Shairk INT：數據合規與個人信息保護2021年終盤點（83頁）.pdf

《Shairk INT：數據合規與個人信息保護2021年終盤點（83頁）.pdf》由會員分享，可在線閱讀，更多相關《Shairk INT：數據合規與個人信息保護2021年終盤點（83頁）.pdf（83頁珍藏版）》請在三個皮匠報告上搜索。

1、一元復始 萬象更新數據合規與個人信息保護 2021 年終盤點Shairk INT 出品引言001一元復始 萬象更新數據合規與個人信息保護 2021 年終盤點主 編：彭 凱 周晨黠 宋海新編 委 會：陳婷婷 許中華 鄭文潔 黃相宜 魏建鋒 姜莉麗周繼偉 邱儒婷 李 嵐 伊 娜 符淇媛 周欣雨特邀供稿人：鐘 敏 江 汶 陳玉卿 周煌凱引言今天是 2021 年的最后一天，回望過去的一年，在數據合規與個人信息保護領域，我們終于迎來了真正意義上的“數據合規與個人信息保護元年”，這個領域的熱鬧與紛繁，在亂花漸欲迷人眼的新法中， 在頻上熱搜的新聞事件和社會關注中， 在百家爭鳴的專業討論中， 達到了空前的高度

2、。一眾跨年的正確姿勢中，新年祝福和年度報告都難以免俗。感謝大家一年來的關注（智能曬客的訂閱讀者）、聆聽（各類線上線下研討分享會的參會者）、助力（律商網、安拓、法培、中怡保險經紀等合作機構）、選擇（各行各業的甲方客戶們）、信任（團隊小伙伴們）。先祝大家新的一年能夠健康又快樂、成長有新知、平和且勇敢。以下，我們將結合一年來的行業觀察與市場服務，用這樣一份年度報告與大家一起辭舊迎新：一、立法篇 三、司法篇1 立法活動年度縱覽 1 個人信息保護相關司法解釋簡評2 重要立法要點梳理 2 個人信息保護典型案例簡評二、執法篇 四、展望篇1 風起網安審查 1 2022 年我們將迎來什么？2 專項整治行動梳理

3、2 2022 年企業應該做什么？3 監管通報梳理4 行政處罰梳理5 執法動態簡評2021 年終盤點002一、立法篇1立法活動年度縱覽2021 年，國內網絡安全、數據安全與個人信息保護相關立法活動1延續了 2020年的密集與高頻態勢，并在位階、數量、熱度、豐富性等方面實現了全面超越。經檢索及梳理，納入本報告統計范疇的 2021 年度立法活動共計 75 次，涉及立法主體共計 34 個，呈現法律法規及各類文件共計 92 部/篇，在網絡安全、數據安全、個人信息保護三大合規主題之下，立法活動涉及的細分話題與關切要點進一步包括了數字化轉型、人工智能、網絡內容治理、征信、區塊鏈、移動應用程序、網絡交易平臺、

4、金融數據安全、智能網聯汽車、算法監管、SDK 管理、網絡直播、人臉識別、CII、數據出境、地方數據立法等。在此，我們循著 2021 年的時間軸線，一起回顧下這個數據立法大年：時間主體主題內容1 月 4 日上海市委、市政府關于全面推進上海城市數字化轉型的意見意見 指出， 要堅持整體性轉變， 推動“經濟、生活、治理”全面數字化轉型；堅持全方位賦能，構建數據驅動的數字城市基本框架；堅持革命性重塑， 引導全社會共建共治共享數字城市；同時，創新工作推進機制，科學有序全面推進城市數字化轉型。1 月 5 日全國信息安全標準化技術委員會秘書處網絡安全標準實踐指南人工智能倫理安全風險防范指引實踐指南依據法律法規

5、要求及社會價值觀，針對人工智能倫理安全風險，給出了安全風險防范措施， 為相關組織或個人在各領域開展人工智能研究開發、設計制造、部署應用等活動時提供指引。1 月 5 日中國銀行保險監督管理委員會保險中介機構信息化工作監管辦法辦法強調，保險中介機構收集、處理和應用數據涉及到個人信息的， 應遵循合法、 正當、必要的原則，遵守國家相關法律、行政法規，符合與個人信息安全相關的國家標準。 未經允1 本報告所稱“立法”或“立法活動”指稱含義按照廣義理解，有別于嚴格意義上的立法法中的概念，諸如地方政府、相關監管部門、標準委員會、行業自律組織頒發的各類意見、通知、征求意見稿均納入其中。立法篇003時間主體主題內

6、容許或授權， 保險中介機構不得收集與其提供的服務無關的個人信息；不得違反法律、行政法規和合同約定收集、使用、提供和處理個人信息；不得泄露、篡改個人信息。1 月 8 日國家互聯網信息辦公室互聯網信息服務管理辦法（修訂草案征求意見稿）征求意見稿 強調， 互聯網信息服務提供者、互聯網網絡接入服務提供者應當建立網絡安全與信息安全管理制度、用戶信息保護制度，采取安全防范措施，加強公共信息巡查。1 月 10 日新華社法治中國建設規劃 （20202025 年）規劃強調，要充分運用大數據、云計算、人工智能等現代科技手段，全面建設“智慧法治”， 推進法治中國建設的數據化、 網絡化、 智能化；優化整合法治領域各類

7、信息、數據、網絡平臺，推進全國法治信息化工程建設；加快公共法律服務實體平臺、熱線平臺、網絡平臺有機融合，建設覆蓋全業務、全時空的公共法律服務網絡。1 月 11 日中國人民銀行征信業務管理辦法 （征求意見稿）征求意見稿指出，征信機構應當制定涉及所有業務活動和設備設施的安全管理制度， 采取有效保護措施，保證信用信息的安全，并對個人征信機構、保存或處理 50 萬戶以上企業信用信息的企業征信機構提出了具體要求。1 月 13 日工業和信息化部辦公廳工業和信息化部辦公廳關于開展工業互聯網企業網絡安全分類分級管理試點工作的通知通知指出，通過試點，進一步完善工業互聯網企業網絡安全分類分級規則標準、 定級流程以

8、及工業互聯網安全系列防護規范的科學性、有效性和可操作性，加快構建工業互聯網企業網絡安全分類分級管理制度； 進一步落實試點企業網絡安全主體責任， 形成可復制可推廣的工業互聯網網絡安全分類分級管理模式；總結一批工業互聯網網絡安全典型解決方案，選拔一批優秀示范企業、 培育一批專業服務機構。1 月 22 日全國信息安全標準化技術委員會 信息安全技術 區塊鏈信息服務安全規范（征求意見稿）信息安全技術 信息安全事件分類分級指南（征求意見稿）信息技術 安全技術 信息安全管理體系 指南（征求意見稿）2021 年終盤點004時間主體主題內容1 月 22 日全國信息安全標準化技術委員會信息安全技術 公共域名服務系

9、統安全要求（征求意見稿）1 月 26 日全國信息安全標準化技術委員會信息安全技術 網絡型入侵防御產品技術要求和測試評價方法（征求意見稿）信息安全技術 信息系統安全審計產品技術要求和測試評價方法（征求意見稿）信息安全技術 反垃圾郵件產品技術要求和測試評價方法（征求意見稿）2 月 3 日全國信息安全標準化技術委員會信息安全技術 快遞物流服務數據安全指南（征求意見稿）信息安全技術 即時通信服務數據安全指南（征求意見稿）2 月 24 日全國信息安全標準化技術委員會信息安全技術 網上購物服務數據安全指南（征求意見稿）信息安全技術 網絡支付服務數據安全指南（征求意見稿）信息安全技術 網絡音視頻服務數據安全

10、指南（征求意見稿）3 月 9 日全國信息安全標準化技術委員會信息安全技術 信息系統密碼應用基本要求信息技術 安全技術 密鑰管理 第 3 部分：采用非對稱技術的機制信息技術 安全技術 網絡安全 第 5 部分：使用虛擬專用網的跨網通信安全保護3 月 12 日新華社中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要綱要 第五篇“加快數字化發展 建設數字中國”強調， 要加強涉及國家利益、 商業秘密、 個人隱私的數據保護，加快推進數據安全、個人信息保護等領域基礎性立法， 強化數據資源全生命周期安全保護； 完善適用于大數據環境下的數據分類分級保護制度；加強數據安全評估，推動數據跨

11、境安全有序流動。3 月 12 日國家互聯網信息辦公室常見類型移動互聯網應用程序必要個人信息范圍規定規定明確了地圖導航、網絡約車、即時通信、網絡購物等 39 類常見類型移動應用程序必要個人信息范圍，要求 App 運營者不得因用戶不同意收集非必要個人信息， 而拒絕用戶使用其基本功能服務。 規定在保障 App 正常運行的同時，保障了用戶對 App 基本功能服務的使用權， 以及對收集使用非必要個人信息的知情權和決定權。工業和信息化部公安部國家市場監管理總局立法篇005時間主體主題內容3 月 15 日國家市場監管理總局網絡交易監督管理辦法辦法 對消費者個人信息保護作出了明確規定。網絡交易經營者收集、使用

12、消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、使用信息的目的、方式和范圍，并經消費者同意。網絡交易經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。 網絡交易經營者不得采用一次概括授權、默認授權、與其他授權捆綁、停止安裝使用等方式，強迫或者變相強迫消費者同意收集、 使用與經營活動無直接關系的信息。 收集、使用個人生物特征、醫療健康、金融賬戶、個人行蹤等敏感信息的， 應當逐項取得消費者同意。 網絡交易經營者及其工作人員應當對收集的個人信息嚴格保密， 除依法配合監管執法活動外，未經被收集者授權同意，不得向包括關聯方在內的任何第

13、三方提供。4 月 6 日國家醫療保障局國家醫療保障局關于加強網絡安全和數據保護工作的指導意見意見 指出， 要通過落實網絡安全主體責任，完善網絡安全監督管理機制， 加強關鍵信息基礎設施安全保護，強化網絡安全技術防護能力， 提高網絡安全態勢感知、 預警和協同能力，提升突發網絡安全事件應急響應能力等進一步加強網絡安全管理。4 月 7 日工業和信息化部裝備工業一司智能網聯汽車生產企業及產品準入管理指南（試行）（征求意見稿）征求意見稿指出，智能網聯汽車生產企業應依法收集、使用和保護個人信息，實施數據分類分級管理，制定重要數據目錄，不得泄露涉及國家安全的敏感信息。 在中華人民共和國境內運營中收集和產生的個

14、人信息和重要數據應當按照有關規定在境內存儲。因業務需要，確需向境外提供的，應向行業主管部門報備。4 月 7 日工信部科技司APP 用戶權益保護測評規范等 309 項行業標準制修訂計劃（征求意見稿）智慧城市 電子圍網技術要求 等 5 項行業標準外文版計劃 （征求意見稿）2021 年終盤點006時間主體主題內容工業互聯網平臺 服務商評價方法 等 20 項推薦性國家標準制修訂計劃（征求意見稿）4 月 8 日中國人民銀行金融數據安全 數據生命周期安全規范（ JR/T 02232021）安全規范 規定了金融數據生命周期安全原則、防護要求、組織保障要求以及信息系統運維保障要求， 建立覆蓋數據采集、 傳輸、

15、 存儲、使用、刪除及銷毀過程的安全框架。4 月 12 日全國信息安全標準化技術委員會信息安全技術 個人信息去標識化效果分級評估規范 （征求意見稿）征求意見稿 旨在依據個人信息能多大程度上標識個人身份進行個人信息去標識化效果分級， 可用于評價個人信息去標識化活動的效果， 從而在保護個人信息安全的前提下促進數據的共享使用， 也可以細化不同分級個人信息的安全措施。4 月 19 日全國信息安全標準化技術委員會信息安全技術 移動互聯網應用程序（APP）個人信息安全測評規范（征求意見稿）征求意見稿規定了開展 App 個人信息安全測評的實施過程和測評方法。其中，GB/T 35273-2020信息安全技術 個

16、人信息安全規范第 5 章至第 11 章的各項要求，在征求意見稿第 6 章給出了相應的測評方法，每條要求對應一個測評項。信息安全技術 移動互聯網應用程序（APP） SDK 安全指南 （征求意見稿）征求意見稿 旨在為 SDK 提供者在 SDK 的開發、運營、個人信息處理、數據安全管理等環節中的各類活動提出安全規范。4 月 23 日國家互聯網信息辦公室網絡直播營銷管理辦法 （試行）辦法堅持立足當前與著眼長遠相結合，堅持促進發展與規范管理相結合， 堅持繼承性與創新性相結合， 充分考慮網絡直播營銷發展趨勢、行業實際、各類參與主體特點，按照全面覆蓋、分類監管的思路，一方面針對網絡直播營銷中的“人、貨、場”

17、，將“臺前幕后”各類主體、“線上線下”各項要素納入監管范圍，另一方面明確細化直播營銷平臺、直播間運營者、公安部商務部文化和旅游部國家稅務總局立法篇007時間主體主題內容國家市場監督管理總局直播營銷人員、 直播營銷人員服務機構等參與主體各自的權責邊界， 進一步壓實各方主體責任。國家廣播電視總局4 月 23 日全國信息安全標準化技術委員會信息安全技術 人臉識別數據安全要求 （征求意見稿）征求意見稿 將涉及人臉圖像處理的場景總結為“人臉驗證”“人臉辨識”“人臉分析”三大類，并規定了人臉識別數據的基本安全要求、安全處理要求和安全管理要求。4 月 26 日工業和信息化部信息通信管理局移動互聯網應用程序個

18、人信息保護管理暫行規定（征求意見稿）4 月 28 日全國信息安全標準化技術委員會信息安全技術 網 聯 汽 車 采集數據的安全要求 （草案） 草案規定了網聯汽車采集的數據在傳輸、存儲和跨境等環節的安全要求。4 月 28 日全國信息安全標準化技術委員會信息安全技術 聲紋識別數據安全要求 （征求意見稿）征求意見稿 將聲紋識別數據活動的典型場景概括為“聲紋識別應用場景”“科學實驗場景”“非聲紋識別的語音應用場景”等 ，并規定了聲紋識別數據的基本安全要求、 安全處理和安全管理要求。 4 月 28 日全國信息安全標準化技術委員會信息安全技術 步態識別數據安全要求 （征求意見稿）征求意見稿 將步態識別數據應

19、用場景概括為“身份識別應用場景”“非身份識別應用場景”“科研場景”等，并規定了處理步態識別數據的基本安全要求、安全處理和安全管理要求。4 月 29 日全國人大常委會中華人民共和國個人信息保護法（草案二次審議稿）中華人民共和國數據安全法（草案二次審議稿）5 月 11 日全國信息安全標準化技術委員會信息安全技術 基因識別數據安全要求 （征求意見稿）征求意見稿 規定了基因識別數據的基本安全要求、安全處理要求和安全管理要求，適用于基因識別數據控制者安全開展基因識別數據相關業務， 也適用于第三方測評機構開展測試評估工作。5 月 12 日國家互聯網信息辦公室會同有關部門汽車數據安全管理若干規定（征求意見稿

20、）2021 年終盤點008時間主體主題內容5 月 14 日廣東省人民政府廣東省首席數據官制度試點工作方案方案提出三項主要任務：明確首席數據官工作機制、明確首席數據官職責范圍、開展首席數據官評價。6 月 1 日深圳市人大常委會深圳經濟特區數據條例（征求意見稿）6 月 8 日國務院未成年人保護工作領導小組國務院未成年人保護工作領導小組關于加強未成年人保護工作的意見意見的重點任務包括“加強未成年人個人信息網絡保護”，要求網絡運營者有效履行未成年人個人信息網絡保護的平臺責任， 嚴格依照法律規定和用戶協議收集和使用未成年人個人信息，對未成年人及其監護人提出的更正、刪除未成年人網上個人信息的訴求，依法依規

21、予以配合。意見強調，嚴厲打擊通過網絡以文字、圖片、音視頻等形式對未成年人實施侮辱、誹謗、猥褻或惡意損害形象等網絡欺凌行為， 指導網絡運營者及時配合制止網絡欺凌行為并防止信息擴散。6 月 10 日全國人大常委會中華人民共和國數據安全法數據安全法 歷經三審正式通過， 于 2021 年9 月 1 日正式生效。6 月 22 日工業和信息化部關于加強車聯網（智能網聯汽車）網絡安全工作的通知（征求意見稿）6 月 28 日中國支付清算協會多方安全計算金融應用評估規范移動金融基于聲紋識別的安全應用評估規范7 月 1 日國家互聯網信息辦公室知情人士表示， 中國國家互聯網信息辦公室已啟動中國版數據跨境傳輸標準合同

22、的起草工作。 這呼應了 個人信息保護法 （草案） （二次審議稿） 第三十八條的規定，即個人信息處理者因業務等需要， 確需向中華人民共和國境外提供個人信息的，可以按照國家網信部門制定的標準合同與境外接收方訂立合同， 約定雙方的權利和義務， 并監督其個人信息處理活動達到本法規定的個人信息保護標準。7 月 5 日浙江省市場監督管理局數字化改革 公共數據分類分級指南（DB33/T 2351-2021）7 月 6 日深圳市人大常委會深圳經濟特區數據條例條例內容涵蓋個人數據、公共數據、數據要素市場、數據安全等方面，是國內數據領域首部基礎性、綜合性立法。 條例堅持“保護立法篇009時間主體主題內容與發展并重

23、，以保護為基礎，以發展為目標，以保護促發展”的基本指導思想，著力平衡發展數字經濟與保護個人數據、 數據開發利用與數據安全之間的關系， 構建數據治理的具體制度，力圖在確保數據安全，保護個人數據的基礎上，最大程度激發、釋放數據作為生產要素的經濟價值，為深圳市數字產業、數字經濟的發展提供良好的法治環境。7 月 6 日中共中央辦公廳關于依法從嚴打擊證券違法活動的意見意見 提出完善資本市場違法犯罪法律責任制度體系， 建立健全依法從嚴打擊證券違法活動的執法司法體制機制， 強化重大證券違法犯罪案件懲治和重點領域執法， 進一步加強跨境監管執法司法協作， 著力提升證券執法司法能力和專業化水平，加強資本市場信用體

24、系建設，加強組織保障和監督問責等要求。國務院辦公廳7 月 10 日國家互聯網信息辦公室網絡安全審查辦法 （修訂草案 征 求 意 見稿）征求意見稿強調，網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、 過程公正透明與知識產權保護相結合、 事前審查與持續監管相結合、 企業承諾與社會監督相結合，從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。7 月 12 日工業和信息化部網絡產品安全漏洞管理規定國家互聯網信息辦公室公安部7 月 20 日中國人民銀行非銀行支付機構重大事項報告管理辦法辦法指出，重大事項是指根據法律法規和中國人民銀行的規定應當事前報告的重大經營事項以及可能對支付機構（

25、含分公司）自身經營狀況、金融消費者權益、金融和社會穩定造成重大影響應當事后報告的事項， 支付機構報告重大事項應當一事一報， 做到及時、 真實、準確、完整，不得遲報、漏報、瞞報、謊報、錯報，不得有誤導性陳述或者重大遺漏。7 月 21 日商務部數字經濟對外投資合作工作指引2021 年終盤點010時間主體主題內容中央網絡安全和信息化委員會辦公室工業和信息化部7 月 28 日最高人民法院最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定司法解釋從解決民事爭議、 保護民事權益的角度， 對人臉信息有關民事爭議的處理中涉及的適用場景、適用對象、授權同意、舉證責任、維權支持等要

26、素進行了全面的規定。7 月 30 日國務院關鍵信息基礎設施安全保護條例條例 明確了開展關鍵信息基礎設施安全保護工作的各部門職責分工以及如何認定關鍵信息基礎設施，規定了保護工作部門的職責，強化和落實了關鍵信息基礎設施運營者主體責任和關鍵信息基礎設施安全保護工作， 規定了相應的保障和促進措施， 對實施危害關鍵信息基礎設施安全活動的個人和組織， 作出了相應的規范。7 月 30 日廣東省人大常委會廣東省數字經濟促進條例條例指出，數字經濟發展以數字產業化和產業數字化為核心。 數字產業化主要促進數字產品制造業、數字產品服務業、數字技術應用業、數字要素驅動業的發展；產業數字化主要促進工業數字化、農業數字化、

27、服務業數字化等數字化效率提升業的發展。8 月 4 日全國信息安全標準化技術委員會 （注： 征求意見稿由國家市場監督管理總局、國家標準化管理委員會聯合發布）信息安全技術 機器學習算法安全評估規范（征求意見稿）征求意見稿 規定了機器學習算法在設計開發、驗證測試、部署運行、維護升級、退役下線等階段的安全要求和證實方法， 以及機器學習算法的安全評估實施， 適用于對機器學習系統中的算法進行安全評估， 也適用于機器學習系統開發者和運營者在算法開發運營過程中進行自評估和改進安全措施。立法篇011時間主體主題內容8 月 4 日中國共產黨黨委（黨組）網絡安全工作責任制實施辦法實施辦法是中國共產黨黨內法規匯編唯一

28、收錄的網絡安全領域的黨內法規。 其從責任主體、責任范圍、責任事項、問責主體、啟動問責的條件、 問責措施等角度對網絡安全工作責任制進行明確定義。8 月 16 日國家互聯網信息辦公室汽車數據安全管理若干規定（試行）規定 指出， 汽車數據包括汽車設計、 生產、銷售、使用、運維等過程中的涉及個人信息數據和重要數據， 汽車數據處理者處理汽車數據應當合法、正當、具體、明確，與汽車的設計、生產、銷售、使用、運維等直接相關，利用互聯網等信息網絡開展汽車數據處理活動， 應當落實網絡安全等級保護等制度， 加強汽車數據保護，依法履行數據安全義務。國家發展和改革委員會工業和信息化部公安部交通運輸部8 月 20 日全國

29、人大常委會中華人民共和國個人信息保護法個人信息保護法歷經三審正式通過，于2021 年 11 月 1 日正式生效。8 月 20 日深圳市人民政府深圳市首席數據官制度試點實施方案實施方案明確了 3 方面 10 項具體任務，涉及建立首席數據官工作機制方面包含設立首席數據官及引進專業人才； 明確首席數據官職責范圍方面包含推進智慧城市和數字政府建設、完善數據標準化管理、推進數據融合創新應用、實施常態化指導監督、加強人才隊伍建設以及開展特色數據應用探索； 開展首席數據官評價總結方面包含建立首席數據官評價機制、加強工作總結等。8 月 21 日最高人民檢察院關于貫徹執行個人信息保護法推進個人信息保護公益訴訟檢

30、察工作的通知8 月 27 日國家互聯網信息辦公室互聯網信息服務算法推薦管理規定（征求意見稿）8 月 30 日中國證券監督管理委員會證券期貨業網絡安全等級保護基本要求證券期貨業網絡安全等級保護測評要求9 月 13 日工業和信息化部網絡產品安全漏洞收集平臺備案管理辦法（征求意見稿）2021 年終盤點012時間主體主題內容9 月 16 日工業和信息化部關于加強車聯網網絡安全和數據安全工作的通知通知指出，要落實安全主體責任，全面加強安全保護，加強智能網聯汽車安全防護，加強車聯網網絡安全防護， 加強車聯網服務平臺安全防護，加強數據安全保護，健全車聯網安全標準體系。9 月 23 日全國信息安全標準化技術委

31、員會信息安全技術 重要數據識別指南（征求意見稿）9 月 30 日工業和信息化部工業和信息化領域數據安全管理辦法 （試行） （征求意見稿） 9 月 30 日上海市人大常委會上海市數據條例（草案）（征求意見稿）10 月 8 日全國信息安全標準化技術委員會汽車采集數據處理安全指南（TC260-001）10 月 19日全國信息安全標準化技術委員會信息安全技術 汽車采集數據的安全要求（征求意見稿）10 月 29日國家互聯網信息辦公室數據出境安全評估辦法 （征求意見稿）征求意見稿強調，數據出境安全評估堅持事前評估和持續監督相結合、 風險自評估與安全評估相結合，防范數據出境安全風險，保障數據依法有序自由流動

32、。 數據處理者向境外提供數據，符合特定情形的（如關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據），應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估。10 月 29日國家市場監督管理總局互聯網平臺分類分級指南（征求意見稿）互聯網平臺落實主體責任指南（征求意見稿）11 月 1 日工業和信息化部關于開展信息通信服務感知提升行動的通知通知 聚焦影響用戶感知的信息通信服務環節，推動實現服務舉措“五優化”（即優化資費套餐設置展示方式、雙千兆服務宣傳方式、隱私政策和權限調用展示方式、 APP 開屏彈窗信息展示方式、網盤類服務提供方式），建立個人信息保護“雙清單”（即建立已收集個人信息立法

33、篇013時間主體主題內容清單、與第三方共享個人信息清單），實現服務能力“四提升”（即提升跨區域通辦能力、攜號轉網服務能力、客服熱線響應能力、APP 關鍵責任鏈個人信息保護能力）。到 2022 年 3月底，信息通信行業綜合服務明顯改善，用戶獲得感、幸福感和安全感進一步提升。11 月 12日中國互聯網協會移動互聯網應用程序 SDK安全規范 （征求意見稿）征求意見稿 規定了移動互聯網程序 （App）軟件開發工具包（SDK）的開發、運營中的安全要求， 并描述了滿足這些安全要求的證實方法。移動互聯網應用程序數據安全風險測評指南 （征求意見稿）征求意見稿 對移動互聯網應用程序數據安全風險測評工作要求、 測

34、評內容進行了描述和規范，并針對移動互聯網應用程序源文件、存儲、交互、安全防護等方面的數據安全風險給出相應測評方法。移動互聯網應用程序數據安全測評服務機構能力評定準則 （征求意見稿）征求意見稿 針對移動互聯網應用程序數據安全測評服務機構的基本條件、規模與資產、人員構成和素質、經驗業績、組織與管理、質量保證、項目管理、技術能力、專業培訓等方面，進行了基線統籌和細化明確，為機構資格評定的申請、評審、監督管理等流程與日常管理事項實施提供指引。11 月 12日深圳市人大常委會深圳經濟特區數字經濟產業促進條例 （征求意見稿）征求意見稿指出，要堅持保障安全與發展數字經濟并重的原則，建立健全網絡安全、數據安全

35、保障體系，完善協調機制以及安全預警、安全處置機制。11 月 14日國家互聯網信息辦公室網絡數據安全管理條例 （征求意見稿）征求意見稿包括總則、一般規定、個人信息保護、重要數據安全、數據跨境安全管理、互聯網平臺運營者義務、監督管理、法律責任和附則九個部分。11 月 25日上海市人大常委會上海市數據條例條例共 10 章 91 條，自 2022 年 1 月 1 日起實施，涵蓋數據發展與管理體系、數據權益保障、公共數據、數據要素市場等內容，包括依法保護自然人對其個人信息享有的人格權益；依法保護自然人、法人和非法人組織在數2021 年終盤點014時間主體主題內容據處理活動中形成的法定或者約定的財產權益，

36、 以及在數字經濟發展中有關數據創新活動取得的合法財產權益等。12 月 17日全國信息安全標準化技術委員會信息安全技術 網絡安全信息共享指南 （征求意見稿）征求意見稿 給出了網絡安全信息共享活動要素、基本原則、共享范圍和活動過程，適用于國家和行業主管部門、網絡運營者、網絡安全服務機構、 研究機構和個人等網絡安全信息共享參與方之間的網絡安全信息共享活動。12 月 20日廣州市人民政府國有資產監督管理委員會廣州市國資委監管企業數據安全合規管理指南（試行 2021 年版）12 月 27日最高人民法院關于審理網絡消費糾紛案件適用法律若干問題的規定（一）（征求意見稿）12 月 27日中央網絡安全和信息化委

37、員會“十四五”國家信息化規劃規劃部署了 10 項重大任務，一是建設泛在智聯的數字基礎設施體系， 二是建立高效利用的數據要素資源體系， 三是構建釋放數字生產力的創新發展體系， 四是培育先進安全的數字產業體系， 五是構建產業數字化轉型發展體系， 六是構筑共建共治共享的數字社會治理體系，七是打造協同高效的數字政府服務體系，八是構建普惠便捷的數字民生保障體系， 九是拓展互利共贏的數字領域國際合作體系， 十是建立健全規范有序的數字化發展治理體系， 并明確了 5G 創新應用工程等 17 項重點工程作為落實任務的重要抓手。2重要立法要點梳理以上立法中，我們選取了如下六個高位階、普適的法律法規作要點梳理，該等

38、法律法規的公布、出臺或生效在 2021 年度均引發了業內及全社會的高度關注，我們預判其影響力將在 2022 年度得到進一步釋放， 在配套立法活動中成為關鍵的制定和/或參考依據，在執法、司法活動中被大量援引和/或參考。（一）中華人民共和國數據安全法立法篇0152021 年 6 月 10 日， 中華人民共和國數據安全法由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議通過并公布，自 2021 年 9 月 1 日起施行。作為一部定位非常之高的基礎法律，其恰如新華社撰文數據安全法：護航數據安全 助力數字經濟發展所稱， 數據安全法是“數據領域的基礎性法律，也是國家安全領域的一部重要法律”。

39、以數據安全法為界，回望的，是一騎絕塵的網絡安全法，緊隨的，是千呼萬喚的個人信息保護法，三部法律共同組成護航我國數字網絡時代的“三駕馬車”。對于數據安全法，我們認為可從如下十五個視角進行拆解（“七讀”與“八引”）：數據安全法七讀1. 章節結構與條文設置2. 立法目的與必要性2.1 立法目的2.2 必要性3. 立法沿革與銜接3.1 沿革3.2 銜接4. 適用范圍4.1 地域范圍4.2 主體與行為范圍4.3 特殊適用5. 監督管理體系6. 特色亮點6.1 三種管制6.2 分類分級6.3 數據出境6.4 數據交易6.5 政務數據的處理6.6 智能化公共服務與特殊人群6.7 執法活動中的境內配合與境外提

40、供報批7. 法律責任7.1 歷次版本對比解析7.2 法律責任梳理數據安全法八引1. 網絡安全等級保護及其延伸1.1 網絡安全等級保護制度的內涵1.2 網絡安全等級保護的定級與測評備案1.3 數據安全法對網絡安全等級保護工作的延伸2. 全流程內部管理制度建設2.1 數據安全負責人和管理機構2.2 數據安全管理制度3. 數據資產盤點3.1 數據來源盤點3.2 數據類別識別3.3 安全現狀盤點2021 年終盤點0163.4 前置性行政許可梳理4. 數據分類分級4.1 根據目錄對重要數據加強保護4.2 針對其他數據自主開展分級分類并予以相應保護5. 安全監測與應急處置5.1 風險監測與補救5.2 風險

41、事件處理與報告6. 數據本地化存儲與出境6.1 原則上需要本地化存儲的數據6.2 數據出境的前提與手續6.3 數據出境安全評估6.4 違法向境外提供重要數據的法律責任7. 執法活動中的境內配合與境外提供報告8. 配套立法關注8.1 配套立法明細8.2 配套立法規劃以上僅為相關合規主題與關切要點梳理，我們曾于 2021 年 7 月牽頭編寫數據安全法合規指引 條文精讀 實務指引 重要參考一書，并于 2021 年 11 月末根據新近立法對其完成修訂，該指引的最新電子版將于近期在律商網上全文發布，如需閱讀“七讀八引”全文，敬請關注律商網的近期發布計劃。（二）網絡安全審查辦法（修訂草案征求意見稿）202

42、1 年 7 月 10 日，國家互聯網信息辦公室下發關于網絡安全審查辦法（修訂草案征求意見稿）公開征求意見的通知，而就在 7 月 9 日晚間，國家互聯網信息辦公室發布關于下架“滴滴企業版”等 25 款 App 的通報，再往前回溯至 7 月 6日，中共中央辦公廳、國務院辦公廳印發了關于依法從嚴打擊證券違法活動的意見。接連三波刷屏之作，不斷將“滴滴出行”“運滿滿”“貨車幫”“BOSS 直聘”引發的“網絡安全審查”討論“快速迭代”式地推向新的高潮。關于網絡安全審查辦法的修訂要點及評注，可參見如下：網絡安全審查辦法2020 年 6 月 1 日生效網絡安全審查辦法（修訂草案征求意見稿）2021 年 7 月

43、 9 日公開第一條 為了確保關鍵信息基礎設施供應鏈安全，維護國家安全，依據中華人民共和國國家安全法 中華人民共和國網絡安全法 ，制定本辦法。第一條 為了確保關鍵信息基礎設施供應鏈安全，維護國家安全，依據中華人民共和國國家安全法中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國數據安全法， 制定本辦法。評注1.新增數據安全法為制定網絡安全審查辦法的法律依據，與數據安全法第二十四條相呼應：立法篇017數據安全法第二十四條 國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。依法作出的安全審查決定為最終決定。2.此次修訂將“數據處理者”納入審查對象范疇（運

44、營者），網絡安全審查辦法即成為“數據安全審查制度”的重要組成，較大可能將不再制定數據安全審查辦法。此外，數據安全法的“觸手”效應初步顯現，其與其他相關法律、配套立法、制度間的互動、引致，才剛剛開始。第二條 關鍵信息基礎設施運營者（以下簡稱運營者）采購網絡產品和服務，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。第二條 關鍵信息基礎設施運營者（以下簡稱運營者） 采購網絡產品和服務，數據處理者 （以數據處理者 （以下稱運營者）開展數據處理活動下稱運營者）開展數據處理活動，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。評注1.新增“數據處理者”納入“運營者”范疇，與關鍵信息基

45、礎設施運營者在網絡安全審查問題上獲得同等主體地位。數據處理者的法律定義可參考數據安全法對“數據處理”的定義進行理解：數據安全法第三條第二款 數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。照此定義，數據處理者宜理解為從事或開展數據處理活動的自然人、組織。2.該項修訂后， “運營者”范圍獲得極大擴張。網絡安全審查將不再局限于“關鍵信息基礎設施運營者采購網絡產品和服務”這個單一場景。3.值得回爐再談的是， 諸如“滴滴出行”“運滿滿”“貨車幫”“BOSS 直聘”等是否屬于“關鍵信息基礎設施運營者”？我們認為，滴滴出行等系基于現行生效的網絡安全審查辦法而被發起網絡安全審查，僅從先行生效

46、法規的條文理解出發，該等主體的關鍵信息基礎設施運營者身份依然肯定，否則既已發起的網絡安全審查將無法滿足主體適格的基礎準入要求。同時，此次修訂即時生效，屬于法律修訂，不具備追溯力，亦未見追溯力條款規定，故無法以新修訂網絡安全審查辦法中存在“數據處理者開展數據處理活動”為由將滴滴出行等的網絡安全審查活動修正為系對“數據處理者開展數據處理活動”所發起。4.該項修訂將進一步驗證我們此前的結論，網絡安全審查獲得普適使用，近期熱點事項中的涉事機構絕非個案。第三條 網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合，

47、從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。第三條 網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合，從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。2021 年終盤點018評注條文無變化。第四條 在中央網絡安全和信息化委員會領導下，國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、 中華人民共和國商務部、 中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密

48、局、國家密碼管理局建立國家網絡安全審查工作機制。網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關制度規范，組織網絡安全審查。第四條 在中央網絡安全和信息化委員會領導下，國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、 中華人民共和國商務部、 中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、中國證券監督管理委員會、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關

49、制度規范，組織網絡安全審查。評注1.新增“中國證券監督管理委員會”加入網絡安全審查的工作機制之中，原先的十二羅漢有望成為十三羅漢。2.證監會的加入，一方面在于近期事件的導火索“赴美 IPO”，另一方面，本次修訂新增“運營者赴國外上市”相關規定，故指向性非常明確。3.證監會被明確納入成為國家網絡安全審查工作機制成員，將在證券監管職權之外，賦予其新的職權，進而能夠深度參與特定場景（赴國外上市）下的網絡安全審查工作。立法篇019第五條 運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。關鍵信息基礎設

50、施保護工作部門可以制定本行業、本領域預判指南。第五條 運營者采購網絡產品和服務的，應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的，應當向網絡安全審查辦公室申報網絡安全審查。關鍵信息基礎設施保護工作部門可以制定本行業、本領域預判指南。評注條文無變化。無相應條款第六條第六條 掌握超過掌握超過100萬用戶個人信息的運營萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。報網絡安全審查。評注1.新增條款，系此次修訂最受關注條款（沒有之一）。直抒胸臆式的條文表達，與近期事件強呼應，亦可視作國家在“赴國外上市

51、”問題上的表態?！氨仨殹钡葒烂C措辭亦可視作國家態度的體現。2.“超 100 萬用戶”的準入標準，基本能夠把國內全部的互聯網企業攬入懷中。該條規定影響重大，“泛”而“嚴”地在一眾互聯網公司的國外上市之路上架起了網絡安全審查的卡口。與 7 月 6 日的關于依法從嚴打擊證券違法活動的意見形成強呼應。3.該新增條款如實際落地，一盤大棋方才新啟，對于后續國內互聯網企業境外上市的目的地選擇可能施加重要影響（如首選“香港”而非“國外”），對于既已上市的中概股是否可能開啟回國潮、赴港潮，亦值得關注。第六條 對于申報網絡安全審查的采購活動，運營者應通過采購文件、協議等要求產品和服務提供者配合網絡安全審查，包括承

52、諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或必要的技術支持服務等。第七條 對于申報網絡安全審查的采購活動，運營者應通過采購文件、協議等要求產品和服務提供者配合網絡安全審查，包括承諾不利用提供產品和服務的便利條件非法獲取用戶數據、非法控制和操縱用戶設備，無正當理由不中斷產品供應或必要的技術支持服務等。評注條文順延，內容無變化。第七條 運營者申報網絡安全審查，應當提交以下材料：（一）申報書；（二）關于影響或可能影響國家安全的分析報告；（三）采購文件、協議、擬簽訂的合同等；（四）網絡安全審查工作需要的其他材料。第八條 運營者申報網絡安全審查，應

53、當提交以下材料：（一）申報書；（二）關于影響或可能影響國家安全的分析報告；（三）采購文件、協議、擬簽訂的合同或擬提或擬提交的交的IPO材料材料等；（四）網絡安全審查工作需要的其他材料。2021 年終盤點020評注1.在運營者主動申報網絡安全審查情形下，本條新增“擬提交的 IPO 材料”，將其納入申請材料中。2.第八條第（三）款中的連接字為“或”，以其為界，“采購文件、協議、擬簽訂的合同”主要指向關鍵信息基礎設施運營者采購網絡產品和服務情形，“擬提交的IPO 材料”則指向“掌握超過 100 萬用戶個人信息的運營者赴國外上市”情形。3.表面看，第八條第（三）款似乎與“數據處理者（以下稱運營者）開展

54、數據處理活動”無直接關聯，實非如此，絕大多數情況下，作為數據處理者都必然會涉及網絡產品和服務的采購，且數據處理者為開展數據處理活動，必然涉及大量的協議或合同簽署行為，無論從哪個角度，均可落入“采購文件、協議、擬簽訂的合同”范疇。4.“擬提交的 IPO 材料”宜做寬泛理解，應當包括全部的材料。與此次修訂的第六條相呼應，進一步可窺知今后“赴國外上市”之路的“慎”且“長”。第八條 網絡安全審查辦公室應當自收到審查申報材料起， 10 個工作日內確定是否需要審查并書面通知運營者。第九條 網絡安全審查辦公室應當自收到審查申報材料起， 10 個工作日內確定是否需要審查并書面通知運營者。評注條文順延，內容無變

55、化。第九條 網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險，主要考慮以下因素：（一）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；（二）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；（三） 產品和服務的安全性、 開放性、 透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；（四）產品和服務提供者遵守中國法律、行政法規、部門規章情況；（五）其他可能危害關鍵信息基礎設施安全和國家安全的因素。第十條 網絡安全審查重點評估采購網絡產品和服務活動、數據處理活動以及國外上市活動、數據處理活動

56、以及國外上市可能帶來的國家安全風險，主要考慮以下因素：（一）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；（二）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；（三）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；（四）產品和服務提供者遵守中國法律、行政法規、部門規章情況；（五）核心數據、重要數據或大量個人信息被（五）核心數據、重要數據或大量個人信息被竊取、 泄露、 毀損以及非法利用或出境的風險；竊取、 泄露、 毀損以及非法利用或出境的風險；（六）國外上市后關鍵信

57、息基礎設施，核心數（六）國外上市后關鍵信息基礎設施，核心數據、重要數據或大量個人信息被國外政府影據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險；響、控制、惡意利用的風險；（七）（七）其他可能危害關鍵信息基礎設施安全和國家數據數據安全的因素。立法篇021評注1.修訂后的第十條刪除“網絡產品和服務”，我們認為這并非改變法條的原意，而是用“采購活動”取代了“采購網絡產品和服務”?！安少徎顒印币膊⒎谴舜涡抻喫褂玫男略~，如現行生效版網絡安全審查辦法第六條也適用了“采購活動”表述。2.修訂后的條文加入“數據處理活動”和“國外上市”兩類情形，該等修訂系源于此次第二條的修訂（“數據處理者”納

58、入“運營者”范疇）和第六條的新增（滿足特定條件的運營者赴國外上市情形）。3.修訂后的第（一）款刪除了“以及重要數據被竊取、泄露、毀損”表述，進而將被刪內容單獨列為第（五）款“核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險”，該第（五）款的內容更為具象化，新增了“非法利用”“出境”兩項，更具周延性，同時呼應數據安全法和個人信息保護的內容，核心數據、重要數據、個人信息被同時列明。通過第（五）款，網絡安全審查將可以全面引致到數據安全法、個人信息保護法領域，相應地，因數據安全和個人信息保護問題引發的風險，均成為網絡安全審查中的評估內容，這對于審查者和被審查者，都絕非易事。4

59、.修訂后的條文新增第（六）款，系針對國外上市情況而設定，且是針對“國外上市后”的情形，意味著既已國外上市的“中概股”們，均有被“秋后算賬”的可能，如果我們對該款的理解正確，則將對中概股企業影響極為重大，從業機構需要評估自身被發起網絡安全審查的可能性而積極籌備，以及被發起網絡安全審查后的積極應對。5.修訂后的第（七）款增加“數據安全”表述，系源于數據安全法列為網絡安全審查辦法的制定依據緣由。第十條 網絡安全審查辦公室認為需要開展網絡安全審查的，應當自向運營者發出書面通知之日起 30 個工作日內完成初步審查，包括形成審查結論建議和將審查結論建議發送網絡安全審查工作機制成員單位、相關關鍵信息基礎設施

60、保護工作部門征求意見；情況復雜的，可以延長 15 個工作日。第十一條 網絡安全審查辦公室認為需要開展網絡安全審查的，應當自向運營者發出書面通知之日起 30 個工作日內完成初步審查，包括形成審查結論建議和將審查結論建議發送網絡安全審查工作機制成員單位、相關關鍵信息基礎設施保護工作部門征求意見；情況復雜的，可以延長 15 個工作日。評注條文順延，內容無變化。第十一條 網絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門應當自收到審查結論建議之日起 15 個工作日內書面回復意見。網絡安全審查工作機制成員單位、相關關鍵信息基礎設施保護工作部門意見一致的，網絡安第十二條 網絡安全審查工作機制成

61、員單位和相關關鍵信息基礎設施保護工作部門應當自收到審查結論建議之日起 15 個工作日內書面回復意見。網絡安全審查工作機制成員單位、相關關鍵信息基礎設施保護工作部門意見一致的，網絡安2021 年終盤點022全審查辦公室以書面形式將審查結論通知運營者； 意見不一致的， 按照特別審查程序處理，并通知運營者。全審查辦公室以書面形式將審查結論通知運營者； 意見不一致的， 按照特別審查程序處理，并通知運營者。評注條文順延，內容無變化。第十二條 按照特別審查程序處理的，網絡安全審查辦公室應當聽取相關部門和單位意見，進行深入分析評估，再次形成審查結論建議，并征求網絡安全審查工作機制成員單位和相關關鍵信息基礎設

62、施保護工作部門意見，按程序報中央網絡安全和信息化委員會批準后，形成審查結論并書面通知運營者。第十三條 按照特別審查程序處理的，網絡安全審查辦公室應當聽取相關部門和單位意見，進行深入分析評估，再次形成審查結論建議，并征求網絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門意見，按程序報中央網絡安全和信息化委員會批準后，形成審查結論并書面通知運營者。評注1.修訂后的本條刪除了“關鍵信息基礎設施保護工作”字樣，即，特別審查程序情形下，網絡安全審查辦公室無需再向相關關鍵信息基礎設施保護工作部門征求意見。2.修訂后的特別審查程序，在“征求意見”環節，與運營者主動審查情形下的審查有所區分，我們認

63、為，特別審查程序的發起原因即在于“網絡安全審查工作機制成員單位、相關關鍵信息基礎設施保護工作部門意見不一致”，因此在發起特別審查程序后，實無必要再次同時征詢網絡安全審查工作機制成員單位和相關關鍵信息基礎設施保護工作部門的意見，此外，特別審查程序的“終端解決”在于“中央網絡安全和信息化委員會批準”，依然是最高級別?；诖?，我們認為此處的刪除，旨在提升特別審查程序的處理效率。第十三條 特別審查程序一般應當在 45 個工作日內完成，情況復雜的可以適當延長。第十四條 特別審查程序一般應當在 45 個工作日內 3個月內個月內完成，情況復雜的可以適當延長。評注1.此次修訂延長了特別審查程序的基礎時限，從

64、45 個工作日延長至 3 個月，幾近翻倍。2.關于特別審查程序時限的延長，從“可以適當延長”修改為“可以延長”，“適當”字樣的刪除，表明發生延長的時間可以“長短自定”。3.從本條修訂可以推測，一方面，就近期網絡安全審查案件而言，主管機關可能已經意識到該等審查事件的復雜性，故通過修訂法律延展相應期限，另一方，期限的延長側面反映出網絡安全審查案件的受重視程度，大有“必須辦扎實辦成鐵案”的監管心態。第十四條 網絡安全審查辦公室要求提供補充材料的，運營者、產品和服務提供者應當予以配合。提交補充材料的時間不計入審查時間。第十五條 網絡安全審查辦公室要求提供補充材料的，運營者、產品和服務提供者應當予以配合

65、。提交補充材料的時間不計入審查時間。立法篇023評注條文順延，內容無變化。第十五條 網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務，由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后，依照本辦法的規定進行審查。第十六條 網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務、數據處理活動以及國外上市行為、數據處理活動以及國外上市行為，由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后，依照本辦法的規定進行審查。評注本條的修訂源于此次第二條的修訂 （“數據處理者”納入“運營者”范疇） 和第六條的新增（滿足特定條件的運營者赴國外上市情形）

66、，僅就內容實質而言，未有變化。第十六條 參與網絡安全審查的相關機構和人員應嚴格保護企業商業秘密和知識產權，對運營者、產品和服務提供者提交的未公開材料，以及審查工作中獲悉的其他未公開信息承擔保密義務；未經信息提供方同意，不得向無關方披露或用于審查以外的目的。第十七條 參與網絡安全審查的相關機構和人員應嚴格保護企業商業秘密和知識產權，對運營者、產品和服務提供者提交的未公開材料，以及審查工作中獲悉的其他未公開信息承擔保密義務；未經信息提供方同意，不得向無關方披露或用于審查以外的目的。評注條文順延，內容無變化。第十七條 運營者或網絡產品和服務提供者認為審查人員有失客觀公正，或未能對審查工作中獲悉的信息

67、承擔保密義務的，可以向網絡安全審查辦公室或者有關部門舉報。第十八條 運營者或網絡產品和服務提供者認為審查人員有失客觀公正，或未能對審查工作中獲悉的信息承擔保密義務的，可以向網絡安全審查辦公室或者有關部門舉報。評注條文順延，內容無變化。第十八條 運營者應當督促產品和服務提供者履行網絡安全審查中作出的承諾。網絡安全審查辦公室通過接受舉報等形式加強事前事中事后監督。第十九條 運營者應當督促產品和服務提供者履行網絡安全審查中作出的承諾。網絡安全審查辦公室通過接受舉報等形式加強事前事中事后監督。評注條文順延，內容無變化。第十九條 運營者違反本辦法規定的，依照中華人民共和國網絡安全法第六十五條的規定處理。

68、第二十條 運營者違反本辦法規定的，依照中華人民共和國網絡安全法第六十五條中華人民共和國數據安全法中華人民共和國數據安全法的規定處理。評注1.此次修訂中，因數據安全法新增為網絡安全審查辦法的制定依據，故相應的法律責任條款也需要與數據安全法進行銜接。2.從修訂后的條文來看，“第六十五”條的刪除，可理解為法律責任的極大擴張，該條引致到了兩部法律（網絡安全法和數據安全法），而非單一的或某幾條具體的條文。原因有二：第一，因為修訂后的網絡安全審查辦法把“數據處理者的數據處理活動”和“超 100 萬用戶企業國外上市”等納入審查范圍，而“數據處理活動”和“擁有超 100 萬用戶的企業”，會涉及更廣的數據安全、

69、個人2021 年終盤點024信息保護話題，違反修訂后網絡安全法規定的情形，因為主體和范圍的擴張而隨之擴張；第二，此次修訂有意擴張法律責任的適用邊界?；诖?，責任范圍擴大，引致條款激增。第二十條 本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。本辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。第二十一條 本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。本辦法所稱網絡產品和服務主要指核心網絡設備、重要通

70、信產品、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。評注1.本條第二款新增“重要通信產品”內容，進而將“網絡產品和服務”的范圍進行擴容。 新增內容的考量點仍在于將更多的網絡產品和服務納入其中， 進而擴張網絡安全審查的范圍。2.雖法條本身有“其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務”的兜底規定，但此次仍然單獨增加了“重要通信產品”，更多是在呼應當下國情的一眾互聯網企業們的實際情況，“通信產品”的范圍和適用性需求凸顯。第二十一條 涉及國家秘密信息的，依照國家有關保密規定執行

71、。第二十二條 涉及國家秘密信息的，依照國家有關保密規定執行。評注條文順延，內容無變化。第二十二條 本辦法自 2020 年 6 月 1 日起實施， 網絡產品和服務安全審查辦法（試行）同時廢止。第二十三條 本辦法自 2020 年 6 月 1 日 2021年年 月月 日日起實施，網絡產品和服務安全審查辦法（試行）同時廢止。評注本條文的后半句內容有待調整，現行網絡安全審查辦法中，“網絡產品和服務安全審查辦法（試行）同時廢止”所指的“同時”，系指 2020 年 6 月 1 日。換言之， 網絡產品和服務安全審查辦法（試行）已經于 2020 年 6 月 1 日起廢止?；诖?，該條文后半句宜作出調整，無需再談

72、網絡產品和服務安全審查辦法（試行）的廢止問題，因為其目前已經處于廢止狀態。特別說明：（紅色加粗斜體含下劃線）（紅色加粗斜體含下劃線）部分內容為此次征求意見稿的新增內容；（綠色加粗含刪除線）部分內容既有生效辦法被刪除的內容；（藍色加粗）部分為法條條數順延引發的變化，不涉及實質內容修訂。關于網絡安全審查辦法的此次修訂征求意見，我們曾于 2021 年 7 月撰文數欲靜 風不止 | 關于網絡安全審查辦法最新修訂你需要知道的八個問題（可點擊鏈接閱讀），詳盡分析與評述可通過該文閱讀了解。立法篇025（三）最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定公眾關于人臉識別的困

73、惑、 焦慮乃至恐懼， 伴隨著今年的 3.15 晚會而被“引爆”。至此，人臉識別技術在司法領域的探討被提上日程，其與民法典個人信息保護相關條款、個人信息保護法等息息相關，又易引發民事責任新型問題，哪些行為應當被認定為非法處理自然人面部特征信息？損害結果有哪些？侵權責任承擔采取哪種歸責原則？舉證責任如何分配？多個信息處理者如何承擔責任？深度偽造、AI 換臉引發的侵權如何救濟？同時侵害肖像權、名譽權情形下的責任承擔？死者面部特征信息使用引發的侵權如何救濟？細思多有困擾與難點， 亟需司法關注與回應。2021 年 7 月 28 日，最高人民法院公開發布最高人民法院關于審理使用人臉識別技術處理個人信息相關

74、民事案件適用法律若干問題的規定（法釋202115號），人臉識別領域迎來首部專門的司法解釋。該規定于 2021 年 8 月 1 日起生效，全文共十六條，條文數量不多，但信息量頗為豐富。我們認為，關于規定的如下十二個問題值得探討：Q1 規定 的適用范圍如何？Q2 侵害人格利益的行為有哪些？Q3 如何獲得單獨同意/書面同意？Q4 影響民事責任大小的因素有哪些？Q5 獲得同意就“高枕無憂”了嗎？Q6 免責事由包括哪些？Q7 舉證責任如何分配？Q8 責任范圍包括哪些？Q9 格式條款無效如何適用？Q10 可以主張違約責任嗎？Q11 規定有溯及力嗎？Q12 企業應如何應對？關于規定，我們曾于 2021 年

75、7 月撰文人面不知何處去 桃花難再笑春風 | 關于人臉識別司法解釋你需要知道的十二個問題（可點擊鏈接閱讀），前述十二個問題的相關分析可通過該文閱讀了解。（四）中華人民共和國個人信息保護法2021 年 8 月 20 日， 中華人民共和國個人信息保護法由中華人民共和國第十三屆全國人民代表大會常務委員會第三十次會議通過并公布，自 2021 年 11 月 1 日起施行。至此，網絡安全法數據安全法個人信息保護法的相繼出臺與施行，宣告護航我國數字網絡時代的“三駕馬車”正式完成組建。從 2012 年末關于加強網絡信息保護的決定明確提出要求保護個人電子信息，到個人信息保護法三審通過并最終公布，我們走過了近十年

76、的光景。對于個人信息保護法，我們認為可從如下十七個視角進行拆解（“八讀”與“九引”）：2021 年終盤點026個人信息保護法八讀1. 章節結構與條文設置2. 立法目的與必要性2.1 立法目的2.2 必要性3. 立法沿革與銜接3.1 正式稿與二審稿的主要區別3.2 關鍵概念的明確3.3 立法銜接4. 適用范圍4.1 地域管轄4.2 域外效力4.3 特殊主體的適用5. 監督管理體系5.1 監管體系5.2 監督體系6. 處理個人信息的基本原則6.1 合法正當必要誠信原則6.2 目的明確和直接相關原則6.3 公開透明原則6.4 其他原則7. 國家機關處理個人信息的特別規定7.1 為履行法定職責處理個人

77、信息的特別規定7.2 告知要求與告知的例外7.3 原則境內存儲+向境外提供個人信息應進行安全評估7.4 具有管理公共事務職能的組織的規范要求8. 法律責任8.1 歷次版本對比解析8.2 法律責任梳理個人信息保護法九引1. 處理個人信息的合法性基礎1.1 同意1.2 為訂立或履行合同所必須或者實施人力資源管理所必需1.3 為履行法定職責或法定義務所必需1.4 為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需1.5 為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息1.6 依照本法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息1.7 法

78、律、行政法規規定的其他情形2. 告知的要求與告知的例外2.1 告知的要求2.2 告知的例外3. 同意的要求與撤回同意3.1 同意的要求3.2 撤回同意立法篇0273.3 不得拒絕提供產品和服務的原則要求與除外情形4. 個人信息的存儲與特殊使用4.1 個人信息的存儲4.2 個人信息的特殊使用場景5. 個人信息的共同處理、 委托處理、 對外提供、轉移、公開披露5.1 共同處理5.2 委托處理5.3 對外提供個人信息5.4 轉移5.5 公開披露6. 敏感個人信息的處理規則6.1 敏感個人信息的定義6.2 敏感個人信息的特殊處理規則6.3 敏感個人信息的專門規則7. 執法活動中的境內配合與境外提供報告

79、7.1 個人信息出境的條件與限制7.2 個人信息出境的分步走判斷方法8. 個人信息主體的權利實現8.1 個人信息主體權利的具體內容8.2 死者個人信息的近親屬權利9. 個人信息處理者的義務9.1 通用義務9.2 特定主體的義務以上僅為相關合規主題與關切要點梳理，我們曾于 2021 年 9 月牽頭編寫個人信息保護法合規指引 宏觀精讀 微觀指引 重要參考一書，該指引的電子版已在律商網上全文發布，如需閱讀“八讀九引”全文，可前往律商網查閱。（五）數據出境安全評估辦法（征求意見稿）自網絡安全法實施以來，數據的本地化存儲要求與出境合規就一直備受關注，也是眾多跨國公司數據合規工作中的重難點，數據安全法更是

80、自草案二審稿開始增加了關于重要數據出境的相關管理要求（第三十一條）。網絡安全法數據安全法個人信息保護法分別從多個數據維度對數據出境的問題作出規制；此外，在相關規范尚不健全的情況下， 數據出境安全評估辦法（征求意見稿）網絡數據安全管理條例（征求意見稿）等一系列尚未生效的法規、指南和標準，也在一定程度上表明了監管部門對該問題的看法。2021 年 10 月 29 日由國家互聯網信息辦公室下發的數據出境安全評估辦法（征求意見稿），似有替代既往信息安全技術 數據出境安全評估指南（草案）個人信息出境安全評估辦法（征求意見稿）等相關規定征求意見稿之意，該征求意見稿明確了申報數據出境安全評估的情形、數據出境風

81、險自評估的事項、數據2021 年終盤點028出境安全評估的程序和評估重點、 數據處理者與境外接收方訂立的合同要求等內容，其后續正式出臺并實施的可能性相對較高。我們根據數據出境安全評估辦法（征求意見稿）的條文內容，對數據出境所需遵循的前置程序總結如下圖：立法篇029關于數據出境，我們曾于 2021 年 9 月和 12 月撰文數據安全觀察 | 哪些數據必須本地化存儲？數據出境如何做好合規管理？（可點擊鏈接閱讀）JT&N 觀點 | 多國重疊管轄下，數據跨境流動面臨合規兩難（可點擊鏈接閱讀）和JT&N 觀點 | RCEP 框架下，我國數據跨境流動的規則與實踐（可點擊鏈接閱讀）在數據安全法合規指引 條文

82、精讀 實務指引 重要參考和個人信息保護法合規指引 宏觀精讀 微觀指引 重要參考兩書中亦有相關內容涉及，可結合上圖及該等文稿進行閱讀了解。（六）網絡數據安全管理條例（征求意見稿）2021 年 11 月 14 日，國家互聯網信息辦公室發布網絡數據安全管理條例（征求意見稿），該條例包括總則、一般規定、個人信息保護、重要數據安全、數據跨境安全管理、互聯網平臺運營者義務、監督管理、法律責任和附則九個部分共計 75個條文。從位階來看，該條例應屬于“行政法規”，按照立法法規定，其正式稿應當由總理簽署國務院令發布，并在三十日內報全國人大常委會備案。網絡數據安全管理條例（征求意見稿）系網絡安全法數據安全法個人信

83、息保護法的下位配套法規，信息量極大，我們認為可進行如下拆解：網絡數據安全管理條例征求意見稿1. 章節結構與條文設置2. 規 制 對 象及適用范圍2.1 規制對象2.2 適用范圍3. 數 據 處 理者的一般義務（數據安全保護義務）3.1 個人信息處理規則3.1.1 處理3.1.1.1 前提（取得個人同意）3.1.1.2 具體要求3.1.2 保障個人權利3.1.2.1 限期刪除個人信息3.1.2.2 便捷的個人信息結構化查詢途徑3.1.2.3 個人信息向其他數據處理者的轉移3.1.3 其他3.1.3.1 利用生物特征進行個人身份認證場景下的風險評估3.1.3.2 采用自動化工具訪問收集數據場景下的

84、影響評估3.2 其他機制3.2.1 數據安全投訴舉報機制3.2.2 數據安全技術保護機制3.2.3 數據安全應急處置機制3.2.4 網絡安全審查申報機制4.1.1 重要數據的定義與類別列舉2021 年終盤點0304. 數 據 處 理者的特殊義務4.1 重要數據處理者4.1.2 識別重要數據4.1.3 共享、交易、委托處理重要數據的特別要求4.1.4 成立數據安全管理機構（由數據安全負責人領導）4.1.5 制定數據安全培訓計劃4.1.6 優先采購安全可信的網絡產品和服務4.1.7 開展數據安全評估4.2 向境外提供數據的處理者4.2.1 事前4.2.1.1“四選一”及其豁免4.2.1.2 告知+

85、單獨同意4.2.1.3 按照國家數據跨境安全監管要求建立健全相關技術和管理措施4.2.2 事中（履行義務）4.2.2.1 符合個人信息保護影響評估報告4.2.2.2 符合數據出境安全評估報告4.2.2.3 監督數據接收方4.2.2.4 境外再轉移個人信息的特殊要求4.2.2.5 留存記錄（日志記錄和數據出境審批記錄）4.2.2.6 接受和處理數據出境所涉及的用戶投訴4.2.2.7 依法承擔法律責任4.2.2.8 配合主管部門核驗4.2.2.9 停止及補救義務4.2.3 事后4.2.3.1 數據出境安全報告（每年 1 月 31日前）4.2.4 其他4.2.4.1 數據跨境安全網關建設4.3 互聯

86、網平臺運營者4.3.1 建立與數據相關的平臺規則、隱私政策、算法策略披露制度，及時披露制定程序、裁決程序4.3.2 對接入其平臺的第三方產品和服務（包括移動通信終端預裝的第三方產品）承擔數據安全管理責任4.3.3 提供具體 服 務 情 形下的要求4.3.3.1 即時通信服務4.3.3.2 應用程序分發業務4.3.3.3 為國家機關提供服務，參與公共基礎設施、公共服務系統建設運維管理，利用公共資源提供服務4.3.4 支持并優先使用國家網絡身份認證公共服務基礎設施提供的個人身份認證服務立法篇0314.3.5 利用個人信息和個性化推送算法向用戶提供信息4.3.6 利用人工智能、虛擬現實、深度合成等新

87、技術開展數據處理活動4.3.7 配合國務院有關部門調取或者訪問公共數據、公共信息4.3.8 開展年度審計及披露審計結果4.3.9 負面清單（嚴禁從事的活動）5. 監管體系5.1 監管主體5.1.1 國家網信部門5.1.2 公安機關、國家安全機關5.1.3 工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門5.2 配套制度5.2.1 數據分類分級保護制度5.2.2 數據交易管理制度5.2.3 數據安全應急機制5.2.4 數據安全審計制度5.2.5 行業自律組織制定行業規范6. 法律責任6.1 數據處理者未履行一般義務6.1.1 違反 9-18 條規定6.1.2 違反 19-25 條

88、規定6.2 數據處理者未履行特殊義務6.2.1 重要數據處理者6.2.1.1 違反 28-33 條規定6.2.1.2 違反 34 條規定6.2.2 向境外提供數據的處理者6.2.2.1 違反 35-37、39/1、40、42 條規定6.2.2.2 違反 39/2 條規定6.2.2.3 違反 41 條規定6.2.3 互聯網平臺運營者6.2.3.1 違反 43-45、47、53 條規定6.2.3.2 違反 46、48、51 條規定6.2.3.3 違反 49、54 條規定6.3 國家機關未履行數據保護義務關于網絡數據安全管理條例（征求意見稿），我們已儲備相應的解讀文案及思維導圖，將在其正式發布后推出

89、相應的合規指引，敬請期待。2021 年終盤點032二、執法篇在相關立法不斷出臺和完善的基礎上，數據合規與個人信息保護領域的執法行動持續加強，各部門爭相作為，中央層面、地方層面的執法行動“環環相扣”。執法成果亦是“立竿見影”，違法違規處理個人信息的行為“難以遁形”，違法違規后果日漸加重，數據合規與個人信息保護的整體水平得以顯著提高。而其中，“滴滴出行”等網絡安全審查事件，無疑將數據合規與個人信息保護領域執法行動的關注度、影響力和威懾力推向了新的高峰。1風起網安審查2021 年 7 月，“滴滴出行”被啟動網絡安全審查，大眾對該事件的種種推論、遐想乃至臆想隨處可見，該事件熱度至今仍未完全消散，12

90、月 3 日，“滴滴出行”官方微博發布的公告讓這起在 2021 年度極具代表性的執法行動“又起漣漪”?！暗蔚纬鲂小?宣布公司即日起啟動在紐交所退市的工作， 并啟動在香港上市的準備工作。經過半年時間的發酵，“滴滴出行”此舉似乎在很多人的“意料之中”。在“滴滴出行”等網絡安全審查結果尚未“一錘定音”之際，我們以時間為主線，梳理如下：執法篇033網絡安全審查包括運營者自主報請審查和主管部門依職權啟動審查兩種情形，關于大家關心的審查流程和時間，我們分別制作圖示以供參考。下圖為報請審查情形下的審查流程和時間圖：2021 年終盤點034執法篇035下圖為依職權啟動審查情形下的審查流程和時間圖：2021 年終

91、盤點036關于“滴滴出行”被實施網絡安全審查事件，我們曾于 2021 年 7 月撰文起風了 請添衣 | 關于滴滴出行被實施網絡安全審查你最想知道的八個問題（可點擊鏈接閱讀），受益于事件熱度與全民關注，該文章沖破 10W+的閱讀量，詳盡分析與評述可通過該文閱讀了解。關于被實施網絡安全審查后“滴滴出行”App 再被下架，我們亦曾于 2021 年 7 月撰文風再起 何處往 | 被實施網安審查后滴滴出行再被下架，App 個保合規你需要知道的八個問題（可點擊鏈接閱讀），詳盡分析與評述可通過該文閱讀了解。2專項整治行動梳理進入 2021 年，數據合規與個人信息保護的專項整治行動逐漸進入“深水區”，整治力度

92、持續加碼，整治經驗日漸豐富。與此前相比最為明顯的變化為，地方層面的專項整治行動顯著增多，大部分省/直轄市先后在地方層面展開專項整治行動，且呈繼續擴大之勢。央地合力之下，整治效果更加顯著。（一）中央層面專項整治行動匯總序號監管部門專項整治行動1國家網信辦國家網信辦 2021 年持續開展 App 違法違規收集使用個人信息情況的檢測、通報和處置2工信部2020 年 7 月， 工信部發布 工業和信息化部關于開展縱深推進 App 侵害用戶權益專項整治行動的通知，決定開展縱深推進 App 侵害用戶權益專項整治行動，整治力度持續加碼。2021 年，專項整治行動持續開展3工信部2021 年 7 月 23 日，

93、工信部召開互聯網行業專項整治行動動員部署電視電話會議，正式啟動為期半年的專項整治行動4國家網信辦國家網信辦決定 2021 年 8 月 27 日啟動“清朗移動應用程序 PUSH 彈窗突出問題專項整治”，聚焦突出問題靶向施策，推動 PUSH 彈窗傳播秩序短期內實現明顯好轉5工信部2021 年 11 月 1 日，工信部印發關于開展信息通信服務感知提升行動的通知，部署開展信息通信服務感知提升行動。行動聚焦影響用戶感知的信息通信服務環節，推動實現服務舉措“五優化”（即優化資費套餐設置展示方式、雙千兆服務宣傳方式、隱私政策和權限調用展示方式、App 開屏彈窗信息展示方式、網盤類服務提供方式），建立個人信息

94、保護“雙清單”（即建立已收集個人信息清單、與第三方共享執法篇037序號監管部門專項整治行動個人信息清單），實現服務能力“四提升”（即提升跨區域通辦能力、攜號轉網服務能力、客服熱線響應能力、App 關鍵責任鏈個人信息保護能力）。除提升客服熱線響應能力（2022 年 3 月底前完成）外，其他行動均應于 2021 年 12 月底前完成（二）地方層面專項整治行動匯總序號監管部門專項整治行動1廣東省通信管理局持續開展 App 隱私合規和數據安全專項整治行動2河北省委網信辦、省通信管理局河北省委網信辦、省通信管理局先后多批次通報存在違法違規收集個人信息問題的 App3天津市委網信辦、天津市公安局、天津市市

95、場監管委、天津市通信管理局2021 年 4 月 16 日，天津市委網信辦、天津市公安局、天津市市場監管委、天津市通信管理局聯合發布關于開展天津市2021 年度 App 網絡安全專項治理的通告，決定自 2021 年 4月至 2022 年 3 月，組織開展天津市 App 網絡安全專項治理工作4福建省通信管理局2021 年 5 月，福建省通信管理局下發關于開展 2021 年福建省App 侵害用戶權益整治專項行動的通知， 專項整治時間為 2021年 4 月 26 日至 2021 年 12 月 31 日5浙江省互聯網信息辦公室、浙江省公安廳、浙江省市場監督管理局、浙江省通信管理局2021 年 6 月 1

96、 日，浙江省互聯網信息辦公室、浙江省公安廳、浙江省市場監督管理局、浙江省通信管理局聯合發布關于聯合開展浙江省 2021 年度 App 違法違規收集使用個人信息專項治理的公告，決定自 2021 年 6 月至 2021 年 12 月，聯合開展 2021 年度 App 違法違規收集使用個人信息專項治理工作6北京市委網信辦、北京市公安局、北京市市場監管委、北京市通信管理局2021 年 6 月 12 日，北京市委網信辦、北京市公安局、北京市市場監管委、北京市通信管理局聯合發布北京市委網信辦、北京市公安局、北京市市場監管委、北京市通信管理局關于開展北京市 2021 年度 App 網絡安全專項治理的通告，決

97、定自發布通告之日起至 11 月，在全市范圍內組織開展 App 違法違規收集使用個人信息專項治理行動7寧夏通信管理局持續開展 App 侵害用戶權益專項治理行動8遼寧省通信管理局持續開展 App 侵害用戶權益專項整治行動9江蘇省通信管理局持續開展 App 侵害用戶權益專項治理行動10山西省通信管理局持續開展 App 侵害用戶權益專項治理行動11上海市通信管理局持續開展 App 侵害用戶權益專項治理行動2021 年終盤點038序號監管部門專項整治行動12安徽省通信管理局持續開展 App 侵害用戶權益專項整治行動13湖北省通信管理局2021 年 7 月 29 日，湖北省通信管理局召開互聯網行業專項整治

98、行動督導工作會議，正式啟動為期半年的專項整治行動14陜西省通信管理局2021 年 7 月 30 日，陜西省通信管理局組織召開陜西省互聯網行業市場秩序專項整治行動動員部署會議，并印發陜西省關于開展互聯網行業市場秩序專項整治行動的通知15北京市通信管理局2021 年 7 月 31 日，北京市通信管理局召開北京互聯網行業專項整治行動推進會16云南省通信管理局2021 年 8 月 9 日， 云南省通信管理局印發 云南省互聯網行業市場秩序專項整治行動方案，并于 2021 年 8 月 18 日組織省內 12 家重點互聯網企業召開互聯網行業市場秩序專項整治行動動員部署會議17上海市通信管理局2021 年 8

99、 月 10 日，上海市通信管理局召開互聯網行業市場秩序專項整治行動部署會，面向上海主要互聯網平臺企業進行專項工作部署18寧夏通信管理局2021 年 8 月 11 日，寧夏通信管理局組織召開互聯網行業市場秩序專項整治工作部署會19內蒙古通信管理局2021 年 8 月 12 日，內蒙古通信管理局組織召開全區互聯網行業市場秩序專項整治行動視頻推進會， 面向納入重點監管的 17家互聯網企業進行細化部署20河北省通信管理局2021 年 8 月 12 日，河北省通信管理局啟動全省互聯網行業市場秩序專項整治行動，并下發專項整治行動通知21重慶市通信管理局2021 年 8 月 13 日，重慶市通信管理局召開互

100、聯網行業市場秩序專項整治行動部署會22江西省通信管理局2021 年 8 月 13 日，江西省通信管理局組織召開全省互聯網行業市場秩序專項整治行動宣貫部署視頻會議23浙江省通信管理局2021 年 8 月 17 日，浙江省通信管理局官網發布浙江省通信管理局關于開展互聯網行業市場秩序專項整治行動的通知24山西省通信管理局據山西省通信管理局官網 2021 年 8 月 20 日消息，近日，山西省通信管理局全面開啟互聯網行業市場秩序專項整治行動。本次專項治理工作截至今年 12 月25四川省通信管理局據四川省通信管理局官網 2021 年 8 月 20 日消息，近日，四川省通信管理局全面啟動互聯網行業市場秩序

101、專項整治行動，并印發關于開展互聯網行業秩序專項整治行動的通知。本次專項整治行動為期 5 個月執法篇039序號監管部門專項整治行動26天津市通信管理局2021 年 8 月 24 日，天津市通信管理局組織召開互聯網行業市場秩序專項整治行動專題會議，面向納入重點監管的 10 家互聯網企業進行工作部署27山東省通信管理局2021 年 8 月 24 日，山東省通信管理局召開互聯網行業專項整治行動工作部署會28廣西省通信管理局2021 年 8 月 26 日，廣西省通信管理局組織召開全區互聯網行業市場秩序整治工作部署會29新疆通信管理局2021 年 9 月 10 日，新疆通信管理局組織召開新疆互聯網行業市場

102、秩序專項整治工作推進會30江蘇省通信管理局2021 年 9 月 15 日，江蘇省通信管理局召開全省互聯網行業市場秩序專項整治工作推進會3監管通報梳理在 2021 年數據合規與個人信息保護的專項整治行動中， 針對違法違規處理個人信息 App 的監管通報，依然發揮著關鍵的作用。與此前相比，通報主體發生變化，國家網信辦開始單獨通報違法違規收集使用個人信息的 App，App 專項治理工作組則“退出舞臺”；此外，中國消費者協會對 App 賬號注銷及自動化推薦退訂進行了測評并發布測評報告，也為執法活動增色不少。（一）網信部門1. 國家網信辦2021 年 3 月，國家網信辦、工信部、公安部、國家市場監管總局

103、聯合發布常見類型移動互聯網應用程序必要個人信息范圍規定，對網上購物、網絡支付、即時通信等 39 類 App 的必要個人信息范圍進行了規制，該規定于 2021 年 5 月 1日起施行。2021 年 5 月 1 日，國家網信辦發布“關于輸入法等 33 款 App 違法違規收集使用個人信息情況的通報”， 這是國家網信辦首次對違法違規收集使用個人信息的 App 進行單獨通報，此后更是以“違反必要原則，收集與其提供的服務無關的個人信息”為檢查重點的多次通報。 其后， 國家網信辦以 App 類型為單位， 進行了三批次的通報，所通報的對象主要為各類型 App 中的頭部企業。2021 年終盤點040國家網信辦

104、所進行的上述四個批次的通報基本涵蓋了所有類型的 App，共公開通報 351 款違法違規 App，責令其限期整改，并對未在規定時限內整改的 App 依法采取了相關的處罰措施。值得一提的是，后三個批次的通報授權依據除網絡安全法App 違法違規收集使用個人信息行為認定方法，新增了常見類型移動互聯網應用程序必要個人信息范圍規定。梳理國家網信辦的四批次通報后發現，74.36%的 App 存在“違反必要原則和常見類型移動互聯網應用程序必要個人信息范圍規則收集與其提供的服務無關的個人信息”的問題，40.17%的 App 存在“未經用戶同意收集使用個人信息”的問題，其中一部分 App 更是存在兩個以上的問題。

105、違反必要原則，收集與其提供的服務無關的個人信息未經用戶同意收集使用個人信息未按法律規定提供刪除或更正個人信息功能等未公開收集使用規則其他問題輸入法類搜狗輸入法等15款/地圖導航類高德地圖等16款語音導航共1款和地圖共1款/即時通信類/連信，共1款（誘導用戶授權其讀取手機通訊錄信息并向通訊錄聯系人發送營銷短信）安全管理類騰訊手機管家等30款綠色清理大師等13款/網絡借貸類360借條等36款360借條等20款貸款俠等3款/民生易貸，共1款（未明示手機使用個人信息的目的、方式和范圍等）短視頻類抖音等10款茄子短視頻等11款/瀏覽器類搜狗搜索等22款360瀏覽器等10款百度瀏覽器等4款百度瀏覽器等3款

106、/求職招聘類領英等26款齊魯人才等27款齊魯人才等10款小職了等2款/實用工具類百度，共1款/百度，共1款/運動健身類KEEP等26款KEEP等14款/KEEP等1款/新聞資訊類今日頭條等25款今日頭條等10款新浪新聞，共1款快鏈星球，共1款/網絡直播類虎牙直播等32款水多直播等14款KK直播，共1款/應用商店類應用中心等7款太平洋下載等6款軟件商店等5款應用中心等4款/女性健康類親寶寶等12款新氧醫美等14款育學園等3款/民生易貸，共1款（未明示手機使用個人信息的目的、方式和范圍等）網上購物類nike，共1款/nike，共1款/學習教育類伴魚繪本，共1款伴魚繪本，共1款伴魚繪本，共1款/伴魚

107、繪本，共1款（未經同意向他人提供個人信息）婚戀相親類珍愛網，共1款/合計351款261款（74.36%）141款（40.17%)31款(8.83%）11款（3.13%）4款（1.14%） 問題批次第一批次（2021年5月1日）（33款）第二批次（2021年5月10日）（84款）第三批次（2021年5月21日）（共105款）第四批次（2021年6月11日）（共129款）執法篇0412. 地方網信部門序號通報部門通報時間通報通報數量1浙江省 App 違法違規收集使用個人信息專項治理工作組2021 年 7 月 5 日關于萌拍拍等 57 款 App違法違規收集使用個人信息情況的通報57 款2浙江省 A

108、pp 違法違規收集使用個人信息專項治理工作組2021 年 8 月 26 日關于萌菌大作戰等 85 款App 違法違規收集使用個人信息情況的通報85 款3海南省互聯網信息辦公室2021 年 9 月 3 日關于對“加油海南”等 7款 App 違法違規收集使用個人信息情況的通報7 款4海南省互聯網信息辦公室2021 年 10 月 27 日關于對“民生寶”“快速問醫生”等 7 款 App違法違規收集使用個人信息情況的通報7 款5浙江省 App 違法違規收集使用個人信息專項治理工作組2021 年 12 月 14 日關于閃修俠等 87 款 App違法違規收集使用個人信息情況的通報87 款（二）工信部門1.

109、 工信部2021 年，工信部在總結前兩年 App 監管工作經驗的基礎上，縱深推進“App 侵害用戶權益專項整治行動”，從完善制度標準、開展合規性評估、強化社會監督和行業自律等方面綜合施策，加快推動構建行業網絡數據安全綜合保障體系。同時，根據自 2019 年以來執法行動總結發現的 App 與移動設備生產上（手機廠商）、App 分發平臺（應用商店）、第三方（第三方 SDK、合作伙伴）等多方主體的相互依存關系，工信部的 App 治理工作將 SDK、手機操作系統、應用商店等角色納入整個移動生態治理工作中。以通報治理工作與應用商店相聯動為實施辦法，在通報問題 App的同時，工信部督促發現問題較多的應用商

110、店嚴格執行移動智能終端應用軟件預置和分發管理暫行規定的相關要求，落實企業責任。工信部在 2021 年度的通報分為違規通報和下架通報兩類，具體如下：2021 年終盤點042（1）違規通報2021 年，工信部共發布 11 次違法違規行為通報，涉及 712 款 App，其中有 19款 App 被重復通報，去重后為 693 款。1在工信部發布的 11 次通報中，4 次為專題通報，涉及“違規調用麥克風、通訊錄、相冊等權限侵害用戶權益行為”“App 開屏彈窗信息騷擾用戶問題回頭看”“關于 App 違規調用通信錄、位置信息以及開屏彈窗騷擾用戶等問題回頭看”“App 超范圍索取權限、 過度收集用戶個人信息等問

111、題回頭看”，其余 7 次則為常規通報，常規通報涉及的問題主要為：“欺騙誤導用戶下載 App”、“違規使用個人信息”“App 強制、頻繁、過度索取權限”“超范圍收集個人信息”“強制用戶使用定向推送功能”“違規調用通訊錄和地理位置權限”“開屏彈窗信息騷擾用戶”等。在多項違法違規行為中，違規收集個人信息問題顯得尤為突出，在歷次通報中出現了 457 次，占比 43.2%；其次為 App 強制、頻繁、過度索取權限問題，共被通報 228 次，占比為 21.6%；第三為違規使用個人信息問題，共被通報 91 次。2其中，涉及應用商店的問題分別為：應用分發平臺上的 App 信息明示不到位、應用分發平臺管理責任落

112、實不到位。在 2021 年第一季度檢測中，騰訊應用寶、小米應用商店、OPPO 軟件商店、華為應用市場和 vivo 應用商店發現問題數量分別占比14.22%、13.81%、12.80%、11.37%和 11.17%，存在上架審核不嚴格，存量問題清理不徹底，登記核驗 APP 開發運營者信息不準確，誤導用戶下載等問題。1 參見南都個人信息保護研究中心：個人信息安全年度報告（2021）。2 參見南都個人信息保護研究中心：個人信息安全年度報告（2021）。序號通報時間通報批次通報內容通報數量12021 年 1 月 22 日2021 年第 1 批總第 10 批關于侵害用戶權益行為的 App通報157 款2

113、2021 年 2 月 5 日2021 年第 2 批總第 11 批關于違規調用麥克風、通訊錄、相冊等權限侵害用戶權益行為的 App 通報26 款32021 年 3 月 12 日2021 年第 3 批總第 12 批關于侵害用戶權益行為的 App通報136 款42021 年 4 月 23 日2021 年第 4 批總第 13 批關于侵害用戶權益行為的 App通報93 款52021 年 6 月 8 日2021 年第 5 批總第 14 批關于侵害用戶權益行為的 App通報83 款執法篇043（2）下架通報2021 年，工信部針對違規通報中未按要求完成整改的 App 進行了下架處理。本年度，工信部共進行了

114、10 次下架通報，因未按要求完成整改被工信部下架的 App 共計 342 款。序號通報時間通報批次通報內容通報數量62021 年 7 月 19 日2021 年第 6 批總第 15 批關于侵害用戶權益行為的 App通報71 款72021 年 7 月 28 日2021 年第 7 批總第 16 批關于 App 開屏彈窗信息騷擾用戶問題“回頭看”的通報14 款82021 年 7 月 19 日2021 年第 8 批總第 17 批關于 App 違規調用通信錄、 位置信息以及開屏彈窗騷擾用戶等問題“回頭看”的通報43 款92021 年 8 月 25 日2021 年第 9 批總第 18 批關于侵害用戶權益行為

115、的 App通報210 款102021 年 9 月 23 日2021 年第 10 批總第 19 批關于侵害用戶權益行為的 App通報51 款112021 年 11 月 3 日2021 年第 11 批總第 20 批關于 App 超范圍索取權限、 過度收集用戶個人信息等問題“回頭看”的通報38 款序號通報時間通報批次通報內容通報數量12021 年 1 月 19 日第一批下架通報37 款22021 年 2 月 3 日第二批下架通報12 款32021 年 3 月 3 日第三批下架通報10 款42021 年 4 月 6 日第四批下架通報53 款52021 年 5 月 13 日第五批下架通報39 款6202

116、1 年 7 月 12 日第六批下架通報18 款72021 年 8 月 25 日第七批下架通報67 款82021 年 10 月 15 日第八批下架通報96 款92021 年 5 月 13 日專題通報不同版本 App 中反復出現同類問題，被通報下架5 款102021 年 12 月 9 日專題通報針對“回頭看”專項整治行動的下架通告5 款2021 年終盤點0442. 各省市通信管理局（1）違規通報序號通報部門通報時間通報通報數量1廣東省通信管理局2021 年 4 月 23 日通報存在問題的應用軟件名單45 款2廣東省通信管理局2021 年 6 月 8 日通報存在問題的應用軟件名單40 款3江蘇省通信

117、管理局2021 年 6 月 8 日通報存在問題的應用軟件名單3 款4上海市通信管理局2021 年 6 月 8 日通報存在問題的應用軟件名單75 款5四川省通信管理局2021 年 6 月 8 日通報存在問題的應用軟件名單54 款6天津市通信管理局2021 年 6 月 8 日通報存在問題的應用軟件名單2 款7浙江省通信管理局2021 年 6 月 8 日通報存在問題的應用軟件名單34 款8遼寧省通信管理局2021 年 7 月 19 日通報檢查發現未完成整改的應用軟件名單8 款9浙江省通信管理局2021 年 7 月 19 日通報檢查發現未完成整改的應用軟件名單39 款10廣東省通信管理局2021 年

118、7 月 19 日通報檢查發現未完成整改的應用軟件名單16 款11四川省通信管理局2021 年 7 月 19 日通報檢查發現未完成整改的應用軟件名單10 款12寧夏回族自治區通信管理局2021 年 7 月 19 日通報檢查發現未完成整改的應用軟件名單1 款13北京市通信管理局2021 年 8 月 25 日通報存在問題的應用軟件名單21 款14天津市通信管理局2021 年 8 月 25 日通報存在問題的應用軟件名單12 款15內蒙古自治區通信管理局2021 年 8 月 25 日通報存在問題的應用軟件名單6 款執法篇045序號通報部門通報時間通報通報數量16遼寧省通信管理局2021 年 8 月 25

119、 日通報存在問題的應用軟件名單6 款17上海市通信管理局2021 年 8 月 25 日通報存在問題的應用軟件名單20 款18浙江省通信管理局2021 年 8 月 25 日通報存在問題的應用軟件名單122 款19廣東省通信管理局2021 年 8 月 25 日通報存在問題的應用軟件名單14 款20四川省通信管理局2021 年 8 月 25 日通報存在問題的應用軟件名單9 款21北京市通信管理局2021 年 9 月 23 日通報存在問題的應用軟件名單16 款22上海市通信管理局2021 年 9 月 23 日通報存在問題的應用軟件名單43 款23江蘇省通信管理局2021 年 9 月 23 日通報存在問

120、題的應用軟件名單3 款24浙江省通信管理2021 年 9 月 23 日通報存在問題的應用軟件名單63 款25廣東省通信管理局2021 年 9 月 23 日通報存在問題的應用軟件名單128 款26四川省通信管理局2021 年 9 月 23 日通報存在問題的應用軟件名單5 款27云南省通信管理局2021 年 9 月 23 日通報存在問題的應用軟件名單9 款28廣西省通信管理局2021 年 9 月 23 日通報存在問題的應用軟件名單3 款29陜西通信管理局2021 年 9 月 23 日通報存在問題的應用軟件名單15 款30上海市通信管理局2021 年 12 月 22日通報“回頭看”仍存在問題的應用軟

121、件及其系統名單 41 款31浙江省通信管理局2021 年 4 月 6 日下架通報7 款（2）下架通報2021 年終盤點046（三）公安部門國家計算機病毒應急處理中心系經公安部推薦，由原國信辦于 2001 年批復成立。作為我國唯一負責計算機病毒應急處理的專門機構，其主要職責為快速發現和處置計算機病毒疫情于網絡攻擊事件， 保衛我國計算機網絡與重要信息系統的安全。自 2019 年四部委開展“App 違法違規收集個人信息專項行動”以來，國家計算機病毒應急處理中心運用大數據等新技術手段，建設 App 手機使用個人信息檢測平臺，對于違反網絡安全法相關規定的 App 進行通報，并在通報中提醒廣大手機用戶謹慎

122、下載使用違法違規的移動 App。2021 年，國家計算機病毒應急處理中心進行了 11 次通報，共涉及 169 款 App，其中 11 月 11 日為電商購物類移動應用專題通報。在通報的違規行為中，“未向用戶明示申請的全部隱私權限”為重災區，近 90%被通報 App 存在該問題；其次為“未提供有效的更正、刪除個人信息及注銷用戶賬號功能，或注銷用戶賬號設置不合理條件”，共有 64 款 App 存在該問題；除此之外，38 款 App 存在“App 在征得用戶同意前就開始收集個人信息”，31 款 App 存在“未建立并公布個人信息安全投訴、舉報渠序號通報部門通報時間通報內容通報數量1浙江省通信管理局2

123、021 年 4 月 6 日下架通報37 款2內蒙古自治區通信管理局2021 年 5 月 13 日下架通報3 款3安徽省通信管理局2021 年 5 月 13 日下架通報4 款4廣東省通信管理局2021 年 5 月 13 日下架通報19 款5四川省通信管理局2021 年 5 月 13 日下架通報18 款6浙江省通信管理局2021 年 5 月 13 日下架通報2 款7上海市通信管理局2021 年 7 月 12 日下架通報11 款8安徽省通信管理局2021 年 7 月 12 日下架通報9 款9廣東省通信管理局2021 年 7 月 12 日下架通報7 款10四川省通信管理局2021 年 7 月 12 日

124、下架通報3 款11遼寧省通信管理局2021 年 8 月 25 日下架通報4 款12上海市通信管理局2021 年 8 月 25 日下架通報22 款13浙江省通信管理局2021 年 8 月 25 日下架通報22 款14廣東省通信管理局2021 年 8 月 25 日下架通報3 款15四川省通信管理局2021 年 8 月 25 日下架通報2 款16陜西省通信管理局2021 年 8 月 25 日下架通報4 款17安徽省通信管理局2021 年 8 月 25 日下架通報2 款執法篇047道，或未在承諾時限內受理并處理”問題。（四）消費者協會個人信息保護法生效后，為推動網絡安全法和個人信息保護法等相關法律法規

125、和標準規范的落實，維護廣大消費者個人信息權益，中國消費者協會組織開展了 App 賬號注銷及自動化推薦退訂測評工作，并于 2021 年 12 月 14 日發布50 款 App 賬號注銷及自動化推薦退訂測評報告。 問題批次App中無隱私政策在App首次運行時未通過彈窗等明顯方式提示用戶閱讀隱私政策等收集使用規則，或以默認選擇同意隱私政策等非明示方式征求用戶同意未向用戶明示申請的全部隱私權限App在征得用戶同意前就開始收集個人信息未提供有效的更正、刪除個人信息及注銷用戶賬號功能，或注銷用戶賬號設置不合理條件未建立并公布個人信息安全投訴、舉報渠道，或未在承諾時限內受理并處理App向第三方提供個人信息未

126、做匿名化處理第一批次（2021年7月13日）/旁趣、iGO出行、好爸媽點讀共3款開心學漢字、有問、法加、邁斯通英語等15款有問、覓馬出行極速版、旁趣共3款有問、邁斯通英語、音樂殼等7款一元手游、居理買房等4款/第二批次（2021年7月21日）/生物狗、新媽新寶等15款漫斗紀元、普通話發音等5款生物狗、新媽新寶等11款生物狗、新媽新寶等6款/第三批次（2021年8月9日）防蹭網大師共1款/七彩天氣預報、365跑腿網等13款叮叮易建、江淮汽車等5款叮叮易建、兒童學英語等6款風暴魔域2）共1款/第四批次（2021年8月24日）業主貝貝共1款創客云商共1款樂抓娃娃、小魚網等12款日日煮、詩詞大會飛花令

127、等3款樂抓娃娃、日日煮等8款誠美優選共1款 /第五批次（2021年9月9日）魔與道OL共1款辣選、無盡噩夢：詭醫院共2款春播、辣選、淘安裝等14款春播、辣選等6款辣選、魔與道OL共9款辣選、魔與道OL等4款/第六批次（2021年9月28日）/你定旅行、婚語共2款若途旅行、暢游+等16款若途旅行、嗨走旅行等6款車有料、MOO音樂等4款暢途+、圖曰等4款房車生活家共1款第七批次（2021 年10月20日）/E充站、騰訊清理大師等12款二戰風云2、車享家等3款E充站、京東讀書等4款 E 充 站 、 SPACE等3款親子周末、32號共2款第八批次（2021 年11月3日）/堅果云、最美天氣等13款/魚

128、耳語音、手心輸入法等4款星途生活共1款 一罐共1款第九批次（2021 年11月11日）/義烏購、阿里巴巴等11款一分錢共1款Cloudo棵朵共1款Cloudo棵朵、今天買買共2款多點共1款第十批次（2021 年11月27日）/趣出行共1款果星云市場、紅布林等16款云習、趣出行等3款果星云市場、優易充等8款優易充、生意順等3款動漫之家共1款第十一批次（2021 年12月20日）/哈啰出行、開卷等15款中原直銷銀行、駕考駕照準點學車等3款嘀一巴士、駕考駕照準點學車等6款基金從業資格考試題庫、倒數紀念日共2款哈啰出行、58同城等3款合計3款（1.77%）9款（5.3%）152款(89.9%)38款(

129、22.48%)64款(37.87%)31款(18.34%)9款(5.3%)2021 年終盤點048此次測評將常見類型移動互聯網應用程序必要個人信息范圍規定所列 39 種常見 App 類型，區分為收集必要個人信息范圍較廣以及無需使用個人信息即可使用基本功能兩個類別，并依照“吃住行游購”等與消費者日常生活關系密切的原則，基于 App 不同下載量，選取了網絡約車類、即時通信類、網絡支付類、網上購物類、餐飲外賣類、交通票務類、房屋租售類、用車服務類、網絡直播類、在線影音類 10類，每類 5 款共 50 款 App 作為測評對象，測評內容為是否可以順利注銷 App 賬號及退訂自動化推薦兩項內容?？傮w來看

130、，網絡約車類、餐飲外賣類 App 存在較多問題，而測評的 5 款房屋租售類 App 則未發現問題。測評結果顯示，在是否可以順利注銷 App 賬號方面，50 款 App 中 20 款 App 存在問題，占總排查比例的 40%。主要問題包括：1）未注明注銷條件；2）注銷條件設置不合理；3）注銷流程設置不合理；4）經人工審核方可注銷，但人工審核存在無人受理、承諾時限過長（超過 15 個工作日）或者承諾時限不明的情況；5）無法通過 App 直接注銷。該項測評的法律依據為電子商務法第二十四條和信息安全技術 個人信息安全規范第 8.5 條。在自動化推薦退訂測評方面，50 款 App 中有 5 款 App

131、存在不同程度的問題，占總排查比例的 10%。主要問題包括：1）App 未向用戶提供關閉自動化推薦的方式；執法篇0492）App 內關閉自動化推薦的方式過于隱蔽。該項測評的法律依據為個人信息保護法第二十四條。 4行政處罰梳理相較于監管通報，行政處罰無疑更具威懾力和影響力。進入 2021 年，數據合規與個人信息保護領域的行政處罰，與此前相比最為明顯的變化為，自央視“315” 晚會曝光科勒衛浴等通過無感人臉識別攝像頭違法違規收集使用人臉信息后，人臉識別相關行政處罰顯著增加，處罰對象涉及房地產公司、汽車銷售公司、人臉識別攝像頭廠商、商場店鋪等?？傮w而言，行政處罰涉及到的違法違規行為包括違規處理人臉信息

132、、侵害消費者個人信息、侵害個人信息依法得到保護的權利、不履行網絡安全保護義務、平臺信息治理不當等。（一）人臉識別相關行政處罰案例1. 2021 年年度處罰案例匯總人臉識別相關行政處罰梳理（數據來源：威科先行數據庫）處罰機構主要為市場監督管理部門處罰數量68 例典型違法行為在售樓處、 門店等安裝人臉識別攝像頭， 未向個人告知人臉信息處理規則，亦未取得個人同意，即收集、使用等處理人臉信息主要處罰措施責令改正罰款主要處罰依據中華人民共和國消費者權益保護法第二十九條第一款2021 年終盤點050人臉識別相關行政處罰梳理（數據來源：威科先行數據庫）經營者收集、使用消費者個人信息，應當遵循合法、正當、必要

133、的原則，明示收集、 使用信息的目的、 方式和范圍， 并經消費者同意。 經營者收集、使用消費者個人信息，應當公開其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。中華人民共和國消費者權益保護法第五十六條經營者有下列情形之一，除承擔相應的民事責任外，其他有關法律、法規對處罰機關和處罰方式有規定的，依照法律、法規的規定執行；法律、法規未作規定的， 由工商行政管理部門或者其他有關行政部門責令改正， 可以根據情節單處或者并處警告、 沒收違法所得、 處以違法所得一倍以上十倍以下的罰款， 沒有違法所得的， 處以五十萬元以下的罰款； 情節嚴重的，責令停業整頓、吊銷營業執照：（九）侵害消費者

134、人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權利的。2. 部分典型案例序號日期當事人違法行為監管部門處罰內容12021.11.26上海小鵬汽車銷售服務有限公司上海小鵬汽車銷售服務有限公司在旗下 7 家門店安裝人臉識別攝像設備， 采集消費者面部識別數據， 用于統計進店人數并分析男女比例、年齡等，并未經得消費者同意，也無明示、告知消費者收集、使用目的上 海 市徐 匯 區市 場 監督 管 理局違反 消費者權益保護法第 29 條第 1款的規定。依據 消費者權益保護法第 56 條第 1款第 9 項及 行政處罰法第 32 條的規定，責令改正，并除以罰款 10 萬元22021.9.30上

135、海悅筑房地產有限公司“國貿佘山原墅”地產項目售樓處安裝了 3 路“?？等四樧R別硬件”，即所謂的“人臉識別攝像頭”。當客戶進入售樓處后， 人臉識別攝像頭采集客戶的人臉照片，保存至云上 海 市松 江 區市 場 監督 管 理局違反了 侵害消費者權益行為處罰辦法第十一條第一款第（一）項。依據 中華人民共和國消費者權益保護法 第五十六條第一執法篇051序號日期當事人違法行為監管部門處罰內容端，當此客戶成交后，通過核驗一體機， 將人臉抓拍照片與身份證照片匹配， 用于確認該客戶來訪售樓處時間， 據此判定是否屬于分銷商成交， 當事人據此向分銷商結算傭金。當事人于佘山鎮千新公路 88 弄的“國貿佘山原墅”地產項

136、目售樓處張貼了“溫馨提示您已進入監控區”的標示信息，但該告知僅明示售樓處設有監控攝像頭， 沒有告知消費者安裝有人臉識別攝像頭用于采集人臉信息，也沒有征求消費者同意的過程， 實際未獲得消費者同意。同時當事人后續用于甄別是否分銷商成交， 將收集到的人臉信息用于人臉識別認證， 也未經得消費者的同意。當事人采集消費者人臉信息未用于其它用途款第（九）項和中華人民共和國行政處罰法 第二十八條第一款，責令改正，并除以罰款 25 萬元32021.9.1（消息發布日期）蘇州萬店掌網絡科技有限公司蘇州萬店掌網絡科技有限公司經營人臉識別業務， 銷售萬店掌會員識別分析儀及人臉識別服務。截至 2021 年 3 月，蘇州

137、萬店掌網絡科技有限公司共計銷售人臉識別服江 蘇 省市 場 監管局（ 消 息發 布 機關）當事人已將所有相關數據、 云底庫照片刪除， 萬店掌 App 人臉識別模塊下架。 被處以罰款 50 萬元2021 年終盤點052序號日期當事人違法行為監管部門處罰內容務 4110 點位，服務費金額共計 2435772.95 元。經核算，FRS 成本合計3100453.6 元，無違法所得42021.7.26科勒（中國）投資有限公司截至 2021 年 3 月 15 日，科勒（中國）投資有限公司在全國 222 家門店安裝了 565 臺由蘇州萬店掌網絡科技有限公司提供的攝像設備，共抓取2202264 條人臉信息。上述

138、攝像設備自動抓取到店人員的人臉信息， 并通過軟件系統將收集到的人臉信息圖片上傳至蘇州萬店掌網絡科技有限公司租用的阿里云服務器，以精準統計客流、制定銷售政策。 科勒 （中國）投資有限公司在利用上述攝像設備收集消費者人臉信息時， 并未取得消費者的明示或授權同意上 海 市靜 安 區市 場 監督 管 理局違反消費者權益保護法第 29 條第1 款的規定。依據 中華人民共和國消費者權益保護法 第五十六條第一款第（九）項，責令改正， 并處以罰款50萬元52021.6.29青島紫光藥業有限公司安裝具有人臉識別攝像機設備，未經消費者同意， 收集消費者個人信息青 島 市市 場 監督 管 理局依據 中華人民共和國消

139、費者權益保護法第五十六條第（九）規定，處以警告，并罰款 1 萬元（二）侵害消費者個人信息相關行政處罰案例1. 2021 年年度處罰案例匯總執法篇053侵害消費者個人信息相關行政處罰梳理（數據來源：威科先行數據庫）處罰機構主要為市場監督管理部門、中國人民銀行、銀保監會處罰數量276 例典型違法行為違法收集消費者個人信息侵害消費者依法得到保護的個人信息權利主要處罰措施責令改正警告罰款主要處罰依據中華人民共和國消費者權益保護法第二十九條經營者收集、使用消費者個人信息，應當遵循合法、正當、必要的原則，明示收集、 使用信息的目的、 方式和范圍， 并經消費者同意。 經營者收集、使用消費者個人信息，應當公開

140、其收集、使用規則，不得違反法律、法規的規定和雙方的約定收集、使用信息。經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄露、出售或者非法向他人提供。 經營者應當采取技術措施和其他必要措施， 確保信息安全，防止消費者個人信息泄露、丟失。在發生或者可能發生信息泄露、丟失的情況時，應當立即采取補救措施中華人民共和國消費者權益保護法第五十六條經營者有下列情形之一，除承擔相應的民事責任外，其他有關法律、法規對處罰機關和處罰方式有規定的，依照法律、法規的規定執行；法律、法規未作規定的， 由工商行政管理部門或者其他有關行政部門責令改正， 可以根據情節單處或者并處警告、 沒收違法所得、 處以違法所得

141、一倍以上十倍以下的罰款， 沒有違法所得的， 處以五十萬元以下的罰款； 情節嚴重的，責令停業整頓、吊銷營業執照：（九）侵害消費者人格尊嚴、侵犯消費者人身自由或者侵害消費者個人信息依法得到保護的權利的。2. 部分典型案例序號日期當事人違法行為監管部門處罰內容12021.12.16（通報日期）華夏銀行五、 違規查詢、存儲、傳輸和使用個人客戶信息，侵害消費者信息安全權。華夏銀行未經客戶授權，以“業務營銷需要”“核對貸款資金入中國銀保監會華夏銀行上述違 法 違 規 行為，嚴重侵害消費者信息安全權等基2021 年終盤點054序號日期當事人違法行為監管部門處罰內容賬情況”以及員工異常行為排查等為由，違規查詢

142、個人客戶儲蓄存款交易信息。違規在公用互聯網電腦存儲以及通過互聯網郵箱向合作方傳輸姓名、身份證號、銀行賬號、信貸記錄等個人客戶信息，存在信息泄露風險。信用卡中心向 1.99 萬名已注銷信用卡賬戶的客戶致電營銷保險產品，部分客戶多次明確表示拒絕來電，該行仍持續向其電話營銷本權利，中國銀保監會已要求華夏銀行進行整改22021.10.8上海思賢培訓學校有限公司當事人為拓展幼兒英語培訓業務，于 2020 年 1 月與上海XXXX 培訓學校有限公司（已另案處理）、上海 XXXX 培訓有限公司奉賢分公司（已另案處理） 互相交換客戶名單， 上述客戶名單包含姓名、手機號碼等個人信息。隨后，當事人安排銷售人員使用

143、交換來的客戶名單，通過單位座機向名單內人員撥打電話詢問是否需要試聽或報讀其培訓課程，進行電話營銷活動。當事人收集、使用上述交換來的消費者個人信息未經消費者同意，也未向被收集人明示收集、 使用信息的目的、 方式和范圍。截至案發，當事人通過上述方式獲取消費者個人信息892條，對外泄露、非法向上述兩家單位提供消費者個人信息 552 條上海市奉賢區市場監督管理局違反了中華人民共和國消費者權益保護法第二十九條和侵害消費者權益行為處罰辦法第十 一 條 第 一款。根據侵害消費者權益行為處罰辦法第十四條及中華人民共和國消費者權益保護法第五十六條第一款第（九）項，責令改正，并處以罰款 5 萬元執法篇055序號日

144、期當事人違法行為監管部門處罰內容32021.9.29 上海中原物業顧問有限公司在該公司“上海中原研發部登錄系統-新三級別市場”軟件中的“潛在用戶”模塊中，有大量業主個人信息名單且該系統內潛在用戶有跟蹤記錄，并對通話記錄留有錄音。經查，上述業主個人信息是由中原地產長年開展買賣租賃業務積累而成，或者由各門店業務員派單、駐守等方式獲得后自己登記進去的。當事人在未獲得業主授權情況下， 擅自使用上述業主信息， 通過電話方式向業主詢問是否需要出租房屋上海市閔行區市場監督管理局當事人未經業主授權，擅自使用業主信息的行為涉嫌違反了中華人民共和國消費者 權 益 保 護法第二十九條第一款的規定，構成了侵害消費者個

145、人信息保護權的行為。依據中華人民共和國消費者 權 益 保 護法第五十六條 第 一 款 第（九）項，責令改正，并處以罰款 5 萬元（三）其他侵害個人信息權益的相關行政處罰案例1. 2021 年年度處罰案例匯總侵害個人信息依法得到保護的權利相關行政處罰梳理（數據來源：威科先行數據庫）處罰機構主要為公安部門處罰數量595 例典型違法行為非法獲取、出售、向他人提供個人信息App 首次運行未經用戶閱讀同意隱私政策即開始收集個人信息未逐一列出 App 收集使用個人信息的目的、方式、范圍等實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍2021 年終盤點056侵害個人信息依法得到保護的權利相關行

146、政處罰梳理（數據來源：威科先行數據庫）未在隱私政策等公示文本中逐一列明 App 所集成第三方SDK收集使用個人信息的目的、方式和范圍收集、使用個人敏感信息時，未同步告知用戶其目的未提供有效的注銷賬號功能主要處罰措施責令改正警告罰款責令停產停業主要處罰依據中華人民共和國網絡安全法第二十二條第三款網絡產品、 服務具有收集用戶信息功能的， 其提供者應當向用戶明示并取得同意；涉及用戶個人信息的，還應當遵守本法和有關法律、行政法規關于個人信息保護的規定。中華人民共和國網絡安全法第四十一條網絡運營者收集、使用個人信息，應當遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍

147、，并經被收集者同意。網絡運營者不得收集與其提供的服務無關的個人信息， 不得違反法律、 行政法規的規定和雙方的約定收集、使用個人信息，并應當依照法律、行政法規的規定和與用戶的約定，處理其保存的個人信息。中華人民共和國網絡安全法第四十二條網絡運營者不得泄露、 篡改、 毀損其收集的個人信息； 未經被收集者同意，不得向他人提供個人信息。 但是， 經過處理無法識別特定個人且不能復原的除外。網絡運營者應當采取技術措施和其他必要措施， 確保其收集的個人信息安全，防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。中華人

148、民共和國網絡安全法第四十四條任何個人和組織不得竊取或者以其他非法方式獲取個人信息， 不得非法出售或者非法向他人提供個人信息。中華人民共和國網絡安全法第六十四條網絡運營者、 網絡產品或者服務的提供者違反本法第二十二條第三款、 第四十一條至第四十三條規定， 侵害個人信息依法得到保護的權利的， 由有關主管部門責令改正，可以根據情節單處或者并處警告、沒收違法所得、執法篇057侵害個人信息依法得到保護的權利相關行政處罰梳理（數據來源：威科先行數據庫）處違法所得一倍以上十倍以下罰款， 沒有違法所得的， 處一百萬元以下罰款， 對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節嚴重的，并可

149、以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照。違反本法第四十四條規定， 竊取或者以其他非法方式獲取、 非法出售或者非法向他人提供個人信息，尚不構成犯罪的，由公安機關沒收違法所得，并處違法所得一倍以上十倍以下罰款， 沒有違法所得的， 處一百萬元以下罰款。2. 部分典型案例序號日期當事人違法行為監管部門處罰內容12021.12.7深圳市迅龍創威網絡技術有限公司深圳市公安局網警支隊根據技術檢測發現，深圳市迅龍創威網絡技術有限公司旗下一款 App“那一劍江湖”存在以下違規行為：1.App 首次運行未經用戶閱讀同意隱私政策，就申請讀取電話狀態和訪問外部存儲權限；2.未提供有

150、效的注銷賬號功能，且在隱私政策和相關界面上沒有注銷指引深圳市公安局深圳市迅龍創威網絡技術有限公司作為網絡運營者已構成侵害個人信息的違法行為。根據 中華人民共和國網絡安全法 第二十二條第三款、 第四十一條第一款、 第六十四條第一款之規定，給予警告，并責令限期改正， 整改期間關閉IP（106.75.241.248）22021.12.6深圳市柒柒互動網絡有限公司旗下“恐怖躲貓貓 2”App未在隱私政策等公示文本中逐一列明 App 所集成第三方 SDK 收集使用個人信息的目的、方式和范圍；App 首次運行未經用戶閱讀同意隱私政策，深圳市公安局根據 中華人民共和國網絡安全法 第二十二條、第四十一條、 第

151、六十四條之規定，給予警告，責令改正2021 年終盤點058序號日期當事人違法行為監管部門處罰內容就收集應用列表信息，存在未落實安全技術保護措施的違法行為32021.12.6龍港市一哥管家信息技術有限公司名下一哥管家 App 存在如下問題：1. 未逐一列出 App 收集使用個人信息的目的、方式、范圍等2. 實際收集的個人信息或打開的可收集個人信息權限超出用戶授權范圍浙江省龍港市公安局城中派出所已構成未按規定履行個人信息保護義務。根據 中華人民共和國網絡安全法 第二十二條第三款、 第四十一條、第四十二條、 第四十三條和第六十四條第一款之規定， 決定給予警告42021.11.18深圳新蝶科技有限公司

152、旗下一款 App“體重小本”存在以下違規行為：1.未在隱私政策等公示文本中逐一列明 App 所集成第三方 SDK 收集使用個人信息的目的、方式和范圍；2.征得用戶同意前就 開 始 收 集 個 人 信 息MAC地 址 、 IMEI 、AndroidID 和應用列表信息；3.未建立并公布個人信息安全投訴、舉報渠道；4.存在應用數據任意備份風險；5.存在明文數字證書風險深圳市公安局根據 中華人民共和國網絡安全法 第六十四條第一款之規定， 責令 7 日內改正并處警告52021.11.11深圳市曉濤技術有限公司旗下一款 App“國際象棋教學”存在以下違規行為：1.征得用戶同意前就開始收集個人信息 And

153、roidID和應用列表信息；2.App隱私政策存在個性化推深圳市公安局根據 中華人民共和國網絡安全法 第六十條第二項、 第六十四條第一款之規定，給予警告執法篇059序號日期當事人違法行為監管部門處罰內容薦相關內容，明示存在定向推送功能，但未見提供退出或關閉個性化展示模式的選項； 3.存在 Janus簽名機制漏洞；4.存在應用數據任意備份風險62021. 8.6陸 xx自 2020 年 4 月至 2020 年 6 月期間，利用在 xxx營業廳工作的便利，以每單5元的價格私自將客戶手機信息提供給他人，并將客戶手機收到的驗證碼提供給對方用于注冊網絡平臺賬戶，非法獲利25 元清江浦分局淮海路派出所陸

154、xx 的行為已構成非法出售個人信息，根據 中華人民共和國網絡安全法 第四十四條、 第六十四條之規定， 沒收違法所得 25 元，并處罰款50 元（四）不履行網絡安全保護義務相關行政處罰案例1. 2021 年年度處罰案例匯總不履行網絡安全保護義務相關行政處罰梳理（數據來源：威科先行數據庫）處罰機構主要為公安部門處罰數量1504 例典型違法行為未確定網絡安全負責人未按規定制定內部安全管理制度和操作規程未落實網絡安全管理制度和操作規程未安裝日志審計系統，未留存六個月網絡日志未制定網絡安全事件應急預案沒有網絡安全應急預案臺賬未進行三級信息系統等級測評存在可利用的高危安全漏洞主要處罰措施責令改正警告202

155、1 年終盤點060不履行網絡安全保護義務相關行政處罰梳理（數據來源：威科先行數據庫）責令停產停業主要處罰依據中華人民共和國網絡安全法第二十一條國家實行網絡安全等級保護制度。 網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二） 采取防范計算機病毒和網絡攻擊、 網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要

156、數據備份和加密等措施；（五）法律、行政法規規定的其他義務。中華人民共和國網絡安全法第二十五條網絡運營者應當制定網絡安全事件應急預案， 及時處置系統漏洞、 計算機病毒、網絡攻擊、網絡侵入等安全風險；在發生危害網絡安全的事件時，立即啟動應急預案， 采取相應的補救措施， 并按照規定向有關主管部門報告。中華人民共和國網絡安全法第三十四條除本法第二十一條的規定外， 關鍵信息基礎設施的運營者還應當履行下列安全保護義務：（一） 設置專門安全管理機構和安全管理負責人， 并對該負責人和關鍵崗位的人員進行安全背景審查；（二）定期對從業人員進行網絡安全教育、技術培訓和技能考核；（三）對重要系統和數據庫進行容災備份；

157、（四）制定網絡安全事件應急預案，并定期進行演練；（五）法律、行政法規規定的其他義務。中華人民共和國網絡安全法第五十九條網絡運營者不履行本法第二十一條、 第二十五條規定的網絡安全保護義務的，由有關主管部門責令改正，給予警告；拒不改正或者導致危害網絡安全等后果的， 處一萬元以上十萬元以下罰款， 對直接負責的主管人員處五千元以上五萬元以下罰款。關鍵信息基礎設施的運營者不履行本法第三十三條、 第三十四條、 第三十六條、 第三十八條規定的網絡安全保護義務的， 由有關主管部門責令改正，執法篇061不履行網絡安全保護義務相關行政處罰梳理（數據來源：威科先行數據庫）給予警告； 拒不改正或者導致危害網絡安全等后

158、果的， 處十萬元以上一百萬元以下罰款，對直接負責的主管人員處一萬元以上十萬元以下罰款。2. 部分典型案例序號日期當事人違法行為監管部門處罰內容12021.12.22海寧美奧產業用布有限公司對其運營的網站自 2016年以來，管理疏忽，未確定網絡安全負責人，未履行網絡安全保護義務海寧市公安局根據 公安機關互聯網安全監督檢查規定 第二十一條第一款第（一）項，中華人民共和國網絡安全法 第五十九條第一款之規定， 給予警告22021.12.21海寧市彩虹照明電器有限公司對其開設的網站疏于管理，未落實網絡安全管理制度和操作規程海寧市公安局根據 公安機關互聯網安全監督檢查規定 第二十一條第一款第（一）項、中華

159、人民共和國網絡安全法 第五十九條第一款之規定， 給予警告32021.12.17慈溪市海匯房地產經濟有限公司公司內路由器未安裝日志審計系統，未留存六個月網絡日志浙江省慈溪市公安局古塘派出所根據 中華人民共和國網絡安全法 第二十一條、第二十五條、 第五十九條第一款之規定，給予警告， 并責令其在三十日內改正42021.12.17嘉善京牛網絡在使用互聯網進行業務推廣時，未按規定制定內部安全管理制度和操作浙江省嘉善縣公安根據 中華人民共和國網絡安全法 第五2021 年終盤點062序號日期當事人違法行為監管部門處罰內容科技有限公司規程，確定網絡安全負責人，落實網絡安全保護責任局天凝派出所十九條第一款之規定

160、，給予警告52021.12.17蘭溪市三維藝術裝飾構件有限公司作為網絡運營者，沒有網絡安全應急預案臺賬，屬于不履行網絡安全保護義務蘭溪市公安局香溪派出所根據 中華人民共和國網絡安全法 第二十一條、第二十五條、 第五十九條第一款之規定， 給予警告62021.12.16施益方蘭溪平民醫藥連鎖有限公司網站負責人施益方（域名 ） 未制定網絡安全管理制度和操作規程，未制定網絡安全事件應急預案蘭溪市公安局云山派出所根據 中華人民共和國網絡安全法 第二十一條、第二十五條、 第五十九條第一款之規定， 給予施益方警告72021.11.9杭州飛象企服網絡技術有限公司飛象企服企業服務系統于 2020 年 9 月 1

161、0 進行信息系統三級的等級保護測評，根據信息安全等級保護管理辦法第十四條規定，三級信息系統應當每年至少進行一次等級測評，本年度未進行三級信息系統等級測評杭州市公安局西湖區分局根據 中華人民共和國網絡安全法 第二十一條、第二十五條、 第五十九條第一款之規定，給予警告， 并責令立即改正82021.12.6中興保險經紀有限公司網絡系統存在可利用的高危安全漏洞深圳市公安局根據 中華人民共和國網絡安全法 第二十五條、 第五十九條之規定， 給予警告的行政處罰， 并責令限期七日內改正。 整改期間關閉 1 個 IP（106.53.199.217）（五）平臺信息治理相關行政處罰案例執法篇0631. 2021 年

162、年度處罰案例匯總平臺信息治理相關行政處罰梳理（數據來源：威科先行數據庫）處罰機構主要為公安部門處罰數量59 例典型違法行為平臺屢次出現法律、法規禁止發布或者傳輸的信息主要處罰措施責令改正罰款主要處罰依據中華人民共和國網絡安全法第四十七條網絡運營者應當加強對其用戶發布的信息的管理， 發現法律、 行政法規禁止發布或者傳輸的信息的， 應當立即停止傳輸該信息， 采取消除等處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告。中華人民共和國網絡安全法第六十八條網絡運營者違反本法第四十七條規定，對法律、行政法規禁止發布或者傳輸的信息未停止傳輸、采取消除等處置措施、保存有關記錄的，由有關主管部門責令改

163、正，給予警告，沒收違法所得；拒不改正或者情節嚴重的，處十萬元以上五十萬元以下罰款，并可以責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。電子信息發送服務提供者、應用軟件下載服務提供者，不履行本法第四十八條第二款規定的安全管理義務的，依照前款規定處罰。2. 部分典型案例序號日期當事人違法行為監管部門監管措施及處罰內容12021.12.20（消息發布日期）知乎知乎網多次出現法律法規禁止發布或者傳輸的信息等問題北京市互聯網信息辦公室約談知乎網負責人,依據中華人民共和國網絡安全法 ，責令其立即整改，嚴肅處理相關

164、責任人。北京市互聯網信息辦公室對知乎網違法行為進行行政處罰立案2021 年終盤點064序號日期當事人違法行為監管部門監管措施及處罰內容22021.12.14（消息發布日期）新浪微博近期新浪微博及其賬號屢次出現法律、法規禁止發布或者傳輸的信息，情節嚴重國家互聯網信息辦公室、北京市互聯網信息辦公室約談新浪微博主要負責人、總編輯,依據中華人民共和國網絡安全法 中華人民共和國未成年人保護法等法律法規， 責令其立即整改， 嚴肅處理相關責任人。北京市互聯網信息辦公室對新浪微博運營主體北京微夢創科網絡技術有限公司依法予以共計 300 萬元罰款的行政處罰。2021 年 1 月至 11 月，國家互聯網信息辦公室

165、指導北京市互聯網信息辦公室，對新浪微博實施 44 次處置處罰，多次予以頂格 50 萬元罰款，共累計罰款 1430 萬元32021.12.1（消息發布日期）豆瓣網近期豆瓣網及其賬號屢次出現法律、法規禁止發布或者傳輸的信息，情節嚴重國家互聯網信息辦公室、北京市互聯網信息辦公室約談豆瓣網主要負責人、總編輯， 依據 中華人民共和國網絡安全法 等法律法規， 責令其立即整改，嚴肅處理相關責任人。北京市互聯網信息辦公室即對豆瓣網運營主體北京豆網科技有限公司依法予以共計150 萬元罰款的行政處罰。2021 年 1 月至 11 月，國家互聯網信息辦公室指導北京市互聯網信息辦公室，對豆瓣網實施 20 次處置處罰，

166、 多次予以頂格 50 萬元罰款， 共累計罰款 900 萬元42021.10.15（消息發布日期）金山毒霸“金山毒霸”應用軟件彈窗推送詆北京市互聯網信息辦公室約談“金山毒霸”主辦方北京獵豹網絡科技有限公司負責人， 責令立即停止違法行為，執法篇065序號日期當事人違法行為監管部門監管措施及處罰內容毀革命烈士邱少云內容暫停彈窗信息推送功能 30日，進行全面深入整改。北京市網信辦依據中華人民共和國英雄烈士保護法中華人民共和國網絡安全法對“金山毒霸”應用軟件違法行為進行行政立案處罰5執法動態簡評通過上述梳理，不難看出，專項整治行動持續推進，通報、下架、處罰多措并舉；日常行政監管態勢不減，罰款、警告、責令

167、改正多管齊下。若分而論之，則：第一，從監管依據看，網絡安全法消費者權益保護法依然是數據合規監管的主要法律依據， 新近施行的 數據安全法 個人信息保護法 尚在“磨刀霍霍”。第二，從監管分工看，在中央部委層面，傳統的“四輪驅動” （網信、工信、公安、市監）依然是數據合規監管的主力軍，行業主管部門（金融等）亦在持續發力；在地區管轄層面，各部委在地方的分支機構“爭先恐后”，紛紛“投身”本地區的數據合規監管?？芍^縱橫交錯、各有分工，構織出廣泛、嚴密而堅實的監管網絡。第三，從監管對象看，互聯網行業依然是“重災區”，但其他行業“隔岸觀火”的時代已然一去不復返，各行各業都在面臨著數據合規的強監管，稍有不慎，影

168、響的不僅僅是業務的正常運營， 還可能直接危機公司的聲譽、 辛苦積累的行業地位與優勢。第四，從監管行為看，違法違規收集、使用、對外提供個人信息行為依然面臨重點監管，而違法違規處理人臉信息行為、網絡安全審查成為 2021 年度新晉監管重點，特別是后者引起的示范效應、行業震蕩和全民熱議遠超想象。第五，從監管措施看，約談、通報、下架、罰款、警告、責令改正依然最為常用，而從滴滴等網絡安全審查和部分處罰案例中可以看出，App 直接下架、責令停止新用戶注冊、整改期間責令關閉網站等更為嚴厲的監管措施和法律責任已然在個案中予以施行，并呈增加之勢?？梢哉f，數據合規監管已步入新階段，對于行業健康發展而言可謂幸事，但

169、欣喜之余，亦有問題需要關注與思考：“全覆蓋”的監管體系必然涉及“多頭監管”問題，“九龍治水”方式對監管主體和2021 年終盤點066被監管對象而言均非易事。各部門、各地區在執法尺度及標準上的差異，一定程度上影響到執法的穩定性和可預期性，加大監管主體之間的溝通成本。此外，各監管主體下發的各類文件，涵蓋法律法規、部門規章、規范性文件、標準指南或其他文件，或具有強制性效力，或僅具有指導性意義，但在實務中卻均可成為監管主體治理活動的觀點來源，導致被監管對象合規和創新成本提升。正如中國信息通信研究院高級業務主管李雪妮在發布2021 數據安全行業調研報告時所述，“我們在調研當中發現，有我們在調研當中發現，

170、有59.6%的受訪企業認為數據安全建設面臨的受訪企業認為數據安全建設面臨最大挑戰是源自于對監管要求的不了解，這也說明我們監管的要求在最大挑戰是源自于對監管要求的不了解，這也說明我們監管的要求在落地實施過程落地實施過程當中還面臨著很多的困難。當中還面臨著很多的困難?！饼嫶蟮谋O管機器如何啟動及協調，進而引導數據合規監管進入常規化、有序化，仍有待觀察與實踐優化。司法篇067三、司法篇除了密集的立法、執法活動，在司法領域無論是司法解釋還是司法案例，也都呈現出日漸活躍的趨勢。 最高人民法院在 2021 年初發布的工作報告中就曾多次專門提到個人信息保護的案件，包括“審理手機軟件侵害用戶個人信息、人臉識別糾

171、紛等案件，加強個人信息保護，維護數據安全”“審理進口凍蝦萬名消費者信息案，禁止泄露公民個人信息”“依法審理陳文雄特大跨境電信詐騙、王艾買賣他人社交平臺賬號等案件，嚴懲侵犯公民財產和公民個人信息的犯罪”等，足見司法機關對個人信息保護的關注度。1個人信息保護相關司法解釋簡評在個人信息保護法出臺后，最高人民法院曾對外表示正在制定有關個人信息保護、人格權侵害禁令等司法解釋?？紤]到個人信息保護法于 2021 年 11 月1 日起才正式實施，相關司法解釋目前尚未出臺。在此之前，但最高院于 2021 年 7月 27 日發布的 最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定

172、（以下簡稱“人臉識別司法解釋”）毫無疑問是個人信息保護領域至為關鍵的一環，值得細細品味。自今年中央廣播電視總臺 315 晚會曝光蘇州萬店掌違規使用人臉識別技術后，最高人民法院就迅速征集人臉識別的相關案例與意見，短短 4 個多月后，就正式發布了人臉識別司法解釋，這樣的制定速度本身就在一定程度上說明了該部司法解釋的特殊地位。站在 2021 年末再次回顧這部一共十六條的司法解釋，愈發能領悟其所發揮的過渡意義與價值，此處簡要提及五點。（一）單獨同意的確立在人臉識別司法解釋出臺前，GB/T 35273-2020 信息安全技術 個人信息安全規范等業界重要參考文件中僅使用“授權同意”“明示同意”等措辭，而人

173、臉識別司法解釋的出臺并施行，則以生效法律文件的地位確立“單獨同意”這一同意要件。（二）經營、公共場所的例舉在個人信息保護領域， 人臉識別司法解釋創設性列舉了賓館、商場、銀行、2021 年終盤點068車站、機場、體育場館、娛樂場所等經營場所、公共場所，對于在這些場所中使用人臉識別技術進行人臉驗證、辨識或者分析的行為作出了規制。這一例舉式規定雖然未在隨后的個人信息保護法中得到復現，但其對地方法規產生了影響，如上海市數據條例就對此作了延伸規定，將經營、公共場所進一步區分為商場、超市、公園、景區、公共文化體育場館、賓館等公共場所，以及居住小區、商務樓宇等區域。（三）使用人臉識別進行驗證的限制人臉識別司

174、法解釋專門在第十條規定，物業服務企業以人臉識別作為出入驗證方式的，應當提供其他合理驗證方式。這似乎是對杭州野生動物園案的后續反思，也在一定程度上對其后立法產生影響。例如，上海市數據條例第二十三條第三款規定，公共場所或者區域不得以圖像采集、個人身份識別技術作為出入該場所或者區域的唯一驗證方式，此外網絡數據安全管理條例（征求意見稿）第二十五條又進一步將人臉識別驗證的限制擴張到所有場景，即數據處理者利用生物特征進行個人身份認證的，不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式。（四）死者近親屬的權利行使人臉識別司法解釋已經關注到死者近親屬在個人信息侵權糾紛中的權益問題，但受限

175、于當時的生效法律框架，其請求權基礎還是民法典第九百九十四條關于死者姓名、肖像、名譽、榮譽、隱私、遺體等權益受侵害的規定。個人信息保護法從二審稿開始關注死者個人信息權益保護的問題，在三審稿中及最終生效稿中也對死者個人信息權益保護的條款進行了較大調整與限制。（五）信息處理者對合規性的舉證責任此前實務界對于個人信息侵權糾紛類案件應當如何分配舉證責任的問題存在較大的爭議，人臉識別司法解釋則在第六條正式確立了信息處理者應當對其處理活動具有合法性基礎或具有免責事由進行證明的舉證義務。需要注意的是，這一規定并不能簡單理解為舉證責任倒置，個人對侵權行為、侵權結果、因果關系的舉證義務仍未被免除。這一舉證責任分擔

176、的規定也被個人信息保護法所采納，該法第六十九條規定了信息處理者需要承擔其不具有過錯的舉證責任。除人臉識別司法解釋以外，最高人民法院 最高人民檢察院 公安部關于辦理電信網絡詐騙等刑事案件適用法律若干問題的意見（二）最高人民法院關于審理旅游糾紛案件適用法律若干問題的規定等司法解釋亦部分涉及個人信息侵司法篇069權、犯罪的處理事宜，但因其均為引致條款，此處不多贅述。2個人信息保護典型案例簡評個人信息保護相關的司法案例同樣層出不窮。我們以 App 為切入點，檢索了威科先行數據庫中相關民事裁判文書的數量， 可以看到同時包含“App”“個人信息”這兩個關鍵詞的裁判文書數量在近三年中呈現逐年翻倍的趨勢。（一

177、）用戶端提起的相關訴訟在“個人信息保護糾紛”這一新案由下，截至 2021 年 12 月 26 日，我們檢索到 17份用戶端提起相關訴訟的生效判決。我們精選本年度如下案例，并歸納出相關主題以供呈現，雖然其社會影響力不如此前被廣泛報道的杭州野生動物園案、微信讀書案等案例，但作為了解司法裁判觀點的路徑，仍具有參考價值。1. 關于舉證責任分配在王某某與北京微播視界科技有限公司網絡侵權責任糾紛一案中，原告因其于2019 年 5 月 21 日 14:00 設置了“不允許通過通訊錄搜到本人”功能但其賬號仍能被搜索關注故而訴請被告停止侵權、賠償損失，被告則簡單以“原告應對其主張的事實應承擔舉證責任，且被告無法

178、查到原告當時是否進行了隱私設置”進行抗辯。北京互聯網法院一審認為：“抖音平臺作為網絡服務提供者，兼具社交媒體平臺和信息存儲空間的性質， 其用戶包括自然人用戶和法人用戶。 對于自然人用戶而言，對于自然人用戶而言，由于對他人網絡侵權行為的預見能力和存證能力有限，不應苛以過高的舉證義務，由于對他人網絡侵權行為的預見能力和存證能力有限，不應苛以過高的舉證義務，要求其對被控侵權行為相關的所有操作流程進行存證留痕。網絡用戶主張網絡服務要求其對被控侵權行為相關的所有操作流程進行存證留痕。網絡用戶主張網絡服務2021 年終盤點070提供者侵害其隱私權的，應提交初步證據予以證明。提供者侵害其隱私權的，應提交初步

179、證據予以證明。本案中，被告作為抖音被告作為抖音APP的的運營者，與網絡用戶建立網絡服務合同關系，通過設置運營者，與網絡用戶建立網絡服務合同關系，通過設置“隱私設置隱私設置”等具體版塊和功等具體版塊和功能履行合同義務， 理應知曉用戶進行上述設置或操作產生的法律后果， 對用戶設置、能履行合同義務， 理應知曉用戶進行上述設置或操作產生的法律后果， 對用戶設置、選擇、變更的過程或結果，應留存相應記錄以供核實。且根據在案證據顯示，至原選擇、變更的過程或結果，應留存相應記錄以供核實。且根據在案證據顯示，至原告提起訴訟及本案庭審之日，上述信息記錄尚屬于法定合理留存期間。此外，根據告提起訴訟及本案庭審之日，上

180、述信息記錄尚屬于法定合理留存期間。此外，根據被告提供的用戶協議，其作為抖音賬號的所有者和用戶數據的持有者，對用戶被告提供的用戶協議，其作為抖音賬號的所有者和用戶數據的持有者，對用戶“隱私隱私設置設置”的具體情況和數據具有舉證的可能性。 被告對原告進行的具體情況和數據具有舉證的可能性。 被告對原告進行“隱私設置隱私設置”的結果本身的結果本身無異議，但對操作的具體情況及時間提出質疑，且未提交相反證據。無異議，但對操作的具體情況及時間提出質疑，且未提交相反證據?！鼻懊嫣岬?， 人臉識別司法解釋以及個人信息保護法將過錯的證明責任施加于個人信息處理者， 而該案例進一步借鑒最高人民法院于 2019 年 12

181、 月 25 日發布的最高人民法院關于民事訴訟證據的若干規定，即“一方當事人控制證據無正當理由拒不提交，對待證事實負有舉證責任的當事人主張該證據的內容不利于控制人的，人民法院可以認定該主張成立”，一定程度上將侵權行為事實的證明責任也施加于個人信息處理者。2. 關于“不同意不給用”在杜某與北京智者天下科技有限公司網絡服務合同糾紛一案中，原告以不同意隱私政策不給用為由，認為被告強制原告同意其發布的隱私政策、違法收集原告個人信息、侵害了原告的合法權益，訴請確認協議不成立并刪除相關個人信息。北京互聯網法院一審認為：“被告通過對相關條款設置彈窗、加黑等方式進行了被告通過對相關條款設置彈窗、加黑等方式進行了

182、提示，并對相關條款內容進行了說明，應認定被告已履行了提示或者說明義務。提示，并對相關條款內容進行了說明，應認定被告已履行了提示或者說明義務。即使能夠查實原告進行了多次否定的操作，因其最終選擇了即使能夠查實原告進行了多次否定的操作，因其最終選擇了“同意同意”，已經符合了承，已經符合了承諾的形式要件，并不能產生否認相關條款成立的法律效果。諾的形式要件，并不能產生否認相關條款成立的法律效果?！彪m然法院以此駁回了原告的訴請，但在判決書中亦提到：“本院雖然未支持原告的訴訟請求，但根據查明的事實，被告在經營過程中應當遵循合法、正當、被告在經營過程中應當遵循合法、正當、必要的原則收集和使用用戶的個人必要的原

183、則收集和使用用戶的個人信息，不得收集與其提供的服務無關的個人信息，亦不得因用戶不同意收集非必要信息，不得收集與其提供的服務無關的個人信息，亦不得因用戶不同意收集非必要的個人信息而拒絕提供基本功能服務。被告在用戶拒絕同意涉案相關條款時，僅向的個人信息而拒絕提供基本功能服務。被告在用戶拒絕同意涉案相關條款時，僅向用戶提供游客身份瀏覽相關網站內容等服務，而未提供用戶以真實身份的接受上述用戶提供游客身份瀏覽相關網站內容等服務，而未提供用戶以真實身份的接受上述服務的選項，未給用戶一定期限內作出選擇的緩沖期，亦未說明此種設計的合理理服務的選項，未給用戶一定期限內作出選擇的緩沖期，亦未說明此種設計的合理理由

184、；在用戶拒絕同意涉案條款時，雖多次提示同意涉案條款的必要性，但未設置包由；在用戶拒絕同意涉案條款時，雖多次提示同意涉案條款的必要性，但未設置包括解除合同在內的選項供用戶選擇，客觀上造成合同長期處于不穩定狀態，可能損括解除合同在內的選項供用戶選擇，客觀上造成合同長期處于不穩定狀態，可能損害用戶基于履行合同而享有的相應權利。害用戶基于履行合同而享有的相應權利。被告作為平臺經營者應進一步完善相應規則，提供優質的網絡服務，保障廣大網絡用戶權益，促進產業健康規范發展?！鄙鲜霭咐梢钥闯?，雖然司法中關于強制授權、捆綁授權等行為的效力問題與司法篇071監管執法的尺度之間尚存在差異，但兩者的差異正在逐漸縮小，

185、隨著未來個人信息保護法配套司法解釋的進一步出臺，此類“不同意不給用”的業界通行做法可能迎來司法的否定評價。3. 關于個人信息/隱私邊界在王某某訴深圳市騰訊計算機系統有限公司網絡侵權責任糾紛一案中，原告主張其通過微信登錄“微視”App 后，微視未經授權即獲取了原告好友信息并向原告推送微信好友發布的視頻。對此深圳南山法院一審認為，原告所主張的性別、地區和微信好友關系三類信息均形成于其使用微信軟件的過程中，在一定范圍內已公開，即上述信息已被包含軟件運營商在內的相關主體所知悉。性別和地區不屬于原告隱性別和地區不屬于原告隱私，好友關系不包含原告私密關系，他人無法因此對其人格造成負面評價，故微信私，好友關

186、系不包含原告私密關系，他人無法因此對其人格造成負面評價，故微信好友關系也不屬于原告隱私好友關系也不屬于原告隱私。值得注意的是，此前北京互聯網法院在微信讀書案中作出過與深圳南山法院不完全一致的判決，認為“微信好友上承載的社會關系，可能發展為幾乎全部社會關系微信好友上承載的社會關系，可能發展為幾乎全部社會關系資源，因此好友列表的私密性因人、因具體關系而有所不同，不同用戶對好友資源，因此好友列表的私密性因人、因具體關系而有所不同，不同用戶對好友關系關系的具體處理場景下的隱私期待也可能存在不同。的具體處理場景下的隱私期待也可能存在不同?！薄霸谖疵鞔_告知用戶的情況下，網在未明確告知用戶的情況下，網絡服務

187、者在不同應用中遷移好友關系不符合一般用戶的合理預期，向未主動關注的絡服務者在不同應用中遷移好友關系不符合一般用戶的合理預期，向未主動關注的好友默認公開讀書信息亦不符合一般用戶的合理預期。好友默認公開讀書信息亦不符合一般用戶的合理預期?！庇嘘P個人信息、隱私的邊界，是每一個個人信息保護糾紛案件中都會涉及的問題，法院通常認為個人信息的核心特點為“可識別性”，既包括對個體身份信息的識別，也包括對個體特征的識別。判斷是否屬于個人信息，應考慮兩條路徑，一為識別路徑，即從信息到個人，由信息本身的特殊性識別出特定自然人，識別個人的信息可以是單獨的信息，也可以是信息組合；二為關聯路徑，即從個人到信息，如已知特定

188、自然人，則在該特定自然人活動中產生的信息即為個人信息。通過任一路徑識別出的即構成個人信息。而隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息，對于個人信息中的私密信息，同時適用有關隱私權的規定。4. 關于查閱、復制權有關用戶請求查閱、復制其個人信息的案例正在逐步增多，其中廣受關注的是廣州互聯網法院正在審理的唯品會一案?？紤]到個人信息保護法對個人信息采取了極為廣泛的定義， 在向消費者提供個人信息查閱、 復制功能的過程中如何兼顧、平衡雙方的利益是實踐中的一大難點。2021 年終盤點072目前該案件尚在審理中，但庭審過程中所涉及的查閱復制權的法律屬性（包括可訴性）、個人信息范

189、圍、可查閱個人信息的范圍（期限、種類等）與方式、最小必要范圍與合理使用情形等焦點問題相信會成為所有個人信息處理者在此類訴訟中都將面臨的難點。5. 關于雇員信息處理在潘某某訴貴州仟佰策文化傳媒有限公司及袁某某個人信息保護糾紛一案中，原告以被告袁某某在微信朋友圈發布由公司作出的人事變動告知函，其上不當列明了原告姓名、身份證號碼信息為由，要求兩被告賠禮道歉、賠償損失。對此貴陽觀山湖法院一審判決認為“原告從仟佰策公司離職后，公司作出人事變動告知函，公司作出人事變動告知函，系用人單位在發生人事變動后的正常工作程序，并未侵犯原告的合法權益系用人單位在發生人事變動后的正常工作程序，并未侵犯原告的合法權益。且

190、袁袁某某某某在微信朋友圈發布公司人事變動告知函的行為，沒有證據證明系公司授權行為在微信朋友圈發布公司人事變動告知函的行為，沒有證據證明系公司授權行為，故仟佰策公司對袁某某的個人行為不應承擔責任?！薄霸衬匙鳛榻犹嬖婀ぷ鞯娜藛T，將該人事變動告知函在其朋友圈進行發布已超過了必要的限度，且該函件載明將該人事變動告知函在其朋友圈進行發布已超過了必要的限度，且該函件載明了原告的公民身份信息，侵犯了原告的個人信息了原告的公民身份信息，侵犯了原告的個人信息，故本院對于原告要求袁某某通過其微信朋友圈賠禮道歉的請求，依法予以支持?！北景敢欢ǔ潭壬细采w了離職雇員信息處理的部分場景，但也需要關注到在個人信息保護法

191、生效后，如何進一步理解第十三條規定的“按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需”尚需更多的案例予以說明。（二）檢察院提起的公益訴訟最高人民檢察院 2020 年 9 月出臺 關于積極穩妥拓展公益訴訟案件范圍的指導意見，明確將個人信息保護作為網絡侵害領域的辦案重點，并曾于 2021 年 4 月 22日發布 11 起檢察機關個人信息保護公益訴訟典型案例，包括：（1）江西省南昌市人民檢察院督促整治手機 APP 侵害公民個人信息行政公益訴訟案；（2）浙江省溫州市鹿城區人民檢察院督促保護就診者個人信息行政公益訴訟案；（3）甘肅省平涼市人民檢察院督促整治快遞單泄露公民個人信息行政

192、公益訴訟案；（4）江蘇省無錫市人民檢察院督促保護學生個人信息行政公益訴訟案；（5）江西省樂安縣人民檢察院督促規范政府信息公開行政公益訴訟案；（6）河南省濮陽市華龍區人民檢察院督促整治裝飾裝修行業泄露公民個人信息行政公益訴訟案；（7）浙江省杭州市余杭區人民檢察院訴某網絡科技有限公司侵害公民個人信息民事公益訴訟案；（8）河北省保定市人民檢察院訴李某侵害公民個人信息民事公益訴訟案；（9）上海市寶山區人民檢察院訴 H 科技有限公司、韓某某等人侵犯公民個人信息刑事附帶民事公益訴訟案；司法篇073（10）貴州省安順市西秀區人民檢察院訴熊某某等人侵犯公民個人信息刑事附帶民事公益訴訟案；（11）廣東省廣寧縣人

193、民檢察院訴譚某某等人侵犯公民個人信息刑事附帶民事公益訴訟案。上述案例涵蓋了向行政機構發出訴前檢察建議要求對相關侵害個人信息權益的行為進行監管處罰、向相關個人信息處理者發出社會治理檢察建議要求加強個人信息保護、對行政機關履行政府信息公開職能時泄露公民個人信息的情形制發訴前檢察建議督促整改、對信息處理者的侵權行為依法提起民事公益訴訟要求侵權者承擔侵權責任、在個人信息類刑事案件中附帶提起民事公益訴訟等多種形式，一定程度上也彌補了監管執法過程中的空缺。除此之外，在個人信息保護法出臺后，最高人民檢察院也下發了關于貫徹執行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知，規范相關公益訴訟案件辦理，切實

194、履行好公益訴訟檢察的法定職責，各地檢察院也陸續開始啟動個人信息保護公益訴訟的相關行動。2021 年終盤點074四、展望篇12022 年我們將迎來什么？回首 2021，數據合規與個人信息保護的立法、執法、司法活動已亂花漸欲迷人眼；展望 2022，不知能否迎來柳暗花明又一村。無論如何，在即將到來的 2022 年，我們會看到：配套立法將不斷出臺與優化，為數據合規執法、司法帶來更加細化和完善的依據數據合規監管熱度、力度與頻率，毋庸置疑，只增不減各部門、各地區執法尺度和標準的統一問題，雖無法一蹴而就，但定會有所改善翹首以盼的滴滴等網絡安全審查結果，終將面世，引起新一輪熱議并產生深遠影響津津樂道的數安、個

195、保頂格處罰，可能落地，但何時、何地、“花落誰家”，我們拭目以待司法案例的不斷增多將促進相關司法解釋的出臺，我們有望見到更多關于格式條款、管轄條款、不被支持的同意、捆綁授權、大數據殺熟等熱門話題的司法解釋與典型案例公益訴訟也將成為另一亮點，就檢察院而言，根據關于貫徹執行個人信息保護法推進個人信息保護公益訴訟檢察工作的通知，可能聚焦于“生物識別、宗教信仰、特殊身份、醫療健康、金融賬號、行蹤軌跡等敏感個人信息；兒童、婦女、殘疾人、老年人、軍人等特殊群體的個人信息；教育、醫療、就業、養老、消費等重點領域處理的個人信息，以及處理 100 萬人以上的大規模個人信息； 對因時間、 空間等聯結形成的特定對象的

196、個人信息。 ”同時根據個人信息保護法第七十條的規定，法律規定的消費者組織、網信部門確定的組織也將進一步加入到公益訴訟的隊伍無論是新法新規的出臺，還是執法活動的繼續深入開展，抑或是司法案例的井展望篇075噴，都為數據合規與個人信息保護的治理活動提供有力支撐。此外，我們也期待能看到越來越多的正面案例， 實務界亦亟需了解數據合規與個人信息保護的良好實踐，避免出現此類案件“一抓一個準”的現象出現，也避免莊嚴的立法、執法、司法活動變成個別主體“爭第一”“做宣傳”的墊腳石。最后，“打鐵還需自身硬，無須揚鞭自奮蹄”，唯有主動、積極、切實、有效地開展數據合規安排、落實數據合規要求，方能不懼執法、擁抱監管、持續

197、前行。22022 年企業應該做什么？密集的新法新規、高頻的監管行動，帶來的是 2021 年各種腦洞大開式的合規實操方案。 2022 年， 當我們回顧應該如何逐步開展合規工作時， 我們可以嘗試這么做：（一）合規盤點與風險排查一切合規方案的落地均始于對企業整體數據合規情況的梳理與盤點，目前比較成熟的排查內容可能面向：數據源排查與數據資產盤點（根據所屬行業，區分數據來源、數據規模、數據類型、使用場景等維度）線上業務載體（網站、公眾號、小程序）排查（包括文本形式、交互界面、權限調閱、SDK 嵌入等多方位內容）線下數據/個人信息收集使用情況盤點數據/個人信息全生命周期梳理數據/個人信息跨境傳輸情況排查境

198、外關聯方處理境內個人信息情況（包括數據融合）雇員數據合規排查內控制度制定情況與組織架構/崗位設置盤點在進行上述排查過程中，可依次從法規清單梳理、合規清單輸出、問卷清單制作、所涉員工訪談、制度文本審閱、差異化分析報告產出等流程進行。（二）制度及文本修訂完成風險排查工作后，無論屬于何種行業，企業均可能面臨制度與文本修訂的2021 年終盤點076需求，通?？赡軓囊韵路矫媛鋵嵭抻喒ぷ鳎篊 端交互 C 端文本審閱與修訂 （包括線下、 線上各個場景對應的注冊協議、隱私政策、各類兒童個人信息保護規則等獨立規則、會員規則、頁面展示內容）三方管理 各類第三方合作協議、供應商管理規則等審閱修訂（根據對其的數據提供

199、、數據接受、委托處理、共同處理等不同身份補充相應的條款）雇員信息 勞動合同、員工手冊、規章制度、與人力資源服務提供方、招聘機構、保險公司等額服務、合作協議審閱修訂（增加個人信息保護相關內容）制度適配 例如數據安全管理細則與個人信息保護指引的撰寫與定稿（分別響應數據安全法與個人信息保護法對數據處理者和個人信息處理者的規范要求），數據安全事件應急預案、個人信息安全事件應急預案亦需要與原先的網絡安全事件應急預案相呼應（三）響應個性化合規需求對于特殊行業（例如金融、汽車、電商、政務等）、特殊屬性（例如國有企業、外資公司等）、特殊身份（例如大型互聯網企業）以及這些屬性對應的不同數據處理活動， 企業可能面

200、臨各自不同的合規難點， 如何對癥下藥、 重點擊破也將成為 2022的合規工作要點，例如：個人信息保護影響評估逐步納入常規合規工作計劃，需要設計精巧的評估方案使其能夠既能滿足大批量使用的需求，又能兼顧個性化的評估事項數據分類分級工作需緊跟重要數據目錄及各地區、各行業主管部門頒布的相關指南開展個人信息保護合規審計將成為年度審計的常駐內容， 誰來開展、 怎么開展、審計成果等都需要納入考量數據出境（包括對外提供、向境外司法執法機構提供、使用境外服務器等各種場景）需要逐漸打開合規通道，浦東新區數據改革如何先行先試也可以密切關注各類數據安全、個人信息保護的認證服務體系將逐步建立，需適配企業實際所需的認證內

201、容尋求合適的認證產品個人信息主體的權利響應框架如何設計，以兼顧企業的發展規模、客服能展望篇077力、技術成本等內容自動化決策、用戶畫像與個性化推薦、數據二次利用等工作將如何迎合新監管趨勢，消費者權益保護、廣告合規等傳統合規事項如何同步嵌入行文至此，2021 之種種，如膠卷般閃現而過。新年將至，等待在 2022 的，或是繼續的亂花漸欲迷人眼，或是難測的平地一聲驚雷，或是欣喜的守得云開見月明。無論如何，我們都應當保有“一元復始 萬象更新”的期待。囿于種種，數據合規與個人信息保護領域的專業研究與實務落地，將在較長一段時間內難有通行模板、共性做法、流水化方案，因此其價值凸顯，大有可為。想起最近一次內培

202、活動上的結束語，在此援引聊作收尾：模板雖香模板雖香 仍需高訂仍需高訂場景多元場景多元 合規必備合規必備道理都懂道理都懂 路阻且長路阻且長千里之行千里之行 始于足下始于足下與諸君共勉，再祝新年快樂。Hello 2022以下內容為編委會成員及特邀供稿人簡介版權與免責SHAIRK 團隊保留對本報告的 所有權利。未經權 利人書面許 可，任何人不得以 任何形式或 通過任何方式復制或轉載本報告任何受版權保護的內容。本 報 告 及 其內 容 不代 表 編寫 人員 所 在 單 位對 有 關問 題 的法 律意 見 ， 任 何僅 依 照本 報 告的 全部 或部 分 內 容 而做 出 的作 為 和不 作為 決 定

203、及 因此 造 成的 后 果由 行為 人 自 行 負責 。 如您 需 要法 律意 見或其他專家意見，應該向具有相關資格的專業人士尋求專業幫助。如您欲進一步了解本報告所涉及的內容，您可以通過以下聯系方式聯系我們。彭凱律師郵箱： 微信： plucky08102021 年終盤點078編委會成員介紹金誠同達律師事務所合伙人，畢業于上海交通大學法學院， 先后獲學士學位 （法學及經濟學） 、碩士學位 （法律） 。 自執業以來為多家金融科技公司、 互聯網企業、 科技公司等提供有關網絡安全、 數據合規、 個人信息與隱私保護等內容的咨詢與專項法律服務，代理包括建設工程施工合同糾紛、 保險合同糾紛、 融資租賃合同糾

204、紛、 股權回購糾紛等在內的眾多商事爭議解決案件，目前聚焦于個人信息保護與數據合規、人工智能、 大數據、 網絡安全等多個新興領域開展研究工作。彭 凱執業領域：網絡安全與數據合規、金融科技、執業領域：網絡安全與數據合規、金融科技、公司治理與合規、收并購公司治理與合規、收并購金誠同達律師事務所高級合伙人，畢業于廈門大學法學院， 獲碩士學位。 兼任復旦大學法律碩士專業學位實務導師，復旦大學法學院實務課程講師， 廈門市地方金融協會調解員， 多家機構簽約講師。 執業以來為多家大型互聯網公司、 跨國企業、 知名金融科技企業、 金融機構、 初創公司等提供常年及各類專項法律服務，深諳國內網絡安全、數據治理、個人

205、信息保護、互聯網、金融領域法律法規，個人研究領域聚焦于網絡安全、 金融科技、 大數據及人工智能， 正持續圍繞該等新興領域進行研究及寫作。周晨黠執業領域：網絡安全與數據合規、爭議解決、執業領域：網絡安全與數據合規、爭議解決、破產重整及保險破產重整及保險金誠同達律師事務所高級合伙人，畢業于中國人民大學法學院， 獲碩士學位。 任復旦大學法律碩士專業學位實務導師，復旦大學法學院實務課程講師， 華東政法大學法律碩士校外導師， 上海市金融消費調解中心中立評估專家。專業領域涉及爭議解決、公司訴訟、公司治理與合規、消費者權益保護等。執業以來代理了多起重大商事仲裁、 訴訟案件及公司訴訟案件， 主導多起投資與收購

206、項目，并以評估專家身份就消費者權益保護、用戶個人信息保護、銀行業務合規、金融機構適當性義務等問題出具中立評估報告，參與調解多起金融糾紛。宋海新執業領域：網絡安全與數據合規、金融科技、執業領域：網絡安全與數據合規、金融科技、公司治理與合規、爭議解決公司治理與合規、爭議解決金誠同達律師事務所資深律師，畢業于上海交通大學凱原法學院， 獲碩士學位。 自執業以來為數十家互聯網巨頭、 持牌金融機構、 金融科技企業、 大數據企業、 初創公司等提供網絡安全與數據合規、 金融科技、 公司治理與合規方面的常年及專項法律服務，并代理/負責包括軟件開發糾紛、 服務合同糾紛、 民間借貸糾紛等在內的近十起爭議解決案件。主

207、筆撰寫數據合規專著 1 本，參與撰寫金融科技專著 1 本，主筆撰寫并公開發布數據合規文章 30 余篇，主筆撰寫并公開發布金融科技文章 10 余篇。 深諳國內數據合規和金融科技領域法律法規，個人研究領域聚焦于網絡安全、大數據、人工智能及金融科技。陳婷婷執業領域：執業領域：爭議解決、公司訴訟、公司治理與爭議解決、公司訴訟、公司治理與合規、消費者權益保護合規、消費者權益保護079編委會成員介紹金誠同達律師事務所合伙人， 畢業于廈門大學和澳大利亞昆士蘭大學，獲學士學位及碩士學位。其為英國皇家特許管理會計師公會資深會員 （FCMA） ，并具有基金從業資格， 曾在某知名跨國企業的中國投資發展事業部任首席風

208、控官。 主要從事與公司治理與合規、網絡安全及數據合規、并購與重組及投融資等業務領域相關的法律服務。 擅長從企業的治理結構出發為企業制定符合其業務特點的合規方案和并購重組交易過程中的風險控制及投后主動管理、投融資安排及項目退出的法律方案設計，曾為多家國內外知名企業提供業務合規解決方案， 并曾多次代表大型跨國企業處理公司在中國大陸、 香港、臺灣地區、新加坡、馬來西亞、印度尼西亞等的直接投資、并購交易及投融資相關法律事務。許中華執業領域：執業領域：公司治理與投資并購、合規、破產公司治理與投資并購、合規、破產清算與重整、爭議解決清算與重整、爭議解決金誠同達律師事務所高級合伙人，畢業于上海對外經貿大學法

209、學院， 獲碩士學位。 兼任上海對外經貿大學法律碩士專業學位研究生校外導師、 復旦大學法學院實務課程講師。 專業領域涉及公司治理和投資并購、 合規、 破產、 爭議解決等。執業以來為多家知名企業提供專項及常年顧問服務，為多家初創互聯網科技公司提供并購與投融資等法律服務，參與多家金融科技企業合規審查與整改。其負責及參與的收并購項目涉及車聯網、數字科技、房地產、文化影視、醫藥器械等行業。在相關項目中可以提供包括項目盡調、 交易架構設計、 談判、 起草交易文件等全程法律服務。鄭文潔執業領執業領域：域：網絡安全及數據合規、公司治理與網絡安全及數據合規、公司治理與合規、知識產權保護、并購重組及投融資合規、知

210、識產權保護、并購重組及投融資中怡保險經紀有限責任公司執行總監。魏建鋒女士于 2006 年加入中怡， 在可保風險管理咨詢行業有超過 15 年的工作經驗，是大型零售、酒店地產行業風險管理負責人。她專注于企業全面可保風險管理制度設計、上下游可保風險管理制度設計、 可保保險方案設計和落地、 企業項目投資及海外投資風險管理咨詢等。魏女士擁有香港大學 MBA 碩士學位和浙江大學法學學士學位，持有中華人民共和國司法部頒證的法律職業資格，是中華人民共和國注冊保險經紀人。黃相宜執業領域：勞動與雇傭、公司治理與合規、訴執業領域：勞動與雇傭、公司治理與合規、訴訟仲裁、網絡安全與數據合規訟仲裁、網絡安全與數據合規金誠

211、同達律師事務所資深律師，畢業于上海財經大學， 獲碩士學位。 其專注業務領域涉及勞動與雇傭、 公司業務與合規、 訴訟仲裁、 隱私保護與數據合規等。 服務的客戶涉及醫療器械、 電子商務、汽車、食品、建筑設計、電子制造業、?；返缺姸嘈袠I。黃律師經常協助客戶設計雇傭結構和相關法律文本、并能夠在并購項目中對勞動方面的問題進行深入的盡職調查，擅長處理公司與高管之間勞動爭議，以及協助公司進行內部調查和壓力訪談，在員工隱私保護和對違紀員工進行收證固證方面積累了豐富的經驗。魏建鋒業務領域：大型零售、酒店地產行業風險管理業務領域：大型零售、酒店地產行業風險管理2021 年終盤點080編委會成員介紹金誠同達律師事

212、務所合伙人，畢業于英國蘭卡斯特大學，獲碩士學位。專業領域涉及資本市場、并購重組、公司治理與合規、外商投資、體育文化及藝術等。 熟識 BVI， Cayman 等主要離岸地的公司法律實操，多次協助客戶完成跨境架構搭建及境外交割，亦曾協助客戶成功于澤西島設立家族信托。自執業以來為多家跨國公司、 國有企業、 大型民營企業等提供了常年及專項法律服務。姜莉麗執業領域：外商投資、公司收并購、基金投資、執業領域：外商投資、公司收并購、基金投資、公司治理與合規公司治理與合規金誠同達律師事務所合伙人，畢業于浙江大學和倫敦政治經濟學院，先后獲得學士學位和碩士學位。兼任復旦大學法律碩士專業學位實務導師， 復旦大學法學

213、院實務課程講師， 同時擔任錦浪科技獨立董事。 專業領域涉及外商投資、 銀行金融、 公司收并購、 基金投資等。 自執業以來為多家跨國公司、 金融機構、 國有企業、 大型民營企業等提供常年及專項法律服務。通過深度參與多個跨境并購交易而深諳多個離案地的交易規則。 其目前主要研究方向為零售、 信托、 保險等領域。周繼偉執業領域：資本市場、并購重組、公司治理與執業領域：資本市場、并購重組、公司治理與合規、外商投資、體育文化及藝術合規、外商投資、體育文化及藝術金誠同達律師事務所合伙人，邁阿密大學國際仲裁法學碩士和香港城市大學仲裁與爭議解決法學碩士。專注于跨境法律實務超過 13 年，長期處理大量中國企業在美

214、國、香港和新加坡等地的境外訴訟和仲裁、外國企業在中國境內的涉外訴訟和仲裁、中國企業應對歐美等各國政府合規調查、外國企業應對中國政府合規調查以及中國企業境內外合資并購項目。對中國企業如何搭建全球合規體系有濃厚興趣和經驗，在其任職一家世界 500 強企業期間曾負責統籌推動多個全球合規項目的落地。邱儒婷執業領域：并購重組、私募股權執業領域：并購重組、私募股權及風險投資、及風險投資、公司治理與合規、外商投資公司治理與合規、外商投資金誠同達律師事務所資深律師，先后畢業于中國政法大學、 香港城市大學， 獲碩士學位。 曾為多起并購重組、私募股權及風險投資等交易提供法律服務，能夠為客戶提供包括法律盡職調查、

215、交易結構設計、 相關交易文件及其他法律文件起草、 審閱和修改、 交易談判、 協助客戶完成交割等全方位法律服務； 同時， 其擅長協助管理和處理與公司和/或私人客戶相關的常見法律事務，并擅長與各類政府主管部門及第三方機構溝通、協調、共同工作或互相予以配合。李 嵐執業領域：執業領域：跨境訴訟仲裁、跨境合規調查跨境訴訟仲裁、跨境合規調查081編委會成員介紹金誠同達律師事務所實習律師，畢業于華東政法大學知識產權 （卓越人才實驗班） 專業， 獲得法學學士學位，至今曾廣泛參與數據安全、合規、 公司法、 知識產權、 不正當競爭領域內的訴訟及非訴訟業務。伊 娜執業領域：執業領域：網絡安全與數據合規、金融科技、網

216、絡安全與數據合規、金融科技、爭議解決及保險爭議解決及保險金誠同達律師事務所實習律師，畢業于上海對外經貿大學， 獲碩士學位， 至今曾廣泛參與數據合規、 個人信息保護、 公司治理領域內的訴訟及非訴訟業務。符淇媛執業執業領域：領域：網絡安全及數據合規、公司治理與網絡安全及數據合規、公司治理與合規、知識產權保護合規、知識產權保護周欣雨研究領域：研究領域：網絡安全與數據合規、網絡安全與數據合規、爭議解決爭議解決金誠同達律師事務所實習生，就讀于上海對外經貿大學法學院。2021 年終盤點082特邀供稿人介紹資深數據合規與隱私保護專家，某人工智能公司法務總監。專注于數據合規與隱私保護研究，具有豐富的海外市場與

217、國內市場數據保護實務操作經驗。鐘 敏研究領域：網絡安全與數據合規、金融科技、研究領域：網絡安全與數據合規、金融科技、新經濟新經濟現就職于萬達普惠金融事業部法律合規部，負責網絡安全與 APP 日常合規工作， 自由撰稿人，金融科技及新媒體行業觀察人，浪巔 Shairk Intelligence 顧問。 在互聯網金融、 網絡安全與數據合規與房屋抵押貸款領域具有豐富的實操經驗， 負責公司日常合規制度的設計及完善、 新興金融項目合規審查、APP 日常合規審查、金融消費者投訴處理等，擅長將法律法規規定轉化為實操建議。江 汶研究領域：研究領域：數據合規與隱私保護、公司治理數據合規與隱私保護、公司治理擔任國內某車聯網公司數據合規高級專家，負責公司車機產品在國內外市場的合規落地。曾分別就職北京環球律師事務所與國內某知名互聯網金融公司，參與諸多數據合規相關的項目工作。陳玉卿研究領域：網絡安全與數據合規、城市更新研究領域：網絡安全與數據合規、城市更新現就職于某地產公司法務部， 自由撰稿人， 數據合規行業觀察人，負責城市更新項目合規審查、公司日常制度設計與完善，參與撰寫多篇數據合規文章。周煌凱研究領域：研究領域：數據合規與隱私保護、車聯網數據合規與隱私保護、車聯網