致礼2022成熟的数据合规年 ——监管动态总结与趋势预判 A Tribute to 2022, Year of Maturity for Data Compliance: Regulatory Activity Summary and Trend Forecast 环球律师事务所数据合规团队编制 www.glo.com.cn 2022年1月5日2021年， 见证了《数据安全法 》和《个人信息保护法 》两部数据领域核心法律的 出台，与 《网络安全法 》并驾齐驱； 见证了监管机构 配套政策 有条不紊地推陈出新，也为产业界将数据运用 在各行业各领域的高速发展 把住了方向盘 ； 见证了全国信息安全标准化技术委员会发布的 各项国家标准 并不断成熟 丰富，给企业提供了更有 操作性的合规指引； 见证了用户 个人信息保护意识 的显著提升，隐私保护理念渐入人心； 也见证了企业对数据合规监管要求与落地思路的逐渐熟悉、适应和重视， 对数据合规工作有了更细致、更深入的 了解，也产生了更迫切的 需求。 从2021走向2022，我们一起见证 数据合规年 。 本报告包括年终盘点、趋势预测和附录三部分。从立法、执法以及落地 实施三方面梳理了 2021年企业数据治理的监管要求与合规重点，并放眼 未来，预测包括数据出境安全审查、平台治理、重要数据识别等 2022年 规制的关键内容，以期为产业界数据合规实践提供参考思路与方法。Foreword序言 2我们3Part 01 2021 年终盘点1.三大法律框架建立与完善 2.法律法规层级效力呈体系 3.顶层设计 ：从内部机构设置到制度体系构建 4.App合规朝定期性检测方向深入、广泛发展 5.企业数据资产地图与全生命周期数据梳理成效初显 6.从客户端产品合规 向与后台安全合规并重思路看齐 7.数据分类分级管理与访问权限设置已成关注重点 8.风险评估思路已逐步被接受， PIA工具从陌生到被熟练操作 9.网络安全等级保护不再流于形式，安全测试与认证受到热捧 10.人脸识别规制手段：行政监管与司法解释、判例双管齐下 11.个人主体权利实现机制在产品侧落地卓有成效 12.个别行业数据治理成为重点监管方向，如汽车行业 13.网络安全审查：从关键信息基础设施运营者到网络平台运营者，并 以拟国 外上市企业为审查重点 14.算法透明性要求被提出，推荐性算法备案开始尝试目 录 1.重要数据识别标准与清单逐步确立 2.数据出境安全审查与报批流程完善 3.关键信息基础设施认定边界更加明确 4.平台治理：从数据汇聚到反垄断规制 5.内部审计与外部审计相结合配置更加完备 6.集团数据共享与向第三方提供数据规则与机制健全 7.特殊行业数据处理要求更加细化，各行业主管部门规则更加清晰、科学 8.年度报告报送与备案流程更加成熟 9.网络安全审查标准与流程更具可操作性 10.企业算法管理和可解释能力不断提升 11.运用司法诉讼比例将大幅上升 12.外部独立第三方监督作用逐渐发挥 13.企业内部数据合规人才储备需求量翻番 14.跨境传输标准合同条款即将出台，可携带权行使规则将进一步明确 15.“单独同意”的难点问题有望突破 16.有望针对儿童监护人身份认证机制 提出新的有效解决思路 17.新技术新应用领域（如 NFT、区块链等）提出数据合规新问题 18.数据作为反制措施之一，需要各方权力动态平衡与力量把控 19.除保护用户个人信息，将保护员工、合作伙伴联系人信息排上日程Part 02 2022 趋势预测4 2021 年终盘点01Part1.1 三大法律框架建立与完善 如果说 2017年《中华人民共和国网络安全法 》（以下简称 “《网安法》”）的正式实 施开启了 “中国数据合规元年 ”，那么2021年无疑是中国数据合规及隐私保护领域历 史上的又一座里程碑 —中国正式迎来个人信息保护以及数据安全领域的两部专属立法 ， 即《中华人民共和国个人信息保护法 》（以下简称 “《个保法》”）与《中华人民共和 国数据安全法 》（以下简称 “《数安法》”）。这两部法律与 《网安法》共同构建了中 国数据合规及隐私保护的基础法律框架 ，对网络安全 、数据安全和个人信息保护提出了 方向性和基础性指引及监管要求 。 随着两部新上位法的出台和正式实施 ，横向层面 ，各立法部门 、监管机构的实施要求也 不断出台；纵向方面 ，各垂分行业 、领域的规定不断推陈出新 ，数据全生命周期各环节 的规范要求与以往相比 ，也往更加细致的程度发展 。此外，多部具有落地性指导意义的 法规及国家标准 ，正在积极向公众征求意见 并有望短期内发布 。2022年1月4日，新年 伊始，《网络安全审查办法 》正式稿公布 ，将于2022年2月15日起施行 。这些，从一 定程度均昭示着数据合规及隐私保护领域的立法正逐步建立内在逻辑 ，并呈现出监管要 求越来越明晰 ，且能够有效指导落地实践的状态和趋势 。《 个 人 信 息 保 护 法 》《 数 据 安 全 法 》《网络安全法 》 三大法律框架 51.2 法律法规层级效力呈体系 中国数据合规法律规范体系主要可 以概括为 “3+3+N”的格局。 首先，《网安法》《个保法》《数 安法》这“3”部法律是我国数据 合规法律规范体系的基石 ，奠定了 国家对数据合规领域监管的总基调 ， 把控着监管与执法趋势的大方向 ， 是建立中国特色数据合规法律体系 框架的底盘 。 其次，从数据合规的重点治理域来 看，大致又可以分为 “3”部分： “网络空间安全 ”、”个人信息保 护”、以及“数据安全 ”。从近年 来出台的法律 、法规、规范性文件 、 司法解释 及国家标准等内容及核心 思想来看 ，不难发现这三大领域其 实是我国在数据合规治理域中立法 、 执法、司法的主要关注点 ，各项法 律规范的出台 、监管态势的收紧以 及国家政策指引的着眼点和着力点 大多围绕这三大治理域 。 格局中的第三层 —“N”即代表了 我国在“网络空间安全 ”、“数据 安全”，以及“个人信息保护 ”治 理域下逐步推出 ，以完善不同维度 的治理内容 ，丰富并提升治理水平 。总 经 理《 网 安 法 》网络空间安全 3 + 3 + N《信息安全技术 个人信息安全规范 》 （GB/T 35273 -2020）《网络安全等级保护条例（征求意见稿） 》 《国家网络安全检查操作指南 》 ……《网络安全等级保护实施指南 》 《国家网络安全应急预案 》 《网络信息内容生态治理规定 》 6《网络安全审查办法 》 ……《 数 安 法 》数据安全《网络数据安全管理条例（征求意见稿） 》 ……《数据安全管理办法（征求意见稿） 》 《数据出境安全评估办法（征求意见稿） 》 《信息安全技术 大数据安全管理指南 》 《信息安全技术 重要数据识别指南（征 求意见稿） 》 ……《 个 保 法 》个人信息保护 《儿童个人信息网络保护规定 》《App违法违规收集使用个人信息行为认定 方法》 ……《常见类型移动互联网应用程序必要个人 信息范围规定 》 《个人信息出境安全评估办法 （征求意见稿 ）》《信息安全技术 数据出境安全评估指南 （征求意见稿） 》 …… 《信息安全技术 个人信息安全规范 》《关键信息基础设施安全保护条例 》1.3顶层设计：从内部机构设置到制度 体系构建 组织与负责人设置 数据资产盘点 +合法获取数据的前提论证 外部政策声明设计 内部制度流程设计 用户权利行使机制 与第三方合作设计个人信息保护负责人 网络安全等级保护工作责任人 网络安全管理负责人 数据安全责任人（若以经营为目的收集重要数据） 专门安全管理机构负责人（适用 CIIO）数据全生命周期合规要求 数据合法性基础梳理、论证 数据识别 数据流转 国内与海外 单独与统一 内部管理制度和操作规程 违规操作的内部惩戒机制 隐私保护设计方案 /同意机制设计方案 个人行权响应与行权机制 投诉/举报/反馈通道 委托合同 中的数据保护条款 专门的数据处理协议 采购网络产品和服务网络安全审查 第三方供应商背景审查与服务监测数据安全管控及保障 数据分类分级管理 采取加密 、去标识化等安全技术措施 合理确定操作权限 保存期限为实现处理目的所必要的最短时间 或法定保存时限 定期开展渗透性测试与攻防演练 7企业自评估 个人信息保护影响评估 重要数据处理活动风险评估 数据出境风险自评估 赴境外上市的数据处理者对数据安全自评估 赴国外上市的关基运营者对采购活动及互联网平 台运营者对安全性及掌握个人信息数据量自评估审计、记录与应急 定期审计 文档记录与存储 制定和实施应急预案 （可能）发生数据泄露 ，补救措施和通 知报告义务 （区分可以不通知的情形 & 依职权要求通知的情形 ）培训、对外展示与能力提升 定期进行安全教育和培训 定期进行应急演练 对外合规能力展示1.4App合规朝定期性检测方向深入、 广泛发展 80% 60%工信部检测 网信办检测国家互联网信息办公室 （以下简称 “网信办”）等四部门联合印发的 《常见类型移动互联网应用程序必 要个人信息范围规定 》于2021年5月1日起正式实施 ，明确39类常见 App收集和使用必要个人信息的范 围，成为监管部门判断 App是否超范围收集个人信息的重要依据 。此外，监管机构针对执法也 进一步拓 宽：工信部在 10月首次对数款 SDK进行了通报 ，监管工作更加细致具体；天津市网信办在专项治理行动 中通报 4款小程序 ，海南地方网信办则进一步对 11款小程序和多家应用平台作出通报 ，将监管视角投向 了更广的范畴 。App个人信息保护专项治理行动 工信部 2021年1680款被通报的 App中，超