前 言
在係列文章上一篇“立法篇”中�����,我們介紹了2023年重要的立法活動�,並對2024年的立法活動進行了預測和展望���,本篇我們繼續為您呈現係列文章“監管篇”�,將帶您回顧2023年的重要監管活動���,預測和展望2024年的監管動向。
根據《網絡安全法》《數據安全法》《個人信息保護法》[1]數據三法的頂層設計����,我國數據合規的監管部門主要包括網信部門�,行業主管部門��,公安��、國安���、市場監督管理局等部門�����,縣級以上地方人民政府有關部門����,其構成的監管框架可包括以下三個層次:
1. 網信部門負責統籌協調網絡安全�、數據安全����、個人信息保護相關監管工作��,其執法領域涵蓋範圍最廣��,包括網絡信息內容�、網絡安全�����、數據安全��、個人信息保護四個領域。除統籌協調工作之外��,在實際開展的監管活動方麵����,網絡安全審查�����、數據出境安全評估等數據合規重大事項的審查工作����,以及個人信息出境標準合同備案���、算法備案����、境內區塊鏈服務備案����、應用程序分發平台備案��、汽車數據安全管理情況報送備案等數據合規相關備案及相關監督管理處罰工作均由網信部門負責。[2]
2. 衛生健康���、工業���、電信�����、交通����、金融�����、自然資源�、教育���、科技等行業主管部門�,承擔本行業�����、本領域數據安全���、個人信息保護和監督管理職責。其中�����,工信部以及各地通信管理局(下稱“地方通管局”)在工業和信息化領域的數據合規執法權限����,包括但不限於管理重要數據處理者的定期數據風險評估與報送工作。
3. 公安��、國安����、市場監督管理局在各自職責範圍內承擔網絡安全保護和監督管理工作�、數據安全監管工作��、個人信息保護和監督管理工作。縣級以上地方人民政府有關部門按照國家有關規定承擔本地區的網絡安全保護和監督管理職責����、個人信息保護和監督管理職責。
值得關注的是��,2023年��,根據中共中央��、國務院印發的《黨和國家機構改革方案》��,我國新組建國家數據局��,其負責協調推進數據基礎製度建設����,統籌數據資源整合共享和開發利用����,統籌推進數字中國�、數字經濟�、數字社會規劃和建設等����,為我國數據合規監管體係開創了新局麵。
2023年的數據合規監管活動主要聚焦App治理����、網絡安全審查����、重點行業監管三大板塊���,常規性監管活動持續進行����,整體情況如圖1所示。
圖1 2023年數據合規主要監管活動
一����、App治理監督
2023年中國移動互聯網用戶總規模達到12.27億。工信部數據顯示����,截至2023年10月底��,我國App在架數量達到261萬款。對於App治理�,網信部門與工信部門都主要以通報違法違規App的形式進行���,以下將對網信部門與工信部門的App監管活動分開闡述。
1. App治理執法工作
(1) 網信部門
網信部門作為我國網絡安全��、數據安全與個人信息保護的主管部門及協調統籌部門�����,執法活動種類豐富���,違法違規App的治理也歸屬其監管領域。相較於往年由國家網信辦發布多次App專項治理通報���,今年網信部門鮮少發布App專項治理通報����,且通報工作逐漸由中央轉向地方。一方麵���,國家網信辦不再發布App專項治理通報�����,另一方麵�,地方網信辦發布的違法違規App通報次數也呈下降趨勢�����,例如今年僅浙江網信辦在2023年11月集中通報了156款浙江屬地的違規App。
盡管網信部門對違法違規App的通報次數逐漸減少���,但其對App的違規檢測工作仍在持續進行中。中國網絡空間安全協會作為國家網信辦的下屬單位會持續對各類App的個人信息收集情況進行測試�,並公開測試結果。2023年����,全國網信係統嚴格執行法律法規���,大力查處各類網上違法違規行為��,全年共約談網站10646家����,責令453家網站暫停功能或更新���,下架移動應用程序259款��,關停小程序119款���,會同電信主管部門取消違法網站許可或備案�、關閉違法網站14624家�,督促相關網站平台依法依約關閉違法違規賬號127878個[3]。
以2023年浙江省網信辦對違法違規App的通告為例����,此次浙江省通報依法查處的156款違法違規App�����,存在未公開收集使用規則����、未明示收集使用個人信息的目的方式和範圍��、未經用戶同意收集使用個人信息����、違反必要原則收集等問題。[4]經過我們梳理和分析����,在此次通報的156款App中����,最高頻的問題是未逐一列出App收集使用個人信息的目的���、方式�����、範圍等���,涉及141款App���;第二高頻的問題是App實際收集的個人信息或打開的可收集個人信息權限超出用戶授權範圍����,涉及136款App����,第三高頻的問題是App違反其所聲明的收集使用規則�����,收集����、使用個人信息���,涉及131款App。具體情況如圖2所示。
圖2 2023年浙江網信辦通報App問題分布
(2) 工信部門
工信部門是違規App監管通報的主要監管部門。無論是工信部還是地方通管局��,違規App通報均已形成常態化監管�,通常監管部門每月會發布一批違規App通報。一方麵�����,工信部2023年共計通報9批次違規App(SDK)��,自2022年第一批監管通報開始�,工信部已針對SDK違規收集用戶信息等APP侵害用戶權益的行為開展了專項整治行動�����;另一方麵�,各地地方通管局已形成定期通報App違規的執法常態����,例如�����,浙江省通管局在2023年共計通報12批次違規App�,通報頻率為每月一次。此外���,部分地方例如上海��、廣東等地通報的產品形態還包括微信小程序。
2023年工信部官網通報9批次《關於侵害用戶權益行為的App(SDK)通報》App數量如圖3所示。
圖3 2023年工信部專項整治通報批次
在共計9批次的通報中����,工信部App治理的重點問題分布見圖4。據統計���,在通報的292款App或SDK中��,最高頻的問題是App強製�����、頻繁���、過度索取權限��,涉及147款App��;第二高頻的問題是App違規收集個人信息����,涉及88款App���;第三高頻的問題是欺騙誤導強迫用戶和超範圍收集個人信息��,各涉及56款App。
圖4 2023年工信部通報App(SDK)的問題分布
2. App執法趨勢
根據我們的對比分析(如圖5所示)����,近三年App治理活動呈現以下趨勢:第一�����,自2021年數據合規元年迎來了一批整改����、下架App高峰後����,2022至2023年通報����、整改的App數量呈下降的趨勢。對於工信部而言�����,在專項整治行動中已經連續兩年沒有下架App����,網信辦下架的App數量也大幅減少。對此�����,推測由於數據合規法律體係的構建與完善���、執法部門的密集監管�����、法律教育的宣傳���,使得相關企業的數據合規水平得到一定程度的提高��,減少了App重大違法的情形。第二����,App治理工作已逐步由專項執法行動轉變為常態化管理��,並呈現出精細化���、常態化的監管趨勢。
圖5 近三年工信部官網通報App專項整治行動執法趨勢
3. App備案
2023年8月4日�����,監管部門針對App事前備案做出了進一步的規定��,發布《關於開展移動互聯網應用程序備案工作的通知》(工信部信管〔2023〕105號)��,以規範App�、小程序上線前備案事宜。該通知規定����,境內從事互聯網信息服務的App主辦者應當向其住所所在地省級通信管理局履行備案手續���,由其網絡接入服務提供者�����、App分發平台通過“國家互聯網基礎資源管理係統”��,采取網上提交申請��、查驗審核方式進行。若未備案�����,網絡接入服務提供者�、分發平台�、智能終端生產企業將不再為未履行備案手續的App提供網絡接入�����、分發�、預置等服務。
據相關報道����,2024年4月1日起�����,粵冀鄂蒙等地及支付寶已正式宣布對逾期未履行備案手續的境內存量移動互聯網應用程序(含App�、小程序���、快應用等���,以下簡稱App)�����,將按照《中華人民共和國反電信網絡詐騙法》《互聯網信息服務管理辦法》等法律法規要求���,依法采取下架����、關停等處理措施���,網絡接入服務提供者�����、應用分發平台�、智能終端生產企業應全麵落實“先備案後服務”要求�,不得為未備案App提供網絡接入���、分發���、預置等服務�����,保障互聯網行業規範健康發展�,維護網絡安全和公眾利益。
二�、網絡安全審查
從2017年6月1日開始實施的《網絡產品和服務安全審查辦法(試行)》到2020年6月1日正式施行的《網絡安全審查辦法》���,再到2022年2月15日開始施行的《網絡安全審查辦法》修訂版�����,其間既有《數據安全法》和《關鍵信息基礎設施安全保護條例》等新頒布的上位法自上而下地推動��,也有網絡安全審查主體基於對滴滴出行����、BOSS直聘等企業的具體審查總結經驗而形成地自下而上的完善��,網絡安全審查製度的審查範圍��、審查方式和審查內容在實踐探索中呈現出逐步清晰明確的態勢。在此背景下���,2023年網絡安全審查活動如圖6所示。
圖6 2023年網絡安全審查活動
在2023年的網絡安全審查活動以“美光案”最為典型。2023年5月21日����,國家網信辦網絡安全審查辦公室宣布���,美光公司產品存在較嚴重網絡安全問題隱患��,對我國關鍵信息基礎設施(“CII”)供應鏈造成重大安全風險��,影響我國國家安全�����,依法作出不予通過網絡安全審查的結論�����,國內關鍵信息基礎設施運營者(“CIIO”)應停止采購美光公司產品。
“美光案”的典型之處在於�,第一�����,本案為監管部門首次針對企業產品開展網絡安全審查�����,在此之前網絡安全審查均從實體層麵針對企業審查���;第二��,本案為監管部門首次針對CII供應鏈安全問題主動發起審查���,據此預計CII供應鏈安全問題將成為今後網絡安全執法的重點領域�����;第三��,本案是自新修訂的《網絡安全審查辦法(2021)》生效後第2次公開的實施網絡安全審查的案例����,是主管部門在公開審查案件中第一次明確作出“不予通過”derending。ciwai��,congcicijianguanbumenyizhiquanfaqishenzhadexingweilaikan�,yizhiquanfaqidewangluoanquanshenzhazhijiezhenduirenhekenengyingxiangguojiaanquandechanpinhuofuwu����,bingweimingqueshifouxianyu《網絡安全審查辦法(2021)》第2條所述的CIIO采購網絡產品和服務與網絡平台運營者開展數據處理活動的情形����,具有寬泛性。
三����、重點行業監管
1. 汽車行業
近年來���,得益於我國新能源汽車�、智能網聯汽車產業的蓬勃發展����,我國在汽車行業數據合規方麵出台了一係列的立法��,其中����,《汽車數據安全管理若幹規定(試行)》明確規定�,汽車數據處理者開展重要數據處理活動��,應當向省���、自治區�、直轄市網信部門和有關部門報送年度汽車數據安全管理情況[5]�,以及風險評估報告[6]。
為確保汽車企業落實相關法定要求��,各地監管部門大力開展監管活動��,以北京市的工作為例��,2023年北京市針對汽車行業共有三次監管活動����,均圍繞汽車數據安全管理報送工作展開。具體內容詳見表1。
表1 2023年北京市汽車行業監管活動
2. 金融行業
在金融監管方麵�,2023年����,包括國家金融局在內的金融行業監管部門開出了5張巨額罰單��,每張罰單的罰款金額均超過400萬元�,其中最高罰款金額高達26億3qianwanyuyuan。beichufajinrongjigouzaishujuheguifangmianzhuyaoshejidechufashiyouzaiyuqinhaigerenxinxizhutihefaquanyi�,baokuoweizhengdegerenxinxizhutidezhiqingtongyihuojubeiqitahefaxingjichu���、未按照規定處理個人信息等。此外���,重要信息係統建設不完善���、重大信息安全事故應急響應機製設計不完善等網絡係統安全問題也被監管部門重點關注。具體內容詳見表2。
表2 2023年金融行業巨額罰單
四��、2024年監管動向的展望和預測
基於上述監管動態����,我們對2024年的監管動向作出以下推測:
第一����,在監管主體方麵���,各監管部門的權責範圍將進一步明晰��、監管目標更加精準�,行業監管比重增加�����,監管專業性逐步提升。以網信部門統籌��,各行業主管部門���、工信部門���、公安部門�、國安部門����、市場監管部門等多部門協同配合機製下的監管活動將更加高效。
第二�����,在監管階段方麵�����,將全麵覆蓋“事前”“事中”“事後”各個階段。在此背景下����,企業應關注事前預防的重要性��,盡早開始著手數據合規體係建設�,或對已有的數據合規體係進行查漏補缺。
第三���,在監管方式方麵�,jiangyoumijizhuanxiangtujidexingshizhuanhuaweichangtaihuajingxiguanli。zheyiweizhewoguoshujuheguijianguanyijingxingchengxiangduichengshudejizhi�,butongjianguanbumenduiyutongyishujuheguishixiangdelijiezhengzaizhubutongyi。
第四��,在監管內容方麵��,youyuxingshiheguiyiwufamanzujianguanyaoqiu���,weilaidejianguanhuodongjiangzhongdianguanzhushizhihegui。qiyeyingzhuzhongtishengshujuheguigongzuodezhiliang�����,youyishidijiangxiangguanheguiyaoqiuyuzishendeyewuyangtaiyoujijiehe�����,quebaoxiangguandeheguiyaoqiuzaizishenyunyingguochengzhongbeichongfen���、高效地落實。
以上是本期的全部內容����,我們將於近期推出係列文章的最後一篇“重點問題篇”����,敬請持續關注。
注釋
[1] 《網絡安全法》第八條:國家網信部門負責統籌協調網絡安全工作和相關監督管理工作。國務院電信主管部門��、公安部門和其他有關機關依照本法和有關法律���、行(xing)政(zheng)法(fa)規(gui)的(de)規(gui)定(ding)����,在(zai)各(ge)自(zi)職(zhi)責(ze)範(fan)圍(wei)內(nei)負(fu)責(ze)網(wang)絡(luo)安(an)全(quan)保(bao)護(hu)和(he)監(jian)督(du)管(guan)理(li)工(gong)作(zuo)。縣(xian)級(ji)以(yi)上(shang)地(di)方(fang)人(ren)民(min)政(zheng)府(fu)有(you)關(guan)部(bu)門(men)的(de)網(wang)絡(luo)安(an)全(quan)保(bao)護(hu)和(he)監(jian)督(du)管(guan)理(li)職(zhi)責(ze)����,按(an)照(zhao)國(guo)家(jia)有(you)關(guan)規(gui)定(ding)確(que)定(ding)。
《數據安全法》第六條:各地區���、各部門對本地區���、本部門工作中收集和產生的數據及數據安全負責。
工業���、電信�����、交通�����、金融�、自然資源����、衛生健康�����、教育�����、科技等主管部門承擔本行業����、本領域數據安全監管職責。公安機關�、國家安全機關等依照本法和有關法律�����、行政法規的規定���,在各自職責範圍內承擔數據安全監管職責。國家網信部門依照本法和有關法律��、行政法規的規定����,負責統籌協調網絡數據安全和相關監管工作。
《個人信息保護法》第六十條:國家網信部門負責統籌協調個人信息保護工作和相關監督管理工作。國務院有關部門依照本法和有關法律��、行(xing)政(zheng)法(fa)規(gui)的(de)規(gui)定(ding)�����,在(zai)各(ge)自(zi)職(zhi)責(ze)範(fan)圍(wei)內(nei)負(fu)責(ze)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)和(he)監(jian)督(du)管(guan)理(li)工(gong)作(zuo)。縣(xian)級(ji)以(yi)上(shang)地(di)方(fang)人(ren)民(min)政(zheng)府(fu)有(you)關(guan)部(bu)門(men)的(de)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)和(he)監(jian)督(du)管(guan)理(li)職(zhi)責(ze)�����,按(an)照(zhao)國(guo)家(jia)有(you)關(guan)規(gui)定(ding)確(que)定(ding)。前(qian)兩(liang)款(kuan)規(gui)定(ding)的(de)部(bu)門(men)統(tong)稱(cheng)為(wei)履(lv)行(xing)個(ge)人(ren)信(xin)息(xi)保(bao)護(hu)職(zhi)責(ze)的(de)部(bu)門(men)。
[2] 《互聯網信息服務算法推薦管理規定》第三條規定了�,國家網信部門負責統籌協調全國算法推薦服務治理和相關監督管理工作。國務院電信��、公安�、市shi場chang監jian管guan等deng有you關guan部bu門men依yi據ju各ge自zi職zhi責ze負fu責ze算suan法fa推tui薦jian服fu務wu監jian督du管guan理li工gong作zuo。地di方fang網wang信xin部bu門men負fu責ze統tong籌chou協xie調tiao本ben行xing政zheng區qu域yu內nei的de算suan法fa推tui薦jian服fu務wu治zhi理li和he相xiang關guan監jian督du管guan理li工gong作zuo。地di方fang電dian信xin�����、公安���、市場監管等有關部門依據各自職責負責本行政區域內的算法推薦服務監督管理工作。目前算法備案的網站入口是公安部的網頁。
《區塊鏈信息服務管理規定》第十一條:區qu塊kuai鏈lian信xin息xi服fu務wu提ti供gong者zhe應ying當dang在zai提ti供gong服fu務wu之zhi日ri起qi十shi個ge工gong作zuo日ri內nei通tong過guo國guo家jia互hu聯lian網wang信xin息xi辦ban公gong室shi區qu塊kuai鏈lian信xin息xi服fu務wu備bei案an管guan理li係xi統tong填tian報bao服fu務wu提ti供gong者zhe的de名ming稱cheng���、服務類別����、服務形式�����、應用領域���、服務器地址等信息����,履行備案手續。區塊鏈信息服務提供者變更服務項目��、平台網址等事項的����,應當在變更之日起五個工作日內辦理變更手續。
《移動互聯網應用程序信息服務管理規定(2022)》第十七條:應用程序分發平台應當在上線運營三十日內向所在地省�、自治區����、直轄市網信部門備案。區塊鏈信息服務提供者終止服務的���,應當在終止服務三十個工作日前辦理注銷手續����,並作出妥善安排。
[3] “網信係統持續推進網絡執法查處各類網上違法違規行為”����,網頁鏈接:https://www.cac.gov.cn/2024-01/31/c_1708373600499439.htm
[4] “浙江省網信辦依法集中查處一批侵犯個人信息合法權益的違法違規App通告”����,網頁鏈接:https://mp.weixin.qq.com/s/SfUz8bKII-gzgo8QrSc5mQ
[5] 《汽車數據安全管理若幹規定(試行)》第十三條
[6] 《汽車數據安全管理若幹規定(試行)》第十條
