年度观察|2022年网络法治盘点与回顾（一）：数据治理篇

2022年是具有里程碑意义的一年，是党的二十大召开之年，也是我国进入全面建设社会主义现代化国家、向第二个百年奋斗目标进军新征程的重要一年。回顾过去一年，我国网络法治取得卓越成效，覆盖网络和数据生产、消费的全流程，从数字安全、数据资源、数字平台、数字技术和数字内容等方面构建和完善法律规则，聚焦重点领域、新兴领域、涉外领域立法，以良法促进发展、保障善治。

中国信息通信研究院互联网法律研究中心已发布《网络立法白皮书》，在此基础上，组织研究团队对2022年国内外网络法治的发展情况和重点法律事件进行梳理和总结，并展望未来发展方向，供各位同仁参考。

当前，全球围绕数据的合作与竞争的持续深化，数据治理已成为各国立法的重要内容，并在2022年呈现各自特点。我国以安全保障为前提加强数据要素利用，在深化个人信息保护工作的同时，推进数据治理体系逐步迈入数据赋能型阶段，建立促进数据要素流转利用的信任生态。国际层面，部分国家着力打造以构建数字生态为核心的新型数据规则，从关注个体数据处理活动逐渐转变为促进数据流通利用，一些国家开始认识到，数据保护与数据流通利用需求之间存在冲突，考虑设计更为灵活的数据保护规则。

保障数据安全与促进数据发展是数据治理的一体两面。2022年，我国坚持促进数据开发利用与保障数据安全并重理念，在持续强化数据安全的基础上，激活数据要素潜能，逐步探索构建适应数据特征、符合数字经济发展规律、彰显创新引领的数据治理体系。

（一）个人信息保护执法、司法向纵深推进

一是强化个人信息保护监管力度，压实企业主体责任。个人信息保护法实施一年来，有关部门出台了相关配套规定，监管力度不断加强，用户个人信息保护意识显著提升，企业滥用个人信息等问题得到有效改善。特别是，2022年7月，国家互联网信息办公室对滴滴全球股份有限公司（以下简称滴滴）依法作出网络安全审查相关行政处罚的决定，对滴滴处以人民币80.26亿元罚款。这是《网络安全法》《数据安全法》《个人信息保护法》实施以来就有关问题采取的力度最大的一次行政处罚，体现了监管部门对维护国家安全、保障公共利益、保护个人信息权益的力度和决心。不过，此次对滴滴仅处以罚款，并未施以更为严厉的行政处罚手段，未采取对滴滴正常经营活动有较大影响的措施，表明罚款不是目的，规范平台经济健康发展才是根本目的。滴滴公司的用户规模数量大，承载着公众交通出行的社会功能。为此，此举旨在创建与平台经济健康发展相适应的监管环境。此外，APP治理工作走深向实，强化监管全链条覆盖。从整治单点违规APP逐步延伸，强化对产业链上下游、各类分发平台、中间服务商监管力度。到2022年上半年，工业和信息化部累计完成630万次APP检测，实现对我国主流应用商店在架APP的全覆盖，APP治理能力显著增强。二是以案说法，筑牢个人信息保护司法防线。当前，非法获取的公民个人信息已不仅仅包括身份信息、电话号码、家庭地址等，还扩展到手机通讯录、短信、网络账号及密码、购物记录、出行记录等，而法律本身具有原则性、概括性和滞后性特征。面对侵犯公民个人信息种类多样化，如何认定相关行为的性质、如何准确定罪量刑，既关系到法律的正确适用，也关系到公平正义的实现，更考验着司法机关的智慧。2022年12月，最高人民法院发布指导性案例，明确类案裁判规则，具有较强现实意义和指导意义，如认定了人脸信息属于刑法规定的公民个人信息、居民身份证信息整体均系敏感信息；将提供服务过程中获得的验证码及对应手机号码出售给他人，情节严重的，依照侵犯公民个人信息罪定罪处罚等。

（二）数据治理体系逐步迈入数据赋能型阶段

一是各地竞相出台数据条例，抢抓立法先机，盘活数据资源。2022年，随着我国数字经济快速发展，各地从发挥数据要素价值角度出发，创造性先行先试，研究出台地方性数据条例，并呈现规范领域集中，阶段性立法的特征。一方面，加强公共数据管理，促进公共数据应用创新。浙江、江苏、广东、山东等地积极探索完善公共数据管理制度，通过制定出台相应条例、办法，从明确公共数据定义范围、平台建设规范、收集归集规则、共享开放机制、授权运营制度、安全管理规范等方面对公共数据发展和管理作出具体规定。这些规定对于聚焦破解部门间信息孤岛、提升数据质量、赋能基层、保障安全等共性难题，具有积极意义。另一方面，密集出台综合性地方数据条例。重庆、河北、江苏、辽宁、陕西等地纷纷出台综合性数据条例，地方数据立法虽然能够在一定程度上回应释放数据价值的现实需求，但存在鼓励性内容偏多而具体规范偏少，相互借鉴趋于同质化而略显创新性不足以及标准不一、规定冲突影响数据跨区域流动等问题。

二是中央发布“数据20条”，标志我国迈入数据高效利用新阶段。数据作为新型生产要素，具有无形性、非消耗性等特点，可以接近零成本无限复制，对传统产权、流通、分配、治理等制度提出新挑战，亟需构建与数字生产力发展相适应的生产关系，不断解放和发展数字生产力。2022年12月，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据20条”），坚持促进数据合规高效流通使用、赋能实体经济这一主线，以充分实现数据要素价值、促进全体人民共享数字经济发展红利为目标。“数据20条”着力构建保障权益、合规使用的数据产权制度、合规高效、场内外结合的数据要素流通和交易制度、体现效率、促进公平的数据要素收益分配制度以及安全可控、弹性包容的数据要素治理制度。

数据保护不再是国际数据治理的主要着眼点，如何营造更加健康和更具竞争力的数字经济市场，如何实现个人、企业和政府之间合理合法流通、利用数据，促进数据产业发展，实现数据价值释放，开始成为国际数据战略布局的重点甚至是主攻方向。

（一）着力打造以构建数字生态为核心的新规则模式

近年来，随着数字技术在不同领域的应用和发展，国际数据治理进程从关注个体数据处理活动逐渐转变为促进数据流通利用。2022年，欧盟继续强化数据治理领域的规则引领，构建数据要素流转利用规则体系。早在2020年的《欧盟数据战略》中就提出，“让欧盟成为数据驱动社会的领导者，创建一个允许在欧盟内部和各个行业自由流动、有利于企业、研究机构和公共管理部门的单一市场”。在这一战略指导下，2022年欧盟相继制定了配套性立法。2022年2月，欧盟发布《数据法案》，在保障中小企业权益、打通商业主体与公共机构（B2G）数据流通和非个人数据跨境方面作了进一步规定；2022年5月，欧洲理事会批准通过了《数据治理法》，完善了公共机构与商业主体（G2B）之间以及商业主体（B2B）内部数据共享的相关规定。此外，印度电子与信息技术部于2022年5月发布了《国家数据治理框架政策（草案）》，提出促进数据处理者之间统一的数据共享，使企业从使用个人数据中获益。

（二）部分国家考虑设计更为灵活的数据保护规则

一些国家开始认识到，数据保护与数据流通利用需求之间存在冲突，立法者需要平衡数据主体权利和数据的社会价值，而非过度强调数据保护，忽视严苛性立法对于社会经济发展带来的负面影响。2022年8月，美国信息技术与创新基金会（以下简称ITIF）发布《在美国实施轻监管的数据保护方法》报告，指出GDPR式立法不仅为数据保护建立了极高的合规标准，同时也暗含巨大的“隐性成本”，主要表现在减少企业并购、风险投资、定向广告市场覆盖范围以及障碍新技术开发等方面。如果模仿GDPR式过于严苛的立法，可能会为美国经济发展带来不可估量的负担。美国应该寻求通过一套有针对性的、保护消费者的规则，将合规成本和隐性成本降至最低。如，不强制要求企业设立数据保护官、避免规定广泛的私人诉权、限制消费者控制权的适用场景等。美国众议院和参议院联合发布的《数据隐私和保护法案》也在一定程度上体现了这一立法理念。此外，2022年10月，印度尼西亚发布的《个人数据保护法》与此前的法案相比，大大简化了数据跨境流动的制度设计，并未规定数据本地化要求，立法者更加关注如何实现问责制，而非通过本地化以“控制”数据。2022年11月，印度电子和信息技术部发布的《2022年数字个人数据保护法案》与此前版本的法案，在名称、篇幅和内容上作出较大修订，从90多条缩减到30条，删除了数据本地化存储要求、数据泄露的刑事责任、可携权和被遗忘权等内容。

数据是新一代信息通信技术的底层驱动力，具备了生产要素和战略资源的双重角色。我国亟需大步迈向数据赋能阶段，通过制度设计，解决我国数据要素市场建立面临的各类障碍，充分发挥海量数据规模和丰富应用场景优势，激活数据要素潜能。一方面，从国家层面尽快出台数据治理顶层性立法，解决障碍数据价值释放的共性问题。例如从动态、场景化的角度，明确主体间的权利义务关系，保护主体利益；明确数据交易的实施路径、交易方式、交易标准等要求。另一方面，发挥《个人信息保护法》配套性立法的作用，为企业提供明确的合规指引，促进个人信息的合理有效利用。建议推动落实各行业领域个人信息保护要求与《个人信息保护法》的衔接工作，针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用，制定灵活的个人信息保护规则。