文 | 天元律师事务所   刘瑛 王玄 李晓华
2019年9月，联合国发布《2019年数字经济报告》，认为数字革命以前所未有的速度和规模改变了我们的生活和社会，带来巨大的机遇和严峻的挑战。以数字数据和数字平台为驱动的数字经济将迎来扩张式发展，数据已从资产保护对象成为重要的经济生产工具。
与此同时，数字经济也带来了新的风险，包括网络安全、便利非法经济活动和挑战隐私概念等。为应对这些挑战，近年来各国从法律层面对网络安全、数据安全、个人信息和隐私保护予以监管、规制。
我国自2017年6月1日《网络安全法》实施以来，已经初步形成了相关法律体系；2019年，在执法层面更进一步。全国范围的网站安全专项整治、APP违法违规收集个人信息专项治理、“净网2019”等执法行动，显示出网络与信息安全执法常态化。
根据《网络安全法》及相关规定，我们将网络安全、信息安全、数据安全、个人信息保护等问题的关系归纳如下图所示：
以下我们将对2019年网络与信息安全领域的立法及监管动态进行回顾，并就2020年相关领域的趋势进行分析和展望。
一、2019年立法及监管动态回顾
2019年有关个人信息保护、信息安全、数据安全、网络安全的立法和监管动态主要有：
（一）个人信息保护立法及监管动态
在个人信息保护方面，2019年最重要的是一系列关于移动应用程序（APP）的监管要求和执法行动。国家网信办、工信部、公安部、市场监管总局联合开展“App违法违规收集使用个人信息专项治理”，并成立专项治理工作组。同时，工信部、公安部等也分别开展了相关整治行动。对APP收集个人使用个人信息合法合规性的监管和执法贯穿2019年全年。四部门于2019年12月30日出台《App违法违规收集使用个人信息行为认定方法》，明确了违规收集使用个人信息的具体认定标准。
另一项引起社会关注和有影响的事件是公安机关对大数据行业的监管，多家数据服务机构、支付服务机构、互联网金融公司等数据行业上下游机构涉嫌侵犯公民个人信息犯罪受到刑事调查。
在立法层面，国家网信办出台《儿童个人信息网络保护规定》。国家网信办、全国信标委并分别就《个人信息出境安全评估办法》（征求意见稿）（链接：个人信息出境安全评估，靴子仍未落地）、《信息安全技术 个人信息安全规范》（修订稿，征求意见稿）公开征求意见。截至目前，这两份文件尚未正式出台。
（二）信息内容安全立法及监管动态
2019年，国家网信办相继就区块链信息服务、网络安全威胁信息发布、网络音视频信息服务等出台专项规定，并通过《网络信息内容生态治理规定》进一步明确了维护良好网络生态环境的具体要求。
（三）数据安全立法及监管动态
2019年5月28日，国家网信办发布《数据安全管理办法（征求意见稿）》，面向社会公开征求意见。该征求意见稿是首个针对数据安全的专项管理规定。截至目前，该文件尚未正式出台。
针对“数据交易”这一特定数据活动，虽然尚无有针对性的法律规定，但是，《信息技术 数据交易服务平台通用功能要求》《信息安全技术 数据交易服务安全要求》于2019年8月30日发布，并将于2020年3月1日实施。加之2019已经实施的《信息技数据交易服务平台交易数据描述》，与数据交易有关的标准化文件有三项。
（四）网络安全立法及监管动态
在网络安全方面，2019年新的《信息安全技术 网络安全等级保护基本要求》等一系列文件开始实施，随着IT向DT的转变，网络安全等级保护已经进入2.0时代。
在惩治信息网络犯罪方面，两高发布《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》（链接：严惩信息网络犯罪，两高出台新司法解释），对《刑法》第二百八十六条之一“拒不履行信息网络安全管理义务罪”、第二百八十七条之一“非法利用信息网络罪”、第二百八十七条之二“帮助信息网络犯罪活动罪”三项罪名作出解释。
二、2020年分析与展望
2019年，网络与信息安全各领域立法、执法、司法等新动作，其影响势必会在2020年延续。
特别是与此前企业与监管部门主要参考“一法一决定”[1] 、规范性文件及相关行业标准相比，展望2020年，个人信息保护、数据安全将呈立法专门化，网络与信息安全的行政执法将呈常态化，数据交易活动将呈规范化。同时，信息网络犯罪刑事风险将不容忽视，新技术对网络与信息安全的立法亦有影响。数据合规将成为企业管理的重要组成部分，我们建议企业主要从以下几个方面予以关注，提前筹划和准备。
（一）《个人信息保护法》《数据安全法》立法专门化
2019年12月20日全国人大常委会法工委举行记者会，明确2020年的立法工作计划已经全国人大常委会第四十四次委员长会议原则通过，备受关注的《个人信息保护法》和《数据安全法》将于今年制定。
对个人信息的保护，从2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》首次明确提出保护公民个人信息，到《电信和互联网用户个人信息保护规定》等规定相继出台，再到《网络安全法》作为网络基本法确立个人信息保护的原则，可谓是一步一个台阶，但是各类规定零散、操作性有待加强的问题一直存在。“数据”概念则是在《网络安全法》中首次出现，其内涵和监管要求也需要厘清和明确。这些使得《个人信息保护法》和《数据安全法》专门立法成为我国个人信息保护和数据安全监管体系发展到现阶段的合理选择，但对于其中尚有不同认识、未形成共识的话题，例如如何在个人信息保护、数据安全与数据产业发展、数据资源利用等多重价值中平衡和取舍，仍然需要充分讨论。
此外，民法典人格权编草案也规定了个人信息保护的相关内容。
由于国家网信办此前已经就《个人信息出境安全评估办法》《数据安全管理办法》的征求意见稿公开征求意见。因此，上述法律的立法进程对两征求意见稿的影响也需要予以关注。
（二）网络与信息安全行政执法常态化
2019年，落实网络与信息安全法律要求的行政执法常态化。
在个人信息保护方面，国家网信办、工信部、公安部、市场监管总局四部门联合或单独对违法违规收集个人信息的情况进行治理，采取了轻则约谈整改、重则行政处罚的执法手段，部分执法个案产生了较强的社会影响和警示作用。
在信息内容安全方面，经过两年的执法实践，网信部门按照《互联网信息内容管理行政执法程序规定》执法的模式已较为成熟，其中关于管辖、立案、调查取证、听证、约谈、决定、执行等各环节的具体程序要求可供网络运营者参考。
在网络安全方面，自2018年11月1日《公安机关互联网安全监督检查规定》实施以来，公安机关进一步加强了对网络安全的监督检查，监督检查内容更明确、程序更规范。
行政执法的加强要求网络运营者准确、深入理解监管要求并快速应对，企业需要有内部相关制度、程序的构建予以支撑。
（三）数据交易规范化
在数字经济时代，数据是一种经济生产工具和战略资源，日益对生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产生重要影响。对数据的使用，需要在确保数据安全的前提下，促进数据资源的交换、流通，发挥数据资源的经济价值。
我国目前尚未有关于数据交易的法律规定，但已有三个相关标准化文件，主要是针对通过数据交易服务机构进行的数据交易。其中明确了数据交易安全原则、参与方安全要求、交易对象（数据）安全、交易过程安全的一般要求，可以作为行业标准为经过爆雷风波后重新洗牌的大数据行业提供有益参考。这些标准化文件的制定和完善,有助于数据交易产业的规范化发展。
（四）信息网络犯罪刑事风险不可忽视
2019年，网络与信息安全保护方面的一个鲜明特征是刑事手段的显著增加。
公安部开展的“净网2019”专项行动，对侵犯公民个人信息、黑客攻击破坏等网络违法犯罪活动给予了严厉打击。特别是2019年9月起对大数据行业违法违规收集使用个人信息的刑事调查，为行业内、外敲响了警钟。
与此同时，两高出台《关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》，加之此前已有的关于侵犯个人信息犯罪的司法解释，信息网络犯罪相关司法解释体系也已形成。其中，对“拒不履行信息网络安全管理义务罪”的解释进一步提示网络运营者应当严格履行网络安全管理义务，否则不仅可能承担行政责任，还可能存在刑事风险。
（五）新技术对法律规则的影响
在2019年出台的一系列法律法规或草案、征求意见稿中，能够明显感受到人工智能等新技术对法律规则的影响。
例如，民法典人格权编草案规定，“任何组织或者个人不得以丑化、污损，或者利用信息技术手段伪造等方式侵害他人的肖像权”，对AI换脸等技术手段对人身权利的影响作出了回应。又如，《数据安全管理办法》（征求意见稿）第十六条对数据自动抓取（数据爬虫）的情形进行规定，第二十四条对利用大数据、人工智能自动合成新闻等信息作出规定。
数字经济下，新技术的应用可能会带来更丰富的应用场景、更高的生产效率，但也可能会在个人信息保护、人身权利保护以及商业竞争等方面提出挑战。2020年，我们也许可以看到更多新技术对法律规则的影响以及立法层面的回应。
结语
目前，我国已初步形成网络和信息安全相关法律体系。2019年的各类行政执法、刑事执法说明我们已进入执法全面落地时期，墨迹天气IPO因个人信息保护等原因被证监会否决等案例则说明，数据合规已成为监管机关衡量企业是否合规经营的常规指标。
这些变化无疑对企业的网络安全、数据安全、个人信息保护方面的合规管理工作提出了更高、更具体的要求，包括但不限于因应监管要求对业务模式进行论证、调整，完善网络与信息安全管理体系、合规体系，制度化地应对网络与信息安全执法和安全事件，等等。数据合规将成为企业管理的重要组成部分。建议相关企业提前筹划，面对相关问题，能打好一场有准备之仗。
注释：
[1] 指《网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》。