作者丨蔡鹏 肖莆羚令
引言
2024年,随着数字经济的蓬勃发展和人工智能技术的广泛应用,数据安全、人工智能监管以及个人信息保护成为社会关注的重要议题。中国在这一年通过一系列立法和技术标准的制定,不仅加强了数据合规管理,还推动了人工智能领域的规范化发展。从数据跨境流动的精细化管理到《网络数据安全管理条例》的出台,从个人信息司法保护的加强,再到数据安全与国家安全的执法强度,均反映了数据合规的重点与难点趋势。同时,在人工智能领域,通过发布多项具体实施指南和管理规定,明确了人工智能技术应用的安全边界和服务规范,既为企业提供了清晰的操作指引,也确定了包容式监管的框架。本文将在简要回顾2024年数据合规与人工智能监管重要进展的基础上,为各类组织和企业展望未来的合规重点方向。
第一部分:2024年数据合规领域立法——规范落地,合规新篇
2024年,中国在数字经济合规领域看到了积极的立法努力,在跨境数据流动以及数据要素的流通和利用方面均取得了显著进展。
焦点1:数据跨境合规蓝图初显
2022年及2023年,中国先后颁布了《数据出境安全评估办法》为代表的系列规则,构建起了数据跨境传输的“三条路径”体系:数据出境安全评估、标准合同备案以及个人信息保护认证。2024年3月,国家互联网信息办公室公布了《促进和规范数据跨境流动规定》,不仅适当放宽了数据跨境流动的条件,而且将企业数据跨境合规基本“方法论”进行了调整,为企业带来实质性利好。
在此背景下,地方立法积极跟进,呈现出快速发展的态势:
•粤港澳大湾区:2023年12月,国家网信办与香港特区政府创联合公布《粤港澳大湾区(内地、香港)个人信息跨境流动标准合同实施指引》;2024年9月,国家网信办与澳门特区政府联合公布了《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》,旨在为内地与澳门之间的个人信息跨境流动提供便利。这份文件为两地之间的数据交换提供了明确的操作指南,促进了区域内的经济一体化和技术协作。
•北京:北京在数据跨境流动方面走在了全国前列。全国首个获批的数据跨境评估案例、全国首地签订个人出境标准合同备案的案例均落地在北京。今年8月30日,北京正式发布了全国首个场景化、字段级的数据跨境负面清单,覆盖汽车、医疗、人工智能、民航和零售五个领域,为数字经济的高质量发展提供了坚实支撑。
•上海:2024年2月,上海印发了《上海市落实〈全面对接国际高标准经贸规则推进中国(上海)自由贸易试验区高水平制度型开放总体方案〉的实施方案》,其中提出要率先制定重要数据目录、探索建立合法安全便利的数据跨境流动机制,同时在临港新片区建立数据跨境服务中心等措施。随后,上海临港新区陆续发布了生物医药、智能网联汽车、公募基金、再保险、航运、证券六个领域的正面清单,明确了可以自由流动的一般数据类型,以及需要特别注意的重要数据。
•天津:2024年5月,天津公布了《中国(天津)自由贸易试验区数据出境管理清单(负面清单)(2024版)》,这是全国第一个自贸区数据出境管理负面清单。
以《促进和规范数据跨境流动规定》为核心,各地积极开展的立法活动正在逐步充实跨境合规地图。与此同时,中欧数据跨境流动交流机制的建立、《关于中德数据跨境流动合作的谅解备忘录》的签署,以及中国为申请加入CPTPP所做的种种努力,皆是国家为打造数据跨境无障碍传输所展现的决心。
焦点2:《网数条例》重磅出台
2024年8月30日,《网络数据安全管理条例》(简称“《网数条例》”)历经三年立法程序后正式通过,并将于2025年1月1日施行。从征求意见稿到最终版本,《网数条例》历经多次修改,在充分考虑新质生产力与数字经济趋势以及社会反馈后,与征求意见稿相比呈现出较多的修订内容。
《网数条例》在限缩概念、简化流程方面卓有成效,为企业减负并带来诸多创新。例如明确网络数据和重要数据定义,取消大型平台及重要数据处理者年度审计的规定,将网络安全审查修改为国家安全审查等。此外:
•重要数据:针对重要数据处理者适度设定额外的合规义务,涵盖网络数据合规岗选任,特定情形(对外提供、委托处理和共同处理重要数据前)的风险评估以及(合并、分立、解散、破产时)的报告义务等。以及1000万人以上个人信息处理者的等同义务。
•个人信息:首先,将工信部关于App的“双清单”要求正式入法并扩大适用对象为“网络数据处理者”;其次,明确个人信息可携带权的适用条件(转移个人信息具备技术可行性)和方式;第三,强调《个人信息保护法》中境外处理者在境内设置机构或指定代表及报送要求。
•人工智能:规定当自动化采集不可避免收集到相关信息且难以处理时,网络数据处理者应停止特定处理行为,为人工智能预训练数据集提供一定程度的豁免设定。
•大型网络平台:大型网络平台不得无正当理由限制用户数据访问和使用权利,保障了平台内经营者作为企业用户对其在平台上产生的数据的访问和使用权。同时强调此类平台公共属性和透明度义务,要求履行发布年度社会责任报告等法定责任。
另外,《网数条例》亦细化了网络数据处理者的法律责任,引入“首违不罚”“轻微不罚”的行政处罚原则,体现了包容审慎的监管态度。
作为《网络安全法》《数据安全法》和《个人信息保护法》之后的重要行政法规,《网数条例》的出台标志着中国数据保护与平台治理方面法律体系日趋完善,为企业的合规工作提供了更为明确的操作指南。
焦点3:《个人信息保护法》逐步落地细化
自《个人信息保护法》颁布以来,其中的重大合规要点已逐步明确,为个人信息保护搭建起了坚实的法律框架。在2024年,配合数据出境等监管重点,立法则更多地集中在对有关重点合规义务的解释和明确,进一步完善了个人信息保护的体系。
•个人信息保护合规审计:2024年7月,《数据安全技术个人信息保护合规审计要求(征求意见稿)》发布。该文件明确了审计的内容,包括个人信息的收集、存储、使用、共享等环节是否符合法律法规要求;规定了审计的方法,如文件审查、现场检查、技术检测等;细化了审计的流程,从审计计划的制定到审计报告的出具,确保企业在处理个人信息时符合规范。
•敏感个人信息:2024年9月,《网络安全标准实践指南——敏感个人信息识别指南》发布。该指南提供了识别敏感个人信息的具体方法,并对典型敏感个人信息作清单式列举,调整了《个人信息安全规范》中的识别范围,为企业和相关机构在处理敏感个人信息时提供了指导。
•个人信息可携权:2024年4月3日,《数据安全技术基于个人请求的个人信息转移要求(征求意见稿)》发布。该文件对个人信息转移权的适用条件、范围进行了明确界定,并详细规定了处理者应遵守的安全原则、流程和技术要求。例如,在适用条件方面,明确了个人提出信息转移请求的具体情形;在安全原则上,强调了数据的保密性、完整性和可用性。该文件与《网数条例》中数据可携权的原则性规定相互呼应,为企业搭建响应个人信息转移权的制度流程及设计相关界面功能提供了具体指导。
•大型互联网平台:2024年6月,《网络安全标准实践指南——大型互联网平台网络安全评估指南》发布。该指南明确了评估的各个环节和重点,如对平台的数据存储、传输、处理等环节进行全面评估,及时发现和解决潜在的安全风险。通过对平台的技术架构、安全管理措施等方面的评估,确保平台具备足够的安全防护能力,保障用户个人信息的安全。
•电子身份认证:2024年7月,《国家网络身份认证公共服务管理办法(征求意见稿)》发布。准确的身份认证是保护个人信息的重要环节,该办法明确了身份认证的流程和标准。例如,对认证机构的资质要求、认证技术的安全性等方面进行了规定,有助于防止身份冒用和信息泄露,为个人信息的安全提供有力保障。
总之,2024年的这些立法变化,从不同角度落地了《个人信息保护法》中的框架性要求,为个人信息保护提供了更加全面和具体的保障,切实吻合中国在个人信息保护领域的承诺。
焦点4:数据利用的持续探索
2024年,数据要素领域持续受到广泛关注并展开了政策层面的积极探索。
《关于构建数据基础制度更好发挥数据要素作用的意见》(“数据二十条”)为数据要素的发展明确了方向,提出建立数据产权、流通、收益、治理等基础制度,旨在破除数据要素供给、流通和使用的障碍,充分释放数据价值。然而,我们也看到数据二十条向法律转化的进程较为缓慢,尤其是三权分置产权运行机制,亟待从法律层面进行进一步明确。当前,数据权益的法律保护主要局限于反不正当竞争法、知识产权法和合同法等领域,“数据法益”在法律层面的缺位,导致实际操作中对数据产权的理解存在较大不确定性。
2024年9月21日,中共中央办公厅、国务院办公厅发布《关于加快公共数据资源开发利用的意见》(“公共数据意见”),进一步推动公共数据进入数据要素市场,赋能实体经济。但在该意见中,我们仍然对其中的关键概念存在疑惑:如“公共数据”如何界定,特别是“企事业单位依法履职或提供公共服务过程中产生的数据”是否均纳入公共数据管理?如否,哪些数据应当被作为公共数据对待?由于公共数据存在公益性特点,其定价机制和流转问题与普通企业数据会有较大区别。如核心概念不清晰,将会导致执行层面出现较大分歧,甚至引发诉讼争议。我们仍期待立法对此的进一步完善和规范。
财政部发布《企业数据资源相关会计处理暂行规定》后,极大推动了企业数据资源入表。从市场角度而言,数据要素变现呈现出两条途径。部分企业致力于将数据入表,却在估值方面陷入困境。企业可流通交易的数据范畴并不清晰,个人信息匿名化处理标准尚未明确,核心数据和重要数据目录也未出台,这些问题使得企业难以实现彻底的数据资产认定。另一部分企业专注于数据交易,但场内外交易市场并不活跃。场内交易多为政府主导的数据增值服务模式,这在一定程度上导致企业自主性的缺失;而场外交易虽有更多企业参与,却对合规边界感到困惑。数据流通中,各方主体的法律地位与责任义务依旧不清晰,企业迫切期望更多明确的法律依据,以实现合法合规利用数据,进行商业模式的更新和赋能。
总体来看,2024年数据要素领域在立法和实践方面既取得了一定积极进展,但在法律转化和标准化建设方面仍需进一步努力。在《数据二十条》下,需要加快构建统一的数据要素制度体系,明确数据产权“三权分置”运行机制。同时,对公共数据利用需要进一步完善立法,对数据要素市场形成真正的推动力。
第二部分:2024年人工智能立法——细节之处见真章
焦点1:细则规范企业实践
2024年中国人工智能领域监管的主要基调为“发展和保护”,回顾本年度有关立法,主管部门以系列规范的形式,对《生成式人工智能服务管理暂行办法》中尚待明确的重要问题进行了厘清:
《生成式人工智能服务安全基本要求》的出台,为生成式人工智能服务划定了明确的安全边界。它详细规定了在数据处理、模型训练、服务提供等各个环节的安全标准,确保生成式人工智能在为用户带来便利的同时,不会引发安全风险。例如,它对数据的安全存储和传输提出了严格要求,以防止数据泄露;同时,要求对模型进行定期的安全评估,以便及时发现和修复潜在的安全漏洞。这些要求不仅保障了用户的隐私权益,也为企业提供了一个清晰的安全操作框架。该要求在实践中也成为大模型备案的标准门槛。
《人工智能生成合成内容标识办法(征求意见稿)》聚焦于人工智能生成合成内容的标识问题。区分真实内容与生成内容是人工智能监管合规的重要议题之一。2024年出现的一些与合成内容标识相关的案件与事件,凸显了完善标识义务的重要性。该办法要求企业对生成合成内容进行明确标识,并对标识方式、标识位置甚至成像效果等都作出规定,不仅能提高AI生成信息的透明度,也能减轻企业在合规落地过程的负担。
焦点2:监管效率显著提升
中国人工智能领域的执法由两种关键监管机制引领:算法备案与大模型备案。
算法备案来源于《互联网信息服务算法推荐管理规定》,适用于所有提供的互联网服务并运用算法推荐技术的中国企业。其合规抓手主要依托于移动应用市场的预检查,未通过算法备案的App无法在应用市场上架。
大模型备案是指《生成式人工智能服务管理暂行办法》第17条所规定的“安全评估”。大模型备案旨在确保大型模型的安全性、可靠性和合规性。对于生成式人工智能安全评估和备案问题,主管部门主要以窗口方式对企业进行指导。从现有实践角度,以提供TO C为主要服务形式的人工智能企业,均有较大可能落入备案监管范围。监管部门通过对模型的技术架构、数据来源、训练过程和应用场景等进行全面评估,为用户提供内容安全、功能可信的人工智能服务。备案过程需要企业提交详细的技术文档和安全报告,监管机构将组织专家进行审查和评估。只有通过备案的大模型才能在市场上合法运营。
与2023年算法备案和大模型备案初步试水,“犹抱琵琶半遮面”所不同,2024年随着监管机构在监管力度和职责分配方面调试完成,两项备案的“基操”属性愈发凸显,行政审批效率提高,通过备案的企业数量有了显著提升。可以看出,在明确的标准和规范下,通过提高审批效率,优化审批流程,更多适格企业能够快速通过备案,推动人工智能产业在合规的轨道上有序发展。同时,监管机构也在不断加强对已备案企业的后续监管,确保其持续遵守相关规定,为人工智能领域营造一个稳定、持续的发展环境。
焦点3:AI诉讼案例涌现
纵观2024年的司法案例,可当之无愧地被称为人工智能司法元年。众多“人工智能第一案”纷至沓来,比较典型的有:
•“人工智能文生图案”:原告借助人工智能生成涉案图片,并将其发布于小红书平台。后被被告在其文章中使用该图片并截去署名水印,原告遂提起诉讼。法院经审理判定,对于人工智能生成的图片,原告从构思到选定图片的过程存在智力投入,且对画面元素等进行了设计安排,使得图片具备独创性,故人工智能生成的作品应被认定为美术作品,原告依法享有著作权。此案例的关键意义在于确立了人工智能生成的作品可受版权保护的规则。当然此案也引发了众多争议,现有法律并不保护机器所生成的“作品”,如何区分人类在其中的贡献,将会是未来一段时间所讨论的焦点。
•“人工智能平台著作权侵权案”:原告拥有奥特曼IP的独占性授权,起诉网络平台利用人工智能技术公司生成的作品与奥特曼作品构成实质性相似。法院经审理认为,网络平台作为生成式人工智能服务提供者,未采取措施避免侵权行为,违反了《生成式人工智能服务管理暂行办法》《互联网信息服务深度合成管理规定》。该案例的重要性在于确立了网络平台作为人工智能服务提供者的责任边界,在司法上落地了《生成式人工智能服务管理暂行办法》《互联网信息服务深度合成管理规定》的合规要求。当然此案也凸显了此类AI平台的法律困惑:即能否适用民法典中的“避风港”原则对平台进行有条件的豁免,网络平台在AI治理中应当承担多大的角色及其定位问题。
•“人工智能声音侵权案”:原告系配音师,其声音被用于多个知名APP。经溯源发现,声音经层层交易后被被告之一用于其人工智能平台。法院经审理认定,自然人的声音具有独特性等特征,原告声音权益涵盖涉案人工智能生成的声音。法院最终判定中间商承担侵权责任,而人工智能平台因无主观过错最终不承担责任。
焦点4:积极参与国际规则制定
2024年,中国在人工智能治理发展方面积极进取,在国际规则制定的舞台上展现力量。
2024年6月,《人工智能全球治理上海宣言》在2024世界人工智能大会暨人工智能全球治理高级别会议开幕式上发布。该宣言倡导共推发展、共护安全、共商治理、共汇民智、共享成果,提出了促进全球人工智能健康有序安全发展的系列主张。这一宣言的发布,彰显了中国积极参与人工智能全球治理的决心和努力,力图在人工智能全球治理话语体系中占据重要一席。
2024年9月,全国网络安全标准化技术委员会发布《人工智能安全治理框架》1.0版,明确了人工智能安全治理的包容审慎、风险导向、技管结合、开放合作原则,并详细列举了人工智能安全风险类型,并针对各类人工智能安全风险提出了相应的技术应对措施和综合治理措施,构建了覆盖从风险分类到风险治理的人工智能安全风险治理框架。它为人工智能的安全治理提供了全面的指导,对于全球人工智能的治理框架具有重要参考价值。
可以看出,中国通过积极参与人工智能国际规则制定,发布重要宣言与治理框架,以及开展广泛的国际合作交流,力图为全球人工智能的未来发展勾勒出清晰的路径,成为推动全球人工智能健康、有序发展的中流砥柱。
第三部分:趋势展望
(一)重点行业的数据合规与监管趋严
与欧盟等有明显区别的是,中国的数据监管下,既会有重磅罚单,也有国家安全审查、网络安全审查等工具以限制“准入”的方式进行严厉执法。从国家安全部公布的涉非法获取测绘数据的处罚案例,以及今年监管主动提起的网络安全审查案件中,我们均可观察到国家对关键领域、关键系统的数据合规问题非常重视,尤其涉及到核心数据、重要数据、敏感数据在不同场景下的处理问题,并或进一步引发国家安全考量。在实践中,很多组织或企业并未完全对此风险进行法律识别,仅以表面合规替代实质性的数据合规,未来不免将会引发监管的强烈执法,进而实施更多的安全审查或行政处罚。
(二)个人信息保护规则持续完善
今年已经发布了诸多与《个人信息保护法》相关的征求意见稿,涉及个人信息转移要求、合规审计要求、电子身份认证以及敏感个人信息识别等多个方面。随着立法进程的推进,预计在2025年这些征求意见稿可能会陆续出台,进一步细化和完善个人信息保护的法律框架。这将为企业和相关机构在处理个人信息时提供更加明确和具体的操作指南,同时也将加大对个人信息的保护力度,提高违法成本,促进个人信息保护领域的规范化和制度化。
(三)人工智能法草案有望出台
随着人工智能技术的飞速发展及其在社会各个领域的广泛应用,对其进行全面、系统的法律规制已成为必然趋势。2024年虽未出现人工智能领域的重大基础性立法,但从一系列规范细则的出台以及国际规则制定中的积极参与可以看出,相关立法工作正在稳步推进。未来一段时间内,中国有可能出台人工智能法(基本法)——该法案早在2023年就被纳入立法计划。我们也期待其在推动产业发展的基础上,对人工智能的研发、应用、监管等各个环节进行全面规范。
(四)人工智能领域的关键争议或迎来“落槌”
如我们在去年的文章中所预见到的,2024年与AI有关的诉讼如雨后春笋般频出,那么到明年,我们或许会看到在一些关键法律问题上,如作品作为训练语料是否构成“合理使用”、爬虫抓取作为语料的合法边界、不同的人工智能平台如何适用“避风港”等争议的“落槌”。当然,我们也希望看到立法机构对此有进一步的回应,比如是否能够通过设定“行权-退出”机制来实现各方利益的平衡,达到平息讼争,促进产业的目标。
(五)数据要素市场将迎来显著变化
在新质生产力的语境下,数据作为关键生产要素将成为经济发展的“变量”。公共数据的利用已经提上议事日程,象征着在日益成熟的数据法律框架下,要以数据赋能为目标,明确各方主体的法律地位,最大限度的调动数据要素的经济价值,服务于市场经济的参与者。未来一段时间内,立法者和监管者将会围绕这一主题进行法律体系的建设与重塑,打破现存的“数据壁垒”问题,实现数据要素市场的规范化。
小结
2024年标志着中国在数据合规与人工智能监管领域迈向了新阶段。通过一系列法案和技术标准的制定,不仅提升了国家层面的数据治理能力,也为各类组织以及他们的数据处理行为提供了清晰的行为准则。尽管仍有如匿名化、数据确权等很多未决的难题横亘在前,但更多的创新性解决方案已经浮出水面。我们也期待立法机关和监管能敞开大门,让社会各界共同参与讨论,推动形成更为开放包容的数据生态和更加健全的人工智能治理体系。这将有助于维护数字空间的安全稳定,促进数字经济健康可持续发展,最终造福于全社会。
作者简介
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护,知识产权权利保护,合规和调查
行业领域:电信和互联网,信息和智能技术,医疗健康
肖莆羚令 律师
北京办公室 知识产权部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
