2021年我国数据合规及隐私保护主要制度分析

一、截止2021年数据合规及隐私保护主要制度的立法情况一览 ///

刑法监管体系

l 2019.10.21（2019.11.01生效）《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》：对于多项信息网络犯罪的入罪和量刑情节予以明确

l 2017.05.08（2017.06.01生效）《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》：对于侵犯公民个人信息的定罪和量刑情节予以明确

l 2015.08.29（2015.11.01生效）《刑法修正案（九）》（全国人大常委会）：将侵犯公民个人信息的犯罪主体扩充到一般主体，将非法侵入、控制、破坏计算机系统、非法获取计算机系统数据，拒不履行信息网络安全管理义务、非法利用信息网络、帮助信息网络犯罪活动等上升到刑事层面，且单位犯罪的，主管人员和直接责任人也应承担刑责，便于惩治信息网络犯罪活动

l 2009.02.28（2009.02.28生效）《刑法修正案（七）》（全国人大常委会）：将国家机关或者金融、电信、交通、教育、医疗等单位的工作人员出售或者非法提供公民个人信息入刑，且明确单位犯罪的，主管人员和直接责任人也应承担刑责，并且将非法获取计算机数据、非法控制计算机系统及其帮助犯均明确入刑

个人信息保护制度

l 2021.11.03《关于开展信息通信服务感知提升行动的通知》（工业和信息化部）：开展“524”行动，到2022年3月底，信息通信行业综合服务明显改善，用户获得感、幸福感和安全感进一步提升

l 2021.08.20（2021.11.01生效）《个人信息保护法》（全国人大常委会）：个人信息保护基本法，奠定《个人信息保护法》《网络安全法》《数据安全法》“三驾马车”的基础地位

l 2021.07.27（2021.08.01生效）《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》：明确滥用人脸识别技术属于侵权行为，进一步厘清侵权行为边界

l 2019.12.26-2021.05.12《移动智能终端及应用软件用户个人信息保护实施指南》（电信终端产业协会）：该指南自2019.12.26发布第2部分《个人信息分类分级》，之后陆续发布终端告知同意、应用软件告知同意、应用软件敏感权限规范、隐私政策、总则、定向推送、终端权限管理、注销账户等部分具体指南，为APP如何合规提供系统指南

l 2021.03.12《常见类型移动互联网应用程序必要个人信息范围规定》（国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅）：明确移动互联网应用程序（APP）运营者不得因用户不同意收集非必要个人信息，而拒绝用户使用APP基本功能服务，并明确针对各种常见类型的APP必要个人信息范围

l 2020.12.29（ 2021.01.01生效，对2014年的司法解释进行修订）《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》：对于网络诋毁等利用网络侵害人身权益的民事侵权行为，进一步界定网络用户的责任和网络服务提供者的责任

l 2020.11.26《APP 用户权益保护测评规范》（电信终端产业协会）：对超范围收集个人信息、定向推送、个人信息获取行为、权限索取行为、违规使用和收集个人信息等行为，清楚划分合规及不合规的界限，便于实践中实施

l 2020.11.26（及后续在2021.01.08、2021.01.15两次补充完善）《APP收集使用个人信息最小必要评估规范》（电信终端产业协会）：分总则和针对各类信息的分则，规定了收集使用的最小必要原则，及在位置信息、图片信息、人脸信息、终端通讯录、录音信息、交易信息、身份信息等方面的详细要求

l 2020.11.19（2021.06.01生效）《信息安全技术个人信息安全影响评估指南》（国家市场监督管理总局、国家标准化管理委员会）：提供了个人信息安全影响评估的基本原理和实施流程，并且附表列出高风险个人信息处理活动示例、常用工具表及评估参考的具体方法，在实践中具有指导意义

l 2020.10.17（2021.06.01生效）《未成年人保护法》（全国人大常委会）：新增第五章“网络保护”，加强对于未成年人的网络保护

l 2020.07.22（2020.07.22实施）《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》：通知印发之日至2020年12月10日，对APP服务提供者、软件工具开发包（SDK）提供者、应用分发平台针对违规处理用户个人信息、设置障碍、频繁骚扰用户、欺骗误导用户、应用分发平台责任落实不到位五个方面进行专项治2020.07.22《网络安全标准实践指南—移动互联网应用程序（APP）收集使用个人信息自评估指南》（全国信息安全标准化技术委员会）：归纳总结了APP收集使用个人信息的六项评估点，供APP运营者自评估参考使用，小程序、快应用等运营者也可以参考评估

l 2020.05.28（2021.01.01生效）《民法典》（全国人大）：明确公民的隐私权和个人信息保护的权利，以及网络侵权行为及责任划分

l 2020.03.06（2020.10.01）《信息安全技术个人信息安全规范》（全国信息安全标准化技术委员会）：针对个人信息面临的安全问题，根据《中华人民共和国网络安全法》等相关法律，规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为，在当时具有较大的社会影响力，为《个人信息保护法》的出台奠定基础

l 2020.01.15《信息安全技术移动互联网应用程序（APP）收集个人信息基本规范（征求意见稿）》（国家市场监督管理总局、国家标准化管理委员会）：明确了APP收集个人信息时应满足的基本要求，虽未生效，但反映主管部门目前对APP监管的具体要求，可用于APP的监督检查和自测评估

l 2020.01.12《信息安全技术个人信息告知同意指南(征求意见稿)》（国家质量监督检验检疫总局、国家标准化管理委员会）：针对各类场景进行了列举，对各类场景如何获得同意进行分析和说明

l 2019.10.31（2019.11.06发布）《工业和信息化部关于开展APP侵害用户权益专项整治工作的通知》（工业和信息化部）：自通知印发之日起至2019年12月20日，针对APP服务提供者和APP分发服务提供者在违规收集、使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍方面进行专项治理

l 2018.08.31（2019.01.01生效）《电子商务法》（全国人大常委会）：对通过互联网等信息网络销售商品或者提供服务的经营活动进行规范

关键信息基础设施和等保2.0

l 2021.08.17（2021.09.01生效）《关键信息基础设施安全保护条例》（国务院）：明确国家对关键信息基础设施实行重点保护，强化和落实关键信息基础设施运营者的义务和责任

l 2020.11.01《信息安全技术网络安全等级保护定级指南》（国家市场监督管理总局、中国国家标准化管理委员会）：明确对非涉及国家秘密的等保对象的安全保护等级定级方法和定级流程

l 2020.09《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（中华人民共和国公安部）：强化落实等保要求、明确推进关键信息基础设施认定

l 2020.08.10《信息安全技术关键信息基础设施安全防护能力评价方法（征求意见稿）》、《信息安全技术关键信息基础设施边界确定方法（征求意见稿）》（全国信息安全标准化技术委员会）：明确关键基础设施安全审查的配套标准

l 2019.05.10（2019.12.1生效）《信息安全技术网络安全等级保护基本要求》（国家市场监督管理总局、中国国家标准化管理委员会）：规定等保2.0的基本要求

l 2019.05.10（2019.12.1生效）《信息安全技术网络安全等级保护测评要求》（中国国家标准化管理委员会）: 规定了不同级别的等级保护对象的安全测评要求

l 2019.05.10（2019.12.1生效）《信息安全技术网络安全等级保护安全设计技术要求》（中国国家标准化管理委员会）: 规定等保2.0对安全设计的技术要求

网络安全审查制度

l 2021.11.16（2022.02.15生效，原2020.04.13公布的旧法同步废止）《网络安全审查办法》（国家互联网信息办公室等13个部门）：除关键信息基础设施运营者外，增加网络平台运营者开展数据处理活动，影响或可能影响国家安全的，应进行网络安全审查，并规定掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查

l 2021.03.15（2021.05.01生效）《网络交易监督管理办法》（国家市场监督管理总局）：对当前“社交电商”、“直播带货”等网络交易活动中的经营者的义务进行明确规定，规范网络交易活动，促进数字经济持续健康发展

l 2019.10.26（2020.01.01生效）《密码法》（全国人大常委会）：核心密码、普通密码用于保护国家秘密信息；商用密码用于保护非国家秘密信息。公民、法人和其他组织可以依法使用商用密码保护网络与信息安全

l 2016.11.07（2017.06.01生效）《网络安全法》（全国人大常委会）：关于网络安全的第一部基本法，将已有的网络安全实践上升为法律制度，为网络强国战略提供制度保障

l 2016.07《国家信息化发展战略纲要》（中共中央办公厅、国务院办公厅）：明确提出要加快构建关键信息基础设施安全保障体系，加强党政机关以及重点领域网站的安全防护，建立政府、行业与企业网络安全信息有序共享机制

数据跨境及境外上市规则

l 2021.12.24《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》（国务院）和《境内企业境外发行证券和上市备案管理办法（征求意见稿）》（证监会）: 将港股上市也纳入证监会的备案监管框架内，要求各类企业境外上市需要向证监会提交备案材料

l 2021.10.29《数据出境安全评估办法（征求意见稿）》（国家互联网信息办公室）：规范数据出境活动，促进数据跨境流动

重要数据制度

l 2021.11.14《网络数据安全管理条例（征求意见稿）》（国家互联网信息办公室）：落实和细化网络数据安全领域的各项基本制度，明确了我国建立数据分级分类保护制度

l 2021.09《重要数据识别指南（征求意见稿）》（国家市场监督管理总局、中国国家标准化管理委员会）：提出了重要数据的定义、特征和识别原则

l 2021.06.10（2021.09.01生效）《数据安全法》（全国人大常委会）：规范数据处理活动的基本法，保护数据安全和促进数据利用并举

l 2020.03.30《关于构建更加完善的要素市场化配置体制机制的意见》（中共中央、国务院）：将数据定性为一种新型的生产要素

二、各数据合规及隐私保护制度立法现状分析 ///

目前我国数据合规法律体系呈现“1+3”模式，“1”为《刑法》，“3”为《网络安全法》《数据安全法》《个人信息保护法》“三驾马车”，前述四部基本法构建了数据合规的基本立法体系，并向下延伸出多项基本制度，进一步在法律法规层面夯实我国数据合规和隐私保护的规范体系。以下为各项制度截止2021年底的具体情况：

1. 刑法监管体系

我国数据合规及隐私保护的立法呈现“刑法先行”的特色。2015年颁布并生效的《刑法修正案（九）》，第一次在法律层面将侵犯公民个人信息罪（253条之一）、拒不履行信息网络安全管理义务罪（286条之一）、非法利用信息网络罪（287条之一）、帮助信息网络犯罪活动罪（287条之二）明确入刑，并且对于单位犯罪的，不仅单位承担刑罚，其直接负责的主管人员和其他直接责任人员也需要承担相应的刑事责任。目前刑法中涉及数据合规和隐私保护最重要的几条分别是：

以侵犯公民个人信息罪为例，2015年的《刑法修正案（九）》已经明确向他人出售或者提供公民个人信息，情节严重的，需承担三年以下有期徒刑，对于“情节严重”如何界定，又在2017年侵犯公民个人信息刑事案件的司法解释中根据侵犯不同类型的个人信息，采用不同的入刑门槛，即对于高敏感度信息（包括行踪轨迹信息、通讯信息、征信信息）非法获取、出售或提供五十条以上即入刑；对于敏感信息（包括住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的）五百条以上入刑；对于前述敏感信息以外的公民一般个人信息，五千条以上入刑。该2015年修正案及2017年司法解释的出台具有划时代的意义，极大增加了对于网络信息犯罪的打击力度，对社会不法行为的治理起到很好的威慑和惩戒的效果。恰逢当时社会上裸贷、校园贷频发，自2017年侵犯公民个人信息刑事案件的司法解释出台后，裸贷、校园贷等类似的不法行为得到全面整治。

2021年也有多件具有重大意义的刑事案件，例如杭州市的“女子取快递被造谣案”中某女子取快递时被偷拍，并被造谣和快递员出轨，谣言在网络上广泛传播，造成该女子人格权受严重侵害，并因此丢了工作、找新工作被拒，并患上抑郁症，于是向警方报警。该案原本只是9日行政拘留，后被害人向法院提起自诉，考虑到该案已严重危害社会秩序，检察院建议公安局按公诉程序追诉，实现自诉转公诉，最终2021年4月30日杭州市余杭区法院以诽谤罪判处被告人有期徒刑一年，缓刑两年。该案是近年来网络空间治理的典型案件，明确将有严重社会危害性的网络诽谤、侮辱行为纳入公诉案件范围，拓宽了网络暴力维权的途径，有利于威慑和打击犯罪，也体现对公民人格权、个人信息权的保护。

又如“赖枰全侵犯公民个人信息罪案”，被告人赖枰全在东莞市应客户要求，将其所得知的公民身份证号码、姓名等发送给同伙查询上述公民的对应照片，再将上述照片通过“三色技术”制成动态人脸验证视频后贩卖给客户从中获利，共获利约达59000元。2021年5月10日广东省东莞市第二人民法院判处被告人赖枰全有期徒刑一年二个月，并处罚金30000元。本案作为个人信息保护视域下人脸识别类信息保护的典型案例，对网络时代下数据安全、个人信息和财产安全的保护具有重大启示意义。[1]

2. 个人信息保护制度

《个人信息保护法》（或称“《个保法》”）的出台无疑是2021年个人信息保护领域的大事件，具有划时代的意义。在延续之前《网络安全法》（或称“《网安法》”）及《数据安全法》（或称“《数安法》”）保护思路和保障范围的基础上，对个人信息保护进一步延展和梳理，借鉴了美国和欧盟的立法并且有所突破。2021年我国个人信息保护法呈现下列特点：

（1）拓宽了境外管辖的范围

在适用范围上，在《个保法》之前，《网安法》仅对“关键信息基础设施”（或称“CII”）受境外主体侵害的活动有管辖权，之后《数安法》将管辖权延伸到境外数据处理活动：涉及损害我国国家安全、公共利益或者境内公民或组织合法权益的，《数安法》即可管辖，体现了“属地+保护”的管辖原则。而《个保法》出台后，则进一步扩大了境外管辖权的范围，规定在中国境外处理境内个人的信息的，只要涉及向境内主体提供产品或服务、分析或评估境内自然人的行为、或法律法规规定的其他情形，我国均有管辖权，体现了“属地+属人+保护”的管辖原则。相比较而言，这种域外管辖原则基本与欧盟GDPR的规定一致。值得注意的是，在数据的域外管辖权规则上，美国的CLOUD法案展示了更加宽泛的思路：该法案规定，只要科技公司拥有（possession）、监护（custody）或控制（control）数据，则即使数据存储在美国境外，美国执法机关亦可通过相应的法律程序要求其提供数据。这里的“拥有、监管或控制”数据既包括公司享有取得数据的合法权利，也包括公司在技术上可以实际获得数据。与之相对应的，《个保法》第41条规定：非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。

（2）明确了个人信息的定义

在个人信息范围的定义上，《网安法》将个人信息限定在识别个人身份的各种信息，《个保法》在此基础上进行了扩充，除了识别信息之外，与自然人有关的信息也被视为个人信息，这一规定与GDPR保持了一致。另外，与《网安法》一致，《个保法》明确了“匿名化”的信息（即匿名化处理后无法识别特定自然人且不能复原的信息）不属于个人信息。但是《个保法》未对普通个人信息进行列举，而仅列举了敏感个人信息，意图在于除了明确排除的情况外，只要能关联到自然人的信息都可以囊括在内，以便执法者在实践过程中灵活适用，最大限度保护个人信息。相比较而言，美国CLOUD法案将能够关联到特定“设备（device）”的信息也划归个人信息，进一步扩大了个人信息的范围。

（3）扩充了获取个人信息的合法基础

在获取个人信息的合法基础上，之前《网安法》仅只有“被收集者同意”一项，但是《个保法》更加接近欧盟GDPR的规定，明确不是只有个人同意才可以作为信息获取的合法事由，为履行合同义务或法定义务、为公共利益、应对紧急情况、法律行政法规规定的其他情形，均可以作为获取个人信息的合法基础。并且对于被收集者“同意”的具体形式，在《个保法》出来之后也进行进一步扩充，由此奠定了我国个人信息保护以“告知-同意”为核心，其他六项合法性基础为补充的架构。

另外，针对未成年人的个人信息，《个保法》进行了升级保护，一方面将其列为敏感个人信息，另一方面处理数据时应当取得未成年人的父母或者其他监护人的同意，并制定专门的个人信息处理规则。

（4）丰富了个人信息处理原则

《个人信息保护法》借鉴国际经验并立足我国实际，确立了个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。这些处理原则构建了我国个人信息保护具体规则的制度基础，贯穿于个人信息处理的各个流程和环节。

（5）细化了权利义务要求

在主体权利而言，下表展现了我国《个保法》在权利内容上的发展，不仅对于之前《网安法》出台时尚有争议的权利进行了论证和确定，而且相较于GDPR还有进一步的扩充，由此可见我国在立法层面对于公民隐私权、信息自主权予以极大的保护。《个人信息保护法》将个人在个人信息处理活动中的各项权利，包括知悉个人信息处理规则和处理事项、同意和撤回同意，以及个人信息的查询、复制、更正、删除等总结提升为知情权、决定权，明确个人有权限制个人信息的处理。同时，为了适应互联网应用和服务多样化的实际，满足日益增长的跨平台转移个人信息的需求，《个人信息保护法》对个人信息可携带权作了原则规定，要求在符合国家网信部门规定条件的情形下，个人信息处理者应当为个人提供转移其个人信息的途径。此外，《个人信息保护法》还对死者个人信息的保护作了专门规定，明确在尊重死者生前安排的前提下，其近亲属为维护自身合法、正当利益，可以对死者个人信息行使查阅、复制、更正、删除等权利。

在网络运营者/数据控制者/数据处理者的义务方面，下表同样展示出《个保法》对于该等主体义务要求的增加，甚至严于GDPR项下的义务，这也在侧面体现《个保法》对公民权利保护的力度。个人信息处理者是个人信息保护的第一责任人。据此，《个保法》强调，个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。在此基础上，《个保法》设专章明确了个人信息处理者的合规管理和保障个人信息安全等义务，要求个人信息处理者按照规定制定内部管理制度和操作规程，采取相应的安全技术措施，指定负责人对其个人信息处理活动进行监督，定期对其个人信息活动进行合规审计，对处理敏感个人信息、利用个人进行自动化决策、对外提供或公开个人信息等高风险处理活动进行事前影响评估，履行个人信息泄露通知和补救义务等。但是，目前立法中规定的这些权利和义务如何落实和执行，具体“尺度”和“松紧度”如何，仍有待司法和执法机构在适用法律时予以进一步明确。

综上，2021年在我国个人信息保护上是具有关键意义的一年，《个保法》承前启后确立了个人信息保护制度的基本原则和框架，为后续筑牢个人信息保护制度奠定了良好的基础。

3. 关键信息基础设施和等保2.0

关键信息基础设施的保护工作一直以来是国家网络安全战略层面的核心之一。之前出现过的涉及CII被攻击或控制的案例均造成了重大灾害，比如2015年乌克兰电力系统遭受黑客攻击造成大面积停电、多国大型银行遭受攻击（其中2016年俄罗斯央行和商业银行的账户被盗总额就高达3100万美元）、2016年德国核电站燃料装卸系统遭到网络攻击、2016年黑客通过控制物联网设备导致美国大面积断网等等。因此早在2016年7月，中共中央办公厅、国务院办公厅印发的《国家信息化发展战略纲要》就明确提出要“加快构建关键信息基础设施安全保障体系”。2016年11月出台的《网安法》进一步规定了CII的运行安全、预警与应急处理及相关的法律责任。而今年因滴滴境外上市而引发的网络安全审查的讨论，更是加快了关于CII和网络安全审查的立法进程。在前述背景下，2021年8月17日出台了《关键信息基础设施安全保护条例》（下称“《CII条例》”），并于9月1日正式实施。《CII条例》落实了《国家信息化发展战略纲要》和《网安法》的要求，从CII的认定、完善监督管理体系、运营者责任义务、保障和促进措施与法律责任等多个方面提出总体监管要求，为CII保护建立了总体框架。由于《CII条例》将CII的认定规则交由各行业、各领域的具体工作部门来认定，可以预计不远的将来相关配套规则还会进一步出台。

与CII保护制度同步发展的是我国网络安全等级保护（下称“等保”）制度，针对网络的不同重要程度，需进行不同级别的等保备案。总体而言，等保制度可以划分为两个阶段：2016年《网络安全法》出台之前，学者们称之为等保1.0的时代，具体指的是2007年的《信息安全等级保护管理办法》和2008年的《信息安全技术信息系统安全等级保护基本要求》；等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，并对旧有内容进行调整，对定级指南、基本要求、实施指南、测评过程指南、测评要求、设计技术要求等标准进行修订和完善，以满足新形势下等级保护工作的需要。与之相配套的《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全安全等级保护基本要求》《信息安全技术网络安全等级保护安全设计要求》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》及《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020）陆续出台。相较于等保1.0，等保2.0发生了以下主要变化：第一，名称变化，等保2.0将原来的标准《信息安全技术信息系统安全等级保护基本要求》改为《信息安全技术网络安全等级保护基本要求》，与《网络安全法》保持一致；第二，定级对象变化，等保1.0的定级对象是信息系统，现在2.0更为广泛，包含：信息系统、基础信息网络、云计算平台、大数据平台、物联网系统、工业控制系统、采用移动互联技术的网络等；第三，安全要求变化，基本要求的内容由安全要求变革为安全通用要求与安全扩展要求(含云计算、移动互联、物联网、工业控制)；第四，控制措施分类结构变化，等保2.0由旧标准的10个分类调整为8个分类，分别为技术部分（物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全）和管理部分（安全策略和管理制度、安全管理机构和人员、安全建设管理、安全运维管理）；第五，标准控制点和要求项的变化，等保2.0在控制点要求上并没有明显增加，通过合并整合后相对旧标准略有缩减；第六，内容变化，从等保1.0的定级、备案、建设整改、等级测评和监督检查五个规定动作，变更为五个规定动作+新的安全要求(风险评估、安全监测、通报预警、态势感知等)。

4. 网络安全审查制度

网络安全审查无疑是2021年数据合规的重点，而争议焦点之一就是网络安全审查的范围。《网络安全审查办法（2020）》（“原办法”）自2020年6月1日施行，明确CII运营者采购网络产品和服务，影响或可能影响国家安全的，需进行网络安全审查。原办法自实施以来，对于保障CII供应链安全、维护国家安全发挥了重要的作用。但对于需要进行网络安全审查的范围一直存在争议。2021年7月2日国家网信办发布了关于对“滴滴出行”启动网络安全审查的公告，之后7月5日网信办又发布对 “运满满”、“货车帮”、“BOSS直聘”实施网络安全审查。2021年7月10日国家互联网信息办公室紧急发布《网络安全审查办法（修订草案征求意见稿）》，拟将“数据处理者”开展数据处理活动也纳入网络安全审查的范围，并明确“掌握超过100万用户个人信息的运营者赴国外上市，须申报网络安全审查”。该《网络安全审查办法》于2021年11月16日通过，并于2022年1月4日发布，2022年2月15日起正式施行，但是最终生效的法规中将“数据处理者”替换为“网络平台运营者”开展数据处理活动，影响或可能影响国家安全的，需进行网络安全审查，同时保留“掌握超过100万用户个人信息的运营者赴国外上市，须申报网络安全审查”。根据《数据安全法》，“数据”可以包括各种形式的数据，数据处理包括了数据的收集、存储、使用、加工、传输、提供、公开等行为，因此数据处理者可以涵盖几乎全部类型的企业，而“网络平台运营者”只是数据处理者的一种类型。由此可见最终稿与征求意见稿相比，缩小了网络安全审查的范围，更有利于集中监管重点，防范核心风险。但是“网络运营者”的范围和定义仍然没有明确的规定，有待后续在法规和实操层面进一步确定。

5. 数据跨境及境外上市规则

中国跨境数据法律法规处于创新制定和持续完善的过程。根据《网安法》规定，CII运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储；因业务需要，确需向境外提供的，应当按照相关规定进行安全评估。2021年的《个保法》在《网安法》的要求下，进一步针对不同的数据类型，提出了不同的数据跨境要求：（1）对于国家机关处理个人信息，CII运营者和处理个人信息达到规定数量的，应当在境内存储，确需向境外提供的，应当按照相关规定进行安全评估；（2）在其他情况下确需向境外提供个人信息，应经过专业机构进行个人信息保护认证，或者按照网信部门制度的标准合同与境外接收方订立合同，但其他法律法规规定或网信部门另有规定的除外；（3）向境外提供个人信息的，需要向个人告知境外接收方及其进行数据处理的情况，重新取得个人的单独同意；（4）秉持平等互惠原则，设立境外黑名单制度；（5）向外国司法机构或执法机构提供协助时，若需要提供存储于境内的个人信息的，需获得国内主管机关的批准。由于相关配套措施尚未出台，《个保法》中对于不同类型的数据如何界定尚不明确，因此在具体规定出台之前，数据跨境仍然处于敏感的地位。2021年10月29日国家互联网信息办公室发布的《数据出境安全评估办法（征求意见稿）》对于前述“规定数量”的标准、如何进行出境安全评估，合同应包括哪些内容，均予以了补充规定，有望2022年出台后，在合规的前提下能实现促进数据跨境流动的效果。

伴随着对数据跨境的担忧，2021年下半年中国企业赴国外上市也受到了监管的影响。2021年上半年呈现出赴美上市热潮，截止6月30日一共有37家中概股企业在美国上市，是2020年同期的两倍多，但是到2021年下半年自“滴滴事件”开始，只有3家中概股国内企业在美国上市。原因主要在于《数据安全法》2021年9月1日起施行后，明确规定国家建立数据安全审查制度。修订后的《网络安全审查办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，主要目的是为了进一步保障网络安全和数据安全，维护国家安全。相较于《证券法》以及国务院的有关规定，《网络安全审查办法》的相关条款并未使用“境外”这一概念，而是使用了“国外”一词，这一特殊安排的用意旨在将赴香港上市排除在本条所规定的网络安全审查的适用范围。但是，2021年12月24日发布的《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》（简称 “《境外上市管理规定意见稿》”）和《境内企业境外发行证券和上市备案管理办法（征求意见稿）》（“《境外上市备案办法意见稿》”）进一步明确将港股上市也纳入证监会的备案监管框架内，要求各类企业境外上市需要向证监会提交备案材料，并且明确对于在适用网络安全审查的情况，需在提交上市备案材料前完成网络安全审查并收到审查意见，这无疑是进一步收紧了对企业在境外上市的监管要求。另外，对于二次上市及上市后再融资是否还属于申报网络安全审查的范围，尚有待未来进一步明确。

6. 重要数据制度

《网安法》及《数安法》等不同法规都对重要数据提出了严格的监管要求，但是在法规层面重要数据一直没有确切的范围界限，究竟何为重要数据一直是业内关注的重点问题。2021年9月全国信息安全标准化技术委员会公布的《重要数据识别指南（征求意见稿）》，以及2021年11月国家互联网信息办公室发布的《网络数据安全管理条例（征求意见稿）》（下称“《网安条例意见稿》”）对这一法律概念在法规层面赋予了进一步的界定。《网安条例意见稿》对重要数据以概括加列举的方式做了定义，明确重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据，包括7大类别，涵盖政务、执法、出口管制、重要行业、敏感区域等各个方面。同时《重要数据识别指南（征求意见稿）》中明确重要数据不包括国家秘密和个人信息，但是基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。这是因为在数据安全的保护制度中，“重要数据”并不等同于重要的数据。重要数据这一概念主要是从国家安全和公共利益的角度去判断，如果只是对数据处理者自身或单独个人而言重要的数据，并不意味着一定是重要数据，且重要数据只是数据安全体系之中的一个制度，与其他制度相辅相成，共同支撑起数据安全的保障体系，而个人信息和国家秘密已经在其他法律法规中得到充分的保护了，因此数据安全不包括个人信息和国家秘密。

值得注意的是，《网安条例意见稿》在《数安法》的基础上进一步明确了我国建立数据分级分类保护制度，将数据分为一般数据、重要数据、核心数据，针对不同级别的数据采取不同标准的保护措施，对个人信息和重要数据进行重点保护，对核心数据实行严格保护，并且规定处理重要数据的系统原则上应满足三级以上等保要求和CII安全保护要求，处理核心数据的系统按照有关规定从严保护。但是与《数安法》相同，《网安条例意见稿》仍将具体的分级分类工作授权给各地区、各部门，各地区、各部门按照相关要求和标准，自行制定本地区、本部门以及相关行业、领域重要数据和核心数据目录，并报国家网信部门。由此可见，在2021年确定的法律框架下，未来各地区、各部门将分别制定各自的分级分类数据目录，数据分级分类制度在可预见的未来将进一步落实。

如我们开篇所言，2021年是数据合规在立法上有重要意义的一年，“1+3”的基本模式和法律框架已经奠定，伴随着配套部门规章、行政法规及规范性文件的不断出台，我国的个人信息以及数据安全的保护体系必将逐渐完善，而相关的执法也必将更加频繁和严厉。盈理律师事务所未来将针对后续的立法和执法情况定期向各位汇报。

—————————

[1] 西北政法大学发布2021年度十大刑事案件 (thepaper.cn)