2023年是全面落实党的二十大精神开局之年,也是国家“十四五”规划实施的中期评估之年。一年中,国家持续加强网络安全能力和体系建设,制定发布了多项网络安全法规和政策,推动我国网络安全法治体系的持续完善。与此同时,国外相关国家也结合其本国需求,以法规手段强化其自身的网络安全管理。
我们基于持续跟踪和研究,特此对本年度国内外网络安全法规政策发展情况进行了梳理分析,并完成《2023年国内外网络安全法规政策系列盘点》,从行业视角对部分重要法规政策进行简评并提出观点。《2023年国内外网络安全法规政策系列盘点》共四部分,分别是:“网络安全篇”、“数据安全篇”、“个人信息保护篇”、“技术发展和治理篇”,每篇又分为“国内部分”和“国外部分”;内容条目以时间线为序。
本篇概览
《个人信息保护篇》是《2023年国内外网络安全法规政策系列盘点》的第三篇。主要对涉及个人信息保护的法规政策进行专题梳理和点评。
从内容看,本年度个人信息保护法规政策主要涵盖个人信息出境管理、个人信息审计机制、特殊群体保护、区域性个人信息跨境共享机制等。
一
国内部分
2月
1. 国家互联网信息办公室印发《个人信息出境标准合同办法》
近年来,我国高度重视个人信息出境安全保护。《个人信息保护法》第38条明确规定了个人信息出境的相关条件,即通过国家网信部门组织的安全评估、进行个人信息保护认证、以及与境外接收方订立标准合同等。
本次出台的《个人信息出境标准合同办法》,与此前发布的《数据出境安全评估办法》《个人信息保护认证实施规则》形成互补,一同构建起完整的个人信息出境安全保护体系,为我国个人信息安全保护工作奠定了坚实基础。
5月
2. 国家互联网信息办公室发布《个人信息出境标准合同备案指南(第一版)》,标志个人信息出境标准合同备案工作实际启动
《备案指南》是《个人信息出境标准合同办法》(以下简称《合同办法》)出台后的首个配套文件。从内容来看,《备案指南》对个人信息出境标准合同的适用范围、申报材料等做出了细化规定,也在一定程度上反映了个人信息出境监管具有趋严的特点。
与此同时,《备案指南》的发布也预示着,个人信息出境标准合同备案工作已在监管侧及运营侧准备就绪,相关管理实施工作进入实际启动阶段。
《备案指南》及《合同办法》的出台,不仅强化了个人信息出境管理,对于促进个人信息出境安全相关产业的发展也同样具有较强的导向作用。对于网络安全行业,有两方面需要重点关注。一是密切关注个人信息出境安全评估的业务机会,深化技术产品研发。二是持续强化内部合规监测,加强在产品技术研发、重点任务和重大项目支撑等业务活动的个人信息和数据保护。
8月
3. 国家互联网信息办公室就《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见,促进个人信息保护审计活动规范化
个人信息保护是网络和数据安全的重要领域之一。此前我国在个人信息保护领域先后出台了《个人信息保护法》《个人信息出境标准合同办法》等法规政策,并持续开展了多项个人信息保护专项行动。不同于以往,此次《征求意见稿》所规范的“个人信息保护审计”更加侧重于对个人信息保护的事前防范,强调个人信息处理者的常态化合规。
《征求意见稿》法律依据为《个人信息保护法》第五十四条:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,旨在建立健全我国个人信息保护合规审计制度。对于个人信息处理者以及第三方专业机构开展个人信息合规审计工作具有重要实践意义。
目前,《个人信息保护合规审计管理办法(征求意见稿)》尚处于征求意见阶段,对网络安全行业来说,可重点关注以下两点。一是,关注后续相关政策的更新与落实,如个人信息保护合规审计相关标准、个人信息保护合规审计专业机构管理政策,以及与个人信息保护影响评估等制度的衔接等。二是,关注新的市场机会点,如服务于个人信息处理者的个人信息保护合规审计咨询、教育和培训服务等;服务于个人信息保护合规审计专业机构的技术产品、解决方案等。
9月
4. 国务院常务会议审议通过《未成年人网络保护条例》,强化未成年人特殊群体的网络保护
随着移动互联网的普及发展,未成年人使用互联网的比例迅速提升。与此同时,网络攻击、个人信息滥用等传统网络安全问题也加速向未成年人群体扩散。此前发布的《未成年人保护法》《关于规范网络直播打赏 加强未成年人保护的意见》《移动互联网未成年人模式建设指南(征求意见稿)》等政策法规,均对未成年人网络保护提出了相应要求。本次《未成年人网络保护条例》(以下简称《条例》)以行政法规的形式出台,进一步细化了保护要求。
与2022年3月发布的《未成年人网络保护条例(征求意见稿)》相比,《条例》主要有以下3方面修改。一是进一步明确管理制度和依据,如明确授权制定“网络平台服务提供者认定办法”等;二是加强与《个人信息保护法》等上位法衔接,如“网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销”等规定;三是加强新兴技术手段应用,如要求网络产品和服务提供者采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测等。
12月
5. 国家互联网信息办公室发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
当前,国家对于个人信息跨境的监管主要有三种方式:一是国家网信部门组织跨境安全评估,二是经专业机构对个人信息处理者进行个人信息安全认证,三是签订跨境标准合同并备案。三种方式适用的区别主要在于个人信息数据的重要性程度、规模等不同。
粤港澳大湾区作为我国区域经济发展的重要载体,也已成为个人信息跨境管理的重要试验田,大湾区此前已先后启动了个人信息跨境标准合同、个人信息跨境认证等个人信息保护专项管理机制。有一点需特别注意,即:目前粤港澳大湾区相关的个人信息跨境管理机制,其适用范围仅限于大湾区内部,大湾区与外部其他地区之间的个人信息保护管理工作,还要以我国现行个人信息保护相关法律法规为依据。
我们基于持续跟踪和研究,特此对本年度国内外网络安全法规政策发展情况进行了梳理分析,并完成《2023年国内外网络安全法规政策系列盘点》,从行业视角对部分重要法规政策进行简评并提出观点。《2023年国内外网络安全法规政策系列盘点》共四部分,分别是:“网络安全篇”、“数据安全篇”、“个人信息保护篇”、“技术发展和治理篇”,每篇又分为“国内部分”和“国外部分”;内容条目以时间线为序。
本篇概览
《个人信息保护篇》是《2023年国内外网络安全法规政策系列盘点》的第三篇。主要对涉及个人信息保护的法规政策进行专题梳理和点评。
从内容看,本年度个人信息保护法规政策主要涵盖个人信息出境管理、个人信息审计机制、特殊群体保护、区域性个人信息跨境共享机制等。
一
国内部分
2月
1. 国家互联网信息办公室印发《个人信息出境标准合同办法》
近年来,我国高度重视个人信息出境安全保护。《个人信息保护法》第38条明确规定了个人信息出境的相关条件,即通过国家网信部门组织的安全评估、进行个人信息保护认证、以及与境外接收方订立标准合同等。
本次出台的《个人信息出境标准合同办法》,与此前发布的《数据出境安全评估办法》《个人信息保护认证实施规则》形成互补,一同构建起完整的个人信息出境安全保护体系,为我国个人信息安全保护工作奠定了坚实基础。
5月
2. 国家互联网信息办公室发布《个人信息出境标准合同备案指南(第一版)》,标志个人信息出境标准合同备案工作实际启动
《备案指南》是《个人信息出境标准合同办法》(以下简称《合同办法》)出台后的首个配套文件。从内容来看,《备案指南》对个人信息出境标准合同的适用范围、申报材料等做出了细化规定,也在一定程度上反映了个人信息出境监管具有趋严的特点。
与此同时,《备案指南》的发布也预示着,个人信息出境标准合同备案工作已在监管侧及运营侧准备就绪,相关管理实施工作进入实际启动阶段。
《备案指南》及《合同办法》的出台,不仅强化了个人信息出境管理,对于促进个人信息出境安全相关产业的发展也同样具有较强的导向作用。对于网络安全行业,有两方面需要重点关注。一是密切关注个人信息出境安全评估的业务机会,深化技术产品研发。二是持续强化内部合规监测,加强在产品技术研发、重点任务和重大项目支撑等业务活动的个人信息和数据保护。
8月
3. 国家互联网信息办公室就《个人信息保护合规审计管理办法(征求意见稿)》公开征求意见,促进个人信息保护审计活动规范化
个人信息保护是网络和数据安全的重要领域之一。此前我国在个人信息保护领域先后出台了《个人信息保护法》《个人信息出境标准合同办法》等法规政策,并持续开展了多项个人信息保护专项行动。不同于以往,此次《征求意见稿》所规范的“个人信息保护审计”更加侧重于对个人信息保护的事前防范,强调个人信息处理者的常态化合规。
《征求意见稿》法律依据为《个人信息保护法》第五十四条:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计”,旨在建立健全我国个人信息保护合规审计制度。对于个人信息处理者以及第三方专业机构开展个人信息合规审计工作具有重要实践意义。
目前,《个人信息保护合规审计管理办法(征求意见稿)》尚处于征求意见阶段,对网络安全行业来说,可重点关注以下两点。一是,关注后续相关政策的更新与落实,如个人信息保护合规审计相关标准、个人信息保护合规审计专业机构管理政策,以及与个人信息保护影响评估等制度的衔接等。二是,关注新的市场机会点,如服务于个人信息处理者的个人信息保护合规审计咨询、教育和培训服务等;服务于个人信息保护合规审计专业机构的技术产品、解决方案等。
9月
4. 国务院常务会议审议通过《未成年人网络保护条例》,强化未成年人特殊群体的网络保护
随着移动互联网的普及发展,未成年人使用互联网的比例迅速提升。与此同时,网络攻击、个人信息滥用等传统网络安全问题也加速向未成年人群体扩散。此前发布的《未成年人保护法》《关于规范网络直播打赏 加强未成年人保护的意见》《移动互联网未成年人模式建设指南(征求意见稿)》等政策法规,均对未成年人网络保护提出了相应要求。本次《未成年人网络保护条例》(以下简称《条例》)以行政法规的形式出台,进一步细化了保护要求。
与2022年3月发布的《未成年人网络保护条例(征求意见稿)》相比,《条例》主要有以下3方面修改。一是进一步明确管理制度和依据,如明确授权制定“网络平台服务提供者认定办法”等;二是加强与《个人信息保护法》等上位法衔接,如“网络产品和服务提供者不得通过自动化决策方式向未成年人进行商业营销”等规定;三是加强新兴技术手段应用,如要求网络产品和服务提供者采用人工智能、大数据等技术手段和人工审核相结合的方式加强对网络欺凌信息的识别监测等。
12月
5. 国家互联网信息办公室发布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》
当前,国家对于个人信息跨境的监管主要有三种方式:一是国家网信部门组织跨境安全评估,二是经专业机构对个人信息处理者进行个人信息安全认证,三是签订跨境标准合同并备案。三种方式适用的区别主要在于个人信息数据的重要性程度、规模等不同。
粤港澳大湾区作为我国区域经济发展的重要载体,也已成为个人信息跨境管理的重要试验田,大湾区此前已先后启动了个人信息跨境标准合同、个人信息跨境认证等个人信息保护专项管理机制。有一点需特别注意,即:目前粤港澳大湾区相关的个人信息跨境管理机制,其适用范围仅限于大湾区内部,大湾区与外部其他地区之间的个人信息保护管理工作,还要以我国现行个人信息保护相关法律法规为依据。
风险提示:文章涉及的观点和判断仅代表投稿人的看法,基于市场环境的不确定性和多变性,所涉观点和判断后续可能发生调整或变化。本文仅用于沟通交流之目的,不构成任何投资建议。投资有风险,入市须谨慎。
