2022年展望：数据保护领域值得关注的十大趋势和问题

前 言

2021年是中国数据保护发展进程中具有里程碑意义的一年。这一年，《数据安全法》和《个人信息保护法》相继出台并生效实施，监管机关在App个人信息保护、互联网平台、网络安全审查等重点领域的立法和执法动作频频，各企业积极落地法律法规要求。2022年，伴随着我国进入加快数字化发展、建设数字中国的新阶段，数据保护和网络安全领域法律政策框架将继续健全和完善，监管和执法也将纵横深入。

本文拟在回顾2021年的数据保护重点事件的基础上，分析与数据保护、网络安全相关的立法和监管趋势，并进一步梳理和总结2022年数据保护领域最值得关注的十大趋势和问题。

一、 《数据安全法》和《个人信息保护法》配套规定有望陆续出台

《数据安全法》和《个人信息保护法》已于2021年正式出台并分别于当年9月1日和11月1日起生效施行。至此，《数据安全法》、《个人信息保护法》与《网络安全法》一同构成了我国数据保护领域的“三驾马车”，为我国信息安全管理保驾护航。

《数据安全法》强调了数据安全与数据开发利用并重的理念，建立了数据分类分级保护制度，对企业在开展数据处理活动时应当履行的数据安全保护义务提出了要求。《个人信息保护法》则主要围绕个人信息处理原则和一般规则、敏感个人信息处理、个人信息跨境提供、个人信息主体权利以及个人信息处理者的合规管理义务进行了全面的规定。总体而言，两部法律中的原则性规定仍亟需配套规定的出台以实现相关制度的最终落地。

中央网信办网络数据管理局副局长方新平在南都个人信息保护研究中心举办的“2021啄木鸟数据治理论坛”中表示，目前中央网信办正在抓紧制定数据安全法、个人信息保护法配套法规规章，例如正在起草的《网络数据安全管理条例》、《数据出境安全评估办法》、《个人信息出境标准合同规定》、《人脸识别技术应用安全管理暂行规定》，以及数据安全、个人信息保护的合规审计制度和相关标准规范¹。此外，有关数据分类分级的指南和规则也在制定过程中。我们预计，上述配套法规规章有望在2022年陆续出台和施行，建议企业密切关注相关立法进展以及对于实施《数据安全法》和《个人信息保护法》合规落地的影响。

二、 地方持续展开数据立法工作

随着国家层面的数据立法逐渐完善，部分省市结合地方实际发展情况，相继出台了地方数据条例。据统计，目前我国有12个省市地区的地方数据相关条例已实施，包括上海、广东、深圳、浙江、山东、安徽、吉林、山西、海南、天津、贵州和沈阳。此外，《福建省大数据发展条例》和《江苏省公共数据管理办法》已于2021年12月先后发布，并将自2022年2月1日起正式实施。辽宁、黑龙江、陕西、宁夏等地的地方数据条例处于草案阶段²。在上述已正式发布的地方数据条例中，《上海市数据条例》和《深圳经济特区数据条例》当属典型代表，这两部条例均分别针对个人数据和公共数据作出了专门规定，其他的地方数据条例则主要立意规范公共数据的开放共享、发展应用及安全保障三个方面。基于上述，我们预计在2022年，地方数据立法将持续、有序推进。

三、 重点行业和领域纵深开展数据立法和监管工作

2021年，各重点行业和领域的数据保护立法和监管工作相应展开。例如，在工业和信息化领域，工信部发布了《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》，针对工业和电信数据处理活动及其安全监管提出了一些系列要求³，并组织开展了工业领域数据安全管理试点工作⁴，标志着工业和信息化领域数据安全管理正式进入落地阶段。工信部发布会提到，未来工信部将会充分利用经济、法律、技术、行政等监管手段进一步强化个人信息保护等方面综合治理，主要包括贯彻落实《数据安全法》、《个人信息保护法》等法律法规，健全监管规则、细化实化监管举措，以及推动建立覆盖互联网信息服务提供者、应用商店、网络接入服务提供者、第三方服务提供者、手机终端厂商的全链条监管体系⁵。

在金融领域，包括《金融数据安全 数据生命周期安全规范》和《金融业数据能力建设指引》在内的若干重要金融行业标准开始生效实施，《金融数据安全数据安全评估规范（征求意见稿）》发布征求意见。中国人民银行易纲行长在2021年香港金融科技周上表示，央行未来将进一步完善金融领域个人信息保护的法律制度，并加大对个人信息保护的监管力度⁶。

在汽车领域，由国家网信办、国家发改委等五个部门联合发布的《汽车数据安全管理若干规定（试行）》正式实施，为汽车数据处理活动提供了明确指引。

我们理解，未来重点行业和领域的数据立法及监管将继续纵深发展，为各行业领域企业落实合规要求提供更细节的指引，企业应当密切关注所在行业的立法与执法动态。

四、 App个人信息保护形成常态化执法

2021年，App个人信息保护执法从国家到地方层面已趋于常态化。根据我们统计，工信部在2020年关于下架App与要求App整改的通报总次数共计12次，2021的总次数则上升到20次。2021年11月16日，工信部信息通信管理局副局长王鹏在新闻发布会上通报，截至当日工信部已组织检测21批次共244万App，累计通报2049款违规App，下架540款拒不整改的App，同时应用商店已主动下架40余万款违规App⁷。地方通信管理局也独立开展App侵害用户权益专项整治行动⁸。国家及地方网信办（如山东、海南）也密集开展了App个人信息保护执法行动。例如，国家网信办在2021年5月连续通报了三批违法违规收集使用个人信息的App，山东网信办2021年8月依法查处19家涉及违法违规收集个人信息的App及网站⁹，海南网信办则在2021年11月18日召开新闻通气会向社会通报13款App、小程序违法违规收集使用个人信息情况并责令相关运营单位限期整改¹⁰。此外，工信部曾于2021年4月发布了《移动互联网应用程序个人信息保护管理暂行规定》并征求意见，若该规定于2022年正式出台，则将进一步对市场上App个人信息合规实践产生巨大影响。

可以预见，在2022年，为有效解决实践中App违规处理用户个人信息、设置障碍、骚扰用户、欺骗误导用户等问题，工信部门和网信部门将会持续加大App（包括小程序、快程序）个人信息保护执法力度，继续推进App侵害用户权益整治行动。

五、 互联网平台企业数据和算法合规成为合规重点领域

为应对互联网平台经济的快速发展带来的一系列问题，国家相关部门加强了对平台企业的监管，并在2021年密集出台了一系列与互联网平台相关的监管规则，包括国务院反垄断委员会于2021年2月7日发布的《关于平台经济领域的反垄断指南》、国家网信办于2021年9月15日发布的《关于进一步压实网站平台信息内容管理主体责任的意见》以及国家市监总局于2021年10月29日发布的《互联网平台分类分级指南（征求意见稿）》和《互联网平台落实主体责任指南（征求意见稿）》等。前述监管规则从平台反垄断、数据安全、个人信息保护义务等维度对互联网平台提出了更为针对性的要求。此外，2021年11月14日发布的《网络数据安全管理条例（征求意见稿）》也专设“互联网平台运营者义务” 一章，对互联网平台运营者的数据安全管理责任提出了要求。

在执法活动方面，国家相关部门对互联网平台的反垄断监管不断加强。除此之外，政府对平台内容的监管加强也值得关注。针对某些平台屡次出现法律法规禁止发布或者传输的信息这一问题，国家网信办在约谈中责令其立即整改。此外，对于屡次出现违规行为的大型平台运营者，监管机关还可能采取过渡性行政指导措施。

我们预计，在2022年，上述与互联网平台责任相关的征求意见稿有可能会陆续正式出台，而国家相关部门对互联网平台在数据保护、个人信息保护、反垄断、内容治理等方面的监管也将可能继续加强。

六、 数据出境实施细则有望正式出台并落地

在业务经营和发展实践中，数据跨境传输已成为境内外企业数据合规的重点工作之一。2021年年底，国家网信办先后发布《数据出境安全评估办法（征求意见稿）》和《网络数据安全管理条例（征求意见稿）》，对《数据安全法》、《个人信息保护法》等法律项下的数据出境原则和要求进行了更为详细的规定。截至目前，这两部法规均已结束了公开征求意见的工作，并且有望在2022年正式出台。上述数据出境实施细则意味着我国数据出境的具体要求将趋向具体、细化和可操作性，建议企业关注相应的数据出境监管和合规要求。

七、 重要数据的认定指南和具体目录将进一步明确

作为数据安全层面的上位法和基础性法律，《数据安全法》搭建了以“重要数据”为核心的安全监管制度，而重要数据的识别则是数据安全工作的重中之重。《数据安全法》将重要数据具体目录的制定职责交由各地区、各部门。2021年，国家标准《信息安全技术 重要数据识别指南（征求意见稿）》发布并征求意见，该标准明确了重要数据的定义、特征，识别重要数据的基本原则和具体流程，为各地区、各部门制定本地区和本部门以及相关行业或领域的重要数据具体目录提供参考，其有望在2022年正式生效实施。与此同时，目前各行业主管部门也正在制定所在行业或领域的重要数据目录。例如，工信部发布了《工业和信息化领域数据安全管理办法（试行）》，将工信数据分为一般数据、重要数据和核心数据三级¹¹，表明工信部门正在划定重要数据的范围。

重要数据目录机制有助于各地区、各部门、各行业根据自身实际、专业水平和能力基础，做出弹性、灵活的数据价值判断和安全机制要求，因此对于不同行业如何制定重要数据的目录，值得在2022年密切关注。

八、 企业融资和上市将面临愈发严格的数据合规审查

数据不仅作为企业资产价值评估的重点，其全流程管理的合规也已成为上市审核的重点之一。比如，“滴滴出行”在美国上市后被国家网信办通知进行网络安全审查¹²；商汤科技上市过程中也由于人工智能软件行业中涉及的数据合规审查问题引发业内广泛关注。此外，《网络安全审查办法》已于近日发布并将于2022年2月15日起施行，要求掌握100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，并新增有关“网络信息安全风险”的重点评估因素。对于以数据处理为核心竞争力和主营业务的企业，以及将数据作为重要资产的企业，数据处理活动的合规性可能直接涉及到企业的商业模式和可持续的经营能力，而且企业在未来的融资和上市过程中可能面临愈发严格的数据合规审查。

九、 个人信息保护公益诉讼将会明显增加

个人信息保护的公益诉讼也是未来一年值得关注的议题。一方面，《个人信息保护法》专门设立公益诉讼条款，明确将个人信息保护纳入检察公益诉讼的法定领域。另一方面，最高人民检察院于2021年8月21日下发《关于贯彻执行个人信息保护法推进个人信息保护公益诉讼检察工作的通知》¹³，规范相关公益诉讼案件办理，明确各级检察机关在履行公益诉讼检察职责时应当突出重点、严格保护生物识别、宗教信仰、特殊身份、医疗健康、金融账号、行踪轨迹等敏感个人信息¹⁴。各级监察机关对于个人信息的公益诉讼案件也明显增加。最高人民检察院2021年发布11件检察机关个人信息保护公益诉讼典型案例¹⁵，其中涉及手机App等互联网软件侵害公民个人信息、非法获取就诊者个人信息用于商业营销、快递单直接显示用户个人信息、行政机关在履行公开职能时泄露公民个人信息等各类存在安全隐患的个人信息公益诉讼，体现出检察机关将进一步通过提起公益诉讼的方式，依法督促相关部门履职整改、保护公民个人信息安全的总体趋势，个人信息的公益诉讼作为未来的重要领域，值得关注。

十、 数据交易探索力度不断加大

数据交易是未来释放数据要素潜力的重要方式。在过去一年中，有关数据交易的立法进程逐步加快、法律规定逐渐增多。首先，《数据安全法》从法律层面明确国家建立健全数据交易管理制度，确定了数据交易行为的合法性、培育数据交易市场，但是交易规则和标准等细化规则还有待未来相关配套制度进一步明确。另一方面，工信部提出加快培育数据要素市场的主要任务，建立数据资源产权、交易流通、跨境传输和安全等基础制度和标准规范，健全数据产权交易和行业自律机制，以及培育大数据交易市场，鼓励各类所有制企业参与要素交易平台建设，探索多种形式的数据交易模式¹⁶。

此外，各地在数据交易方面的探索力度也在不断加大。2021年3月1日，北京国际大数据交易所成立¹⁷； 11月25日，上海数据交易所依据《上海市数据条例》正式在浦东新区揭牌¹⁸。可以预见，在新的一年中，数据交易所将作为推动数据要素流通、促进数字经济发展的重要举措，有望迎来数据交易发展的新突破。目前各地在构建数据交易平台的模式机制上已经形成越来越多的共识¹⁹，但如何能够建立规范透明、安全可控、可追溯的数据交易服务环境，促进数据交易服务机构有序发展、以及保障数据安全等，各地政府及交易所仍在进一步探索，我们建议企业密切关注相关法律法规和政策。

结 语

在过去的一年中，大到国家政策层面，小到社会民众的日常生活，都与“个人信息”、“数据安全”、“数据要素”、“数字经济”等关键词息息相关。从总体趋势上看，我国在数据保护和网络安全方面的立法工作呈现逐步深化的态势，监管和执法力度也日益加强。可以预见，2022年我国数据保护相关监管体系势必将进一步健全和完善。我们将持续关注数据保护领域立法和执法的新变化和新进展，并持续提供及时有效的合规建议。

注：

[1]参见：https://www.163.com/dy/article/GRONFRH605129QAF_pdya11y.html。

[2] 我们还注意到，四川省大数据中心副主任何雨在2021四川大数据年会上介绍，四川省委省政府明确要制定出台四川省第一部大数据发展地方法规。参见：http://www.scdsjzx.cn/scdsjzx/xinwenredian/2021/12/24/38765915c18240fd9cfeafe4fde35317.shtml。

[3] 参见：https://wap.miit.gov.cn/gzcy/yjzj/art/2021/art_dcb6cc8d9f5c414eabd7070871996525.html%20%EF%81%AC。

[4] 参见：https://wap.miit.gov.cn/jgsj/waj/wjfb/art/2021/art_2fa0ae3ab6764a0b9e8bc2703a41626c.html。

[5] 参见：https://www.miit.gov.cn/gzcy/zbft/art/2021/art_c8650b489552421daf55fca47cbc67aa.html。

[6] 参见：http://www.pbc.gov.cn/hanglingdao/128697/128728/128829/4377088/index.html。

[7] 参见：https://www.miit.gov.cn/gzcy/zbft/art/2021/art_c8650b489552421daf55fca47cbc67aa.html。

[8] 例如，2021年9月24日，北京市通信管理局尚对16款未完成整改的App进行了通报，所涉问题包括App强制、频繁、过度索权限、违规收集个人信息、强制用户使用定向推送功能等。参见：https://bjca.miit.gov.cn/xwdt/gzdt/art/2021/art_d95fcb942f62446fb306125f43f65b10.html。

[9] 参见：http://www.cac.gov.cn/2021-08/08/c_1630014037540297.htm。

[10] 参见：http://www.cac.gov.cn/2021-11/22/c_1639177784709692.htm。

[11] 参见：https://wap.miit.gov.cn/gzcy/yjzj/art/2021/art_dcb6cc8d9f5c414eabd7070871996525.html.

[12] 参见：http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm；http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm；http://www.cac.gov.cn/2021-07/09/c_1627415870012872.htm。

[13] 参见：https://www.spp.gov.cn/zdgz/202108/t20210822_527281.shtml。

[14] 参见：https://www.spp.gov.cn/spp/zdgz/202108/t20210822_527281.shtml。

[15] 参见：https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.shtml#1。

[16] 参见：https://www.miit.gov.cn/zwgk/zcwj/wjfb/tz/art/2021/art_c4a16fae377f47519036b26b474123cb.html。

[17] 参见：http://jrj.beijing.gov.cn/jrgzdt/202104/t20210401_2342064.html。

[18] 参见：http://www.gov.cn/xinwen/2021-11/25/content_5653396.htm。

[19] 参见：https://www.cods.org.cn/c/2021-12-29/16134.html。