过去的2023年���,是数据合规领域的监管规则拼图逐步补全���、基础监管框架全面落地的一年���,也是《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)发布后数据要素市场蓬勃发展的一年。本文将主要回顾2023全年数据合规领域的重大事件���,分享我们对相关政策法律���、监管动态的洞察���,也借此展望2024年数据合规工作的新篇章���,助力各行业人士更好地开展2024年的数据合规工作。
一���、数据要素价值利用与变现——数据交易���、数据资产入表规则逐步厘清1���、国家数据局揭牌���:引领数字时代的数据治理
2023年3月���,党中央决定成立国家数据局���,标志着我国在数据治理领域迈出关键一步。经严谨筹备���,2023年10月25日���,国家数据局正式揭牌���,由国家发展和改革委员会管理。国家数据局旨在推动数字中国建设���、协调数据基础制度建设���,实现数据资源整合共享和开发利用。
国家数据局承接了中央网络安全和信息化委员会办公室及国家发展和改革委员会的相关职责���,负责数字中国建设���、智慧城市建设等任务。局长刘烈宏���、副局长沈竹林���、副局长陈荣辉三名领导已正式亮相���,为当今数字化时代的数据治理贡献领导智慧。
国家数据局发布了《“数据要素×”三年行动计划(2024—2026年)》(以下简称“三年行动计划”)指导文件。“三年行动计划”将全面推动数据基础制度建设���,促进数据资源整合与开发利用���,为经济社会发展提供更精准的数字支持���,引领我国在数据治理领域的先进实践���,为数字化转型开启新篇章。
2���、公共数据的授权运营与数据要素市场的规范化治理
在公共数据立法方面���,2023年北京���、浙江���、广东���、云南等多地均发布了公共数据管理及公共数据授权运营相关规定���,明确了各地公共数据的界定���、开放���、共享及授权运营规则���,逐步完善公共数据领域立法。在公共数据开发利用实践方面���,多地已开始尝试公共数据授权运营���、公共数据特许经营转让等公共数据开发利用模式���,多款公共数据产品开始上架交易���,积极推动了公共数据开发利用实践���,落实了“数据二十条”对促进公共数据开放共享���、开发利用的精神。
国家发改委2023年11月9日与国家数据局共同召开“健全公共数据价格形成机制座谈会”���,宣布与国家数据局共同推动建立符合公共数据要素特性的价格形成机制���,以促进数字化发展。发改委价格司在座谈会上集结了���、中国人民银行征信中心���、有关银行和企业���,展望未来将进一步研究建立公共数据价格形成机制和相关制度规定���,促进公共数据高效流通使用。
在实际运作中���,涌现了众多公共数据开放平台���,截至2023年底���,全国地级市以上的数据开放平台已达226个。各地采用了不同的公共数据授权运营模式���,其中包括以上海和成都为例的“集中统一模式”���、以北京为例的“分行业集中模式”和以浙江为例的“多层次分散授权模式”。2023年12月10日���,《公共数据授权运营平台技术要求》正式实施���,为规范平台建设提供了参考架构���,对激发公共数据要素价值和促进数字经济健康发展具有积极作用。2023年���,中国在公共数据领域取得了显著进展���,逐步健全了法律法规���,为公共数据开放和交易提供了实践基础。
3���、数据资产入表规则出台���,数据资产化浪潮推进
2023年8月21日���,财政部发布了《企业数据资源相关会计处理暂行规定》(以下简称“《暂行规定》”)���,标志着企业数据资产入表进入新的阶段。该规定明确了数据的入表范围���、处理准则和披露要求���,强调了信息披露的重要性。文件于2024年1月1日起生效���,意味着2023年末与2024年初成为我国数据资产入表实施的关键时间点。
除了财政部发布的《暂行规定》之外���,各地也纷纷出台政策推动数据资产化。海南省率先发布了《数据产品超市数据产品确权登记实施细则》���,成为全国首个明确开展数据产品所有权确权登记的地区;浙江省于2023年12月5日推出的《数据资产确认工作指南》成为国内首个省级标准���,填补了数据资产确认标准的空白���,加速了数据资产化的步伐。与此同时���,各行各业“首例”案例陆续出现。例如���:普华永道推出了“企业数据资源会计处理一体化平台”(DAP)���,助力企业加强数据资源管理;上海数据交易所发布《数据资产入表及估值实践与操作指南》���,提出了数据资产化的三部曲;深圳数据交易所的“杭州数据要素服务工作站”成功完成首单基于“一站式企业数据资产入表平台”的案例���,为企业实现科技赋能。
财政部的《暂行规定》催生了数据资产化浪潮���,地方政策进一步推动了这一进程。企业积极响应���,逐步通过信息披露和资产确认���,推动数据资源向数据资产的转化。为我国数字经济的发展提供了强有力的支持。
1.k8凯发天生赢家·一触即发数评(二)│各地数据局有“家”了2.k8凯发天生赢家·一触即发数评(三)│由“两会”���,看“数据”合规的未来3.数据基础制度系列(一)|《深圳市数据产权登记管理暂行办法(征求意见稿)》简评4.数据基础制度系列(三)| 数据资源“入表”���:企业数据资源会计处理新规解读5.数据基础制度系列(四)| 我国数据集团的现状���、特点与合规的特殊性6.《数据入表新规》出台���:问题���、影响与应对7.数字税专题 | 数字经济时代的税收挑战与数字税的提出8.数字税专题 |《数据入表新规》出台���:问题���、影响与应对(附《数据入表服务范围1.0版》)9.数字税专题 | “双支柱”国际税改方案简析及其进展
二���、《数安法》与《个保法》实施两周年——配套立法���、执法���、司法框架基本形成1���、相关立法���、标准日益细化完善���,强调重点数据���、重点领域���、重点人群的保护《数据安全法》《个人信息保护法》已经实施两周年���,数据与个人信息保护方面法律法规趋于完善。在个人信息保护方面���,我国已构建以《个人信息保护法》为核心���,行政法规���、部门规章未配套���,国家标准���、行业标注为补充的保护体系。2023年个人信息保护领域相继发布了《个人信息保护合规审计管理办法(征求意见稿)》《未成年人网络保护条例》等法规���,《信息安全技术 个人信息处理中告知和同意的实施指南》《信息安全技术 敏感个人信息处理安全要求(征求意见稿)》等国家标准也陆续发布���,在《个人信息保护法》的框架下���,构建更为详细具体的规则���,强调未成年人等重点人群个人信息保护。在网络与数据安全方面���,《工业和信息化领域数据安全管理办法(试行)》《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》《工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)》等行业数据管理办法陆续发布或实施���,强调对工业和信息化领域数据的重点保护。在领域���,《关于加强境内企业境外发行和上市相关保密和档案管理工作的规定》发布���,对境外发行上市链条下的未来可能会有更多行业数据管理办法陆续出台���,值得关注。2���、明确相关执法依据和执法细则���,执法力度趋严在域外数据合规强监管���,巨额罚单层出的背景下���,随着我国《数据安全法》《个人信息保护法》深入实施���,执法依据逐渐清晰���,监管执法部门更加重视网络与数据安全���、个人信息保护执法���,个人信息保护���、网络与数据安全领域执法案例明显增多。目前违法行为主要集中于数据处理者不履行数据安全保护义务���、个人信息处理者不履行个人信息保护义务���、超范围采集个人信息���、非法获取���、出售���、向他人提供个人信息等。行政处罚类型主要集中于警告���、责令改正���、罚款等。2023年数据合规执法典型案例Z公司因存在多项违规行为���,包括违反必要原则收集个人信息���、未经同意收集个人信息���、未公开或未明示收集使用规则���、未提供账号注销功能���、在用户注销账号后未及时删除用户个人信息等违法行为���,被国家网信办责令停止违法处理个人信息行为���,并处人民币5000万元罚款。警示企业应注意切实履行个人信息与数据保护义务���,保障个人信息与数据处理合规���,否则将可能面临严重的法律责任。3���、企业数据权益���、个人信息权益保护在司法典型案例中得到进一步诠释���,值得重点关注2023年仍然出现大量企业数据不正当竞争纠纷���、个人信息保护纠纷等典型案例���,在典型案例中各地法院对企业数据享有数据权益的合法性基础���、竞争行为的不正当性来源���、个人信息主体权益行使方式���、个人信息权益的具体范围等进行分析论述���,使得企业数据权益���、个人信息主体权利得到司法保护。但各地法院对个人信息主体权利具体范围���、企业数据不正当竞争认定过程中判决中仍存在差异���,可能导致不同地区个人信息主体及企业权利保护内容���、范围不一致。在目前数据权利法律架构尚不清晰的背景下���,总体明确了企业数据及个人信息主体自身权益的内涵及外延���,司法中存在的判决差异性还有待在未来实践中统一观点认识���,切实保障个人信息主体权利实现。1.141条个人信息审计要点���,如何落地?
2.无锡公证删除涉疫个人信息���,为企业做好数据删除工作提供良好指引
3.《数据安全法》实施二周年观察���:七大亮点
4.《个人信息保护法》实施二周年观察���:挑战���、突破与平衡
5.《保密新规》即将实施���,从数据合规角度���,发行人要做什么?
6.新零售线下门店之《人脸识别摄像头使用数据合规指引》重磅发布
7.欧盟 GDPR 五周年 | 罚款趋势解读十问十答
三���、数据跨境进入2.0阶段——数据跨境监管思路重构1���、数据跨境监管体系已形成并落地���,但仍存在部分实操痛点亟待解决我国已经基本形成了以《数据出境安全评估办法》《个人信息出境标准合同办法》及个人信息跨境传输认证机制为结构的数据跨境监管体系。截至2023年11月���,数据出境安全评估申报成功及标准合同备案通过的公开案例已超过30例���,行业领域覆盖医疗���、汽车���、金融���、制造业���、跨境电商等[1]。截至2023年12月���,根据中国网络安全审查技术与认证中心官网公告���,基于“澳门科技大学科研数据跨境流动管理系统的科研工作和管理业务所涉及的个人信息处理活动”项目���,正式通过中国网络安全审查技术与认证中心等权威机构的技术验证和现场管理审核���,荣获全国首张“个人信息保护认证”证书。标志着我国个人信息保护认证工作落实到了个人信息跨境传输活动上���,为构建安全���、可靠���、有序的数据流通和治理环境奠定坚实基础。但随着监管规则的落地及实践案例的增多���,在实操层面仍存在亟待解决的痛点���,主要如下���:第一���,触发安全评估场景的必要性存在争议。例如某个人信息处理者在境内的存量数据超过100万个人信息���,但实际的出境数量却很少���,甚至不满一万人���,是否有必要大费周章地进行数据出境安全评估;再如���,为履行合同所必需���,向境外汇款���、跨境购物���、境外机票酒店预定���、签证办理等场景下���,不可避免地会发生数据出境���,是否有必要对必然发生的场景进行评估。第二���,数据出境安全评估周期较长。数据出境安全评估的周期较长���,不利于数据高效流转。依据我们的实务经验���,完成安全评估的周期可能自启动之日起长达10个月���,这无疑会给企业带来较大的合规成本。第三���,相关数据法概念还有待厘清。企业对于相关数据法概念仍然无法准确判断���,企业在整个数据出境合规工作中遇到诸多实操难题。例如如何判断重要数据���,如何区分数据处理者与数据受托人的定义���,如何确定申报主体等。第四���,数据统计难���、数据规模预测难。对于存量数据的统计问题���,存在诸多难点。例如企业邮箱内的各类个人信息应如何统计���,已经出境的个人信息应如何统计���,未来两年的数据出境数量应如何预测等。如果在业务发展中���,个人信息出境数量激增���,可能面临重新走安全评估的问题���,加重企业负担���,影响企业业务发展。2���、数据跨境新规陆续出台���,为数据跨境流动提供便利���,数据跨境监管体系进入2.0阶段为解决我国现阶段数据跨境监管实务过程中发现的难题���,为数据跨境流动提供便利���,国家网信办于2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《数据跨境新规(征)》”)���,重点内容包括对十大重点场景豁免进一步释明���,降低数据跨境门槛���、新增自贸区的负面清单制等���,以期减轻企业数据跨境义务���,优化数据跨境监管机制。此外���,国家网信办联合香港创新科技及工业局于12月10日发布《粤港澳大湾区(内地���、香港)个人信息跨境流动标准合同实施指引》(以下简称“《实施指引》”)���,未对个人信息跨境传输的数量���、时限作出要求���,粤港两地的个人信息跨境传输原则上可优先适用《实施指引》���,为注册于或位于广东省内九市及香港的企业和个人之间的数据跨境传输活动提供了便利。未来���,如《规范和促进数据跨境流动规定(征求意见稿)》发布生效���,则需要进一步关注该规定与《实施指引》的关系���,有待监管部门在该规定中予以明确���,避免发生冲突。1.k8凯发天生赢家·一触即发新书《数据出境法学原理与实务》出版
2.中国个人信息出境标准合同评述(二)——正式落地与逐条解读1.0版
3.中国版SCC新规6.1实施���,法务需要知道哪十件事?
4.2.0来了���!《数据跨境新规》的五个变与不变
5.粤港澳大湾区数据跨境进入新阶段���,新规有哪些重点值得关注?
四���、AI进入强监管时代——企业AI治理面临新挑战1���、AI新法新规对企业AI治理和产品上架提出更高的合规要求
新兴技术的治理是2023年的一个重大亮点。2023年���,人工智能发展进入跃升期���,以ChatGPT为代表的人工智能���、生成式人工智能(AI-Generated Content���,以下简称“AIGC”)产品的应用���,暴露出的安全风险不容忽视���,如训练数据违法收集的风险���、生成虚假���、歧视等违法信息的风险���、侵犯企业商业秘密和个人信息权利���、人格权等权益���,引发了各国监管部门的广泛关注。
我国积极走在前列���,在立法方面���,为促进AIGC技术健康发展���,颁布全球首个AIGC立法《生成式人工智能服务管理暂行办法》���,就AIGC服务进行规范。一是划定明确提供和使用AIGC服务的法律底线���,二是明确AIGC服务提供者从研发到应用过程中的义务与责任。三是明确AIGC监管手段���,通过安全评估���、算法备案等监管措施���,提高AIGC算法的透明度与可问责性。另外���,我国颁布了《科技伦理审查办法(试行)》���,AIGC研发���、运营企业���,需设立科技伦理审查委员会���,履行科技伦理审查相关合规义务。
另外���,今年国际上的人工智能立法也值得关注���,2023年6月欧洲议会高票通过了《人工智能法案》的谈判授权草案���,预计于2024年获得最终批准。2023年9月���,美国发布人工智能立法框架���,表明其立法思路已基本形成。企业在设计���、开发AIGC产品和服务阶段���,即应注意有关司法管辖区的有关合规要求���,确保AIGC产品和服务能够顺利出海���、开拓市场。
2���、企业开展算法备案���、大模型备案面临的挑战
根据《生成式人工智能服务管理暂行办法》的规定���,提供具有舆论属性或者社会动员能力的AIGC服务的���,应当进行算法备案。目前���,一些应用商店会对AIGC产品算法备案情况进行核查���,对未提交备案的产品采取不予上架���、禁止更新等处置。企业纷纷提交算法备案���、大模型备案���,迄今为止���,网信办已公布3批次共280款算法通过深度合成算法备案���,以及有2批次超过20个大模型通过大模型备案。
企业在对AIGC产品进行备案时���,亦面临一系列挑战。根据《互联网信息服务算法推荐管理规定》���,算法备案的法定时限为30个工作日。但在实际操作过程中���,由于企业材料准备不全面不充分���、排队企业较多等问题���,完成时间可能在3个月以上。另外���,由“双新评估”演变形成的“大模型备案”具体如何开展���,各地监管存在不同的理解。未来如何在确保AIGC产品合规的前提下���,提高AIGC产品上线的速度和开拓市场的先机���,需要有清晰的算法备案���、大模型备案指引和细则���,协助企业高效完成备案工作。
1.ChatGPT“热”背后的“冷”思考系列一���:简析ChatGPT潜藏的法律风险
2.六问六答���:《生成式人工智能服务管理办法(征求意见稿)》解读
3.全球首部AIGC立法发布���:贡献治理AIGC的中国智慧(附完整对比稿)
4.AIGC产品上架前风险排查的框架���、难点与建议
5.信安标委技术文件《生成式人工智能服务 安全基本要求》(征求意见稿)——生成式人工智能安全评估标准文件解读
6.《科技伦理审查办法(试行)》实施后���,AIGC企业应如何应对?
1���、抓住数据资源入表的机遇���,合规是首要前提和关键
2024年���,数据资源入表将是最值得关注的热点问题。对数据是否拥有合法的持有权���、加工使用权���、产品经营权等合法权益���,是数据资源顺利入表的一个重要前提条件���,企业数据来源和数据处理合法合规是基础性要求。另外���,数据资源入表对于数据资源的自愿信息披露也有相应的要求���,包括数据来源���、权属���、许可和使用限制���、质量合格���、交易风险���、数据保护措施等。为此���,企业需要做好数据资源入表的准备工作���,确保数据来源和数据加工处理合法合规。此外���,如何通过科学的数据治理���,提升数据质量���,赋能企业运营和管理���,提高数据资产的价值���,也是企业需要关注的课题。
2���、新技术新应用出海���,合规建设需先行
随着2023年后的经济复苏���,经济全球化潮流逐步恢复���,我国各类企业均在寻求扩张海外市场���,特别是AIGC等新技术新应用类企业。近年境外数据合规亦维持趋严的监管趋势���,对于有业务出海计划的企业���,需关注域外近年做好有关数据出境(数据本地化)���、出口管制���、人工智能的实际应用等数据合规���、AIGC相关法律法规的要求���,提前做好产品合规风险评估和整改工作。
3���、“数据要素×”三年行动计划发布���,密切关注国家数据局发布的系列政策及规定
国家数据局的成立标志着我国在数据治理领域取得了新的重要进展。“三年行动计划”作为国家数据局发布的第一个正式文件���,综合考虑数据要素积累���、数字化发展基础���、以及在数字经济发展中的重要性等因素���,选取了12个行业和领域(其中排在第一的是工业制造)���,明确了发挥数据要素价值的典型场景���,以及下一步的举措。结合我们参与的活动了解到���,“三年行动计划”特别强调“用得好”���,即非常关注应用场景。“供得出和流得动”则作为保障措施���,放在“用得好”的后面。
k8凯发天生赢家·一触即发正密切关注国家数据局的动向���,每月将为我们的客户发送国家数据局相关资讯。我们建议相关企业密切关注国家数据局发布的系列政策及规定���,结合自身优势���,积极参与到“数据要素×”试点示范工程���、“数据要素×”大赛及“数据要素×”典型案例申报等活动中���,贡献企业智慧���、探索良好实践���,构建未来发展优势。
4���、关注新法新规和司法解释的出台及重点领域执法情况���,及时做好合规工作
首先���,《关于适用<中华人民共和国民法典>合同编通则若干问题的解释》���、新修订的《公司法》等基础民商事法律法规���、司法解释���,对企业数据治理���、数据交易和数据资源利用均会产生一定的影响。
其次���,2024年���,《人工智能法》(草案)很可能会公布���,《网络数据安全管理条例》《规范和促进数据跨境流动规定》《个人信息保护合规审计管理办法》《网络安全事件报告管理办法》以及工信领域一系列的部门规章可能会正式出台。企业应及时留意有关动向���,对数据合规工作的开展做好预判和规划。
此外���,随着我国《数据安全法》《个人信息保护法》的落地执行���,执法依据逐渐清晰���,执法范围也逐步扩展���,除了金融���、零售���、医疗���、汽车���、AI行业相关企业需重点关注以外���,涉及大量个人信息及数据处理的会计师事务所���、律师事务所等第三方机构也可能成为监管的重点关注对象。
2024年���,让我们携手并进���,在数据合规的道路上不断砥砺前行。
k8凯发天生赢家·一触即发深圳办公室数据合规组全体成员
k8凯发天生赢家·一触即发合伙人���:王艺
k8凯发天生赢家·一触即发律师及相关同事���:赵艳明���、余灏���、戴佳兵���、周谢军���、王以玮���、李元杰���、梁嘉怡
[1] 依据目前国家网信办及各地网信办发布的公开信息进行统计���,我方统计案例情况与实际存在差异���,部分企业���、产品已通过安全评估或备案���,并未公开披露。
