随着信息技术和商业、生活的交汇融合,数据和信息在促进经济发展、提高生活便利化程度的同时,也面临着严峻的合规及安全的挑战。2020年,“个人信息”、“数据安全”、“数据生产要素”在数字经济的大背景下,成为了经济发展和社会生活中的高频词。本文拟在回顾2020年的数据保护重点事件的基础上,分析与信息保护、网络安全相关的立法和监管趋势,并进一步梳理和总结2021年最值得关注的十大数据保护法趋势问题。
一、《个人信息保护法》和《数据安全法》立法提速
2020年7月3日,《数据安全法(草案)》发布并正式向公众征求意见。2020年10月21日,《个人信息保护法(草案)》经第十三届全国人大常委会第二十二次会议审议后公布并向社会征求意见。目前,这两部法律草案均已完成了公开征求意见的工作。《数据安全法》作为数据安全领域的基础性法律,将确立数据安全保护管理各项基本制度。《个人信息保护法》作为我国第一部个人信息保护的专门法律,将对个人信息形成更加完善、全面、系统的法律保护体系。
2020年12月21日,全国人大常委会法工委发言人在回答关于2021年全国人大重点立法工作的问题时说明:2021年度立法工作计划已原则通过,《数据安全法》、《个人信息保护法》等法律案将在2021年由常委会会议继续审议,并争取早日出台1。由于两部法律将与《网络安全法》一起形成我国信息和数据领域的基础性法律,建议密切关注《数据安全法》和《个人信息保护法》的立法进展和变化以及对于企业的影响。
二、《民法典》正式实施加强个人信息保护救济
《民法典》于2021年1月1日起正式生效。《民法典》的人格权编专章八个条款对隐私权和个人信息保护的定义范围、保护要求、民事责任和自然人相关权利等内容进行了规定,人格权编还新增了人格权禁令的规定。为进一步贯彻实施《民法典》的规定,最高人民法院于2020年12月30日发布了第一批共七件与民法典配套的司法解释,并表示:对于民法典新增制度和重大修改的调研指导工作将是下一步的重点,除这次发布的司法解释有关内容外,对于民法典的部分新增制度,如自然人声音、自然人的隐私权和个人信息保护等涉及人格权的司法保护,最高人民法院将对这些新规定、新情况深入调查研究,适时出台相关司法解释。2此外,最高人民法院已发布关于修改《民事案件案由规定》的决定,在“人格权纠纷”项下增加了“个人信息保护纠纷”的案由。3
近年来,司法实践中涌现了若干与个人信息保护相关的典型诉讼案例,但在《民法典》尚未生效实施以及《个人信息保护法》缺位的情况下,以侵害个人信息权益提起的民事诉讼案件仍存在法律适用的困难。随着《民法典》的生效实施、公民个人信息保护意识的增强以及未来有关个人信息保护的司法解释正式出台,可以预见到今后相关诉讼案件在司法实践中可能会明显增加,企业也需重新评估个人信息保护的诉讼风险。
三、App个人信息保护监管持续加强
近年来,有关App个人信息保护的监管和执法活动逐渐深入开展并呈现出常态化执法的趋势。结合2020年的相关监管动态,我们预见2021年的App个人信息保护的监管将有下列特点。
第一,中央与地方监管两条线并行。中央网信办、工业和信息化部、公安部、国家市场监管总局(简称“四部委”)继2019年App违法违规收集使用个人信息专项治理后,于去年7月22日启动了2020年治理工作。地方层面,各省市的监管机构则结合本地情况和计划陆续开展了App个人信息安全整治工作4。
第二,多部门监管齐下。从监管机关层面看,对于App违规收集使用个人信息的监管活动仍将持续由四部委共同监管。其中,工信部门、公安机关、市场监管部门以及App工作组主要侧重于管理App在收集使用个人信息方面的违法违规行为5,而网信部门则仍主要针对App信息内容乱象开展专项整治活动6。
第三,特殊行业和领域监管深化。不同行业、领域内的监管机构基于本行业、领域的特点,开展针对性的App个人信息保护监管工作。例如,在金融领域,2019年中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知,要求中国互联网金融协会做好金融类App的实名备案工作,截至2020年12月,中国互联网金融协会共发布了五批备案名单。在教育领域,教育部印发了《教育移动互联网应用程序备案管理办法》,要求各单位要在2019年12月1日至2020年1月31日前完成对现有教育移动应用的备案工作,并向社会公众提供备案信息查询。
第四,监管范围适当扩大化。目前,除针对App的违规收集使用个人信息的行为进行打击外,监管机关还将App的监管规则适当延伸适用于小程序和快应用,将后者也纳入监管范围。根据《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》的规定,除App运营者之外,小程序、快应用等运营者也可参考其中的适用条款进行自评估。另外,工信部的整治行动也提到将对小程序、快应用进行评估。由此可见,将小程序、快应用等纳入到监管执法范围的趋势逐渐凸显。
四、地方特色数据保护规则试水先行
体现地方特色、立足本地需求的地方性规定逐渐增多。2020年,地方政府在信息保护立法方面有所探索和创新,在法律规定的范围内制定了更具体的指南或规定。例如,2020年7月15日,深圳市司法局发布《深圳经济特区数据条例(征求意见稿)》,首次提出“数据权”的概念,强调自然人对个人数据享有数据权,并规定了个人数据收集与处理的一系列规则。2020年7月30日,天津市互联网信息办公室发布《天津市数据交易管理暂行办法(征求意见稿)》,该规定主要针对数据交易活动,对数据交易主体及数据交易服务机构在数据交易活动中各自承担的义务进行了相应的规定。2020年12月1日,《天津市社会信用条例》正式通过,并将于2021年1月1日起施行,该条例则规定企事业单位、行业协会、商会等禁止采集人脸、指纹、声音等生物识别信息。
未来,各地方可能会出台数据保护方面的先行政策和监管规则,因此企业除关注国家层面的法律法规,还需关注企业所在地区的地方性规定。
五、各行业数据保护规则纵深细化
各相关行业及领域特别是强监管领域也将进一步制定与所在行业密切相关的个人信息保护法规。例如,在金融行业,中国人民银行副行长陈雨露在2020年12月25日国务院政策例行吹风会上表示,中国人民银行会根据国家将要颁布的《个人信息保护法》、《数据安全法》等新的法律,及时推出《个人金融信息保护暂行办法》,以更大力度规范个人信息在金融领域的依法合规使用。7 又如人脸识别领域,由于人脸识别等新技术的应用和发展,给个人信息保护带来许多新挑战。目前《个人信息保护法(草案)》仅笼统规定了图像采集、个人身份识别设备的使用要求,全国人大常委会法工委在记者会上明确表示将就有关问题进一步广泛听取意见,深入研究论证。结合目前仍在审理中的“国内人脸识别第一案”,未来不排除立法机关将就人脸识别技术的运用及其收集使用信息的要求制定专门的规范。
六、各类标准指南渐成体系
我们关注到,随着立法进程的加速,国家、行业、团体标准和实践指南也将逐渐形成体系化,可供企业作为合规参考。
全国信息安全标准化技术委员会(简称“信安标委”)副秘书长上官晓丽介绍我国网络安全政策与标准化工作动态时指出,信安标委在2020年共发布53项网络安全国家标准,并启动了64项研究和制定项目,涉及人脸、基因、步态、声纹等生物特征识别,以及网上购物、即时通信、网络支付、网约车等重要领域。8 此外,信安标委还制定和发布了若干网络安全标准实践指南,例如《移动互联网应用程序(App)收集使用个人信息自评估指南》、《移动互联网应用程序(App)个人信息保护常见问题及处置指南》等。该等实践指南属于标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,提供标准化实践指引。2020年12月25日,工信部发布了《互联网行业数据安全标准体系建设指南》,提出到2021年将研制20项以上数据安全行业标准,初步建立电信和互联网行业数据安全标准体系。
可以预见,未来将会有越来越多的信息保护和数据安全相关的标准和指南文件出台,这意味着有关数据保护的监管要求和规则将趋向细节性和可操作性,但也为企业的合规实务带来更多的评估和考虑的因素及难度。
七、数据出境监管要求渐趋明朗
数据跨境流动已成为境内外企业业务发展和数据合规的重点工作之一。《个人信息保护法(草案)》设立了一个较为全面的个人信息出境监管机制,相较于此前相关法规草案中的出境安全评估要求,其规定了包括安全评估在内的多种个人信息出境合法性基础,较为充分地考虑了当前企业业务经营中数据出境的实际需要,使得出境监管的趋势逐渐明朗化。但该等规定如何解释,以及在实践中具体如何落实,例如必要性要求如何理解、个人信息保护认证实践中应如何进行等,仍有待进一步观察。
另外,2020年部分地区已率先对数据跨境流动监管开展试点工作。例如,商务部于2020年8月14日发布的《全面深化服务贸易创新发展试点总体方案》提出将在28个省市(区域)开展全面深化服务贸易创新发展试点工作,其中包括在部分试点地区探索跨境数据流动分类监管模式,开展数据跨境传输安全管理试点。此外,上海自贸区与北京自贸区也发布了有关数据跨境流动监管试点的文件。2021年上述试点工作是否会具体落实、以什么样的方式落实,是未来数据跨境流动监管的信号灯,值得重点关注。
八、“等保”和“关保”要求逐步落地
2020年7月22日,公安部发布《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(简称“《指导意见》”),强调贯彻落实网络安全等级保护制度(简称“等保”)和关键信息基础设施安全保护制度(简称“关保”)。目前,等保2.0的五项国家标准均已全部生效实施,这意味着等保2.0标准体系开始全面落地。另外,2020年8月10日,国家标准《信息安全技术 关键信息基础设施边界确定方法(征求意见稿)》发布,为关键信息基础设施运营者开展关键信息基础设施边界识别工作提供参考。《指导意见》也明确规定,公共通信和信息服务、能源、交通、水利、金融等重要行业和领域的主管、监管部门应制定本行业、本领域关键信息基础设施认定规则并报公安部备案,并负责具体的认定工作。
根据公安部在2020年12月28日“2020网络安全标准论坛”上的说明,被列入2020年立法计划的《关键信息基础设施安全保护条例》将出台,《网络安全等级保护条例》也在加快研究制定出台之中。9 这意味着在新的一年等保和关保相关法规有望正式出台和落地,同时监管机关也将在实践中进一步推进对企业的监管,建议应当重点关注。
九、数据泄露频发、受影响企业增加
过去的一年中,各类企业因内部管理、防护措施等问题导致数据泄露的案例不断发生,并受到公众的关注,造成了较大的负面影响。这也提示着数据合规工作中,企业应将保护数据安全、严防数据泄露作为合规工作的重要环节。
回顾2020年发生的数据泄露典型事件,部分企业因管理不善、未严格落实个人信息保护的相关规定,导致用户信息未经授权泄露给他人。例如中信银行将知名脱口秀演员的账户交易信息在未经其本人授权的前提下提供给其前工作单位,引起较大的舆论声讨,并受到银保监会的查处;10 再比如圆通内部的员工与不法分子勾结,将圆通内部的员工账号出租给不法分子使用,使其从中盗取公民个人信息并倒卖至不同下游犯罪人员。 11 部分企业则因技术安全措施不到位遭到来自外部的恶意攻击与窃取个人信息的行为。例如,2020年3月微博承认用户上传至微博的个人信息遭到泄露12,原因系用户查询接口被恶意调用导致App数据泄露问题,微博因此被工信部约谈要求采取有效安全措施消除数据安全隐患。
履行网络安全保护义务,严防数据泄露等网络安全事件的发生是企业作为网络运营者的基本责任。基于监管部门对于网络运营者履行网络安全保护义务日益严格的执法趋势,针对过去一年发生的各类数据安全事件,我们建议企业应引以为鉴,全面落实网络安全保护义务,严防数据泄露。
十、数据反垄断初露端倪、值得关注
“数据反垄断”也是未来一年值得关注的新议题。2020年11月10日,国家市场监督管理总局公布了《关于平台经济领域的反垄断指南(征求意见稿)》(简称“《反垄断指南》”)。
一方面,《反垄断指南》禁止平台利用数据与算法达成垄断协议、禁止控制数据等平台经济领域必需设施的平台经营者拒绝以合理条件与交易相对人进行交易;另一方面,《反垄断指南》对平台利用其支配地位滥用用户的个人信息进行规制,例如“大数据杀熟”、强制收集用户个人信息等违反个人信息保护相关规定的行为。《反垄断指南》发布后,执法机构对于平台经济领域的执法活动愈发活跃。2020年12月14日,市场监督管理总局依法对阿里巴巴实施“二选一”等涉嫌滥用市场支配地位的垄断行为立案调查,释放出监管部门将进一步加强对于平台经济领域反垄断监管的总体趋势,而数据反垄断作为其中重要的议题,包括大数据杀熟等利用行业支配地位滥用用户数据的现象有可能成为未来一年监管的重点,作为反垄断法和数据法的交叉执法领域,值得关注。
结语
在过去的一年中,在社会公众对隐私保护与数据安全日益关注的大背景下,数据相关的立法与执法活动继续保持着快速发展的态势。可以预见到,2021年我国数据保护相关监管体系势必将进一步完善与改进,数据合规工作对于企业的重要性也将进一步提升。我们将与各企业一同密切关注数据保护领域立法和执法的新变化和新进展,并持续为客户提供及时有效的合规建议。
CIO之家 www.ciozj.com 公众号:imciow