1、致礼2022 成熟的数据合规年监管动态总结与趋势预判A Tribute to 2022, Year of Maturity for Data Compliance:Regulatory Activity Summary and Trend Forecast环球律师事务所数据合规团队编制2022年1月5日2021年，见证了数据安全法和个人信息保护法两部数据领域核心法律的出台，与网络安全法并驾齐驱；见证了监管机构配套政策有条不紊地推陈出新，也为产业界将数据运用在各行业各领域的高速发展把住了方向盘；见证了全国信息安全标准化技术委员会发布的各项国家标准并不断成熟丰富，给企业提供了更有操作性的合规指引；

2、见证了用户个人信息保护意识的显著提升，隐私保护理念渐入人心；也见证了企业对数据合规监管要求与落地思路的逐渐熟悉、适应和重视，对数据合规工作有了更细致、更深入的了解，也产生了更迫切的需求。从2021走向2022，我们一起见证数据合规年。本报告包括年终盘点、趋势预测和附录三部分。从立法、执法以及落地实施三方面梳理了2021年企业数据治理的监管要求与合规重点，并放眼未来，预测包括数据出境安全审查、平台治理、重要数据识别等2022年规制的关键内容，以期为产业界数据合规实践提供参考思路与方法。Foreword序言2我们pOsMnPqOqMzRnPnRoPrNrM6MbP6MtRmMmOtRlOpPpOe

3、RrQpP8OpOoPwMoMsNwMoMrR3Part 012021年终盘点1.三大法律框架建立与完善2.法律法规层级效力呈体系3.顶层设计：从内部机构设置到制度体系构建4.App合规朝定期性检测方向深入、广泛发展5.企业数据资产地图与全生命周期数据梳理成效初显6.从客户端产品合规向与后台安全合规并重思路看齐7.数据分类分级管理与访问权限设置已成关注重点8.风险评估思路已逐步被接受，PIA工具从陌生到被熟练操作9.网络安全等级保护不再流于形式，安全测试与认证受到热捧10. 人脸识别规制手段：行政监管与司法解释、判例双管齐下11. 个人主体权利实现机制在产品侧落地卓有成效12. 个别行业数据治

4、理成为重点监管方向，如汽车行业13. 网络安全审查：从关键信息基础设施运营者到网络平台运营者，并以拟国外上市企业为审查重点14. 算法透明性要求被提出，推荐性算法备案开始尝试目录1.重要数据识别标准与清单逐步确立2.数据出境安全审查与报批流程完善3.关键信息基础设施认定边界更加明确4.平台治理：从数据汇聚到反垄断规制5.内部审计与外部审计相结合配置更加完备6.集团数据共享与向第三方提供数据规则与机制健全7.特殊行业数据处理要求更加细化，各行业主管部门规则更加清晰、科学8.年度报告报送与备案流程更加成熟9.网络安全审查标准与流程更具可操作性10. 企业算法管理和可解释能力不断提升11. 运用司法

5、诉讼比例将大幅上升12. 外部独立第三方监督作用逐渐发挥13. 企业内部数据合规人才储备需求量翻番14. 跨境传输标准合同条款即将出台，可携带权行使规则将进一步明确15. “单独同意”的难点问题有望突破16. 有望针对儿童监护人身份认证机制提出新的有效解决思路17. 新技术新应用领域（如NFT、区块链等）提出数据合规新问题18. 数据作为反制措施之一，需要各方权力动态平衡与力量把控19. 除保护用户个人信息，将保护员工、合作伙伴联系人信息排上日程Part 022022趋势预测42021年终盘点01Part1.1 三大法律框架建立与完善如果说2017年中华人民共和国网络安全法（以下简称“网安法”

6、）的正式实施开启了“中国数据合规元年”，那么2021年无疑是中国数据合规及隐私保护领域历史上的又一座里程碑中国正式迎来个人信息保护以及数据安全领域的两部专属立法，即中华人民共和国个人信息保护法（以下简称“个保法”）与中华人民共和国数据安全法（以下简称“数安法”）。这两部法律与网安法共同构建了中国数据合规及隐私保护的基础法律框架，对网络安全、数据安全和个人信息保护提出了方向性和基础性指引及监管要求。随着两部新上位法的出台和正式实施，横向层面，各立法部门、监管机构的实施要求也不断出台；纵向方面，各垂分行业、领域的规定不断推陈出新，数据全生命周期各环节的规范要求与以往相比，也往更加细致的程度发展。此

7、外，多部具有落地性指导意义的法规及国家标准，正在积极向公众征求意见并有望短期内发布。2022年1月4日，新年伊始，网络安全审查办法正式稿公布，将于2022年2月15日起施行。这些，从一定程度均昭示着数据合规及隐私保护领域的立法正逐步建立内在逻辑，并呈现出监管要求越来越明晰，且能够有效指导落地实践的状态和趋势。个人信息保护法数据安全法网络安全法三大法律框架51.2 法律法规层级效力呈体系中国数据合规法律规范体系主要可以概括为“3+3+N”的格局。首先，网安法个保法数安法这“3”部法律是我国数据合规法律规范体系的基石，奠定了国家对数据合规领域监管的总基调，把控着监管与执法趋势的大方向，是建立中国特

8、色数据合规法律体系框架的底盘。其次，从数据合规的重点治理域来看，大致又可以分为“3”部分：“网络空间安全”、”个人信息保护”、以及“数据安全”。从近年来出台的法律、法规、规范性文件、司法解释及国家标准等内容及核心思想来看，不难发现这三大领域其实是我国在数据合规治理域中立法、执法、司法的主要关注点，各项法律规范的出台、监管态势的收紧以及国家政策指引的着眼点和着力点大多围绕这三大治理域。格局中的第三层“N”即代表了我国在“网络空间安全”、“数据安全”，以及“个人信息保护”治理域下逐步推出，以完善不同维度的治理内容，丰富并提升治理水平。总经理网安法网络空间安全3+3+N信息安全技术 个人信息安全规范

9、（GB/T 35273-2020）网络安全等级保护条例（征求意见稿）国家网络安全检查操作指南网络安全等级保护实施指南国家网络安全应急预案网络信息内容生态治理规定6网络安全审查办法数安法数据安全网络数据安全管理条例（征求意见稿）数据安全管理办法（征求意见稿）数据出境安全评估办法（征求意见稿）信息安全技术 大数据安全管理指南信息安全技术 重要数据识别指南（征求意见稿）个保法个人信息保护儿童个人信息网络保护规定App违法违规收集使用个人信息行为认定方法常见类型移动互联网应用程序必要个人信息范围规定个人信息出境安全评估办法（征求意见稿）信息安全技术 数据出境安全评估指南（征求意见稿）信息安全技术 个人

10、信息安全规范关键信息基础设施安全保护条例1.3 顶层设计：从内部机构设置到制度体系构建组织与负责人设置数据资产盘点+合法获取数据的前提论证外部政策声明设计内部制度流程设计用户权利行使机制与第三方合作设计个人信息保护负责人网络安全等级保护工作责任人网络安全管理负责人数据安全责任人（若以经营为目的收集重要数据）专门安全管理机构负责人（适用CIIO）数据全生命周期合规要求数据合法性基础梳理、论证数据识别数据流转国内与海外单独与统一内部管理制度和操作规程违规操作的内部惩戒机制隐私保护设计方案/ 同意机制设计方案个人行权响应与行权机制投诉/举报/反馈通道委托合同中的数据保护条款专门的数据处理协议采购网络

11、产品和服务网络安全审查第三方供应商背景审查与服务监测数据安全管控及保障数据分类分级管理采取加密、去标识化等安全技术措施合理确定操作权限保存期限为实现处理目的所必要的最短时间或法定保存时限定期开展渗透性测试与攻防演练7企业自评估个人信息保护影响评估重要数据处理活动风险评估数据出境风险自评估赴境外上市的数据处理者对数据安全自评估赴国外上市的关基运营者对采购活动及互联网平台运营者对安全性及掌握个人信息数据量自评估审计、记录与应急定期审计文档记录与存储制定和实施应急预案（可能）发生数据泄露，补救措施和通知报告义务（区分可以不通知的情形 &依职权要求通知的情形）培训、对外展示与能力提升定期进行安全教育和

12、培训定期进行应急演练对外合规能力展示1.4 App合规朝定期性检测方向深入、广泛发展80%60%工信部检测网信办检测国家互联网信息办公室（以下简称“网信办”）等四部门联合印发的常见类型移动互联网应用程序必要个人信息范围规定于2021年5月1日起正式实施，明确39类常见App收集和使用必要个人信息的范围，成为监管部门判断App是否超范围收集个人信息的重要依据。此外，监管机构针对执法也进一步拓宽：工信部在10月首次对数款SDK进行了通报，监管工作更加细致具体；天津市网信办在专项治理行动中通报4款小程序，海南地方网信办则进一步对11款小程序和多家应用平台作出通报，将监管视角投向了更广的范畴。App个

13、人信息保护专项治理行动工信部2021年1680款被通报的App中，超过80%的App均有违规收集个人信息的情况。网信办2021年695款被通报的App中，有超过60%的App有超范围收集个人信息的情况。2021年国家网信部门通报的App类别有三方面特点：受众广泛（如新闻、视频直播类）、涉及个人信息或敏感个人信息（如求职、健康、金融类）、基础功能类App和使用关键权限的App（如应用平台类）较多；而同时具有上述多项特点的App类别被优先审查（输入法、地图导航、系统管理类）。随着专项行动的进一步开展，更多App的类别将会逐一被纳入审查范畴，但可以预期的是，包含上述特点的App类别被审查的可能性更高

14、。如果您希望对监管部门2021年度的执法情况有更全面、更可视的了解，请参考本报告附录“2021监管与执法动态汇总”。8企业需定期对App等产品进行自测App被通报后无法在规定期限内完成整改的，将被下架处理，这将会对企业的业务造成严重影响。因此，众多企业已经开始定期对旗下的App/小程序/SDK在合规和技术双重层面进行自检，提前排除问题，以避免因通报对品牌带来的负面效应，和被监管机构通报后因整改时间不足被迫下架而对业务带来冲击。企业对App的自检将朝向定期化、深入化发展。一方面，不同时期，监管部门治理工作的重点不同，随着新法新规和技术标准的出台落地，针对移动应用程序的合规要求不断提高；另一方面，

15、第三方SDK的行为可能不完全受宿主App控制，会出现嵌入后未经用户同意隐蔽或超范围收集个人信息及其他恶意行为，企业也需要定期对SDK的合规情况进行监督和审查。定期对App/小程序/SDK进行自检尤为必要。1.5 企业数据资产地图与全生命周期数据梳理成效初显此前，国内企业对数据全生命周期合规概念处于探索和适应阶段。工信部于2021年发布了网络安全产业高质量发展三年行动计划（征求意见稿）。中国多家科技企业升级了用户数据保护系统，对数据施行全生命周期的保护。央行通过金融数据安全 数据生命周期安全规范建立了覆盖数据全生命周期的安全防护体系。在金融数据安全 数据生命周期安全规范中，数据全生命周期中需要遵

16、循的数据合规原则包括合法正当原则、目的明确原则、选择同意原则、最小够用原则、全程可控原则、动态控制原则、权责一致原则。12345企业数据生命周期的每一环节都必须以掌握数据资产分布情况为前提条件。为实现这一点，企业需要首先对现有数据资产进行梳理，形成企业内部统一的数据资产地图，构建基于元数据的安全保护框架，帮助企业识别收集了哪些数据、数据存储在哪里、谁可以使用以及如何作用、提供给了哪些第三方，进而对数据情况的变动持续监测，并进行有针对性的治理。在该过程中，元数据的相关属性也需要进一步被识别，包括其是否构成数安法下的国家核心数据、重要数据、一般数据，以及个保法下的个人信息及敏感个人信息，从而明确该

17、数据是否对应了特定的合规要求。数据全生命周期覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等环节。91.6 从客户端产品合规向与后台安全合规并重思路看齐以客户端产品合规为基础，监管对数据处理者的后端数据治理层面提出了更高要求，如建立健全数据分类分级体系、完善重要数据保护制度和措施、建立数据安全审计和应急响应机制，以及数据安全技术防护能力等。建立健全数据安全治理体系提高数据安全保障能力2021年7月26日，工信部启动互联网行业专项整治行动。与以往监管仅集中在产品客户端层面的专项整治行动不同，本次监管将检查范围延伸至数据安全管理制度和安全技术措施落地方面，从制定数据全生命周期安全保护制度、

18、采取数据分类、重要数据备份措施、对用户敏感数据进行加密存储、采取访问和权限控制措施等方面，对企业提出治理要求。监管动态及要求101.7 数据分类分级管理与访问权限设置已成关注重点访问权限管理设置数安法提出“国家建立数据分类分级保护制度”，确定了数据分类分级是数据安全的基本制度。实行数据分类分级是保障数据安全的前提，也是业界落地数据合规要求和数据治理的重要基础工作。各部门、各行业和各地区正在逐步制定所在部门、行业、地区的数据分类分级制度或指引, 为企业落实本企业内部的数据分级分类工作提供参考。数据分类分级管理企业应根据业务实际情况和内部管理要求，配备相关人员。并且，根据不同岗位权限和职能，对可接

19、触数据的人员角色进行分离，避免出现权责不清、责任不明等现象。权限的设置应遵循符合业务安全需求和最小够用原则。111.8 风险评估思路已逐步被接受，PIA工具从陌生到被熟练操作处理敏感个人信息；利用个人信息进行自动化决策；委托处理个人信息、向他人提供个人信息、公开个人信息；向境外提供个人信息；兜底：对个人权益有重大影响的个人信息处理活动。适用条件01应当至少保存三年。报告和记录02处理目的、处理方式是否合法、正当、必要；对个人权益的影响及风险程度；所采取的安全保护措施是否合法、有效并与风险程度相适应。评估内容03010203个人信息保护影响评估（PIA）是数据处理流程“必要原则”的体现，也是个人

20、信息处理者在特定情形下处理个人信息必须履行的义务。个保法中明确规定，在特定情形下个人信息处理者应开展事前个人信息保护影响评估，并要求个人信息保护影响评估报告和处理记录应当至少保存三年 。同时，个保法对需要适用PIA评估的场景为非穷尽式列举，符合条件的对个人权益有重大影响的个人信息处理活动均应落入需评估范围，数据处理者应依照要求履行评估义务。个保法中的PIA，是确立企业内部个人信息安全风险防范的“自律”管理机制 ，从源头预防风险发生。PIA制度在我国的确立，代表着各组织对内部风险管理意识不断强化，事前评估代替事后救济的合规时代已经来临。过渡期间，建议企业与律师保持沟通，及时规划并建立规范有效的风

21、险评估合规体系。在PIA的落地方面，作为该制度的配套国标信息安全技术 个人信息安全影响评估指南已于2021年6月1日施行，明确了开展PIA的原理、时间点和评估实施流程和方法等。该指南对个人信息处理者开展评估活动提供了更多细则，并列出了评估性合规的示例和高风险个人信息处理活动的示例，使个人信息保护影响评估的方法更加清晰、完整。121.9 网络安全等级保护不再流于形式，安全测试与认证受到热捧近年来，全国信息安全标准化技术委员会（以下简称“信安标委”）以网安法网络安全等级保护条例（征求意见稿）为基础，颁布了一系列网络安全等级保护的国家标准，相应地建立起我国网络安全等级保护规范2.0体系。根据网络安全

22、等级保护规范2.0体系的相关规定，按照等级保护对象（受侵害的客体）不同以及侵害程度的不同，针对等级保护对象在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织等合法权益的危害程度等不同，网络信息系统安全等级从低到高分为一至五级，级别越高，网络安全保障措施要求越高，相应的监管要求也会相应增强。合规意识防范作用虽然网络等级保护是一个系统性、复杂性、细节性极强的工作，但是为了保障国家安全和公共利益，同时保障企业自身合法权益，越来越多的企业逐渐认识到了落实和完善企业内部网络安全等级保护相关工作的重要性，通过引入第三方专业机构提供的安全测试和认证服

23、务，并去公安机关进行定级结果备案，输出备案材料和备案证明，以查漏补缺、完善发展并确保企业自身的网络安全合法合规。网络安全等级保护规范有利于将有限的资源合理分配在不同风险的保护对象之中，以防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，并保障网络数据的完整性、保密性、可用性。坚定落实网络安全等级保护的潮流也与企业近年来对网络安全事故的防范意识增强有所关联，严格仔细地持续开展网络安全等级保护工作和履行相应的网络安全等级保护义务，不仅仅是企业高度重视数据合规工作的有力佐证，同时也是有效防范和避免网络安全事故发生的强有力保障。有力保障131.10 人脸识别规制手

24、段：行政监管与司法解释、判例双管齐下市场信用信息提供单位不得采集自然人的宗教信仰、血型、疾病和病史、生物识别信息以及法律、行政法规规定禁止采集的其他个人信息。数据处理者利用生物特征进行个人身份认证的，应当对其必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息 。基于个人同意处理人脸信息的，未征得自然人或者其监护人的单独同意，或者未按照法律、行政法规的规定征得自然人或者其监护人的书面同意的，应当认定属于侵害自然人人格权益的行为 。214对于滥用人脸识别技术的行政监管措施也进一步加强，人脸识别监管执法案例数量有所

25、增加。例如，2021年7月，杭州市市场监督管理局因某房地产公司在未征得顾客同意的前提下抓拍人脸信息，对其处以25万元人民币罚款；2021年12月，上海市市场监督管理局因某汽车公司擅自采集人脸照片，对其处以10万元人民币罚款等。从目前的执法情况来看，行政监管部门的处罚主要围绕数据处理者收集、使用人脸信息时是否明确告知个人主体会被采集人脸信息，或虽然通过告知牌等方式对人脸信息采集事宜进行公示，但并未明确告知收集使用的目的、方式和范围，抑或虽告知了收集、使用人脸信息的方式，但未征得消费者的同意这几方面。天津市社会信用条例天津市人大常委网络数据安全管理条例（征求意见稿）网信办关于审理使用人脸识别技术处

26、理个人信息相关民事案件适用法律若干问题的规定最高人民法院人工智能技术的重要应用之一便是人脸识别技术，这项技术在为社会生活带来了便利，也带来了个人信息保护问题。2021年“3.15晚会”曝光人脸识别技术滥用乱象、郭某诉杭州野生动物世界有限公司的“人脸识别第一案”等，体现出人脸识别技术在社会中的广泛应用与个人信息保护的矛盾日渐尖锐。针对这一情况，地方与中央也不断出台新的立法与司法解释，以完善处理人脸信息识别技术的适用规定。14物业服务不得强制业主通过指纹、人脸识别等生物信息方式使用公用设施设备。5杭州市物业管理条例（修订草案）杭州市人大常委开展人脸验证或人脸辨识时，应至少满足以下要求：（1）不使用

27、人脸识别方式的安全性或便捷性显著低于人脸识别方式。（2）原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。（3）应同时提供非人脸识别的身份识别方式，并提供数据主体选择权。（4）应提供安全措施保障数据主体的知情同意权。（5）人脸识别数据不应用于除身份识别之外的其他目的。3信息安全技术 人脸识别数据安全要求信安标委1.11 个人主体权利实现机制在产品侧落地卓有成效0506070102查阅、复制权可携带权更正权删除权撤回同意权死者的个人信息处理权利08在11月1日个保法正式生效后，此前行业实践中较为少见的“可携带权” 、“撤回同意权”等实现机制均陆续出现在了部分App产品界面中。例如，

28、在“设置菜单”中增加“撤回同意隐私政策”的选项，或是在“个人中心”板块加入下载“个人信息副本”的产品界面设计。这体现了个保法生效后，行业内对于落实个人信息主体权利机制重视力度加大并敢于尝试创新的特点。结合法规要求与企业实际需求，提出可落地合规的隐私保护设计方案十分重要。15示例知情权、决定权、限制或拒绝权0304要求说明权（如自动化决策对个人权益有重大影响时）1.12个别行业数据治理成为重点监管方向，如汽车行业数据合规事件频发汽车数据安全规则不断出台关注测绘相关合规要求2021年5月12日，国家网信办等五部门公布了汽车数据安全管理若干规定（试行）；该规定于2021年10月1日起生效，这是我国第

29、一部关于汽车数据的专门规定，在汽车领域对应个保法中相关要求进行细化。给出了汽车数据保护相关定义，也明确了汽车数据处理的必要原则、获取数据主体同意的具体方式要求、重要数据出境的审批规则、评估制度、年报制度（每年12月15日前）等规定。2021年7月27日，工信部、公安部、交通运输部联合印发了智能网联汽车道路测试与示范应用管理规范（试行），其中第八条明确指出道路测试车辆、示范应用车辆应具备车辆状态记录、存储及在线监控功能，能实时回传并自动记录和存储特定数据。与此同时，相关标准也在紧锣密鼓地制定中。2021年10月，信安标委发布了汽车数据处理安全指南，此后亦公布了汽车采集数据的安全要求（征求意见稿）

30、，向社会广泛征求意见。自动驾驶汽车提供精准的驾驶服务，往往依赖于高精地图，甚至需要获取实时地理或道路信息，与地图进行实时比对，以完成自动驾驶操作，这将涉及测绘场景。而测绘过程中所收集的地理信息，可能构成国家重要数据或核心数据；不当处理高密度测绘数据，将可能影响国家安全。为了规制不合规的测绘行为，保护测绘成果，近几年，在中华人民共和国测绘法的基础上，国家不断出台测绘相关法律要求，严格限制测绘资质、测绘数据采集方式、测绘数据使用及出境等。如2021年6月9日，自然资源部印发测绘资质管理办法和测绘资质分类分级标准，以明确测绘资质分类、获取条件、审批流程等要求。因此，我们建议，发展智能网联汽车的企业，

31、还应当关注测绘阶段所涉及的数据合规问题，避免触碰法律红线。2021年，智能网联汽车发展如火如荼，汽车智能化、网联化程度不断提升，智能网联汽车各环节之间都需要依靠数据交互来保证运营，多源异构数据深度耦合。2021年4月某车企女车主维权事件、2021年7月的某科技公司旗下App被下架等多起事件等，让智能汽车数据安全问题进入了公众视野。随着数据保护合规体系的构建，整体数据监管态势趋于严格。近年来，对于部分重要数据密集且智能化、网联化发展较快的行业，如金融行业和汽车行业，数据安全不仅仅涉及保护企业资产不被篡改、损毁、破坏和个人信息安全，还可能会影响社会安全、国家网络安全，或对个人权益造成重大影响。由此

32、，在2021年，这些行业先行发力，数据安全与合规治理已经变成这部分行业的重要命题。161.13 网络安全审查：从关键信息基础设施运营者到网络平台运营者，并以拟国外上市企业为审查重点国家安全法确立网络安全审查制度基础网络数据安全管理条例（征求意见稿）&网络安全审查办法网络安全审查办法针对掌握100万用户个人信息的网络平台运营者赴国外上市的网络安全审查申报义务专门作出了规定某知名互联网出行企业等四平台受网络安全审查事件我国网络安全审查制度由来已久。早在2015年，中华人民共和国国家安全法（以下简称“国家安全法”）就确立了国家安全审查制度的法律基础，2021年9月1日正式施行的数安法以及2022年新

33、年伊始即公布的网络安全审查办法（自2022年2月15日起施行）则在此基础上进一步确立了数据领域的国家安全审查制度，要求对于影响或者可能影响国家安全的数据处理活动进行数据网络安全审查，这在一定程度上揭示了网络安全审查的立法目的与机制定位。在适用对象层面，自网安法在法律层面明确了关键信息基础设施运营者在符合条件时接受国家安全审查要求后，网络数据安全管理条例（征求意见稿）和网络安全审查办法相继将数据处理者纳入网络安全审查的范围。换言之，即使企业不落入或者不确定是否落入关键信息基础设施运营者范围，若开展数据处理活动且达到影响或可能影响国家安全的标准，也需要履行主动申报网络安全审查的义务；此外，根据网络

34、审查办法第十六条，如监管机构认为网络产品和服务以及数据处理活动影响或可能影响国家安全的，其也可依职权进行审查。值得关注的是，我国规制企业拟赴境外/国外上市的监管态度逐渐清晰：首先，网络安全审查办法第七条明确要求，掌握超过100万用户个人信息、赴国外上市的网络平台运营者必须向网络安全审查办公室申报网络安全审查申报后可能有以下三种情况：一是无需审查；二是启动审查后，经研判不影响国家安全的，可继续赴国外上市程序；三是启动审查后，经研判影响国家安全的，不允许赴国外上市。其次，网络数据安全管理条例（征求意见稿）针对赴境外上市的数据处理者有数据安全评估及年度上报义务，并专门做出了规定。其中第三十二条指出，

35、处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。这两份文件的发布进一步反映我国对于赴国外/境外上市企业所涉及数据安全问题的关注。尤其考虑到企业国外上市后，可能受制于当地监管部门管辖从而需要向国外传输中国境内相关数据，有可能受到外国政府影响、控制或恶意利用，我国有必要加强对拟国外上市企业的监管力度。结合早先网络安全审查办公室对“某知名互联网出行企业”突发实施的网络安全审查的急行动、重举措，监管机构的态度和国家政策导向可见一斑。因此我们建议，拟上市企业在部署规划前，与律师沟通、进行

36、法律评估，以确保在了解政策导向的同时，符合国家要求并履行相应的义务，减少不必要的风险和损失。171.14 算法透明性要求被提出，推荐性算法备案开始尝试2021年算法推荐管理立法情况概览个保法的生效和实施规范了平台企业的大数据使用和用户画像行为，通过约束处理个人信息的行为，从源头上遏制大数据“杀熟”行为的泛滥。2021年9月29日，九部委印发了关于加强互联网信息服务算法综合治理的指导意见，提出利用三年左右时间，逐步建立健全算法治理机制、完善监管体系与算法生态规范的算法安全综合治理格局。2021年10月19日，中华人民共和国反垄断法(修正草案)约束经营者通过滥用大数据、算法、技术及资本优势、平台规

37、则等排除、限制竞争的不当行为，适用主体并不仅限于平台经济和互联网方面的实体。2021年12月31日，网信办发布互联网信息服务算法推荐管理规定，作为网安法数安法个保法和互联网信息服务管理办法等法律法规的实施细则，对算法推荐活动将启动新一轮监管和规范。互联网信息服务算法推荐管理规定合规要点18192022趋势预测02Part2.1重要数据识别标准与清单逐步确立网安法数安法2017初次提出重要数据概念，与关键信息基础设施运营者有关。2021合规主体扩展至任何重要数据的处理者，各地区各部门根据国家分类分级制度建立重要数据目录。重要数据处理者需要履行三类增强型义务，包括明确数据安全责任人和管理机构、定期

38、进行风险评估、以及数据出境的合法开展。随着企业依据自身合规需求、运营需要、对数据出境与境外上市需求的增强，企业对自身数据资产中的相关数据是否构成重要数据，以及判断是否需要履行持有重要数据的网络运营者增强性合规义务，变成当务之急。202022数据出境安全评估办法（征求意见稿）要求数据处理者向境外提供重要数据前通过所在地省级网信部门向国家网信部门申报数据出境安全评估。可见未来国家标准：信息安全技术数据出境安全评估指南（征求意见稿）2017附录A：重要数据识别指南对28类行业领域规定重要数据范畴，尚未生效。2021与2017年版指南中按照行业对重要数据给出分类的方式相比，当前的监管思路从数据的性质和

39、作用着眼，发挥业务自主性，打破数据孤岛的建设思路，识别了重要数据的八个方面特征：与经济运行相关、与人口和健康相关、与自然资源和环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关，以及其他影响国家安全的特征，涵盖了对国家安全影响的主要关切。国家标准：信息安全技术重要数据识别指南（征求意见稿）可以期待，国家将在近期确立重要数据的识别标准，以供各地区和部门进一步明确重要数据相关标准。届时，企业需明确数据安全责任人和管理机构，进行风险评估，并按照相应标准对自身数据进行审视，识别出重要数据并报送识别结果；有重要数据需要出境的，也需要申报国家网信部门进行安全评估。2.2 数据出境安全

40、审查与报批流程完善关于数据出境风险自评估制度，主要是指数据处理者在向境外提供数据前，应事先开展数据出境风险自评估，即明确数据处理者无论是关键信息基础设施运营者或一般网络运营者，其所处理的数据类型无论涉及国家核心数据、重要数据或一般数据，均应当在数据出境前进行风险自评估。在风险自评估后，企业应当形成数据出境风险自评估报告，并参照个人信息保护影响评估的要求，报告与评估记录至少留存三年，并视自评估结果判断是否申请监管机构安全评估。关于数据出境安全评估义务，主要是指企业需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估。这一义务的适用对象包括：（1）向境外提供重要数据的所有数据处理者（包括关

41、键信息基础设施运营者与一般数据处理者）；及（2）向境外提供个人信息的关键信息基础设施运营者以及处理数据量达到办法第4条第3、4款规定的一般数据处理者（可参考上图红色虚线框部分）。数据出境安全评估办法（征求意见稿）（以下简称“办法”）于2021年10月29日发布。虽然该办法仍处于征求意见阶段，但其中关于数据出境评估的规定已逐渐呈现体系化，为企业提供了更加明确的出境评估依据，其中主要包括企业自评估制度与监管机构安全评估制度两部分。212.2 数据出境安全审查与报批流程完善根据办法规定，数据处理者申报数据出境安全评估时，应当提交的材料包括：申报书；数据出境风险自评估报告；数据处理者与境外接收方拟订立

42、的合同；或者其他具有法律效力的文件以及安全评估工作需要的其他材料。国家网信部门于收到申报材料之日起七个工作日内，确定是否受理评估并书面反馈受理结果。国家网信部门在确认受理后，将组织行业主管部门、国务院有关部门、省级网信部门、专门机构等共同进行安全评估。一般情况下，最终的评估结果会在六十个工作日内以书面通知的形式反馈申报数据出境安全评估的数据处理者。数据出境评估结果的有效期为两年。若有效期届满，数据处理者需要继续开展原先范围数据出境活动的，应当在有效期届满六十个工作日前重新申报评估。特别需要注意，在收到评估结果后，若此前被评估的事项发生改变，则需要重新依据上述流程申报安全评估。22总共67个工作

43、日7个工作日45个工作日15个工作日2.3 关键信息基础设施认定边界更加明确自网安法颁布后，关键信息基础设施的认定一直是人们热议的话题。2021年7月30日，关键信息基础设施安全保护条例（以下简称“关基条例”）公布，并于2021年9月1日起正式生效。关基条例的出台，旨在落实网安法中有关关键信息基础设施运营者的合规要求，为我国深入开展关键信息基础设施安全保护工作提供有力保障。关基条例第二条进一步明确了关键信息基础设施的认定边界，即典型的关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，

44、可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。这与网安法第三十一条的定义方式保持了一致，采用的仍是举例+后果概括的方式，但修正了2017年网信办发布的关键信息基础设施安全保护条例（征求意见稿）对行业进行具体细化的列举方式，改为只列举行业大类，从实质上扩大关键信息基础设施的认定范围，使行业主管机构对基础网络设施及重要信息系统的认定具有更大的灵活性。关基条例从行政法规的角度还给出了详细的指南，明确指出第二条中涉及的重要行业和领域的主管部门、监督管理部门需要根据本行业、本领域的实际情况，制定关键信息基础设施认定规则。主要考虑因素包括：（一）正向角度：网络设施、信息系统等对于本行

45、业、本领域关键核心业务的依赖程度重要；（二）负向角度：网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度大；（三）关联角度：对其他行业和领域有关联影响。鉴于国家网络安全检查操作指南对网站类和平台类运营者是否为关键信息基础设施运营者制定了特定的判断标准，且关键信息基础设施与关键业务之间的支撑和相互依赖关系处于动态变化之中，主管部门与监管部门将结合上述因素并根据实际情况，动态地裁减不同行业、不同领域针对关键信息基础设施自身安全基线的要求，提供给企业更加实际可行的认定规则。根据关基条例第十条，重要行业和领域的主管部门、监督管理部门根据认定规则负责组织认定本行业、本领域的关键信息

46、基础设施，及时将认定结果通知运营者，并报国务院公安部门备案。232.4 平台治理：从数据汇聚到反垄断规制草案中明确，具有市场支配地位的经营者利用数据和算法、技术以及平台规则等设置障碍，对其他经营者进行不合理限制的，属于滥用市场支配地位的行为。并不是所有的互联网平台都需要承担同样的责任或受到同样的限制。根据能力越大，责任越大的原则，指南将通过对平台的分类分级以确认责任类别。互联网平台经营者需承担算法规制、知识产权保护、自然人隐私与个人信息保护；而超大型平台经营者除此之外还要承担平等治理（不实施自我优待）、开放生态等责任。123中华人民共和国反垄断法（修正草案）互联网平台分类分级指南（征求意见稿）

47、互联网平台落实主体责任指南（征求意见稿）近年来，互联网超级平台通过打造网络生态系统吸引了大量用户和海量数据，也为大众的生活和工作带来了诸多便利。然而，数字经济中普遍存在的网络效应不断扩大，市场领先者在获取用户、留存用户方面的竞争优势，造成“赢者通吃”的自然局面。随着数据和资源不断向头部企业聚集，超级平台对竞争对手设置市场或技术壁垒，或依靠平台优势对自身关联业务进行自我优待的行为更容易达成巩固自身垄断地位的效果，与此同时也可能造成限制市场正当竞争的不利局面。个保法第58条提出大型互联网平台的多项义务。此外，针对此类行为，我国出台了多项文件，明确了杜绝此类现象的监管意图，也表明了希望通过平台治理增

48、强大型平台的正向责任，以便其利用自身优势为行业发展和良性竞争创造更多便利的治理方针。超大型互联网平台关于数据竞争的治理24可预见，在接下来的一年中，互联网平台运营者需要对法律中适用于自身体量的平台责任要求予以积极落实，对自身的商业模型、内部流程、运行规则等做出量身订制的调整。4对平台可能存在的滥用市场经济地位等问题进行了规制。在互联网领域，“二选一”行为得到了执法机构的重点关注。国务院反垄断委员会关于平台经济领域的反垄断指南2.4 平台治理：从数据汇聚到反垄断规则互联网平台分类分级指南（征求意见稿）和互联网平台落实主体责任指南（征求意见稿）均表明，国家市场监督管理总局已根据“鼓励竞争、限制垄断

49、”的思路对平台提出了要求。与此同时，基于对应用市场治理角度，网信办和工信部均要求应用分发平台加强落实平台主体责任，强调了应用分发平台应起到的“守门员”作用。25应用分发平台应落实主体责任2021年，工信部对应用分发平台上未明示App权限列表、用户数据收集范围以及其相关用途的，以及应用平台对App上架审核不严格、对违规App下架不及时、对App开发者身份验证不到位的情况持续进行了重点整治，并在通报中对数家应用分发平台的相关问题进行了点名批评。明确了App分发平台应当履行个人信息保护义务，包括对第三方App相关主体信息、用户终端权限列表和数据收集情况明示和审核义务、App开发运营者管理机制的建立、

50、对问题App投诉渠道的设立，以及对问题App上报和处置工作的开展等要求进行规定。该条例第四十四条规定了应用分发平台需要对第三方App承担数据安全管理责任，且明确第三方App对用户产生侵害时，用户可直接要求分发该App的应用平台运营者先行赔偿。工信部 App侵害用户权益专项整治行动网信办网络数据安全管理条例（征求意见稿）工信部移动互联网应用程序个人信息保护管理暂行规定（征求意见稿）上述执法趋势和发文已经明确表示，应用分发平台未来需要承担起对在其平台上架App的审查、管控和处置责任；在网信办2022年1月5日发布的移动互联网应用程序信息服务管理规定（征求意见稿）的第三章中，也将上述责任进行了进一步