本文总结了2024年度数字经济和数据治理领域的六个关键词,并对2025年作出展望。
相较于2023年生成式人工智能的异军突起、跨境申报的如火如荼,2024年,国产大模型百花齐放,中企出海风起云涌,跨境新规正式落地,京津沪等地相继发布自贸区跨境便利措施;工信部107号文为外资企业带来新的中国机遇,释放数据要素价值的政策频频发布。与此同时,生成式人工智能服务处罚案例初现,备受关注的《网数条例》正式发布,重要数据国标与试点接踵而至,我国数字经济与数据治理迈入纵深推进阶段。此外,国际政治环境与法律环境变化迅速,中国企业出海或将面临更为复杂的多元挑战。
2024年9月30日,《网络数据安全管理条例》(简称“
《网数条例》
”)正式发布,自2025年1月1日起施行。相较于2021年发布的征求意见稿,《网数条例》整体更加“温和”,体现了
网络数据利用与网络数据安全的平衡
,例如网络安全审查触发情形删除赴港IPO等情形,个人信息处理者履行部分重要数据处理者义务数量门槛提升至1000万,删除重要数据的提供、委托处理应征得主管部门同意等要求。同时,就部分高风险监管项,则在征求意见稿基础上进一步“收紧”,例如新增要求涉及危害国家安全、公共利益的网络产品/服务的安全缺陷、漏洞等风险,应在24小时内报告。
具体而言,《网数条例》从一般性合规要求、个人信息保护、重要数据安全、数据跨境、网络平台等方面细化了监管要求:
《网数条例》与《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》三部基本法,及《关键信息基础设施安全保护条例》和加快制定中的《网络安全等级保护条例(征求意见稿)》,共同构建了我国网安和数据保护领域“三法三条例”的框架。至此,我国网络空间监管和数据保护的法律框架基本成型。
人工智能已经成为大国竞争的高地,伴随产业应用快速落地,规范治理也成为重要议题。2023年、2024年立法工作计划均提及《人工智能法》,借此构建法律层面的统一框架和规则。与此同时,继《生成式人工智能服务管理暂行办法》作为首部人工智能专门性立法于2023年生效实施后,相关配套规则于2024年持续落地,为我国人工智能监管提供规范支撑。
实践层面,监管侧密切关注生成式人工智能应用风险,以大模型评估及备案作为抓手实现事前监管;地方网信部门则对未经安全测评备案、违规提供生成式人工智能服务,未经安全评估上线提供Chat-GPT生成式人工智能信息服务,违规生成法律法规禁止的信息等问题开展行政处罚,确保事后持续监管。
司法实践则聚焦人工智能与版权制度的冲突,主要包括“大模型训练语料未获得授权能不能构成合理使用”“人工智能生成物的可版权性”及“人工智能生成物侵权的责任承担”。例如,广州互联网法院今年针对生成式人工智能服务提供者的侵权责任作出一审判决((2024)粤0192民初113号),由于服务提供者所生成的图片与第三方作品构成实质性相似,进而构成侵权;北京互联网法院作出的人工智能生成图片著作权侵权纠纷一审判决((2023)京0491民初11279号)认为,涉案图片体现了原告的智力投入,故涉案图片具备了“智力成果”要件;图片的调整修正过程亦体现了原告的审美选择和个性判断,故涉案图片具备“独创性”要件,应当被认定为作品;北京互联网法院受理的四位绘画创作者诉某社交平台的案件中,则聚焦于未经授权使用原告的原创作品作为训练数据是否构成侵权。
三、数据要素化:促进数据资源流动与价值释放的政策频出
2022年12月发布的“数据二十条”为数据要素市场的发展提供了坚实的政策基础。在此背景下,数字经济快速发展,数据基础制度不断完善,数据资源开发利用、公共数据利用等细则落地。
我们认为,数据要素化行动的关键在于数据要素的高效流动,并在实际应用场景中与实体经济结合,从而释放真正价值。基于此,《“数据要素×”三年行动计划(2024—2026年)》的落地实施,是形成数据市场蓝海的核心。
2024年9月,《中共中央关于进一步全面深化改革 推进中国式现代化的决定》通过,与之前的《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》及《国务院关于进一步优化外商投资环境加大吸引外商投资力度的意见》共同奠定了2024年数据跨境领域“
建立高效便利安全的数据跨境流动机制
”的总方向。
* 完善数据跨境管理体系,高效开展数据出境安全评估
2024年3月22日,《促进和规范数据跨境流动规定》(以下简称“
《数据跨境规定》
”)正式发布实施,调整了各项数据跨境机制适用条件,收窄了数据出境安全评估的范围,豁免了部分出境场景的申报。根据网信办消息,当前安全评估申报、标准合同备案数量显著下降,数据出境安全评估平均用时已降至不到30个工作日。
[3]
* 自贸区数据跨境流动负面/正面清单
2024年5月、8月,天津、北京两地相继落地《数据跨境规定》第六条
[4]
明确的自贸区
负面清单
机制。天津自贸区负面清单适用于天津自贸区企业,覆盖行业范围较广;北京自贸区负面清单适用于北京自贸区内登记注册、开展数据跨境流动等相关活动的数据处理者,覆盖5个行业(汽车、民航、零售与现代服务、医药、人工智能训练),为首个场景化、字段级的负面清单。
上海、福建另分别于2024年5月、9月发布可自由流动的一般数据清单(以下简称“
正面清单
”)。上海自贸区正面清单适用于在临港新片区范围内登记注册的,或在临港新片区开展数据跨境流动相关活动的数据处理者,覆盖生物医药、智能网联汽车、公募基金、再保险、航运、证券六个领域;福建自贸区正面清单适用于在平潭自贸片区范围内登记注册的,
且
在平潭自贸片区内开展数据跨境流动活动的数据处理者(关键信息基础设施运营者除外),覆盖跨境旅游、跨境电商、跨境直播、国际航运4个行业。
据网信办消息,上海、海南、广东等多地自贸区数据出境负面清单亦正在制定中,后续将陆续出台。
[5]
* 粤港澳大湾区内数据便利流动措施
2024年9月,《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》发布,与2023年12月发布的《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》(以下简称“
《标准合同实施指引(香港)》
”)共同为粤港澳大湾区企业提供了更加便捷的数据流动机制,包括简化个人信息保护影响评估要点等。前述规范分别适用于广东九市与澳门/香港地区的数据跨境流动,数据处理者需分别向属地监管机构备案。其中,《标准合同实施指引(香港)》率先在信贷资料、银行及医疗业界试行,并于2024年11月扩展至全港各行各业。
* 全球数据跨境流动合作机制加快建立
2024年11月,国家网信办发布《全球数据跨境流动合作倡议》,提出秉持“开放、包容、安全、合作、非歧视的原则”,通过国际社会各主体间的共商共建与共享,
携手构建高效便利安全的数据跨境流动机制
。2024年6月,《关于中德数据跨境流动合作的谅解备忘录》签署;2024年8月,中欧数据跨境流动交流机制正式建立,或将为所涉企业开展数据跨境传输提供便利。
我们认为,逆全球化的潮流及地缘政治关系的变化会映射到全球数据流动的监管上,使得数据在全球范围内的流动会面临日益严峻的挑战。但是,考虑到中国的开放国策及稳定外资的政策,我国数据跨境流动监管仍然会在安全与发展中找到一个合适的平衡点。
* 汽车行业作为合规治理深水区持续发力
汽车数据跨境的自贸区治理路径探索。
北京、天津两地自贸区对数据出境负面清单的探索为汽车行业的重要数据认定提供了更多参考,上海自贸区亦针对智能网联汽车领域出台数据跨境的一般清单及传输要求,涵盖跨国生产制造、全球研发测试、全球售后服务、二手车全球贸易四个常见场景。
OTA、智能驾驶等高风险技术场景持续引发关注。
工信部于2024年8月发布《关于进一步加强智能网联汽车准入、召回及软件在线升级管理的通知(征求意见稿)》,北京市则于6月发布《北京市自动驾驶汽车条例(征求意见稿)》,OTA、自动驾驶(车联网)相关的汽车数据治理持续引发监管关注。北京、天津自贸区数据出境负面清单亦将OTA、车联网相关数据的出境纳入需申报安全评估的范围。
标准建设成果显著,数据安全治理迈向精细化。
2024年,全国汽车标准化技术委员会发布GB/T 44464-2024《汽车数据通用要求》;由工信部组织制定的三项强制性国标
[6]
、自然资源部组织制定的两项智能网联汽车时空数据强标征求意见稿
[7]
亦接连发布。标准内容(尤其是强标)通常反映了监管开展执法检查和技术监测的合规水位,标志着汽车行业的数据安全治理正逐渐迈向精细化。
测绘合规仍为智能网联汽车合规治理重点。
近年来,智能网联汽车产业的爆发式增长,也带来了研发与量产阶段所涉及的测绘安全乃至国家安全问题。2024年7月26日,自然资源部发布《关于加强智能网联汽车有关测绘地理信息安全管理的通知》,强调了智能网联汽车测绘数据处理的闭环要求。此外,《对外提供涉密测绘成果管理办法》亦于2024年7月底发布。
* 增值电信业务试点取消外资限制
2024年,工信部全面启动增值电信业务的扩大对外开放试点工作,为外资企业在华业务发展带来了新机遇。
依据4月10日发布的《关于开展增值电信业务扩大对外开放试点工作的通告》(工信部通信函〔2024〕107号,即“
107号文
”),在北京、上海、海南、深圳四个试点地区开展增值电信业务扩大对外开放试点工作,取消互联网数据中心(IDC)、内容分发网络(CDN)、互联网接入服务(ISP)、在线数据处理与交易处理,以及信息服务中信息发布平台和递送服务(互联网新闻信息、网络出版、网络视听、互联网文化经营除外)、信息保护和处理服务业务的外资股比限制。10月,北京、上海、海南、深圳四个试点地区陆续正式启动增值电信业务扩大对外开放试点工作,鼓励外商投资企业积极参与试点经营。
此外,在工信、会计、金融、民航等行业,亦纷纷浮现具有行业特色的数据安全治理路径。
例如,工信部发布《工业和信息化领域数据安全事件应急预案(试行)》明确工信数据安全事件应急处理及报告的具体要求;财政部等正式出台《会计师事务所数据安全管理暂行办法》;金融监管总局发布《银行保险机构数据安全管理办法(公开征求意见稿)》《金融机构合规管理办法(征求意见稿)》;民航局发布《民航数据管理办法》《民航数据共享管理办法》等。
* 政治环境和法律环境变化增大了“数据脱钩”风险
2024年,美国政府相继发布“防止受关注国家访问美国人的大量敏感个人数据和美国政府相关数据的行政命令”“保护美国人免受外国对手控制的应用程序的伤害法案”“2024保护美国人数据免受外国对手伤害法案”“保护智能网联车辆供应链免受外国对手威胁的拟议规则”及“应对美国敏感数据面临的国家安全风险拟议规则”等文件,相关“受关注国家”“外国对手”均考虑包括中国、中国实体,
对中国实体在美开展业务,特别是涉及数据交易、敏感个人数据、应用程序运营、车联网等相关业务施加了诸多限制或禁令。
数字主权的强化与政治环境的变动对中企海外业务的挑战已非个例,加拿大政府亦基于《加拿大投资法》,于2024年11月宣布关闭某中国实体的加拿大关联实体,因其被认定为“损害加拿大国家安全的外国投资”。
* 长臂管辖普遍存在,数据监管细致高频
中国出海企业在域外设立的实体需要遵循当地的法律,除此之外,各国数据立法多具有域外适用效力,位于中国的出海企业或亦需遵循适用的域外法律要求。2024年,
多国就当地数据保护法律的域外适用问题颁布实施指南
,如韩国针对
域外适用
主体发布了海外企业指南;巴西、沙特、尼日利亚等地明确了
数据控制者/处理者注册、DPO任命
的细化要求;据消息,欧盟委员会也将发布新的SCCs条款模板,或将涵盖接收方为域外适用实体的情形。涉及相关地区业务的出海企业需密切关注最新监管要求,及时调整合规实践。
2024年,
全球数据领域执法依旧频繁
。截至2024年11月,2024年基于GDPR作出的处罚已有2000余例,处罚金额累计高达67亿人民币,违规行为集中于数据处理合法性欠缺、违反数据处理基本原则、保障数据安全的措施不足及未充分保障数据主体权利等,电信、科技、工商业是最受关注的行业。
[8]
从全球范围看,多起高额罚单涉及出海企业最为关注的数据跨境传输合规问题。如2024年7月,某中国实体在韩平台因违规将消费者的个人信息跨境传输给发货工厂,被罚约20亿韩元;2024年8月,Uber因欧盟运营实体违规跨境传输个人数据至美国总部,被爱尔兰处以约2.9亿欧元罚款。
*
新技术应用与大型平台监管不断强化
2024年,全球在物联网与人工智能等新技术应用领域监管动作频发。
以欧盟为例,《数据法》于2024年1月生效,相关义务于2025年9月12日起适用,对出海欧盟的物联网、云服务等相关产业实体施加系列合规义务,部分云服务提供商已基于该要求计划终止收取云服务切换费用;《人工智能法》于2024年8月1日正式生效,要求在欧盟市场开展业务的人工智能系统提供者、部署者基于人工智能技术风险类型履行相应义务。
全球范围内大型平台监管也在不断深入。
2024年2月,欧盟《数字服务法》正式全面适用,同2023年5月起实施的《数字市场法》一同加强了对数字行业、特别是对大型平台的监管。欧盟委员会已指定了包括速卖通、TikTok、Shein、Temu等中国实体相关平台在内的多个《数字服务法》下的超大型在线平台(VLOPs)、搜索引擎(VLOSEs),及包括字节跳动在内的多家《数字市场法》下的“守门人”。此类大型平台及其运营主体均需履行市场公平竞争及用户权益保障等方面的强化义务。欧盟在2024年对中国实体相关平台的调查范围集中在广告和推荐系统透明度及设置、交易商及交易商品管理、内容审核和内部投诉处理、成瘾性设计风险控制、未成年人保护、研究人员数据访问权限等问题。此外,从全球范围看,广告合规是2024年大型平台监管的焦点之一
[9]
。
中企出海是大势所趋,与此同时,出海的法律合规挑战亦与日俱增,其中数据合规和隐私保护是日益凸显的核心挑战之一,可以说,解决不好数据合规问题,中企出海便难以行稳致远。
重要立法进展,依然平凡的2025年
如去年的展望一致,我们觉得2025年大概也会是平凡的一年。“三法三条例”之四梁八柱已成,重要的制度构架型立法近期不会发生。《个人信息保护合规审计管理办法(征求意见稿)》经过充分征求意见和试点实践,有水到渠成之势,2025年落地实施是大概率事件。《网络安全等级保护条例(征求意见稿)》已经发布多年,近期主管部门也透露,将加快推进制定,进一步严格规范等级保护全链条工作。考虑到等级保护是中国网络安全监管的基础制度,《网络安全等级保护条例》在2025年正式发布亦有可能。至于热议中的《人工智能法》,大概率不会有实质进展,对于人工智能的监管,我国立法和监管还是采取了比较务实的小切口、敏捷治理的策略,快速制定聚焦特定问题的部门规章和国家标准是目前主要的响应手段。
执法焦点
目前的经济环境下,创建良好的营商环境、为企业减负和稳定外资成为政策的主旋律,基于此,政策预计以“暖风”为主。但是,我们应当注意到,当前的国际关系和地缘政治现状,立法和执法中对国家安全因素的考虑变得更加重视。作为国家安全审查制度的重要部分,网络安全审查工具的适用可能会变得频繁;虽然数据跨境监管新规放松了部分申报的要求,但涉及地理信息数据、人类遗传资源信息、应对境外执法和司法案件相关数据、OTA数据、敏感个人信息等敏感数据的出境,或将置于更强的监管之下。随着网络产品漏洞申报和网络安全事件处理的规则逐渐清晰,基于网络安全事件触发的风险值得更加关注。
重要数据认定工作
目前在数据出境的申报中,把重要数据识别的“球”踢到了主管部门的半场,即:未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。鉴于重要数据本质上的重要性,伴随《网数条例》《重要数据识别指南》的发布,各个主管部门如何开展和推进行业重要数据的清单制定以及重要数据识别试点工作,也值得密切关注。
出海不易,且行且珍惜
中企出海是大潮也是长潮,但是,所遇到的法律挑战也与日俱增。相比于贸易脱钩,科技企业更应当关注“数据脱钩”。在应对全球数据合规风险方面,出海企业一方面要构建企业内部的团队能力,更应该寻求建立一个全球性的法律资源网络,为出海项目保驾护航。
其他需持续关注的合规事项
在前述重要立法及执法的大基调下,今年发布的《人工智能生成合成内容标识办法(征求意见稿)》《数据安全技术 基于个人请求的个人信息转移要求(征求意见稿)》等规定,可能会在2025年正式落地。与此同时,增值电信业务取消外资限制的试点工作成效或将显现,自贸区数据跨境治理机制也将逐渐趋于成熟,数据资源开发利用、公共数据利用预计将进一步从建章立制、试点阶段迈入全面实施阶段。
[1] 全国网安标委已于2024年4月发布《数据安全技术 基于个人请求的个人信息转移要求(征求意见稿)》。
[2] 参见:“国家标准《数据安全技术 个人信息保护合规审计要求》试点启动会在京召开”,载“全国网安标委”微信公众号,最后访问日期:2024年12月10日。
[3] 中证网:《国家网信办:促进数据跨境流动的预期目标基本实现》,http://jnzstatic.cs.com.cn/zzb/htmlInfo/df02b49b901a46ce9689c0809ed002e8.html,2024年11月21日发布,最后访问日期:2024年12月·10日。
[4] 第六条 自由贸易试验区在国家数据分类分级保护制度框架下,可以自行制定区内需要纳入数据出境安全评估、个人信息出境标准合同、个人信息保护认证管理范围的数据清单(以下简称负面清单),经省级网络安全和信息化委员会批准后,报国家网信部门、国家数据管理部门备案。
自由贸易试验区内数据处理者向境外提供负面清单外的数据,可以免予申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。
[5] 中证网:《国家网信办:促进数据跨境流动的预期目标基本实现》,http://jnzstatic.cs.com.cn/zzb/htmlInfo/df02b49b901a46ce9689c0809ed002e8.html,2024年11月21日发布,最后访问日期:2024年12月·10日。
[6] 具体为GB 44495-2024《汽车整车信息安全技术要求》、GB 44496-2024《汽车软件升级通用技术要求》以及GB 44497-2024《智能网联汽车 自动驾驶数据记录系统》。
[7] 具体为《智能网联汽车时空数据传感系统安全基本要求(征求意见稿)》《智能网联汽车时空数据安全处理基本要求(征求意见稿)》。
[8] 数据来源:https://www.enforcementtracker.com/?Insights,最后访问日期:2024年12月14日。
[9] 以Meta为例,其于7月被欧盟委员会认定“付费或同意”模式违反《数字市场法》;于11月被印度基于反垄断法要求,禁止5年内共享用户数据用于广告目的;于11月,因擅自收集、共享敏感信息用于广告活动,被韩国处以216亿韩元罚款。2024年11月,Meta表示将在欧洲调整广告模式,包括降低无广告订阅模式的价格,为欧盟用户提供使用最小范围内的数据类型(如浏览内容情境、年龄、位置、性别、与广告的互动方式)推送个性化广告的选择。该调整是否会开启新的受监管认可的、可借鉴的广告商业模式值得关注。
