2024年,数字经济在全球范围内持续深化发展,成为推动经济增长、优化产业结构的重要引擎。然而,随着数字技术的快速迭代与应用场景的不断拓展,数据安全、隐私保护、跨境流动等监管问题日益凸显,成为各国政府与企业共同关注的焦点。在这一背景下,中国通过一系列立法与政策创新,进一步完善了数字经济监管框架,为全球数字治理贡献了中国智慧与中国方案。
回顾2024年,中国在数字经济监管领域取得了显著进展。《网络数据安全管理条例》的正式出台,标志着中国数据保护与平台治理法律体系的进一步完善。与此同时,人工智能、数据要素化、跨境数据流动等领域的监管政策逐步细化,为企业提供了更加清晰的操作指引,也为数字经济的健康发展奠定了坚实基础。
2024年9月,《网络数据安全管理条例》(以下简称《网数条例》)正式发布,自2025年1月1日起施行。该条例系网络数据安全领域首个行政法规级别的文件,细化了网络安全、数据安全、个人信息保护、数据跨境流动等领域的监管要求,为《网络安全法》《数据安全法》《个人信息保护法》三法下的制度衔接与协调、细化与补充提供了解决方案,标志着我国网络数据保护法律框架的进一步完善。
尽管国家积极倡导网络数据在各领域的创新应用与拓展,以及国际间的交流与合作的立法支持,但从监管的总体趋势来看,《网数条例》对于那些容易引发安全事件并可能带来重大风险的事项、特定主体开展业务的事项,以及可能对网络数据安全造成重大影响的事项,均采取了更为严格的监管措施。例如,第十条明确指出,一旦发现网络产品或服务存在安全缺陷、漏洞等风险......若涉及危害国家安全或公共利益的情况,则必须在危险情况发生后的24小时内进行报告。
此外,《网数条例》填补了立法空白,条例明确了数据委托处理的合规要求、爬虫技术的合法界限、未成年人个人信息处理规则、个人信息转移途径、网络数据安全负责人职责、大型平台的责任义务、综合执法机制,并吸纳了国标中对重要数据的界定。
《网数条例》的出台与实施为标志着中国网络数据的治理体系逐渐完善,同时作为企业重要合规依据,对网络数据处理者开展、落实、自查和纠正网络数据安全合规方面提供了重要的指导作用。2025年《网数条例》的正式实施有助于企业在数字化转型过程中更好地履行数据安全责任,促进数字经济的健康发展。
事件二:数据分类分级管理体系进一步细化
2024年3月,《GB/T 43697-2024 数据安全技术 数据分类分级规则》(以下简称《数据分类分级规则》)发布,规则旨在推动企业建立数据分类分级管理体系,确保重要数据的安全保护。《中华人民共和国数据安全法》依据数据在经济社会发展中的重要性,以及数据一旦遭受篡改、破坏、泄露或非法获取、非法利用时,可能对国家安全、公共利益或个人、组织合法权益造成的危害程度确立了数据分类分级保护制度。加之近年来我国各行各业在数据分类分级领域不断进行探索,并陆续发布了多项数据分类分级标准和规范,例如,《金融数据安全数据安全分级指南》和《工业数据分类分级指南(试行)》等。在此背景下,《数据分类分级规则》的出台完善了我国的数据分类分级体系规则,从数据分类规则、数据分级规则、数据分类分级流程等方面为各地区、各部门开展数据分类分级工作,为数据处理者进行数据分类分级提供了清晰的综合指导方针。
值得关注的是,《数据分类分级规则》将“重要数据识别指南”作为附录G纳入标准。这再次强调了各行业各领域监管部门在确定重要数据和发布重要数据目录方面的职责。未来,各行业监管部门将逐步发布重要数据目录,并进一步指导和组织企业进行重要数据识别和管理工作。企业有必要密切关注本行业重要数据目录的发布动态,适时更新其重要数据资产清单,预先规划业务模式,并依法履行处理重要数据的合规义务,确保业务合规并平稳运行。
事件三:数据要素市场即将迎来重大变化
2024年,数据要素市场化配置改革加速推进,国家数据局发布《“数据要素×”三年行动计划(2024—2026年)》(以下简称《三年行动计划》),以充分发挥数据要素乘数效应,赋能经济社会发展。
在数字化浪潮的推动下,数据作为新型生产要素已快速融入生产、消费、流通、分配和社会服务管理等各环节,成为推动经济社会高质量发展的关键动力。然而,目前仍存在一些关键问题,如数据供给质量不高、流通机制不畅、应用潜力释放不够、行业应用场景示范不强等。为解决该问题,《三年行动计划》以政策形式,从激活数据要素潜能、总体要求、重点行动、强化保障支撑、做好组织实施等五方面作出了具体要求,在激活数据要素潜能方面,文件明晰了数据要素工作当前面临的形势以及开展“行动计划”的重要性。而“重点行动”构成了文件的核心内容,从十二个典型行业领域出发,详细部署了“行动计划”的具体措施和内容。整个文件内容贯穿了数据要素流的供给、流通与应用三个关键环节的基本原则和工作要求,强调通过提高数据质量及加强数字基础设施建设等措施,确保数据的有效供给,完善市场化机制,例如建立公共数据授权运营机制,以优化数据流通环境,优先选取十二个具体行业领域,结合不同行业的基础条件和数据禀赋,挖掘和释放数据要素典型领域应用场景,确保数据在这些关键行业中的高效利用。《三年行动计划》标志着中国在数据要素市场化配置改革进程中的关键一步。相信它将通过政策引导和行业实践相结合的方式,推动数据要素的高效利用,为经济社会发展注入新的动力。
事件四:公共数据开发利用初见端倪
2024年10月12日,《公共数据资源登记管理暂行办法》(简称“《办法》”)征求意见稿、《公共数据资源授权运营实施规范》(简称“《规范》”)征求意见稿随之发布,《办法》和《规范》是《意见》的两个配套政策,对于《意见》中要求的“建立公共数据资源登记制度”以及“授权运营”操作规范、程序和要求进行了明确和细化。
习近平总书记指出,“数据是新的生产要素,是基础性资源和战略性资源,也是重要生产力”。公共数据具有规模体量大、数据质量好、价值潜能大、带动作用强的特点。全国多地已成立数据集团,探索公共数据价值释放的新模式。公共数据授权运营仍任重道远,需各方共同努力,相信未来随着数据要素市场化改革的深入,公共数据授权运营将迎来更广阔的发展空间,为数字中国建设注入强劲动力,推动数字经济高质量发展。
事件五:数据资产入表前景广阔
2024年1月1日,《企业数据资源相关会计处理暂行规定》(简称“《暂行规定》”)正式实施,《暂行规定》促进了数据资源会计处理及信息披露的规范化,数据资产入表也随之成为企业财务管理的重点,进而推动了数据资源向资产化、资本化转型。
《暂行规定》适用于企业按照企业会计准则相关规定确认为无形资产或存货等资产类别的数据资源,以及企业合法拥有或控制的、预期会给企业带来经济利益的、但由于不满足企业会计准则相关资产确认条件而未确认为资产的数据资源的相关会计处理。
在数据资产入表实践中,根据数据资源的持有目的、形成方式、业务模式以及与数据资源有关的经济利益的预期消耗方式等,数据资源一般会被列为“无形资产”、“存货”或“开发支出”。对于确认为无形资产的和存货的数据资源,《暂行规定》对初始计量、后续计量及处置等方便均有明确的指引。
对于企业而言,数据资源入表过程涉及技术、财务、法律等方面的问题,数据资源只有满足合法合规这一基本前提,才有可能成为数据资产,数据资产化之后,数据资产的交易、收益分配等后续处置,更需要法律保驾护航。
事件六:跨境数据流动新规重磅出台
2024年3月,《促进和规范数据跨境流动规定》(以下简称《规定》)正式发布。该《规定》在坚持对重要数据及个人信息的审慎态度的同时,对企业的数据出境业务合规标准和操作规范进行了优化,并引入了自贸区负面清单机制,为跨境数据流动提供了更为高效的合规路径。
为减轻企业数据出境合规负担,促使数据出境合规制度设置更趋合理化,《规定》通过如下几个方面的制度设计将风险关注的重心调整至数据出境的规模和类型:
1.结合了实践中较为常见的数据跨境业务场景,列出了数种无需使用申报数据出境安全评估、签订个人信息出境标准合同、通过个人信息保护认证的情形。
2.侧重针对特定场景的业务需求,在不包含个人信息或者重要数据的前提下,允许国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等活动中产生的数据出境活动不适用数据跨境传输机制,为中国企业开展跨境业务提供了极大便利。
3.为自贸区的数据跨境流动制度提供了便捷机制,即通过数据清单的形式,让自贸区在兼顾安全管理的基础上,促进区域内的数据跨境流动的便捷性。自贸区内数据处理者向境外提供负面清单外的数据时,可以不履行数据出境监管流程的义务。
不难看出,《规定》的公布和实施,反映了我国在数据跨境传输监管领域的创新思路,不仅强化了数据出境的安全保障,还兼顾了数据跨境流动的效率和灵活性,为我国企业在全球化背景下开展业务提供了有力的支持。《规定》降低了企业的合规成本,提高了数据通关效率,为中国企业在全球市场扩大市场份额创造了更有竞争力的政策环境。
事件七:中企出海面临数据合规的挑战加剧
2024年,中国企业出海面临更复杂的国际数据合规挑战。世界各主要经济体在数据和个人隐私领域的立法趋于完善,尤其在是欧美国家强化数据主权的背景下,拓展海外业务的中企更需加强跨境数据流动的合规管理。
未来几年,可以预见全球范围内贸易保护主义有所抬头,中国企业需积极适应海外市场的监管变化。欧美国家作为全球数据治理的先驱者,近年在个人隐私安全保护领域的法律和监管框架不断完善。2024年2月28日,美国总统拜登签发了《关于防止受关注国家获取美国人大量敏感个人数据和美国政府相关数据的行政命令》。该行政令对涉及美国政府和美国人的敏感数据的流通、交易提出了相当严格的限制。这代表着出海企业需主动适应不断变化的国际法律环境,强化数据合规体系和风险评估,确保跨境业务合法顺利开展。当然,此行政令颁布前,欧美国家各自已经形成了一系列较为成熟的数据隐私保护体系,如欧盟的《通用数据保护条例》(GDPR),美国联邦层面的《儿童在线隐私保护法》(COPPA)和州层面的《加州消费者隐私法案》(CCPA)。
特别值得注意的是,未来更多的国家会在数据保护领域内对数据的收集、处理和传输等环节提出更高的监管要求,中国出海企业的合规运营将面临严峻的挑战。
事件八:人工智能监管持续发展
开创性案例涌现
随着生成式人工智能的广泛应用,对人工智能的监管法规不断出台和完善。2024年国内陆续出台了《生成式人工智能服务安全基本要求》(以下简称“《基本要求》”)《人工智能生成合成内容标识办法(征求意见稿)》两部行业标准和技术规范。
《基本要求》由全国网络安全标准化技术委员会发布,将适用的对象划定为面向中国境内公众提供生成式AI服务提供者,同时重点结合实践中出现的安全风险提出了对应措施的要求。《基本要求》首先对语料安全进行了规范,这要求对语料来源进行安全评估,以确保语料来源可追溯,阻断违法不良信息作为语料,并采取多种方式过滤违法不良信息,包括违反社会主义核心价值观的内容、歧视性内容、侵犯他人个人等情况。
《基本要求》也针对AI模型安全提出了要求,对此要求建立常态化监测测评手段,提高生成内容的可靠性。同时文件还强调了安全措施的要求,需要对模型适用人群、场合等提高透明度。除上述的三项要求外,《基本要求》还规定服务提供者应组织对上述各项要求开展安全评估。
2024年,AI伦理问题也引发了广泛关注。司法实践中多起AI侵权案件成为行业焦点。广州互联网法院判决了一起生成式AI服务侵犯著作权的案件(2024粤0192民初113号)。法院认为,被告(某人工智能公司)在提供生成式人工智能服务过程中侵犯了原告对案涉作品所享有的复制权和改编权,这是全球范围内首例生成式人工智能侵犯他人著作权的生效判决,具有开创性意义。北京互联网法院宣判了全国首例AI生成声音侵犯人格权案件。法院认为,在AI生成的声音具有可识别性的情况下,自然人的声音权益保护范围可以扩展到AI生成的声音。北京互联网法院还公布了一例未经授权对包含他人肖像的视频进行AI换脸处理引发个人信息权侵权的案件。该案中,被告使用原告出镜的视频制作自己的视频,利用AI将自己的面部取代原告的面部,但保留了发型、服饰、动作、镜头等一些列特征。法院认为案涉短视频呈现了的个体化特征属于原告的个人信息。上述案件结果巧妙平衡了个人信息保护和AI技术等新兴技术的发展,对未来数字经济的稳步创新具有重要意义。
事件九:算法治理专项行动持续推进
2024年11月至2025年2月,网信办等四部门联合开展“清朗·网络平台算法典型问题治理”专项行动。本次专项行动意在整治网民关切的算法问题,任务总体可以分为两大类别,第一类是算法责任和用户权益保护的问题,整治包括:诱导用户沉迷的“信息茧房”问题;利用算法压缩配送时间等保护劳动者权益的问题;大数据“杀熟”问题;针对社会弱势群体的算法推荐问题。第二类是关注算法透明度、公平性和安全性的问题,包括:违规操纵干预榜单炒作热点;落实算法安全主体责任。本次行动设立了五大目标,即算法导向正确;算法公平公正;算法公开透明;算法自主可控;算法责任落实。
开展于年末的本次专项行动是为了解决群众反映强烈的“被困住算法里”的问题,能切实解决群众关切问题的初衷是值得肯定的。当然除了响应群众呼唤,本次专项更深入的原因在于打击互联网平台公司的利用其垄断地位控制消费端和成本端市场价格,营造更公平的互联网营商环境。
我们期待限制新型互联网平台通过算法实现的不当行为的专项行动取得显著成效。展望未来希望各大网络平台企业能善用算法承担社会责任,保障互联网领域有序竞争,善待用户重视用户的权益,以网络平台算法赋能实体经济,推动经济高质量发展。
事件十:可信数据空间的顶层前瞻布局
《行动计划》围绕可信数据空间这一概念展开,可信数据空间是基于共识规则,联接多方主体,实现数据资源共享共用的一种数据流通利用基础设施。可信数据空间可以通俗地理解为一个存放数据的图书馆,这个云端的图书馆可以允许不同的个人和企业在仓库里存放、查找数据,不同的人和组织可以将自己的数据“借”给他人使用,也可以从别人那里“借”到有用的数据,实现数据资源的共享和利用。同时“可信”就像图书馆有明确的借书规则和入馆权限,数据的使用和共享都需要遵循严格验证和获得相应的授权,防止其中的数据被非法访问、篡改或泄露。
《行动计划》提出打造可信数据空间具备数据可信管控、资源交互、价值共创三类能力。数据空间可信管控能力是最核心的能力,指通过技术手段保障参与各方主体身份可信、数据资源管理权责清晰、应用服务安全可靠的能力。《行动计划》明确实现数据空间可信管控能力的具体手段是:令运营者构建合约和履约行为的存证体系,提升数据资源开发利用全程溯源能力,从而实现可信管控能力。资源交互能力指实现其主要数据互通这一主要功能的能力,具体指的是促进数据空间互联互通,实现跨空间身份互认、资源共享、服务共用。价值共创能力针对可信数据业务中收益的分配问题,该能力要求各方服务机构探索动态数据价值评估模型,按照市场评价贡献、贡献决定报酬分配收益。
结语
王彩琴
■ 北京市盈科(深圳)律师事务所 高级合伙人
■ 执业领域:数据合规、通信及互联网综合法律服务,涉外业务
梁敏
■ 北京市盈科(深圳)律师事务所 律师
■ 执业领域:数据合规、投融资并购、公司合规
郝春立
■ 北京市盈科(深圳)律师事务所 律师
■ 执业领域:数据合规、互联网平台合规、医疗医药合规
宓瑞杰
■ 北京市盈科(深圳)律师事务所 律师助理
