热门主题
你好数安 | 2023年度数据领域十大法律事件
2024-02-22 12:50:018683人阅读
文章来源:你好数安
2023年数据治理是发展与安全平衡的一年。
数据发展方面,首先数据要素化政策暖风频吹,国家大数据局成立并负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用承担数据确权工作。其次,《企业数据资源相关会计处理暂行规定》正式确定并规范企业数据资源相关会计处理,为数据资产化提供制度安排。地方层面,北京、上海、广东、湖北等多地出台数据要素市场相关政策,对公共数据、数据要素市场、监管治理、数据安全等方面进行探索。各省市积极开展“数据资产登记”“数据产品登记”“数据资产凭证”等先行先试实践,福建、浙江、江苏、山东、北京、广东等地陆续推出数据知识产权登记平台。
数据跨境处于数据发展与安全的动态平衡中的焦点位置。 2023年不仅数据出境的几条途径陆续有跑通的“首案”公布,《规范和促进数据跨境流动规定(征求意见稿)》对出境“松绑”也引发了很大的关注。同时,国际层面,欧美也达成数据隐私框架协议。
数据安全方面,随着过去两年三大基础法律的实施和主要数据安全制度的确定,监管进入日常化,立法活动主要在灵活的完善和调整中。不同部门针对行业领域的数据安全管理在细化立法过程中。
2023年3月《党和国家机构改革方案》指出,组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,推进数字中国、数字经济、数字社会规划和建设等,为数据安全治理提供强力支撑。
10 月 25 日,国家数据局正式揭牌。筹备阶段的国家数据局的内部按照综合、数据要素、数字经济、基础设施和公共数据等工作划分为五个组。
12月8日,在第二届数字政府建设峰会开幕式上,国家数据局局长刘烈宏表示,国家数据局将大力推动公共数据资源开发利用,加快数据市场化配置改革。其中提到,要落实产权分置制度,明确公共数据授权运营的合规政策和管理要求,厘清数据供给、使用、管理的权责义务,探索公共数据产品和服务的价格形成机制,让公共数据“供得出”。
12月25日,国家发展改革委、国家数据局印发《数字经济促进共同富裕实施方案》。
12月31日,国家数据局等部门正式印发国数政策〔2023〕11号文件 《“数据要素×”三年行动计划(2024—2026年)》,强调发挥数据要素乘数效应,赋能经济社会发展。《行动计划》强调坚持需求牵引、注重实效,试点先行、重点突破,有效市场、有为政府,开放融合、安全有序等4方面基本原则,明确了到2026年底的工作目标。选取了工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等12个行业和领域,推动发挥数据要素乘数效应,释放数据要素价值。
数据局的成立是国家在数据发展上从顶层设计向数据发展管理体制机制的推进,相关领导在发言中反复提到数据要“供得出”“流得动”“用得好”,年底11号文的发布为2023年画上了句号,也开启了2024年数据要素市场发展的新篇章,数据要素如何与12个行业的深度融合,发挥数据要素的放大、叠加、倍增作用,可能会有更过的探索。
2023年8月1日,财政部印发《企业数据资源相关会计处理暂行规定》规定了数据资源“入表”,即企业在编制资产负债表时,应根据重要性原则并结合实际情况,在资产负债表中的“存货、无形资产、开发支出”三个项目下增设“数据资源”子项目,并在报表附注中进行披露。《暂行规定》自2024年1月1日起施行。
9月,在财政部指导下,中国资产评估协会制定了《数据资产评估指导意见》,自2023年10月1日起施行。
10月上旬,温州市大数据运营有限公司的数据产品“信贷数据宝”完成了数据资产确认登记。温州市财政局在通告中称,这是温州数据资产确认登记第一单,也是目前国内有公开报道的、财政指导企业数据资产入表第一单。
11月25日,上海数据交易所在2023全球数商大会上发布《数据资产入表及估值实践与操作指南》。
12月5日,由浙江省财政厅归口,浙江省标准化研究院牵头制定的《数据资产确认工作指南》正式实施,成为国内首个针对数据资产确认制定的省级地方性标准。
数据资产入表能够直接显化数据资源价值。哪些数据入表?根据《暂行规定》,目前按照会计准则数据资源可被认定为无形资产或存货。《暂行规定》还对企业通过外购方式取得的数据资源和企业内部数据资源研究开发的相关支出费用计入进行了详细规定。另外,《暂行规定》对数据资源的列示与披露均做出了细化规定。列示方面,企业需根据重要性原则和企业实际情况在资产负债表中将数据资源以报表子科目的形式单独列示。披露方面,《暂行规定》要求企业根据重要性原则并结合实际情况增设报表子项目,并通过表格方式细化披露。资产入表有利于企业数据资源价值外显,但前提是企业厘清数据资源价值的构成、来源和实现方式,这对企业的内部数据合规管理提出了更高的要求。
根据中国信通院《公共数据授权运营发展洞察(2023年)》的梳理,2023年,国内共有31个省市出台涉公共数据授权运营的政策法规,包括《北京市公共数据专区授权运营管理办法(试行)》、《浙江省公共数据授权运营管理办法(试行)》、《杭州市公共数据授权运营实施方案(试行)》、《深圳市公共数据开发管理办法(征求意见稿)》等,截至2023年底,全国地级市以上数据开放平台已经达到226个。
数据要素频频提及的“供得出”中,公共数据被重点提出。但是公共数据怎么提供,仍需要各地的积极探索,因此各地纷纷展开公共数据授权运营的立法,也形成了不同的运营模式。第一,“数据专区”模式,针对重大领域、重点区域或特定场景,采取政府授权运营模式,选择具有技术能力和资源优势的企事业单位主体开展运营管理,例如北京。第二,集中统一政府授权运营模式,将各部门数据的市场化运营集中在一个单位(一般是国有企业),数据使用单位通过与其签署使用协议和安全协议获得数据的使用权,例如上海、成都。第三,多层次分散授权模式,主要是《浙江省公共数据授权运营管理办法(试行)》,首先由公共数据主管部门发布重点领域的授权运营公告,然后申请单位经过“申请——资格审查——评审”环节才能获得授权,与公共数据主管部门签订运营协议。地方公共数据立法虽然各自有别,但整体上体现了“数据二十条”关于“汇聚共享和开放开发,强化统筹授权使用和管理”以及“严格管控未依法依规公开的原始公共数据直接进入市场”的基本精神。而对于“数据二十条”下“推动用于公共治理、公益事业的公共数据有条件无偿使用,探索用于产业发展、行业发展的公共数据有条件有偿使用”的落地探索仍在途中。
2023年,多个省市陆续出台关于数据资产登记的部门规章或规范性文件,但因为对数据资产登记范围的不同,数据资产登记名称呈现多样化的特点,表述主要有以下几类:
一、数据知识产权登记。例如《北京市数据知识产权登记管理办法(试行)》规定“数据知识产权的登记对象,是指数据持有者或者数据处理者依据法律法规规定或者合同约定收集,经过一定规则或算法处理的、具有商业价值及智力成果属性的处于未公开状态的数据集合。”
二、数据产权登记。例如《深圳市数据产权登记管理暂行办法》规定,数据产权登记是指数据产权登记机构将数据资源和数据产品的权属情况及其他事项进行记载的行为。
三、数据资产登记。例如《广东省数据资产合规登记规则(试行)》规定数据资产登记,是指登记机构对数据产品和服务进行合规性审核,并将其权益归属和其他事项记载于数据资产登记凭证的行为。
四、数据产品登记。例如《海南省数据产品超市数据产品确权登记实施细则(暂行)》授权海南省数据产品超市运营者实施海南省数据产品确权登记的相关工作。
各地登记制度和证书都是对数据产权创设的尝试,不同名称的背后,其后存在的“权利属性”也会有差别,当然权利的创设既是自上而下的确权过程,也是自下而上的形成过程。
2023年2月22日《个人信息出境标准合同办法》发布,2023年6月1日生效。
1月18日,网信北京公众发文,称首都医科大学附属北京友谊医院与荷兰阿姆斯特丹大学医学中心合作研究项目成为全国首个数据合规出境案例,该项目的审批通过,标志着国家数据出境安全评估制度在北京市率先落地。
6月25日,网信北京公众号发文,称北京德亿信数据有限公司与香港诺华诚信有限公司签订的个人信息出境标准合同已通过市网信办组织的备案审核,这是首家通过订立标准合同实现个人信息合规出境的企业。
7月25日,国务院发布《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》,明确提出“探索便利化的数据跨境流动安全管理机制”。9月28日,国家网信办发布《规范和促进数据跨境流动规定(征求意见稿)》,大幅抬高数据出境安全评估、个人信息出境标准合同和个人信息保护认证三条监管路径的适用门槛,允许自贸区自行制定负面清单。
12月10日,国家网信办联合香港创新科技及工业局发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(“粤港标准合同”)。
《规范和促进数据跨境流动规定(征求意见稿)》是2023年度最重要的数据合规立法,其对《数据出境安全评估办法》、《个人信息出境标准合同办法》等数据出境规定作出了一定修改,包括(1)境外个人信息过境传输的豁免;(2)没有官方明确为重要数据的,无需就重要数据进行申报;(3)对个人信息出境的一些普遍场景的豁免,包括履行合同所必要、人力资源管理所必须等;(4)提升了申报数据出境安全评估和标准合同备案触发的门槛,预计一年内向境外提供不超过一万人个人信息的企业得以完全豁免。 12月的“粤港标准合同”是地方上首个对国家数据跨境制度作出便利化安排的正式文件。根据2023年12月10日国家网信办公布的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》,粤港澳大湾区个人信息处理者及接收方可通过订立“粤港澳大湾区个人信息跨境流动标准合同”的方式进行粤港澳大湾区内内地和香港之间的个人信息跨境流动,取消了数量门槛,扩大了标准合同的适用范围,简化了个人信息保护影响评估的内容,降低了境外接收方的义务等,整体上通过监管模式创新促进粤港间数据自由流动。相较于《个人信息出境标准合同办法》,“粤港标准合同”的订立和备案过程更为便捷,具体主要包括:(1)个人信息保护影响评估需要评估的内容得到了简化,不再需要评估个人信息后遭到篡改、破坏、泄露、丢失、非法利用等的风险、个人信息权利维护渠道的通畅性和接收方所在国家或地区的政策和法律环境;(2)在备案过程中,不再需要提供个人信息保护影响评估报告,而是以承诺书作为替代材料,由于不涉及相关主管部门对评估报告的事前查阅,因而一定程度上降低了备案不通过的风险。该政策首阶段香港地区将邀请银行业、征信业及医疗业机构参与先行先试。
2023年12月15日,中国网络安全审查技术与认证中心向珠海澳科大科技研究院、支付宝(中国)网络技术有限公司、北京华品博睿网络技术有限公司、京东科技信息技术有限公司等5家企业颁发了我国首批个人信息保护认证证书。其中,珠海澳科大科技研究院的项目是“基于‘澳门科技大学科研数据跨境流动管理系统’的科研工作和管理业务所涉及的个人信息处理活动”,该项目同时还获得了澳门特别行政区政府个人资料保护办公室颁发的“个人资料跨境转移许可”。其他几家企业认证的场景尚未公布。
个人信息保护认证是支撑政府个人信息保护监管的有效手段,也是适应市场经济体制下企业合规发展的需要。个人信息保护认证,是依据GB/T35273-2020《信息安全技术个人信息安全规范》等有关国家标准,证明个人信息处理者在认证范围内开展的个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动符合认证依据标准要求。认证实施是对个人信息处理者的个人信息处理活动进行的综合“体检”,对促进个人信息处理者增强个人信息保护管理主体责任意识,及时发现并整改个人信息处理存在的问题,完善个人信息保护管理机制,持续保持个人信息处理符合国家法律法规和标准规范要求,提高产品和服务的市场竞争力等方面具有重要的作用。首批企业通过认证,标志着我国个人信息保护认证工作迈出重要一步,为构建安全、可靠、有序的数据流通与治理环境奠定坚实基础。
网信:
8月3日,网信办公布《个人信息保护合规审计管理办法(征求意见稿)》 并公开征求意见。
8月8日,网信办公布《人脸识别技术应用安全管理规定(试行)(征求意见稿)》并公开征求意见。
12月8日,网信办公布《网络安全事件报告管理办法(征求意见稿)》并公开征求意见。
工信:
2023年5月22日,工信部科技司发布了《工业领域数据安全标准体系建设指南(2023版)(征求意见稿)》,为工业领域数据处理者开展重要数据识别和认定工作提供指引。
10月9日,工信部发布了《工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿)》,细化了工业、电信、无线电领域重要数据的评估工作。
金融:
2023年5月1日,中国证监会制定并发布《证券期货业网络和信息安全管理办法》正式实施,《办法》为证券公司、期货公司、基金公司等主体的网络和信息安全、投资者个人信息保护、信息系统分类分级管理等提出明确要求。
7月24日,中国人民银行起草《中国人民银行业务领域数据安全管理办法(征求意见稿)》并公开征求意见。
8月30日,国家金融监督管理总局、中国人民银行、中国证券监督管理委员会、国家互联网信息办公室、国家外汇管理局联合发布《关于规范货币经纪公司数据服务有关事项的通知》,要求货币经纪公司应加强数据治理,确保数据安全。
11月13日财政部会同国家网信办研究起草发布了《会计师事务所数据安全管理暂行办法(征求意见稿)》。
其他:
10月24日,《未成年人网络保护条例》发布,自2024年1月1日起施行。其第四章专章规定了未成年人“个人信息网络保护”。
6月1日,科技部于发布第21号令《人类遗传资源管理条例实施细则》,就人类遗传资源的出境作出了单独规定,标志着特定领域的数据出境具体规则开始落地。
7月18日,国家铁路局发布了《铁路关键信息基础设施安全保护管理办法(征求意见稿)》,强调了对铁路关键信息基础设施下重要数据的安全保护。
网信:
2023年3月18日,国家互联网信息办公室发布了《网信部门行政执法程序规定》,并于2023年6月1日正式实施。
9月1日,网信办依据《网络安全法》《个人信息保护法》《行政处罚法》等法律法规,综合考虑知网违法处理个人信息行为的性质、后果、持续时间,特别是网络安全审查情况等因素,对知网依法作出网络安全审查相关行政处罚的决定,责令停止违法处理个人信息行为,并处人民币5000万元罚款。
工信:
2月6日,工信部发布《进一步提升移动互联网应用服务能力的通知》,7月21日,工信部发布《关于开展移动互联网应用程序备案工作的通知》。11月23日,工信部网络安全管理局发布了《工业和信息化领域数据安全行政处罚裁量指引(试行)》,该指引指导了该领域的数据安全监管部门在合法和适当的范围内行使行政处罚的自由裁量权,统一裁量标准,推动了工信领域行政处罚工作制度化和规范化发展。
2023年全年,工信部共开展了9批对App的执法活动。
2023年7月10日,欧盟委员会通过了欧盟-美国数据隐私框架的充分性决定。该决定认可参与《欧盟-美国数据隐私框架》的美国公司可以提供与欧盟相当的数据保护水平。根据新的充分性决定,个人数据可以安全地从欧盟流向获得DPF认证的美国公司,而无需实施额外的数据保护保障措施或进一步授权。
2023年《欧美数据隐私框架》的达成是欧美之间为促进数据自由流动的第三次努力,也是2020年《欧美隐私盾协议》失效后,历时三年的谈判成果。2020年欧盟法院通过SchremsII裁定欧美隐私盾协议失效,指出美国情报机构即使在监控目的完成后也不会告知欧盟公民曾对其实施过监控。 根据《欧美数据隐私框架》,美国公司通过承诺遵守一系列详细的隐私义务来加入隐私框架,包括美国公司在处理欧盟公民的个人数据时,一旦不再需要这些数据用于收集目的,应立即将其删除。同时,在与第三方共享个人数据时应确保保护的连续性,这意味着即使数据的控制者发生改变,也必须确保对个人数据的处理仍然符合隐私框架的规定,以保护个人数据的隐私和安全。此外,美国公司在传输欧盟个人数据时除了必须遵守一系列数据保护义务,还应采取适当的技术措施与建立相应的组织机构,确保能够有效遵守数据保护义务。 《欧美数据隐私框架》为欧盟公民设置了多重救济路径。包括美国建立数据保护审查法院,为欧盟公民提供独立的赔偿机制,如果发现美国公司在数据处理中违反了欧盟数据保护相关规定,则可以命令其删除该数据。此外,针对欧洲公民对美国情报机构使用数据的投诉还设置了美国联邦调查局的“公民自由保护官”和“数据保护审查法院”的双层救济路径。 尽管欧盟和美国已经就数据隐私保护框架达成一致,但是新增的制度设计能否解决隐私盾协议的老问题仍需要时间检验。
2023年11月9日,欧洲议会宣布以压倒性多数即481票赞成、31票反对、71票弃权通过了《数据法》。欧盟《数据法》是继《数据治理法》之后第二个主要的立法,该法案意图弥补《数据治理法》的不足,在欧盟《通用数据保护条例》的基础上,提供了适用于所有数据的更广泛的规则。
第一,扶持欧盟中小企业,对抗国际互联网巨头。为了实现此目标,《数据法》引入了三个规定:用户与第三方访问及利用数据权;禁止签订不平等的数据分享合同;云服务数据可携权。
第二,细化数据权属,促进数据利益分配。《数据法》明确承认数据是一种“可复用”资源,鼓励数据(除个人数据、敏感商业数据、有保密义务的数据、国家安全和国防数据这几类数据之外)的自由流动和多次利用。
第三,《数据法》允许公共机构可以在公共紧急状况等异常状况下要求数据持有者(不包括小微企业)向政府分享所掌握数据的新规定。
第四,限制非个人数据被欧盟境外政府查阅和转移,数据持有者必须以合理的方式确保欧盟内的非个人数据尽量不被传输到欧盟境外或被欧盟境外的政府访问。
《数据法案》是根据欧盟2020年颁布的《欧洲数据战略》制定的,继《数据治理法》之后,成为欧盟数据战略计划中的第二部核心立法。该法案在欧盟《通用数据保护条例》的框架内,为所有数据类型提供了更广泛的规则。欧盟《数据法案》重点保护更广泛意义上的数据,让欧盟的最终用户对使用联网设备时生成的数据有更多的控制权,包括让用户访问智能产品、机器或设备生成的数据,并在他们选择的情况下与外部各方共享这些数据。 【免责声明】本文撰写所需的信息采集自合法公开的渠道,我们无法对信息的真实性、完整性和准确性提供任何形式的保证。本文仅为分享、交流信息之目的,不构成对任何企业、组织和个人的决策依据,也不代表任何主体的立场。
