星垂平野阔，月涌大江流：“二十条”指引下的中国网络与数据立法

作者：李瑞 贾申 李梦涵 徐晨

我们结合对于立法动态的研究、观察及项目经验，基于《二十条》中的规定，回顾2022年度网络安全与数据合规领域的立法动态，并展望新的一年乃至未来数年中值得关注的重要议题。

///

导读

2022年的节奏或被频频打乱，但未曾停止过步伐。2022年，网络安全与数据合规领域延续了跨越式发展的态势，我们见证了数据出境安全评估机制正式落地，网络安全审查制度持续深化，个人信息保护执法形成常态化，智能网联、金融等行业监管逐步加强，以及网络安全与数据保护司法诉讼机制进一步激活等里程碑事件。更为重要的是，随着《关于构建数据基础制度更好发挥数据要素作用的意见》（“《二十条》”）这一重要顶层纲领性文件的发布，一个涵盖更多数据产业链与更广泛数字经济参与者的基础制度初见雏形，数据要素治理框架不断深化拓宽。

在稳步推进产业数字化转型、建设数字政府等关键目标与愿景下，《二十条》展示了我国发展数字经济和数字治理的宏大蓝图：以国家安全与个人隐私保护为红线，将促进数据合规高效流通、赋能实体经济并充分实现数据要素价值为主线，从不同数据类型的产权及产权结构性分置、数据要素流通与交易、收益分配与再分配、数据要素治理四大环节，明确数据作为生产要素的各个流程的基础管理架构与原则。如果说此前数据治理仍处在于保障安全、保护主体权益、防范风险的被动和单线形态，那么目前已开始稳步向建立健全数据生态、赋能数字经济发展的主动和网状形态推进，企业、数据经纪、数据交易所等诸多机构将形成复杂和综合的生态，新生态下，发展机遇与合规挑战并存。

时值新年，借此辞旧迎新的时机，我们结合对于立法动态的研究、观察及项目经验，基于《二十条》中的规定，回顾2022年度网络安全与数据合规领域的立法动态，并展望新的一年乃至未来数年中值得关注的重要议题。星垂平野阔，月涌大江流，我们更期待着在《二十条》设计的框架下，中国网络安全与数据合规领域的监管活力进一步释放，而更加坚实完善的顶层制度与监管架构能够赋能更多的企业，为数字经济提供更为强健的引擎。

一、2022年度立法观察：统筹发展与安全

2022年12月19日，中共中央 国务院印发《二十条》。《二十条》强化顶层设计，提出构建数据基础制度体系的宏大愿景，从数据产权、流通交易、收益分配、安全治理四方面初步搭建我国数据基础制度体系，提出20条政策举措，旨在促进数据合规高效流通使用、充分实现数据要素价值。

图1：《二十条》构建数据基础制度体系

由《二十条》构建数据基础制度体系的视角来看，2022年度的立法充分体现了“统筹发展与安全”这一重要主题。在此，我们摘取部分立法观察如下：

（1）强化网络/数据安全立法，优化制度衔接

《二十条》明确提出，构建数据基础制度，要统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线。

根据我们的统计，2022年度，在数据合规的三大细分领域网络安全、数据安全和个人信息保护中，数据安全相关的立法占比达到近60%，“安全”成为年度立法的最重要主题。

图2：2022年度数据合规细分领域立法统计图

在以网络安全和数据安全为主题的各项立法中，立法机关尤其注重将新提出的网络安全和数据安全监管机制与其他法规相衔接，以更好地加强立法的系统性，并确保网络及数据安全相关立法的可落地性，具体代表性举措如下：

• 2022年9月14日，国家网信办发布《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》，修改主要聚焦于网络安全保护的法律责任，与《行政处罚法》《数据安全法》《个人信息保护法》等相关法律中的罚则相配套。

  
  

• 2022年2月15日，包括国家网信办在内的十三部委联合发布的《网络安全审查办法》正式生效，新修订的《网络安全审查办法》沿袭了《数据安全法》中的规定，将数据安全审查的要求与网络安全审查的流程和要求相互衔接。

  
  

• 2022年7月7日，国家网信办发布《数据出境安全评估办法》。该规定与三法中对个人信息及其他数据出境的要求相衔接，落实了在数据出境场景下的安全评估要求。

  
  

• 2022年12月08日，工业和信息化部发布《工业和信息化领域数据安全管理办法（试行）》，在工业和信息化领域细化了对数据处理者的安全管理要求。

（2）完善数据出境监管制度，监管框架稳步落地

数据跨境流通机制，是数据基础制度体系的又一重要主题。《二十条》明确，构建数据安全合规有序跨境流通机制，对影响或者可能影响国家安全的数据处理、数据跨境传输、外资并购等活动依法依规进行国家安全审查。

2022年，我国数据出境相关的实施细则更加明确，制度框架已初步搭建成形。简单而言，我们将其归纳为数据出境的“1+2”机制，即1项数据出境安全评估流程，外加2项未触发数据出境安全评估时可二选一的合规工具：个人信息出境标准合同或个人信息跨境处理活动安全认证。

图3：我国数据出境的“1+2”机制

• 2022年7月7日，国家网信办发布《数据出境安全评估办法》，明确了数据出境安全评估制度的各项规范。

  
  

• 2022年6月30日，国家网信办发布《个人信息出境标准合同规定（征求意见稿）》。该规定首度提供了《个人信息保护法》规定的个人信息出境标准合同的具体内容。

  
  

• 2022年，全国信息安全标准化技术委员会（“全国信安标委”）连续发布了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的两版征求意见稿和两版正式稿，并于12月16日发布了V2.0版本的正式稿。该规范明确了《个人信息保护法》中对于个人信息跨境处理活动的认证流程和认证要求。

（3）统筹数据安全与开发利用，算法监管不断深入

《二十条》明确，“要加大个人信息保护力度，推动重点行业建立完善长效保护机制，强化企业主体责任”；“在保障安全前提下，推动数据处理者依法依规对原始数据进行开发利用，支持数据处理者依法依规行使数据应用相关权利”。

在互联网信息服务领域，运用算法对数据进行开发利用是十分普遍的。2022年，立法部门聚焦互联网平台及互联网信息服务，以互联网信息服务为代表的个人信息保护领域的监管不断深入；针对算法推荐服务提供者的备案制度正式落地，算法领域的监管体系不断完善。

• 2022年3月1日，国家网信办等四部委联合发布的《互联网信息服务算法推荐管理规定》正式生效，开启了算法领域的备案制度；2022年11月25日，国家网信办发布《互联网信息服务深度合成管理规定》，将于2023年1月10日起正式施行，其中明确了深度合成数据和相关技术管理的监管规范与法律责任；此外，《互联网弹窗信息推送服务管理规定》自2022年9月30日起正式实施，修订后的《互联网跟帖评论服务管理规定》自2022年12月15日起实施。

  
  

• 目前，国家网信办已公开发布了两批共100条算法备案信息。从目前的算法备案实践来看，个性化推送类和检索过滤类算法的关注度最高（见图4）。

图4：备案算法类型统计

（4）行业维度立法不断深入，聚焦四大重点行业

与《二十条》确立的原则相一致，2022年度，各个行业的数据合规立法以“完善治理体系、保障安全发展”为原则，不断深入立法。根据我们的统计，互联网、金融、汽车、医疗是行业立法最为活跃的四个行业。

• 2022年，在汽车行业，相关部门出台了《关于促进智能网联汽车发展维护测绘地理信息安全的通知》《关于开展智能网联汽车准入和上路通行试点工作的通知（征求意见稿）》等一批部门规范性文件，以及《信息安全技术 汽车数据处理安全要求》《信息安全技术 网络预约汽车服务数据安全要求》等一批国家标准，为汽车行业的数据安全保护监管提供了更清晰的指引。

  
  

• 金融行业的立法聚焦于个人征信信息保护、消费者个人金融信息保护、金融监管数据及统计数据保护，出台了《证券期货业数据安全管理与保护指引》《信息安全技术 网络支付服务数据安全要求》等一批国家标准和行业标准，后续我们将单独就2022年度金融数据监管领域的动态进行分析盘点。

图5：2022年重点行业数据合规监管立法统计图

（5）数据合规相关认证机制不断完善

《二十条》提出，要建立实施数据安全管理认证制度，引导企业通过认证提升数据安全管理水平。2022年度，相关部门稳步推进数据合规认证机制的相关立法：

• 2022年11月04日，国家网信办和市场监管总局发布了《个人信息保护认证实施规则》，规定了对个人信息处理者开展个人信息收集、存储、使用、加工、传输、提供、公开、删除以及跨境等处理活动进行认证的基本原则和要求。

  
  

• 《个人信息保护认证实施规则》中包含了个人信息跨境传输的认证机制，但这一类型的个人信息处理者，还应同时符合上文所述的全国信安标委于2022年发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的要求。

（6）多元化的立法体系逐渐成形

《二十条》指出，要稳步推进制度建设，围绕构建数据基础制度，逐步完善数据产权界定、数据流通和交易、数据要素收益分配、公共数据授权使用、数据交易场所建设、数据治理等主要领域关键环节的政策及标准。政策及标准的制定，是近年来我国的重要立法趋势：2021年，中共中央 国务院印发《国家标准化发展纲要》，2022年7月，市场监管总局、国家网信办等十六部委联合印发《贯彻实施<国家标准化发展纲要>行动计划》，要求加强标准化工作，推动高质量发展的国家标准体系建设。

在此背景下，2022年度，监管部门加快制定了一批法律和行政法规之外的补充性立法文件，包括部门规范性文件、地方性法规、国家标准、行业标准和团体标准，构成了网络安全与数据合规立法体系的重要部分。其中，占据数量最为庞大的是国家市场监督管理总局和国家标准化管理委员会制定的各类国家标准，数量近40个；部门规范性文件、地方性法规、团体标准等也达到了数十个。

预计今后一段时间内，补充性立法仍将持续推进。尽管部分补充性立法文件不具备强制力，但仍是行业发展与监管中的重要参考性文件，企业应当予以重视。

图6：2022年度不同层级立法统计

二、立法展望：持续激发数据基础制度活力

（1）近期展望

依据《二十条》的设计，强化数据安全治理、加强数据分类分级管理、构建数据跨境流通机制、建立数据交易制度均是建设数据基础制度体系的重要方面。

针对这些领域，国家网信办自2021年以来已制定了部分法规的征求意见稿，有望在2023年持续推进。此外，根据全国信安标委于2022年10月30日发布的《2022年网络安全国家标准立项项目清单》，上述领域的一系列重要国家标准也将出台或进行修订。我们摘取部分有代表性的可能即将出台或进行修订的法规和文件如下：

点击可查看大图

（2）远期展望

根据《二十条》的设计，我国将持续构建数据基础制度体系，激发数据要素活力，为企业赋能。我们据此梳理了对国家远期立法趋势的展望如下：

• 建立数据产权制度，在国家数据分类分级保护制度下，推进公共数据、企业数据、个人数据的分类分级确权授权制度和市场化流通交易；

  
  

• 完善数据流通规则，构建数据交易制度，构建数据交易场所，规范场外交易、培育场内交易；

  
  

• 创新政府数据治理，制定数据流通和交易负面清单，明确不能交易或严格限制交易的数据项；

  
  

• 我国还将积极参与数据跨境流动国际规则制定，探索加入区域性国际数据跨境流动制度安排和国际合作的新途径、新模式，未来，促进数据跨境交流也将成为重要趋势。

三、企业合规建议

综上所述，依据《二十条》的制度设计，我们建议企业应当站在数据基础制度全面建设、数字经济全面发展的高度理解我国立法机关的立法意图、立法计划和立法步骤。不同类型的企业应根据自身所处行业和业务发展阶段来深刻理解自身的关注重点：部分企业的首要任务是保证安全，防范风险；部分企业则可结合数字经济高速发展的态势，加强对数字资产的利用，结合自身业务发展和需求找到合适的切入点，投身我国的数字经济发展浪潮。

无论如何，所有企业都应密切关注数据合规领域的立法动态，积极拥抱数据合规时代的发展浪潮，投入建设数字化经济转型的未来。

 作者简介

李瑞  律师

北京办公室  合伙人

业务领域：跨境投资并购, 反垄断和竞争法, 网络安全和数据保护

特色行业类别：文化娱乐产业, 通讯与技术

贾申

北京办公室  顾问

业务领域：反垄断和竞争法, 贸易合规和救济, 诉讼仲裁

李梦涵  律师

北京办公室  合规与政府监管部

徐晨

北京办公室  合规与政府监管部

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。