序言
2024年,中国数字经济蓬勃发展与社会治理数字化转型相交织,数据作为新型生产要素的价值日益凸显,网络安全和数据保护的法律体系不断完善。
随着法律体系及监管工作的发展,数据合规的要求持续深化,并在平衡中逐步推进。其中,几个重点问题需要特别予以关注。个人信息保护审计进一步明确,推动企业构建完善的数据合规体系;数据跨境传输规则在博弈中寻求平衡,探索数据自由流动与安全保护的共赢之道;数据分类分级制度逐步细化落地,为数据安全治理奠定基础;人工智能与算法的发展引发新一轮合规议题,并成为下一阶段立法的关注焦点;数据要素市场化配置改革加速,数据确权、定价、交易等关键环节取得重大进展;金融行业作为数据密集型行业,引领重要行业数据合规最佳实践。
基于此,天达共和数据合规团队对2024年数据合规领域重要问题的立法和执法情况进行回顾与总结,并展望2025年数据合规领域建设蓝图,以期为企业建立和完善相关领域的合规工作提供参考。
一
网络安全和数据保护综述
2024年网络和数据合规领域立法聚焦安全治理与技术创新平衡,核心成果包括《网络数据安全管理条例》《网络反不正当竞争暂行规定》《网络暴力信息治理规定》《工业和信息化领域数据安全合规指引》等法律法规。这些立法以细化监管框架、回应新型风险为导向,标志着我国网络安全和数据治理体系进入精细化、场景化阶段。
1. 立法回顾
从立法特色来看,《网络数据安全管理条例》(下称“《网数条例》”)作为专门规范数据安全管理的行政法规,完善了网络安全和数据保护的法律体系。从内容上细化合规要求的同时,平衡兼顾了实践成果和实务需求。突出亮点包括,吸收此前相关主管部门所推动的“双清单”告知实践,强化对个人信息主体告知义务的落实;首次在行政法规层面明确“重要数据”的定义,同时引入“可携带权”的部分实现规则,允许用户以结构化方式迁移个人基础信息等。关于《网数条例》的其他具体规定,请参阅《行稳致远:<网络数据安全管理条例>下网络平台服务提供者的角色识别与合规之道》。
《网络反不正当竞争暂行规定》作为我国首部互联网领域反不正当竞争的专门立法,在网络专条中对目标跳转、恶意干扰、恶意不兼容3种行为进行细化完善。此外,还对反向刷单、恶意屏蔽、二选一、数据抓取、不合理差别待遇等网络不正当竞争行为进行了规制。
《网络暴力信息治理规定》特别指出应建立健全网络暴力信息特征库和典型案例样本库,采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络暴力信息的识别检测。
在针对具体行业的立法上,《工业和信息化领域数据安全合规指引》颇具代表性。它聚焦数据处理者在履行数据安全保护义务过程中的难点问题,从数据分类分级、重要数据识别报备、数据安全管理、全生命周期保护、监测预警、信息共享、应急处置、风险评估、出境管理、数据交易等方面提出了具体要求和实施指导。
以上立法均强调数据安全责任主体化、技术治理工具化、场景规制差异化,凸显出立法对重要数据保护、个人信息权益实现以及新型技术滥用防范等热点问题的系统性回应。在立法强化制度供给的背景下,国家对数据安全的重视已从规则构建延伸至执法实践,实现了“立法定标、执法落地”的联动。
2. 执法回顾
以“清朗”系列专项行动为例,2024年该专项行动聚焦生成式人工智能内容治理、涉企侵权信息、违法信息外链、未成年人网络保护及算法滥用规制等核心问题。专项行动通过“规范生成合成内容标识”强化人工智能生成信息的可溯源性,要求平台清理未标识内容并处置违规账号;针对涉企乱象,重点打击造谣抹黑、敲诈勒索等七类行为,推动北京“E企护航”、上海“清朗浦江”等地方专项落地;在违法外链治理中,构建跨平台联动机制,整治账号、群圈、直播等8大环节的色情赌博引流问题;在未成年人保护方面,严查“网络厕所”“人肉开盒”等新型欺凌行为,对存在突出问题的平台予以从重处罚;同时,专项行动将算法滥用纳入治理范畴,整治“信息茧房”、大数据杀熟等问题,要求平台优化算法透明度并提升算法安全能力。
3. 趋势展望
根据2024年的立法及执法情况,我们理解,2025年数据合规领域的立法及执法活动将继续呈现精细化落地与技术深化治理的双重特征,并围绕人工智能、数据跨境流动、行业数据分类分级及重要数据目录细化、个人信息保护合规审计、数据资源入表等方向展开。
二
个人信息保护重点问题
2024年,我国个人信息保护立法重点聚焦个人信息保护合规审计(下称“个保审计”)规则, 2025年是个保审计从法律要求迈向实践落地的元年,也是检验其效能的关键窗口期。同时,2024年个人信息保护执法工作仍以App治理为重要方向。
1. 个人信息保护审计立法回顾
2024年7月12日,国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》发布,衔接《个人信息保护法》第54条和第64条关于个保审计的条款和2023年8月3日发布的《个人信息保护合规审计管理办法(征求意见稿)》,在审计流程、审计证据、审计要点等方面进行了细化,从国家标准层面解决因缺少规范要求和方式步骤而导致个保审计不易开展的问题。具体请参阅《蓄势待发——〈数据安全技术 个人信息保护合规审计要求(征求意见稿)〉图解及实务解析》。
2024年9月24日,《网数条例》发布,其第27条在行政法规的层面上再次明确了网络数据处理者进行个保审计的义务。[1]
2024年11月12日,国家标准《数据安全技术 个人信息保护合规审计要求》(下称“《审计要求》”)试点启动会在京召开,本次试点工作在互联网、金融、交通、医疗、电信等重点行业和领域选取了 36 家单位作为标准应用首批试点单位。[2]
2025年2月12日,经历了一年半征求意见的《个人信息保护合规审计管理办法》(下称“《审计管理办法》”)正式发布,我国个保审计制度首次形成了“法律—行政法规—部门规章—国家标准”的四级规范体系。
2. 个人信息保护审计趋势展望
2025年5月1日《审计管理办法》将正式实施,国家标准《审计要求》预计也将于本年发布,实现配套规则的完善。“重要互联网平台服务、用户数量巨大、业务类型复杂”是否将延续《网数条例》关于“大型网络平台”的认定标准,有望得到明确。技术工具与规范的推出、外部专业机构的资质认证等实操问题有待落地与解答。对于企业而言,我们建议根据《审计管理办法》提出的定期审计门槛和监管审计触发情形予以自查,完善个人信息保护治理架构,重点关注高风险场景,提前布局,实现从“被动应对”到“主动治理”的转型。具体请参阅《水到渠成——〈个人信息保护合规审计管理办法〉落地与应对》。
3. App治理执法回顾
(1) 工业信息化部门
作为工业和信息化领域App治理工作的常态化标准动作,工业和信息化部(下称“工信部”)基本每1-2个月发布一批《关于侵害用户权益行为的APP(SDK)通报》,2024年全年共发布10批通报,自活动开展以来已累计发布45批通报。
2024年工信部共发现298款App(SDK)存在侵害用户权益的行为,其中居家生活类(地图、美食、家具家居、日常服务、金融等)占比51.3%,游戏类占比22.8%。
在通报的10个批次中,App(SDK)所涉问题分布如下图1所示,其中最高频的3个问题为:①强制、频繁、过度索取权限;②违规/超范围收集个人信息;③信息窗口乱跳转。对于SDK,工信部重点关注使用说明的完整性和信息公示。
图1 2024年工信部通报违规App(SDK)所涉问题分布
除对侵害用户权益行为的App(SDK)进行通报外,工信部还组织建设了App检测及认证公共服务平台,从App开发运营者、应用商店、第三方软件开发工具(SDK)、终端厂商、网络接入等上下游企业处压实主体责任,组织举办App个人信息保护公益培训宣讲系列活动,搭建互联网信息服务投诉平台,督促企业及时响应用户诉求。[3]
(2) 网信部门
相较于工信部月度通报的执法形式,国家互联网信息办公室(下称“国家网信办”)作为我国网数领域的主管部门及协调统筹部门,对违规App采取集中查处的治理措施。
2025年2月19日,国家网信办查处82款违法违规App(含小程序),其中4款App予以下架处置;78款App责令限期1个月完成整改,逾期未完成整改的予以下架处置。[4]处罚依据方面,2019年11月28日发布的《App违法违规收集使用个人信息行为认定方法》仍是网信部门进行App监管的重要指引。
下架App所涉问题主要是隐私政策无法打开和无隐私政策。责令限期整改的App所涉问题集中于用户账号注销功能,具体包括:①无用户账号注销功能;②未提供有效的用户账号注销功能;③为用户账号注销设置不合理条件;④用户账号注销承诺时限超出15个工作日;⑤未在15个工作日内完成用户账号注销;⑥未在承诺时限内内完成用户账号注销。
据国家网信办2025年2月25日发布,网信部门加大网络安全、数据安全和个人信息保护等领域执法力度,2024年全国网信系统依法对11159家网站平台予以约谈,对4046家网站平台实施警告或罚款处罚,责令585家网站暂停有关功能或信息更新,共下架移动应用程序200款,处置小程序40款。针对部分App未明示个人信息处理规则、未经同意处理个人信息、未提供账号注销功能等个人信息保护领域违法违规问题,国家网信办指导属地网信办依法采取责令改正、警告、从严处理责任人等处置处罚措施。指导属地网信办,聚焦扫码消费等与人民群众生活密切相关的场景,以及人脸识别滥用乱象整治问题,依法查处各类违法违规行为。针对部分具有舆论属性或动员能力的App、小程序未经安全评估即上线提供生成式人工智能服务问题,国家网信办指导属地网信办依法采取下架、下线功能等处置措施。对已完成整改的相关App及时依法复核恢复上架,推动新技术新应用健康有序发展。[5]
(3) 社会组织
除工信部和国家网信办外,相关社会组织也参与了违规App治理活动。
中国网络空间安全协会(下称“网安协会”)作为国家网信办下属单位,组织指导网上购物、地图导航、浏览器、新闻资讯、在线影音、电子图书、拍摄美化、云盘、短视频、演出票务共10类62款App运营方,对照《网络安全法》《个人信息保护法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规,重点针对超范围收集个人信息、过度调用敏感权限、权限设置和账号注销不便等个人信息收集使用问题完成了合规整改优化。62款App运营方已在应用商店上架合规版本,并承诺升级版本持续保持合规水平。[6]
国家计算机病毒应急处理中心(下称“病毒中心”)依据《网络安全法》《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》等法律法规及相关国家标准要求,通过互联网监测并定期通报存在隐私不合规行为的移动应用。
2024年,病毒中心共发布7批违规App通报,涉及92款App。其中,居家生活类占比48.9%,游戏类占比31.5%。在通报的7个批次中,App所涉问题分布如下图2所示,主要包括:①隐私政策告知问题,例如未逐一列出收集处理目的/方式/范围、难以访问/未以显著方式告知、未声明App运营者基本情况/隐私政策时效、无隐私政策等;②撤回同意问题,例如未提供便捷撤回同意方式、向用户提供撤回同意的途径/方式但未在隐私政策中明确;③处理个人信息的特殊场景,例如向第三方提供、处理敏感个人信息、处理未成年人个人信息;④个人信息主体行权问题,例如个人信息安全投诉/举报及承诺受理时限、更正/删除个人信息、注销账号功能等;⑤自动化决策、权限索取、自启动/关联启动等。
图2 2024年病毒中心通报违规App所涉问题分布
三
数据跨境传输重点问题
2024年,随着《促进和规范数据跨境流动规定》及相关配套文件的落地,我国数据出境规则的体系基本定型,我国数据出境规则和监管方式迎来了新局面。
1. 立法回顾
2024 年3 月22 日,国家网信办正式发布并实施《促进和规范数据跨境流动规定》。《促进和规范数据跨境流动规定》主要包括以下内容:①符合规定情形的重要数据出境需要经过安全评估;②不包含个人信息或者重要数据的数据出境豁免;③部分个人信息出境场景下的合规路径豁免;④自贸区特别立法权与负面清单制度;⑤细化数据出境安全评估和个人信息出境标准合同及认证制度。同时,网信办配套出台了《数据出境安全评估申报指南(第二版)》以及《个人信息出境标准合同备案指南(第二版)》,对申报数据出境安全评估、备案个人信息出境标准合同的方式、流程和材料等具体要求作出了说明,对数据处理者需要提交的相关材料进行了优化简化。自此,我国数据跨境流动进入正轨。具体请参阅《天工人巧日争新——<促进和规范数据跨境流动规定>评析》。
2024年3月,国务院办公厅发布《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》,在规范数据跨境安全管理的前提下,支持外商投资企业与总部数据流动,探索建立跨境数据流动“白名单”制度,确立粤港澳大湾区数据转移标准,推动国内规则与国际高标准规则对接。
2024年9月,国务院颁布《网数条例》,确定并重申了数据出境的原则性规定以及《促进和规范数据跨境流动规定》中确立的数据出境管理的总体规则,同时将我国目前正在和已经加入的双边、多边协定中数据跨境条款的适用纳入了考虑。
2025年1月,国家网信办发布《个人信息出境个人信息保护认证办法(征求意见稿)》,从规章层面弥补开展个人信息保护认证的规定空白。
在前述立法背景下,许多地方开始积极推进、完善数据跨境活动合规的制度构建:
粤港澳大湾区方面,继2023年6月国家网信办与香港特区政府创新科技及工业局签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》并在同年12月发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》后,2024年9 月,国家网信办与澳门特别行政区政府经济财政司签署《关于促进粤港澳大湾区数据跨境流动的合作备忘录》,并发布《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》,旨在推动数据要素安全有序流通,促进数字经济的发展,加强内地与香港、澳门的数据跨境流动。2024年11月,全国网络安全标准化技术委员会秘书处发布《关于发布<网络安全标准实践指南——粤港澳大湾区(内地、香港)个人信息跨境处理保护要求>的通知》,进一步完善了大湾区内地与香港地区之间的个人信息跨境处理活动。
内地自贸区方面,上海、天津、北京分别出台《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》《中国(北京)自由贸易试验区数据出境负面管理办法(试行)》及数据出境一般清单或负面清单,对自贸区企业的数据出境实践进行合规指引。
此外,针对数据跨境流动的国际合作问题,国家网信办于2024年11月发布《全球数据跨境流动合作倡议》。虽然仅为倡导性文件,但是其仍然表达了我国对于在全球范围内开展数据跨境流动、加快全球产业数字化转型的强烈意愿。
2. 执法回顾
2024年8月,广州互联网法院公布我国首例“个人信息跨境纠纷案”。法院以被告公司基于商业营销目的,向位于境外第三方公司传输处理相关个人信息,该处理行为及其处理目的超出履行合同必需,也未向原告充分告知并取得其单独同意,属于违法处理行为,侵害了原告的个人信息权益,应当承担民事侵权责任。该案司法观点与此前行政监管领域的意见相契合,也为企业开展个人信息跨境传输工作提供了较为明确的参考标准。
3. 趋势展望
结合2024年的立法和司法、执法动向,2025年中国数据出境将朝着更加规范化、精细化、国际化的方向发展,在保障数据安全的前提下,推动数据有序流动。
数据出境立法方面,重要行业主管部门可能将继续发布本行业的数据分级分类及重要数据识别相关指导文件,为涉重要数据企业的数据出境申报提供明确依据;个人信息出境方面,《个人信息出境个人信息保护认证办法》有望在2025年正式出台,为个人信息处理者开展个人信息保护认证和个人信息出境活动提供更精确、可行的指引;地方数据出境监管细则也将逐步完善,预计会出现更多地方性数据出境试点项目,探索数据跨境流动的创新模式。
数据出境监管方面,监管部门将继续加强对数据出境的监管力度,建立更加完善的数据出境监测预警机制,加强对数据出境活动的日常监管和风险评估。
在国际合作与互认机制上,我们理解国家会继续积极参与数据跨境流动国际规则的制定,推动与其他国家和地区的数据跨境流动合作,探索建立数据出境白名单机制、数据跨境流动认证互认机制等,为企业提供更加便利的数据出境环境。
四
出海企业数据跨境传输基本应对策略
自《数据安全法》中确立数据分级分类保护原则以来,关于数据分级分类的具体方式、标准等问题一直是相关领域的重点关注对象。在数据分级分类方面,回顾2024年,从整体指导原则到行业具体标准均有文件出台,给数据分级分类工作的实际开展提供了有力的支持。
1. 立法回顾
首先,2024年9月24日发布并于2025年1月1日实施的《网数条例》中,在上位法《数据安全法》的基础上,再次强调了“对网络数据实行分类分级保护”和“各地区、各部门应当按照数据分类分级保护制度”的基本原则,并规定重要数据应当结合相关行业、领域的重要数据目录及网络数据处理者的识别和申报共同确定重要数据的具体字段。另外,在2024年3月21日,全国网络安全标准化技术委员会发布国家标准文件GB/T 43697-2024《数据安全技术 数据分类分级规则》。该文件针对数据分级分类的方法、流程和确定重要数据、核心数据的标准等均进行了规定,对数据处理者开展分级分类工作具有相当重要的指导价值。同时,全国网络安全标准化技术委员会于2024年6月与9月分别出台《网络安全标准实践指南--敏感个人信息识别指南》的征求意见稿与正式稿,就如何针对个人信息这一类数据进行“一般个人信息”和“敏感个人信息”的分级分类方法提供了指导。以上两份标准文件的出台,为数据分级分类的具体工作开展提供了技术性支撑。
其次,2024年部分具体行业主管部门也发布了本行业的数据分级分类规定。例如在金融行业中,国家金融监管总局于2024年12月底正式发布了《银行保险机构数据安全管理办法》,从敏感程度上对本行业数据进行了区分。对该办法的具体分析可参见本文第六部分“金融行业”中的内容。另外,同年11月19日,共十七家行业组织联合发布《工业和信息化领域数据安全合规指引》,对工业与信息化领域主体的数据分级分类工作提出了要求。相关行业的指导文件出台,意味着数据分级分类以及重要数据识别的工作已在各行各业逐步具体化,呈现出成为常规工作之一的趋势。
2. 趋势展望
基于以上内容展望2025年,虽然迄今为止,除了汽车等少数行业,相当多数的行业在重要数据的识别和管理方面仍处于摸索和徘徊阶段,但鉴于重要数据安全的重要地位,我们认为更多行业的主管部门将基于2024年的立法成果和其他行业的实践经验,继续着力推动本行业的数据分级分类及重要数据识别相关指导,为广大数据处理者的数据分级分类工作提供具体指引。结合数据出境等领域的现行要求,数据分级分类及重要数据识别工作的进一步细化,特别是行业主管部门对于《网数条例》等相关法律法规中规定的企业重要数据识别、申报工作的落实要求和实际推动,也会对数据合规其他领域的工作产生影响。因此,我们建议企业仍应根据自身所处领域、行业和业务群体等特点,重点关注行业主管部门的要求,并适时推进重要数据识别和相关数据安全管理工作的部署。
注释
向上滑动阅览
[1] 《网络数据安全管理条例》第27条:网络数据处理者应当定期自行或者委托专业机构对其处理个人信息遵守法律、行政法规的情况进行合规审计。
[2] 全国网络安全标准化技术委员会秘书处:《网络安全标准化工作月报》2024 年第 11 期(总第 37 期)
[3] https://www.miit.gov.cn/jgsj/xgj/gzdt/art/2024/art_7871e1ac43f24cb4af6059cda44dee48.html
[4] https://www.cac.gov.cn/2025-02/19/c_1741664476228611.htm
[5] https://mp.weixin.qq.com/s/nuvWo8RolVkDioDALo5BYQ
[6] https://www.cybersac.cn/detail/1833077486582276098
(囿于篇幅原因,本篇文章将分为上、下两篇分别发布,
敬请期待。)
