下载掌阅APP,畅读海量书库
立即打开
1.国际规则发展趋势
(1)全球数字规则体系动向
①强化数字规则顶层设计,完善数字治理框架。一个国家的数字战略是具体数字规则的顶层设计,各国近年来纷纷出台数字战略规划,指导本国的数字经济发展、数字立法和数据治理。
美国在2019年12月出台《联邦数据战略》并发布了配套的《2020年行动指南》,2020年9月出台了《国防部数据战略》,这些战略与2018年颁布的《美国国家网络战略》《数据科学战略计划》《美国先进制造业领导力战略》互相补充衔接。2021—2022年,美国政府发布的多项政策文件都将战略重心放在了数据安全上,并着重强调了数据安全的外部威胁。2021年7月28日,美国总统签署《国家网络安全备忘录》(National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems),指出关键基础设施故障毁坏导致的网络安全问题是美国面临的重大威胁,并明确了关键基础设施所有者和运营者的安全责任。2021年8月25日,美国政府与私营企业、教育部门代表共同讨论举全国之力(whole-of-nation)应对网络安全威胁,与会人员各自宣布了一些承诺和倡议。2022年1月19日,美国政府提出进一步提升如国防系统、情报机构及其他敏感机构网络安全要求。2022年1月26日,白宫管理和预算办公室(OMB)正式发布《向零信任安全方法迁移的联邦战略》(Moving the U.S. Government Toward Zero Trust Cybersecurity Principles),要求联邦各级机构在2024财年之前达成战略标准二号目标,从而加强政府防御网络风险的能力,从上述政策文件可知美国国内在多个层面推进其数据安全战略。
欧盟的数字战略一方面强调数字安全建设,另一方面着力促进数字经济发展。其在2020年发布了《欧盟数据战略》(A European strategy for data)、《欧洲数据保护监管局战略计划(2020—2024)——塑造更加安全的数字未来》(EDPS Strategy 2020—2024: Shaping a safer digital future),强调要发挥欧盟在数字经济中的领导作用,积极应对数字化发展中的各项挑战,提升欧盟在数字标准制定中的话语权,推行基于欧盟共同价值观的数字规则。2020年11月25日,欧盟提出《数据治理法案》(Data Governance Act),旨在促进整个欧盟以及各部门、成员国之间的数据共享,构建数据市场运行框架。2021年3月,欧盟发布了《2030数字罗盘:欧盟数字十年战略》(Europe’s Digital Decade:digital targets for 2030),制定了诸多措施推动欧盟的数字化转型,加快欧盟的数字化发展。2022年2月23日,欧盟委员会提出了一项关于公平获取和使用数据的统一规则的条例——《数据法案》(Data Act),这是继《数据治理法案》(Data Governance Act)后欧盟发布的第二个核心立法,《数据法案》(Data Act)进一步明确了数据访问主体和条件、数据使用主体、数据使用用途等,旨在提升数据利用质量和效率,促进数字经济发展。2022年7月18日,欧洲理事会正式通过《数字市场法案》(Digital Markets Act,DMA)。2022年10月4日,欧盟理事会通过《数字服务法》(Digital Services Act,DSA)。该两部法案均提出对大型科技巨头采取强监管措施,其目的在于破除互联网产业垄断,促进欧盟数字经济的发展和在全球范围内的崛起。
②重视数据主权,加强数据跨境流动监管。数据跨境流动涉及国家数据主权和国家安全,不同国家在数据跨境流动上持有不同的政策倾向。
美国倾向于反对数据本地化和数据保护主义,主张“数据的自由流动,维护自由贸易”,所以在数据跨境流动方面并没有过多的限制,目前和数据跨境流动直接相关的国内法案主要有2018年公布的《澄清海外合法使用数据法案》(Clarifying Lawful Overseas Use of Data Act,CLOUD Act)和《2019国家安全和个人数据保护法案》(National Security and Personal Data Protection Act of 2019,NSPDPA)。美国数据跨境流动的区域合作也在扩张。
欧盟强调由个人控制个人数据,从这个意义上说,欧盟对数据跨境流动的监管相对严格,高度重视对个人信息与隐私的保护。但是欧盟在内部和外部推行不同的数据跨境流动政策,对外严格控制数据跨境流动,对内则在其成员国内积极推动数据自由流动,期望在其内部建立一个统一的数字市场,故欧盟数据战略中强调要着力构建整个欧盟的数据共享机制。欧盟的数据跨境流动不仅区分欧盟内外,还区分个人数据和非个人数据。个人数据跨境传输的相关法案主要为《通用数据保护条例》(General Data Protection Regulation,GDPR),欧盟委员会可以依据GDPR作出“充分性认定”(adequacy decision),来认定非欧盟国家是否有足够的数据保护水平,该认定将评估个人数据从欧盟流出进入第三国是否需要附加保护措施以影响数据跨境传输的衔接、自由程度。截至目前,欧盟委员会已经承认安道尔、阿根廷、加拿大(商业组织)、法罗群岛、格恩西岛、以色列、马恩岛、日本、泽西、新西兰、韩国、瑞士、乌拉圭、英国等国家或地区根据GDPR和《数据保护法执法指令》(LED)有足够的数据保护水平。如果第三国不在欧盟“充分性认定”范围内,个人数据转移则必须遵守相关规则,提供相应的保护措施,如利用具有约束力的公司规则(Binding Corporate Rules)、标准合同条款(Standard Contractual Clauses)满足欧盟对于个人数据跨境流动的要求。关于非个人数据,欧盟希望促成欧盟统一数据市场,故非个人数据流动相关规定主要是针对欧盟成员国之间的流动,相关法规主要有《非个人数据自由流动条例》(Regulation on the Free Flow of Non-personal Data)。2019年5月,欧盟又发布了非个人数据跨境流动相关指南《欧盟内非个人数据自由流动框架条例指南》(Guidance on the Regulation on a Framework for the Free Flow of Non-personal Data in the European Union)。2022年2月23日公布的《数据法案》(Data Act)对欧盟内部跨部门数据共享和使用也作了进一步规定,以完善内部数据市场。
欧盟不仅在立法上重视数据跨境流动,还采取了较为严格的执法标准。如2022年2月10日,法国数据保护局(CNIL)收到NOYB(奥地利注册的非营利组织)投诉,发现有欧盟境内网站在运用美国某搜索引擎公司分析工具(Analytics)时使用了欧盟境内个人数据并且在向美国传输时未遵守欧盟规定。CNIL认为上述转移行为是非法的,命令网站管理员遵守GDPR要求,必要时将停止使用该搜索引擎公司分析工具。NOYB总共在27个欧盟成员国和其他三个欧洲经济区(EEA)国家提出了101起投诉,指控101名数据控制者涉嫌将欧盟境内个人数据转移到美国,这些投诉的最终结果可能对网络分析公司和网站运营商产生重要影响。由于美国和欧盟之间的“隐私盾协议”(Privacy Shield)被欧盟法院在2020年7月的“Schrems Ⅱ”案中裁决驳回,而“安全港协议”(Safe Harbor)则在更早的“Schrems Ⅰ”案中就被欧盟法院宣布无效,欧盟和美国间的数据传输受到影响,不过根据美国和欧盟于2022年3月25日发布的新声明来看,双方已经就新的数据跨境传输协议——《跨大西洋数据隐私框架》(Trans-Atlantic Data Privacy Framework)达成了原则性一致,未来将促进美欧之间数字贸易的进一步合作。
而中国、俄罗斯、印度等国则更强调数据安全,对于数据跨境流动的监管更为严格,一般在数据境内处理、数据本地化方面提出要求。2021年10月29日,中国国家互联网信息办公室(CAC)发布了《数据出境安全评估办法》
,立法目的在于“规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动”,以维护国家安全为指导原则,明确了数据出境相关企业安全评估的责任义务和具体操作。
③部署数据安全新格局,打开数据安全监管新局面。数据安全是数据发展的保障,数字经济的腾飞需要坚固的数据安全作为基础。近年来,全球数据安全问题频发,数据垄断、数据泄露的数量不断创下新高,数据被破坏的范围不断突破。加快网络安全部署迫在眉睫,保障数据安全势在必行,目前各国积极展开规划,在多个方面制定数据安全规则。
一是强化数据安全的战略意义,优化顶层设计。2021年,欧盟发布《欧盟数字战略自主的网络安全研究方向》(Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy)、《关于欧盟数字十年网络安全战略的结论》(The EU’s Cybersecurity Strategy for the Digital Decade)等报告,将数据安全作为重点研究方向。2021年5月,日本内阁发布《下一代网络安全战略纲要》,并在9月发布新版《网络安全战略》。
二是对于不同的行业,重点突破,有针对性地采取不同的数据安全规则。例如,专门针对生物识别数据安全、健康医疗大数据安全、关键基础设施安全的立法不断增多。美国的《国家生物识别信息隐私法案》(National Biometric Information Privacy Act of 2020)和欧盟的《人工智能法案》(Artificial Intelligence Act)均对收集生物识别数据的行为作出了规范,美国的《物联网网络安全改进法案》(IoT Cybersecurity Improvement Act)和欧盟的《物联网安全准则》(Guidelines for Securing the Internet of Things)均旨在提高网络安全基础设施的建设,欧盟数据保护机构发布的《车联网个人数据保护指南》(processing personal data in the context of connected vehicles and mobility related applications)则对强化车联网数据安全作出了规定。
④推出个人信息保护新举措,构建隐私保护新体系。近些年来,全球个人信息侵害案件频发,个人信息保护成了全球瞩目的焦点,多国快速推进个人信息保护立法,多方主体参与其中,开启了全球数据隐私新篇章,构建了个人信息与隐私保护的新体系。
美国在联邦层面一直没有制定关于个人信息和隐私保护的统一法典,而是采取各行业分散立法、分类监管的模式,如《电子通信隐私法》(Electronic Communications Privacy Act,ECPA)、《儿童在线隐私保护法》(Children’s Online Privacy Protection Act)、《金融服务现代化法》(Financial Services Modernization Act)。2021年7月,美国统一法律委员会(ULC)投票通过了《统一个人数据保护法》(the Uniform Personal Data Protection Act,UPDPA),旨在为各州的隐私立法提供统一的参考。
与联邦层面的分散立法倾向不同,美国各州在制定法典化的数字规则上非常积极,较联邦更早地尝试构建自己的数字规则,相继出台了各自的法律法规,其中最具有代表性的就是于2020年1月1日正式生效的《加州消费者隐私法案》(California Consumer Privacy Act,CCPA),该法案是美国的第一项全面隐私法,超越了联邦的立法传统,在形式上与欧盟的《通用数据保护条例》(GDPR)较为相似,2020年通过的《加州隐私权和执法法案》(California Privacy Rights Act,CPRA)在CCPA的基础上进一步强化了对个人信息的保护。由于加州经济发达,企业较多,对美国其他州的数据隐私立法具有重要的借鉴意义。
欧盟在2018年出台的《通用数据保护条例》(GDPR),是全球第一部区域性统一数据法典,也是目前全球具有代表性的个人信息和数据安全方面的立法,该法案旨在平衡个人信息权利保护和数据自由流动,并采取严格的个人信息保护措施。这种严监管的理念对中国、日本等国家的数字立法产生了一定影响,如中国于2021年11月1日实施的《个人信息保护法》、日本修订后已于2022年4月1日生效的《个人信息保护法修正案》。2020年,欧洲议会通过了《欧盟委员会关于GDPR实施两年后执行情况的评价报告》,随后欧盟委员会也发布了关于GDPR实施效果的官方报告,高度认可了GDPR在个人数据保护方面的价值和实际影响力。2021年2月,欧盟发布《电子隐私条例》(the e-Privacy Regulation)草案作为GDPR在电子通信领域的细化和补充的特别法,加强和扩大了对隐私保护的力度和范围。
⑤国际合作新发展,规则协调新探索。数字治理是全球治理的新领域,为了数字经济的可持续发展,需要全球共同推进数字规则朝着更加公正合理的方向前进。当前,各国积极参与全球数字规则建设,取得了初步成就:2019年,日本提出了“信任的数据自由流动”,获得了G20和G7集团领导人的认可,未来或将继续推进。中国积极推动建设和平、安全、开放、合作的数字规则体系,于2020年9月发起《全球数据安全倡议》
,积极贡献中国智慧。2020年11月15日,东盟10国和中国、日本、韩国、澳大利亚、新西兰等15国领导人达成协议,签署了《区域全面经济伙伴关系协定》
(RCEP),其中就数字贸易作了专门规定。2021年3月,中国与阿拉伯发表《中阿数据安全合作倡议》
,推进了国际数字规则构建进程,树立了发展中国家参与全球治理的范例。2021年9月16日,中国申请加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)
,深化全球合作。2021年10月,联合国贸易和发展会议发布《2021年数字经济报告》,倡导创建新的全球数据治理方针与架构。
(2)全球数字规则构建中的风险挑战
当前,全球数字规则构建过程中还存在许多亟待解决的问题,体系失衡的风险一直存在。国际层面,发达国家和发展中国家发展不平衡,数字鸿沟越来越深,规则碎片化加剧,国家数字主权冲突频发,国际共识难以推进;国内层面,多方利益需要协调,博弈持续不断。全球数字治理格局激烈变动。
①主权国家数据规则侧重不同,冲突不断,发展失衡。由于各国政治、经济、社会、文化条件和价值观的不同,数字规则反映出不同的政策侧重点,这些核心利益的差异引领了各国数字政策的走向,也导致不同国家、区域间和国际层面很难达成共识。基于对全球数字和技术领导地位或优势的追求,部分国家在全球范围内积极推广自己的数据战略,以期获得数字规则全球话语权,其间难免发生冲突,这些冲突在一些国家的技术和数字贸易政策中得到了充分体现。而发展中国家由于数字经济落后处于弱势地位,与发达国家的“数字鸿沟”不断扩大,话语权缺失。目前国际层面沟通陷入僵局,未来局势仍不明朗,亟待寻求新的规则框架以减少数字发展领域中的冲突和对抗。
②多方主体参与规则构建,博弈不断。数字规则牵涉多方主体的利益,私主体对数据的开发利用可能侵犯个人的数据权利和隐私,公主体在强化监管和经济自由之间难以抉择,个人处于弱势地位常被“剥削”。故而公主体、私主体、个人之间存在激烈的博弈,而博弈的结果直接影响自由与秩序、垄断与竞争、收入与分配三者之间的关系。
③数字平台私权力不断扩张,隐患重重。数字经济的发展催生了一批超级平台,随着平台市场规模的不断扩大、市场力量的不断壮大,其在数字资源的控制上具有相当优势。平台利用其掌握的数字资源造就的信息优势、规模经济优势、时间上的先发优势,影响社会和群众生活的各个方面。而这种影响非常复杂。一方面,平台本质上是一个商业属性的企业,以追逐利益为目的,倾向于为了获取市场优势竞争地位抢夺、控制优质数据资源,而数据资源集中加剧则可能导致数字市场的经营者集中和垄断乃至市场失灵;另一方面,平台也承担了一定的社会责任,在某些情形下担任公共服务的角色,协助国家公权力的行使。上述平台的复杂性导致了公权力与平台私权力之间关系的复杂性,一方面,政府的治理依赖于超级数字平台提供的大量数字资源,依赖超级数字平台为社会所创造的巨大经济利益,这导致政府监管在某些情形下不得不顾及经济与社会因素。另一方面,从更高层面的利益角度出发,政府需要考虑个人利益、社会公共利益的实现,因而必须对数字经济进行调控,对平台进行监管。复杂的多方关系、人和技术的纠缠、信息结构的不对称等多种因素大大提升了数字平台监管的复杂程度。特别是当数字平台向外扩张成为国际平台的时候,监管问题更加复杂,超级数字平台的安全问题也更加突出。一旦超级数字平台发生数据安全问题,对全球经济和社会安全将造成重大影响。综上,超级数字平台的问题不仅需要平台主导国控制,更需要全球合作共同维护安全的发展环境。
2.国内规则动向分析
①深入推进数字战略,优化顶层设计。自从2014年“大数据”首次写入政府工作报告后,国家高度重视数据在推动经济发展中的作用,积极制定国内数据战略,完善数字规则的顶层设计,优化数字规则框架。2021年3月12日,我国在之前的发展基础上继续推进数字化进程,公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》
,提出要加快数字化发展,建设数字中国,从数字经济、数字社会、数字政府、数字生态四个方面作出全面战略部署。《2022年政府工作报告》
中提到要加强数字政府建设,推动政务数据共享;促进数字经济发展,加强数字中国建设整体布局;强化网络安全、数据安全和个人信息保护。
②强调数据安全,为数据发展保驾护航。稳定是发展的前提,保障数据安全就是保障数字经济发展的稳定根基。随着数据战略的不断推进,国内数字经济、数字政府、数字社会的迅速发展,数据对于中国经济内循环发展的重要性日益体现。随着全球合作模式的改变,即便是“逆全球化”主张也没能阻挡跨国企业、跨境贸易的发展,数字经济推动国内国际双循环马力十足。伴随着数字经济的发展,数据隐私泄露案件层出不穷,全球数据安全问题频发,数据安全已然成为稳定发展中的痛点。在数据安全的议题上,中国高度重视,致力于建设网络安全强国。“十四五”规划突出强调数字安全的战略核心地位,积极推进网络安全产业的发展,在“十四五”规划中,“网络安全”一词出现了14次,可见其战略地位之高。随后国家出台多项数据安全相关法律法规,《数据安全法》
于2021年6月颁布,作为我国数据安全领域的基本法,《数据安全法》的诞生具有重要意义:在宏观层面上,数据安全被视为国家安全的重要组成部分,《数据安全法》对于数据安全制度、责任、义务的明确将有助于巩固我国国家安全的网络和数据防线;在微观层面上,数据在当前经济发展背景下也是流动的资产要素,《数据安全法》坚持数据安全和数据开发利用并行原则,发展模式、具体实践规则的明确将为数字经济的安全、高质量发展保驾护航。除法律外,政府各业务部门也纷纷出台本行业数据安全规范和具体实施细则,如2021年4月6日,国家医疗保障局公布《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》
,加强医疗保障网络安全和数据保护工作。2021年6月4日,证监会发布《证券期货业网络安全事件报告与调查处理办法》
,规范证券期货业网络安全事件的报告和调查处理。《网络产品安全漏洞管理规定》
《关键信息基础设施安全保护条例》
均于2021年7月出台,进一步优化了数据安全管理,提升了数据安全智能防护水平。2021年8月16日,工信部等5部门发布《汽车数据安全管理若干规定(试行)》
,对汽车数据处理活动和汽车数据安全管理进行了专门规定。2022年9月1日,国家网信办发布《数据出境安全评估办法》
。2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》
,公开征求意见。2021年12月28日,国家互联网信息办公室等13部门联合发布《网络安全审查办法》
,构建了网络安全审查体系框架。2022年12月14日,工信部印发《工业和信息化领域数据安全管理办法(试行)》
。
③鼓励数据融合发展,推动政策落地转化。我国不断推进大数据在医疗、农业、金融、工业等多领域的应用,鼓励各行各业与大数据融合发展,进行数字化全面转型,推动产业发展。如2020年12月,工信部发布《工业互联网创新发展行动计划(2021—2023)》
,提出到2023年初步建成各行业的工业互联网网络基础设施,在10个重点行业打造30个5G全连接工厂。2021年1月,商务部发布《关于加快数字商务建设 服务构建新发展格局的通知》
,强调推进电子商务的发展,建设商务大数据应用体系。2021年3月,工信部发布《工业数据分类分级指南(试行)》
,着力提升企业数据管理能力,提高行业数据管理水平。
在国家政策的引导下,各级地方政府相继出台了数据融合发展相关政策规划。基于地方需要,各地规划的主要侧重点略有差异,但都致力于以数字融合培育新动能,用新动能推动新发展。目前主要涵盖如下方面:
第一,推动政企数据融合,激活政务数据和社会数据共享的潜在利用价值。如山东省于2020年7月24日发布《山东省社会信用条例》
,促进社会信用体系与大数据融合发展,推动公共信用信息平台与政务服务系统、企业信用信息公示系统以及其他重要业务应用系统实现互联互通、信息共享。2020年12月10日,广州市发布《广州市优化营商环境条例》
,提出要建立政企数据共享机制,破解政企数据融合应用的壁垒,进一步促进和规范公共数据的开放和利用。2021年5月10日,江西省印发《“智联江西”建设三年行动方案(2021—2023年)》
,提出要促进政企数据对接融合,深化政务数据共享共用,推动数据跨层级、跨地域、跨部门汇聚共享开放,促进政企数据对接融合。2021年7月5日,《广东省数据要素市场化配置改革行动方案》
印发,指出要积极稳妥引入社会资本,在产业数字化转型、数字产业化发展和政企数据融合应用等方面发挥作用。2021年9月28日,《汕头经济特区优化营商环境条例》
发布,提出特区要建立政企数据共享机制,推动政企数据融合,促进和规范公共数据的开放和利用。2021年10月14日,《青岛市营商环境优化提升行动方案》发布,明确要打通数据壁垒,建立政企数据对接机制。
2021年11月25日,《上海市数据条例》
指出要扩大公共数据有序开放,推进公共数据和其他数据融合应用。2022年2月,《中国(上海)自由贸易试验区临港新片区条例》
指出要建立政企数据融合开发等公共服务平台。同时,各地也在积极推动政策落地转化。
第二,强化对公共数据的利用,充分发挥公共数据在推动经济发展、建设智慧城市中的作用。如2021年1月28日,北京大数据工作推进小组办公室印发《北京市公共数据管理办法》
,该办法明确了公共数据定义,规定了公共数据共享利用、相关主体职责义务等规则。2021年7月6日,深圳发布《深圳经济特区数据条例》
,明确了公共数据共享、开放、利用等规则。2021年11月25日,《上海市数据条例》
发布,明确了公共数据的定义,指出要促进公共数据社会化开发利用,健全公共数据资源体系,构建统一协调的公共数据运营机制,推进公共数据和其他数据融合应用,并落实了有关部门的职责。2021年11月25日,广东发布《广东省公共数据管理办法》
,对于公共数据采集、使用、管理的基本原则和具体规则作了细致规定。2022年1月21日,《浙江省公共数据条例》
发布,详细规定了公共数据收集、归集、存储、加工、传输、共享、开放、利用等数据处理规则,以及公共数据安全等管理活动规则。
第三,聚焦信用体系数据融合,加快完善社会主义市场经济体制的重要基础。2019年8月,中国人民银行印发《金融科技(FinTech)发展规划(2019—2021年)》
,规划提出要强化金融科技合理应用,科学规划运用大数据,推广数据管理国家标准,形成统一数据字典,强化金融与司法、社保、工商、税务、海关、电力电信等行业的数据资源融合应用,助推全国一体化大数据中心体系建设。2021年11月26日,甘肃发布《甘肃省社会信用条例》
,促进社会信用体系与大数据融合发展,实现社会信用信息互通共享。
第四,制定激励措施,提升主体积极性。如2020年5月15日,山西省发布《山西省大数据发展应用促进条例》
,提出对行业大数据融合应用示范、大数据机构科技创新发展和人才培养给予奖励。2022年1月1日开始施行的《山东省大数据发展促进条例》
规定,县级以上人民政府应当制定大数据人才培养与引进计划,完善人才评价与激励机制,加强大数据专家智库建设,发展大数据普通高等教育、职业教育,为大数据发展提供智力支持。
数据融合是加快培育数据要素市场的重要推手,数据高效安全地流通融合起来才能最大程度挖掘数据价值。在我国数据要素市场发展还处于萌芽期的背景下,各地积极进行融合探索且已经取得了一定的成效,为我们摸索成熟有效的数据融合机制奠定了基础。
综上,在全球数字规则新秩序的构建期,面对全球数字化浪潮下出现的单边和多边、开放和保守、发展和安全等博弈与挑战,我国坚持国内和国外、宏观和微观紧密结合,及时研究、及早部署重大战略问题,把顶层设计和制定具体政策紧密结合起来。第一,我国立法强调国家安全、数据安全,既立足了国家整体利益,反映了本土利益诉求,也推进了各国对于数据安全观念的交流,对全球数据治理格局产生了客观积极影响。第二,立法强调协调性,协同推进国内数字化发展整体生态的建设。我国重视制定数字规则发展的顶层框架,并构建和宏观规划相匹配的具体政策,既明晰了对数据安全的一般性要求,也探讨制定了政务数据、公共数据、个人信息等数据要素开发的一系列特殊规定。第三,中央和地方联动加强。中央出台一系列政策支持地方政府探索数字化转型、数字社会建设、数字经济发展,地方也积极采取措施推动政策落地如先行先试建设大数据交易中心,积极探索数据交易、公共数据开放、数据共享。这些联动探索为整体数字规则的优化完善积累了丰富的实践经验。可以说,在数字规则的探索方面,我国已经走在了世界的前列。
随着数字经济的不断发展,市场需求使得互联网产业的规模不断扩大。根据2021年通信业统计公报,截至2021年末,移动电话用户总数16.43亿户,全年净增4875万户。2021年,移动互联网接入流量达2216亿GB,比上年增长33.9%。全年移动互联网月户均流量(以下简称DOU)达13.36GB/户·月,比上年增长29.2%;12月当月DOU达14.72GB/户,创历史新高。其中,手机上网流量达到2125亿GB,比2020年增长35.5%,在移动互联网总流量中占比为95.9%。
根据工信部发布的《2021年互联网和相关服务业运行情况》,截至12月末,我国国内市场上监测到的应用程序(以下简称App)数量为252万款,我国第三方应用商店在架应用分发总量达到21072亿次。
在此背景下,诞生了诸多采用收集使用个人信息为商业模式的数据企业,个人信息、数据已经成为当前市场竞争最重要的资源之一。App对个人信息、数据的收集、使用已经广泛地深入社会生活的方方面面,监管的问题必须提上日程。虽然近年来我国个人信息保护力度不断加大,但在现实生活中,个别企业、机构甚至个人,从自身商业利益出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题仍十分明显。
需要指出的是,数据和个人信息并非泾渭分明,数据不仅涉及市场竞争相关议题,如数据垄断、数据爬虫争议等,还重点涉及个人信息和隐私保护,如通过数据的共享融合可能识别出更多维度的敏感个人信息。所以个人信息保护不仅是一个有其自身特性的独立议题,是广大人民群众最关心最直接最现实的利益问题之一,同时也是数据治理中的重点问题,是数字规则体系的重要组成部分。一直以来,我国个人信息保护和数据安全采取分散立法的方式,通过《刑法》《民法典》《国家安全法》《网络安全法》《电子商务法》《消费者权益保护法》等法律以及各主管部门的规章与规范性文件予以规制。2021年6月20日,《数据安全法》正式通过,有针对性地构建了数据分类制度,对于个人信息也做了强化规定。2021年8月21日,《个人信息保护法》正式通过,这是我国首部针对个人信息保护的专门性立法,在个人信息保护领域建立了更具综合性、系统性的制度体系,该法明确了核心概念,完善了个人信息的处理规则,对于个人信息跨境处理的规定宽严相济,详细规定了个人信息主体的各项权利、信息处理者的各项义务等,为个人信息主体维护合法权益、主管部门的监管执法、企业的数据合规等活动提供了重要的指引。《网络安全法》《数据安全法》以及《个人信息保护法》相互补充,齐头并进,构成了我国个人信息和数据治理领域的基本规则体系。这三部核心法律各有侧重,《个人信息保护法》主要强调敏感个人信息处理、个人信息处理基本规则、个人信息主体权利、个人信息处理者义务、跨境传输等方面。《数据安全法》针对所有形式的数据,调控重点在于“数据安全”,提出了数据分级分类、数据安全审查、数据交易、政务数据开放、重要数据与核心数据处理等重要规定。《网络安全法》主要是针对网络安全,调整范围包括网络运营安全、网络信息安全、网络安全等级等,内容部分涉及个人信息保护、重要数据保护。可以看出,《网络安全法》和《数据安全法》主要强调网络系统和数据的安全层面,而《个人信息保护法》对于个人信息主体权利义务方面作了更多的规定。
除了统筹法律层面的保护以外,我国在行政法规、部门规章、规范性文件以及司法解释等层面也制定了相应文件,构建了全方位、立体化的个人信息保护格局。多个部门已出台多部规定和标准,包括《常见类型移动互联网应用程序必要个人信息范围规定》
《网络产品安全漏洞管理规定》
《汽车数据安全管理若干规定(试行)》
《关于开展App违法违规收集使用个人信息专项治理的公告》
《关于开展App安全认证工作的公告》
《App违法违规收集使用个人信息行为认定方法》
《常见类型移动互联网应用程序必要个人信息范围规定》
等,对违规收集个人信息行为认定标准、个人信息收集的治理规则、不同类型App必要个人信息范围作出了规定。2020年12月,最高人民法院修订了《关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》
,为正确审理利用信息网络侵害人身权益民事纠纷案件提供了指导。2021年7月28日,最高人民法院发布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》
,对滥用人脸识别问题作出司法统一规定,从人脸识别的相关定义、适用范围、一般情形及例外、“单独同意”原则的引入、相关诉讼措施以及其他规定着眼,强化了对人脸识别个人信息的司法保护力度,对司法实务中相关工作进行了明确指引,有利于保障个人信息有序合规流动。
地方在个人信息保护和数据安全规则的探索上也展现了积极的态度。浙江省于2020年12月发布了《浙江省数字经济促进条例》
。2021年,多地制定相关规则,如广东省发布《广东省数字经济促进条例》
、深圳市公布《深圳经济特区数据条例》
、重庆市印发《重庆市数据治理“十四五”规划(2021—2025年)》
、河南省发布《河南省数字经济促进条例》
、湖南省颁布《湖南省网络安全和信息化条例》
、福建省发布《福建省大数据发展条例》
、上海市发布《上海市数据条例》
、安徽省发布《安徽省大数据发展条例》
、贵阳市发布《贵阳市政府数据共享开放条例》
和《贵阳市大数据安全管理条例》
等。2022年,浙江省发布《浙江省公共数据条例》
、江西省发布《江西省公共数据管理办法》
。上述地方性立法文件中,均涉及数据使用、数据安全和个人信息保护的议题,在数据安全的基础上秉持数据使用和个人信息保护兼顾原则,体现了地方对个人信息保护和数据安全的重视态度和行动决心。