岁聿云暮,一元复始。2024悄然而走,回望甲辰,一路风景,帧格动人。这一年,路虽难,意不挫。
值此新旧交替的时刻,
威科先行
特邀
10位行业领域专家
,聚焦
知识产权、公司法、数据合规、国企合规、管制与制裁、劳动合规、争议解决、新能源&ESG合规、金融合规、汽车合规
,立足时代潮头,以睿思洞察动态,以灼见剖析趋势。让我们共同回看一年动态并展望辰龙,为企业合规之舟引航。
威科先行与您同行,让我们一起在变革中寻找机遇,在转型中谋求突破,在不断变化的时代浪潮中乘风破浪,开启崭新篇章。
云销雨霁,彩彻区明——2024年数据合规关键领域回顾与发展趋势展望
作者丨张国栋、沈博文
机构丨北京金诚同达律师事务所
当今社会,数据无疑已跃升为企业最为关键的资产之一,而数据合规堪称企业在数字商海中稳健航行的“压舱石”。从企业内部看,数据合规是保障企业数据资产安全、维护业务流程平稳有序推进的核心要素;从企业外部看,数据合规更是企业遵循市场规则、履行社会责任、赢得客户与合作伙伴信任的重要基石。2024年,中央和地方各级政府发布了许多数据合规领域的重要法规,继续大力推动数据合规体系的优化与升级。笔者通过本文,在对2024年数据合规关键领域的重要法规进行总结和回顾的基础上,对未来的发展趋势进行展望,以此探寻企业在数据合规新时代的应对之策。
伴随数据要素产业经济的蓬勃兴起,国家对数据要素的重视程度持续攀升。在政策法规制定层面,国家陆续出台了一系列相关法规,鼓励和支持数据要素的收集、整合、管理和应用,为数据要素创造了良好的政策环境和发展条件,一些部门与组织也相应发布了相关指导意见。
表 1 数据要素与数据资产相关文件
|
发布时间
|
文件名称
|
|
2020
年3月
|
《关于构建更加完善的要素市场化配置体制机制的意见》
|
|
2021
年12月
|
《“十四五”数字经济发展规划》
|
|
2023
年3月
|
《数字中国建设整体布局规划》
|
|
2023
年8月
|
《企业数据资源相关会计处理暂行规定》
|
|
2023
年9月
|
《数据资产评估指导意见》
|
|
2023
年12月
|
《“数据要素×”三年行动计划(2024一2026年)》
|
|
2024
年1月
|
《关于加强数据资产管理的指导意见》
|
|
2024
年2月
|
《关于加强行政事业单位数据资产管理的通知》
|
在数据要素与数据资产领域,2024年最引人注目的无疑是数据资产入表业务的蓬勃兴起。2024年1月1日,《企业数据资源相关会计处理暂行规定》正式开始实施,这为数据资产入表业务提供了明确的法律依据。据统计,截至2024年8月底,在A股上市的5000多家企业中,数据资源入表数量从一季度的17家增加至41家。另外,截至2024年9月底,国内已有126家非上市公司披露了数据资产入表情况[1]。到2024年年底,这一数据无疑将进一步增加。
当然,在当前的法律规范体系下,企业在数据资产入表业务领域,仍然面临着诸多课题,例如数据确权、价值评估、数据安全风险管理等。为此,如何根据自身的业务和数据资产特点,打造合规的数据资产如表路径,是摆在企业面前最大的挑战。
可以预见,在2025年,随着数据资产入表业务的发展,与之相关的数据要素与数据资产相关的法律法规势必将会进一步完善。对于有相应数据资产入表需求的企业,建议在紧跟数据资产入表立法与实务最新动态的同时,立足建立企业内部的数据合规管理体系,贯彻数据分类分级要求,完善和落实自身的数据合规管理规范,为开展数据资产入表提供有力的条件。
作为推动新一轮科技和产业变革的关键力量,人工智能在重塑生产生活的同时,也对法律秩序提出了挑战。因此,中央和地方针对人工智能的发展出台了一系列政策法规。
表 2 人工智能相关文件
|
发布时间
|
文件名称
|
|
2021
年9月
|
《新一代人工智能伦理规范》
|
|
2022
年3月
|
《互联网信息服务算法推荐管理规定》
|
|
2022
年7月
|
《关于加快场景创新以人工智能高水平应用促进经济高质量发展的指导意见》
|
|
2022
年10月
|
《上海市促进人工智能产业发展条例》
|
|
2022
年11月
|
《深圳经济特区人工智能产业促进条例》
|
|
2022
年12月
|
《最高人民法院关于规范和加强人工智能司法应用的意见》
|
|
2023
年1月
|
《互联网信息服务深度合成管理规定》
|
|
2023
年8月
|
《生成式人工智能服务管理暂行办法》
|
|
2024
年3月
|
《生成式人工智能服务安全基本要求》
|
|
2024
年9月
|
《人工智能生成合成内容标识办法(征求意见稿)》
|
2024年,在人工智能领域,为落实《生成式人工智能服务管理暂行办法》中的相关内容,全国网络安全标准化技术委员会于2024年2月颁布了《生成式人工智能服务安全基本要求》(TC260-003)。国家互联网信息办公室(以下称“国家网信办”)于2024年9月颁布了《人工智能生成合成内容标识办法(征求意见稿)》。
《生成式人工智能服务安全基本要求》为生成式人工智能服务提供者在实践中开展安全评估提供有效的路径。虽然《生成式人工智能服务安全基本要求》仅为一份标准性文件,但相关主管部门仍有可能将其作为评判生成式人工智能服务安全水平及安全评估结果的重要参考标准。而《人工智能生成合成内容标识办法(征求意见稿)》尚未正式出台,但是对于相关企业而言,仍然建议参照该征求意见稿的相关内容,未雨绸缪,就标识的流程和审核建立内部机制。
可以预见,在2025年,随着人工智能技术的进步和发展,国家将继续推动完善人工智能领域法律法规体系建设。同时,国家还可能适时推进《人工智能法》的立法。对于相关企业而言,在研究、开发和应用人工智能技术时,务必须要牢固树立数据合规的法律风险防范意识,强化企业内部的数据合规管理体制,牢牢守住安全发展的红线。
自2021年《个人信息保护法》建立个人信息保护合规审计制度以来,个人信息合规审计的落地实施一直是业界十分关注的焦点问题之一。
表 3 个人信息保护合规审计相关文件
|
发布时间
|
文件名称
|
|
2021
年8月
|
《中华人民共和国个人信息保护法》(以下称“《个人信息保护法》”)
|
|
2023
年8月
|
《个人信息保护合规审计管理办法(征求意见稿)》
|
|
2024
年7月
|
《数据安全技术 个人信息保护合规审计要求(征求意见稿)》
|
|
2024
年9月
|
《网络数据安全管理条例》
|
2023年8月,国家网信办发布《个人信息保护合规审计管理办法(征求意见稿)》,初步对个人信息保护合规审计的触发情形、合规审计参考要点等关键事项予以规定。2024年7月,全国网络安全标准化技术委员会发布了推荐性国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》。此标准在前述征求意见稿的基础上,进一步明确了审计内容、审计方法、审计流程等,并着重细化了针对未成年人个人信息处理的合规审计内容。
2024年9月发布的《网络数据安全管理条例》第27条在《个人信息保护法》的基础上进一步明确了开展合规审计的方式,即“自行或委托专业机构”。同时,《网络数据安全管理条例》第52条还规定,个人信息保护合规审计、重要数据风险评估、重要数据出境安全评估等应当加强衔接,避免重复评估、审计。
在2025年,对于企业而言,应当继续密切关注与个人信息保护合规审计相关的两部征求意见稿的落地情况。未成年人个人信息处理问题应当尤其注意。尽管《数据安全技术 个人信息保护合规审计要求(征求意见稿)》尚未正式发布实施,但从国家加强对未成年人网络保护的监管趋势来看,针对未成年人个人信息处理的合规审计也将是企业开展个人信息保护合规审计的重点内容。
在当今数字经济时代,数据体量急剧膨胀,数据流动变得日益频繁且复杂,数据安全风险事件也随之频发。为此,如下表所示,多部法律随之出台以构建网络安全事件应急管理体系,增强应对能力。
表 4 网络安全事件处置相关文件
|
发布时间
|
文件名称
|
|
2016
年11
|
《中华人民共和国网络安全法》
|
|
2021
年6月
|
《中华人民共和国数据安全法》
|
|
2023
年5月
|
《信息安全技术 网络安全事件分类分级指南》
|
|
2023
年12月
|
《网络安全事件报告管理办法(征求意见稿)》
|
|
2024
年9月
|
《网络数据安全管理条例》
|
|
2024
年10月
|
《工业和信息化领域数据安全事件应急预案(试行)》
|
《网络安全法》及《数据安全法》原则性地规定了网络或数据领域安全事件应急处置机制以及安全事件分类分级制度。2023年12月,国家网信办发布《网络安全事件报告管理办法(征求意见稿)》。2024年10月,工业和信息化部颁布了《工业和信息化领域数据安全事件应急预案(试行)》。该应急预案以前述多部法律法规为基础,进一步明确了工业和信息化领域数据安全应急处置工作的组织体系、开展数据安全风险监测预警工作的具体要求、不同级别网络安全事件应急处置工作的具体流程等。该应急预案还进一步对安全事件的分级标准、事件上报模板、事件总结报告模板以及应急处置流程图予以细化,为各主体开展网络安全事件应急处置工作提供指南。
在2025年,对于企业而言,应当继续密切关注《网络安全事件报告管理办法(征求意见稿)》的落地情况。为依法履行网络安全事件处置义务,企业应当积极构建自身的数据安全管理团队,明确各成员在网络安全事件应对过程中的职责分工,提前制定网络安全事件应急预案,并定期进行演练,确保在面对潜在风险时能够迅速响应作为。
随着数字经济的蓬勃发展,数据跨境活动日益频繁,但其中不可避免地蕴含着潜在风险。近几年,我国数据出境合规监管“三条路径”(数据出境安全评估、个人信息出境标准合同备案、个人信息保护认证)业已形成,但实操中广泛存在评估触发门槛低、评估周期耗时长、必要性难把握、缺乏豁免条件等问题。
表 5 数据跨境流动相关文件
|
发布时间
|
文件名称
|
|
2016
年11月
|
《网络安全法》
|
|
2021
年6月
|
《数据安全法》
|
|
2021
年8月
|
《个人信息保护法》
|
|
2022
年7月
|
《数据出境安全评估办法》
|
|
2023
年2月
|
《个人信息出境标准合同办法》
|
|
2024
年3月
|
《促进和规范数据跨境流动规定》
|
|
2024
年5月
|
《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》
|
|
2024
年1月
|
《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》
|
|
2024
年8月
|
《中国(北京)自由贸易试验区数据出境负面清单管理办法(试行)》
|
|
2024
年8月
|
《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》
|
|
2024
年8月
|
《中国(福建)自由贸易试验区平潭片区数据跨境流动管理办法》
|
2024年,我国以“松绑”为主基调,出台了一系列政策法规。2024年3月22日,国家互联网信息办公室发布《促进和规范数据跨境流动规定》,对数据出境合规监管框架进行了重塑。该规定将数据出境监管“三条路径”的数量标准进行了新的安排,并明确规定了豁免情形,将绝大部分企业日常、简单、重复的数据出境的情形囊括其中,大幅降低了企业合规成本。
此外,为了进一步“松绑”,该文件授权各自由贸易试验区自主确定必须经过“三条路径”程序的数据范畴,即制定“负面清单”或“一般数据清单”。目前,已发布负面清单的自贸区有中国(天津)自由贸易试验区、中国(北京)自由贸易区;已发布一般数据清单的自贸区有中国(上海)自由贸易试验区临港新片区、中国(福建)自由贸易试验区平潭片区。
在2025年,对于企业而言,应当继续密切关注有关行业重要数据目录或清单的制定和颁布情况。企业应当尤其注意,数据出境监管政策的“松绑”并不意味着可以不履行其他合规义务。如在个人信息出境的场景下,企业即便满足了前述豁免情形,仍需就数据出境行为开展个人信息保护影响评估、告知个人信息主体数据出境的具体情况,并根据法律规定取得个人单独同意。
