2021数据安全和个人信息保护年度盘点

来源:北京植德律师事务所

文章摘要
2021年,数据安全和个人信息保护领域进入全新的时代,《数据安全法》《个人信息保护法》等新法新规在年内颁布并实施,网信部门、工信部门等监管部门的数据安全和个人信息保护执法进入常态化阶段,数据安全问题多

2021年,数据安全和个人信息保护领域进入全新的时代,《数据安全法》《个人信息保护法》等新法新规在年内颁布并实施,网信部门、工信部门等监管部门的数据安全和个人信息保护执法进入常态化阶段,数据安全问题多次引发热议、个人信息保护公益诉讼成为新的公益诉讼关注重点、北京和上海大数据交易所相继成立……面对不断涌现的数据法成果,愈加丰富的监管、司法等实践举措,值此辞旧迎新之际,本文回顾2021年数据合规领域引发热议和关注的重大事件,总结数据合规的发展历程,并对2022年做出展望。希望为各行业数据合规工作给出参考和指引。
一、数据合规“立法年”,法律法规体系基本完善
法律法规是企业开展数据收集、存储、使用、加工、传输、提供、公开等数据处理活动的行动指南,也是执法部门、司法部门开展执法和司法活动的重要依据。2021年,《数据安全法》《个人信息保护法》均于年内颁布并实施。其中,《数据安全法》作为数据领域的基础性法律,围绕数据处理活动,明确规定数据处理者的数据安全保护义务,将数据安全提升至国家安全层面,建立数据分级分类管理制度并加强对重要数据的保护,完善和加强数据出境风险管理。《个人信息保护法》作为我国第一部专门规定个人信息保护的法律,明确了个人信息处理全生命周期(包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等)的规范要求,明确了个人在个人信息处理活动中的权利,明确了个人信息处理者的义务,规定了违反《个人信息保护法》最高可处五千万元以下或者上一年度营业额百分之五以下罚款的行政处罚。此前,《网络安全法》《电子商务法》《消费者权益保护法》中确立了个人信息保护基本规则,新修订的《刑法》中完善了惩治侵害个人信息犯罪的法律制度,新颁布的《民法典》中还明确了个人信息主体的权益。以上几部重要法律法规将共同对我国公民的个人信息权益保护、各法人和非法人组织的数据权益保护产生直接且深远的影响。
《数据安全法》出台的意义和影响
简评:《个人信息保护法》的三大亮点及其影响分析
2021年,发挥细化、补充、衔接、配套等功能的行政法规、部门规章、规范性文件等也相继出台或向社会公开征求意见。《关键信息基础设施安全保护条例》明确了关键信息基础设施安全保护的适用范围、关键信息基础设施的定义和认定程序,对运营者责任义务、关键信息基础设施安全的保障与促进以及相关各方的法律责任等提出了更为具体、更具操作性的基本要求;《汽车数据安全管理若干规定(试行)》聚焦汽车领域个人信息和重要数据的安全风险,就若干重点问题作出规定,明确了汽车数据和汽车数据处理活动的定义以及汽车数据处理者开展汽车数据处理活动的一般要求,为规范汽车数据处理活动、促进汽车数据依法合理有效利用和汽车行业健康有序发展指明了方向;《征信业务管理办法》按照对个人信息依法保护、有限共享的原则,与《个人信息保护法》关于个人信息主体权益的保护规定全面衔接,同时明确信用信息的范围,将部分替代数据引入信用信息范围,细化征信业务的合规要求,规定征信机构、信息提供者和信息使用者的法律责任,为依法合规开展征信业务提供具体可操作的规范指引。
简评《关键信息基础设施安全保护条例》
解析《汽车数据安全管理若干规定(试行)
助贷合规系列(三):《征信业务管理办法》简评及其对助贷业务的影响、建议
此外,一批重要的新法新规已在2021年完成征求意见。为落实上位法的精神和原则,《网络数据安全管理条例(征求意见稿),通过创设义务、明确做法等形式,对“最小必要”原则、“告知同意”制度、数据跨境等关于数据安全和个人信息保护的法律规定做出了细化;为规制“大数据杀熟”“算法操控、算法歧视、算法沉迷”等算法滥用行为,2021年完成征求意见的《互联网信息服务算法推荐管理规定》已于2022年第一个工作日正式公布并将于3月1日生效,该规定明确了算法推荐服务提供者的信息服务规范及备案义务、提出了算法推荐服务提供者的用户权益保护要求;
同日正式公布的《网络安全审查办法》也是2021年完成征求意见并将于2022年2月15日生效,该办法经过修订后,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,相比之前征求意见稿中“数据处理者”的范围进行了一定范围的限缩,明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,以进一步保障网络安全和数据安全,维护国家安全。
速评《网络数据安全管理条例(征求意见稿)》:十一大亮点
在地方立法层面,《深圳经济特区数据条例》和《上海市数据条例》已于2021年分别由深圳市人大常委会和上海市人大常委会通过,并于2022年1月1日生效。上述两部条例为我国从加强数据联通共享、完善公共数据资源目录和责任清单制度、加快推动数据交换交易、大力发展数据要素市场、探索建立数字交易平台和数据确权、交易、登记和清算制度方面,在技术发达、数据利用广泛的地区先行先试、积累经验,为未来全国性立法工作提供了有益探索。
简评《上海市数据条例》六大亮点
简析《深圳经济特区数据条例》:六大合规义务难点及建议
可以预测,2022年还会有一批新数据法出台。我们建议,企业应及时关注立法动态,结合自身业务实际,分析相关新数据法对自身的影响,并积极履行对应的数据合规义务。植德也会第一时间对重要且影响广泛的新数据法进行深度解读,为相关企业提供参考。
二、监管执法趋于强化、精准和常态化
2021年,网信部门、工信部门等国家及地方层面监管部门进一步加大执法力度,集中开展了“摄像头偷窥黑产集中治理”“纵深推进APP侵害用户权益专项整治行动”“互联网行业专项整治行动”“信息通信服务感知提升行动”等专项执法行动。国家和地方网信部门常态化地对新闻、社交、直播、音视频、浏览器、金融、电商购物、在线教育、出行、健康等类别APP进行技术检查,重点查处了APP违规调用通信录、位置信息以及弹窗信息骚扰用户、超范围高频次索取权限、收集非服务场景所必需的个人信息、强制用户使用定向推送功能、账户注销难等常见违规行为。工信部通报了共20批次、上千款存在侵害用户权益行为的APP,对逾期仍未整改的APP进行了下架处理,并且针对部分违规情节严重、拒不整改的APP,依法对APP运营主体予以了行政处罚。另外,中国消费者协会、国家计算机病毒应急处理中心等社会团体、政府机构也对APP开展了检测评测,对有关APP的合规情况进行通报并在媒体公布。
监管“利剑”出鞘,App合规即将迎来“大考”
APP合规系列之一:数据分析角度看监管执法趋势
APP合规系列之二 :网信办最新通报,哪些违规情形最多?(附APP整改法律汇编)
可以预测,2022年各监管部门可能会结合新出台的数据法,针对重点行业、重点场景开展各类专项执法行动。企业应全面梳理自身个人信息处理的合法性,对照《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规、规范性文件分析合规差距,及时落实并履行相关合规义务,以免因执法影响APP的正常运营及企业声誉。
三、个人信息保护作为公益诉讼办案重点
2021年,是《民法典》实施后个人信息保护公益诉讼的开局之年。2021年1月8日,《民法典》施行后的中国首例个人信息保护公益诉讼案宣判,违法者被判支付侵害社会公共利益的损害赔偿款34,000元,专门用于信息安全保护或个人信息保护等公益事项,并向社会公众刊发赔礼道歉声明;2021年4月22日,最高检发布检察机关个人信息保护公益诉讼11件典型案例;2021年8月21日,即《个人信息保护法》由全国人大常委会表决通过后的次日,最高人民检察院下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》(下称《通知》),明确要求各级检察机关充分运用科技手段,借助公安、工信等部门的专业技术力量,完善检察技术人员参加公益诉讼办案机制,深化个人信息保护公益诉讼的制度探索,积极营造推进个人信息公益保护的法治环境。在司法判例方面,2021年11月24日,广东消费者协会通报了检察机关支持起诉下的四宗个人信息保护公益诉讼案件情况,法院全部支持了协会提出的删除所有非法持有的个人信息、公开道歉、支付律师费和诉讼费、赔偿消费者损失费的诉讼请求。
可以预测,随着《个人信息保护法》的实施,检察机关将会更积极地履行法律所赋予的个人信息保护公益诉讼职能,个人信息保护公益诉讼案件会大量涌现。企业应注重避免触碰个人信息保护“红线”,积极做好风险防范和预判工作。
“十年磨一剑,出鞘必锋芒”:个保法时代下,公益诉讼成个人信息保护新利器

四、民事诉讼中举证责任倒置有利于保障个人信息相关权利,专业合议法庭的成立将有助数据纠纷的解决
《个人信息保护法》生效前,个人从民事司法途径寻求对其个人信息相关权利的保护较为困难,其作为原告需要承担几乎全部的举证责任。《个人信息保护法》明确了对个人信息处理者的损害赔偿责任实行过错推定责任,开启了个人信息民事司法保护的新篇章。此外,2021年7月28日发布的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》也从司法解释层面要求处理人脸信息的信息处理者承担主要举证责任。
简评人脸识别司法解释:司法审查未来将是检验企业数据合规质量的试金石
纵观个人信息保护民事诉讼发展趋势,2021年1月1日,“个人信息保护纠纷”正式成为单独适用的民事诉讼案由(最高人民法院印发《关于修改〈民事案件案由规定〉的决定》的通知(2020),2021年1月1日生效),个人信息民事司法保护不再受制于无独立民事诉讼案由的束缚。司法实践中逐渐出现举证责任灵活分配,加重个人信息处理者的举证责任的相关判例。法院裁判文书中的说理与解释,为个人信息、侵权行为等争议焦点在实务中的认定赋予了重要意义。
此外,值得关注的是2021年9月26日,全国首个涉数据纠纷专业合议庭在广州互联网法院挂牌成立。涉数据纠纷专业合议庭将审理由该院集中管辖的涉及个人数据、企业数据、公共数据的收集、存储、使用、加工、传输、提供、公开、删除等数据处理及数据安全的第一审案件。据公开报道,“该院在全国法院率先成立的涉数据纠纷合议庭成立三个月来,审理涉数据纠纷类案件72件[1]。”可见,未来数据纠纷的司法审判活动,呈现越来越集中化、专业化的趋势。
我们建议,企业在开展个人信息处理活动前应公开个人信息处理规则、取得用户同意并做好相应的记录,在适用无需取得用户同意的法定情形时需慎之又慎。此外,企业还应加快建立健全数据安全和个人信息保护合规体系,严格落实数据安全管理制度和技术保护机制,切实履行各项数据合规义务,在合规过程中,需要将“举证思维”嵌入到合规的全流程,为将来的执法、诉讼活动做好准备。
五、数据利用与价值变现-数据交易所成立
2021年,各地在数据交易方面的探索不断深入。2021年3月31日,北京国际大数据交易所成立,这是国内首家基于“数据可用不可见,用途可控可计量”新型交易范式的数据交易所。2021年11月25日,上海数据交易所成立,首日20个数据产品完成挂牌,涉及金融、交通、通信等八大类,并完成了首单交易。2021年11月30日,工信部发布的《“十四五”大数据产业发展规划》提出,加快培育数据要素市场,具体措施包括建立数据要素价值体系、健全数据要素市场规则、提升数据要素配置作用等,为数据要素市场发展规划了路径。我们认为,数据交易所为明晰数据权属关系及来源合法性、促进公平安全交易提供了可信环境,我国促进数据流通和开发利用的相关政策释放了数字经济服务实体经济的积极信号。
数据交易系列文章之一│数据交易可能面临的相关法律问题初探
六、展望2022:“数据合规即竞争力”
结合上文2021年的年度热点,可以大胆预测2022年,在数据法立法方面,将会出台一批地方性立法、以及规制各行业、敏感、重大场景下数据规范的新法,数据法覆盖的领域愈发细化、深化、垂直化;在数据活动执法方面,数据合规领域的执法将会更加频繁、力度也会更大,专业化程度也会更高,并形成网信部门、工信部门及其他行业主管部门多头监管的趋势;在数据相关的司法审判方面,个人信息保护相关的公益诉讼、民事诉讼以及数据争议解决纠纷将会愈发增多;数据利用方面,在监管框架内的数据利用、数据交易探索将会愈发活跃。为了更好指导企业做好数据合规,植德数据合规组在2021年共发布了四本新规解读、合规指引,以便企业更好地理解数据法规则,指导自身完成好数据合规工作。
数安法来临,植德伴你行——《数据安全法》实务指引1.0版发布!
重磅发布 | 《个人信息保护法》逐条解读1.0版!
重磅!后《个人信息保护法》时代下员工个人信息保护手册1.0版
重磅发布 | 数据合规刑事红线指引1.0版
2022年,数据合规将是所有以“数据为驱动”的企业的“新引擎”、“有力后盾”,也是企业整体合规体系中重要的组成部分。合规不是“走过场”,而是企业未来在市场获得巨大竞争力的“养料”、“金字招牌”。我们相信,越来越多的企业会认可“合规创造价值”,而不是“合规是企业的成本和负担”。我们也相信,在数据合规的道路上,会有更多同行者。我们期待2022年,更多的有志之士加入植德数据合规组,也愿意与更多企业同行,共同在数字化的浪潮中,乘风破浪,行稳致远。
[1]全国首个涉数据纠纷合议庭成立3个月办案72件,广东省高级人民法院公众号,https://mp.weixin.qq.com/s/QBedbq6R41HHXO94PA_mLA

技术驱动法律,专业成就未来