1、2024年网络安全与数据合规回顾与展望前百2024年,是习近平总书记提出网络强国战略目标与总体国家安全观的10周年,也是我国全功能接入国际互联网30周年。在世界百年变局加速演进的当下,随着数字化、网络化、智能化的深入发展,网络运行与数据处理活动愈发频繁,网络安全威胁和数据安全风险也日益突出。与此同时,国家安全的内涵和外延在时空领域不断拓展,违法处理网络数据的行为时有发生,给中国数字经济的稳步发展和国家安全保护带来了严峻挑战。回顾2024年的网络安全与数据合规实践,我国互联网事业快速发展,网络空间治理框架的落地工作扎实推进。促进和规范数据跨境流动规定与网络数据安全管理条例等法律规范的先后出台,总
2、结了中华人民共和国数据安全法(下称“数据安全法”)、中华人民共和国个人信息保护法(下称“个人信息保护法”)及数据出境安全评估办法等相关规范施行以来的监管实践经验。这些法规妥善处理了与数据安全法个人信息保护法等上位法的关系,聚焦个人信息、重要数据、数据跨境流动等突出问题,对相关制度规定进行了细化、补充和完善。它们为通过数据保护促进数字经济发展的路径提供了更为明确的指导方向,旨在保障国家安全、网络安全与数据安全的前提下,充分释放数据要素的价值,为我国数字经济的高质量发展提供制度保障和实施路径,推动我国网络法治建设迈向新台阶。与此同时,新一轮科技革命和产业变革方兴未艾,全球互联网治理体系也在发生深刻
3、变革。网络和信息安全关乎国家安全和社会稳定,已成为大国博弈的重要领域,这对我国网络法治建设提出了新的更高要求。正所谓“鉴往事,知来者”,本文旨在回顾2024年网络安全与数据合规领域的重大进展与变化趋势,并展望2025年网络安全与数据合规建设的蓝图,以期为网络强国、数字中国的建设保驾护航,助力其乘风破浪、行稳致远,共同开创数字经济发展的新局面。1、网络安全:立法、执法与实践并行推进2024年是中华人民共和国网络安全法(下称“网络安全法”)实施的第七年,也是我国网络安全合规立法和执法持续深化的一年。在全球范围内,随着欧洲和美国等国家和地区不断建立并完善网络安全立法,网络安全仍然是企业需要高度关注的
4、关键领域。在此背景下,2024年中国围绕网络安全的立法、执法和专项治理持续发力,不仅巩固了法律框架,亦持续推动行业实践的合规化和标准化。1 .网络安全立法持续完善(1)网络数据安全管理条例的深化网络数据安全管理条例作为网络安全合规的关键法规,其已在2025年1月1日起正式实施,进一步明确了企业在漏洞管理和安全事件处理中的责任,这些具体要求强化了企业的网络安全保护责任,特别是在事件响应和风险管理方面提供了法律依据。具体内容可参考“新火试新茶,诗酒趁年华”一一新形势下的网络数据安全管理条例解读。(2)行业领域立法的细化2024年,不同行业结合自身行业特点,加强了专项网络安全立法工作,进一步细化了行
5、业网络安全保护要求:交通运输领域:交通运输部发布铁路关键信息基础设施安全保护管理办法,重点针对铁路系统的关键信息基础设施明确安全责任主体和保护措施,为交通领域的网络安全保护提供了操作性规范;商用密码管理:国家密码管理局发布关键信息基础设施商用密码使用管理规定(征求意见稿),旨在推动商用密码技术在关键信息基础设施中的应用,提升基础设施的安全性;电力行业:国家能源局制定并颁布了电力网络安全事件应急预案,其正式施行细化了电力网络安全事件的预警、应急响应和事后恢复流程,确保电力系统的网络安全和稳定运行。2 .网络安全执法范围及力度持续扩大2024年,网络安全执法常态化趋势愈发明显,各级及各地区监管部门
6、持续加大对网络安全违法行为的处罚力度,重点覆盖金融、信息通信和地方企业等领域。在行业监管方面,以金融行业为例,国家金融监督管理总局及其地方监管局针对金融机构持续发布信息安全相关行政处罚信息,违法违规事实主要涉及以下问题:部分重要信息系统识别不全面、灾备建设和灾难恢复能力不符合监管要求;信息系统漏洞未及时修复,造成潜在风险;信息安全管理存在不足等。罚单的密集发布传递出强烈信号,金融行业作为高风险领域,需加大网络安全投入,确保合规管理。在地方执法方面,地方网安部门同样不断加强对企业不履行网络安全义务的处罚力度。例如,内蒙古公安机关网安部门通报7起不履行网络安全保护义务的案例,切实压紧压实网络运营者
7、的主体责任,对未建立管理制度、不履行网络信息安全管理义务的多家违法企业依法给予行政处罚,涉及拒不履行网络安全保护义务,对外提供网络安全产品服务存在高危钓鱼漏洞等问题;上海通信管理局成立专项工作组,由网络安全管理处负责牵头,通过听取汇报、查阅台账、交流提问等方式开展2024年云服务安全专项治理工作,重点检查企业网络运行及云服务安全制度建设落实、风险隐患清单管理、平台监控及系统冗余保护能力建设、运行事故应急演练等方面工作情况,并对企业现场提交材料中发现的问题反馈改进要求,进一步夯实云服务稳定安全运行的工作基础,切实提升企业云服务安全稳定运行总体水平。23 .未来网络安全立法展望2024年5月,全国
8、人大常委会公布年度立法工作计划,其中网络安全法的修订计划已正式提上初次审议日程。这表明中国网络安全立法将进入新一轮优化阶段,基于2022年发布的修订征求意见稿,我们理解,除了理顺违反网络运行安全等规定的法律责任外,未来修订也可能将进一步聚焦以下领域:应对新兴技术安全风险:包括人工智能、大数据、区块链、物联网等技术相关的安全隐患;细化网络安全事件报告机制的规定,并与网络数据安全管理条例及后续拟出台的网络安全事件报告管理办法进一步衔接;强化关键信息基础设施保护:包括但不限于进一步细化关键信息基础设施保护要求、对于关键信息基础设施风险的动态评估机制以及关键信息基础设施相关供应链管理要求。2、数据安全
9、地方专项行动与行业规范多维演进随着数字化技术的快速发展,数据安全与国家安全的紧密联系愈发凸显。2024年,中国数据安全领域的法律法规持续完善,监管力度全面升级。以国家安全部通报的境外企业以“汽车智驾”为名实施的非法测绘事件为例,国家安全风险再度成为社会关注焦点。该事件表明,境外企业利用高科技手段窃取数据的行为,不仅严重威胁相关产业发展,更直接危及国家安全。在这一背景下,地方通信管理局通过“浦江护航”“江淮护航”等专项行动,加强对重点行业领域的数据安全监管,并相继推动各行业数据安全立法进程。1 .数据安全领域总体立法动态(1)网络数据安全管理条例修订,聚焦重要数据保护规则网络数据安全管理条例在
10、继承数据分类分级保护制度等原则性要求的基础上,充分发挥行政法规的灵活性和创新空间,对重要数据安全管理从重要数据识别、重要数据安全管理的组织责任、重要数据处理风险评估等维度进行了细致化的规定。具体内容可参考“新火试新茶,诗酒趁年华”一一新形势下的网络数据安全管理条例解读。(2)国家标准数据安全技术数据分类分级规则的发布数据分类分级作为企业数据管理的核心环节,贯穿企业内部数据全生命周期管控的各个环节。它不仅是企业开展数据安全与合规工作的关键基础,更是保障数据资产安全与高效利用的重要手段。长期以来,如何实现合规且有效的数据分类分级一直是企业高度关注的热点话题。此次相关标准的发布,为企业在数据分类与分
11、级提供了整体框架及考虑要素建议,填补了此前的空白。同时,该标准也为整个行业的数据分类分级流程提供了重要指导,有助于规范企业的数据管理流程,提升数据治理水平。止匕外,它还将推动跨行业数据安全管理实践的统一,促进了不同行业领域之间的数据共享与协同,为数字经济的健康发展奠定了重要基础。2 .重点行业数据安全立法及监管动态(1)汽车行业随着智能网联汽车的发展,汽车行业的数据安全风险受到高度关注。2024年,围绕汽车数据的合规监管呈现以下特点:专项行动与实践指南指导行业合规实践:以上海“铸盾车联”为代表的专项行动开展,有效规制了汽车行业非法数据采集行为。针对车外画面的局部轮廓化处理,全国网络安全标准化技
12、术委员会发布了实践指南,为数据脱敏技术提供可操作性指导。行业政策文件与法律规范密集出台:关于加强智能网联汽车有关测绘地理信息安全管理的通知进一步明确了对智能网联汽车有关测绘地理信息的安全管理标准,对于企业测绘实践中常出现的问题进行了澄清与回应;对外提供涉密测绘成果管理办法则进一步明确设计测绘成果范围、分级审批审理机制,以及申请条件等内容,以确保满足新形势下对外提供涉密测绘成果管理工作的需要;关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知(征求意见稿)则进一步对组合驾驶辅助准入与召回管理以及汽车软件在线升级协同管理等环节要求进行强化。国家标准发布引导数据安全技术保护落地:三项强制性
13、国家标准汽车整车信息安全技术要求(GB444952024)、汽车软件升级通用技术要求(GB444962024)以及智能网联汽车自动驾驶数据记录系统(GB444972024)的正式实施,对于汽车行业的数据安全技术要求提供了重要细化指导。(2)金融行业金融数据因其高敏感度一直是数据安全监管的重点,银行保险机构数据安全管理办法的发布生效进一步强化银行保险机构对于数据风险的防控要求,对数据全生命周期的管理提出明确要求,关于这部分的具体内容可参考江春入旧年一一银行保险机构数据安全管理办法解读;而中国人民银行发布修改中国人民银行关于进一步加强征信信息安全管理的通知有关公告(征求意见稿),则回应了各界长期以
14、来对于征信信息收集、使用和存储合规性要求的密切关注。(3)工业和信息化领域作为数字化转型的核心领域,工业与信息化行业在数据安全立法方面迈出重要步伐。工信部2024年发布了两项试行文件,以期完善工业数据的安全保护体系,数据安全风险管理逐步制度化。工业和信息化领域数据安全风险评估实施细则(试行):提供了系统的风险评估流程与技术指导,帮助企业识别和防范数据安全隐患;工业和信息化领域数据安全事件应急预案(试行):建立了从事件预警到处置的完整应急机制,提高了数据安全事件响应的规范性和效率。(4)其他行业除了上述行业外,自然资源、民航、会计、邮政等行业也均在数据安全方面出台如下行业立法,有效贯彻落实数据安
15、全法所确立的“统筹领导+分业监管”的治理思路,建议各企业在后续的数据安全管理工作中,充分关注并重视行业立法以及场景合规指引、试点案例等行政指导活动,其将为中国境内企业数据安全自查自改提供精细化、场景化的合规指引。行业2024MS金立法工作(分外)自然资源自然责源接域数据安金首理办法:朗了责不数据的分级分类管理机制并强化了对数据传输和使用的合屈性要求.邮政寄谨务用户个人信息安全曾办法(破求见):旨在有效规范了寄递企业在收SL存儡和使用用户信息过程中的合规要求,降低用户敢案泄风岭.国航“民航数喜康办法(征求见)IQ民航售共享办法(破求见IB):分9Rt时散揖收.M9.访问攫出更高安全惊准.这笠文件
16、旨民航欣气的全生命周期皆理.其在采集.共享与使用环节中的安全性IO合法性.#1+今计eH所IMI安叁行O法:有效海动行业IlMI对它户InR的保护,Bl升会计行业IuS安全保妒的技术与建水平,推动行业合Ie化运ft.3 .数据安全监管的趋势与未来展望由此观之,在过去的一年中,我国数据安全领域的立法和监管持续升级,主要呈现以下趋势:监管范围扩大,覆盖多行业、多场景:从汽车、金融、自然资源到民航等多个行业,数据安全立法已全面渗透到经济社会的各个领域;技术与管理并重:以国家标准和实践指南为引领,推动数据分类分级与技术实践的深度结合。未来,随着技术的不断进步和数据形态的日益复杂化,数据安全立法将进一步
17、完善,为数字经济的高质量发展提供更加坚实的法律保障。这一趋势不仅符合数字经济快速发展的需求,也是应对数据安全、数据权属、数据流动失序等新兴挑战的必然要求。与此同时,企业在数据安全治理中也肩负着重要责任。企业需要强化合规意识,主动构建全面的数据安全管理体系,以适应日益严格的监管环境。这不仅包括完善内部数据管理流程、采用加密技术、访问控制等手段,还涉及加强员工的安全培训,提升全员的数据安全意识。通过这些措施,企业可以更好地应对数据安全风险,确保在数字经济时代的可持续发展。3、个人信息保护:法规标准持续出台,监管呈现精细化态势2024年中国在个人信息保护立法、执法、司法领域均取得了显著进展,整体监管
18、呈现出精细化、更具针对性的趋势,重点着眼于敏感个人信息保护、个人信息主体权利响应、个人信息处理合法性等方面,上述趋势不仅体现在立法层面,更在司法和执法实践中得到充分呈现。L个人信息保护细则相继出台(1)个人信息保护的“主体责任”2024年,网络数据安全管理条例的发布成为个人信息保护领域的重要事件。网络数据安全管理条例首次从行政法规层级补充了法律位阶空缺,进一步细化了数据安全法和个人信息保护法的相关规定,提供了相对落地但又具备足够灵活性的网络数据安全管理框架。在一般规定的基础上,以个人信息保护和重要数据安全两方面为切入点,对网络数据处理活动提出具体要求,并为网络数据处理者处理个人信息保护提供了更
19、具体的法律指引。需要重点关注的是,除了一般个人信息保护义务外,网络数据安全管理条例特别强调了网络数据处理者在个人信息保护方面的主体责任,例如,定期就其处理个人信息合法合规情况开展合规审计,境外网络数据处理者处理境内自然人个人信息的,就其专门机构或指定代表的名称、姓名及联系方式等进行报送。止匕外,网络数据安全管理条例还明确了“大型网络平台”的定义,要求网络平台服务提供者在一般网络数据处理者基础上另行承担特殊主体责任,承接此前未成年人网络保护条例等法规中“网络平台服务提供者”的规制路径,其对网络平台服务提供者(特别是其中的大型网络平台服务提供者)提出了特定的网络数据安全保护义务,例如,要求大型网络
20、平台服务提供者每年度发布个人信息保护社会责任报告,聚焦个人信息保护措施和成效、个人信息权利响应状况、个人信息保护监督机构的履职情况等。(2)个人信息保护合规审计2024年7月,数据安全技术个人信息保护合规审计要求(征求意见稿)发布,标志着个人信息保护合规审计制度的逐步完善。该文件结合2023年8月发布的个人信息保护合规审计管理办法(征求意见稿),进一步明确了个人信息保护合规审计的具体要求和流程。其后,数据安全技术个人信息保护合规审计要求的首批试点工作在全国范围内的36家单位启动,主要针对互联网、金融、交通、医疗、电信等重点行业和领域,3推动企业建立完善的个人信息保护管理体系,以形成个人信息保护
21、合规审计典型案例,为个人信息保护合规审计的推广应用积累实践经验。(3)敏感个人信息的识别与保护网络安全标准实践指南一一敏感个人信息识别指南(下称“指南”)于2024年9月发布,旨在为识别和保护敏感个人信息提供明确指导。此前,2021年施行的个人信息保护法对敏感个人信息进行了定义,但未就敏感个人信息的识别给出具体的规则,亦未就敏感个人信息字段进行穷尽式举例,指南给出了敏感个人信息的识别规则和常见类别示例,并强调了在不同处理场景下对个人信息的分类管理。值得注意的是,指南回应了实务中敏感个人信息识别的一系列争议。例如,此前敏感个人信息的识别主要参考信息安全技术个人信息安全规范(GB/T35273-2
22、020),其中将“身份证”作为敏感个人信息举例,但此次指南中明确规定了“身份证照片”为敏感个人信息,不再笼统地将“身份证”字段作为敏感个人信息的示例。目前这一调整引发了广泛讨论,对此,我们理解,这一修改并未完全否认身份证号作为敏感个人信息的认定逻辑,但旨在将身份证上的“性别”等字段区别于“身份证照片”字段进行认定。上述示例充分彰显了敏感个人信息识别的关键在于相关字段泄露或非法使用对人格尊严、人身安全与财产安全的影响程度。(4)个人信息权利响应机制或将逐步落地在个人信息保护法原则上确立个人信息转移权的基础上,网络数据安全管理条例首次从立法的角度明确了“个人信息可携带权”的具体响应规则,例如在总结
23、归纳司法裁判实践经验的基础上明确增加了“转移个人信息具备技术可行性”的适用条件,使得数据可携权在我国具有了实践可执行性。止匕外,数据安全技术基于个人请求的个人信息转移要求(征求意见稿)发布并公开征求意见,旨在进一步标准化了个人信息主体的权利行使方式与个人信息处理者的相应要求。具体而言,该征求意见稿规定了基于个人信息主体请求转移其个人信息的适用和行使条件、可请求转移的个人信息范围,以及个人信息处理者在处理前述请求时应遵守的流程和要求。对此,我们建议企业密切关注后续数据安全技术基于个人请求的个人信息转移要求的正式出台,其将为个人信息保护法与网络数据安全管理条例中个人信息转移权的实现提供更明确可行的
24、落地标准。2 .个人信息保护司法裁判:典型案例发布个人信息保护法实施三周年之际,最高院司法案例研究院、北京互联网法院等先后发布侵犯公民个人信息犯罪典型案件、个人信息保护及数据纠纷典型案例。就刑事案例而言,最高院司法案例研究院发布人民法院案例库中侵犯公民个人信息罪相关案例裁判要旨汇总,包含两件指导性案例及十六件参考案例,案例涵盖了个人信息的多种类型和处理场景,界定了非法获取、出售、利用个人信息的法律边界。裁判要点主要涉及居民身份证信息作为多种个人信息组合的认定,通过购买、收受、交换等方式获取在一定范围内已公开的公民个人信息进行非法利用情形的认定等。前述案例汇总文件旨在为司法实践中处理个人信息保护
25、相关刑事案件提供明确的指导和参考,进一步明确了侵犯公民个人信息罪的认定与适用标准。而就民事纠纷而言,案由主要包括个人信息保护纠纷、隐私权纠纷、人格权纠纷、侵权责任纠纷等,数字时代面临个人信息保护与数据合理利用的新问题、新挑战,北京互联网法院所发布的八起典型案例则旨在合理划定个人信息保护与数据合理利用的边界,促进数据要素市场良性发展。具体可参见我们此前的文章:北京互联网法院个人信息及数据纠纷典型案例解读。3 .个人信息保护执法常态化2024年,个人信息保护领域的执法力度持续加强,在地域层面形成了从国家到地方的常态化监管态势;止匕外,执法行动不仅持续覆盖APP治理等要点,还深入到金融、医疗等重点行
26、业领域,以及停车、餐饮、商超等消费场景,呈现更全面、深入的个人信息权益保障趋势。(1) APP执法持续开展APP作为个人信息处理的重要载体,一直以来是我国个人信息保护监管的重点对象。过去一年内,有关部门通过日常通报、专项检查等方式,持续加强对APP的执法力度。从全国APP执法角度来看,自2019年起,工业和信息化部持续开展APP侵害用户权益专项整治工作,2024年该专项继续推进,工信部建成全国APP检测及认证公共服务平台,累计通报了9批次侵害用户权益的APP(SDK),全年责令整改和通报下架的APP数量超过5200款,2024年在架APP抽检合格率同比提升5个百分点。4常态化开展APP检测,涉
27、及违规收集个人信息、强制用户使用定向推送功能等现象,并着力整治弹窗关不掉、“摇一摇”乱跳转等突出问题。上述整治工作在保护用户个人信息安全、规范APP市场秩序方面取得了显著成效。而在地方监管层面,2024年7月,上海市网信办对属地21款APP的个人信息收集使用情况开展了专项检查。该检查聚焦于APP在用户注册、使用过程中的个人信息收集行为,重点检查是否存在超范围收集、强制授权等问题。通过专项检查,上海市网信办督促相关APP运营者及时整改,有效遏制了违法违规收集处理个人信息行为的发生。除却上述国家及地方层面的监管部门外,网络安全领域的全国性社会团体也在2024年参与组织开展了APP治理工作。例如,中
28、国网络空间安全协会组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务等共10类APP运营方,针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。截至2024年9月10日,共62款APP运营方已在应用商店上架合规版本,并承诺升级版本持续保持合规水平。5此外,国家计算机网络应急技术处理协调中心(CNCERT)与中国网络空间安全协会早在2021年就共同建立了APP收集使用个人信息监测平台、APP举报受理平台,并形成了关于APP收集使用个人信息情况的监测分析报告,对广大APP运营者以及应用商店、智能终
29、端等平台积极落实主体责任、提升个人信息保护水平起到参考监督作用,对社会公众提高个人信息安全意识起到宣传促进作用。(2)行业执法尝试取得成效行业执法的尝试在2024年亦取得了一定成效,相关监管机构针对金融、医疗等重点行业开展了专项整治行动。2024年3月,金融监管总局办公厅下发关于银行保险机构侵害个人信息权益乱象专项整治发现主要问题的通报(下称“通报”),通报指出,银行和保险机构在个人信息保护方面存在的突出问题,如未经授权收集个人信息、信息泄露等。此次专项整治行动以银行保险机构自查为主,监管部门适时开展抽查和督导,全面覆盖与消费者个人信息处理相关的业务环节、员工行为和管理流程,金融监管总局要求各
30、银行保险机构对发现的问题逐一建档,确保整改和问责到位。此类专项行动不仅针对违规机构展开处理并敦促整改,且有助于推动各金融机构开展自我合规,进一步完善内部管理制度,加强个人信息保护。2024年,作为省内消费领域个人信息权益保护专项执法的组成部分,湘潭市在湖南省网信办的指导下,针对医疗行业个人信息权益保护开展了专项执法检查行动。此次检查重点围绕医疗机构个人信息保护制度建设、告知授权、信息存储和管理等方面展开,并对医疗机构在患者信息管理中的违规行为,如未经授权使用患者信息、信息泄露等问题展开检查。在此基础上,采取责令限期整改、普法宣讲、走访约谈等措施,对检查结果与相关社会关切进行针对性回应。此类行业
31、执法行动充分考虑到了各行业个人信息类型及处理模式的差异,有助于统一监管标准、提高执法效率;并促进行业自律、推进主体责任落实,以充分维护市场秩序并保护行业用户的个人信息权益。(3)重点地方执法铺开在地方层面,2024年国内多个重点省市先后开展个人信息保护地方执法,通过因地制宜的资源配置、多部门联动及下沉式普法宣传等手段,有效提升了执法效率和精准度。2024年5月,北京针对停车、餐饮、商超等10大领域扫码缴费过程中违规收集个人信息的行为开展了清朗行动,旨在规范相关领域的企业和个人信息收集行为,重点整治未经用户明确授权收集个人信息、超范围收集信息以及信息泄露等问题。例如,北京市交通委员会进一步明确了
32、道路停车缴费的规范,要求停车人通过“北京交通”APP或授权银行网点等渠道缴纳停车费,并规定了缴费期限和补缴期限,以确保个人信息收集的合法性和透明度。止匕外,相关部门还对餐饮和商超领域的扫码支付场景进行了专项检查,要求商家在收集用户信息时必须明确告知用户信息用途,并获得用户明确授权。2024年5月,上海市网信办针对咖啡消费场景中的个人信息保护问题召开合规指导会,旨在通过行业自律和合规指导,推动咖啡行业企业落实个人信息保护要求。会议聚焦于咖啡消费场景中常见的“刷脸支付”“扫码点单”等行为,要求相关企业严格遵守个人信息保护相关法律法规。例如,部分咖啡店在扫码点单时过度收集用户信息(如手机号、性别、生
33、日等),且未明确告知用户信息的具体用途,可能存在个人信息安全风险。8月,上海市网信办进一步约谈地铁及自动售货机运营企业,就诱导“刷脸”支付、自动售货机违规收集个人信息等问题提出整改要求,在此次排查后,829台存在问题的设备被暂停人脸支付功能,待整改完成后方可重新启用。2024年12月,浙江省通信管理局通报了17款侵害用户权益的APP,涉及未经用户同意收集个人信息、频繁申请权限、强制用户使用定向推送功能等问题。此次通报是浙江省通管局在APP专项整治行动中的阶段性成果,旨在通过公开曝光和责令整改,督促相关企业落实个人信息保护主体责任。浙江省通管局要求相关APP运营者限期整改,并对逾期未整改的APP
34、采取下架处理。类似地,2024年12月,江苏省通信管理局发布通报,下架18款侵害用户权益的APP,针对APP违规收集个人信息、诱导用户授权等行为进行打击,体现对违规APP的零容忍态度,以进一步净化APP市场环境并充分维护用户个人信息权益。4、数据出境监管机制:“吹尽狂沙始到金”2024年,伴随着数据跨境监管与实践互动的进一步加深,中国数据跨境监管体系不断完善、发展,从而在促进和规范之间、在数据流动的便利性和数据安全的客观需求之间寻求平衡。根据国家网信办所发布的数据,截至2024年12月,国家网信办共完成安全评估项目285个,个人信息出境标准合同备案1071个,其中安全评估项目未通过评估的27个
35、占整体比例不到10%。在数据跨境实践不断发展与数据跨境监管的精细化、规范化的整体监管背景下,2024年,一方面,个人信息保护法出台后法院公布的首个有关跨境传输个人信息纠纷的司法判决在为数据跨境提供司法治理思路的同时,亦为企业如何通过自身合规操作避免数据跨境讼争提供了启示;另一方面,我国正综合国际、国内、地方的数据跨境多重治理维度,结合数据跨境标准合同、数据跨境保护认证等不同治理工具,精细构筑体系化且具备必要灵活性的数据跨境监管政策框架。1 .司法动态:个人信息保护法出台后法院公布的首个跨境传输个人信息纠纷司法判决2024年下半年,广州互联网法院公布了一份于2023年9月审结的个人信息保护纠纷
36、民事判决书。原告左某于2022年通过某国际酒店集团的APP预订缅甸某酒店时,提供了姓名、国籍、银行卡号等个人信息,并勾选同意了该集团的客户个人数据保护章程;在该案中,原告主张,被告通过APP违法跨境处理其个人信息,超出履行合同的必要范围,而两被告无法证明其跨境传输行为的合法性,并诉请删除全部个人信息、公开道歉、并赔偿误工费、律师费、翻译费等相关经济损失。对此,法院经审理总体支持了原告的诉讼请求,裁判要点中明确指明了用户勾选APP隐私政策并不必然对隐私政策发生同意的法律效力,还需进一步考虑个人信息处理行为是否需要增强告知同意(如跨境传输);而如以履行合同所必需作为合法性基础,仅应限于客观上的必需
37、范围。本案作为首例个人信息跨境纠纷,不仅为个人信息跨境纠纷中的个人信息保护法适用性进行了厘清,也回应了实践中对于个人信息跨境场景下的“同意”法律效力的判断要件,并就适用个人信息保护法第13条中的同意以外的其他合法性基础时是否需要取得单独同意进行了释明。此案的具体分析和企业合规启示,可参见我们此前的文章:吟一字拈数须一一首例个人信息跨境纠纷解读。总体而言,基于本案中法院对于跨境传输与相应告知同意要求的分析,企业,尤其是依托于APP等线上形式收集、使用乃至于为业务目的需跨境传输用户个人信息的互联网企业,应当考虑进一步完善隐私政策,如企业隐私政策对信息传输事宜的告知应达到使用户阅读隐私政策后可以“清
38、晰获知自己的个人信息将被传输到何地做何种处理”之程度,并积极关注政策动向,充分注意收集用户同意及保障用户个人信息权利的机制设计合规。2 .立法动态:综合国际、国内等多层次治理维度,丰富数据跨境治理工具箱(1)国际层面:推动国际数据跨境流动合作2024年11月20日,中央网信办发布了全球数据跨境流动合作倡议,倡议各国尊重其他国家为保护国家安全和公共利益所采取的数据安全措施,同时鼓励建立和完善个人信息保护的法律和监管框架。这一倡议为国际合作提供了重要指导,推动了数据跨境流动的全球化进程。止匕外,中国还与德国签署了关于中德数据跨境流动合作的谅解备忘录,通过双边合作加强数据跨境流动的管理和互信。这些国
39、际合作举措不仅提升了中国在全球数据治理中的影响力,也为国内数据跨境监管提供了国际经验和技术支持。(2)全国层面:持续落地优化数据跨境监管体系,并兼顾特殊领域数据跨境2024年3月22日,在规范和促进数据跨境流动规定(征求意见稿)发布近半年之后,国家网信办正式发布促进和规范数据跨境流动规定,自发布之日起正式生效。该规定对现有数据出境监管流程提出了豁免适用于所有的数据出境监管流程和仅豁免适用于申报数据出境安全评估义务两大类豁免情形,并在构建以安全评估、标准合同备案及个人信息保护认证为核心的数据出境事前监管机制的基础上,进一步健全横跨事中和事后的监管体系。同步地,国家网信办根据促进和规范数据跨境流动
40、规定的规定,发布数据出境安全评估申报指南(第二版)和个人信息出境标准合同备案指南(第二版)(以下统称“数据出境指南(第二版)”),在规范化数据出境申报材料的同时,公布线上数据出境申报平台,这标志着我国数据出境监管体系迈向了更加成熟和精细的方向。尽管促进和规范数据跨境流动规定和数据出境指南(第二版)澄清了数据跨境监管实践中就适用范围(如数据过境、重要数据)等的疑问,且进一步优化、简化了申报材料,但企业仍应确保审慎评估自身数据跨境流动是否已超出监管设定的豁免情形,并积极关注自贸区负面清单等的监管动态,以在发展的浪潮中把握合规与商业的平衡点。关于我们就促进和规范数据跨境流动的具体分析和展望,可参见我
41、们此前的文章:水无形而有万形一一促进和规范数据跨境流动规定的变化与数据跨境监管的未来。止匕外,2024年5月,国家监察委员会等部门联合发布了关于实施中华人民共和国国际刑事司法协助法若干问题的规定(试行);这一规定明确了刑事证据数据出境的规则,为跨境刑事司法合作提供了法律依据。2024年11月,国务院公布中华人民共和国两用物项出口管制条例(下称“条例”);基于该条例,企业在数据出境时,还应当进一步考虑数据所依附的业务和技术是否受到出口管制限制。(3)特定地方层面,以自贸区为重点抓手,因地制宜提升数据跨境监管的灵活性自贸区KE出境茶主MttM天津自贸区中国(天津)自由贸易试融区数揖出立曾理清年(负
42、面清单)(2024版)采取负面清形式.全面旅理13个大类46个子类的企业出境败据;负面清华以外的数SL免于申报数据出境安全评估.订立个人信息出境标准合同.通过个人信息保护认证.北京自忸区中国(北京)自由阴JB试蛤区数露出城管遇漕单(负面清单)(2024版)采取伪面消形式,场Il化检Ii汽车.医0.零H.民肮.人工智能5个行业中所涉及处理的负面清单管理数髭;负面清争中的数据,应当根揖负面消单要求,申报数梃出境安全评估.或订立个人信息出境标充合同、通过个人僖息保护认证.上海临港自贸区中Do(上海)自由更易试造区临港新片区智能网联汽王侦域数空跨境场事化一般跤据清单(斌行)中国(上海)自由贸易试洽区临
43、港新片区生糊医的较域数庭跨境场化一ttrn三x(aw?)中国(上海)自由贸易试照区临港新片区公H基命领域数IB跨境场化一般数据清单(试行)采取正面清形式,场化松理智帔网联汽车.公募基金.生拗火药3个行业中11个Il体场所涉及处理的数裙;-清单内的数据.数期处理右向上海倏港自贸区曾委会国谓笛X,并在现足相关管理要求的情;兄下可自由我境流动.福建平潭自贸区中国(福建)自由贸易由整区平潭片区数据跨境流动一般数掘潸单(试行)采取正潴形式.场Il化旅理眄境旅游.符境电商,国际航运.勒康羯4个行业中15个Jl体场Il所涉及处理的裁Ig;一般清单内的数据,敷密处理为向福建平潭自贸区管量会申调赣SL并在潜足相
44、关管理要求的情况下可目由跨境流动.其他区域性主要跨境监管政策2023年12月和2024年9月,国家网信办分别与香港和澳门特区政府联合发布了粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引和粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引。这些指引为大湾区内的数据跨境流动提供了明确的操作指南,促进了区域内数据的自由流动和经济一体化。止匕外,海南、福建等地也正陆续制定并公布其区域性跨境监管规则及相关行业规范,如海南自由贸易港国际数据中心发展规定福建省个人信息出境标准合同备案实施办法,从而形成国内地方层面以自贸区为重点,各地基于实际情况统筹安排、有序推进的数据跨境因地制宜监管态势
45、对此,我们理解,无论自贸区或其他地区,其所推出的负面清单或其他主要跨境监管政策等并不使其成为数据跨境监管中的“飞地”。因此,企业应结合促进和规范数据跨境流动规定等法律规范对地区性的具体规则进行理解、适用,在利用地区性规则因地制宜所提供的灵活性和便捷性机制的同时,确保安全有序开展数据出境活动,防范数据出境安全风险。5、数字经济发展中的反垄断与反不正当竞争:“万物回薄兮,振荡相转”2024年,数字经济的快速发展使得数据成为核心生产要素,同时也引发了竞争法与数据保护之间的相互作用。一方面,竞争法的核心目标是维护市场竞争秩序,防止企业通过数据垄断或其他反竞争的行为获取不正当竞争优势;另一方面,数据保
46、护则侧重于保护数据权益,防止数据被滥用。此外,数字经济的发展也为竞争法的规制工具、规制思路、规制方法提出了新的挑战与启迪。1 .数字经济发展中的反垄断法:数据反垄断首个已公布的执法案例数字经济高速发展背景下反垄断法与数据保护之间的张力,可以在我国数据反垄断首例行政执法案件中得到体现。2024年9月6日,上海市市场监督管理局发布了一起涉及数据滥用的反垄断行政处罚决定。该案当事人是一家金融信息科技企业,提供债券声讯经纪实时交易数据代理销售、债券信息服务等业务。当事人获取数据后会对其进行加工处理,并最终形成债券声讯经纪实时交易全数据产品,向债券机构和投资者进行销售。在该案中,执法机构在相关市场界定、
47、行为分析、竞争影响分析等方面展现了诸多亮点,对于未来数字经济领域的反垄断执法与合规工作具有很强的借鉴意义。尤其值得关注的是,一方面,在判定是否存在数据滥用行为时,执法机构并未将数据所有权作为必要条件,而是重点考察了数据的使用权益;在数据使用权的基础上,执法机构认为当事人的拒绝交易行为缺乏法律依据,也不符合独家代理的商业逻辑。另一方面,在分析当事人行为对市场竞争的影响时,执法机构特别关注了行为对于数据流通的负面影响。执法机构明确指出,当事人拒绝交易的行为“阻碍数据要素自由流动,妨碍数据资源共享共用,更好释放价值红利”。执法机构的这一分析思路与中共中央国务院关于构建数据基础制度更好发挥数据要素作用
48、的意见政策精神相契合,强调了保障数据高效流通与资源有效利用对于维护市场竞争秩序的重要性。基于此,值得企业重点注意的是:在数据驱动的数字经济时代,企业需要确保其数据使用和处理活动遵循中华人民共和国反垄断法的要求。这意味着,企业,特别是数据驱动型企业,应当就数据处理和使用活动建立和完善内部合规机制,以识别和预防可能的反垄断风险,确保企业的长期可持续发展。关于该案件的更多评析,具体请见我们此前的文章:我国数据反垄断第一案的启示。2 .数字经济发展中的反不正当竞争法:规制新型网络不正当竞争行为伴随着数字经济发展逐渐深化,数字经济领域的竞争行为日趋多样化和复杂化;2024年,中国在反不正当竞争领域取得了重要立法进展,尤其是在
免费区 
