Details

全球数据合规与个人信息保护2021年总结与2022年展望(上篇)

刚刚过去的2021年,对于中国的数字产业来说是重要的一年。年内先后生效的《数字安全法》和《个人信息保护法》,与2017年生效的《网络安全法》共同构成了数据合规的重要法律基础,呈三足鼎立之势。全国人大、各部委及地方政府数据相关重要立法活动九十余次。



这一年数据合规与隐私保护执法活动进入深水区,以知名网约车平台被网络安全审查进而导致海外退市为典型代表的违规事件,成为数据相关行业更加重视数据合规的标志性里程碑。

2021年全年中央层面专项整治行动五次,分别涉及App违法违规收集使用个人信息、App侵害用户权益、移动应用程序PUSH弹窗等突出问题。地方层面专项整治行动三十余次,分别涉及全国大多数省市自治区。据不完全统计,全年各主管监管部门涉及数据合规行政执法一千余次,分别涉及各级网信部门(8批次,六百余款违法违规App)、工信部门(21批次,一千余款违法违规App)、市场监督管理部门(四百余次行政处罚)、公安部门(四百余次行政处罚决定)等。

如果说2021年是数据合规的立法大年,那么2022年将是中国企业的数据合规元年,随着配套部门规章、行政法规及规范性文件的不断完善出台,数据合规相关执法必将更加频繁和严厉。

刚刚过去的2021年,对于全球其他国家的数字产业来说同样是重要的一年,全球80%的国家已经有数据相关立法或草案,各国监管机构的数据及隐私保护执法活动更加频繁,罚金数额屡攀新高。以GDPR为例,仅2021年一年的罚款金额就高达12.7亿欧元,而自2018年生效截止2020年底,两年多的罚金累计仅为2.4亿欧元,去年的罚金呈井喷态势。截止目前,GDPR罚款金额累计已经达到了15.2亿欧元,处罚次数918次,平均每次罚金高达165万欧元。随着数字经济的日益活跃,我们有理由相信2022年全球各国监管机构的数据及隐私保护执法活动会更加频繁严厉。
 
本文分为上中下三篇:上篇为全球数据及隐私保护立法情况总结及展望;中篇为全球数据及隐私保护执法情况总结及展望;下篇着眼全球数据合规法律要求概述。
 
一、全球数据及隐私保护立法情况总结及展望

随着数字经济的不断发展,越来越多的社会和经济活动从线下搬入线上进行,数据对于提高生产效率的乘数效应更加凸显,已经成为最具时代特征的重要生产要素。与此同时,隐私和数据保护的重要性日益得到各国的重视。欧盟在数据及隐私保护的立法方面走在了其他各国的前列,其对于数据采用了相对统一的立法保护模式,无疑在全球范围内产生了巨大的影响力。据联合国贸易和发展会议(United Nations Conference on Trade and Development,简称UNCTAD)2021年12月统计,在全球范围内的国家中,制定了保护数据和隐私法律的占69%,处于起草过程中的占10%,暂无相关立法的占16%,无数据使用的占5%。



1、数据及隐私保护的欧盟模式


欧盟的数据及隐私保护立法主要由两部重要的“条例”组成:2016年通过的《一般数据保护条例(General Data Protection Regulations)》(以下简称“GDPR”)和2018年通过的《非个人数据自由流动条例(Regulation on the FreeFlow of Non-personal Data)》(以下简称“RFND”)。这两部条例是目前国际上最受关注的数据保护及流动法律文件,也已然对其他国家和地区数据权益制度的建构产生深远影响。两条例已经分别于2018年和2019年生效实施,为单一数字市场建立统一的数据法律规则,是欧盟单一数字市场战略的重要组成部分。通过近年来的一系列立法举措,欧盟尝试从五个方面建立统一的数据法律规则:

第一,个人数据保护规则,GDPR作为欧盟个人数据保护立法改革的产物,从个人数据处理的基本原则、数据主体的权利、数据控制者和处理者的义务、个人数据跨境转移等方面,为互联网时代建立了完备的个人数据保护制度,并对全球个人数据保护立法产生了涟漪效应。

第二,数据产权和交易规则,欧盟认为,缺乏有利于数据交易发展的法律环境会导致数据的可获取性降低,对数据市场参与者形成障碍,甚至导致不正当竞争,由于著作权、数据库权、商业秘密保护、合同机制等既有保护模式的不足,非个人数据保护依然缺乏有效的制度安排,为此,在政策文件《建立欧盟数据经济》中,欧盟呼吁针对非个人的机器生成数据设立数据产权,规范市场和交易。欧盟希望通过这一“数据生产者权利”鼓励(特殊情况下强制)企业授权第三方访问其数据,促进数据流通和增值。此外,为了促进数据访问和共享,欧盟委员会考虑基于“公平、合理、无歧视”(FRAND)条款建立数据许可框架,以为中小企业和初创公司提供更公平的数据利用机会。

第三,数据自由流动规则,GDPR和RFND一道建立起了数据在欧盟境内自由流动的法律保障体系。这体现在两个方面:其一,数据跨境,规定除非是为了公共安全等正当目的,禁止成员国制定不合理的数据本地化要求;其二,数据可携,即允许用户将其全部数据从一个网络转移到另一个网络。

第四,数据安全规则,2016年欧盟通过首部网络安全立法《网络与信息系统安全指令》,旨在加强基础服务运营者、数字服务提供者的网络与信息系统之安全,要求两者履行网络风险管理、网络安全事故应对与通知等义务。

第五,数据开放共享规则,数据的价值和增值来源于数据流通。数据流通涉及企业之间以及企业、政府之间数据的分享和利用。为此,欧盟正在推动制定公共部门数据开放共享、科研数据获取、私营部门数据分享等方面的规则。GDPR在全世界的重要影响之一就是在多个国家引发了个人信息保护专门立法的规划或进程,除欧盟成员国之外,多个亚洲国家也制定或修订了个人信息保护法,如日本、韩国、新加坡、印度尼西亚。

2022 年值得关注的欧盟立法提案主要有四部,分别是《数字服务法》(DigitalServices Act ,简称DSA) 、《数字市场法》(The Digital Markets Act,简称DMA)、《电子隐私条例》(E-Privacy Regulation,简称E-Privacy)以及《人工智能法案》(AI Act)。其中《数字服务法》将重塑用户基本权利与平台、公共机构之间的利益平衡,更好地促进创新、增长与竞争,利好小型平台、中小企业和初创企业的发展,将适用于所有向用户提供商品、服务或内容的数字服务企业,该法中规定了一系列数字服务企业应承担的义务,包括但不限于有关非法商品或非法内容移除的规则、透明性、大型平台的风险责任、研究人员对平台关键数据的获取,以及在线商户的可追溯性等。

《数字市场法》着眼于反垄断和公平竞争,着重解决作为“看门人(gatekeeper)”平台在单一市场上的某些行为可能会带来的负面影响问题。基于此,《数字市场法》规定了判断和禁止不正当行为的统一规则,并提供了相应的执法机制。该法发布后,将仅适用于最容易出现不正当行为、会被认定为是“看门人”的核心平台服务提供者(例如搜索引擎、社交网络或在线中介服务等)。该法禁止此类企业从事特定的反竞争行为(例如阻止用户卸载预装软件、阻止用户链接至平台以外的其他内容等),并要求其主动采取有利于竞争的行为(例如确保第三方服务的兼容性、为企业客户在其平台上投放广告提供必要的工具和信息、允许企业客户与平台外的其他客户签订合同等)。例如,不允许像亚马逊这样的公司在其网站上以让亚马逊自己的产品和服务具有优势的方式对产品进行排名。若企业违反该法的要求,则可能导致最高企业全球年收入10%的罚款或企业全球日收入5%的定期罚款。如果“看门人”有系统性的违法行为,除罚款以外,还需采取额外的补救措施(包括行为上和结构上的补救措施,例如剥离部分业务等)。

《电子隐私条例》的立法讨论由来已久,在欧盟的立法规划中,《电子隐私条例》是作为GDPR在电子通信领域的中起细化和补充作用的特别法,因此在监管规则上《电子隐私条例》应当与GDPR保持一致性。但由于担心该条例会对以数据驱动的在线服务和无人驾驶汽车等行业造成巨大影响,以Facebook、Google、Intel等大公司及APP开发商为代表的开发者联盟以及欧洲数字和科技贸易团体认为,该条例将严重破坏欧洲数字经济的发展,因而导致了该条例多年来一直停滞不前。该条例将为电子通信的隐私保护制定更严格的规则,它不仅适用于通信内容,还适用于“元数据”,即描述其他数据的数据。该条例旨在保护欧盟公民对其电子通信内容和该内容元数据保密的权利。设想的电子隐私法规的范围也扩展到通过公共网络传输的机器对机器数据。这样做的目的是在使用物联网 (IoT) 应用程序时保证用户数据的隐私。因此,如果企业存在四类行为:(1)处理欧盟居民的电子通信内容和元数据;(2)处理欧盟公民的终端设备信息;(3)提供电子通信服务最终用户的公开目录;(4)向欧盟居民发送直接营销信息,都将受到该条例的制约。该条例生效后,应当采取合规措施的行业包括:电子邮件服务提供商;互联网通话服务商,例如 FaceTime 和 Whatsapp;电话服务提供商;互联网接入服务提供商;即时通讯应用程序,例如 iOS 消息;通过社交媒体平台发送个人消息,例如 Twitter 消息。

《人工智能法案》将适用于在欧盟开展基于机器学习提供软件服务的公司,该法案不仅对人工智能技术在诸如汽车自动驾驶、银行贷款、社会信用评分等一系列日常活动中的应用设定了限制,而且还对欧盟内部的执法系统和司法系统使用人工智能的情形提出了相应的问题规制路径。该法案将具有域外管辖权,这意味着只要在欧盟境内有客户或用户,无论该公司总部是否位于欧洲,都将受制于该法。因此,三类企业将需要采取合规措施:(1)将人工智能系统投放市场或投入使用的供应商;(2)欧盟领域内人工智能系统的使用者;(3)位于第三国的人工智能系统的供应商和使用者。该法案将禁止三类行为:(1)用于以可能导致精神或身体伤害的方式操纵某人行为的技术;(2)可以根据年龄、身体或精神残疾利用弱势群体的人工智能系统;(3)由执法部门在可公开访问的空间中提供实时远程访问生物特征数据的人工智能系统。对于创建和应用人工智能技术的公司或企业,提案规定在八种高风险领域范围内使用人工智能技术应当有严格的防护机制,若企业违反规定将被处以高达3000万欧元的行政罚款或者其全球年度总营业额的2%至6%,取两者之中较高金额进行处罚。

2、数据及隐私保护的美国模式


作为数字产业强国,美国则形成了截然不同的个人数据保护模式,在立法上体现为分散式立法,且未形成统一的立法框架和规则。在联邦层面,针对个人隐私权保护首当其冲的是宪法第四修正案,规定了禁止政府对个人的无理搜查和扣押。在1967年的卡兹诉美国案中,联邦最高法院认为其保护也需同样延伸到个人隐私上,并在此基础上发展出了一系列司法判例,来确定刑事诉讼等司法行为过程中涉及的个人隐私权的界定标准。鉴于普通法和《宪法》对数据保护的局限性,美国国会颁布了一系列的数据保护联邦立法。与欧盟统一立法模式不同,美国联邦层面并没有统一的数据保护基本法,而是采取了分行业式分散立法模式,在电信、金融、健康、教育以及儿童在线隐私等领域都有专门的数据保护立法。例如,1914年的《联邦贸易委员会法》(FTC Act)经1938年发布的《惠勒—利法》(Wheeler-Lea Amendment)修改了第5条,将“不公平的竞争手段”修改为“不公平的竞争手段以及不公平或欺骗性的商业行为或做法”,从而达到保护消费者的目的,旨在“禁止不公平或欺骗性贸易行为”,并通过在1983年的澄清性解释后开始在数据保护方面发挥重要作用,广泛授权美国联邦贸易委员会FTC采取执法行动,保护消费者免受不公平或欺骗性行为的影响,并执行联邦隐私和数据保护法规;1971年的《公平信用报告法》(FCRA)主要调整征信和授信业务中的个人信息利用与保护问题,旨在确保信用报告机构的报告中消费者信用信息的准确性,保护消费者免受错误信用信息的侵害;1974年的《家庭教育权和隐私权法》(FERPA),旨在保护教育机构收集的教育信息,其适用于所有接受联邦基金的教育机构,任何教育机构未经家长或者年满18岁的学生本人许可不得公开学生教育信息;1984年的《计算机欺诈和滥用法》(CFAA)旨在规制计算机黑客,禁止未经授权侵入计算机,不解决数据收集和使用等数据保护问题。但CFAA对于未经授权而侵入计算机并获得了他人信息的行为规定了法律责任;1986年的《电子通信隐私法》(ECPA),是美国目前有关电子信息最全面的立法,其主要是来防止政府未被允许而去接取监听私人的电子通讯,但是也有批评者指出,ECPA规定的是窃听和电子监听行为而非商业数据收集行为;1988年的《视频隐私保护法案》 (VPPA),旨在保护租赁、买卖或交付录像带和视听资料过程中的个人隐私,规定未经消费者明确同意不得披露消费者的个人可识别信息(personally identifiable information);1994年的《驾驶员隐私保护法案》限制对机动车登记中的个人信息进行披露或出售;1996年的《健康保险携带与责任法案》(HIPAA)旨在保护受保护的健康信息(protected health information),要求未经患者同意医疗机构不得让第三方使用或者向第三方共享患者的PHI,个人有权要求机构提供其PHI的副本;医疗机构应当加强对于PHI的安全保护;在发生数据泄露时,应当在60日内告知受影响的患者,并授权美国卫生与公众服务部(HHS)制定规章以保护医疗记录中的个人隐私;1998年的《儿童在先隐私保护法案》(COPPA),旨在对商业网站或网络服务商收集、使用或披露13岁以下儿童的个人信息行为进行规定,其要求商业网站或网络服务商制定清晰的隐私政策;通知并取得父母可验证的同意 (Verifiable parental consent);建立和维持合理的程序,以确保儿童的个人信息的安全性、保密性与完整性;1999年的《金融服务现代化法案》 (Gramm-Leach-BlileyAct)规定的是金融机构收集、处理非公开个人信息(nonpublic personal information)的相关规范;2001年的《美国爱国者法案》(USA PATRIOT Act)作出了涉及隐私保护的规定,以使得政府的调查和执法更为方便可行;2010年的《金融消费者保护法》 (CFPA),与FTC Act类似,旨在禁止机构从事不公平、欺骗或滥用行为,并新设了消费者金融保护局(CFPB),专门负责消费者金融保护,CFPB职责包括制定规则、进行法律监督和执行;2018年的《澄清域外合法使用数据法》(Clarifying Lawful Overseas Use of Data Act)(CLOUDAct),规定判断数据管辖权应依据数据控制者所在地,与存储地无关,即只要是在美国实际开展业务的公司,无论数据存储在何处,都属美国管辖,同时,美国的数据只有符合特定条件的外国政府经美国同意后才能调取。2020年12月,美国国会批准通过了《COVID-19消费者数据保护法案》(CCDPA)和《公共卫生紧急情况隐私法》(PHEPA)两项隐私立法提案,旨在通过追踪技术有效防控COVID-19的同时,加强消费者的个人健康信息和数据安全保护,并要求相关机构在收集、使用、披露相关信息之前取得用户的明示同意。

除了联邦层面的立法,美国各州也对隐私及个人数据保护行使了立法权,出台了多种形式的法律文件。例如,马萨诸塞州制定了严格的数据保护法规(201 CMR 17.00),要求接收、存储、维护、处理或以其他方式访问马萨诸塞州居民个人信息的任何实体,应当建立和维护正式的信息安全计划。2019 年,纽约扩充了其数据泄露通知法,包括明确要求实体制定、实施和维护“合理”保障措施,以保护私人信息的安全性、机密性和完整性。伊利诺伊州有一项独特的州法律(740 ILCS 14/),该法律对收集或以其他方式获取生物识别信息的企业提出了要求,同时,该州的生物识别信息隐私法案(BIPA)也值得注意,因为它是唯一一个规范生物识别数据使用的州法律,允许个人起诉并追讨违规行为的损害赔偿。加利福尼亚州则在采用隐私保护立法方面有着悠久的历史,2018 年该州颁布了《加利福尼亚消费者隐私法》(CCPA),该法案于 2020 年1月1日生效,旨在加强消费者隐私权和数据安全保护。2021年3月,弗吉尼亚州通过了《弗吉尼亚州消费者数据保护法案》(VCDPA),使该州成为美国第二个数据保护立法的州,该法案将于2023年1月1日生效。VCDPA通过要求同意处理“敏感数据”,包括精确的地理位置数据;用于识别个人的遗传或生物识别数据;以及揭示种族或种族、宗教信仰的数据等,来开拓美国隐私法的新领域。截止2022年1月,美国目前已经设立数据保护相关立法的州仅有3个:加利福尼亚州、弗吉尼亚州和科罗拉多州,但正在州议会积极讨论相关法案的州有6个,曾经出台草案但未被通过的州有15个。下图展示了美国各州数据保护立法的分布情况,可以看出大多数州都在积极讨论数据及隐私保护的法律规制问题。


美国联邦贸易委员会 (FTC) 对其授权下的广泛商业实体拥有管辖权,以保护消费者免受不公平或欺骗性贸易行为的侵害,包括严重的隐私泄露和数据安全事件。FTC 将会在发生下述六类情况时采取执法行动并调查公司:1)未能实施合理的数据安全措施;2)在隐私政策中做出严重不准确的隐私和安全陈述;3)未遵守适用的行业自律规则;4)在破产或并购交易中以未按照隐私政策中明确披露的方式将个人信息转移或试图转移给收购实体;5)在收集、使用、共享活动中未能充分保护个人信息并侵犯了隐私权;6)违反 FTC 的消费者隐私框架或某些国家隐私法律法规。许多州总检察长对不公平和欺骗性的商业行为拥有类似的执法权力,包括未能采取合理的安全措施和侵犯消费者隐私权而损害本州消费者的行为。

2022年,美国联邦层面出台全国性隐私保护法的可能性不大,而更应当关注各州的相关立法活动。随着加州隐私权法案 (CPRA)、弗吉尼亚州消费者数据隐私法案 (VCDPA) 和科罗拉多州隐私法案 (ColoPA) 于 2023 年生效,以及其他十几个州在 2021 年提出州隐私法,我们预计更多的美国州将通过隐私法,这将意味着在美国开展业务的公司在合规方面的复杂性会极大增加。

3、数据及隐私保护的中国模式


我国数据相关立法起步较晚,并且在立法过程中,借鉴移植了不少欧美体系的数据保护制度。比如,《网络安全法》参照GDPR规定个人有权同意他人是否可以收集其个人信息、有权要求更正和删除其个人信息等。再比如,《个人信息保护法》关于个人信息的定义、个人信息处理的基本原则、信息主体及信息控制者等法律关系主体的设置等与GDPR如出一辙。即便如此,我国涉及数据权益保护的立法仍存鲜明的中国特色,大致有三:

第一个特征是刑法先行。与欧美数据隐私法孕育于民事领域不同,我国则发端于刑法,呈现明显的“刑先民后”立法轨迹。这既与我国社会乃至个人的自治意识较弱有关,也与电信诈骗、数据黑灰色产业猖獗有关。因历史及文化等原因,长期以来我国民众及学界缺乏隐私意识和概念,相比于西方国家我们的隐私文化欠发达。进入时下的互联网时代,人们开始关注其个人数据,主要是担心数据泄露所带来的人身和财产安全。这集中体现在两个方面:一是电信诈骗,我国个人信息保护就是从打击电信诈骗起步的,特别是在2016年的徐玉玉事件之后,加强了打击力度;二是企业因开拓市场需要对个人数据的需求非常旺盛,由于缺乏公平透明合法的数据交易市场和相应法律法规,导致个人数据的黑灰色产业(个人信息买卖)非常猖獗。因此,我国首先启用刑法来保护个人信息。2005年通过的《刑法修正案(五)》就设置了“窃取、收买、非法提供信用卡信息罪”。2009年通过的《刑法修正案(七)》则将出售或非法提供公民个人信息和窃取、非法获取公民个人信息入刑。2015年通过的《刑法修正案(九)》则将犯罪主体由“国家机关或者金融、电信、交通、教育、医疗等单位的工作人员”扩展为一般主体。2017年,最高人民法院、最高人民检察院发布了《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,对刑法规定及其适用作出了详细解释,并赋权法官根据数量、类型、获利等情节来判断各种个人信息买卖、提供或流通等行为能否入刑。另外,针对黑客等非法手段获取数据行为,2009年刑法修正案(七)在第285条中新增了一种计算机犯罪类型,即“非法获取计算机信息系统数据罪”,为对该罪名进行准确的定罪量刑,2011年,最高院又颁布了《关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》,对该罪名适用进行了更加详细的规定。

第二个特征是分散立法我国数据保护立法虽然借鉴了欧盟模式,但是并没有形成综合性法律体系,法律规定比较分散。根据有关学者统计,我国目前有近40部法律、30余部法规以及近200部规章涉及个人信息保护。除有《全国人大常委会关于维护互联网安全的决定》、《全国人大常委会关于加强网络信息保护的决定》、《网络安全法》、《数据安全法》、《个人信息保护法》等专门立法外,数据保护还散见于《宪法》、《刑法》、《国家安全法》、《保守国家秘密法》、《消费者权益保护法》、《民法典》等法律中。而且,工信部、公安部、卫健委、银监会、证监会等部门也就各自主管领域发布了大量的规章制度,在行政层面上规范互联网、医疗、个人信用等方方面面的数据。在地方立法方面,随着数字经济的蓬勃发展,特别是2017年我国提出要“构建以数据为关键要素的数字经济”,各地方政府纷纷结合各自的地区实际发展情况,制定了相关数据发展条例(包括大数据条例、数据条例),试图推动数据的发展应用。截至2021年10月,贵州、天津、海南、山西、吉林、安徽、山东和深圳市八个地区已经颁布相关数据条例。其中,贵州施行时间最早,于2016年3月1日正式施行;上海、辽宁、黑龙江、陕西、宁夏等公布了相关数据条例草案;福建的大数据条例草案正处于审议阶段;北京已经对大数据条例进行了立项论证。从条例的适用领域看,贵州、天津、海南、山西、吉林、安徽、山东、辽宁、黑龙江、陕西、宁夏等地区出台的均为大数据条例(包括草案),主要面向公共数据领域,公共数据主要指各级行政机关和公共服务企业在履行职责和提供服务过程中积累的大量数据,有的城市将公共数据命名为政务数据。而深圳和上海出台的为数据条例(包括草案),除涉及公共数据外,还涵盖了个人数据的相关规定,适用领域更广。各地区的数据条例(草案)主要涉及数据的采集共享、开发应用及安全管理三大方面。在公共数据共享方面,各地区以共享为原则,不共享为例外。同时,各地的数据条例还坚持“数据应用与安全并重”原则,制定了相应的数据安全管理规定。不同地区制定的具体数据安全管理制度有所差别,但基本覆盖了数据采集、储存、开发、应用、交易、发布、服务等全部数据生命周期。

第三个特征是保护为主以《网络安全法》、《数据安全法》、《个人信息保护法》以及刑法修正案(七)为代表的数据密切相关的法律,无一不体现了对数据保护的立法思想,并且特别强调了对于网络安全、数据安全以及个人信息的保护。这些法律对于数据的收集、存储、使用、加工、传输、提供、公开等处理提出了明确的要求,同时对于相应的主体:数据的控制者、使用者以及网络运营者提出了较高的责任要求。然而,缺乏数据交易所需要的配套法律体系。作为数据进入开放式交易和商业化利用的前提,数据确权是数字经济的基石,为此《民法典》第127条只是宣示性地承认了数据的民事权益地位。2021年6月通过的《深圳经济特区数据条例》为了促进数据作为生产要素开放流动和开发利用,加快建设数字经济,突破性的承认“自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有...财产权益”(第4条),同时明确“自然人对个人数据享有...人格权益”(第3条)。但在国家层面,尚缺乏明确且细化的专门法予以规范,更没有为了促进数据交易和流转的法律规范。在这种情况下,数据的拥有者和控制者更倾向于保持数据的自我内部使用,造成了数据的封闭。其背后的原因,在没有明确数据确权及鼓励交易、强制共享的法律依据情况下,既是基于垄断数据维护竞争优势的商业考虑,更是基于在公开数据交易或流转中造成侵犯个人信息、数据泄露,甚至影响网络安全等风险的法律合规考虑,这客观阻碍了数据作为生产要素的顺畅流动。


2022年,国家互联网信息办公室和其他监管机构将会继续制定实施网安法、数安法以及个保法所需的配套法规和行政规范性文件,以明确这些法律在落地实施时的具体要求,同时针对特定行业还需要制定具体的合规标准,尤其会聚焦于金融数据、平台数据、车联网数据等领域。与此同时,企业则将要面临更加严格的数据安全与个人信息保护监管要求,不合规将会导致严重的后果,除了高额罚款之外,核心高管将面临行政乃至刑事责任,公司业务也将受到严重影响乃至被关停。

# 本文作者 #