网络安全、数据治理与反垄断合集（上篇）（2023）

网络安全、数据治理与反垄断合集 （上篇） 网络安全、数据治理与反垄断合集（上篇） 声明： 本出版物由金杜律师事务所和金杜法律研究院联合出版，不代表金杜律师事务所对有关问题的法律意见。任何仅仅依照本出版物的全部或部分内容而做出的作为和不作为决定及因此造成的后果由行为人自行负责。如您需要法律意见或其他专家意见，应该向具有相关资格的专业人士寻求专业的法律帮助。 本出版物中，凡提及“香港”、“澳门”、“台湾”，将分别被诠释为“中国香港特别行政区”、“中国澳门特别行政区”、“中国台湾地区”。 版权声明： ©金杜律师事务所2023年版权所有 如需了解更多信息，请访问kwm.com。 金杜律师事务所保留对本出版物的所有权利。未经金杜律师事务所书面许可，任何人不得以任何形式或通过任何方式（手写、电子或机械的方式，包括通过复印、录音、录音笔或信息收集系统）复制本出版物任何受版权保护的内容。 有关本出版物的咨询及意见和建议，请联系：publication@cn.kwm.com 序言 2021-2022年，对于中国网络安全数据保护和反垄断，都是应当被铭记的。 首先，在法律层面上，《数据安全法》和《个人信息保护法》于2021年下半年生效，与《网络安全法》共同构筑了中国网络空间安全、数据/个人信息保护的骨架。《反垄断法》在实施14年后修法，于2022年8月1日生效，并明确了经营者不得利用算法、数据或平台规则从事垄断行为。 与法律相配套的国家标准、部门规章在数据安全个人信息保护方面纷至沓来，《关于平台经济反垄断指南》等，也都在细化规则上，显示着立法者对于实施法律的耐心、决心和努力。各地方政府和人大，在地方立法上也百舸争流，对于数据产权交易、数字经济促进、创新，对于地方优势产业及其数字化转型，都在做出非比寻常的努力，地方法规和鼓励政策纷纷出台，显示出地方政府对地方数字经济的巨大热情与信心。 执法 金杜反垄断与网络安全、数据合规及治理团队，从参与立法到深度实践，我们始终与立法、 、产业、学界一起，研究最前沿的法律问题，并在数据与反垄断法律问题结合点上，寻求平衡，探讨诸如人工智能、大数据、云计算等新兴技术与竞争的关系，算法是否可以成为新的合谋方式，隐私保护是否可以成为竞争法下的合理理由。 《反垄断法》是有趣的，《网络安全法》《数据安全法》《个人信息保护法》是有趣的，二者相加相结合，更是有趣的。我们的团队就是在这有趣的法律领域中自由践行，并成此集以记心得。 于2 《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》（“数据二十条”）022年12月19日公布，涉及数据产权、流通交易、收益分配、安全治理四个方面，初步搭 建了我国数据制度体系，以赋能实体经济，促进高质量的发展。这些问题，既是数据安全/治理需要探讨的问题，也是反垄断需要探讨的问题。 我们身在其中，乐在其中，也希望成于其中！ 2022年12月22日壬寅冬至日 宁宣凤 合金规杜业数务字部经管济理国合际伙法人律服务中心负责合伙人 金杜数字经济国际法律服务中心 作为引领未来的新经济形态,数字经济已成为推动我国经济高质量发展的重要引擎。“十四五”期间，中央推出新的政策和举措，扶植数字经济的发展,明确将数据作为新型生产要素，在国家层面正式确认数据的基础资源地位，正式开启数字经济社会新阶段。在数字经济社会发展的同时，社会各界亟需从理论和实践角度研究和分析数字经济社会产生的法律关系，例如分享经济中的灵活用工劳动关系、个人信息处理者与个人信息主体的委托关系、智慧城市构建中多主体的法律责任和权益等。 作为国内首家专注数字经济领域法律研究和法律服务的国际化创新型综合法律服务平台，金杜数字经济国际法律服务中心（以下称“数字中心”）整合行业头部资源，组成跨学科、跨法域的研究战队，致力于内容、产品和业务模式的创新。数字中心运用智慧和经验，为数字经济立法和规则制定提供极具价值的专业研究成果，同时将前沿研究转化为具有商业价值的法律服务和产品，帮助企业客户成功应对数字经济浪潮新挑战。 数字中心依托金杜律师事务所在法律实践和平台资源的领跑优势，结合数字经济的无疆界特点拓展全新服务平台和产品，将“法律+数字经济”的构想付诸实践。 目录 “潮平两岸阔，风正一帆悬”——2022年金杜网络安全与数据合规治理领域年度法律观察007 数据合规 苟日新，日日新，又日新——首例数据合规不起诉案例评述021 以安全促发展——《数据出境安全评估办法》解读026 网络安全 “安全为本，发展为先”：《网络安全审查办法》正式发布037 回首峥嵘尽，连天草树芳——《网络安全法》首次修订的回顾与展望043 算法治理 算法治理之互联网信息服务推荐算法管理053 “假作真时真亦假”——数字社会中辨伪存真的挑战059 个人信息保护 千钧将一羽，轻重在平衡——试论个人信息权利保护纠纷中的自由裁量071 “言不信者行不果”——全面解读《互联网用户账号信息管理规定》077 映日荷花别样红——中欧个人信息出境标准合同（条款）对比分析085 法律前沿 ICLG–DATAPROTECTION2022(CHINA)093CHAMBERS-CYBERSECURITY2022(CHINA)109 CHAMBERS-ARTIFICIALINTELLIGENCE2022(CHINA)131 “潮平两岸阔,风正一帆悬” ——2022年金杜网络安全与数据合规治理领域年度法律观察 宁宣凤吴涵姚敏侣吴真恺 开篇词 2022年全球网络安全与数据合规治理格局纵深推进，欧盟加速数据保护和数字经济一体化进展，年末在推进与美国的跨境数据传输协议中又迈出重要一步，以数据主权理念为基础的数据保护规则进一步扩大国际影响力，建立数据保护共识的“朋友圈”。同时，我们也看到诸如印尼等东南亚国家数据安全立法出现新变化，数据保护的工具箱也显现出多样化的趋势。在趋同存异的国际大环境下，我国网络空间治理框架不仅逐步成型，而且在“以安全促发展”的目标下平稳落地。数据安全和个人信息保护出台更加细节化的规则，如何通过数据保护促进数字经济发展也具备明确的指导方向。 如同习近平主席指出，当前，世界之变、时代之变、历史之变正以前所未有的方式展开。在国际规则的迎合和差异化之间，数据保护与数字经济增长的平衡之上，动态的博弈将是长期的时代命题，“在分裂的世界中加强合作”将是国际竞争的主旋律。 时我 在新的一年以及可预见的未来，我们理解，国际数据竞争将持续在法律、贸易、冲突等各个领域愈演愈烈，而同们也将依然警惕以数字化为基础的深度智能化对个人主体性以及社会群体认知的消磨和冲击。要认识和把握数字 社会的规律，力争与新型社会形态的自洽和共处，我们需要及时地“回头看”来总结经验，“抬头看”以鉴往知来，确保“潮平”与“风正”，期待我国的数字经济发展能“一帆风顺”的同时，也祈盼世界各国在向智能化社会的转变中“云共千帆舞，浪淘万里沙”。 一、具化：安全工具箱的丰富与成熟 （一）网络安全审查 自2022年2月15日开始施行的新《网络安全审查办法》，无疑是过去一年中在国家安全和网络安全合规领域中的一个里程碑；而随着新法规修订后正式实施接近一周年，最集中的变化在于人们对于“什么是网络安全审查”“何时需要进行网络安全审查”和“怎么进行网络安全审查”有了更加全面和深入的认识。规则的确定和透明化，将更有助于形成稳定的发展预期。其中，除了关键信息基础设施供应链安全保障措施之外，市场最为关注的规则便是新《网络安全审查办法》第七条将安全审查的适用范围拓展至“掌握超过100万用户个人信息的网络平台运营者赴国外上市”的情形。该新增条款沿用了《网络安全法》的法律定义，规定了网络平台运营者应当主动向有关主管部门申报网络安全审查的客观条件。 007 由于与市场主体上市活动密切相关，网络安全和数据合规成为相关主体活动中的重要环节，数据合规与企业上市的互动愈加频繁。根据《<网络安全审查办法>答记者问》，网络平台运营者应当在向国外证券监管机构提出上市申请之前，申报网络安全审查。因此，国外证券机构对于上市主体的监管规则及其对于我国国家安全和境内用户利益的影响，成为网络安全审查中重点关心的对象。在与上市监管合规的规则衔接方面，我国证监会于2022年4月2日就《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》面向社会公开征求意见，尽管该规定目前仍未正式生效，但显然已经对上市主体在上市过程中绷紧网络安全的神经、压实数据安全责任产生了深远的影响。 《网络安全审查办法》实施的最终目的，是在确保国家安全的前提下支持境内企业依法依规合理利用境外资本市场融资发展。2022年，在境内外上市监管合作方面也取得了进展。根据官方消息，我国证监会和财政部通过与PCAOB签署审计监管合作协议并启动相关合作试点的形式，推动解决中概股企业此前在美国上市的监管冲突问题，以期在确保数据安全的前提下维护我国企业海外上市利益。 2022年网络安全审查规则日渐明确，官方监管合作不断推进，给予了投资者和市场以更多的信心。但需要注意的是，我国境外上市企业仍然应当积极承担网络数据安全主体责任，根据《数据安全法》《个人信息保护法》及一系列已确立和执行的配套规则充分做好内部的数据合规工作，在配合证券监管和提交审计材料之前对于涉及国家安全和公共利益事项的国家秘密信息、行业重要数据和核心数据，以及用户敏感个人信息履行保密义务和脱敏责任。根据我们的行业观察，目前不少企业已经逐渐意识到并建立起了框架成熟、行之有效的审计文件数据合规审阅制度和流程。我们理解，这将会进一步助力企业合法合规发挥境外资本的利用效率。 （二）关键信息基础设施保护 2021年7月30日，国务院发布《关键信息基础设施安全保护条例》（《条例》），并自2021年9月1日起施行。 《条例》明确了监管体制、关键信息基础设施范围和认定程序、保护工作部门职责、运营者责任义务、保障和促进措施、法律责任等内容，为关键信息基础设施保护工作提供了法制保障。如今，《条例》颁布实施已有一周年之余，我国关键信息基础设施领域的法治保护也取得了初步成效。 首先，《条例》相关系列配套标准陆续公布，我国关键信息基础设施安全保护标准体系开始布局。2022年11月7日，国家标准《信息安全技术关键信息基础设施安全保护要求》（GB/T39204-2022）发布，并将于2023年5月1日起实施。这是我国第一项关键信息基础设施安全保护的国家标准，该标准提出了以关键业务为核心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防的关键信息基础设施安全保护3项基本原则，从分析识别、安全防护、 检测评估、监测预警、主动防御、事件处置6个方面提出了111条安全要求，为运营者开展关键信息基础设施保护工作提供了强有力的标准保障。1围绕上述核心标准，我国关键信息基础设施相关在研的配套标准目前已经初步涵盖了总体要求、识别认定、安全防护、检测评估、监测预警和事件处置等方面，主要用于指导运营者、网络安全服务机构等相关单位共同构建关键信息基础设施安全保障体系。2 其次，在关键信息基础设施认定方面，《条例》界定的关键信息基础设施涉及行业领域众多，运行状态、防护需求各异，相关行业认定规则和操作标准有待继续出台。值得注意的是，《条例》施行一年以来，交通、能源、证券期货业等行业和领域主管部门加快推动关基保护工作在本行业、本领域的落地实施。例如，交通运输部发布《公路水路关键信息基础设施安全保护管理办法（征求意见稿）》，就公路水路的关保工作进行专项规定；国家卫生健康委等部门发布《医 https://www.cqn.com.cn/zj/content/2022-11/09/content_8878030.htm 1 27《0专ca题c9·&关ch基ks保m护=8|b关5e键f7信58息b基c2础97设e4施e6安63全7国d4家b4标24准b进0a展86》ed，76h7tt6p1s2:/c/7mc5pe.w4