2024年網絡和數據合規領域立法聚焦安全治理與技術創新平衡�����,核心成果包括《網絡數據安全管理條例》《網絡反不正當競爭暫行規定》《網絡暴力信息治理規定》《工業和信息化領域數據安全合規指引》等法律法規。這些立法以細化監管框架���、回應新型風險為導向����,標誌著我國網絡安全和數據治理體係進入精細化����、場景化階段。
1. 立法回顧
從立法特色來看�����,《網絡數據安全管理條例》(下稱“《網數條例》”)zuoweizhuanmenguifanshujuanquanguanlidexingzhengfagui���,wanshanlewangluoanquanheshujubaohudefalvtixi。congneirongshangxihuaheguiyaoqiudetongshi���,pinghengjianguleshijianchengguoheshiwuxuqiu。tuchuliangdianbaokuo�,xishouciqianxiangguanzhuguanbumensuotuidongde“雙清單”告知實踐��,強化對個人信息主體告知義務的落實��;首次在行政法規層麵明確“重要數據”的定義����,同時引入“可攜帶權”的部分實現規則����,允許用戶以結構化方式遷移個人基礎信息等。關於《網數條例》的其他具體規定���,請參閱《行穩致遠:<網絡數據安全管理條例>下網絡平台服務提供者的角色識別與合規之道》。
《網絡反不正當競爭暫行規定》作為我國首部互聯網領域反不正當競爭的專門立法�����,在網絡專條中對目標跳轉���、惡意幹擾�����、惡意不兼容3種行為進行細化完善。此外�����,還對反向刷單����、惡意屏蔽����、二選一�����、數據抓取���、不合理差別待遇等網絡不正當競爭行為進行了規製。
《網絡暴力信息治理規定》特別指出應建立健全網絡暴力信息特征庫和典型案例樣本庫�,采用人工智能��、大數據等技術手段和人工審核相結合的方式加強對網絡暴力信息的識別檢測。
在針對具體行業的立法上�����,《工業和信息化領域數據安全合規指引》頗具代表性。它聚焦數據處理者在履行數據安全保護義務過程中的難點問題����,從數據分類分級�����、重要數據識別報備��、數據安全管理�、全生命周期保護���、監測預警�����、信息共享��、應急處置����、風險評估���、出境管理����、數據交易等方麵提出了具體要求和實施指導。
以上立法均強調數據安全責任主體化��、技術治理工具化����、場景規製差異化�����,凸顯出立法對重要數據保護����、gerenxinxiquanyishixianyijixinxingjishulanyongfangfandengredianwentidexitongxinghuiying。zailifaqianghuazhidugonggeidebeijingxia�����,guojiaduishujuanquandezhongshiyicongguizegoujianyanshenzhizhifashijian���,shixianle“立法定標���、執法落地”的聯動。
2. 執法回顧
以“清朗”係列專項行動為例����,2024年該專項行動聚焦生成式人工智能內容治理����、涉企侵權信息�、違法信息外鏈�、未成年人網絡保護及算法濫用規製等核心問題。專項行動通過“規範生成合成內容標識”強化人工智能生成信息的可溯源性�,要求平台清理未標識內容並處置違規賬號��;針對涉企亂象���,重點打擊造謠抹黑�、敲詐勒索等七類行為��,推動北京“E企護航”����、上海“清朗浦江”等地方專項落地���;在違法外鏈治理中���,構建跨平台聯動機製���,整治賬號�����、群圈�、直播等8大環節的色情賭博引流問題�����;在未成年人保護方麵��,嚴查“網絡廁所”“人肉開盒”等新型欺淩行為���,對存在突出問題的平台予以從重處罰���;同時�����,專項行動將算法濫用納入治理範疇�����,整治“信息繭房”����、大數據殺熟等問題�����,要求平台優化算法透明度並提升算法安全能力。
3. 趨勢展望
根據2024年的立法及執法情況�,我們理解�����,2025年數據合規領域的立法及執法活動將繼續呈現精細化落地與技術深化治理的雙重特征���,並圍繞人工智能�、數據跨境流動�、行業數據分類分級及重要數據目錄細化��、個人信息保護合規審計��、數據資源入表等方向展開。
2024年����,我國個人信息保護立法重點聚焦個人信息保護合規審計(下稱“個保審計”)規則����, 2025年是個保審計從法律要求邁向實踐落地的元年���,也是檢驗其效能的關鍵窗口期。同時��,2024年個人信息保護執法工作仍以App治理為重要方向。
1. 個人信息保護審計立法回顧
2024年7月12日����,國家標準《數據安全技術 個人信息保護合規審計要求(征求意見稿)》發布���,銜接《個人信息保護法》第54條和第64條關於個保審計的條款和2023年8月3日發布的《個人信息保護合規審計管理辦法(征求意見稿)》�,在審計流程���、審計證據���、審計要點等方麵進行了細化����,從國家標準層麵解決因缺少規範要求和方式步驟而導致個保審計不易開展的問題。具體請參閱《蓄勢待發——〈數據安全技術 個人信息保護合規審計要求(征求意見稿)〉圖解及實務解析》。
2024年9月24日�,《網數條例》發布�,其第27條在行政法規的層麵上再次明確了網絡數據處理者進行個保審計的義務。[1]
2024年11月12日�,國家標準《數據安全技術 個人信息保護合規審計要求》(下稱“《審計要求》”)試點啟動會在京召開��,本次試點工作在互聯網�����、金融��、交通���、醫療�����、電信等重點行業和領域選取了 36 家單位作為標準應用首批試點單位。[2]
2025年2月12日��,經曆了一年半征求意見的《個人信息保護合規審計管理辦法》(下稱“《審計管理辦法》”)正式發布���,我國個保審計製度首次形成了“法律—行政法規—部門規章—國家標準”的四級規範體係。
2. 個人信息保護審計趨勢展望
2025年5月1日《審計管理辦法》將正式實施���,國家標準《審計要求》預計也將於本年發布���,實現配套規則的完善。“重要互聯網平台服務����、用戶數量巨大����、業務類型複雜”是否將延續《網數條例》關於“大型網絡平台”的認定標準�����,有望得到明確。技術工具與規範的推出�、外部專業機構的資質認證等實操問題有待落地與解答。對於企業而言��,我們建議根據《審計管理辦法》提出的定期審計門檻和監管審計觸發情形予以自查�����,完善個人信息保護治理架構�,重點關注高風險場景�,提前布局���,實現從“被動應對”到“主動治理”的轉型。具體請參閱《水到渠成——〈個人信息保護合規審計管理辦法〉落地與應對》。
3. App治理執法回顧
(1) 工業信息化部門
作為工業和信息化領域App治理工作的常態化標準動作���,工業和信息化部(下稱“工信部”)基本每1-2個月發布一批《關於侵害用戶權益行為的APP(SDK)通報》��,2024年全年共發布10批通報��,自活動開展以來已累計發布45批通報。
2024年工信部共發現298款App(SDK)存在侵害用戶權益的行為����,其中居家生活類(地圖��、美食�、家具家居�����、日常服務��、金融等)占比51.3%����,遊戲類占比22.8%。
在通報的10個批次中�����,App(SDK)所涉問題分布如下圖1所示�����,其中最高頻的3個問題為:①強製��、頻繁�、過度索取權限�����;②違規/超範圍收集個人信息�����;③信息窗口亂跳轉。對於SDK�,工信部重點關注使用說明的完整性和信息公示。
圖1 2024年工信部通報違規App(SDK)所涉問題分布
除對侵害用戶權益行為的App(SDK)進行通報外�,工信部還組織建設了App檢測及認證公共服務平台�����,從App開發運營者�����、應用商店���、第三方軟件開發工具(SDK)��、終端廠商����、網絡接入等上下遊企業處壓實主體責任���,組織舉辦App個人信息保護公益培訓宣講係列活動����,搭建互聯網信息服務投訴平台�����,督促企業及時響應用戶訴求。[3]
(2) 網信部門
相較於工信部月度通報的執法形式���,國家互聯網信息辦公室(下稱“國家網信辦”)作為我國網數領域的主管部門及協調統籌部門��,對違規App采取集中查處的治理措施。
2025年2月19日����,國家網信辦查處82款違法違規App(含小程序)��,其中4款App予以下架處置�����;78款App責令限期1個月完成整改��,逾期未完成整改的予以下架處置。[4]處罰依據方麵�����,2019年11月28日發布的《App違法違規收集使用個人信息行為認定方法》仍是網信部門進行App監管的重要指引。
下架App所涉問題主要是隱私政策無法打開和無隱私政策。責令限期整改的App所涉問題集中於用戶賬號注銷功能�,具體包括:①無用戶賬號注銷功能����;②未提供有效的用戶賬號注銷功能�����;③為用戶賬號注銷設置不合理條件����;④用戶賬號注銷承諾時限超出15個工作日��;⑤未在15個工作日內完成用戶賬號注銷��;⑥未在承諾時限內內完成用戶賬號注銷。
據國家網信辦2025年2月25日發布����,網信部門加大網絡安全���、數據安全和個人信息保護等領域執法力度��,2024年全國網信係統依法對11159家網站平台予以約談����,對4046家網站平台實施警告或罰款處罰�����,責令585家網站暫停有關功能或信息更新���,共下架移動應用程序200款���,處置小程序40款。針對部分App未明示個人信息處理規則���、未經同意處理個人信息��、未提供賬號注銷功能等個人信息保護領域違法違規問題���,國家網信辦指導屬地網信辦依法采取責令改正���、警告����、從(cong)嚴(yan)處(chu)理(li)責(ze)任(ren)人(ren)等(deng)處(chu)置(zhi)處(chu)罰(fa)措(cuo)施(shi)。指(zhi)導(dao)屬(shu)地(di)網(wang)信(xin)辦(ban)�,聚(ju)焦(jiao)掃(sao)碼(ma)消(xiao)費(fei)等(deng)與(yu)人(ren)民(min)群(qun)眾(zhong)生(sheng)活(huo)密(mi)切(qie)相(xiang)關(guan)的(de)場(chang)景(jing)���,以(yi)及(ji)人(ren)臉(lian)識(shi)別(bie)濫(lan)用(yong)亂(luan)象(xiang)整(zheng)治(zhi)問(wen)題(ti)�,依(yi)法(fa)查(zha)處(chu)各(ge)類(lei)違(wei)法(fa)違(wei)規(gui)行(xing)為(wei)。針(zhen)對(dui)部(bu)分(fen)具(ju)有(you)輿(yu)論(lun)屬(shu)性(xing)或(huo)動(dong)員(yuan)能(neng)力(li)的(de)App�����、小程序未經安全評估即上線提供生成式人工智能服務問題��,國家網信辦指導屬地網信辦依法采取下架�、下線功能等處置措施。對已完成整改的相關App及時依法複核恢複上架�,推動新技術新應用健康有序發展。[5]
(3) 社會組織
除工信部和國家網信辦外�����,相關社會組織也參與了違規App治理活動。
中國網絡空間安全協會(下稱“網安協會”)作為國家網信辦下屬單位����,組織指導網上購物�、地圖導航��、瀏覽器��、新聞資訊���、在線影音���、電子圖書�、拍攝美化��、雲盤�����、短視頻����、演出票務共10類62款App運營方�,對照《網絡安全法》《個人信息保護法》《常見類型移動互聯網應用程序必要個人信息範圍規定》等法律法規��,重點針對超範圍收集個人信息��、過度調用敏感權限���、權限設置和賬號注銷不便等個人信息收集使用問題完成了合規整改優化。62款App運營方已在應用商店上架合規版本���,並承諾升級版本持續保持合規水平。[6]
國家計算機病毒應急處理中心(下稱“病毒中心”)依據《網絡安全法》《個人信息保護法》《App違法違規收集使用個人信息行為認定方法》等法律法規及相關國家標準要求�����,通過互聯網監測並定期通報存在隱私不合規行為的移動應用。
2024年�,病毒中心共發布7批違規App通報����,涉及92款App。其中��,居家生活類占比48.9%�,遊戲類占比31.5%。在通報的7個批次中���,App所涉問題分布如下圖2所示����,主要包括:①隱私政策告知問題��,例如未逐一列出收集處理目的/方式/範圍�����、難以訪問/未以顯著方式告知��、未聲明App運營者基本情況/隱私政策時效��、無隱私政策等����;②撤回同意問題��,例如未提供便捷撤回同意方式�����、向用戶提供撤回同意的途徑/方式但未在隱私政策中明確����;③處理個人信息的特殊場景�����,例如向第三方提供�����、處理敏感個人信息���、處理未成年人個人信息�;④個人信息主體行權問題��,例如個人信息安全投訴/舉報及承諾受理時限�、更正/刪除個人信息���、注銷賬號功能等��;⑤自動化決策��、權限索取����、自啟動/關聯啟動等。
2024年�,隨著《促進和規範數據跨境流動規定》及相關配套文件的落地�����,我國數據出境規則的體係基本定型���,我國數據出境規則和監管方式迎來了新局麵。
1. 立法回顧
2024 年3 月22 日�����,國家網信辦正式發布並實施《促進和規範數據跨境流動規定》。《促進和規範數據跨境流動規定》主要包括以下內容:①符合規定情形的重要數據出境需要經過安全評估����;②不包含個人信息或者重要數據的數據出境豁免�����;③部分個人信息出境場景下的合規路徑豁免����;④自貿區特別立法權與負麵清單製度��;⑤細化數據出境安全評估和個人信息出境標準合同及認證製度。同時�����,網信辦配套出台了《數據出境安全評估申報指南(第二版)》以及《個人信息出境標準合同備案指南(第二版)》����,對申報數據出境安全評估����、備案個人信息出境標準合同的方式�、liuchenghecailiaodengjutiyaoqiuzuochuleshuoming��,duishujuchulizhexuyaotijiaodexiangguancailiaojinxingleyouhuajianhua。zici�,woguoshujukuajingliudongjinruzhenggui。jutiqingcanyue《天工人巧日爭新——<促進和規範數據跨境流動規定>評析》。
2024年3月�,國務院辦公廳發布《紮實推進高水平對外開放更大力度吸引和利用外資行動方案》��,在規範數據跨境安全管理的前提下����,支持外商投資企業與總部數據流動�����,探索建立跨境數據流動“白名單”製度���,確立粵港澳大灣區數據轉移標準�����,推動國內規則與國際高標準規則對接。
2024年9月���,國務院頒布《網數條例》���,確定並重申了數據出境的原則性規定以及《促進和規範數據跨境流動規定》中確立的數據出境管理的總體規則����,同時將我國目前正在和已經加入的雙邊����、多邊協定中數據跨境條款的適用納入了考慮。
2025年1月��,國家網信辦發布《個人信息出境個人信息保護認證辦法(征求意見稿)》�,從規章層麵彌補開展個人信息保護認證的規定空白。
在前述立法背景下��,許多地方開始積極推進���、完善數據跨境活動合規的製度構建:
粵港澳大灣區方麵�����,繼2023年6月國家網信辦與香港特區政府創新科技及工業局簽署《關於促進粵港澳大灣區數據跨境流動的合作備忘錄》並在同年12月發布《粵港澳大灣區(內地��、香港)個人信息跨境流動標準合同實施指引》後����,2024年9 月����,國家網信辦與澳門特別行政區政府經濟財政司簽署《關於促進粵港澳大灣區數據跨境流動的合作備忘錄》��,並發布《粵港澳大灣區(內地��、澳門)個人信息跨境流動標準合同實施指引》����,旨在推動數據要素安全有序流通�����,促進數字經濟的發展����,加強內地與香港�、澳門的數據跨境流動。2024年11月�����,全國網絡安全標準化技術委員會秘書處發布《關於發布<網絡安全標準實踐指南——粵港澳大灣區(內地��、香港)個人信息跨境處理保護要求>的通知》���,進一步完善了大灣區內地與香港地區之間的個人信息跨境處理活動。
內地自貿區方麵���,上海�、天津����、北京分別出台《中國(上海)自由貿易試驗區臨港新片區數據跨境流動分類分級管理辦法(試行)》《中國(北京)自由貿易試驗區數據出境負麵管理辦法(試行)》及數據出境一般清單或負麵清單��,對自貿區企業的數據出境實踐進行合規指引。
此外�,針對數據跨境流動的國際合作問題����,國家網信辦於2024年11月發布《全球數據跨境流動合作倡議》。雖然僅為倡導性文件���,但是其仍然表達了我國對於在全球範圍內開展數據跨境流動�����、加快全球產業數字化轉型的強烈意願。
2. 執法回顧
2024年8月�����,廣州互聯網法院公布我國首例“個人信息跨境糾紛案”。法fa院yuan以yi被bei告gao公gong司si基ji於yu商shang業ye營ying銷xiao目mu的de�����,向xiang位wei於yu境jing外wai第di三san方fang公gong司si傳chuan輸shu處chu理li相xiang關guan個ge人ren信xin息xi����,該gai處chu理li行xing為wei及ji其qi處chu理li目mu的de超chao出chu履lv行xing合he同tong必bi需xu����,也ye未wei向xiang原yuan告gao充chong分fen告gao知zhi並bing取qu得de其qi單dan獨du同tong意yi�����,屬shu於yu違wei法fa處chu理li行xing為wei�����,侵qin害hai了le原yuan告gao的de個ge人ren信xin息xi權quan益yi�,應ying當dang承cheng擔dan民min事shi侵qin權quan責ze任ren。該gai案an司si法fa觀guan點dian與yu此ci前qian行xing政zheng監jian管guan領ling域yu的de意yi見jian相xiang契qi合he���,也ye為wei企qi業ye開kai展zhan個ge人ren信xin息xi跨kua境jing傳chuan輸shu工gong作zuo提ti供gong了le較jiao為wei明ming確que的de參can考kao標biao準zhun。
3. 趨勢展望
結合2024年的立法和司法�����、執法動向�����,2025年中國數據出境將朝著更加規範化���、精細化�、國際化的方向發展���,在保障數據安全的前提下�,推動數據有序流動。
數shu據ju出chu境jing立li法fa方fang麵mian���,重zhong要yao行xing業ye主zhu管guan部bu門men可ke能neng將jiang繼ji續xu發fa布bu本ben行xing業ye的de數shu據ju分fen級ji分fen類lei及ji重zhong要yao數shu據ju識shi別bie相xiang關guan指zhi導dao文wen件jian����,為wei涉she重zhong要yao數shu據ju企qi業ye的de數shu據ju出chu境jing申shen報bao提ti供gong明ming確que依yi據ju�����;個人信息出境方麵���,《個人信息出境個人信息保護認證辦法》有望在2025年正式出台����,為個人信息處理者開展個人信息保護認證和個人信息出境活動提供更精確�、可行的指引�����;地方數據出境監管細則也將逐步完善��,預計會出現更多地方性數據出境試點項目�����,探索數據跨境流動的創新模式。
數(shu)據(ju)出(chu)境(jing)監(jian)管(guan)方(fang)麵(mian)��,監(jian)管(guan)部(bu)門(men)將(jiang)繼(ji)續(xu)加(jia)強(qiang)對(dui)數(shu)據(ju)出(chu)境(jing)的(de)監(jian)管(guan)力(li)度(du)����,建(jian)立(li)更(geng)加(jia)完(wan)善(shan)的(de)數(shu)據(ju)出(chu)境(jing)監(jian)測(ce)預(yu)警(jing)機(ji)製(zhi)�����,加(jia)強(qiang)對(dui)數(shu)據(ju)出(chu)境(jing)活(huo)動(dong)的(de)日(ri)常(chang)監(jian)管(guan)和(he)風(feng)險(xian)評(ping)估(gu)。
zaiguojihezuoyuhurenjizhishang�����,womenlijieguojiahuijixujijicanyushujukuajingliudongguojiguizedezhiding�����,tuidongyuqitaguojiahediqudeshujukuajingliudonghezuo��,tansuojianlishujuchujingbaimingdanjizhi���、數據跨境流動認證互認機製等�����,為企業提供更加便利的數據出境環境。
