数字经济行业政治法律环境

• 袁静美 2023年4月19日 来源：中研网 687 40
• 繁体

行业主要法律法规

《网络安全法》

随着互联网的高速发展，我国早以步入了网络时代，相对于传统社会而言，网络世界相对自由，容易发生泄密，从而导致国家利益受损。为了维护网络空间安全，规范互联网的使用，我国推出了网络安全法。

1、《网络安全法》树立了网络安全法的基本准则。

第一、网络空间主权准则。《网络安全法》第1条“立法意图”开宗明义，清晰规则要维护我国网络空间主权。网络空间主权是一国国家主权在网络空间中的天然延伸和表现。习近平总书记指出，《联合国宪章》树立的主权对等准则是今世世界关系的基本准则，掩盖国与国交往各个范畴，其准则和精力也应该适用于网络空间。各国自主选择网络开展道路、网络办理模式、互联网公共方针平和等参加世界网络空间办理的权力应当得到尊重。第2条清晰规则《网络安全法》适用于我国境内网络以及网络安全的监督办理。这是我国网络空间主权对内最高管辖权的详细表现。

第二、网络安全与信息化开展偏重准则。习近平总书记指出，安满是开展的条件，开展是安全的保证，安全和开展要同步推进。网络安全和信息化是一体之两翼、驱动之双轮，必须一致策划、一致布置、一致推进、一致施行。《网络安全法》第3条清晰规则，国家坚持网络安全与信息化偏重，遵从活跃利用、科学开展、依法办理、保证安全的方针;既要推进网络基础设备建造，鼓舞网络技能创新和使用，又要树立健全网络安全保证系统，提高网络安全维护能力，做到“双轮驱动、两翼齐飞”。

第三、一起办理准则。网络空间安全只是依托政府是无法完成的，需求政府、企业、社会安排、技能社群和公民等网络利益相关者的一起参加。《网络安全法》坚持一起办理准则，要求采取办法鼓舞全社会一起参加，政府部分、网络建造者、网络运营者、网络服务供给者、网络职业相关安排、高等院校、职业学校、社会公众等都应依据各自的人物参加网络安全办理作业。

2、《网络安全法》提出拟定网络安全战略，清晰网络空间办理方针，提高了我国网络安全方针的通明度

《网络安全法》第4条清晰提出了我国网络安全战略的主要内容，即：清晰保证网络安全的基本要求和主要方针，提出要点范畴的网络安全方针、作业任务和办法。第7条清晰规则，我国致力于“推进构建平和、安全、敞开、协作的网络空间，树立多边、民主、通明的网络办理系统。”这是我国榜首次通过国家法令的方式向世界宣示网络空间办理方针，清晰表达了我国的网络空间办理诉求。上述规则提高了我国网络办理公共方针的通明度，与我国的网络大国位置相称，有利于提升我国对网络空间的世界话语权和规矩拟定权，促进网络空间世界规矩的出台。

3、《网络安全法》进一步清晰了政府各部分的职责权限，完善了网络安全监管系统

《网络安全法》将现行有用的网络安全监管系统法制化，清晰了网信部分与其他相关网络监管部分的职责分工。第8条规则，国家网信部分担任统筹和谐网络安全作业和相关监督办理作业，国务院电信主管部分、公安部分和其他有关机关依法在各自职责范围内担任网络安全维护和监督办理作业。这种“1X”的监管系统，契合当时互联网与实际社会全面交融的特色和我国监管需求。

4、《网络安全法》强化了网络运转安全，要点维护要害信息基础设备

《网络安全法》第三章用了近三分之一的篇幅规范网络运转安全，特别着重要保证要害信息基础设备的运转安全。要害信息基础设备是指那些一旦遭到损坏、丧失功用或许数据走漏，可能严重危害国家安全、国计民生、公共利益的系统和设备。网络运转安满是网络安全的重心，要害信息基础设备安全则是重中之重，与国家安全和社会公共利益休戚相关。为此，《网络安全法》着重在网络安全等级维护制度的基础上，对要害信息基础设备施行要点维护，清晰要害信息基础设备的运营者负有更多的安全维护职责，并配以国家安全检查、重要数据强制本地存储等法令办法，保证要害信息基础设备的运转安全。

5、《网络安全法》完善了网络安全职责和职责，加大了违法惩办力

《网络安全法》将本来散见于各种法规、规章中的规则上升到人大法令层面，对网络运营者等主体的法令职责和职责做了全面规则，包括遵法职责，恪守社会公德、商业道德职责，诚实信用职责，网络安全维护职责，承受监督职责，承担社会职责等，并在“网络运转安全”、“网络信息安全”、“监测预警与应急处置”等章节中进一步清晰、细化。在“法令职责”中则提高了违法行为的处分标准，加大了处分力度，有利于保证《网络安全法》的施行。

6、《网络安全法》将监测预警与应急处置办法制度化、法制化

《网络安全法》第五章将监测预警与应急处置作业制度化、法制化，清晰国家树立网络安全监测预警和信息通报制度，树立网络安全危险评价和应急作业机制，拟定网络安全事情应急预案并定时演练。这为树立一致高效的网络安全危险陈述机制、情报同享机制、研判处置机制供给了法令依据，为深化网络安全防护系统，完成全天候全方位感知网络安全态势供给了法令保证。

中华人民共和国网络安全法出台意义

(1)服务于国家网络安全战略和网络强国建设

《网络安全法》中明确提出了有关国家网络空间安全战略和重要领域安全规划等问题的法律要求，这有助于实现推进中国在国家网络安全领域明晰战略意图，确立清晰目标，厘清行为准则，不仅能够提升我国保障自身网络安全的能力，还有助于推进与其他国家和行为体就网络安全问题展开有效的战略博弈。

(2)构建我国首部网络空间管辖基本法

作为国家实施网络空间管辖的第一部法律，《网络安全法》属于国家基本法律，是网络安全法制体系的重要基础。这部基本法规范了网络空间多元主体的责任义务，以法律的形式催生一个维护国家主权、安全和发展利益的“命运共同体”。具体包括，规定网络信息安全法的总体目标和基本原则;规范网络社会中不同主体所享有的权利义务及其地位;建立网站身份认证制度，实施后台实名;建立网络信息保密制度，保护网络主体的隐私权;建立行政机关对网络信息安全的监管程序和制度，规定对网络信息安全犯罪的惩治和打击;以及规定具体的诉讼救济程序等等。

(3)提供维护国家网络主权的法律依据

2016年7月推出的《国家安全法》首次以法律的形式明确提出“维护国家网络空间主权”。随之应运而生的《网络安全法》是《国家安全法》在网络安全领域的体现和延伸，为我国维护网络主权、国家安全提供了最主要的法律依据。

(4)服务于国家网络安全战略和网络强国建设

现如今，网络空间逐步成为世界主要国家展开竞争和战略博弈的新领域。网络信息是建设网络强国的必争之地，网络强国宏伟目标的实现离不开坚实有效的制度保障，《网络安全法》的出台意味着建设网络强国的制度保障迈出坚实的一步。

(5)在网络空间领域贯彻落实依法治国精神

此次《网络安全法》破除重重障碍，拨云见日，高举依法治国大旗，开启了依法治网的崭新局面，成为依法治国顶层设计下一项共建共享的路径实践。依法治网成为我国网络空间治理的主线和引领，以法治谋求网治的长治久安。《网络安全法》还考虑到网络的开放性和互联性，加强法治工作的国际合作协调，让人类共同面临的网络犯罪无处遁形，通过科学有效、详细的法律进行惩罚和约束，达到正本清源的目的。

《信息安全技术个人信息安全规范(草案)》

2019年2月1日，全国信息安全标准化技术委员会(以下简称“信安标委”)发布了《信息安全技术个人信息安全规范(草案)》。

1、区分基本业务功能和扩展业务功能，保障个人信息主体选择同意权

《网络安全法》实施后，为了符合个人信息收集、使用的“明示”+“同意”的原则性要求(第四十一条、第四十二条)，一些APP在首次安装时，往往将所有服务和业务功能捆绑在一起，通过用户对隐私政策的接受来获得“一揽子授权”，强迫用户一次性授权同意各项业务功能所收集的多种个人信息。用户若想使用其基本功能，必须全盘接受所有个人信息的收集和使用，否则只能退出软件，用户自身的选择同意权并未得到充分的体现。

规范提出产品和服务提供者应当区分产品的基本业务功能和扩展业务功能，明确过度收集、强迫收集、捆绑授权个人信息等乱象不符合法律和监管要求。规范增加了“附录C保障个人信息主体选择同意权的方法”，明确了不同业务功能应用场景下不同的告知和明示统一的方法，并例举了交互式界面的设计模板。

规范要求产品和服务提供者应当根据个人信息主体选择、使用所提供产品或服务的根本期待和最主要的需求，来划定产品或服务的基本业务功能，而不应将改善服务质量、提升用户体验、研发新产品单独作为基本业务功能。当产品或服务提供多项需收集个人信息的业务功能时，个人信息控制者不得违背个人信息主体的自主意愿，强迫个人信息主体接受产品或服务所提供的业务功能及相应的个人信息收集请求。

产品和服务提供者收集基本业务功能所必要的个人信息时，除告知用户所必要收集的个人信息类型外，还应当告知用户拒绝提供授权所产生的影响，即企业可拒绝向用户提供该业务功能。而对于扩展业务功能所需的个人信息，产品和服务提供者应当允许个人信息主体对扩展业务功能逐项选择同意，如个人信息主体不同意收集扩展业务功能收集所必要的个人信息，不得拒绝提供基本业务功能或降低基本业务功能的服务质量。

2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称“公告”)，决定自2019年1月起至12月，在全国范围组织开展持续时间长达一年的App违法违规收集使用个人信息专项治理行动，旨在解决目前App强制授权、过度授权、超范围收集个人信息等突出问题。其中公告指出，本次专项治理行动将由全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会，组织相关专业机构，编制大众化应用基本业务功能及必要信息规范、App违法违规收集使用个人信息治理评估要点，作为本次评估工作的主要依据。

而本次规范修订正与上述四部门联合开展个人信息专项治理的工作要求相一致，为公众提供了区分基本业务功能和扩展业务功能的判断标准及方式，为企业自查及合规整改提供了良好指引。

2、明确平台商对于接入的第三方产品或服务收集个人信息的管理义务

2018年5月正式实施的《个人信息安全规范》对“委托处理”、“共同个人信息控制”两类场景的合规操作进行了规定。目前，应用程序中接入/嵌入第三方产品或服务的应用场景十分常见，一旦发生合规漏洞，平台商和第三方往往无法明确双方的责任和义务，而数据主体往往很难去追究第三方产品或服务提供商的责任。为顺应新技术、新产品形态的发展，本次规范结合了行业良好实践及主管部门的监管态度，提出平台商作为个人信息控制者应当履行一定的合规义务，具体如下：

应建立第三方产品或服务接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件;

应与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;

应妥善留存平台第三方接入有关合同和管理记录，确保可供相关方查阅;

应要求第三方根据本标准相关规定要求向个人信息主体征得收集个人信息的授权同意，核验其实现本项要求的方式;

应要求第三方产品或服务建立响应个人信息主体请求、申诉等的机制，并妥善留存、及时更新，确保个人信息主体查询、使用;

应督促和监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入;

涉及第三方嵌入或接入的自动化工具(如代码、脚本、接口、算法模型、软件开发工具包、小程序等)的，宜开展技术检测确保其个人信息收集、使用行为符合约定要求，并对第三方嵌入或接入的自动化工具收集个人信息的行为进行审计，发现超出约定行为的及时切断接入。

对于此类第三方产品或服务嵌入的问题，平台商应尽更为严格的合规义务。建议产品和服务提供商完善相应的管理机制和工作流程，明确双方在个人信息保护合规问题上的责任和义务。

3、新增个性化展示及退出机制

针对目前较为常见的基于用户画像作定向推送、个性化展示等个人信息应用场景，规范首次阐释了“个性化展示”的定义，并细化了相应的操作规则。“个性化展示”是基于特定个人信息主体(用户)的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。

对于“个性化展示”的操作规则，规范划分为“向个人信息主体推送新闻或信息服务的个性化展示”，“数据经济经营者提供商品或者服务搜索结果的个性化展示”以及普遍意义上“向个人信息主体提供业务功能的过程中使用个性化展示”三大应用场景。其中，针对数据经济场景下的个性化展示，规范与2019年1月1日正式实施的《数据经济法》的立法原则保持一致，即“数据经济经营者根据消费者的兴趣爱好、消费习惯等特征向其提供商品或者服务搜索结果的，应当同时向该消费者提供不针对其个人特征的选项，尊重和平等保护消费者合法权益”(《数据经济法》第十八条)。

同时，对于产品推送新闻或提供信息服务的应用，规范要求个人信息控制者应当以显着方式标明“个性化展示”或“定推”等字样向用户明示，并为个人信息主体提供简单直观的退出个性化展示模式的选项。此举一定程度上保证了个人信息主体对于定向推送的自主选择，避免形成信息孤岛。同时，对于普遍意义上的个性化推送，规范还建议个人信息控制者宜建立机制保证个人信息主体可以删除或匿名化处理个性化展示活动所依赖的个人信息。这就从定向推送的深层基础规范了产品或服务提供者对用户画像的控制界限，提出了用户可以拒绝产品或服务提供者收集其个人信息进行特定的画像处理的良好实践模式。

4、细化个人信息安全事件报告制度

《网络安全法》要求网络运营者“在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”(第四十二条)。《国家网络安全事件应急预案》也对特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件四个等级的网络安全事件应对措施进行了详细规定。

但实践操作中，一旦发生个人信息泄露等安全事件，企业往往无法判断告知个人信息主体及上报监管部门的界限。本次修订试图弥补相应细则的缺失，提出了判断“告知”及“上报”的依据，即通过确认个人信息泄露的程度、对个人信息主体所造成的影响，涉及的个人信息数量(超过100万人的个人信息)和影响范围(关系国计民生、公共利益的)等几个因素来判断。对于像基因、生物特征信息、疾病等个人敏感信息的泄露、毁损、丢失的安全事件，应当向个人信息主体逐一告知，并依照规范的要求向网信部门报告。

5、进一步细化个人信息控制者的组织管理要求

组织措施是数据合规的重要方面。本次修订明确了个人信息控制者应当任命个人信息保护负责人，个人信息保护负责人应由具有相关管理工作经历和个人信息保护专业知识的人员担任，参与有关个人信息处理活动的重要决策直接向组织主要负责人报告工作，同时要求企业应为个人信息保护负责人和个人信息保护工作机构提供必要的资源，保障其独立履行职责。规范对个人信息保护负责人和个人信息保护工作机构应履行的职责也作了详细规定。

于此同时，规范提倡个人信息控制者建立、维护和更新所收集、使用的个人信息处理活动记录，将所涉及个人信息类别、数量、来源、处理目的、使用场景，以及委托处理、共享、转让、公开披露、是否涉及出境、各环节相关的信息系统、组织或人员等情况形成系统的活动记录，不仅对于企业内部合规整改工作提供参考，更是为企业一旦发生个人信息泄露等安全事件时的责任分担提供有效依据。此要求与GDPR中的数据处理活动的记录要求也是一致的。

基于此案所暴露出的房地产中介行业存在的普遍问题，朝阳法院对北京市住房和建设委员会出具了司法建议书，建议完善房地产中介行业管理制度，并提出房地产中介机构应当建立健全公民个人信息安全管理制度和从业人员信息操作规范，设立信息传输时的加密处理机制。规范履行合同过程中对公民个人信息的保护，明确信息保管的责任人等。

由此可见，产品或服务提供者建立健全内部数据合规体系，尤其是健全个人信息内部操作规范，提高自身的合规审慎义务，已经成为企业必不可少的合规重点。规范在此现实意义下，提倡企业建立、维护和更新所收集、使用的个人信息处理活动记录，并明确了活动记录的具体内容，为企业合规提供了更为详细的指引。

6、个人信息的汇聚融合

所谓个人信息的汇聚融合，对于数据控制者而言，就是把不同产品线、不同来源或基于不同目的所收集的数据聚集在一起，形成“大”数据，以增强企业的数据能力，或者是更好地了解和服务客户。目前在业界“企业平台化”和“市场精准化”的趋势下，数据汇聚融合行为已经非常普遍，也是不可逆转的技术方向。但是，数据的汇聚融合，很有可能侵犯数据主体的合法权益，比如超范围使用、非授权目的的使用等。基于此，规范并没有“封杀”数据汇聚融合，而是提出了具体的要求：

非获得授权业务的必要，一般应采用间接画像;

数据加工处理后，如仍具备个人识别(单独或结合)能力，则还应作为个人信息对待，受授权范围的约束;

如数据的汇聚融合的使用行为超出了已获得授权的范围，则应当重新获得授权;

应根据汇聚融合后个人信息所用于的目的，开展个人信息安全影响评估(PIA)。

7、意外地删除无需征得授权同意之“履行合同必要”的情形

规范针对原有个人信息控制者收集、使用个人信息无需征得个人信息主体的授权同意的例外情形作了两处修改：在部分，一是将“法律法规规定的其他情形”修改为“与个人信息控制者履行法律法规规定的义务相关的”;二是删除了履行合同必要之例外，即“根据个人信息主体要求签订和履行合同所必需的情形”。

对于第一处的修订，我们认为个人信息控制者收集、使用个人信息，将其“征得授权同意的例外”的条件界定为与个人信息控制者履行其法律义务相关而不论其它场景，是合适的，也可以避免该例外的滥用。

对于第二处删除“征得授权同意的例外”之“履行合同必要”，我们认为该修订可能会带来不必要的社会成本。一般情况下，可以认为合同的各方基于履行合同义务而向合同相对方提供签约和履约所必要的个人信息，这是善意履约的表现。于此同时，提供个人信息的一方一般也具有相应的心理预期。在GDPR中也有基于“履行合同必要”而无需另行征得个人信息主体的授权同意的类似规定。尽管有专家质疑此类例外规定与《网络安全法》所确定的“授权同意”规则相冲突，但我们理解所谓的“授权同意”规则，应当既包括书面合同的授权同意，也包括通过实际行为作出的授权同意，签约、履约即是如此，因此它们之间并没有实质性冲突。

同时，我们也担心“履行合同必要”作为“征得授权同意的例外”可能会导致一系列滥用问题，尤其是对于C端消费者面对大平台的情形。对此，我们建议对该例外的适用增加一个条件限定，即：“根据个人信息主体要求签订和履行合同所必需的，且该个人信息的收集和使用符合一般个人信息主体的理解和预期。”如此，既可以消除滥用之担忧，又便利于商业交易。

欲了解更多行业的未来发展前景，可以点击查看中研普华产业院研究报告《2023-2028年中国数字经济行业发展前景及投资战略分析报告》。

• 相关深度报告REPORTS

  

  2023-2028年中国数字经济行业竞争分析与投资潜力预测报告

  数字经济，作为一个内涵比较宽泛的概念，凡是直接或间接利用数据来引导资源发挥作用，推动生产力发展的经济形态都可以纳入其范畴。在技术层面，包括大数据、云计算、物联网、区块链、人工智能、...

  查看详情

延伸阅读

推荐阅读

猜您喜欢