互联网法律白皮书(2023年).docx
一、我国网络空间法治化迈向新阶段1二、2023年我国互联网立法情况5(一)网络设施安全持续强化,重点行业领域完善安全细则6(二)数据安全与价值释放并重,数据法律规则体系全面构建8(三)互联网平台责任逐步规范,平台发展法治环境日益优化11(四)数字技术规则加速推进,新技术新应用发展逐步规范13三、2023年国际互联网立法情况15(一)网络安全仍为立法重点,网络设施安全与发展齐驱16(二)数据相关立法加快推进,数据资源博弈更为激烈18(三)互联网平台立法不断完善,信息内容管理重点突出22(四)数字技术立法显著增多,风险防范与创新发展并进25四、互联网立法展望29(一)健全数字经济发展制度,立改并举补齐法制短板30(二)细化平台管理法律规则,分类分级实现精准施策32(三)应对数字技术快速发展,加快人工智能立法进程33(四)提前布局前沿制度研究,探索数据基础法律规则35附录:2023年互联网立法梳理37一、我国网络空间法治化迈向新阶段党的十八大以来,我国社会主义法治国家建设深入推进,全面依法治国总体格局基本形成,中国特色社会主义法治体系加快建设。在习近平新时代中国特色社会主义思想指引下,我国将依法治网作为全面依法治国和网络强国建设的重要内容,网络综合治理体系基本建成,网络安全保障体系和能力持续提升,网信领域科技自立自强步伐加快,网络空间法治化程度不断提高。我国坚实推进科学立法、民主立法、依法立法,大力推进互联网法律制度建设,互联网立法的系统性、整体性、协同性、时效性不断增强。2023年3月,国务院新闻办公室发布新时代的中国网络法治建设白皮书,全面介绍了中国网络法治建设情况,分享中国网络法治建设的经验做法。目前,我国在网络设施安全防护、数据安全和数据价值释放、互联网平台规范、数字技术规范发展等方面不断出台和完善相关立法,为网络强国建设提供了坚实的制度保障。我国互联网法治建设取得历史性成就,基本形成了具有中国特色的互联网法律体系。以网络设施安全防护为核心划定网络安全法律红线。网络设施是引领和支撑先进生产力的基础,网络设施安全特别是关键信息基础设施的安全关乎国家安全、国计民生和公共利益,是网络安全工作的重中之重。2016年我国出台中华人民共和国网络安全法,作为我国网络安全领域的首部基础性、框架性、综合性法律,网络安全法确立了网络安全等级保护、关键信息基础设施安全保护、网络信息安全等制度,奠定了我国网络安全基本制度框架。在此基础上,2021年我国出台关键信息基础设施安全保护条例网络安全审查办法网络产品安全漏洞管理规定等相关立法,强化对关键信息基础设施的安全防护,并细化网络安全法律规则。此外,2019年我国出台中华人民共和国密码法,明确了核心密码、普通密码及商用密码的管理要求,为提升密码管理科学化、规范化、法治化水平,保障网络和信息安全提供了重要制度支撑。以数据安全保障为基础构建数据领域法律规则。数据是国家基础性战略资源,是数字经济时代新型生产要素。完善数据相关法律规则,需把握好和平衡好数据安全与数据技术产业创新发展的关系,同时强化保护相关主体数据权益。为在数据领域落实总体国家安全观,2021年我国出台中华人民共和国数据安全法,确立数据分类分级管理、数据安全审查、数据安全风险评估、监测预警和应急处置等基本制度,并明确鼓励数据开发利用,建立健全数据交易管理制度,推进政务数据开放等发展要求,以安全保发展、以发展促安全。为规范和加强个人信息保护,2021年我国出台中华人民共和国个人信息保护法,明确个人信息保护原则、个人信息处理基本规则以及个人在个人信息处理活动中享有的权利,健全个人信息保护工作机制,全面我国提升个人信息保护力度和水平。2019年我国出台儿童个人信息网络保护规定,强化对儿童个人信息权益的保护。针对全球关注的数据跨境流动问题,2022年我国出台数据出境安全评估办法,明确了数据出境安全评估的具体流程和要求,为数据出境提供了具体指引。以互联网平台责任为依托全方位规范数字经济市场秩序。平台经济在经济社会发展全局中地位和作用日益凸显的同时,也带来了平台企业垄断、侵犯用户个人信息等问题。为全面压实互联网平台主体责任,我国从信息内容管理、消费者权益保护、市场竞争秩序等多角度完善相关立法。我国2011年修订的互联网信息服务管理办法、2016年出台的中华人民共和国网络安全法以及2019年出台的网络信息内容生态治理规定等立法进一步明确了网络信息内容传播要求和相关主体法律责任。2018年我国出台中华人民共和国电子商务法,针对电子商务平台经营者明确了平等对待平台内经营者、信息安全、交易安全、消费者权益保护等法律义务。在此基础上,相关行业主管部门针对网络交易、网约车、在线旅游等平台经济出台规章,规范互联网平台在各行业领域的主体责任。2019年、2022年我国修订中华人民共和国反不正当竞争法中华人民共和国反垄断法,明确经营者不得利用数据和算法、技术等优势扰乱市场公平竞争秩序、排除或限制竞争。以数字技术管理为抓手防范新技术新应用安全风险。数字技术是数字产业高质量发展的加速器,也是做强做优做大数字经济的核心力量。为实现数字技术规范发展,解决数字技术研发应用中存在的风险,我国针对新技术新应用加快构建相关法律制度。针对利用电信网络技术实施诈骗的案件多发情形,2022年我国出台中华人民共和国反电信网络诈骗法,从电信、金融、互联网等多层面明确打击和预防电信网络诈骗的具体要求。针对新技术新应用可能存在的传播违法信息内容、侵犯消费者权益等风险,我国出台区块链信息服务管理规定(2019年)、互联网信息服务算法推荐管理规定(2021年)、互联网信息服务深度合成管理规定(2022年)等相关立法,明确区块链信息服务提供者、算法推荐服务提供者、深度合成服务提供者和技术支持者等相关主体在信息内容管理、用户权益保护、数据安全等方面的法律义务,筑牢数字技术应用安全屏障。以立法规划布局牵引互联网法治建设在保安全的基础上向促发展迈进。2018年,十三届全国人大常委会将电子商务法、密码法、个人信息保护法、数据安全法、反垄断法(修订)等互联网相关立法列入立法规划。五年来,我国加快推进互联网立法进程,基本完成了立法机关对于互联网立法工作的规划布局,在网络安全、数据安全、个人信息保护、互联网平台责任等方面明确管理要求,为构建网络综合治理体系提供了法治保障。我国运用法治观念、法治思维和法治手段有效应对互联网发展中的深层次问题,为我国从网络大国向网络强国迈进提供了坚实的制度保障,进一步丰富完善了中国特色治网之道,形成了丰富的理论成果、实践成果、制度成果。随着我国进入疫情后的经济恢复期,中央经济工作会议提出要大力发展数字经济,提升常态化监管水平。更好统筹发展和安全,全面深化改革开放,大力提振市场信心。习近平总书记明确指出,要不断做强做优做大我国数字经济。对此,我国立法机关已经迅速开展相关立法规划工作,推动实现互联网由“管”到“治”的根本转变。2023年9月发布的十四届全国人大常委会立法规划,将反不正当竞争法(修改)、网络安全法(修改)列入第一类项目“条件比较成熟、任期内拟提请审议的法律草案”,将电信法、数字经济促进法、网络犯罪防治法列入第二类项目“需要抓紧工作、条件成熟时提请审议的法律草案”,并提出就数据权属、网络治理等方面项目进行研究论证。基于此,今年,我国互联网法治建设继续顺应全球信息化发展大势,立足我国互联网发展实践,不断深化对依法治网的规律性认识,在保安全的基础上向促发展迈进,查漏补缺、完善制度、细化规则。二、2023年我国互联网立法情况2023年,我国互联网法治工作取得显著成效,互联网法律体系日趋健全完善。在筑牢国家网络安全、数据安全屏障,规范网络信息内容管理的基础上,我国重点突出互联网立法稳预期、利长远的作用,在创新构建数据价值释放和数据跨境制度、促进新技术新应用向上向善发展方面加快推进相关立法,为数字经济创新发展提供基础保障。在网络设施方面,继续推进网络安全法等相关上位法配套规则出台,在金融、交通等重点行业领域加强对网络设施的安全保护力度。在数据立法方面,呈现出促进数据价值释放的明显转变,在推动数据跨境流动、促进数据产业发展、构建数据资产管理制度等方面进行创新性制度设计。在互联网平台方面,进一步细化数字市场竞争管理法律制度,针对重点平台业务出台管理要求,强化互联网平台在未成年人网络保护等方面的义务。在数字技术方面,立足技术产业发展实践出台人工智能等相关立法,促进安全与发展的动态平衡,在全球新技术法律规则制定中占据主动地位。(一)网络设施安全持续强化,重点行业领域完善安全细则我国高度重视网络设施的安全防护和建设发展,出台中华人民共和国网络安全法关键信息基础设施安全保护条例等明确对网络设施的安全防护要求。2023年,我国在现有立法基础上进一步细化具体制度规则,强化重点行业领域网络设施保护。1.持续完善重点网络安全制度要求一是细化商用密码安全管理规则。4月27日,国务院发布商用密码管理条例(2023年修订),适应商用密码技术创新发展实践,明确对商用密码的管理要求,构建了“四级管理+专项管理”机制,促进密码科技创新与标准化,细化了商用密码检测认证实施要求,与中华人民共和国电子签名法衔接确立了电子认证商用密码管控要求,并明确商用密码进出口管制规定。9月27日,国家密码局发布商用密码应用安全性评估管理办法,进一步明确商用密码应用安全性评估范围,确定商用密码应用安全性评估对象为重要网络与信息系统,并且明确了对网络和信息系统使用商用密码技术、产品进行检测分析和验证评估的具体要求。二是优化网络安全服务认证规则。3月15日,国家市场监督管理总局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合发布关于开展网络安全服务认证工作的实施意见,明确了网络安全服务认证目录确定机制,以及对网络安全服务认证机构的资质、工作机制、信息公开等具体要求。三是强化网络安全事件管理。12月8日,国家互联网信息办公室发布网络安全事件报告管理办法(征求意见稿),规定了网络运营者对于较大、重大或特别重大网络安全事件进行报告的报告时间、报告内容等要求,并规定网络安全事件处置后需进行全面分析总结并进行上报,同时明确了运营者的法律责任。2.重点行业出台网络安全实施细则金融、交通等重要行业领域结合行业监管现实情况出台网络安全具体规则。2月27日,证券监督管理委员会发布证券期货业网络和信息安全管理办法,明确证券期货业网络和信息安全监督管理体系、网络和信息安全运行、投资者个人信息保护、网络和信息安全应急处置、关键信息基础设施安全保护等要求。6月8日,交通运输部发布公路水路关键信息基础设施安全保护管理办法,在关键信息基础设施安全保护条例基础上进一步细化公路水路关键信息基础设施认定方法、运营者责任义务、风险隐患应急处置、事前事中事后监管等内容,提升了公路水路关键信息基础设施安全保护和监督管理水平。12月18日,工业和信息化部发布民用无人驾驶航空器生产管理若干规定,从唯一产品识别码、无线电发射设备型号核准、电信设备进网许可、网络与数据安全、产品信息备案等方面明确了对民用无人驾驶航空器的管理要求。(一)数据安全与价值释放并重,数据法律规则体系全面构建数据作为新型生产要素,是数字化、网络化、智能化的基础。数据基础制度建设事关国家发展和安全大局。2022年底,我国发布中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见,从数据产权、流通、交易、使用、分配、治理、安全等角度提出构建有利于数据安全保护、有效利用、合规流通的数据基础制度。过去一年,我国在维护国家数据安全、保护个人信息的基础上,进一步健全数据出境规则,探索构建数据基础制度为数据价值释放提供合法依据。1.构建中国特色数据跨境流动规则体系一是制定个人信息出境标准合同规范。2月22日,国家互联网信息办公室出台个人信息出境标准合同办法,细化通过标准合同向境外提供个人信息的场景,明确了个人信息保护影响评估的评估耍素,并规定了个人信息处理者对个人信息出境标准合同进行备案的要求。解决了中小型数据出境安全问题,为企业数据安全高效流通新增路径。二是探索为企业数据跨境流动“减负”立法。9月28日,国家互联网信息办公室发布规范和促进数据跨境流动规定(征求意见稿),规定了无需申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证的情形,从“例外规定”视角进一步完善了数据出境法律制度,更精准地适配数据出境具体场景,减轻企业在数据出境中的合规压力,是我国促进数据合法有序跨境流动的积极尝试。2 .构建重点领域数据安全管理要求一是工业和信息化领域加快推进数据安全管理实施细则出台。1月1日,工业和信息化领域数据安全管理办法(试行)正式实施,确定了工业和信息化领域数据分类分级管理、重要数据识别与备案相关要求。针对不同级别的数据,在数据处理全生命周期的不同环节规定相应安全管理和保护要求。10月9日,工业和信息化部发布了工业和信息化领域数据安全风险评估实施细则(试行)(征求意见稿),明确工业和信息领域重要数据和核心数据处理者开展数据安全风险评估的评估内容、评估期限、评估方式、评估报送等具体要求,为相关数据处理者开展数据安全风险评估提供了实践指引O11月23日,工业和信息化部公开征求对工业和信息化领域数据安全行政处罚裁量指引(试行)(征求意见稿)的意见,对工业和信息化领域数据安全行政处罚管辖规则、处罚情形、裁量权适用规则等进行了具体规定,进一步提升数据安全相关立法的实施效果。二是金融领域细化数据安全具体要求。7月24日,中国人民银行发布中国人民银行业务领域数据安全管理办法(征求意见稿),明确中国人民银行业务领域数据定义,确定了数据分级分层的标准及划分级别,针对数据收集、存储、使用、加工、传输、提供、公开和删除各环节明确数据安全保护要求,细化风险监测、评估审计、安全事件处置等制度规则。3 .加快推进数据要素市场依法依规构建一是促进数据产业规范发展。1月3日,工业和信息化部、国家互联网信息办公室、国家发展和改革委员会、教育部、科学技术部、公安部、国家安全部、财政部等十六部门联合发布促进数据安全产业发展的指导意见,要求提升数据安全产业的创新能力,加强核心技术攻关,构建数据安全产品体系等,壮大不同类型的数据安全服务,推广网络安全技术产品应用。二是探索构建数据资产“入表”制度。8月21日,财政部发布企业数据资源相关会计处理暂行规定,要求企业根据数据资源的持有目的、形成方式、业务模式,以及与数据资源有关的经济利益的预期消耗方式等,对数据资源相关交易和事项进行会计确认、计量和报告。在不改变现行企业会计准则的基础上,在资产负债表中的“存货、无形资产、开发支出“三个项目下增设“数据资源”子项目,并对数据资源相关会计信息进行披露。(三)互联网平台责任逐步规范,平台发展法治环境日益优化互联网平台在支持创新、促进增长、扩大需求、就业创业等方面发挥引领作用,是经济新旧动能转换和产业结构升级的有力引擎。2022年底中央经济工作会议提出,支持平台企业在引领发展、创造就业、国际竞争中大显身手。今年以来,我国在数字市场竞争监管、网络社会管理等方面强化互联网平台主体责任,并在重点领域细化对互联网平台的管理要求。1.强化未成年人网络权益保护出台未成年人网络保护专门立法。10月16日,国务院发布未成年人网络保护条例,构筑了覆盖未成年人参与网络活动全链条,涵盖家庭、学校、社会、政府等多主体的网络保护体系。在网络素养促进方面,规定了政府、学校、监护人等各方主体在培育未成年人网络素养方面的责任;在网络信息内容规范方面,按照内容管理“三分法”的思路,对正能量信息、违法信息和不适宜未成年人接触的信息分别明确管理要求;在未成年人个人信息网络保护方面,明确未成年人个人信息权益的行使方式,夯实未成年人个人信息保护制度基础;在网络沉迷防治方面,对应援集资、投票打榜等诱导未成年人沉迷网络、非理性消费的活动进行专门规范,对网络游戏、网络直播等重点应用的防沉迷规则提出细化要求。2 .针对网络信息内容管理突出问题重点规范加快推进网络暴力规制进程。7月7日,国家互联网信息办公室发布网络暴力信息治理规定(征求意见稿),明确了网络暴力信息的定义,规定网络信息服务提供者需承担网络信息内容管理主体责任,对网络暴力信息进行监测预警、及时处置,并完善对用户的网络暴力保护机制。9月25日,最高人民法院、最高人民检察院、公安部联合发布关于依法惩治网络暴力违法犯罪的指导意见,对网络诽谤、网络侮辱、侵犯公民个人信息等网络暴力违法犯罪的具体情形、法律适用、定罪处罚考量等进行规定,提升网络暴力综合治理能力。3 .配套出台数字市场反垄断规则出台实施细则配套落实反垄断法最新要求。3月10日,为适应平台经济发展需求、提升数字平台竞争活力,国家市场监督管理总局发布禁止垄断协议规定禁止滥用市场支配地位行为规定经营者集中审查规定三部部门规章,明确对互联网平台垄断行为监管的具体要求。禁止垄断协议规定明确界定平台经济领域相关商品市场界定方法,禁止利用平台规则等达成垄断协议;禁止滥用市场支配地位行为规定结合平台经济特点明确认定平台经济领域经营者具有市场支配地位的考量因素,并具体规定平台经济经营者滥用市场支配地位的具体要求;经营者集中审查规定明确了平台附加限制性条件减少对竞争不利影响的具体情形。6月25日,国家市场监督管理总局发布禁止滥用知识产权排除、限制竞争行为规定,对经营者滥用知识产权排除、限制竞争的行为进行规制,明确了知识产权领域相关市场认定方法,认定排除、限制竞争行为考虑因素。4 .细化重点领域平台管理要求重点民生领域强化互联网平台责任规范。2月25日,国家市场监督管理总局发布互联网广告管理办法,提出互联网平台经营者在提供互联网信息服务过程中应防范、制止违法广告,并遵守记录保存用户真实信息,对违法广告进行监测、排查等义务。3月3日,国家药监局发布化妆品网络经营监督管理办法,明确化妆品电子商务平台经营者承担对平台内化妆品经营者进行管理的责任,包括实名登记、日常检查、违法行为处置等。(四)数字技术规则加速推进,新技术新应用发展逐步规范近年来,数字技术创新和迭代速度明显加快,在提高社会生产力、优化资源配置的同时也带来一些新问题新挑战。过去一年,我国针对人工智能等新技术新应用带来的风险问题加快立法应对,为数字技术规范和创新提供了基本遵循。1.针对重点类型人工智能及时立法针对重点人工智能技术应用明确管理要求和发展原则。1月10日,国家互联网信息办公室、工业和信息化部、公安部联合制定的互联网信息服务深度合成管理规定正式实施,明确了对应用深度合成技术提供互联网信息服务的具体要求,构建了深度合成内容管理、训练数据管理以及对深度合成信息内容添加标识等具体制度。7月10日,国家互联网信息办公室联合国家发展和改革委员会、教育部、科学技术部、工业和信息化部、公安部、国家广播电视总局发布生成式人工智能服务管理暂行办法,明确了生成式人工智能服务的基本概念,提出鼓励生成式人工智能创新应用,生成积极健康、向上向善的优质内容。同时,对生成式人工智能服务提供者的数据处理活动、保护服务使用者个人信息、及时处置违法内容等义务进行明确。5 .探索构建科技伦理审查规则以科技伦理审查构建数字技术风险事前防范制度。10月8日,科学技术部、教育部、工业和信息化部、农业农村部、国家卫生健康委员会、中国科学院、中国社科院、中国工程院、中国科学技术协会、中央军事委员会科学技术委员会十部门联合发布科技伦理审查办法(试行),落实科技伦理审查主体责任,明确需进行科技伦理审查的科技活动范畴,并对科技伦理审查的一般程序、简易程序、专家复核程序等进行具体规定。旨在规范科学研究、技术开发等科技活动的科技伦理审查工作,强化科技伦理风险防控,促进负责任创新。6 针对重点类型新技术强化规制强化对高风险数字技术的管理要求。5月31日,国务院、中央军事委员会发布无人驾驶航空器飞行管理暂行条例,明确对无人驾驶航空器、操控员及空域和飞行活动的管理要求。6月6日,国家互联网信息办公室就近距离自组网信息服务管理规定(征求意见稿)公开征求意见,对近距离自组网信息服务提供者、使用者的责任义务进行明确,要求服务提供者采取必要的安全管理制度和技术措施,依法处置违法信息,防范和抵制不良信息传播,保存有关记录并进行报告。8月8日,国家互联网信息办公室就人脸识别技术应用安全管理规定(试行)(征求意见稿)公开征求意见,重点规定了人脸识别技术的使用原则,禁止使用人脸识别技术的情形,限定使用人脸识别技术的场景,强化对人脸信息的保护。三、2023年国际互联网立法情况2023年,百年未有之大变局纵深演进,全球局势复杂多变,人工智能、大数据等新技术快速发展助推人类进入科技新时代,全球治理体系处于调整变革的关键时期,全球互联网立法也展现新趋势新动向。在继续强化网络设施安全防护、个人信息保护等传统互联网立法的同时,世界主要国家和地区着力以立法保障国内发展、强化国际竞争。在网络设施方面,在强调安全防护的基础上,多国在立法和国家战略中强调促进新型基础设施建设发展。在数据立法方面,构建完善数据跨境流动管理规则,强化国际合作。在互联网平台方面,多国通过立法明确互联网平台对于网络信息内容管理、特殊群体网络权益保护的法律义务,加强对互联网信息内容管理和干预。在数字技术方面,人工智能成为今年国际立法热点,主要国家和地区加快推进人工智能立法,试图抢占全球核心规则主导权。(一)网络安全仍为立法重点,网络设施安全与发展齐驱网络设施是数字经济发展的基石,是引领产业变革升级的结构性力量。今年,以美欧为代表的主要国家和地区强化网络设施安全顶层制度设计,通过发布网络设施相关国家战略、加快网络安全立法等方式强化网络设施安全防护,促进先进网络设施发展升级。1.加强网络设施安全顶层制度设计出台或修订相关立法、国家战略强调网络设施安全防护。1月13日,关于在欧盟实现高度统一网络安全措施的指令(NIS2指令)正式生效。NIS2指令明确了监管框架运作的最低规则、成员国主管当局之间有效合作的机制,并更新了受网络安全义务约束的部门和实体类型,还通过提供有效的补救措施和执法措施确保成员国执行指令。3月2日,美国白宫发布网络安全战略,将网络安全的责任从个人、小企业和地方政府转移到最有能力为所有人降低风险的组织;重新调整激励措施以支持网络安全领域长期投资;以协调的方式使用“国家力量的所有工具”,加强在网络安全领域公私合作。4月18日,欧盟发布欧盟网络团结法案,促进欧盟成员国间网络安全事件和漏洞信息共享,增强欧盟整体应对网络风险能力。6月14日,德国政府通过国家安全战略,提出“整合安全”概念,将国家的内部安全和外部安全威胁进行整体考量。7月7日,日本总务省发布2023年信息通信网络安全综合措施(草案),旨在确保信息通信网络的安全性和可依赖性、提高对网络攻击的应对能力,强调公私协作,确保安全的网络空间。7月13日,美国白宫发布国家网络安全战略实施计划,详细阐述了相关政府部门在确保美国网络安全方面的举措和要求,并设定具体时间节点,激励关键基础设施投资。7月19日,欧洲议会工业、研究和能源委员会通过网络弹性法案,对数字产品提出了多方面网络安全要求,旨在以统一的法律框架来规制欧盟的网络安全问题。7月260,巴基斯坦联邦内阁批准了2023年电子安全法案,旨在防止网络骚扰、网络欺凌、勒索等网络犯罪,并计划设立新的监管机构“电子安全管理局”,负责注册和监控网站、网络频道、YouTube频道和媒体公司现有网站。2.完善促进先进网络设施建设制度强调促进先进网络设施的发展。2月23日,欧盟委员会通过了千兆基础设施法案的提案,以替代宽带成本降低指令,旨在减少与部署千兆网络相关的成本和管理负担,简化许可程序,并要求所有新建或翻修的建筑物都应配备光纤,保证运营商可以更低的成本、更高效地部署网络。4月12日,英国新成立的科学、创新和技术部发布英国无线基础设施战略,提出为英国无线基础设施投资提供政策保障。7月12日,迪拜启动迪拜网络安全战略第二阶段,提出通过人才培养和促进战略伙伴关系加强数字基础设施,增强自身数字防御能力。(一)数据相关立法加快推进,数据资源博弈更为激烈数字经济时代背景下,数据成为驱动各国经济发展的关键生产要素。2023年,世界主要国家和地区在强化本国个人数据保护立法的同时,加快完善数据跨境流动规则,通过立法、国际合作的方式促进数据合法流动。1 .数据跨境流动立法和国家合作不断加强一是在国内立法中明确数据跨境流动规则。1月,白俄罗斯个人数据保护中心签署了一项个人数据跨境转移规则的命令,该命令将欧亚经济联盟(EEU)成员国列入“为跨境数据传输提供适当保护的外国名单”,并明确了可将白俄罗斯国内数据转移到被认为没有提供充分性保护水平的国家的具体情形。4月24日,以色列议会的宪法、法律和司法委员会通过了隐私保护条例(关于将信息从欧洲经济区转移到以色列的说明)草案,明确了根据要求删除数据、删除多余的个人数据、保持个人数据的准确性以及通知数据已传输的义务等规定。8月11日,印度发布数字个人数据保护法,其中修改了有关数据传输的条款,将原法案规定的仅在中央政府进行必要因素评估后通知数据受托人方可个人数据出境的规定,改为中央政府可通知限制相应个人数据出境。10月27日,泰国个人数据保护委员会根据2019年个人数据保护法第28条和第29条发布了两部跨境数据传输法规草案,要求数据接收方制定个人数据保护标准,并规定了在关联企业或同一企业跨国传输个人数据的相关要求。10月16日,韩国个人信息保护委员会通过个人信息境外转移及运用规定,规定了个人信息跨境转移评估咨询机构海外转移专家委员会运作要求,新增了个人信息向境外转移的程序及评估标准。U月,英国发布数据保护和数字信息法案第二次修订案,创新性规定满足英国政府的“数据保护测试”即可将英国个人数据转移至其他国家和国际组织,并认可法案生效前已经合法进行的国际贸易和数据跨境流动。二是通过双边、多边协议促进数据跨境流动。4月4日,日本与欧盟结束充分性认定的首次审查,审查表明欧盟和日本的数据保护框架之间的趋同程度越来越高,并且该协议运作良好。5月24日,欧盟和东盟发布东盟示范合同条款和欧盟标准合同条款的联合指南,为相关公司提供了数据跨境最佳实践指引,在满足两个司法管辖区合法性要求的基础上促进数据跨境流通。7月10日,欧洲议会通过了“欧盟-美国数据隐私框架”充分性决定,明确个人数据从欧盟传输至美国企业时,美国企业不再需要采取充分性决定要求以外的安全措施。2 .个人信息保护立法进入纵深推进阶段一是推进个人信息保护立法出台和修订。3月8日,韩国通过了个人信息保护法修正案,修订内容包括统一线下和线上业务的数据保护规则、降低处理个人信息的要求、引入跨境数据流动新规则等。4月,法国批准了欧洲委员会第108+号公约,进一步加强对数据主体权利保护,并将自动化决策等新技术应用纳入其规制范畴。4月17日,越南颁布个人数据保护法,并于2023年7月1日正式生效,该法规定了数据主体的权利与同意机制、数据保护影响评估以及跨境数据传输等多方面制度。8月11日,印度正式发布2023年数字个人数据保护法,该法明确将“数字个人数据”作为规制对象,确立了处理数字个人数据的合法性基础,阐明了数据受托人确保数据准确、防止数据泄露等义务,赋予了数据委托人知情权、更正删除权、申诉权等权利。11月,英国政府公布数据保护和数字信息法案第二次修订案,完善个人数据定义,增加个人数据处理合法性依据,并对电子营销、自动化决策中使用个人数据明确具体要求。二是出台个人信息保护立法实施细则。2月24日,欧盟数据保护委员会发布通用数据保护条例(GDPR)第3条和第5章数据跨境条款的应用指南、向社交媒体用户建议如何识别欺骗性设计的指南、认证作为数据跨境工具的指南,进一步细化个人信息保护相关规则。3月,西班牙数据保护机构发布设计隐私及默认隐私指南,明确个人信息保护的相关要求。3月28日,欧洲数据保护委员会发布了有关个人数据泄露的最新指南,更新了非欧盟机构在发生数据泄露时的通知要求。8月31日,瑞士联邦数据保护和信息专员发布数据保护影响评估的信息表单,规定如果数据处理可能对数据当事人的人格或基本权利造成高风险,则必须进行数据保护影响评估。三是加快重点领域、新兴领域个人信息保护立法进程。4月27日,美国华盛顿州通过我的健康,我的数据法案,为健康数据提供更高级别的保护,引入额外的数据披露要求,授予个人删除其健康数据的权利,并禁止出售个人健康数据等。6月1日,俄罗斯国家杜马一读通过了行政犯罪法修正草案,明确了关于违法使用生物识别数据的法律责任,最高罚款可达700万卢布。6月5日,日本总务省和经济产业省发布医疗信息处理信息系统和服务提供者安全管理指南1.1版(草案)并征求意见,强化医疗信息的安全管理。10月3日,英国信息专员办公室发布在工作场所进行合规透明监控的指南,呼吁雇主在工作场所实施任何监控之前需考虑其法律义务及员工权利,所有监控都必须符合英国数据保护法要求。3 .探索促进数据共享流通相关立法以技术、规则等手段促进数据共享流通。3月31,美国白宫科技政策办公室发布促进数据共享与分析中的隐私保护国家战略,提出在数据的分析与共享中通过隐私增强技术加强对隐私的保护,促进数据潜力释放,以技术手段推动公共和私营部门数据共享。H月9日,欧洲议会通过数据法案,下一步需要欧洲理事会批准后正式成为法律。数据法案旨在明确数据访问、共享和使用的规则,规定获取数据的主体和条件,使更多私营和公共实体能够共享数据。该法案明确了使用联网产品或相关服务(如物联网、工业机械)产生的数据进行共享的具体规则。规定了获取数据的主体和条件,还规定了云服务提供商之间进行转换的规则,并引入了防止这些公司进行非法国际数据传输的保障措施。U月15日,韩国发布国家研究数据管理及促进利用法案,该法案通过构建集中管理等制度促进国家研究数据充分利用和共享。(三)互联网平台立法不断完善,信息内容管理重点突出互联网平台是数字经济时代维护数字市场秩序、规范新业态新模式的重要着力点。过去一年,国外继续推进对于互联网平台特别是超大型互联网平台企业的规制,重点强化互联网平台对网络信息内容的管理义务。1.通过立法明确互联网平台网络信息内容管理义务一是欧盟数字服务法配套规范进一步强调互联网平台网络信息内容管理义务。2月1日,欧盟发布数字服务法指南,指导协助企业遵守相关报告义务。4月25日,欧盟委员会划定第一批数字服务法中的“超大型在线平台和在线搜索引擎”,包括阿里巴巴速卖通、亚马逊商城、苹果应用商店、脸书等17个超大型在线平台,以及必应和谷歌搜索2个超大型在线搜索引擎。从被指定之日起,这些公司必须在四个月内完成对数字服务法规定的全套义务的合规,包括通过指定的评估机构进行服务评估、减轻系统性风险和提供强大的网络信息内容审核工具来赋能和保护在线用户等。5月5日,欧盟委员会就数字服务法中的独立审计规定展开了公共咨询,涉及选择审计方法和程序时应适用的主要原则,并为超大型在线平台和在线搜索引擎的审计细化规则。10月9日,欧盟委员会发布数字市场法下超大型在线平台和在线搜索引擎合规报告模板,据规定报告应“详细和透明地”披露相关信息,并在指定后六个月内提交,每年更新一次。10月20日,欧盟委员会发布了有关数字服务法中超大型在线平台和在线搜索引擎审计报告的法律框架,包括选择独立审计师的程序和审计方法。二是美国加快推进网络信息内容管理立法。3月9日,美国参议院司法小组委员会达成一致,要求修改通信规范法第230条,强调平台对网络信息内容的管理责任,以保护儿童免遭网络有害内容侵害。7月5日,美国联邦法官发布禁令,限制拜登政府与社交媒体平台就网络信息内容进行干预,以回应路易斯安那州和密苏里州司法部长在一项诉讼中提出的,美国政府在CoVlD-19疫情言论方面过度干预社交媒体。10月20日,美国最高法院最终取消了前述对联邦政府与社交媒体公司进行沟通的限制,允许政府部门就网络信息内容审核问题和其他事项与社交媒体平台进行沟通。三是英国通过在线安全法区分不同类型在线服务提供者的网络信息内容管理义务。10月26日,英国在线安全法正式通过。在线安全法将互联网服务划分为用户对用户服务(USer-userService)和搜索服务(SearChSerViCe)两类,规定两类服务提供者都要承担非法内容风险评估、儿童风险评估等义务。用户对用户服务提供者要承担更严格的内容安全责任,不仅需减少非法和对儿童有害的内容,还需就网络信息内容对成年人的风险进行评估,同时需保护专业性的新闻内容及具有民主价值的内容。2.重点加强对儿童等特殊群体的网络保护一是立法强调互联网平台对儿童的保护义务。8月11日,印度数字个人数据保护法对18岁以下儿童提出了儿童隐私和年龄验证要求。10月26日,英国在线安全法对儿童风险评估义务以及相应的儿童安全保护义务进行了专门规定,对“可能被儿童访问的用户对用户服务”和“可能对儿童产生伤害的内容”进行了定义,规定互联网平台必须向国家犯罪署报告他们在其平台上发现的儿童性剥削和性虐待内容,并加大对向未成年人提供不良信息的网站的惩罚力度。二是细化未成年人个人数据收集、使用规则。4月17日,爱尔兰数据保护委员会发布了4份儿童数据保护的指南,指南概述了儿童数据保护基本原则,包括需要父母同意才能处理儿童数据,对父母保护儿童数据的具体建议等。6月29日,法国国家信息与自由委员会发布了有关互联网接入家长控制的两项决定,规定某些社交媒体应用程序禁止13岁以下儿童使用,要求强制性功能不得超出目的收集儿童数据。9月26日,美国和英国发布关于打击儿童性虐待和性剥削的联合声明,加强两国在打击剥削和虐待儿童方面的合作。(四)数字技术立法显著增多,风险防范与创新发展并进2023年,以ChatGPT为代表的生成式人工智能正在引发新一轮人工智能革命。生成式人工智能在助力创新发展的同时,也带来了虚假信息传播、版权保护、劳动代替等风险和问题,引发全球热议。今年,主要国家和地区根据人工智能发展情况及面临问题,持续制定、发布人工智能相关立法、政策、指南,呈现出适应产业发展、软硬手段协同、重点领域规制等趋势特点。1.全球探索推进人工智能法律规则一是美欧推进人工智能立法进程。10月30日,美国总统拜登签署发布安全、稳定、可信的人工智能行政令,聚焦人工智能对关键基础设施以及化学、生物、放射性、核和网络安全的威胁,提出制定专门标准和实践指南。要求开发对国家安全、国家经济安全或国家公共健康和安全构成严重风险的基础模型的公司向美国政府共享相关数据。提出扩大多双边合作、开发国际标准等,以确保美国在人工智能领域的全球领导力。12月8日,欧盟理事会、欧洲议会和欧盟委员会就人工智能法案达成临时协议。欧盟人工智能法案将人工智能系统划分为低风险、高风险、不可接受风险、有限风险等不同等级。绝大多数人工智能系统都属于风险最小的类别,不做过多干预。被确定为高风险的人工智能系统将需要遵守建立数据管理制度、制定技术文件、留存记录等要求。被认为对人类基本权利构成明显威胁的人工智能系统将被禁止。人
