作者丨郑佳律师团队
机构丨北京中银律师事务所
* 本文为威科先行独家文章,未经授权请勿转载
岁月不居,时节如流。数字化时代,数据的价值在持续不断地被发掘;数据的合规风险也在不断升级。2023年度,“合规”问题仍然构成企业在网络安全与数据保护领域的关切点。
在2023年末之际,威科先行特邀北京中银律师事务所郑佳律师团队带来《2023年度数字经济与数据合规年终盘点与评论》,借此文带各行业人士回顾2023年度数据合规与个人信息保护领域焦点话题、重要立法及执法行动,并基于实践进行点评与解读,助力企业提升未来风险挑战应对能力。
更多威科先行【2023年度洞察】系列文章将于近日陆续发布,敬请期待!
目录
1.【个人信息出境标准合同备案】北京市通过首家企业个人信息出境标准合同备案
2.【数据安全法律义务落实】南昌网信办依据《数据安全法》对某股份公司作出行政处罚
3.【数据资产与交易】上海探路数据交易资产化,国内首个数据交易链问世
4.【网络安全审查】美光:全力配合网信办对公司在华销售产品实施网络安全审查
5.【生成式人工智能】国家网信办发布《生成式人工智能服务管理暂行办法》,2023年8月15日起施行
6.【APP侵害用户权益专项整治行动】工信部通报31款侵害用户权益APP(SDK)
7.【个人信息保护合规审计】国家互联网信息办公室就《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见
8.【数据资源入表】财政部发布《企业数据资源相关会计处理暂行规定》
9.【侵犯个人信息罪】北京高院通报侵犯公民个人信息罪案件审判情况
10.【银行业金融机构落实网络安全义务】因重要信息系统突发事件未报告,北京中关村银行被罚20万
11.【数据跨境流动】上海数据交易所:2023年全球数据跨境流动规则全景图(报告)
12.【数据基础制度先行区】先行先试!北京数据基础制度先行区启动运行
13.【粤港澳个人信息跨境流动趋势】国家网信办等联合发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
14.【数据要素】国家数据局就《“数据要素×”三年行动计划(2024—2026年)》公开征求意见
15.【个人信息保护认证证书】全国首批“个人信息保护认证”证书正式发出
一、个人信息出境标准合同备案
北京市通过首家企业个人信息出境标准合同
在国家互联网信息办公室指导下,北京市互联网信息办公室积极推进个人信息出境标准合同备案制度落地工作,继获批全国首个数据出境安全评估项目后,日前又完成了首家企业个人信息出境标准合同备案,实现了数据出境合规的“两个第一”。自今年2月《个人信息出境标准合同办法》(以下简称《办法》)发布以来,北京市互联网信息办公室积极开展《办法》落地实施筹备工作,制定并发布《北京市个人信息出境标准合同备案指引》,联合北京国际大数据交易所、北京CBD跨国企业数据流通服务中心,指导首批企业先行落实标准合同备案有关工作要求,推动完成个人信息保护影响评估工作。近日,北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同已通过市网信办组织的备案审核,备案号为“京合同备202300001”,成为首家通过订立标准合同实现个人信息合规出境的企业,标志着个人信息出境标准合同备案制度在北京率先落地。同时,该项目首次实现了北京市与香港特别行政区间征信数据的合规出境,为京港两地个人信用风险管理及评价机制的一体化进程提供了有力支撑,也为香港特别行政区持牌金融机构增添了全新的跨境服务创新驱动力。(来源:网信北京  2023年6月26日)
律师点评
《个人信息保护法》于2021年11月1日施行,其中第三十八条规定了“通过国家网信部门组织的安全评估”、“按照国家网信部门的规定经专业机构进行个人信息保护认证”、“按照国家网信部门制定的标准合同与境外接收方订立合同”等个人信息跨境合规路径。2023年2月24日,国家互联网信息办公室公布《个人信息出境标准合同办法》,明确了个人信息出境标准合同的订立、备案等要求,为《个人信息保护法》视域下的个人信息跨境方式之一的“标准合同”提供了落地方案。
作为个人信息出境的途径之一,个人信息出境标准合同备案适用于(一)非关键信息基础设施运营者;(二)处理个人信息不满100万人的;(三)自上年1月1日起累计向境外提供个人信息不满10万人的;(四)自上年1月1日起累计向境外提供敏感个人信息不满1万人的。满足前述条件的个人信息处理者,均可采用标准合同备案方式向境外提供个人数据。根据《备案指南》的规定,企业应当在备案之日前3个月内完成个人信息保护影响评估工作,且需承诺至备案之日该评估未发生重大变化。
随着《个人信息出境标准合同办法》的生效,2023年6月1日前开始的个人信息出境活动将迎来6个月整改期的倒计时,满足要求且希望通过标准合同备案进行个人信息出境的企业,应当及时着手个人信息保护影响评估、标准合同的订立以及备案的相关整改工作。近来,越来越多的省份发布了个人信息出境标准合同的备案指引,对个人信息出境标准合同的备案方式、备案流程、备案材料等具体要求作出了说明,为个人信息处理者根据《个人信息出境标准合同办法》的规定规范、有序地进行备案提供了详细的指引,建议企业积极与所在省份网信部门沟通联系,了解最新的要求,及时补充完善备案材料。
与此同时,值得关注的是2023年9月28日国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》,该征意稿结合此前数据出境安全评估、个人信息出境标准合同备案工作中的实际问题,大幅调整了数据出境评估备案工作的适用标准(如“预计一年内向境外提供1万人以上、不满100万人个人信息,与境外接收方订立个人信息出境标准合同并向省级网信部门备案或者通过个人信息保护认证的,可以不申报数据出境安全评估...”等),实质性豁免了具有强出境必要性以及仅涉及少量个人信息出境的数据出境场景的评估备案义务(如“四种不需要开展数据出境监管的情形”等),在确保数据有序跨境流动的同时实质降低了企业的合规负担。但鉴于尚处于征求意见阶段,我们建议在2024年持续关注该规定的最新动态,以调整企业关于数据出境合规工作的布局考量。
二、数据安全法律义务落实
南昌网信办依据《数据安全法》对某股份
公司作出行政处罚
2023年4月13日,接上级网信部门通报,江西某股份有限公司运营的网络智能办公系统疑似遭黑客组织共计并植入木马病毒,主机存在受控的风险。当日,南昌市互联网信息办公室决定立案调查并派执法人员开展案件调查工作。经现场勘验、抽样取证、远程勘验、笔录询问等程序,查明该公司的OA系统和服务器存储了大量敏感数据,但该公司履行数据安全保护义务不到位,OA系统感染了可获取服务器文件管理权限和命令执行权限的木马程序,相关行为违反了《中华人民共和国数据安全法》第二十七条规定;该公司开展数据处理活动未加强风险监测,在发现数据安全漏洞风险和事件时未采取补救措施,未履行风险监测、补救处置等义务,相关行为违反了《中华人民共和国数据安全法》第二十九条规定。2023年5月30日,南昌市网信办依据《中华人民共和国数据安全法》第四十五条的规定,对江西某股份有限公司处以警告、罚款50万元,对直接负责的主管人员处以罚款5万元的行政处罚。(来源:南昌网信办  2023年6月24日)
律师点评
作为我国首部数据安全领域的基础性立法,《数据安全法》确立了数据分类分级管理,建立数据安全风险评估、监测预警、应急处置和数据安全审查等基本制度,并对数据处理者提出了数据安全保障义务要求。近年来,从公开的信息可以发现,多地监管部门对企业落实数据安全领域的法律义务是否到位进行了执法检查活动。数据安全处罚事件涉及互联网、医疗、金融、教育等行业,涉及的主体包括企业、高校和医院等。在《数据安全法》下,涉及的问题包括数据安全义务落实不到位,如服务器存在未授权访问漏洞、敏感信息保存不安全、未建立数据安全管理制度和操作规程等,导致数据存在泄露风险等数据安全隐患。
建议企业在日常经营活动中,严格对照数据安全保障义务,落实数据分类分级、安全风险评估和监测预警等制度,控制数据安全风险隐患。同时采取相关技术措施来防止数据泄露,包括但不限于加密敏感数据、限制数据访问权限、定期检查并修补软件和系统漏洞,对存储和传输的重要敏感数据进行高强度加密处理。最后,注意培育员工的网络安全、数据安全意识,定期对企业员工进行系统的网络安全和法律知识培训。
三、 数据资产与交易
上海探路数据交易资产化,国内首个数据
交易链问世
3月3日,由大数据流通与交易技术国家工程实验室与上海数据交易所正式启动国内首个数据交易链的建设工作,这也是国内数据流通交易领域的新一代基础设施建设项目。上海数据交易所数据交易系统建立了登记、挂牌、交易、交付、清结算和凭证发放六大业务环节,通过建立数据交易链,利用区块链存证和智能合约等技术使这些业务环节更加安全、高效和透明。交易前,通过在智能合约中设定数据产品的基本信息、价格和交易方式等内容来实现数据产品的登记挂牌,为数据交易的后续步骤奠定了基础。交易中,通过链上存证每一笔交易订单、交付信息和清结算信息,交易的双方都可以实时监测交易过程的进展,确保交易的可信度和准确性。交易后,通过区块链生成交易凭证,每个凭证将会被分配一个唯一的数字标识,关联整个交易过程的链上数据,支撑交易产品权力确属、交易监管和纠纷处理等。区块链技术将数据交易系统的业务环节上链,大大提高数据交易的效率、安全性和透明度,使得交易参与主体互信互认,为各方从登记、确权到交付的交易全过程提供安全保障,体现交易所监管客观公正。(来源:华夏时报  2023年3月9日)
律师点评
2022年12月,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》,对数据产权、交通交易、收益分配、安全治理四个方面初步构建了我国数据基础制度体系。数据二十条明确提出,统筹构建规范高效的数据交易场所,规范各地区各部门设立的区域性数据交易场所和行业性数据交易平台,构建多层次市场交易体系,推动区域性、行业性数据流通使用。上海数据交易所正式启动国内首个数据交易链的建设工作,也是对数字二十条的贯彻落实。
从数据到数据资产,涉及到定价、确权、登记和流通等多个环节。当数据成为一种资产后,通过数据交易场所进行流动成为数据资产交易的重要形式。可以看到,此次上海数据交易资产化的探索,将有助于进一步推动数据交易的发展,促进数据交易的效率和安全性。
除上海之外,国务院批复了《支持北京深化国家服务业扩大开放综合示范区建设工作方案》。工作方案提出,支持北京积极创建数据基础制度先行区,推动建立健全数据产权制度、数据要素流通和交易制度、数据要素收益分配制度、数据要素治理制度。壮大北京国际数据交易联盟,健全交易标准和市场运营体系,推进数据托管服务试点。
可以预见,数据是数字经济时代的重要生产要素。数据流通交易作为数据基础制度之一,能够激活数据要素潜能,促进数字经济发展,当前,我国数据要素市场处于高速发展阶段,数据交易规模扩大、数据交易类型日益丰富。建议企业关注鼓励性政策文件的出台动态,结合自身业务,遵守数据合规要求,确保数据的合法获取、使用和流转,避免因数据违规带来的交易风险。
四、网络安全审查
美光:全力配合网信办对公司在华销售产品
实施网络安全审查
2023年3月31日,中国网络安全审查办公室发布通知称,对美光公司在华销售的产品实施网络安全审查。外媒进行相关报道时,多认为中方此举是对美国打压中国高端芯片产业的回应。对此,4月2日接受《环球时报》采访的专家认为,美光在中国销售的产品有可能存在安全问题,中国政府完全有权力进行监管、审查。网络安全审查办公室发布公告称,为保障关键信息基础设施供应链安全,防范产品问题隐患造成网络安全风险,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对美光公司在华销售的产品实施网络安全审查。美光在给路透社的答复中表示,“已知晓”此事,公司正在与中国国家互联网信息办公室就调查进行沟通,将“全力配合”审查。(来源:环球时报  2023年4月3日)
律师点评
《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
根据网信办公布的对美光公司在华销售产品的网络审查结果,美光公司的产品存在较严重的网络安全问题隐患,影响我国国家安全,因此未予通过网络安全审查。
《网络安全审查办法》所规定的网络安全审查制度适用主体包括关键信息基础设施运营者和网络平台运营者。对于“影响或者可能影响国家安全的网络产品和服务以及数据处理活动”的企业而言,需要引起一定的重视。需要建立并落实网络安全和数据安全;若遇到需主动申报或被监管部门依职权启动网络安全审查的情形,企业应沉着应对,积极配合有关部门的调查。网络安全审查主要关注的国家安全因素包括以下几个方面:其一、关键信息基础设施安全。其二、信息基础设施供应链安全。其三、数据安全。其四、被外国政府操控风险。这一案例也提醒关键信息基础设施的运营者,应当重视自身的供应链安全,这也将成为网络安全执法的重要关注领域。
五、生成式人工智能服务
国家网信办发布《生成式人工智能服务管理
行办法》,2023年8月15日起施行
《生成式人工智能服务管理暂行办法》已经2023年5月23日国家互联网信息办公室2023年第12次室务会会议审议通过,并经国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局同意,现予公布,自2023年8月15日起施行。国家坚持发展和安全并重、促进创新和依法治理相结合的原则,采取有效措施鼓励生成式人工智能创新发展,对生成式人工智能服务实行包容审慎和分类分级监管。(来源:国家网信办  2023年7月13日)
律师点评
2023年7月13日,网信办同国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局发布了《生成式人工智能服务管理暂行办法》,将于2023年8月15日正式生效实施,其与《互联网信息服务算法推荐管理规定》、《互联网信息服务深度合成管理规定》共同构成了我国人工智能和算法领域的重要监管规定。其中《生成式人工智能服务管理暂行办法》第三条规定,对生成式人工智能服务实行包容审慎和分类分级监管。在我国分类分级监管具体规则以及进一步人工智能法案细则出台之前,建议生成式人工智能服务从业者参考国际相关标准进行风险评估并提前做好未来的合规准备,相关企业仍需要按照自身产品的风险级别,进行相应的合规投入和安排。
六、APP侵害用户权益专项整治行动
工信部通报31款侵害用户权益APP(SDK)
工业和信息化部高度重视用户权益保护工作,依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规,持续开展APP侵害用户权益专项整治行动。近期,工信部组织第三方检测机构对群众关注的休闲娱乐、实用工具、出行服务等移动互联网应用程序(APP)及第三方软件开发工具包(SDK)进行检查。发现31款APP(SDK)存在侵害用户权益行为,主要涉及违规收集个人信息、强制用户使用定向推送功能、欺骗误导强迫用户等问题。(来源:工信部  2023年7月11日)
律师点评
自2019年以来,工信部开展APP侵害用户权益专项整治工作,执法依据主要包括《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《App违法违规收集使用个人信息行为认定方法》《工业和信息化部关于开展信息通信服务感知提升行动的通知》等文件。
执法重点包括违规收集个人信息;强制用户使用定向推送功能;App强制、频繁、过度索取权限;超范围收集个人信息;违规使用个人信息等内容。我们建议APP运营企业应结合法律法规、国家标准及行业规范的要求,及时对自身业务展开全面的网络安全、数据安全及个人信息保护的全面合规审查;同时可以结合业界最新的监管趋势,及时调整产品内容,避免行政处罚的风险。
七、个人信息保护合规审计
国家互联网信息办公室就《个人信息保护
合规审计管理办法(征求意见稿)》公开
征求意见
为指导、规范个人信息保护合规审计活动,根据《中华人民共和国个人信息保护法》等法律法规,国家互联网信息办公室起草了《个人信息保护合规审计管理办法(征求意见稿)》,现向社会公开征求意见。征求意见稿要求处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次个人信息保护合规审计;其他个人信息处理者应当每二年至少开展一次个人信息保护合规审计。(来源:网信中国  2023年8月4日)
律师点评
《个人信息保护法》第54条及第64条,明确规定了合规审计义务:个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计;以及履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。
网信办于2023年2月22日发布的《个人信息出境标准合同办法》也规定个人信息处理者应当向监管机构提供境外接收方对合同涵盖的处理活动的合规审计结果。可以说,此次征求意见稿的出台也是对这一规定的具体落实。《征求意见稿》明确了个人信息保护合规审计触发条件、频次、流程、审计机构、审计活动规范等。建议企业持续关注这一文件的更新动态,在《征求意见稿》的基础上细化审计评估事项。如果满足处罚审计的情形,应当充分梳理和记录个人信息处理活动,加强企业内部跨部门、跨专业领域的沟通与配合,及时整改合规审计过程中发现的合规风险。
八、数据资源入表
财政部发布《企业数据资源相关会计处理
暂行规定》
财政部正式发布《企业数据资源相关会计处理暂行规定》(财会[2023]11号)(以下简称《暂行规定》),自2024年1月1日起施行。《暂行规定》规范了企业数据资源相关会计处理,同时强化了相关会计信息披露,服务数字经济治理体系建设。
《暂行规定》包括以下四部分内容:一是适用范围。明确《暂行规定》适用于符合企业会计准则规定、可确认为相关资产的数据资源,以及不满足资产确认条件而未予确认的数据资源的相关会计处理。后续随着未来数据资源相关理论和实务的发展,可及时跟进调整。
二是数据资源会计处理适用的准则。按照会计上的经济利益实现方式,根据企业使用、对外提供服务、日常持有以备出售等不同业务模式,明确相关会计处理适用的具体准则,同时,对实务反映的一些重点问题,结合数据资源业务等实际情况予以细化。 
三是列示和披露要求。要求企业应当根据重要性原则并结合实际情况增设报表子项目,通过表格方式细化披露,并规定企业可根据实际情况自愿披露数据资源(含未作为无形资产或存货确认的数据资源)的应用场景或业务模式、原始数据类型来源、加工维护和安全保护情况、涉及的重大交易事项、相关权利失效和受限等相关信息,引导企业主动加强数据资源相关信息披露。
四是附则。《暂行规定》将自2024年1月1日起施行,企业应当采用未来适用法应用该规定。(来源:财政部  2023年8月21日)
律师点评
数据资源是否可以作为资产确认、作为哪类资产确认和计量以及如何进行相关信息披露等相关会计问题是市场主体的关注重点。一些企业对数据资源能否作为会计上的资产“入表”、作为哪种资产入表等存在疑虑。《暂行规定》将有助于进一步推动和规范数据相关企业执行会计准则,准确反映数据相关业务、经济实质。
《暂行规定》的发布,规范了2类数据资源:第一类“入表”的数据资源,根据之前相关的准则规范可确认为无形资产或者存货的数据资源;第二类“不入表”的数据资源,满足企业“合法拥有或控制”“预期给企业带来经济利益”但是不满足“与该资源有关的经济利益很可能流入企业”或“成本或者价值能够可靠地计量”的数据资源。
由于数据资源具有特殊性,为了应对未来可能面临的资产确认条件等诸多方面挑战,建议企业建立健全数据资产管理体系:以数据资源盘点为起点,梳理现有数据资源。建立数据资源管理体系和配套制度,记录会计核算和披露所需信息。判定入表的数据资源范围,为开展入表做充分的准备工作。整理总结入表推进过程中积累的经验,并持续关注新的政策、细则。
九、侵犯个人信息罪
北京高院通报侵犯公民个人信息罪案件
审判情况
2018年以来,北京三级法院共审结侵犯公民个人信息犯罪案件219件,其中一审179件、二审40件,判处犯罪分子294人。北京高院党组成员、副院长孙玲玲介绍到,涉案公民个人信息类型中高度敏感信息占比突出,所有已结案件中24.6%的案件涉及包括行踪轨迹信息、通信内容、征信信息和财产信息等高度敏感信息,涉案公民个人信息的数量规模日渐庞大,侵犯公民个人信息的犯罪手段越发隐蔽。不法分子多是通过社交软件群、网站论坛等平台买卖或交换个人信息,“爬虫”软件成为收集大量信息时的常用软件之一。五成案件的被告人有较为固定的工作单位或职业,从学历、职务看,不乏有被告人拥有较高的学历水平,在大型互联网公司、电商平台、通讯运营商等任较高职务。此外,侵犯公民个人信息犯罪与其他违法犯罪活动相关联,排除买卖、交换等中间环节,39.6%的涉案信息被用于违法甚至犯罪活动,如违规提取公积金或办理信用卡、同行不正当竞争、电信网络诈骗等。(来源:京法网事  2023年8月23日)
律师点评
伴随互联网、大数据等数字技术的广泛应用以及各种数据、信息在社会生活中的价值日渐提升,侵犯公民个人信息的违法犯罪行为也呈趋重和蔓延态势。涉及公民个人信息类刑事案件,主要包括与公民个人信息的收集、存储、使用、传输、删除等相关的犯罪活动,此类刑事犯罪呈现类型多样化和隐蔽化的特点。除了北京法院通报了侵犯个人信息犯罪的审理情况外,上海一中法院也发布了涉公民个人信息类刑事典型案例和审理难点、审理思路、裁判要点等内容。
对于企业而言,应当加大对员工的教育培训,同时建立完善的信息安全管理制度,与掌握敏感信息的关键岗位人员签订保密协议;依法履行网络安全等级保护制度,采取必要的管理和技术保护措施,针对不同风险等级的数据分别加密存储并防止信息泄露、毁损和丢失,避免出现数据安全风险。随着《数据安全法》《个人信息保护法》等前置法的日益完善及信息网络社会的迅猛发展,公民个人信息的类型、重要程度及被侵犯方式等势必会不断变化,相关审理思路也需要紧跟法律及司法解释的修改与更新而及时调整;我们建议企业应对照各级法院发布的典型案例中的行为与场景进行必要企业内部自查,及时整改不合规问题,同时注意对员工也要进行定期培训。
十、银行业金融机构落实网络安全义务
因重要信息系统突发事件未报告
北京中关银行被罚20万
国家金融监督管理总局9月8日发布的行政处罚信息显示,北京中关村银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,依据《中华人民共和国银行业监督管理法》第四十六条,被北京监管局罚款20万元。(来源:国家金融监督管理总局  2023年9月8日)
律师点评
《中华人民共和国银行业监督管理法》第四十六条规定,银行业金融机构有下列情形之一,由国务院银行业监督管理机构责令改正,并处二十万元以上五十万元以下罚款;情节特别严重或者逾期不改正的,可以责令停业整顿或者吊销其经营许可证;构成犯罪的,依法追究刑事责任:……未按照规定进行信息披露的……。近来,原银保监会和金融监管局发布了多个涉及银行重要信息系统的罚单,如某华银行因重要信息系统访问控制管理存在不足,被罚款35万元;广西某银行因“迟报重要信息系统突发事件”,被罚款20万元;北京某银行因“发生重要信息系统突发事件但未向监管部门报告,严重违反审慎经营规则”,被罚款40万元。
根据《银行业金融机构重要信息系统投产及变更管理办法》规定,重要信息系统是指支撑重要业务,其信息安全和服务质量关系公民、法人和其他组织的权益,或关系社会秩序、公共利益乃至国家安全的信息系统。发生突发事件时,银行业金融机构应在重要信息系统突发事件发生后60分钟之内将突发事件相关情况上报银监会或其派出机构信息系统应急管理部门,并在事件发生后12小时内提交正式书面报告。
同时,通过对公开信息的查询,可以发现,银行涉及信息保护和信用信息业务开展等方面受到监管机构较大的关注,多家银行及责任人收到罚单。多家银行及其APP、小程序因侵害用户权益、违规收集个人信息等被省级通信管理局等监管单位通报。原银保监会于2022年8月下发《关于开展银行保险机构侵害个人信息权益乱象专项整治工作的通知》,要求全面梳理和排查银行业保险业在个人信息保护方面的问题和漏洞,深入整治侵害消费者信息权益乱象。
建议金融类App运营者对照前述通知中涉及的主要问题,从数据采集、存储、加工、传输、披露等环节规范用户个人信息管理,遵循“用户授权、最小够用、专事专用、全程防护”原则,建立健全个人信息保护的全流程防控机制。银行等金融机构对照《银行保险机构消费者权益保护管理办法》《中国人民银行金融消费者权益保护实施办法》《中华人民共和国消费者权益保护法》等法律文件规定,切实加强对金融消费者的权益保护,同时重点关注个人信息保护和数据安全合规领域的建设。
十一、数据跨境流动
上海数据交易所:2023年全球数据跨境
流动则全景图(报告)
当前,数据跨境流动正在逐步超过贸易、投资全球化,成为驱动全球经济增长的新动能。2023年4月,上海数交所国际板启动建设。为探索形成便捷、高效、安全的数据跨境流动规则体系,11月26日,2023全球数商大会上海数据交易所年度发布会上,上海数交所携手商务部国际贸易经济合作研究院共同发布《全球数据跨境流动规则全景图》,对标国际数字经济规则,探索国际数据合作新模式。报告提出未来,各国数据跨境流动的规则主张愈发倾向于“数据重商主义”,不过随着数据要素重要性的提升,未来数据跨境流动的规则亦会呈现出行业精细化的趋势等,同时数据主权、数据安全与个人隐私依然是数据跨境流动规则制定时关键考量。基于现有趋势,认为未来我国数字企业出海将面临更多的数据合规风险,我国数字贸易面临较高的政策不确定性,同时我国数字产业发展面临的数据壁垒有可能将继续提升等。(来源:上海市数据交易所  2023年12月5日)
律师点评
2023年11月25日全球数商大会在上海成功举办,大会明确以“数联全球、商通未来”为主题,充分聚焦数字经济时代下,如何通过数据要素推动实体经济发展,逐步打造全球数据要素市场的风向标,而值得关注的是,本次大会也同发布了多个重量级成果报告及方案等,为国内各行各业未来发展数据要素产业产品提供了示范案例与方向参考。
根据《2023年全球数据跨境流动规则全景图(报告)》,对于跨境经营的企业而言,业务开展时应当更加关注数据合规风险,及时关注域外数据跨境流动的规则变化,做好充分的准备和应对,避免出现数据合规风险。今年以来,国家和地方出台了诸多个人信息跨境流动的法律规范文件。例如,为落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局 关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。
十二、数据基础制度先行区
先行先试!北京数据基础制度先行区启动
运行
2023年11月10日,北京数据基础制度先行区正式启动运行。在启动仪式上,北京市经济和信息化局发布了《北京数据基础制度先行区创建方案》(以下简称“《创建方案》”)和《北京数据基础制度先行区政策清单》(以下简称“《政策清单》”),明确了先行区发展的未来方向和10条政策措施。据悉,北京将按照适应数字经济特征的监管方式,建立先行先试机制,建设数据基础制度综合改革试验田和数据要素集聚区,促进数字经济高质量发展。(来源:21世纪经济报道  2023年11月13日)
律师点评
北京数据基础制度10条政策聚焦数据先行区范围内的市场主体,涉及数据价值合规实现、数据供需高效匹配、数据要素生态聚集、包容审慎监管、资金支持等一系列先行先试政策支持,以进一步提升数据供给的规模、质量及流通效率。建议相关大数据企业持续关注数据先行区《创建方案》及《政策清单》优惠政策及先行区建设情况。例如,作为全国首个数据基础制度先行区,相关区政府部门围绕数据先行区分别制定属地化的招商引资政策,在资金支持、房租减免、人才引进等方面给予政策优惠;支持数据资产登记证书在企事业单位入表、入资、入股和融资等场景中应用;支持在数据先行区范围内对数据资产的质量、安全、合规、价值等进行全方位评估,并出具合法的评估报告;探索数据资产入表新模式;探索入驻的市属国有企业数据资产纳入国有资产保值增值机制;探索以“避风港”原则,为企业提供自保、规避风险、减轻侵权责任风险;为先行企业和首创性质的经营活动提供政策资金支持。
十三、粤港澳个人信息跨境流动趋势
国家网信办等联合发布《粤港澳大湾区
(内地、香港)个人信息跨境流动标准
合同实施指引》
落实《中华人民共和国国家互联网信息办公室与香港特别行政区政府创新科技及工业局关于促进粤港澳大湾区数据跨境流动的合作备忘录》关于“共同制定粤港澳大湾区个人信息跨境标准合同并组织实施,加强个人信息跨境标准合同备案管理”的合作措施,国家互联网信息办公室与香港创新科技及工业局共同制定《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》。指引规定,标准合同应当严格按照本实施指引附件订立,合同生效后方可开展个人信息跨境提供。个人信息处理者可以与接收方约定其他条款,但不得与标准合同相冲突。(来源:网信中国  2023年12月13日)
律师点评
2023年,中国数据跨境流动迎来重要进展。《个人信息保护法》第38条规定了数据出境的要求。数据出境必须要符合三种途径的要求之一:数据安全评估、个人信息保护认证和采用个人信息出境标准合同。2022年7月7日,国家网信办发布《数据出境安全评估办法》,确立了数据安全评估的实施细则。2022年11月4日,国家市场监督管理总局和国家网信办发布了《个人信息保护认证实施规则》,明确了以《网络安全标准实践指南——个人信息跨境处理活动安全认证规范(第二版)》为个人信息保护认证的依据。2023年2月24日,国家网信办发布了《个人信息出境标准合同办法》及附件《个人信息出境标准合同》。《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》的宗旨就是为粤港澳大湾区个人信息跨境流动的便利措施,以期更加有利于数据的跨境流动;该指引具体规定通过订立标准合同的方式开展个人信息跨境提供的,应当坚持自主缔约与备案管理相结合、保护个人信息权益与防范风险相结合,保障个人信息跨境安全、自由流动。2023年9月底,国家互联网信息办公室发布《规范和促进数据跨境流动规定(征求意见稿)》,亦显示出主管部门对数据跨境流动的整体监管逻辑出现重大转变,大幅降低了相关主体在数据出境时的合规成本,将进一步提升我国数据出境的效率,后续动态我们将持续关注。
十四、数据要素
国家数据局就《“数据要素×”三年行动计
(2024—2026年)》公开征求意见
为贯彻落实党中央、国务院决策部署,发挥数据要素乘数效应,赋能经济社会发展,国家数据局 研究起草了《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》,现向社会公开征求意见。征求意见稿提出,到2026年底,数据要素应用场景广度和深度大幅拓展,在经济发展领域数据要素乘数效应得到显现,打造300个以上示范性强、显示度高、带动性广的典型应用场景,产品和服务质量效益实现明显提升,涌现出一批成效明显的数据要素应用示范地区,培育一批创新能力强、市场影响力大的数据商和第三方专业服务机构,数据产业年均增速超过20%,数据交易规模增长1倍,场内交易规模大幅提升,推动数据要素价值创造的新业态成为经济增长新动力,数据赋能经济提质增效作用更加凸显,成为高质量发展的重要驱动力量。同时,要求落实数据安全法规制度,建立健全数据安全治理体系,完善数据分类分级保护制度,落实网络安全等级保护、关键信息基础设施安全保护等制度,加强个人信息保护,提升数据安全保障水平。丰富数据安全产品,发展面向重点行业、重点领域的精细化、专业型数据安全产品,开发适合中小企业的解决方案和工具包,支持发展定制化、轻便化的个人数据安全防护产品。培育数据安全服务,鼓励有实力的数据安全企业,发挥能力优势,开展基于云端的安全服务,有效提升数据安全水平。(来源:国家数据局  2023年12月15日)
律师点评
2023年是“数据二十条”落地的首年。我国在数据要素基础制度、数据流通交易、基础设施建设、数商产业培育、数据资产创新应用等方面都有明显进展,数据要素潜能不断释放。数字经济对于中国经济的重要性已形成广泛共识,发挥数据要素支撑作用特别是乘数效应,对于促进我国数字经济健康发展、支撑经济增长、培育国际竞争新优势至关重要。2024年将进入数据基础制度建设密集落地期,数据治理、确权及使用、流通交易、公共数据开发利用、重点行业数据应用等方面有望迎来更多制度支撑,数据要素产业将步入加快发展期。《“数据要素×”三年行动计划(2024—2026年)(征求意见稿)》是国家数据局首个公开发布征集意见的文件,具有标志性和行业指向意义,可以预期,随着“数据要素×”行动的启动,将大幅拓展应用场景的广度和深度,推动数商生态和数据产业的发展,提升数据流通交易的规定。
十五、个人信息保护认证证书
全国首批“个人信息保护认证”证书正式
发出
中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书。首批认证证书的颁发,标志着我国个人信息保护认证实施工作迈出了重要一步。
个人信息保护认证,是依据GB/T35273-2020《信息安全技术 个人信息安全规范》等有关国家标准,证明个人信息处理者在认证范围内开展的个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动符合认证依据标准要求。个人信息保护认证是支撑政府个人信息保护监管的有效手段,也是适应市场经济体制下企业合规发展的需要。
认证实施是对个人信息处理者的个人信息处理活动进行的综合“体检”,对促进个人信息处理者增强个人信息保护管理主体责任意识,及时发现并整改个人信息处理存在的问题,完善个人信息保护管理机制,持续保持个人信息处理符合国家法律法规和标准规范要求,提高产品和服务的市场竞争力等方面具有重要的作用。同时,基于质量认证“传递信任、服务发展”的本质属性,通过认证使个人信息处理者更易于与消费者建立信任关系,便于消费者从获得认证的个人信息处理者中选择安全可靠、放心透明的产品和服务。(来源:中国网络安全审查技术与认证中心  2023年12月15日)
律师点评
2022年11月18日,国家市场监督管理总局、国家互联网信息办公室联合发布《关于实施个人信息保护认证的公告》(以下简称《认证规则》),鼓励个人信息处理者通过认证方式提升个人信息保护能力,指定由中国网络安全审查技术与认证中心(CCRC)开展个人信息保护认证。个人信息保护认证作为跨境提供个人信息的“三条数据出境路径”之一,一直以来备受企业关注。
目前,这是我国个人信息保护领域内唯一的国家级认证。《认证规则》明确:《信息安全技术 个人信息安全规范》(GB/T 35273-2020)和《网络安全标准实践指南—个人信息跨境处理活动安全认证规范V2.0》(以下简称“《跨境认证规范》”)为认证依据。标准合同一般只能适用于双方合同当事人,但个人信息保护认证可能达到涵盖一家境内公司向多家境外公司跨境传输个人信息的效果。若企业的数据跨境体量大且频次高,“个人信息保护认证”的数据出境路径则较为合适,从本次首次获批的企业名单也可看出这个特点。通过获得认证,意味着获得了国家认定机构对企业的个人信息处理活动合规性的认可,有助于企业树立社会形象,更容易得到执法部门和市场的认可。
精选专栏
数据合规及个人信息保护法律前沿周报
为了助力各行业人士及时了解数据合规与个人信息保护领域焦点话题、重要立法及执法动态, 2023年,威科先行携手郑佳律师团队特别推出了【数据合规及个人信息保护法律前沿周报】专栏,本专栏梳理汇总自今年2月以来每周的数据合规与个人信息保护领域法律要闻,并就重要法规及热点事件提供专业评论,为企业数据合规工作提供及时的参考。截止2023年12月末共发布40余期。
该专栏已上线
威科先行丨网络安全合规模块
欢迎扫码二维码,申请试用
作者简介
郑佳律师团队 北京中银律师事务所
郑佳律师 
中银数据合规及个人信息保护部主任、合伙人
第一批最高检等十三家部委“合规不起诉”制度下国家级第三方评估专家、国家知识产权局海外知识产权纠纷指导专家,荣获2021 、2022全球ACE LEGALTECH 十佳女律师、全球金融风险管理师 FRM等;郑佳律师团队成员相继获取了包括关于 GDPR的 EXIN(荷兰国际信息科学考试学会)认证的 DPO(数据保护官)资格、IAPP (国际隐私协会)关于美国隐私政策的 CIPP/US(Certified Information Privacy Professional/US)等课程认证等。
郑佳律师团队对于数据合规领域的国内外监管框架与体系有着深刻且全面的理解,并为国内外众多企业客户提供专项合规服务。目前包括中国、欧盟及美国在内的主要法域,对于数据合规监管框架正在形成,并将呈现出政策快速迭代、法律风险不断出现的局面,因此相应的法律服务团队和专业能力也亟待完善。郑佳律师数据合规法律服务团队将秉承优质、高效的服务宗旨,继续深入理解数据合规对现代商业的全方位影响,致力于在各种不断涌现的风险与挑战中,基于企业运营战略的角度为客户提供该领域的“一站式”法律服务,协助企业构建高效的法务与合规体系以支持企业业务的发展。
邮箱:[email protected]
公众号:律疏郑说
特别声明
以上所刊登的文章仅代表作者本人观点,不代表威科中国出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“威科先行”及作者姓名。未经书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与我们联系。
威科先行丨网络安全合规模块
网络安全合规模块是基于威科先行法律信息库推出的聚焦网络安全、数据合规、个人信息保护领域的一站式信息解决方案。集合概领域法规案例查询、实务问题解决、更新信息接收、智能效率工具,助力企业自信决策,合规经营。
申请试用
威科先行:
网络安全合规模块
长按并识别左侧二维码
WHEN YOU HAVE TO BE RIGHT.
想了解更多关于「威科先行」的产品和信息
欢迎长按下方图片,添加「小威」为微信好友
继续阅读
阅读原文