28 我国《数据安全法》生效以来行政执法情况报告

我国《数据安全法》生效以来行政执法情况报告《中华人民共和国数据安全法》（下文简称为《数据安全法》）自 2021 年 6 月 10 日正式通过，于 2021 年 9 月 1 日正式生效。截止至 2023 年 6 月 17 日，我们收集到行政机关依据《数据安全法》启动的系列执法通报，公开发布依据《数据安全法》作出行政处罚决定典型案例 34 起。本文结合公开渠道积累的《数据安全法》实施案例，总结实务中适用法律的主要情况和存在的问题。 1 《数据安全法》执法通报情况 2021 年以来，各级网信部门依法开展数据安全领域执法。针对滴滴企业版等 25 款移动应用程序存在严重违法违规收集使用个人信息问题，依法通知应用商店下架相关应用，要求相关运营者严格按照法律要求，参照国家有关标准，认真整改存在的问题，保障广大用户个人信息安全。针对“美原油”“链工宝”“快输入法”等移动应用程序存在违法收集使用个人信息问题，依法对其采取下架处置措施。针对“伴圈”“AI 换脸相机”等多款新技术新应用未经评估上线且存在风险的移动应用程序，依法予以下架处置。[1]2022 年，国家网信办加强对地方网信部门工作指导，持续加大数据安全领域的网络执法力度，依法查处人民群众反映强烈的、存在以强制、诱导、欺诈等恶意方式违法违规处理个人信息行为的“超凡清理管家”等 294 款 APP。针对具有舆论属性或社会动员能力的“空空语音”等 44 款 AP P 存在未按要求开展安全评估等违法违规行为，依法对其予以下架处置。[2]针对 “农天堂”等存在违法违规收集使用个人信息问题的移动应用程序，依法采取下架处置。针对“光影换脸秀”“交友吧”“趣卡点”等新技术新应用未经评估上线且存在安全风险的移动应用程序，依法予以下架处置。针对“B612 咔叽”“一甜相机”“卡通漫画脸”等应用程序中部分未经评估上线且存在安全隐患的功能，依法予以下线处置。[3] 根据《数据安全法》执法通报情况，行政机关持续加大数据安全领域的网络执法力度，解决的数据安全领域执法的主要问题包括平台以强制、诱导、欺诈等恶意方式严重违法违规收集使用个人信息，未按要求开展安全评估且存在安全隐患问题等。 2 《数据安全法》典型案例截止至 2023 年 6 月 17 日，本文收集到行政机关适用《数据安全法》作出行政处罚决定典型案例 34 起。本文所总结的行政处罚案件数据主要来源于国家互联网信息办公室网站上的行政处罚决定记录以及微信公众号等媒体报道。根据本文总结的典型案例情况，2021 年数据安全领域的行政执法案例共 4 起、2022 年案例共 7 起、2023 年 1 月至 6 月案例共 23 起。行政机关作出行政处罚的法律依据为《数据安全法》第二十六条、第二十七条、第二十九条、第三十一条、第三十三条、第四十五条。案例主要存在以下三方面问题：第一，在国家数据主权和数据安全层面，数据处理者未遵守数据交易安全的规定，擅自向境外提供重要数据。企业采集的部分数据可能属于国家重要情报，泄露该类数据将会危害国家安全。数据分类分级保护制度有待完善，需要加强对重要数据的保护。第二，在企业数据安全层面，案涉企业未及时落实数据安全管理制度和操作规程，未对单位员工开展正规的数据安全人才培训，未落实网络安全等级保护制度，系统存在未授权访问漏洞（比如办公电脑未设置开机密码等问题），缺少数据安全风险评估和监测以及应急处置制度，系统存在重大数据安全隐患。第三，在敏感个人信息层面，敏感个人信息主要包括姓名、性别、身份证号、用药情况等。互联网平台过度收集个人敏感数据造成数据垄断。数据处理者未履行数据安全保护义务，未采取任何防篡改、防泄漏、防侵入等技术措施，未对敏感数据采取去标识化和加密措施等技术保护措施，导致平台数据泄漏或存在数据泄露风险。在处罚种类和处罚力度方面，行政机关对行政相对人的处罚种类为《数据安全法》第 46 条[4]规定的罚款、行政警告处罚并责令限期改正。绝大多数案件未造成实质性危害后果，处罚决定为行政警告处罚并责令限期改正。少数案涉企业造成了数据泄露或存在较大泄露风险的危害后果，行政机关作出的处罚决定为对企业处以罚款和对直接责任人处以罚款，行政处罚金额幅度为五万至二十万。 3 行政执法案例分类总结数据安全问题可以分为维护数据主权的国家视角、提升企业竞争力并促进数字经济发展的企业视角和维护个人数据权利的个人视角。[5]本文将通过以上三个视角汇总并分析执法案例的情况和存在的问题。（一）国家数据安全 1、数据情报泄露[6] 2021 年 12 月 31 日首例涉及高铁运行安全的危害国家安全类案件，该案件是《数据安全法》实施以来，首例涉案数据被鉴定为情报的案件，所涉及的是企业在数据处理过程中很可能会忽视的国家安全问题。上海某信息科技公司接受一境外公司委托，在对方规定的北京、上海等 16 个城市及相应高铁线路上采集了我国铁路信号数据（包括物联网、蜂窝和高铁移动通信专网敏感信号等数据），并在数据采集设备上为该境外公司开通了远程登录端口，方便境外公司实时获取对应的测试数据。经鉴定，两家公司为境外公司搜集、提供的数据涉及铁路 GSM-R 敏感信号。GSM-R 是高铁移动通信专网，直接用于高铁列车运行控制和行车调度指挥，是高铁的“千里眼、顺风耳”，承载着高铁运行管理和指挥调度等各种指令。境内公司的行为是《数据安全法》《无线电管理条例》等法律法规严令禁止的非法行为。相关数据被国家保密行政管理部门鉴定为情报。此案件涉及到数据出境安全评估的问题。数据出境是指数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息。[7]数据出境存在危害国家安全的风险，而且重要数据等国家数据安全泄露的风险高于企业数据和个人数据。对于数据出境等数据安全问题，我国目前具有“1+3+N”格局的数据监管法律法规体系，“1”是指《国家安全法》，“3”是指《数据安全法》、《网络安全法》和《个人信息保护法》，“N”是数据安全领域的其他法律法规，包括《生物安全法》、《数据出境安全评估办法》和《网络安全审查办法》等法律法规。《天津市数据安全管理办法（暂行）》《贵州省大数据安全保障条例》等地方规范性文件也对数据安全问题作出更详细的规定。数据出境安全问题也涉及到《国家情报法》的相关规定。根据《数据安全法》第三十一条[8]和《网络安全法》第三十七条[9]的规定，数据处理者需要遵守数据安全流动原则和数据自由流动原则。数据处理者若向境外提供在中华人民共和国境内收集和产生的重要数据，应当开展数据出境风险自评估，并通过所在地省级网信部门向国家网信部门申报数据出境安全评估。根据《数据出境安全评估办法）》第 4 条规定，除了重要数据外，关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息以及自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息的，也应当进行出境安全评估。[10]《数据出境安全评估办法（稿）》规定了数据出境评估的具体程序要求。为协调数据出境所带来的国家安全和交易利益之间的位阶冲突，需解决数据出境所涉及的数据合规的重要问题。但是，相关法律法规并未规定数据的情报属性的判断要素，数据出境合规缺乏系统性的规定，数据处理者难以建立完善的数据出境保障体系。在泄露高铁情报案件中，案涉企业未进行数据合规性审查，未贯彻落实总体国家安全观。企业获取高铁数据应当经过铁路部门许可，在数据出境前进行数据风险自评估并向行政机关申报，并设置专业的数据合规人员对数据交易合同进行实质性审查。[11]其次，数据处理者承担责任义务的形式不够全面，《数据安全法》第八条虽然规定企业应当遵守商业道德和职业道德，但是没有规定企业履行数据安全义务的具体要求。[12]《数据安全法》第四十五条规定的责任形式包括约谈、责令整改、给予警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，但是基于数据安全领域的特殊性，需要加强事后制裁的力度，应当增加相关责任人的职业禁止、计入诚信档案等条款。[13] 2、数据违法出境[14] 2021 年 3 月，马斯克承认特斯拉车内的摄像头可以监测车主，而民众更大的担忧来自特斯拉数据存储于海外服务器，可能导致国家安全信息、地理信息等关键敏感数据泄露。5 月 25 日晚，特斯拉官方微博发布消息称：已经在中国建立数据中心，以实现数据存储本地化，并将陆续增加更多本地数据中心。所有在中国大陆市场销售车辆所产生的数据，都将存储在境内。同时，特斯拉表示，将向车主开放车辆信息查询平台。《数据安全法》第三十一条规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定”。《网络安全法》和《关键信息基础设施安全保护条例》规定，交通行业领域以及提供“云计算、大数据等大型公共信息网络服务”的单位，其运行、管理的网络设施和信息系统，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的，应当纳入关键信息基础设施保护范围。因此，特斯拉作为新能源汽车品牌，其在处理交通领域相关数据时，鉴于所涉行业的公共利益特殊性以及数据处理体量，存在被界定为关键信息基础设施运营者的可能。而如若其在开发利用中华人民共和国境内运营收集和产生的重要数据过程中，擅自向境外提供重要数据，则很有可能面临《数据安全法》第四十六条第一款所规定的责令改正、警告、暂停相关业务、停业整顿、吊销许可证以及罚款等行政处罚措施。特斯拉案件涉及到了重要数据安全的问题。特斯拉公司涉嫌过度收集个人信息等数据，违反了《数据安全法》关于重要数据的规定，不利于国家政治安全和社会秩序稳定。我国数据安全领域需要加强行业自律并加强政府的监管力度和跨境监管合作，及时发现并处理重要数据泄露问题，保护国家安全和数据主权不受侵犯。（1）重要数据范围界定首先，重要数据的范围界定存在困难。根据《数据出境安全评估办法》第十九条规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。《信息安全技术数据出境安全评估指南（草案）》附录Ａ“重要数据识别指南”以列举的方式划定重要数据的范围，包括石油、天然气、电力、通信等 28 大类行业领域的数据。《汽车数据安全管理若干规定（试行）》规定，汽车领域的重要数据包括军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、