中国信通院王丹阳等：数据要素市场建设中的企业数据合规分析.docxVIP

2 2 中国信通院王丹阳等：数据要素市场建设中的企业数据合规分析 0 引言 近年来，我国加大了对于数据要素市场培育和建设的力度。2020年4月，《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》（简称《意见》）首次将数据正式纳入生产要素范围，并提出了加快培育数据要素市场的意见；2022年12月，《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（简称“数据二十条”）指出，要在数据产权、数据要素流通和交易、数据要素收益分配和数据要素治理四个方面进行制度建设和创新，在合规、高效、安全的前提下加快构建数据基础制度，充分激活数据价值，发挥数据要素的作用。 合规是贯穿“数据二十条”的重要主题词，全文共提及“合规”关键词16 次，贯穿数据基础制度建设的各个维度，包括合规流通使用、全流程合规治理、企业数据合规体系建设和监管、合规认证、合规公证、数据流通主体相关合规性审查、鼓励企业创新内部数据合规管理体系等。可见，在鼓励数据要素流通的同时，合规监管力度也在增加。企业只有提升自身的数据合规能力，才能适应逐渐完善的数据基础制度，掌握参与数据要素市场建设的主动权。 1 我国数据合规监管现状 我国数据合规监管目前仍呈现出多头监管的现状[1]。在行政监管方面，以工业和信息化部（简称“工信部”）、国家互联网信息办公室（简称“国家网信办”）开展的通报、检查、评估、审查等为主，加上各行业监管部门（如中国人民银行、中国银行保险监督管理委员会、国家市场监督管理总局等）在各自的监管领域内针对数据合规行为进行规范和处罚。此外，公安部也连续开展专项行动打击侵犯公民个人信息的行为。检查机关则通过个人信息公益诉讼以及企业合规不起诉等方式，在司法层面参与数据合规监管。随着立法的不断完善，我国数据合规监管越来越深入和细致，覆盖范围也越来越广泛，整体呈现趋严态势。 1.1 APP监管更加深入细致 随着智能手机的普及，移动互联网应用程序（APP）逐渐成为了收集和使用个人信息的重要途径。自2019年以来，APP监管一直是我国数据合规监管的重点，并呈现深入细致的趋势。各部委公开的通报体现了以下特点。 （1）监管主体增加。2019年，工信部通报了第一批侵害用户权益的APP；从2020年开始，国家网信办也不定期对违法违规收集使用个人信息的情况进行监测和通报。此外，工信部发布的通报也逐渐开始包括各地方通信管理局对当地APP情况的具体通报。 （2）从统一通报到专项通报。在工信部发布的通报中，除了统一针对“侵害用户权益行为”的APP进行通报外，还对“违规调用麦克风、通讯录、相册”“开屏弹窗信息骚扰用户”“超范围索取权限、过度收集用户个人信息”等专项问题进行通报、整治。 （3）监管重点逐渐深入细致。除了针对APP本身的侵权行为进行通报，监管范围逐渐扩展到了小程序、应用平台，并开始深入到APP内嵌第三方软件开发工具包（Software Development Kit，SDK）的违法、违规使用行为。2022年，工信部在APP违法通报中首次将SDK违规收集用户设备信息的行为纳入监管视野；2022年年底，国家网信办部署开展了“清朗·移动互联网应用程序领域乱象整治”专项行动，加强APP全链条管理，全面规范移动应用程序在搜索、下载、使用等环节的运营行为，督促应用程序分发平台落实好各项任务，整治各个环节存在的问题。 1.2 数据出境监管体系初步形成 针对数据出境，早在2017年生效的《中华人民共和国网络安全法》（简称《网络安全法》）中就提出了安全评估的原则性要求，但随后出台的《个人信息和重要数据出境安全评估办法》《信息安全技术 数据出境安全评估指南》等仅停留在了征求意见稿阶段。2021年，《中华人民共和国数据安全法》（简称《数据安全法》）和《中华人民共和国个人信息保护法》（简称《个人信息保护法》）正式实施，加上2022年生效的《数据出境安全评估办法》以及一系列配套规范等，初步形成了我国数据出境监管体系。 其中，重要数据出境的合规路径为安全评估，可以参考《网络安全法》《数据出境安全评估办法》的相关规定[2]；对于重要数据的判定，《江苏省数据出境安全评估申报工作指引（第一版）》参考《网络数据安全管理条例（征求意见稿）》提供了判断重要数据的参考标准，要求数据处理者优先参考相关行业标准界定出境数据是否为重要数据，同时针对没有相关行业标准的情况提供了判断标准。个人信息的出境则有三大合规路径[3]，包括安全评估、标准合同和保护认证。《数据出境安全评估申报指南》《个人信息出境标准合同办法》《个人信息跨境处理活动安全认证规范》《个人信息保护认证实施规则》的出台，为以上三种合规路径的落地实施提供了具体指引。 目前，北京市互联网信息办公室和上海市互联网信息办公室陆续发布了关于数据出境安全评