中国网络与数据立法、执法之年度回顾与展望(2020-2021)
2020年,新冠疫情横扫人间,多少人因此找到了放弃的借口,多少人因此抓住了增长的风口。这一切,似乎都取决于你对待数字浪潮的态度。而今,数字化无处不在,我们的选择、放弃或者犹豫,越来越离不开数据与算法,我们寄一切希望于新零售、数字科技和人工智能,似乎总能创造增长的神话。
但是,数字新技术、新场景及新业态的快速发展,也给我们带来了诸多迷惘、困惑和伤痛。我们享受着疫情防控大数据的高效时,真的可以忽视个体的隐私权和个人信息利益吗?我们惊叹于生物识别的便利时,真的能够确保个体免受伤害和歧视吗?我们徜徉于电商直播的买买买时,真的要一直迷醉于这些虚渺的数据繁荣吗?
立法需要回应这些问题,执法需要给出这些答案。回顾整个2020年,中国网数立法与执法,似乎都在苦苦寻找这些问题的“最优解”:既要确保安全,又要促进发展。这个神仙般的世外桃源,我们找到了吗?
第一部分:2020年网数立法与执法要点回顾
(一)三法一标构建网数核心规范体系
2020年是全面构建多维度、多层次网数立法制标的关键年。
今年发布的“三法一标”与《网络安全法》一起,共同构成了中国网数监管、执法、司法的核心规范体系。至此,网数有关的民事、行政、刑事法律体系格局成行,法律、法规、规范性文件及标准指引齐头并进,网络安全、数据合规及个人信息保护三足鼎立的治理路径渐次明朗。
2020年5月28日颁发的《民法典》,从民事基本法的角度,专章规范了个人信息民事权益的内涵和外延,理清了隐私与个人信息的关系,优化了个人信息民事权益的救济路径和责任机制。
2020年7月3日发布的《数据安全法(草案)》,在倡导数据安全与数据利用的平衡价值基础上,进一步理清了网络、数据及信息的法律内涵,并按照分类分级原则,规定了我国数据领域的国家治理宏观政策及企业合规微观责任体系。
2020年10月21日发布的《个人信息保护法(草案)》,详细规定了不同处理者的个人信息全生命周期保护合规义务,明确了信息主体的权利,完善了个人信息跨境转移制度。
2020年3月6日发布的《个人信息安全规范(GB/T 35273-2020)》,在总结前期立法、监管执法新情况及标准实施经验的基础上,细化了个人信息生命周期的合规颗粒度,拓展了标准的规范指引场景。
(二)三大核心关切仍犹抱琵琶半遮面
等保、关保及数据跨境合规,是业界普遍关注的网数领域三大热点合规问题。但时至2020年年末,这三大领域的核心法规(网络安全等级保护条例、关键信息基础设施安全保护条例、个人信息出境安全评估办法)雪藏三年,议而不决,引而不发,犹抱琵琶,法律不确定性给企业合规遵从带来了极大的困惑。
好在,这三大问题在立法和执法层面均有了一些新的进展。2020年年中,公安部发布了1960号文,进一步明确了等保、关保工作的监管格局、法律理解及工作重点等内容,为各地监管机关全面推进等保、关保工作指明了方向;2020年年末,金融、广电、工控等领域相继发布了本领域内的等保落地细则或标准,进一步明确了“公安主管+行业分管”的等保、关保监管格局。
在数据跨境领域,《个人信息保护法(草案)》细化了个人信息本地化及跨境传输的有关要求,明确了个人信息可以出境的合规路径,部分内容突破了《网络安全法》37条规定及2019版《个人信息出境安全评估办法(征求意见稿)》有关内容,或许这也是为什么后者征求意见后迟迟没有发布的原因之一;此外,上海、海南、天津等地也发布了数据跨境转移、离岸数据中心有关的地方政策,在地方层面尝试创新数据跨境流动监管政策。
(三)APP违法违规治理全面纵深推进
去年年末,四部委联合发布了《App违法违规收集使用个人信息行为认定方法》(下称“方法”),作为四部委及下辖机构个人信息保护监管、执法的依据。2020年以来,各部委牵头在全国及地方层面启动了多轮APP违法违规专项治理行动。
与之前的治理行动相比,2020年的APP专项治理行动主要体现如下几个特点:
(1)发布了一系列与《方法》配套的标准、指引或监管规则,监管、执法的依据和尺度更加明确。例如《APP个人信息保护常见问题及处置指南》、《APP收集使用个人信息自评估指南》、《使用软件开发工具包(SDK)安全指引》、《常见类型移动互联网应用程序(App)必要个人信息范围(征求意见稿)》等。
(2)治理行动常态化、行业化、地方化。例如工信部发布《关于开展纵深推进APP侵害用户权益专项整治行动的通知》,仅在2020年先后开展了至少六批次的治理行动,发布了一批违法违规案例;各部委下辖机构或社会媒体专门发布了面向交通出行、汽车、金融、在线教育、电子商务、健康医疗等行业的案例,对行业合规建设起到了重要的引领作用;广州、上海、浙江等地先后启动了多轮地方治理行动。
(3)监管力度加大、罚则加重。2020年,网信办、工信部等通过监管会、负责人约谈、现场核查等方式,明显加大了监管力度;在《个人信息保护法(草案)》罚则的预期示范下,APP违法违规的罚则逐步加重,高额罚金屡见不鲜,下架处理、停业整顿频现报端;平台类APP的反垄断利剑高悬。
(4)应用商店、分发渠道的平台治理水平提升,补齐监管资源缺陷,APP合规准入门槛提高。
(5)内容合规仍是生命线,逐步强化资质准入及许可备案合规。
(四)生物识别合规性不确定性加大
立法制标层面,《个人信息安全规范(GB/T 35273-2020)》一大亮点之一,即新增了生物识别信息生命周期合规管理;《个人信息保护法(草案)》也强化了包括生物识别信息在内的敏感个人信息保护合规要求,同时还专门规定了在公共场所安装图像采集、个人身份识别设备的合规要求,广受争议;部分地方也规定了生物识别信息保护有关的地方政策文件。
在资本层面,随着科创板的开闸,部分头部金融科技、医疗科技、人工智能科创公司相继申报IPO,部分公司的业务模式广泛依赖人脸识别、刷脸支付、健康管理等生物识别技术,广受业界关注,如坐针毡。
在社会层面,生物识别有关的产品、服务及事件/案件广受关注。学术/专业讨论激烈,站在不同的视角,或追捧或批判;群众权利意识增强,隐私焦虑加大;部分地方监管执法机构开始介入,未来走向不明。
(五)疫情防控中的个人信息保护广受关注
2020年,新冠疫情成为了全世界最大的黑天鹅事件,这个世界措手不及,包括公共卫生事件有关的个人信息保护。因此,在疫情早期甚至到了2020年年末,疫情有关人员的个人信息及隐私还在被大量泄露、曝光及传播,严重侵害了相关人员的合法利益,造成了极其恶劣的社会影响。
稍微欣慰的是,监管、执法部门已经意识到疫情防控中个人信息保护的重要性。国家网信办在疫情防控初期即发布了《关于做好个人信息保护利用大数据支撑联防联控工作的通知》,四川等地近期也发布了相应的地方政策;此外,山东、上海、成都等地还启动了有关个人信息及隐私泄露案件的调查及处罚程序,但是案件透明度、精准性、处罚力度等方面,还是不尽如人意,没有起到很好的威慑作用,这也是导致类似事件频发的一个重要原因之一。
此外,立法及标准制定部门也在总结本次疫情防控过程中的个人信息保护经验,逐步完善公共卫生事件应对中的个人信息保护规则,在《生物安全法》、《个人信息保护法(草案)》、《网络数据处理安全规范(征求意见稿)》、《信息安全技术个人信息告知同意指南(征求意见稿)》等均有体现。
(六)电商合规治理紧跟新业态发展
进入2020年后,电商行业发展进入快车道,随着新技术的应用和发展,很多新业态、新玩法应运而生,尤其以直播电商、社交电商、跨境电商、盲盒等为代表。
为了规范电商新业态发展过程中暴露出来的新问题,国家及各地先后发布了一系列法律文件。例如市监总局多年磨一剑,在2020年10月发布了《网络交易监督管理办法(征求意见稿)》,《网络购买商品七日无理由退货暂行办法》也修订后重新发布,同时还发布了《关于加强网络直播营销活动监管的指导意见》规范直播营销活动;商务部在2020年2月发布了《电子商务信息公示管理办法(征求意见稿)》;国家网信办在2020年11月发布了《互联网直播营销信息内容服务管理规定(征求意见稿)》;等等。
执法层面上,市监总局、工信部等14家部委联合发布《关于印发2020网络市场监管专项行动(网剑行动)方案的通知》,决定于2020年10月至12月开展2020网剑行动。与往年执法行动相比,强化了平台责任监管,加大了野生动物交易监管执法,集中整治直播带货、二手平台、违法众筹等热点领域的违法问题。
第二部分:2020年网数立法与标准制定概览
第三部分:2020年网数监管与执法行动、案例概览
第四部分:展望2021
展望2021年,对于每一个网数打工人来说,任重而道远。《民法典》即将生效,《数据安全法》、《个人信息保护法》终将破茧而出,等保、关保及数据出境三大疑惑总该有个了结了吧。新的一年,惟愿各位预算不砍、队友不裁、脾气不增,年末我们一起喝酒不再感叹:每一次新法发布时,没有一丝头发是无辜的。
而另一方面,按照目前各个部委的执法趋势、工作规划和行动计划来看,似乎明年的网数执法并没有松动的迹象,反倒是常态化、高压化的趋势进一步明显,企业的合规压力不减,头部网络平台反垄断利剑高悬。躺枪也罢,背锅也罢,抱怨监管有没有“武德”毫无意义,执法从来就不会“点到为止”,唯有会躲、会闪才是真本事。苦练内功,做好内控,不要大意,各位耗子尾汁!
- 文 | 黄春林 李天航 史宇航 汇业律师事务所 汇业法律观察
