.png)
.png)
.png)
.png)
作者:刘扬
近年以来,作为数字经济时代的产物,数据早已作为新的生产要素融入经济价值的创造过程中,成为驱动经济社会发展的关键力量。我国虽然拥有海量规模的数据和数据应用场景,但却苦于没有解决数据基础性问题而无法将海量数据价值全面开发出来。构建数据基础制度体系,是新时代我国改革开放事业持续向纵深推进的标志性、全局性、战略性举措。而随着《个人信息保护法》、《数据安全法》和《网络安全法》组成的立法“三驾马车”确立,标志着我国数据安全领域基础性法律框架体系构建完成。因此可以认为,2022年是中国数据要素与数据合规发展最为迅速的一年。本文旨在于就2022年年度合规领域重要事件做简单盘点,以期总结过去,展望未来。
01 数据要素重要政策盘点
2022年1月,国务院办公厅印发《要素市场化配置综合改革试点总体方案》提出,要求探索建立数据要素流通规则。完善公共数据开放共享机制。建立健全高效的公共数据共享协调机制,支持打造公共数据基础支撑平台,推进公共数据归集整合、有序流通和共享。建立健全数据流通交易规则。探索“原始数据不出域、数据可用不可见”的交易范式,在保护个人隐私和确保数据安全的前提下,分级分类、分步有序推动部分领域数据流通应用。
2022年2月,新修订的《网络安全审查办法》开始施行,该办法旨在保障网络安全和数据安全,维护国家安全。同时将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。
2022年6月,中央全面深化改革委员会第二十六次会议审议通过了《关于构建数据基础制度更好发挥数据要素作用的意见》。习总书记强调数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。
2022年12月,国务院印发的《关于构建数据基础制度更好发挥数据要素作用的意见》提出,要坚持促进数据合规高效流通使用、赋能实体经济这一主线,充分实现数据要素价值、促进全体人民共享数字经济发展红利的目标。
02 数据相关法律法规盘点
2022年,为促进数据要素发展,数据合规领域相关的法规与标准如井喷般增长,各地方政府均结合自身地域特点,出台了大量规范性文件。
《上海市数据条例》(以下简称“《上海条例》”)于2021年11月25日经市人大常委会表决通过,并于2022年1月1日正式生效。《上海条例》的出台,既是对上位法和中央政策的贯彻落实,也是加快实现超大城市治理体系和治理能力现代化的有力举措,标志着上海迈入了数据驱动创新发展的新阶段,驶向了全面推进城市数字化转型的快车道。同时《上海条例》充分体现上海地方特色,推动上海地方立法与国家赋予的重大改革发展任务有机结合。支持浦东新区先行先试,加快落实经济数字化转型三年行动方案,推动浦东数据产业发展;率先在智能网联汽车、金融科技、工业互联网等领域形成一整套低风险数据目录,推动临港新片区试点低风险领域数据跨境流动。推动长三角协同创新,建设全国一体化算力网络长三角国家枢纽节点,推进数字认证体系、电子证照等在长三角区域互认互通,推动政务服务和城市运行管理实现长三角区域协同。
《深圳经济特区数据条例》(以下简称“《深圳条例》”)同样于2022年起施行。《深圳条例》确立了以“告知—同意”为基础的个人数据处理规则。其中包括处理个人数据具有告知义务,应当在处理前向自然人告知数据处理者的基本信息,处理个人数据的种类、范围、目的和方式,存储个人数据的期限,可能存在的安全风险、采取的安全保护措施,以及自然人依法享有的权利、行使权利的方式等事项。《深圳条例》还强调,不得滥用人脸识别数据,用户有权拒绝数据处理者对其进行个性化推荐。
此外,《浙江省公共数据条例》、《湖南省网络安全和信息化条例》、《山东省大数据发展促进条例》、《福建省大数据发展条例》、《河南省数字经济促进条例》等各地方法规亦相继出台,共同构筑我国数据安全与发展规范体系。
03 国外数据立法前沿动态盘点
数据资产的市场流动和发掘利用正成为推动全球经济增长的重要引擎,数据资源掌握的多寡是国家软实力和竞争力的重要标志。因此不仅需要关注国内越来越明确、完善的数据领域有关规定以及我国本地化的要求,还需要关注其他法域的前沿立法动态与典型案例。
2022年欧盟通过了两项主要立法:《数字市场法案》(DMA)和《数字服务法案》(DSA)。虽然两者都包含隐私条款,但DMA规范了“看门人”技术公司之间的在线竞争,而DSA则制定了内容审核和平台问责制规则。欧盟也在认真制定《人工智能法案》、《数据法案》和《数据治理法案》。剩余的提案已经进行了很长时间的讨论,预计会在2023年最终敲定。
在美国,随着拟议的《数据隐私和保护法案》(ADPPA)的出台,两党全面的联邦隐私立法在美国走在了前列。这一具有里程碑意义的法案为美国消费者提供了隐私权保护和有限的补救措施,同时在全国范围内对公司提出了要求和明确了标准。ADPPA是第一个在美国国会委员会获得通过的联邦隐私提案,但美国众议院拒绝进行表决。悬而未决的问题主要是众议院加利福尼亚代表团反对该法案对《加利福尼亚消费者隐私法》的联邦优先权。在没有联邦隐私立法的情况下,美国州级隐私立法继续推进,各州继续各行其是。康涅狄格州和犹他州通过了全面的隐私立法,加入了加利福尼亚州、科罗拉多州和弗吉尼亚州的行列。上述各州的相关法律在2023年中都将生效。目前,加州隐私保护局已经开始为将于2023年1月1日生效的《加州隐私权法案》制定规则。加州立法机关通过了《加州适龄设计规范法案》,这是一项前所未有的带有隐私要求的儿童在线安全法案。
在亚太地区,印度取消了其拟议的《个人数据保护法案》,取而代之的是修改后的《数字个人数据保护法案》,随着年底的临近,该法案正在进行公众咨询。该法案放弃了数据本地化标准,同时包含了公平、合法和透明、数据最小化、存储限制和问责制等原则;印度尼西亚通过了《个人数据保护法案》,规定了对公民个人数据处理不当的处罚。它还授权总统任命监督机构的成员来执行法律,这是立法过程中的症结所在;日本《 个人信息保护法》(2020年修订版)于2022年4月1日正式生效;泰国第一部综合数据保护法PDPA在2022年6月1日生效。
04 数据合规重要案例盘点
(一)滴滴事件
2022年7月21日,国家互联网信息办公室公布对滴滴全球股份有限公司(以下简称“滴滴公司”)依法作出网络安全审查相关行政处罚的决定,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司人民币80.28亿元罚款。经查明,滴滴公司共存在16项违法事实,如违法收集用户手机相册中的截图信息1196.39万条;过度收集用户剪切板信息、应用列表信息83.23亿条;过度收集乘客人脸识别信息1.07亿条;在乘客使用顺风车服务时频繁索取无关的“电话权限”等。此外,滴滴公司还存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题,给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。
(二)蔚来汽车数据泄露事件
2022年12月,蔚来汽车确认,因服务器配置错误导致百万条用户信息泄露,并遭受225万美元等额比特币的勒索。泄露数据信息包括订单数据、车主身份证、用户地址,甚至车主亲密关系、车主贷款数据等隐私信息。事后,蔚来汽车发布了《关于数据安全事件的声明》,称蔚来官方成立专项小组进行调查与应对,第一时间向有关监管部门报告,并协同有关部门深入调查。
(三)MeTa(原Facebook)罚单不断
最近一年以来,知名社交平台Facebook母公司Meta可谓罚单不断,其中因为数据处理和隐私安全等问题所遭受到的来自各国的罚款就已超过10亿美元。2022年2月,美国加州地方法院何塞分庭宣布了结了一起Meta与4名Facebook用户长达十年数据隐私诉讼,这4名用户指控Facebook在他们退出社交媒体网站后,仍会追踪他们的网络活动,对用户隐私权构成侵犯。根据庭外和解协议,Meta最终同意支付9000万美元的赔偿金,并同意删除在用户不知情的情况下搜集到的所有数据。2022年3月,爱尔兰数据保护委员会再度对Meta开刀,认为Meta在多次大规模个人数据泄露事件中,未能证明其采取了适当的安全应对措施。
作为2022年度数据合规典型案例,从以上事件均可以看出,事件各国不断加强对网络安全、数据安全、个人信息的保护力度,加大网络安全、数据安全、个人信息保护等领域执法力度。
05 结语
数据创造价值的过程才刚刚开始,但这种趋势带来的价值和影响是难以估量的。在理性乐观的角度上,我们会拥有一个愈加高效且生产力倍增的时代。而2023年,趋势告诉我们的是,“宜:享受变化”。
