中國行為法學會網絡與數據法學研究部、中國通信學會網絡空間安全戰略與法律委員會、網絡空間治理與數字經濟法治(長三角)研究基地、浙江大學網絡空間國際治理研究基地發起,聯合上海市法學會互聯網司法研究會、中國政法大學數據法治研究院、北京郵電大學互聯網治理與法律研究中心、南京郵電大學信息產業發展戰略研究院、重慶郵電大學網絡空間安全與信息法學院、華東政法大學數字法治研究院、浙江大學國際戰略與法律研究院、深圳大學創新發展法治研究院、深圳數據交易所等知名高等院校、研究機構和數據交易所,通過對2024年度中國網絡與數據法治領域具有代表性、典型性、開創性和全局性的重要事件進行跟蹤、研究與綜合評估,發布“中國網絡與數據法治領域2024年十大事件”。
《中國網絡法治三十年》發布
2024年是習近平總書記提出網絡強國戰略目標10周年,是中國全功能接入國際互聯網30周年,也是中國網絡法治建設起步30周年。國家網信辦牽頭編撰了《中國網絡法治三十年》,全面展現了中國網絡法治建設成就,總結了中國網絡法治建設經驗,同時也展望了中國網絡法治的未來和前景。
1994年的一根網線,讓中國連通世界,開啟了中國的互聯網時代,也拉開了中國網絡法治建設的序幕。30年來,在推進互聯網發展的同時,我國高度重視網絡法治建設,不斷探索符合我國互聯網發展特點的依法治網之路。網絡法治建設經歷了1994—1999年的起步階段、2000—2011年的加快推進階段和2012年以來的高質量發展階段三個階段。特別是黨的十八大以來,不斷探索將依法治網納入全面依法治國工作布局和網絡強國建設全局,深化網絡法治建設的理念認識,網絡法治建設成就顯著。
目前,我國制定出臺了網絡領域立法150多部,形成了以憲法為根本、以法律法規為依托、以傳統立法為基礎、以網絡專門立法為主干的網絡法律體系,搭建了我國網絡法治的“四梁八柱”,特別是制定了《中華人民共和國網絡安全法》《中華人民共和國電子商務法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡數據安全管理條例》等基礎性法律法規,為構建網絡強國和營造良好數字社會生態提供了堅實的基礎法治保障和基本依循。
國務院公布《網絡數據安全管理條例》
2024年9月30日,《網絡數據安全管理條例》(以下簡稱《條例》)全文正式公布,于2025年1月1日起施行。《條例》是《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》最重要的配套規定,是我國網絡數據安全領域首個行政法規。
《條例》堅持總體國家安全觀,統籌發展和安全,既加強網絡數據安全保護,又鼓勵和促進網絡數據依法合理有效利用。《條例》堅持問題導向,重點聚焦個人信息、重要數據、網絡數據跨境流動等方面的突出問題,有針對性地健全制度措施。同時,《條例》妥善處理了與《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等上位法的關系,對上位法的相關制度規定進行了細化、補充、完善。
《條例》重點細化了《中華人民共和國個人信息保護法》關于告知、同意、個人行使權利等方面的規定,明確了網絡數據處理者基于個人同意處理個人信息的,應當遵守的七項規定,進一步明確了個人信息處理者的義務和責任,明確了行使個人信息查閱、復制、更正、補充、刪除等權利的基本要求,細化了個人信息轉移的具體條件,強調了網絡數據處理者處理1000萬人以上個人信息還應當履行的義務等。
為有效維護國家數據安全,《條例》對重要數據的處理者的網絡數據安全負責人和網絡數據安全管理機構作出了明確的規定。首先,《條例》要求網絡數據安全管理機構應當履行三項網絡數據安全保護責任:一是制定實施網絡數據安全管理制度、操作規程和網絡數據安全事件應急預案;二是定期組織開展網絡數據安全風險監測、風險評估、應急演練、宣傳教育培訓等活動,及時處置網絡數據安全風險和事件;三是受理并處理網絡數據安全投訴、舉報。其次,《條例》提出了網絡數據安全負責人應當具備的基本條件,即應具備網絡數據安全專業知識和相關管理工作經歷,并由網絡數據處理者管理層成員擔任,同時其有權直接向有關主管部門報告網絡數據安全情況。最后,《條例》規定,重要數據的處理者提供、委托處理、共同處理重要數據前,應當進行風險評估,并對風險評估應當重點聚焦的六項內容做出了明確要求。
《條例》首次明確了“重要數據”的內涵,提出了三個“特定”和一個“達到”,即“重要數據”是指特定領域、特定群體、特定區域或者達到一定精度和規模,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。
《促進和規范數據跨境流動規定》公布
2024年3月22日,國家互聯網信息辦公室公布《促進和規范數據跨境流動規定》(以下簡稱《規定》)。《規定》自公布之日起施行。同日,國家互聯網信息辦公室同時發布了《數據出境安全評估申報指南(第二版)》和《個人信息出境標準合同備案指南(第二版)》。
《規定》將“促進”置于“規范”之前,這個先后順序的調整表明,我國在數據跨境流動方面的政策和立法趨勢是促進數據跨境流動,同時在流動中應不斷加以規范。《規定》的出臺對于促進數據的跨境流動和擴大我國高水平對外開放具有重要的意義。
《規定》針對影響數據跨境流動中存在的一些主要問題進行了規范:一是明確了重要數據出境安全評估申報標準,提出未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估;二是明確免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件;三是設立自由貿易試驗區負面清單制度,提出自由貿易試驗區在國家數據分類分級保護制度框架下,可以自行制定區內負面清單;四是調整應當申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證的數據出境活動條件;五是延長數據出境安全評估結果有效期,增加了數據處理者可以申請延長評估結果有效期的規定等。
《規定》在個人信息出境免予申報數據出境安全評估、訂立個人信息出境標準合同和通過個人信息保護認證方面,與此前施行的《數據出境安全評估辦法》《個人信息出境標準合同辦法》相比,不僅擴大了范圍,而且明顯放寬了出境的條件。《規定》明確提出,符合以下四種情形之一,只要不包括重要數據,均可以免予申報數據出境安全評估、訂立個人信息出境標準合同或通過個人信息保護認證:一是為訂立、履行個人作為一方當事人的合同,如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等,確需向境外提供個人信息的情形。二是按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理,確需向境外提供員工個人信息的情形,這里應當注意“依法制定的勞動規章制度和依法簽訂的集體合同”應當同時具備。三是在緊急情況下為保護自然人的生命健康和財產安全,確需向境外提供個人信息的情形,比如中國公民在境外旅游遭到恐怖襲擊等。四是關鍵信息基礎設施運營者以外的數據處理者自當年1月1日起累計向境外提供不滿10萬人個人信息(不含敏感個人信息)的情形。
《規定》最突出的亮點是解決了重要數據出境安全評估申報的困惑,明確提出“未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估”。
反不正當競爭法(修訂草案)提請審議
2024年12月,《反不正當競爭法(修訂草案)》提請十四屆全國人大常委會第十三次會議審議。修訂草案統籌活力和秩序、效率和公平,推動有效市場和有為政府更好結合,合理明確經營者義務,為各類經營者公平參與市場競爭創造良好制度環境。現行反不正當競爭法于1993年公布施行,并于2017年、2019年兩次修改,法律框架和主要制度總體可行。
當前,反不正當競爭法在實踐中面臨一些突出問題,特別是一些平臺經營者利用數據、算法和平臺規則等實施網絡不正當競爭,迫切需要對反不正當競爭法進行有針對性的修改完善。平臺經營者掌握了海量數據,連接大量主體,既是網絡不正當競爭監管的重點對象,也是協同監管的關鍵節點。2024年5月,國家市場監督管理總局發布《網絡反不正當競爭暫行規定》(以下簡稱《規定》),2024年9月1日開始實施。《規定》突出強調了平臺主體責任,督促平臺企業對平臺內的競爭行為加強規范管理,同時對濫用數據算法獲取競爭優勢等問題進行規制。
《規定》的出臺標志著我國在規范網絡市場競爭、維護公平交易環境方面邁出了堅實的一步,也為修訂和完善《中華人民共和國反不正當競爭法》有關網絡市場反不正當競爭的規定奠定了基礎。比如,《規定》明確了網絡不正當競爭行為的認定標準和規制要求,特別是對網絡環境下新型不正當競爭行為的界定和規制,為監管部門提供了明確的執法依據。同時,《規定》強化了平臺責任,要求平臺經營者加強對平臺內競爭行為的規范管理,明確規定了刷單炒信、好評返現等影響用戶選擇行為的處罰措施等,維護了網絡消費者的知情權、選擇權和公平交易權。
《關于加快公共數據資源開發利用的意見》印發
2024年10月9日,中共中央辦公廳和國務院辦公廳發布《關于加快公共數據資源開發利用的意見》(以下簡稱《意見》)。《意見》明確提出,各級黨政機關、企事業單位依法履職或提供公共服務過程中產生的公共數據,是國家重要的基礎性戰略資源。《意見》明確了公共數據資源開發利用的總體要求,確立了深化數據要素配置改革,擴大公共數據資源供給;加強資源管理,規范公共數據授權運營;鼓勵應用創新,推動數據產業健康發展;統籌發展和安全,營造開發利用良好環境,以及強化組織實施等五方面共十七條內容。
《意見》提出了公共數據資源開發利用的“兩步走”目標:第一步是到2025年,公共數據資源開發利用制度規則初步建立,資源供給規模和質量明顯提升,數據產品和服務不斷豐富,重點行業、地區公共數據資源開發利用取得明顯成效,培育一批數據要素型企業,公共數據資源要素作用初步顯現;第二步是到2030年,公共數據資源開發利用制度規則更加成熟,資源開發利用體系全面建成,數據流通使用合規高效,公共數據在賦能實體經濟、擴大消費需求、拓展投資空間、提升治理能力中的要素作用充分發揮。
四部門重拳打擊電信網絡詐騙及其關聯違法犯罪
2024年11月,公安部會同國家發展和改革委員會、工業和信息化部、中國人民銀行聯合發布《電信網絡詐騙及其關聯違法犯罪聯合懲戒辦法》(以下簡稱《辦法》),2024年12月1日正式施行。《辦法》主要是為打擊治理電信網絡詐騙及其關聯違法犯罪建立健全的聯合懲戒制度,共18條,主要包括懲戒原則、懲戒對象、懲戒措施、分級懲戒、懲戒程序、申訴核查等6方面內容。
按照《辦法》規定,具有下列四種行為之一的單位、個人和相關組織者,經設區的市級以上公安機關認定,將被認定為懲戒對象。
1.非法買賣、出租、出借電話卡、物聯網卡、固定電話、電信線路、短信端口、銀行賬戶、支付賬戶、數字人民幣錢包、互聯網賬號等三張(個)以上,或者為上述卡、賬戶、賬號提供實名核驗幫助三張(個)以上的;
2.非法買賣、出租、出借電話卡、物聯網卡、固定電話、電信線路、短信端口、銀行賬戶、支付賬戶、數字人民幣錢包、互聯網賬號等三次以上,或者為上述卡、賬戶、賬號提供實名核驗幫助三次以上的;
3.向三個以上對象非法買賣、出租、出借電話卡、物聯網卡、固定電話、電信線路、短信端口、銀行賬戶、支付賬戶、數字人民幣錢包、互聯網賬號等,或者提供實名核驗幫助的;
4.假冒他人身份或者虛構代理關系開立電話卡、物聯網卡、固定電話、電信線路、短信端口、銀行賬戶、支付賬戶、數字人民幣錢包、互聯網賬號等的。
《辦法》提出,具有前三種情形之一,即使未達到上述數量標準,但造成較大影響確有懲戒必要的,需要報經省級以上公安機關審核認定,也可以列為懲戒對象。
打擊和治理電信網絡詐騙犯罪是一個社會系統工程,建立健全聯合懲戒制度,既要嚴厲懲治電信網絡詐騙及其關聯違法犯罪,又要保護公民的合法權益不受侵害,對于因懲戒認定錯誤給原被懲戒對象造成損害的,應當依法追究相關責任。
國務院審議通過《公共安全視頻圖像信息系統管理條例(草案)》
2024年12月,國務院總理李強主持召開國務院常務會議,會議審議通過了《公共安全視頻圖像信息系統管理條例(草案)》(以下簡稱《管理條例(草案)》)。《管理條例(草案)》指出,要規范公共安全視頻系統建設和使用,更好維護公共安全、保護個人隱私。
《管理條例(草案)》堅持問題導向,兼顧維護公共安全和保護個人隱私、個人信息權益,以“小切口”立法形式,重點規范公共場所建設公共視頻系統、采集視頻圖像信息的行為,進一步明晰各方責任,加強統籌管理、分類監管。
《管理條例(草案)》規定,公共視頻系統收集的個人圖像信息只能用于維護公共安全目的,并應當及時刪除留存期滿、實現處理目的的個人圖像信息。國家機關因履行執法辦案、處置突發事件等法定職責查看、調取視頻圖像信息的,應當依照法律、行政法規規定的權限和程序,并嚴格保密。《管理條例(草案)》規定,視頻圖像信息被依法用于公開傳播時,應當對特定的人臉、機動車號牌等敏感個人信息采取嚴格保護性措施等。
四部門重拳治理網絡平臺算法濫用問題
2024年11月,中央網信辦、工信部、公安部、國家市場監管總局聯合發布《關于開展“清朗·網絡平臺算法典型問題治理”專項行動的通知》(以下簡稱《通知》)。
《通知》主要針對網絡平臺算法濫用典型問題開展為期三個月的專項治理,重點開展六方面的治理工作:一是整治“信息繭房”、誘導沉迷問題:構建防范機制,提升推送多樣性,嚴禁推送同質化內容、違規收集信息等,規范負反饋功能;二是提升榜單透明度:公示熱搜榜單算法原理,完善日志留存,健全違規行為檢測手段,嚴管操縱榜單行為;三是防范侵害新就業形態勞動者權益:嚴防因壓縮配送時間引發系列問題,公示相關算法規則,搭建申訴渠道;四是嚴禁大數據“殺熟”:禁止對相同商品差異化定價,提升優惠促銷透明度,如實說明優惠券相關情況;五是增強算法向上向善服務:優化面向未成年人、老年人的服務,健全社會治理應用,提升生成合成信息檢測能力;六是落實算法安全主體責任:健全審核、安全管理制度與技術措施,開展安全評估。
五部門發布《關于促進企業數據資源開發利用的意見》
2024年12月20日,國家數據局聯合中央網信辦、工業和信息化部、公安部、國務院國資委正式印發《關于促進企業數據資源開發利用的意見》(以下簡稱《意見》)。《意見》明確提出,企業在生產經營過程中形成或合法獲取、持有的數據,是企業發展的重要資源。
《意見》從健全企業數據權益實現機制、培育企業數字化競爭力、賦能產業轉型升級、服務經濟社會高質量發展、營造開放透明可預期的發展環境等五個方面提出了十三項具體措施:一是在健全企業數據權益實現機制方面,提出完善企業數據權益形成機制、完善企業數據權益保護機制和健全企業數據收益分配機制;二是在培育企業數字化競爭力方面,要求提高數據治理能力和促進企業創新發展;三是在賦能產業轉型升級方面,提出推進產業鏈協同創新、支持企業開放數據服務能力和助力中小企業用數創新;四是在服務經濟社會高質量發展方面,強調激發數字經濟發展新動能和促進社會治理和服務模式創新;五是在營造開放透明可預期的發展環境方面,明確了健全數據流通利用服務體系、擴大數據領域高水平開放和提升數據安全合規治理效能。
為保障相關舉措更好落地實施,《意見》明確,加強人才培養,支持以產教融合、實訓基地等方式,培養數據治理、數據分析、數據合規、數據標注、人工智能訓練等方面的技術技能人才。與此同時,要充分發揮政府投資引導作用,推動重點領域數據資源開發利用、可信數據空間建設等。
《銀行保險機構數據安全管理辦法》發布
金融數據具有高價值和高敏感性,金融數據安全與國家安全和金融消費者權益密切相關。近年來,銀行業保險業數字化變革加速演進,新技術、新業態不斷涌現,數據合作共享日益頻繁。與此同時,金融領域面臨的數據安全風險形勢復雜嚴峻,也給金融機構數據安全管理帶來新的挑戰。對此,有必要充分發揮監管的“指揮棒”作用,通過強化政策要求引導銀行保險機構壓實主體責任,完善內部機制,采取有效的管理和技術措施加強數據安全保護,確保客戶信息和金融交易數據的安全。
2024年3月至4月,國家金融監管總局就《銀行保險機構數據安全管理辦法(征求意見稿)》,面向社會公開征求意見。各方反饋的相關合理化意見建議均被采納,未采納的意見主要集中在數據審計周期、監管報送時限等方面。2024年12月27日,國家金融監管總局正式公布《銀行保險機構數據安全管理辦法》(以下簡稱《管理辦法》),自公布之日起施行。《管理辦法》共9章81條,包括總則、數據安全治理、數據分類分級、數據安全管理、數據安全技術保護、個人信息保護、數據安全風險監測與處置、監督管理及附則。
《管理辦法》主要特點包括:一是落實數據安全責任制。明確銀行保險機構黨委(黨組)、董(理)事會對本單位數據安全工作負主體責任,機構主要負責人為數據安全第一責任人,分管數據安全的領導為直接責任人。二是明確數據安全歸口管理部門。要求銀行保險機構指定數據安全歸口管理部門,作為本機構負責數據安全工作的主責部門,承擔制定數據安全管理制度標準、建立維護數據目錄、推動數據分類分級保護、組織開展風險監測、預警及處置等職責。三是將數據安全風險納入全面風險管理體系。要求銀行保險機構明確管理流程,主動評估風險,對數據安全風險進行有效監測,防止數據破壞、泄露、非法利用等安全事件發生。風險管理、內控合規和審計部門定期對數據安全開展審計、監督檢查與評價。四是強化數據安全評估。要求銀行保險機構開展相關數據處理活動時,應事先開展安全評估。根據數據處理目的、性質和范圍,分析數據安全風險和對數據主體權益的影響,評估數據處理的必要性、合規性及防控措施的有效性。五是建立數據安全保護基線。將數據納入網絡安全等級保護,對存放或傳輸敏感級及以上數據的機房、網絡實施重點防護,在數據全生命周期內采取有效訪問控制管理措施,采用安全有效的傳輸方式保障數據的完整性、保密性、可用性。
本文由中國行為法學會學術委員會副主任兼網絡與數據法學研究部主任、中國科協治決策咨詢首席專家、工信部ICT經濟專家委員會委員、上海市法學會互聯網司法研究會副會長、浙江大學網絡空間安全學院雙聘教授、網絡空間治理與數字經濟法治〈長三角〉研究基地主任王春暉教授執筆撰寫