對外經(jīng)貿易大學數(shù)字經(jīng)濟與法律創(chuàng)新研究中心主任?許可??美國科文頓-柏靈律師事務所?羅嫣、劉雨薇

1.中國《個人信息保護法》生效

2.中國對多家赴美上市企業(yè)開展網(wǎng)絡安全審查

3.中國《數(shù)據(jù)安全法》生效

4.中國發(fā)布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》

5.中國《關鍵信息基礎設施安全保護條例》生效

6.中國發(fā)布《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》

7.Facebook旗下軟件WhatsApp因未告知用戶與Facebook共享數(shù)據(jù)被處2.25億歐元罰款

8.歐盟委員會發(fā)布新版?zhèn)€人數(shù)據(jù)跨境傳輸?shù)臉藴屎贤瑮l款

9.美國弗吉尼亞州、科羅拉多州、加利福尼亞頒布全面隱私法

10.中國正式交存《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》

一、中國《個人信息保護法》生效

2021年8月20日，《中華人民共和國個人信息保護法》于第十三屆全國人大常委會會議通過，自2021年11月1日起施行。《個人信息保護法》全文共八章74條，旨在保護個人信息權益，規(guī)范個人信息處理活動，促進個人信息合理利用。作為中國第一部全面保護個人信息的法律，本法凝結了過往的世界經(jīng)驗和中國智慧，與《數(shù)據(jù)安全法》及《網(wǎng)絡安全法》共同構成了中國數(shù)據(jù)保護的基礎框架。

《個人信息保護法》主要規(guī)定了以下五個方面：一是明確了個人信息保護的調整范圍，即只保護自然人的個人信息且自然人純粹為家庭事務處理個人信息不受本法的調整。二是明晰了個人信息處理的基本規(guī)則，要求處理活動必須遵循合法、正當、必要和誠信的原則，在“知情同意+免責事由”的情形下處理個人信息。三是規(guī)定了九類個人享有的信息權利，包括知情權、復制權、可攜帶權、更正權、刪除權等。四是為個人信息處理者施加了信息安全保障義務，要求其實施分類管理、合規(guī)審計、安全評估等措施。五是明確了個人信息保護采納“規(guī)則制定權相對集中，執(zhí)法權相對分散”的監(jiān)管機制，由國家網(wǎng)信部門統(tǒng)籌協(xié)調有關部門制定個人信息保護具體的規(guī)則，國務院有關部門在其職責范圍內開展個人信息保護和監(jiān)督工作。

“徒法不足以自行”，在立法大功告成之后，個人信息保護法還有待司法和執(zhí)法的后續(xù)接力，才能真正落地生根。從出臺到實施，個人信息保護法依然任重而道遠。

二、中國對多家赴美上市企業(yè)開展網(wǎng)絡安全審查

2021年7月，“滴滴出行”因為違規(guī)赴美上市而遭國家網(wǎng)信辦的網(wǎng)絡安全審查。隨后，7月16日，國家網(wǎng)信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監(jiān)管總局等部門聯(lián)合進駐滴滴出行科技有限公司，開展網(wǎng)絡安全審查。此外，“運滿滿”“貨車幫”“BOSS直聘”也因為類似的原因面臨網(wǎng)絡安全審查。

2021年11月16日，《網(wǎng)絡安全審查辦法》于國家互聯(lián)網(wǎng)信息辦公室室務會議通過，自2022年2月15日起施行。該辦法全文共23條，旨在確保關鍵信息基礎設施供應鏈安全，保障網(wǎng)絡安全和數(shù)據(jù)安全，維護國家安全；在審查的過程中堅持防范網(wǎng)絡安全風險和促進先進技術相結合、事前審查和持續(xù)監(jiān)督相結合、企業(yè)承諾和社會監(jiān)督相結合，是網(wǎng)絡安全領域的重要法律制度。

現(xiàn)《網(wǎng)絡安全審查辦法》在原《辦法》的基礎之上，基于《數(shù)據(jù)安全法》、《網(wǎng)絡安全法》和《關鍵信息基礎設施安全保護條例》的經(jīng)驗而修訂，新增網(wǎng)絡平臺運營者赴國外上市申報網(wǎng)絡安全審查的情形，將網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形納入網(wǎng)絡安全審查范圍，并明確要求掌握超過100萬用戶個人信息的網(wǎng)絡平臺運營者赴國外上市，向國外證券監(jiān)管機構提出上市申請之前必須申報網(wǎng)絡安全審查。這一新規(guī)是2021年滴滴赴美上市后，國家網(wǎng)信辦認為滴滴違反《網(wǎng)絡安全法》違法違規(guī)收集個人信息而引起的對中國科技公司赴美上市安全審查的連鎖反應。此外，《辦法》還從產(chǎn)品與服務來源、供應渠道、服務提供方式、服務屬性以及其他非技術因素對供應鏈的影響等方面全方位地開展供應鏈安全評估，并為運營者以及網(wǎng)絡產(chǎn)品和服務的供應商設置了不同維度的合規(guī)要求；厘清了不同主體在網(wǎng)絡審查制度下的責任義務，同時還構建了多部門聯(lián)系工作機制，推動了網(wǎng)絡安全審查制度與行業(yè)監(jiān)管的銜接。

三、中國《數(shù)據(jù)安全法》生效

2021年6月10日，《中華人民共和國數(shù)據(jù)安全法》于第十三屆全國人大常委會會議通過，自同年9月1日起施行。《數(shù)據(jù)安全法》全文共七章55條，旨在規(guī)范數(shù)據(jù)處理活動、促進數(shù)據(jù)開發(fā)利用，維護國家主權、安全和發(fā)展利益，這代表其既是數(shù)據(jù)領域的基本法，也是國家安全領域的重要法律，對國民經(jīng)濟和社會發(fā)展的促進而言意義重大。

制定《數(shù)據(jù)安全法》符合人民群眾維護其合法權益的現(xiàn)實需求。當今社會已轉型為數(shù)字經(jīng)濟社會，數(shù)字經(jīng)濟為社會生活帶來極大便利的同時，也給非法利用數(shù)據(jù)、濫用數(shù)據(jù)侵害公民合法權益的企業(yè)、平臺提供了可趁之機。為了維護人民群眾合法權益，本法要求相關主體在網(wǎng)絡安全等級保護制度的基礎之上，履行風險監(jiān)測、風險評估和數(shù)據(jù)安全事件及時報告等數(shù)據(jù)安全保護義務，嚴格規(guī)范數(shù)據(jù)處理活動，切實增強人民群眾在數(shù)據(jù)領域的幸福感和安全感。

制定《數(shù)據(jù)安全法》是維護國家安全的必然要求。數(shù)據(jù)是國家基礎性戰(zhàn)略資源，數(shù)據(jù)安全是數(shù)字經(jīng)濟時代下國家安全的重要內容。本法明確堅持總體國家安全觀，統(tǒng)籌發(fā)展和安全兩大數(shù)據(jù)主題，建立數(shù)據(jù)分類分級保護制度和數(shù)據(jù)安全審查制度，建立集中統(tǒng)一、高效權威的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制，從而建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。

四、中國發(fā)布《數(shù)據(jù)出境安全評估辦法（征求意見稿）》

2021年10月29日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《《數(shù)據(jù)出境安全評估辦法（征求意見稿）》，目前意見征詢階段已經(jīng)結束。該辦法全文共18條，旨在規(guī)范數(shù)據(jù)出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動。

辦法第3條明確提出數(shù)據(jù)出境安全評估應堅持的準則，即堅持事前評估和持續(xù)監(jiān)督相結合、風險自評估與安全評估相結合；第5-6、12-13條細化了三大數(shù)據(jù)保護基礎法律下個人信息及重要數(shù)據(jù)跨境傳輸?shù)囊?guī)則，先自評估、后申報、等待國家網(wǎng)信部門的安全評估結果，有效期滿需要繼續(xù)進行原數(shù)據(jù)出境活動的應重新申報，否則應當停止數(shù)據(jù)出境活動；第4條明確了五類需要申報數(shù)據(jù)出境安全評估的場景；第8條指明了七類因數(shù)據(jù)出境安全評估重點評估數(shù)據(jù)出境活動而可能對國家安全、公共利益、個人或者組織合法權益帶來的風險；第9條列舉了數(shù)據(jù)處理者與境外接收方訂立的合同充分約定數(shù)據(jù)安全保護責任義務。這些規(guī)定是對《數(shù)據(jù)安全法》中未予細化的有關數(shù)據(jù)出境的安全審查制度適用條件的明確，促使相關部門在實踐中有效開展相應的數(shù)據(jù)安全審查，切實維護國家安全，防范數(shù)據(jù)出境風險。

五、中國《關鍵信息基礎設施安全保護條例》生效

2021年4月27日，《關鍵信息基礎設施安全保護條例》于國務院常務會議通過，自同年9月1日起施行。該條例全文共六章51條，旨在保障關鍵信息基礎設施安全和網(wǎng)絡安全，是適應新的形勢任務發(fā)展的必然要求，是切實維護國家安全和根本利益的迫切需要。

《關鍵信息基礎設施保護條例》在《網(wǎng)絡安全法》確立的關鍵信息基礎設施運行安全保護框架下，從關鍵信息基礎設施的認定、完善監(jiān)督管理體系、運營者責任義務、保障和促進措施與法律責任等多個方面提出總體監(jiān)管要求，在關鍵信息基礎設施保護法律體系建設中起到提綱挈領的作用。就設施運營者義務而言，條例第4條規(guī)定，關鍵信息基礎設施安全保護堅持綜合協(xié)調、分工負責、依法保護，強化和落實關鍵信息基礎設施運營者主體責任。為此，條例第三章專章規(guī)定了設施運營者的具體義務，并在《網(wǎng)安法》的基礎上，進行了更為具體、全面且深入地規(guī)定。就關鍵信息基礎設施的監(jiān)督管理體制而言，條例第3條明確了各個監(jiān)管機構的職責分工，著重強調了國家網(wǎng)信辦在關鍵信息基礎設施保護與監(jiān)督執(zhí)法中的統(tǒng)籌地位，以及公安部的指導監(jiān)督作用；同時其規(guī)定，國務院電信主管部門和其他有關部門依照《關鍵信息基礎設施保護條例》及其他相關法律、行政法規(guī)的規(guī)定，在各自職責范圍內負責關鍵信息基礎設施安全保護和監(jiān)督管理工作，而省級人民政府有關部門依據(jù)各自的職責實施相應的安全保護和監(jiān)督管理。

六、中國發(fā)布《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》

2021年11月14日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布了《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》，目前意見征詢階段已經(jīng)結束。該條例共九章75條，旨在執(zhí)行、細化、補充《網(wǎng)絡安全法》、《網(wǎng)絡安全法》和《個人信息保護法》三部法律的規(guī)定，進一步增強了數(shù)據(jù)安全法律體系的完備性和可操作性；對一般數(shù)據(jù)、個人信息、重要數(shù)據(jù)、數(shù)據(jù)跨境等如何保護給出了具體要求，對網(wǎng)絡數(shù)據(jù)安全建設有著重要指導意義，在網(wǎng)絡安全和數(shù)據(jù)安全之間搭建了執(zhí)法的橋梁。

在一般數(shù)據(jù)方面，條例第二章明確了數(shù)據(jù)處理者在數(shù)據(jù)處理活動中應履行的數(shù)據(jù)保障必要措施，建立數(shù)據(jù)安全應急處置機制，在規(guī)定情形下申報網(wǎng)絡安全審查；在個人信息方面，第三章規(guī)定了個人信息處理的基本原則和要求和數(shù)據(jù)處理者應當履行的義務；在重要數(shù)據(jù)方面，第四章要求數(shù)據(jù)處理者應按照國家要求和標準，識別重要數(shù)據(jù)和核心數(shù)據(jù)，制定重要數(shù)據(jù)目錄，優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務，組織員工的數(shù)據(jù)安全培訓，并就重要數(shù)據(jù)向有關機關備案；在數(shù)據(jù)跨境方面，第五章指出了數(shù)據(jù)出境應具備的條件，安全評估內容，并要求數(shù)據(jù)處理者在每年1月31日前編制數(shù)據(jù)出境安全報告。值得注意的是，條例中提出的一些新要求，例如第三十五條跨境傳輸必備條件的例外場景，以及第四十條出境安全報告要求，仍有待進一步的解釋。

七、Facebook旗下軟件WhatsApp因未告知用戶與Facebook共享數(shù)據(jù)被處2.25億歐元罰款

自對Amazon公司因違反《歐洲通用數(shù)據(jù)保護條例》而開出了史無前例的7.46億罰金后，歐洲監(jiān)管機構又對美國科技公司開出了第二張巨額罰單。2021年9月，臉書旗下信息服務應用WhatsApp因未能告知用戶其如何從用戶收集數(shù)據(jù)，并如何將數(shù)據(jù)共享給其它臉書實體，構成違反《歐洲通用數(shù)據(jù)保護條例》而被愛爾蘭數(shù)據(jù)監(jiān)管機構處以近2.25億歐元罰款。該罰款是最初監(jiān)督組織所提議金額的四倍。愛爾蘭數(shù)據(jù)監(jiān)管機構提到歐盟數(shù)據(jù)保護委員會在7月命令其增加對WhatsApp的 處罰金額。

八、歐盟委員會發(fā)布新版?zhèn)€人數(shù)據(jù)跨境傳輸?shù)臉藴屎贤瑮l款

2021 年 6 月 4 日，歐盟委員會發(fā)布了關于個人數(shù)據(jù)跨境傳輸?shù)男掳鏄藴屎贤瑮l款的最終版本。盡管最終版本保留了2020年11月草案中的大部分條款，最終版本仍然作出了許多值得關注的更新。在修改標準合同條款的過程中，委員會參考了歐盟數(shù)據(jù)保護委員會以及歐盟數(shù)據(jù)保護監(jiān)察專員的共同意見，利益相關者在公眾評論期提交的反饋，以及歐盟成員國代表的評論。新版標準合同條款于2021年6月27日生效，在此后企業(yè)可將新版標準合同條款納入新合同中。然而，若合同標的處理活動不變，并且基于舊版標準合同進行傳輸?shù)膫€人數(shù)據(jù)得到了適當?shù)谋Ｗo，企業(yè)可以繼續(xù)于2021年9月27日前簽署舊版標準合同條款，并于2022年12月27日前將新版標準合同條跨納入基于舊版標準合同條款簽署的協(xié)議中。新版標準合同條款旨在為四種將個人數(shù)據(jù)傳輸?shù)綒W洲境外的場景提供足夠的保障，包括控制者到控制者、控制者到處理者、處理者到控制者和處理者到處理者。不同的場景對應相應的義務將在新版標準合同條款特定條款的不同“模塊”列出。此外，新版標準合同條款同時響應了歐盟法院在 Schrems II 中判決中提出的義務。

九、美國弗吉尼亞州、科羅拉多州、加利福尼亞頒布全面隱私法

2021年3月，弗吉尼亞州州長通過了通過了《弗吉尼亞消費者數(shù)據(jù)保護法》，該法律為一部全面的消費者隱私保護法并列出了對于數(shù)據(jù)控制者及數(shù)據(jù)處理者的要求。該法律要求數(shù)據(jù)控制者必須向消費者提供包括詳細信息的隱私通知，為數(shù)據(jù)主體賦予特定的數(shù)據(jù)主體權利，并且進行數(shù)據(jù)保護評估。數(shù)據(jù)處理者必須在與控制者簽署的協(xié)議中包括特定條款，例如要求數(shù)據(jù)處理者配合控制者的合規(guī)評估。該法律要求工作組于2021年11月1日前考慮公眾建議以便州立法機構考慮是否將在法律于2023年1月1日生效前修改法律。

科羅拉多州于2021年7月通過了《科羅拉多隱私法》，該法律是一部全面的數(shù)據(jù)隱私法律。法律賦予消費者訪問權、修正權、刪除權、以及以目標營銷為目的的個人數(shù)據(jù)處理、個人數(shù)據(jù)出售以及用戶畫像的選擇退出權。《科羅拉多隱私法》也要求實體保護個人數(shù)據(jù)并且在處理消費者隱私數(shù)據(jù)前取得同意。該法律將于2023年1月生效。

此外，加利福尼亞開始了《加州隱私權法》("CPRA") 的政策制定程序（CPRA將取代 《加州消費者隱私法》并于2023年1月1日正式生效）。該法律提案包括“暗黑設計模式”、消費者對自動決策的退出權以及消費者限制使用敏感個人信息的權利等方面內容。

十、中國正式交存《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》

2021年11月2日，《區(qū)域全面經(jīng)濟伙伴關系協(xié)定》（Regional Comprehensive Economic Partnership，RCEP）保管機構東盟秘書處發(fā)布通知，宣布6個東盟成員國和中國等4個非東盟成員國已向東盟秘書長正式提交核準書，RCEP將于2022年1月1日如期生效。該協(xié)定對各締約方提出了促進數(shù)據(jù)跨境流動的要求，加強區(qū)域規(guī)則磋商及國際監(jiān)管合作，構建更大范圍的跨境數(shù)據(jù)安全流動合作區(qū)域。

長期以來，歐美主導了全球數(shù)據(jù)跨境流動規(guī)則制定的話語權，但其不能代表全球發(fā)展的共同利益，特別是不能直接代表廣大發(fā)展中國家的利益。中國在RECP的簽署過程中彰顯了發(fā)展中國家構建新型“數(shù)據(jù)跨境流動圈”確保自身數(shù)字經(jīng)濟發(fā)展的決心。協(xié)定主要在電子商務的框架下規(guī)定了數(shù)據(jù)跨境流動的內容，要求各成員國不能將設施本地化作為在其領土內開展業(yè)務的條件，也不能阻止為實現(xiàn)業(yè)務需要而開展的數(shù)據(jù)跨境流動活動；但基于合理實現(xiàn)公共利益所必需時，則可采取設施本地化或限制數(shù)據(jù)跨境流動等非常手段。協(xié)定最大限度地考慮了不同國家之間的現(xiàn)實需要，兼顧國家安全和產(chǎn)業(yè)發(fā)展的雙重目標，有利于促使成員國深入合作，推動各國個體和亞洲整體區(qū)域數(shù)字經(jīng)濟的發(fā)展。