网络立法白皮书(2022年)
AI智能总结
No.202237 网络立法白皮书 (2022年) 中国信息通信研究院2023年1月 版权声明 本白皮书版权属于中国信息通信研究院,并受法律保 护。转载、摘编或利用其它方式使用本白皮书文字或者观点的,应注明“来源:中国信息通信研究院”。违反上述声明者,本院将追究其相关法律责任。 前言 网络空间已经成为人们生产生活的新空间,现实空间加速向网络空间全面映射,加快建立网络综合治理体系,推进依法治网已经成为全面依法治国的时代命题和重要组成部分。为进一步构建更加全面、有效、一致的具有中国特色的网络立法体系,应对网络空间带来的多重挑战和问题,根据十八届四中全会确立的以问题为导向的“网络信息服务、网络安全保护、网络社会管理”三个领域制度设计,亟待向以结构导向为主的网络立法体系进行转变,构筑具有中国特色的网络立法体系框架。在此背景下,结合十八大以来的数字经济发展情况和网络立法梳理,落实二十大报告中强调的“加强重点领域、新兴领域、涉外领域立法”要求,白皮书确立了“3+1”的网络立法框架。2022年网络立法的梳理主要在“3+1”的框架下,围绕数据、网络基础设施、网络平台、数字技术四个方面展开,数据安全立法体系基本形成,基础设施立法不断完善,数字技术立法持续创新,网络平台立法成为重点。 从全球来看,主要国家和地区的网络立法在关注个人数据保护、网络安全、虚假信息治理等传统领域的基础上,更加强化了释放数据价值、规范新技术新业务发展、营造公平竞争环境等突出问题。同时,动荡的国际形势也对各国网络立法产生一定影响,如俄罗斯在俄乌冲突的爆发和持续演变背景下不断强化战时立法,美欧在数据跨境流动方面持续扩展外部合作,为我国网络立法提供了参考。 在此背景下,中国信息通信研究院在往年《互联网法律白皮书》的基础上,结合全球数字经济发展新趋势,阐述进入新时代我国的网络立法成就,回顾过去一年国内外重要网络立法活动,形成《网络立法白皮书(2022年)》,希望能为社会各界了解网络领域立法最新动态和立法趋势提供有价值的参考。 目录 一、新时代我国网络立法体系建设综述1 二、2022年我国网络立法建设持续推进4 (一)数据治理体系纵深发展,配套措施加速出台5 (二)网络安全法律日益完善,基础设施保护持续强化10 (三)平台治理规则有序出台,网络综合治理扎实推进14 (四)新技术领域立法持续探索,算法治理不断深化19 三、2022年国际网络立法建设重点突出24 (一)数据治理规则全面推进24 (二)网络内容治理持续推进28 (三)网络安全政策法规持续出台30 (四)超大平台事前监管举措持续落地32 (五)新技术新业务催生新立法33 四、网络立法展望35 (一)加快完善数据治理领域配套立法35 (二)强化对基础设施的促进和保护36 (三)逐步推进数字技术法律制度体系37 (四)研究制定《数字平台法》确立分类分级制度37 附件:2022年网络立法梳理38 一、新时代我国网络立法体系建设综述 随着数字经济纵深发展,网络空间活动日益丰富,我国网络立法体系不断完善。党的十八届四中全会提出,“加强互联网领域立法,完善网络信息服务、网络安全保护、网络社会管理等方面的法律法规,依法规范网络行为”。按照党的十八届四中全会重要部署精神,我国互联网领域立法顶层设计不断完善,重要立法项目陆续制定并出台,基本框架体系已经初步形成。 网络信息服务方面,我国出台一系列规定,规范了算法、区块链等领域的发展。2018年4月,修改《反恐怖主义法》,规定了电信业务经营者、互联网服务提供者应防止含有恐怖主义、极端主义内容的信息传播;制定出台《英雄烈士保护法》,要求网络运营者停止传输,采取消除等处置措施处理侵害英雄烈士的姓名、肖像、名誉、荣誉的网络信息。2019年1月,制定出台《区块链信息服务管理规定》,明确了区块链的定义及区块链信息服务提供者的备案义务。2019年11月,制定出台《网络音视频信息服务管理规定》,界定了网络音视频信息服务以及服务提供者和使用者的含义,明确了网络音视频信息服务提供者的信息内容安全管理主体责任,规范了网络音视频信息服务提供者关于利用深度学习、虚拟现实等新技术新应用的管理要求。2019年12月,制定出台《网络信息内容生态治理规定》,明确了网络信息内容生态治理的内涵,规定了网络信息内容生产者、网络信息内容服务平台、网络信息内容服务使用者的法律责任,同时完善了民 事、行政和刑事法律责任相衔接的体系化规定。2021年12月,审议通过《互联网信息服务算法推荐管理规定》,聚焦算法推荐服务乱象问题,明确了算法推荐服务提供者的信息服务规范以及用户权益保护要求,构建算法安全治理体系,有利于规范互联网信息服务算法推荐活动、防范算法滥用带来的风险隐患。 网络安全保护方面,我国相继于2016年、2021年出台了《网络安全法》《数据安全法》《个人信息保护法》,明确了一系列有关网络信息安全、数据安全、个人信息保护等方面的具体要求,构建了我国数据治理领域的顶层制度设计。《网络安全法》作为我国网络安全领域的首部基础性、框架性、综合性法律,明确了网络数据的安全管理要求和多项重要原则,提出了关键信息基础设施运营者的个人信息和重要数据的出境安全评估要求。《数据安全法》作为我国数据安全领域的专门、统一性立法,坚持安全和发展并重的原则,一方面注重数据安全制度的建设,构建了分类分级管理、重要数据保护、数据安全风险评估、监测预警、应急处置、数据安全审查等基本制度,明确了各方数据安全保护义务;另一方面在确保数据安全的前提下,鼓励数据依法合理有效利用,保障数据依法有序自由流动,促进以数据为关键要素的数字经济发展。《个人信息保护法》作为总领个人信息保护的专门立法,明确了个人信息处理活动应遵循的原则,构建以“告知-同意”为核心的个人信息处理规则,保障个人在个人信息处理活动中的各项权利,强化个人信息处理者的义务,明确个人信息保护的监 管职责,并设置严格的法律责任。2021年7月制定出台的《关键信息基础设施安全保护条例》,从关键信息基础设施的认定、运营者责任义务、保障和促进措施与法律责任等多个方面提出总体监管要求,进一步细化相关保护举措。2021年8月制定出台的《汽车数据安全管理若干规定(试行)》,聚焦汽车数据安全风险,明确了汽车数据处理者的责任和义务,规范了汽车数据处理活动。 网络社会管理方面,我国通过系列法律法规构建了网络平台综合治理体系,为创建公平竞争、规范高效、生态清朗的平台环境提供了保障。2018年8月,制定出台《电子商务法》,将电子商务平台经营者纳入监管的主要对象范围,并对电子商务平台经营者公平对待平台内经营者、市场监管、行政许可监管、税务监管、知识产权保护、信息安全、交易安全、消费者权益保护等诸多方面的责任义务进行了明确规定。2019年4月,修改《反不正当竞争法》,明确规定了经营者不得利用技术手段,通过影响用户选择或者其他方式,实施妨碍、破坏其他经营者合法提供的网络产品或者服务正常运行的行为。2022年6月,修改《反垄断法》,针对平台经济领域中的滥用市场支配地位行为,明确规定了经营者不得滥用数据和算法、技术、资本优势以及平台规则等排除、限制竞争。 《法治社会建设实施纲要(2020-2025年)》提出,“推动社会治理从现实社会向网络空间覆盖,……全面推进网络空间法治化”。互联网治理已经进一步拓展为网络空间综合治理,互联网立法问题深 化为网络立法问题。网络立法任务由问题导向型转变为结构导向型,党的十八届四中全会提出的“网络信息服务、网络安全保护、网络社会管理”三个主要领域的立法问题基本解决。 党的十九大、二十大明确“加强重点领域、新兴领域、涉外领域立法”,对结构性网络立法工作提出深层次要求。结合实践发展情况, 《互联网法律白皮书(2021年)》将网络立法结构归纳为网络要素规范、网络行为规范、数字社会规范三个层面。当前,网络要素突出表现为数据治理问题,行为规范的主要对象是网络平台,推进数字经济与社会发展的主要内容是网络设施建设和数字技术。在此基础上,我们进一步由抽象到具体,把网络立法划分为“3+1”的体系架构,“3”是指数据、设施、技术三个要素,“1”是指平台。 二、2022年我国网络立法建设持续推进 2022年,我国网络立法围绕数据、网络基础设施、数字技术、网络平台等方面持续推进。首先,数据是我国网络立法建设中的重点规范领域,随着《网络安全法》《数据安全法》《个人信息保护法》的出台实施,数据领域的顶层制度设计初步形成,2022年,为进一步落实立法要求,相关配套加速制定,尤其在数据跨境流动领域表现突出, 《个人信息出境标准合同规定(征求意见稿)》《数据出境安全评估办法》等文件相继公布或出台,规定了更加明确的数据出境路径。同时,工业和信息化领域贯彻顶层制度设计,制定出台该领域数据安全管理办法;地方立法也注重从自身实际出发,通过具体措施为数据开 放共享明确要求。其次,为呼应网络基础设施安全保护和新技术新业务规范发展的现实需要,《网络安全审查办法》《网络安全法》的修订工作稳步推进,重点领域关键信息基础设施的管理规定不断完善,同时,针对算法推荐、深度合成等新技术新业务的快速发展,监管探索针对性管理要求,确保新技术在法治轨道上创新前行。最后,突出对互联网平台的重点整治,如为解决互联网平台发展突出问题,聚焦打击电信网络诈骗的《反电信网络诈骗法》正式出台,修改后的《反垄断法》明确了反垄断制度在平台经济领域中的适用。 (一)数据治理体系纵深发展,配套措施加速出台 数据治理既强调数据安全和个人信息保护,也注重数据价值的释放。2022年,我国数据治理体系向纵深发展,在数据安全及个人信息保护方面,完善了数据跨境管理制度、出台了重点领域数据安全管理办法;在数据价值释放方面,积极探索数据交易、数据共享的治理规则。 1.数据跨境流动配套规则不断完善 近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。自2016年起,《网络安全法》 《数据安全法》《个人信息保护法》作为数据治理的顶层法律制度,逐步明确了数据出境的总体要求,对个人信息及重要数据出境作出顶层制度设计。为落实顶层立法中有关数据出境规定的要求,我国加速 出台相关配套措施,进一步规范数据出境活动,保护个人信息权益和数据安全,维护国家安全和社会公共利益。 一是推进制定出境标准合同。2022年6月,国家互联网信息办公室发布《个人信息出境标准合同规定(征求意见稿)》,明确了通过签订标准合同的方式向境外提供个人信息的适用范围,规定了标准合同的主要内容并提供了标准合同文本。标准合同文本中包含了个人信息处理者的义务、境外接收方的义务、当地个人信息保护政策法规对遵守合同条款的影响、个人信息主体的权利等条款。该规定对标准合同采取“自主缔约”与“备案管理”相结合的监管路径:标准合同无需事前审批即可生效,但是个人信息处理者应当在标准合同生效之日起10个工作日内,向所在地省级网信部门备案。作为跨境提供个人信息的重要配套制度,标准合同适用于数量较少、敏感程度不强的个人信息出境,方式较为灵活,有助于进一步促进个人信息跨境安全、自由流动。相比于安全评估,标准合同这一方式更加快捷、可预期、低成本,而且在个人信息出境活动适用安全评估的场景下,也对数据处理者提供的申报材料具有重要参考价值。当前,很多国家和地区都先后推出了自己的标准合同范本,如2021年,欧盟更新了适用于不同情况的四种标准合同,东盟发布了《东盟跨境数据流动示范合同条款》等。我国《个人信息出境标准合同规定(征求意见稿)》以《个人信息保护法》为依据,在借鉴国际成熟作法的同时,规定了适应我国实际情况需要的相关内容。随着我国数据出境安全管理制度的不断 完善,标准合同将以其灵活便捷的特点体现出越来越强的“生命力”。 二是正式明确出境安全评估流程与要求。2022年7月,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《评估办法》)。《评估办法》秉持安全和发展并重的基本原则,进
