中國網絡與數據立法、執法之年度回顧與展望(2020-2021)
2020年,新冠疫情橫掃人間,多少人因此找到了放棄的借口,多少人因此抓住了增長的風口。這一切,似乎都取決于你對待數字浪潮的態度。而今,數字化無處不在,我們的選擇、放棄或者猶豫,越來越離不開數據與算法,我們寄一切希望于新零售、數字科技和人工智能,似乎總能創造增長的神話。
但是,數字新技術、新場景及新業態的快速發展,也給我們帶來了諸多迷惘、困惑和傷痛。我們享受著疫情防控大數據的高效時,真的可以忽視個體的隱私權和個人信息利益嗎?我們驚嘆于生物識別的便利時,真的能夠確保個體免受傷害和歧視嗎?我們徜徉于電商直播的買買買時,真的要一直迷醉于這些虛渺的數據繁榮嗎?
立法需要回應這些問題,執法需要給出這些答案。回顧整個2020年,中國網數立法與執法,似乎都在苦苦尋找這些問題的“最優解”:既要確保安全,又要促進發展。這個神仙般的世外桃源,我們找到了嗎?
第一部分:2020年網數立法與執法要點回顧
(一)三法一標構建網數核心規范體系
2020年是全面構建多維度、多層次網數立法制標的關鍵年。
今年發布的“三法一標”與《網絡安全法》一起,共同構成了中國網數監管、執法、司法的核心規范體系。至此,網數有關的民事、行政、刑事法律體系格局成行,法律、法規、規范性文件及標準指引齊頭并進,網絡安全、數據合規及個人信息保護三足鼎立的治理路徑漸次明朗。
2020年5月28日頒發的《民法典》,從民事基本法的角度,專章規范了個人信息民事權益的內涵和外延,理清了隱私與個人信息的關系,優化了個人信息民事權益的救濟路徑和責任機制。
2020年7月3日發布的《數據安全法(草案)》,在倡導數據安全與數據利用的平衡價值基礎上,進一步理清了網絡、數據及信息的法律內涵,并按照分類分級原則,規定了我國數據領域的國家治理宏觀政策及企業合規微觀責任體系。
2020年10月21日發布的《個人信息保護法(草案)》,詳細規定了不同處理者的個人信息全生命周期保護合規義務,明確了信息主體的權利,完善了個人信息跨境轉移制度。
2020年3月6日發布的《個人信息安全規范(GB/T 35273-2020)》,在總結前期立法、監管執法新情況及標準實施經驗的基礎上,細化了個人信息生命周期的合規顆粒度,拓展了標準的規范指引場景。
(二)三大核心關切仍猶抱琵琶半遮面
等保、關保及數據跨境合規,是業界普遍關注的網數領域三大熱點合規問題。但時至2020年年末,這三大領域的核心法規(網絡安全等級保護條例、關鍵信息基礎設施安全保護條例、個人信息出境安全評估辦法)雪藏三年,議而不決,引而不發,猶抱琵琶,法律不確定性給企業合規遵從帶來了極大的困惑。
好在,這三大問題在立法和執法層面均有了一些新的進展。2020年年中,公安部發布了1960號文,進一步明確了等保、關保工作的監管格局、法律理解及工作重點等內容,為各地監管機關全面推進等保、關保工作指明了方向;2020年年末,金融、廣電、工控等領域相繼發布了本領域內的等保落地細則或標準,進一步明確了“公安主管+行業分管”的等保、關保監管格局。
在數據跨境領域,《個人信息保護法(草案)》細化了個人信息本地化及跨境傳輸的有關要求,明確了個人信息可以出境的合規路徑,部分內容突破了《網絡安全法》37條規定及2019版《個人信息出境安全評估辦法(征求意見稿)》有關內容,或許這也是為什么后者征求意見后遲遲沒有發布的原因之一;此外,上海、海南、天津等地也發布了數據跨境轉移、離岸數據中心有關的地方政策,在地方層面嘗試創新數據跨境流動監管政策。
(三)APP違法違規治理全面縱深推進
去年年末,四部委聯合發布了《App違法違規收集使用個人信息行為認定方法》(下稱“方法”),作為四部委及下轄機構個人信息保護監管、執法的依據。2020年以來,各部委牽頭在全國及地方層面啟動了多輪APP違法違規專項治理行動。
與之前的治理行動相比,2020年的APP專項治理行動主要體現如下幾個特點:
(1)發布了一系列與《方法》配套的標準、指引或監管規則,監管、執法的依據和尺度更加明確。例如《APP個人信息保護常見問題及處置指南》、《APP收集使用個人信息自評估指南》、《使用軟件開發工具包(SDK)安全指引》、《常見類型移動互聯網應用程序(App)必要個人信息范圍(征求意見稿)》等。
(2)治理行動常態化、行業化、地方化。例如工信部發布《關于開展縱深推進APP侵害用戶權益專項整治行動的通知》,僅在2020年先后開展了至少六批次的治理行動,發布了一批違法違規案例;各部委下轄機構或社會媒體專門發布了面向交通出行、汽車、金融、在線教育、電子商務、健康醫療等行業的案例,對行業合規建設起到了重要的引領作用;廣州、上海、浙江等地先后啟動了多輪地方治理行動。
(3)監管力度加大、罰則加重。2020年,網信辦、工信部等通過監管會、負責人約談、現場核查等方式,明顯加大了監管力度;在《個人信息保護法(草案)》罰則的預期示范下,APP違法違規的罰則逐步加重,高額罰金屢見不鮮,下架處理、停業整頓頻現報端;平臺類APP的反壟斷利劍高懸。
(4)應用商店、分發渠道的平臺治理水平提升,補齊監管資源缺陷,APP合規準入門檻提高。
(5)內容合規仍是生命線,逐步強化資質準入及許可備案合規。
(四)生物識別合規性不確定性加大
立法制標層面,《個人信息安全規范(GB/T 35273-2020)》一大亮點之一,即新增了生物識別信息生命周期合規管理;《個人信息保護法(草案)》也強化了包括生物識別信息在內的敏感個人信息保護合規要求,同時還專門規定了在公共場所安裝圖像采集、個人身份識別設備的合規要求,廣受爭議;部分地方也規定了生物識別信息保護有關的地方政策文件。
在資本層面,隨著科創板的開閘,部分頭部金融科技、醫療科技、人工智能科創公司相繼申報IPO,部分公司的業務模式廣泛依賴人臉識別、刷臉支付、健康管理等生物識別技術,廣受業界關注,如坐針氈。
在社會層面,生物識別有關的產品、服務及事件/案件廣受關注。學術/專業討論激烈,站在不同的視角,或追捧或批判;群眾權利意識增強,隱私焦慮加大;部分地方監管執法機構開始介入,未來走向不明。
(五)疫情防控中的個人信息保護廣受關注
2020年,新冠疫情成為了全世界最大的黑天鵝事件,這個世界措手不及,包括公共衛生事件有關的個人信息保護。因此,在疫情早期甚至到了2020年年末,疫情有關人員的個人信息及隱私還在被大量泄露、曝光及傳播,嚴重侵害了相關人員的合法利益,造成了極其惡劣的社會影響。
稍微欣慰的是,監管、執法部門已經意識到疫情防控中個人信息保護的重要性。國家網信辦在疫情防控初期即發布了《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》,四川等地近期也發布了相應的地方政策;此外,山東、上海、成都等地還啟動了有關個人信息及隱私泄露案件的調查及處罰程序,但是案件透明度、精準性、處罰力度等方面,還是不盡如人意,沒有起到很好的威懾作用,這也是導致類似事件頻發的一個重要原因之一。
此外,立法及標準制定部門也在總結本次疫情防控過程中的個人信息保護經驗,逐步完善公共衛生事件應對中的個人信息保護規則,在《生物安全法》、《個人信息保護法(草案)》、《網絡數據處理安全規范(征求意見稿)》、《信息安全技術個人信息告知同意指南(征求意見稿)》等均有體現。
(六)電商合規治理緊跟新業態發展
進入2020年后,電商行業發展進入快車道,隨著新技術的應用和發展,很多新業態、新玩法應運而生,尤其以直播電商、社交電商、跨境電商、盲盒等為代表。
為了規范電商新業態發展過程中暴露出來的新問題,國家及各地先后發布了一系列法律文件。例如市監總局多年磨一劍,在2020年10月發布了《網絡交易監督管理辦法(征求意見稿)》,《網絡購買商品七日無理由退貨暫行辦法》也修訂后重新發布,同時還發布了《關于加強網絡直播營銷活動監管的指導意見》規范直播營銷活動;商務部在2020年2月發布了《電子商務信息公示管理辦法(征求意見稿)》;國家網信辦在2020年11月發布了《互聯網直播營銷信息內容服務管理規定(征求意見稿)》;等等。
執法層面上,市監總局、工信部等14家部委聯合發布《關于印發2020網絡市場監管專項行動(網劍行動)方案的通知》,決定于2020年10月至12月開展2020網劍行動。與往年執法行動相比,強化了平臺責任監管,加大了野生動物交易監管執法,集中整治直播帶貨、二手平臺、違法眾籌等熱點領域的違法問題。
第二部分:2020年網數立法與標準制定概覽
第三部分:2020年網數監管與執法行動、案例概覽
第四部分:展望2021
展望2021年,對于每一個網數打工人來說,任重而道遠。《民法典》即將生效,《數據安全法》、《個人信息保護法》終將破繭而出,等保、關保及數據出境三大疑惑總該有個了結了吧。新的一年,惟愿各位預算不砍、隊友不裁、脾氣不增,年末我們一起喝酒不再感嘆:每一次新法發布時,沒有一絲頭發是無辜的。
而另一方面,按照目前各個部委的執法趨勢、工作規劃和行動計劃來看,似乎明年的網數執法并沒有松動的跡象,反倒是常態化、高壓化的趨勢進一步明顯,企業的合規壓力不減,頭部網絡平臺反壟斷利劍高懸。躺槍也罷,背鍋也罷,抱怨監管有沒有“武德”毫無意義,執法從來就不會“點到為止”,唯有會躲、會閃才是真本事。苦練內功,做好內控,不要大意,各位耗子尾汁!
- 文 | 黃春林 李天航 史宇航 匯業律師事務所 匯業法律觀察
