茂律师事务所 万波 律师 徐冰清 律师 张月勤 律师助理 王书玥 律师助理 曹天鸣 实习生
2023年是《个人信息保护法》《数据安全法》和《网络安全法》这“三驾马车”落地生效后的第二年,也是发布《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“《数据二十条》”)的第一年。2023年见证了数据领域的进一步拓展,从广度上填补制度空白,全面推进各领域的数据立法工作,将《数据二十条》中数据产权、流通交易、收益分配、安全治理等方面的要求延伸至各领域各方面各环节。从深度上集中关注数据领域核心问题,推动数据要素市场化转型、促进数据安全跨境流动、为重点领域提供评估建议、健全网信领域行政执法。
本文旨在概述2023年数据领域的进展,并基于此回顾,简要总结过去一年数据领域的发展,以期为企业数字化转型工作提供一些启示。
2023年度数据领域立法观察
一、 政策导向:从数据安全走向市场,数据要素市场化正全面提速
我国数据要素市场正处于活跃探索阶段。自2019年10月党的十九届四中全会首次将数据纳入与“土地、劳动、资本、技术”并列的生产要素以来,中国的数据要素市场目前正随着大数据、区块链、人工智能等新型信息技术的新兴而迅速发展,根据国家网信办发布的数据,2022年我国数据产量高达8.1ZB,已位居全球第二位。2022年12月发布的《数据二十条》明确指出数据作为新型生产要素,是数字化、网络化、智能化的基础,已快速融入生产、分配、流通、消费和社会服务管理等各环节,深刻改变着生产方式、生活方式和社会治理方式。在2023年,我国数据领域发展工作正全面围绕《数据二十条》的要求展开,国家顶层设计不断完善,相关政策密集出台,数据要素市场正进入活跃探索期。
1、国家数据局正式组建
2023年10月25日,国家数据局在经过了七个月筹备后正式揭牌,目前,国家数据局已有三位领导正式亮相,分别为局长刘烈宏、副局长沈竹林、副局长陈荣辉。公开资料显示,刘烈宏出生于1968年10月,曾任中国电子信息产业集团总经理、党组副书记,中国电子科技集团总经理、党组副书记,中央网信办副主任、国家网信办副主任,工业和信息化部党组成员、副部长,中国联通集团董事长、党组书记等职。沈竹林曾任国家发改委高技术产业司副巡视员、高技术司副司长、创新和高技术发展司司长等职,资料显示沈竹林关注数据中心和算力建设,在“东数西算”工程中扮演重要角色。陈荣辉出生于1970年,1998年经福建省委组织部“人才引进”回闽工作,曾长期任职福建省计委,2013年7月任福建省经济信息中心主任,2017年1月任福建省发展和改革委员会党组成员、省数字福建建设领导小组办公室专职副主任。2018年9月,陈荣辉任福建省数字福建建设领导小组办公室主任、福建省大数据管理局局长,2021年7月,陈荣辉被聘任为福建省大数据有限公司总经理。
根据《党和国家机构改革方案》,国家数据局负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,由国家发展和改革委员会管理。
2、企业数据资产入表及评估
2023年8月21日,财政部会计司公布《企业数据资源相关会计处理暂行规定》,旨在解决数据相关会计处理的安排,反映了企业数据资源的价值,推动了数据资源正逐步向数据资产转化。2023年10月1日,中国资产评估协会制定了《数据资产评估指导意见》,以期为数字资产入表、交易、流通等运作提供了具有实操价值的方法论,推动了数据资产价值评估机制以及数据要素的开发利用。前述文件出台后,公开资料陆续报道了全国一系列“首例”,譬如:
→ 8月30日,“2023智能要素流通论坛暨第三届DataX大会”在青岛国际会议中心成功举行。会上,青岛华通智能科技研究院有限公司、青岛北岸控股集团有限责任公司、翼方健数(山东)信息科技有限公司进行全国首例数据资产作价入股签约仪式。
→ 10月上旬,温州市大数据运营有限公司的数据产品“信贷数据宝”完成了数据资产确认登记。温州市财政局在通告中称,这是温州数据资产确认登记第一单,也是目前国内有公开报道的、财政指导企业数据资产入表第一单。
→ 11月6日,普华永道于第六届中国国际进口博览会首发“企业数据资源会计处理一体化平台”(DAP)。该产品以普华永道“五步法”数据资源入表路径为理论依据,致力于通过智能化手段帮助企业加强数据资源管理、便捷实现数据资源入表。
→ 11月25日,2023全球数商大会在上海举办,上海数据交易所发布《数据资产入表及估值实践与操作指南》,提出企业数据资产化三部曲:数据资源化、资源产品化和产品资产化,并认定数据产品可以进入数据资产凭证有三个条件,称之为“三步蒸馏法”。
→ 12月5日,由浙江省财政厅归口,浙江省标准化研究院牵头制定的《数据资产确认工作指南》正式实施,成为国内首个针对数据资产确认制定的省级地方性标准。
→ 12月10日,深圳数据交易所“杭州数据要素服务工作站”完成首单基于“一站式企业数据资产入表平台”案例,本次入表客户为交通类数据要素企业,该客户应用大数据智能化为公共安防、交通管理、应急管理、规划建设、城市管理、生态环保、市民出行等领域科技赋能。
→ 12月28日,天津临港投资控股有限公司通过质押数据资产“天津港保税区临港区域通信管线运营数据”知识产权证书和“临港港务集团智脑数字人”知识产权证书,分别获批天津银行和中国农业银行两笔贷款,成功落地天津市首单数据知识产权质押贷款业务。
3、“数据要素×”三年行动计划
12月15日上午,国家数据局发布《“数据要素×”三年行动计划(2024—2026年)》征求意见稿,12月29日上午,国家数据局在京举行首场媒体吹风会,介绍行动计划的有关情况。
这份《行动计划》提出,到2026年底,数据要素应用场景广度和深度大幅拓展,数据产业年均增速超过20%,数据交易规模增长1倍,场内交易规模大幅提升,推动数据要素价值创造的新业态成为经济增长新动力。此次《行动计划》以典型场景入手,聚焦工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等12个行业和领域,明确发挥数据要素价值的典型场景,推动激活数据要素潜能。
为何选取这12个行业领域?沈竹林副局长在吹风会上表示,从调研情况来看,由于不同行业数字化转型程度不同、数据资源的基础不同、场景需求不同,数据要素发挥作用的方式也存在较大差异。按照“有基础、有场景、有需求”的原则,结合各行业发展实际,先期选取了这12个行业和领域,推动发挥数据要素乘数效应。
4、公共数据授权运营
《数据二十条》按照公共数据、企业数据、个人数据的分类思路提出了“推进数据分类分级确权授权使用和市场化流通交易”的要求。其中,公共数据在产生过程、管理方式、价值密度等方面的特点,使其在数据流通和开发利用方面具备更多优势,有可能成为数据要素市场培育的关键突破口。
从公共数据授权运营的实践看,目前主要有集中统一的授权、分行业集中的数据专区、多层次分散的授权三种模式:(1)上海、成都、青岛、河南等地采取集中统一的政府授权运营模式。如成都市政府将各部门数据的市场化运营集中在成都市大数据集团股份有限公司,数据使用单位通过与其签署使用协议和安全协议获得数据的使用权。(2),北京等地采取分行业集中的数据专区模式。在金融公共数据领域,北京市已经探索出了一种以场景为牵引的、分行业的数据专区模式。该模式实施始于2020年9月北京金融控股集团有限公司获得了北京市政府的授权,开始运营金融公共数据专区。(3)浙江则采用多层次分散的授权方式,该省颁布了《浙江省公共数据授权运营管理办法(试行)》,对授权程序进行规定由公共数据主管部门发布重点领域的授权运营公告,申请单位经过“申请——资格审查——评审”环节才能获得授权,与公共数据主管部门签订运营协议。
回顾2023年,国内多个省市出台涉公共数据授权运营的政策法规,譬如《青岛市公共数据运营试点管理暂行办法》、《贵州省政府数据资源管理办法》、《浙江省公共数据授权运营管理办法(试行)》、《杭州市公共数据授权运营实施方案(试行)》、《深圳市公共数据开发管理办法(征求意见稿)》、《湖北省数据交易管理暂行办法(征求意见稿)》、《宁波市公共数据授权运营管理实施细则(试行)》、《北京市公共数据专区授权运营管理办法(试行)》和《上海市公共数据开放 2023 年度重点工作安排》等。根据中国信通院发布的《公共数据授权运营发展洞察(2023年)》,截至2023年底,全国地级市以上数据开放平台已经达到226个。
此外,12月10日,全国首个《公共数据授权运营平台技术要求》 (T/CECC 024-2023)团体标准正式实施,该标准由中国电子商会归口管理,定义了公共数据授权运营平台参考架构,围绕数据登记、授权、流通全流程,从功能、性能、运维、安全和互联互通等五个方面明确了平台相关技术要求。标准的发布实施,对规范公共数据授权运营平台建设、激发公共数据要素价值、促进数字经济健康发展具有一定积极作用。
二、 行业监管:各行业因“行”制宜,数据聚焦重点领域
2023年,我国基于不同行业与领域的特点,为相关行业进一步制定了相关的数据保护和网络安全法规。
1、行业维度
就行业维度而言,强监管领域的行业在2023年仍然是立法重点,例如能源行业,国家能源局发布《关于加快推进能源数字化智能化发展的若干意见》。工业和信息化领域,工信部发布《工业领域数据安全标准体系建设指南(2023版)(征求意见稿)》、《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》、《关于开展移动互联网应用程序备案工作的通知》、《工业和信息化部关于进一步提升移动互联网应用服务能力的通知》,以及全国信息安全标准化技术委员会发布的《信息安全技术 移动互联网应用程序(App)软件开发工具包(SDK)安全要求》《信息安全技术 移动互联网应用程序(App)生命周期安全管理指南》《信息安全技术 移动互联网应用程序(App)个人信息安全测评规范》等标准文件。而在金融领域,今年先后颁布了《证券期货业网络和信息安全管理办法》、《汽车金融公司管理办法(2023)》、《中国人民银行业务领域数据安全管理办法(征求意见稿)》和《关于规范货币经济公司数据服务有关事项的通知》等新规,若《金融产品网络营销管理办法(征求意见稿)》2024年获得通过并生效,将会对金融机构开展金融产品网络营销、保障金融消费者合法权益产生重大影响。
此外、医疗、人类遗传资源、水利、公路、水路、铁路、寄递、会计师事务所行业也出台了相应的维护数据安全与个人信息保护的细则。展望2024年,行业主管部门将会在“三驾马车”的基础上,制定更为贴合行业特点的监管规则并更加关注执行落地,这些重点行业内的企业应该更为关注立法和执行监管动态,及时搭建起企业数据合规管理体系。
未成年人保护方面,国家互联网信息办公室发布《未成年人网络保护条例》、《移动互联网未成年人模式建设指南(征求意见稿)》,演出行业年会发布《直播与短视频行业未成年保护白皮书》、《网络表演(直播与短视频)行业‘青少年模式’自律规范》。
2、新兴技术维度
新兴技术治理是2023年的一大亮点。今年备受关注的便是以ChatGPT为代表的人工智能、生成式人工智能领域(AI-Generated Content,以下简称“AIGC”)领域的规范立法。
今年10月,中国在“一带一路”国际合作高峰论坛中正式发布了《全球人工智能治理倡议》,充分体现了在面对人工智能技术为标志的全球新一轮科技与产业革命浪潮展现出的引领精神与负责态度,响应了国际社会对新技术迅猛发展采取的有效措施的呼声。在政策方面而言,国际社会在人工智能治理方面的理念在某些方面存在趋同,同时也存在一些重点和差异。
2023年1月,美国国家标准与技术研究院(NIST)正式公布《人工智能风险管理框架》对AI的相关风险、特征及核心功能进行梳理与介绍。2023年8月,欧盟发布首部有关AI的法规《人工智能法案》(AI Act),其核心条款对人工智能系统风险进行分类,内容包含人工智能系统的透明度、“高风险”人工智能的管理以及对生物识别监控技术的限制;该法案对违反法案的行为制定了严厉处罚(最高可达3000万欧元或全球年度总营业额的6%),呼应了欧盟《通用数据保护条例》(GDPR)强调的维护数字治理高标准承诺。
我国在人工智能领域的立法工作则开展在更有针对性的AIGC领域,这也成为了世界首部关于该领域的法规。2023年5月23日,国家网信办等六部委共同发布《生成式人工智能服务管理暂行办法》(以下简称“《暂行办法》”),对AIGC的内容治理、透明度、人工智能训练、适外商投资等方面进行了规制。总体而言,《暂行办法》平衡了AIGC提供方与使用方之间的责任,体现了政策对于AIGC这一新型信息技术的鼓励态度。2023年8月25日,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——生成式人工智能服务内容标识方法》,对《暂行办法》中生成内容的标识办法进一步落实。
此外,工信部等发布的《元宇宙产业创新发展三年行动计划(2023—2025年)》、国家互联网信息办公室发布的《人脸识别技术应用安全管理规定(试行)(征求意见稿)》、各地政府对于无驾驶人智能网联汽车、无人机、智能机器人、大数据中心的政策文件,同样也体现了政府始终在鼓励新技术的发展,及时出台相应规范为其保驾护航。
三、 数据流通:维护数据出境安全,促进数据跨境传输
1、标准合同备案正式落地
“数据出境”依旧是2023年度的数据领域热点话题,今年一边延续了对于数据出境安全的充分保障,另一方面也在保障数据安全的前提下放宽了某些情形下的事前监管,逐渐演变为事中与事后的监管。国家网信办发布的《个人信息出境标准合同办法》《个人信息出境标准合同备案指南(第一版)》正式落地,明确了在符合法规要求的情况下,个人信息处理者通过标准合同备案实现个人信息出境的路径。
2、数据出境便利化趋势
《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“《指引》”)的出台为粤港澳大湾区间企业的个人信息跨境流动“减负”,促进了粤港澳大湾区个人信息安全有序流动,协同联动打造“粤港澳大湾区数据特区”。该《指引》的出台预示着未来在区域、国家间在数据安全保护的信任基础上,也许会出现更多能够促进数据跨境流动、减轻备案手续的政策产生。
此外,2023年9月28日国家网信办发布的《规范和促进数据跨境流动规定(征求意见稿)》影响范围更为广泛,可谓一石激起千层浪,其虽然至今未出台,但对我国现行的数据出境政策进行了大幅度的优化调整的趋势,反映我国对于数据跨境合理流动与数据安全的平衡有了进一步的思考,如果该规定得已通过并施行,将极大减轻企业数据出境合规压力。
四、 “重要数据”:概念日趋行业化、场景化
《网络安全法》最先提出“重要数据”的概念,指出针对关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提出了应当在境内存储的法定要求。此后《数据安全法》提出了数据分类分级保护制度,将重要数据重点保护列为法定义务。重要数据一直以来在强监管领域中处于重要地位,然而虽有先前发布的《网络数据安全管理条例》《重要数据识别指南》等法规对重要数据的识别作出指引,但其相对而言仍旧较为宽泛,故重要数据的识别始终是一个业界的难题。
2023年,在法规方面逐渐呈现“自下而上”的行业指引,将“重要数据”概念引入具体行业、具体场景,为重要数据的识别提供了指导。2023年5月22日,工信部科技司发布了《工业领域数据安全标准体系建设指南(2023版)(征求意见稿)》,为工业领域数据处理者开展重要数据识别和认定工作提供指引,推动钢铁、有色、稀土、石化化工等领域的重要数据识别工作;2023年7月18日,国家铁路局发布了《铁路关键信息基础设施安全保护管理办法(征求意见稿)》,强调了对铁路关键信息基础设施下重要数据的安全保护;2023年10月9日,工信部发布了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》,细化了工业、电信、无线电领域重要数据的评估工作,其中明确了展开评估工作的主体、评率以及报送要求等,为工业和信息化领域的数据处理者展开数据安全风险评估提供指引。
2023年度数据领域执法观察
一、 依法执法:数据安全行政保障,有序推进执法改革
行政执法始终是数据安全的重要保障,随着各领域对于行政介入的需求日益增长,政策对于行政执法的改革从广度与深度两方面推进,一方面关注数据与网络安全方面的对行政执法的需求,另一方面也推动了自身程序的规范化发展。
2023年3月18日,国家互联网信息办公室发布了《网信部门行政执法程序规定》(以下简称“《规定》”),并将于2023年6月1日正式实施。《规定》聚焦网络安全、数据保护、个人信息保护领域,直面破坏网络安全、违法收集个人信息、数据泄露等实务乱象,以《行政处罚法(2021年修订)》对行政处罚程序的进一步完善为背景,对《信息内容管理规定》进行了全面修订。
此外,工信部网络安全管理局于2023年11月23日发布了《工业和信息化领域数据安全行政处罚裁量指引(试行)》,该指引指导了该领域的数据安全监管部门在合法和适当的范围内行使行政处罚的自由裁量权,统一裁量标准,推动了工信领域行政处罚工作制度化和规范化发展。
二、 网络与数据安全领域执法重点
1、执法对象下沉,涉及行业广泛
2023年是《数据安全法》实施的第三年,各地以《数据安全法》为执法依据的执法活动趋于活跃。根据公安部新闻发布会公开消息,仅2023年第三季度,公安机关共办理网络和数据安全行政执法案件达1.4万起。不同于以往执法对象相对限制于互联网科技企业,这些案件呈现出从互联网科技行业向其他行业扩散的趋势,并且从大规模企业向中小规模企业下沉的明显趋势。
2、CIIO长效监管
针对关键信息基础设施安全与国家安全监管,国家安全机关会同气象、保密等部门在全国范围内依法开展涉外气象探测专项治理和地理信息数据安全风险专项排查治理,对涉及外国气象观测及地理信息的单位进行了全面摸底调查,建立长效机制,加强对涉外气象观测及地理测绘活动的监管和管理,确保我国的气象数据及地理数据安全。
3、数据出境监管
针对数据出境监管,随着全球化的发展,数据跨境流动日益频繁。为确保国家安全和公民隐私权益不受侵犯,监管部门加强了对数据出境的监管力度。企业需严格遵守相关法律法规,进行数据出境安全评估和备案,确保数据的合法合规传输。例如,上海网信办发现某政务系统技术承包商在某平台收集大量中国公民数据和政务数据用于测试,这些数据频繁遭受境外远程访问和数据泄露风险,经过调查,上海网信办对其进行了重点整改跟进,并作出了行政处罚,突显了数据跨境泄露对国家安全的潜在威胁,强调了监管部门对数据安全问题的重视。
4、监管部门探索更灵活的治理手段
例如,上海网信办针对数据治理的重点场景,如互联网、金融、医疗等,启动了合规指引项目。这些领域均是数据和网络安全风险较高的领域。通过深入了解行业特点和实际情况,网信办为企业提供了具体的合规建议和操作指南,帮助企业更好地理解和实施相关法律法规,减少潜在的风险。为了增强企业之间的交流和学习,上海网信办还组织了试点案例分享活动。这些案例涵盖了数据安全、网络安全等方面的成功实践和经验教训。通过这些案例的分享,企业可以更加清晰地了解相关法律法规的实际应用,同时也可以从其他企业的经验中获得启示和借鉴。
三、 个人信息保护领域执法重点
1、多部门联合开展专项整治行动
自2019年以来,工信部开展APP侵害用户权益专项整治工作,执法依据主要包括《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《App违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展信息通信服务感知提升行动的通知》等文件。执法重点包括违规收集个人信息;强制用户使用定向推送功能;App强制、频繁、过度索取权限;超范围收集个人信息;违规使用个人信息等内容。
2023年,监管部门继续开展了多轮专项整治行动。重点对App、社交媒体平台和电商网站等领域进行了执法检查,严查未经用户同意擅自收集、使用个人信息等违法行为。
2023年全年,工信部共开展了9批对App的执法活动;部分地方通信管理局,如北京、上海、浙江三地省级通信管理局分别开展了10次、4次、10次执法活动。通报结果表明,大量App及小程序均存在“违反必要原则,收集与其提供的服务无关的个人信息”“未明示收集使用个人信息的目的、方式和范围”“未经用户同意收集使用个人信息”等较为集中的问题。
各地的地方网信办也大力开展指导监督活动,如上海网信办召开个人信息保护合规工作座谈会,指导多类App运营企业加强个人信息保护合规工作,会同行业主管部门召开了教育、房产、医学、法律等多场“自媒体”分类指导会,并聚焦网络零售、餐饮服务、直播营销等方面出台合规指引等。
随着法律法规体系的日趋完善,监管要求也在逐步明确与加强,通过对本年度监管执法动态的整理,可以发现,国家网信办、工信部、公安部及各地的网信办、通信管理局等监管主体,因企业数据合规制度不完善、数据安全保护义务履行不到位、数据处理活动违规等情形对其作出处罚日渐常规化、精细化,涉及的问题包括数据安全义务落实不到位,如服务器存在未授权访问漏洞、敏感信息保存不安全、未建立数据安全管理制度和操作规程等,导致数据存在泄露风险等数据安全隐患。建议企业在日常经营活动中,严格对照数据安全保障义务,落实数据分类分级、安全风险评估和监测预警等制度,控制数据安全风险隐患。同时采取相关技术措施来防止数据泄露,包括但不限于加密敏感数据、限制数据访问权限、定期检查并修补软件和系统漏洞,对存储和传输的重要敏感数据进行高强度加密处理。最后,注意培育员工的网络安全、数据安全意识,定期对企业员工进行系统的网络安全和法律知识培训。
2023年度数据领域司法观察
一、 依法严厉打击侵犯公民个人信息罪
随着全球数字经济时代的到来,“数据”跻身第五大生产要素,价值日益升高,以公民个人信息为目标的案件高发并呈迅速增长态势。2021年和2022年,公安机关侦办侵犯公民个人信息类案件数同比均快速上升。此类案件涉及的领域也愈发广泛,覆盖政府、医疗、教育、房地产、物流、电商等多个行业。同时,以公民个人信息为核心,滋生出电信诈骗、骚扰电话、抢号抢票、网络水军、“人肉搜索”、“呼死你”、“薅羊毛”等一系列黑灰产业。从全国案件来看,犯罪分子非法获取公民个人信息的手法复杂多样,如假冒电商客服骗取信息、利用黑客技术盗取信息、行业“内鬼”泄露信息、手机APP非法采集信息等。其犯罪链条也环环相扣,窃取、倒卖、推广、洗钱、加工等分工明确,形成了庞大的“地下大数据”产业。近年来,全国公安机关、检察院和法院等部门加大了对侵犯公民个人信息犯罪的打击力度。多地公检法通报了2023年办理侵犯公民个人信息罪案件情况。
据公安部公开信息,从公安机关侦破的案件来看,犯罪分子获取个人信息数据主要有“骗取信息、盗窃信息、内鬼泄露、非法采集、倒卖信息、变造信息”等6种手法:一是利用“地面推广“、假冒身份等手法骗取公民个人信息,如乡村地区流行的扫码送礼物、协助激活电子医保卡,以及冒充电商客服、冒充公安民警骗取个人信息等。二是线上和线下盗取公民个人信息,如利用木马病毒、钓鱼网站、渗透工具、网络爬虫等黑客技术盗取公民个人信息。或者通过非法入室等方式线下盗取公民个人信息。三是利用职务便利非法泄露公民个人信息,如运营商、快递、汽车4S店、房地产等企事业单位内部工作人员泄露公民个人信息。四是非法采集公民个人信息,如APP、机顶盒、手机、智能手表等供应链厂商利用其产品非法采集公民个人信息。五是收买或交换公民个人信息,如利用兼职形式从社会闲散人员处收买身份证、银行卡、人脸识别等信息,或者金融、教育、房产等行业从业者违规交换内部数据。六是加工变造公民个人信息,如将身份信息、购物信息等不同数据源进行碰撞,添加新标签后形成新的数据源,或者利用AI技术使用照片生成动态人脸识别信息等。
二、 个人信息保护公益诉讼
在2020年最高人民检察院会同最高人民法院修订的《关于检察公益诉讼案件适用法律若干问题的解释》提出积极探索个人信息保护等领域方面的民事公益诉讼后,在2021年颁布施行的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》以及《个人信息保护法》中将个人信息保护的公益诉讼制度予以明确。
据最高人民检察院公开信息,2023年以来,针对电信、金融、互联网等行业未依法落实反电信网络诈骗义务的违法情形,检察机关共立案办理公益诉讼案件160余件。2023年4月,最高人民检察院发布检察机关个人信息保护公益诉讼典型案例。针对网络治理领域存在的突出问题,最高检第八检察厅采纳全国人大代表黄美媚《关于推进互联网检察公益诉讼探索的建议》,赴杭州互联网法院专题调研,推动浙江省杭州市余杭区检察院与杭州互联网法院于2023年6月联合出台《关于推进互联网检察公益诉讼案件办理的协作办法(试行)》(下称《办法》)。该《办法》将发布网络虚假广告、实施网络暴力、传播违法网络视频纳入互联网检察公益诉讼案件范围;推动司法建议和检察建议的衔接协同;积极探索个人信息保护领域民事公益诉讼惩罚性赔偿等。该《办法》正积极向北京、广州互联网法院及对应检察院复制推广。此外,为进一步加强司法实践与理论研究的良性互动,最高人民检察院第八检察厅与中国政法大学法律硕士学院共同编写《个人信息保护检察公益诉讼蓝皮书》,于2023年11月1日发布。《蓝皮书》包括个人信息保护检察公益诉讼发展进程、工作开展概况、诉源治理、未来展望四个部分,回顾了这项工作的发展历程,梳理了北京、河北、上海、浙江、重庆、广东等地的实践情况,并对实践成效进行总结,还聚焦App个人信息违法、人脸识别、隐私面单等重点问题作了专题报告。
三、 个人信息保护民事裁判
自2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》确定保护公民电子信息,到《中华人民共和国网络安全法》(以下简称《网络安全法》)和《中华人民共和国民法总则》(以下简称《民法总则》,现已废止)明确个人信息受法律保护,再到《中华人民共和国民法典》(以下简称《民法典》)明确将个人信息作为一项重要的人格权益,以及《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)对个人信息保护进行系统性规范。我国法律对个人信息保护的规则不断完善细化。相应地,人民法院在民事司法裁判中对个人信息保护的裁判规则也日益清晰。
1、民事裁判文书统计数据
在“北大法宝”“中国裁判文书网”以“民事案件”“隐私权、个人信息保护”等关键词进行检索,共获得2016年至2023年10月涉个人信息民事案件600多件。可以看出,近年来,涉个人信息权益保护的案件数量呈现稳中有增的势头。究其原因,一是法律法规对个人信息权益保护的规定不断完善;二是数字经济发展进程中个人信息的利用与保护矛盾越发凸显;三是人民群众的个人信息保护意识不断增强。
2、民事案件审理难点
经对涉个人信息的裁判文书统计分析,具体来讲,涉个人信息保护的案件审理难点体现在以下几个方面:
首先,如何协调好《个人信息保护法》与《民法典》的适用问题。《民法典》为个人信息保护提供了基础框架和价值理念,但《个人信息保护法》与《民法典》的调整范围存在差异,同时个人信息权益与其他人格权利也存在重合、交叉的关系,因此法律适用可能出现聚合、竞合等情况。
其次,在司法实践中,个人信息的范围和认定仍需进一步明确。《个人信息保护法》将个人信息界定为“已识别或可识别的自然人有关”的信息,即通常所说的“识别说+关联说”。然而,在实践中,大多数情况下法官需要结合个案情况进行分析判断。另外,需要进一步细化个人信息侵权行为的裁判标准。《个人信息保护法》强化了处理个人信息“告知—同意”的合法性基础,并明确了告知、同意的标准。然而,从司法实践来看,对有效告知、同意的标准和方式的认定仍需进一步细化。同时,《个人信息保护法》还规定了无须同意即可处理个人信息的情形,如何把握该种情形还存在争议。
最后,个人信息侵权的损害赔偿问题有待进一步明确。实践中,除个人信息泄露导致的直接财产损失外,其他损害较难计算。在规模化处理场景下,个体个人信息权益受到侵害的财产损失是否应得到支持及其计算标准也存在争议。关于是否可以适用精神损害赔偿的问题,理论和实践中也存在争议。
总体来说,2023年各地人民法院及互联网法院陆续发布了个人信息保护典型案例,案例覆盖面广,例如既涉及银行征信、公共出行服务等传统的个人信息处理领域,也涵盖网购平台向内嵌支付机构提供用户信息、APP自动化推荐应用等新型个人信息处理场景;既包括儿童、平台用户等民事主体的个人信息保护,也及时回应了个人信息的赔偿标准认定、信息主体诉权行使的前置条件等司法疑难问题。通过依法治理互联网平台违规收集处理信息、算法运行错误侵权、未经同意发送商业短信、非法采集人脸图像等侵害个人信息权益的行为,保护个人隐私和信息安全,规范商业推广行为,彰显了各级法院充分发挥审判职能作用,强化个人信息权益保护,维护良好网络空间生态,促进互联网行业和数字经济健康发展的司法实践。
小结
以上是我们对2023年度出台的数据领域法律法规的年度法律观察,尽管法规制定的幅度相较前两年较小,但我们能够感受到中国正在逐步建立起符合自身实际情况的数据治理模式,不再一味强调“静态”安全,同时也开始积极探索数据流动与要素市场培育的“动态”安全。展望2024年,笔者认为我国将进一步在实践层面落实《数据二十条》中提到的“数据产权、流通交易、收益分配、安全治理”的要求,以期为数据的规范化、合理流通以及安全管理提供更为明确的方向;同时,我国也将密切关注新兴技术的发展,鼓励技术创新,及时出台相应规范为新技术保驾护航。我们相信,中国将继续脚踏实地,注重实践操作,同时也保持对未来科技发展的仰望,通过不断完善法规、推动实践、鼓励创新,中国致力于建设更加健康、有序、创新的数据治理体系,以应对不断变化的数字化转型挑战。
为更切实地帮助读者们了解2023年中国数据法律动态,我们为读者精心准备了《中国数据法律法规汇编(2023年)》,汇编涵盖了2023年度发布的网络安全与数据合规领域的法律、行政法规、司法解释文件、部门规章及规范性文件、典型案例等十二个板块内容,有助于读者更直观了解立法动态、了解数据合规实务。
如有需要,欢迎点击链接或扫码领取⬇
https://www.wjx.cn/vm/wxWeaij.aspx#
团队简介