前 言
在系列文章上一篇“立法篇”中,我们介绍了2023年重要的立法活动,并对2024年的立法活动进行了预测和展望,本篇我们继续为您呈现系列文章“监管篇”,将带您回顾2023年的重要监管活动,预测和展望2024年的监管动向。
根据《网络安全法》《数据安全法》《个人信息保护法》[1]数据三法的顶层设计,我国数据合规的监管部门主要包括网信部门,行业主管部门,公安、国安、市场监督管理局等部门,县级以上地方人民政府有关部门,其构成的监管框架可包括以下三个层次:
1. 网信部门负责统筹协调网络安全、数据安全、个人信息保护相关监管工作,其执法领域涵盖范围最广,包括网络信息内容、网络安全、数据安全、个人信息保护四个领域。除统筹协调工作之外,在实际开展的监管活动方面,网络安全审查、数据出境安全评估等数据合规重大事项的审查工作,以及个人信息出境标准合同备案、算法备案、境内区块链服务备案、应用程序分发平台备案、汽车数据安全管理情况报送备案等数据合规相关备案及相关监督管理处罚工作均由网信部门负责。[2]
2. 卫生健康、工业、电信、交通、金融、自然资源、教育、科技等行业主管部门,承担本行业、本领域数据安全、个人信息保护和监督管理职责。其中,工信部以及各地通信管理局(下称“地方通管局”)在工业和信息化领域的数据合规执法权限,包括但不限于管理重要数据处理者的定期数据风险评估与报送工作。
3. 公安、国安、市场监督管理局在各自职责范围内承担网络安全保护和监督管理工作、数据安全监管工作、个人信息保护和监督管理工作。县级以上地方人民政府有关部门按照国家有关规定承担本地区的网络安全保护和监督管理职责、个人信息保护和监督管理职责。
值得关注的是,2023年,根据中共中央、国务院印发的《党和国家机构改革方案》,我国新组建国家数据局,其负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等,为我国数据合规监管体系开创了新局面。
2023年的数据合规监管活动主要聚焦App治理、网络安全审查、重点行业监管三大板块,常规性监管活动持续进行,整体情况如图1所示。
图1 2023年数据合规主要监管活动
一、App治理监督
2023年中国移动互联网用户总规模达到12.27亿。工信部数据显示,截至2023年10月底,我国App在架数量达到261万款。对于App治理,网信部门与工信部门都主要以通报违法违规App的形式进行,以下将对网信部门与工信部门的App监管活动分开阐述。
1. App治理执法工作
(1) 网信部门
网信部门作为我国网络安全、数据安全与个人信息保护的主管部门及协调统筹部门,执法活动种类丰富,违法违规App的治理也归属其监管领域。相较于往年由国家网信办发布多次App专项治理通报,今年网信部门鲜少发布App专项治理通报,且通报工作逐渐由中央转向地方。一方面,国家网信办不再发布App专项治理通报,另一方面,地方网信办发布的违法违规App通报次数也呈下降趋势,例如今年仅浙江网信办在2023年11月集中通报了156款浙江属地的违规App。
尽管网信部门对违法违规App的通报次数逐渐减少,但其对App的违规检测工作仍在持续进行中。中国网络空间安全协会作为国家网信办的下属单位会持续对各类App的个人信息收集情况进行测试,并公开测试结果。2023年,全国网信系统严格执行法律法规,大力查处各类网上违法违规行为,全年共约谈网站10646家,责令453家网站暂停功能或更新,下架移动应用程序259款,关停小程序119款,会同电信主管部门取消违法网站许可或备案、关闭违法网站14624家,督促相关网站平台依法依约关闭违法违规账号127878个[3]。
以2023年浙江省网信办对违法违规App的通告为例,此次浙江省通报依法查处的156款违法违规App,存在未公开收集使用规则、未明示收集使用个人信息的目的方式和范围、未经用户同意收集使用个人信息、违反必要原则收集等问题。[4]经过我们梳理和分析,在此次通报的156款App中,最高频的问题是未逐一列出App收集使用个人信息的目的、方式、范围等,涉及141款App;第二高频的问题是App实际收集的个人信息或打开的可收集个人信息权限超出用户授权范围,涉及136款App,第三高频的问题是App违反其所声明的收集使用规则,收集、使用个人信息,涉及131款App。具体情况如图2所示。
图2 2023年浙江网信办通报App问题分布
(2) 工信部门
工信部门是违规App监管通报的主要监管部门。无论是工信部还是地方通管局,违规App通报均已形成常态化监管,通常监管部门每月会发布一批违规App通报。一方面,工信部2023年共计通报9批次违规App(SDK),自2022年第一批监管通报开始,工信部已针对SDK违规收集用户信息等APP侵害用户权益的行为开展了专项整治行动;另一方面,各地地方通管局已形成定期通报App违规的执法常态,例如,浙江省通管局在2023年共计通报12批次违规App,通报频率为每月一次。此外,部分地方例如上海、广东等地通报的产品形态还包括微信小程序。
2023年工信部官网通报9批次《关于侵害用户权益行为的App(SDK)通报》App数量如图3所示。
图3 2023年工信部专项整治通报批次
在共计9批次的通报中,工信部App治理的重点问题分布见图4。据统计,在通报的292款App或SDK中,最高频的问题是App强制、频繁、过度索取权限,涉及147款App;第二高频的问题是App违规收集个人信息,涉及88款App;第三高频的问题是欺骗误导强迫用户和超范围收集个人信息,各涉及56款App。
图4 2023年工信部通报App(SDK)的问题分布
2. App执法趋势
根据我们的对比分析(如图5所示),近三年App治理活动呈现以下趋势:第一,自2021年数据合规元年迎来了一批整改、下架App高峰后,2022至2023年通报、整改的App数量呈下降的趋势。对于工信部而言,在专项整治行动中已经连续两年没有下架App,网信办下架的App数量也大幅减少。对此,推测由于数据合规法律体系的构建与完善、执法部门的密集监管、法律教育的宣传,使得相关企业的数据合规水平得到一定程度的提高,减少了App重大违法的情形。第二,App治理工作已逐步由专项执法行动转变为常态化管理,并呈现出精细化、常态化的监管趋势。
图5 近三年工信部官网通报App专项整治行动执法趋势
3. App备案
2023年8月4日,监管部门针对App事前备案做出了进一步的规定,发布《关于开展移动互联网应用程序备案工作的通知》(工信部信管〔2023〕105号),以规范App、小程序上线前备案事宜。该通知规定,境内从事互联网信息服务的App主办者应当向其住所所在地省级通信管理局履行备案手续,由其网络接入服务提供者、App分发平台通过“国家互联网基础资源管理系统”,采取网上提交申请、查验审核方式进行。若未备案,网络接入服务提供者、分发平台、智能终端生产企业将不再为未履行备案手续的App提供网络接入、分发、预置等服务。
据相关报道,2024年4月1日起,粤冀鄂蒙等地及支付宝已正式宣布对逾期未履行备案手续的境内存量移动互联网应用程序(含App、小程序、快应用等,以下简称App),将按照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等法律法规要求,依法采取下架、关停等处理措施,网络接入服务提供者、应用分发平台、智能终端生产企业应全面落实“先备案后服务”要求,不得为未备案App提供网络接入、分发、预置等服务,保障互联网行业规范健康发展,维护网络安全和公众利益。
二、网络安全审查
从2017年6月1日开始实施的《网络产品和服务安全审查办法(试行)》到2020年6月1日正式施行的《网络安全审查办法》,再到2022年2月15日开始施行的《网络安全审查办法》修订版,其间既有《数据安全法》和《关键信息基础设施安全保护条例》等新颁布的上位法自上而下地推动,也有网络安全审查主体基于对滴滴出行、BOSS直聘等企业的具体审查总结经验而形成地自下而上的完善,网络安全审查制度的审查范围、审查方式和审查内容在实践探索中呈现出逐步清晰明确的态势。在此背景下,2023年网络安全审查活动如图6所示。
图6 2023年网络安全审查活动
在2023年的网络安全审查活动以“美光案”最为典型。2023年5月21日,国家网信办网络安全审查办公室宣布,美光公司产品存在较严重网络安全问题隐患,对我国关键信息基础设施(“CII”)供应链造成重大安全风险,影响我国国家安全,依法作出不予通过网络安全审查的结论,国内关键信息基础设施运营者(“CIIO”)应停止采购美光公司产品。
“美光案”的典型之处在于,第一,本案为监管部门首次针对企业产品开展网络安全审查,在此之前网络安全审查均从实体层面针对企业审查;第二,本案为监管部门首次针对CII供应链安全问题主动发起审查,据此预计CII供应链安全问题将成为今后网络安全执法的重点领域;第三,本案是自新修订的《网络安全审查办法(2021)》生效后第2次公开的实施网络安全审查的案例,是主管部门在公开审查案件中第一次明确作出“不予通过”的认定。此外,从此次监管部门依职权发起审查的行为来看,依职权发起的网络安全审查直接针对任何可能影响国家安全的产品或服务,并未明确是否限于《网络安全审查办法(2021)》第2条所述的CIIO采购网络产品和服务与网络平台运营者开展数据处理活动的情形,具有宽泛性。
三、重点行业监管
1. 汽车行业
近年来,得益于我国新能源汽车、智能网联汽车产业的蓬勃发展,我国在汽车行业数据合规方面出台了一系列的立法,其中,《汽车数据安全管理若干规定(试行)》明确规定,汽车数据处理者开展重要数据处理活动,应当向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况[5],以及风险评估报告[6]。
为确保汽车企业落实相关法定要求,各地监管部门大力开展监管活动,以北京市的工作为例,2023年北京市针对汽车行业共有三次监管活动,均围绕汽车数据安全管理报送工作展开。具体内容详见表1。
表1 2023年北京市汽车行业监管活动
2. 金融行业
在金融监管方面,2023年,包括国家金融局在内的金融行业监管部门开出了5张巨额罚单,每张罚单的罚款金额均超过400万元,其中最高罚款金额高达26亿3千万余元。被处罚金融机构在数据合规方面主要涉及的处罚事由在于侵害个人信息主体合法权益,包括未征得个人信息主体的知情同意或具备其他合法性基础、未按照规定处理个人信息等。此外,重要信息系统建设不完善、重大信息安全事故应急响应机制设计不完善等网络系统安全问题也被监管部门重点关注。具体内容详见表2。
表2 2023年金融行业巨额罚单
四、2024年监管动向的展望和预测
基于上述监管动态,我们对2024年的监管动向作出以下推测:
第一,在监管主体方面,各监管部门的权责范围将进一步明晰、监管目标更加精准,行业监管比重增加,监管专业性逐步提升。以网信部门统筹,各行业主管部门、工信部门、公安部门、国安部门、市场监管部门等多部门协同配合机制下的监管活动将更加高效。
第二,在监管阶段方面,将全面覆盖“事前”“事中”“事后”各个阶段。在此背景下,企业应关注事前预防的重要性,尽早开始着手数据合规体系建设,或对已有的数据合规体系进行查漏补缺。
第三,在监管方式方面,将由密集专项突击的形式转化为常态化精细管理。这意味着我国数据合规监管已经形成相对成熟的机制,不同监管部门对于同一数据合规事项的理解正在逐步统一。
第四,在监管内容方面,由于形式合规已无法满足监管要求,未来的监管活动将重点关注实质合规。企业应注重提升数据合规工作的质量,有意识地将相关合规要求与自身的业务样态有机结合,确保相关的合规要求在自身运营过程中被充分、高效地落实。
以上是本期的全部内容,我们将于近期推出系列文章的最后一篇“重点问题篇”,敬请持续关注。
注释
[1] 《网络安全法》第八条:国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。县级以上地方人民政府有关部门的网络安全保护和监督管理职责,按照国家有关规定确定。
《数据安全法》第六条:各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。
《个人信息保护法》第六十条:国家网信部门负责统筹协调个人信息保护工作和相关监督管理工作。国务院有关部门依照本法和有关法律、行政法规的规定,在各自职责范围内负责个人信息保护和监督管理工作。县级以上地方人民政府有关部门的个人信息保护和监督管理职责,按照国家有关规定确定。前两款规定的部门统称为履行个人信息保护职责的部门。
[2] 《互联网信息服务算法推荐管理规定》第三条规定了,国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。地方网信部门负责统筹协调本行政区域内的算法推荐服务治理和相关监督管理工作。地方电信、公安、市场监管等有关部门依据各自职责负责本行政区域内的算法推荐服务监督管理工作。目前算法备案的网站入口是公安部的网页。
《区块链信息服务管理规定》第十一条:区块链信息服务提供者应当在提供服务之日起十个工作日内通过国家互联网信息办公室区块链信息服务备案管理系统填报服务提供者的名称、服务类别、服务形式、应用领域、服务器地址等信息,履行备案手续。区块链信息服务提供者变更服务项目、平台网址等事项的,应当在变更之日起五个工作日内办理变更手续。
《移动互联网应用程序信息服务管理规定(2022)》第十七条:应用程序分发平台应当在上线运营三十日内向所在地省、自治区、直辖市网信部门备案。区块链信息服务提供者终止服务的,应当在终止服务三十个工作日前办理注销手续,并作出妥善安排。
[3] “网信系统持续推进网络执法查处各类网上违法违规行为”,网页链接:https://www.cac.gov.cn/2024-01/31/c_1708373600499439.htm
[4] “浙江省网信办依法集中查处一批侵犯个人信息合法权益的违法违规App通告”,网页链接:https://mp.weixin.qq.com/s/SfUz8bKII-gzgo8QrSc5mQ
[5] 《汽车数据安全管理若干规定(试行)》第十三条
[6] 《汽车数据安全管理若干规定(试行)》第十条
