肩上担山知任重,志存云天砥砺行
作者:聂雯珺、王岩飞、樊思琪
01
数据跨境流动:监管“松绑”
(一)《促进和规范数据跨境流动规定》出台,放宽数据跨境条件
2024年3月22日,国家互联网信息办公室发布并施行《促进和规范数据跨境流动规定》(以下简称“《跨境流动规定》”),对此前已经确立的数据出境安全评估、个人信息出境标准合同、个人信息保护认证等数据出境制度作出优化调整。《跨境流动规定》将“订立、履行个人作为一方当事人的合同”等无需适用数据出境制度的情形进行列举规定,同时对国际贸易、跨境运输、学术合作、跨国生产制造和市场营销等特定场景下的数据出境活动列为数据出境制度的豁免场景,将法律实践层面数据出境制度适用标准清晰化,减少制度标准不清晰对企业数据出境带来的困扰。此外,《跨境流动规定》就自贸区的数据跨境流动制度设立了一定的监管空间,便于各地区自贸区结合经济贸易活动需求对数据出境监管进行“微调”。
据国家互联网信息办公室网络数据管理局数据安全监管处副处长薛飞在2024年11月世界互联网大会乌镇峰会“数据治理论坛”上的介绍,《跨境流动规定》实施后,国家网信办受理至完成数据出境安全评估的平均用时降低至30个工作日内;同时,数据出境安全评估申报、个人信息出境标准合同备案数量显著下降。数据出境安全评估月均申报数量由《跨境流通规定》出台前的13个下降至目前的5个,降幅达60%;个人信息出境标准合同月均备案数量由72个下降至37个,降幅达48%。
(二)多地自贸区发布自贸区数据出境相关监管清单
北京、天津、上海、福建地区的相关制度文件中通过配套清单的方式对智能网联汽车、公募基金、生物医药等重要行业或自贸区内主要行业的数据跨境流动规则进行列举,细化了数据跨境流动的行业要求。
目前,已发布自贸区数据出境管理负面清单的自贸区有中国(天津)自由贸易试验区、中国(北京)自由贸易区,已发布一般数据清单的自贸区有中国(上海)自由贸易试验区临港新片区、中国(福建)自由贸易试验区平潭片区。
(三)积极探索粤港澳大湾区数据流通便利措施及国际数据跨境流通交流合作
02
数据要素市场化:数据利用、交易入表及资本化
(一)公共数据授权运营监管文件公开征求意见,规范推动公共数据利用
(二)促进数据要素市场化,推动企业数据资源入表
1.数据交易规模不断扩展
依据《2024中国数据交易市场分析研究报告》,中国数据交易市场预计从2023年的1,536.9亿元人民币增长至2030年的7,159亿元,展现出强劲的增长势头和巨大的市场潜力,数据作为生产要素的重要性日益凸显。[1]
国家数据局局长刘烈宏2025年1月10日在全国数据工作会议上表示,2024年,全国数据市场交易规模预计超1600亿元,同比增长30%以上,其中场内市场数据交易(含备案交易)规模预计超300亿元,同比实现翻番。[2]
除境内数据交易活动外,目前已有跨境数据交易活动实践。2024年12月6日新闻报道,深圳市河套深港科技创新合作区深圳园区发展署副署长余杰在2024全球招商大会金融产业专场中介绍,深数所的跨境数据交易规模累计超过2.5亿元,位居全国首位。[3]
2.新规出台,推动企业数据资源入表
《企业数据资源相关会计处理暂行规定》自2024年1月1日起实施,企业应当按照会计准则相关规定,根据数据资源的持有目的、形成方式、业务模式,以及与数据资源有关的经济利益的预期消耗方式等,对数据资源相关交易和事项进行会计确认、计量和报告。将企业的数据资源纳入财务报表,以反映企业持有的数据资源状况和价值,同时能够提高企业的融资能力。
据上海交通大学上海高级金融学院今年7月24日发布《中国企业数据资产入表情况跟踪报告——2024年一季度》,18家上市公司在一季度财报中披露了数据资源,涉及金额1.03亿元,其中无形资产0.79亿元。[4]除上市公司及国企外,中小型民企也已开始推进数据资源入表的实践。然而,在《数据二十条》确定的数据持有权、数据加工使用权以及数据产品经营权无明确权属界定规范的情况下,数据确权也成为数据资源入表活动中的一大难题,除此之外,由于行业重要数据及核心数据目录大多仍未出台,能够用于数据资源入表及数据交易的数据范围边界仍然较为模糊,企业确定入表数据范围及权属类型均存在一定困难,也期待后续出台的文件中能够对数据权属的界定给出相对明确的判断标准。
3.出现“数据资产+金融”新型实践
除常见的数据交易及数据资源入表外,2024年还出现了“数据资产+金融”的新型实践,数据信托、数据资产授信融资、数据资产入股等创新应用已有案例展现:
(1)数据信托
2024年12月6日,深圳市房谱网络科技股份有限公司将其合法持有的百城“中国房地产大数据平台”、“房谱云估价系统”及“地产大数据监测系统”三项数据产品收益权作为信托财产交付给受托人中诚信托。该信托财产取得了深圳数据交易所颁发的数据(商品)上市证书,且经过专业评估机构——辽宁中联资产评估公司对三项数据产品收益权的经济价值进行了测算估值。信托设立后,信托财产可通过深数所进行场内数据交付、结算、收益分配。[5]
(2)数据资产授信融资
2024年6月,湖北交投集团完成数据资产入表的2个数据产品分别为“高速车流分析数据产品-路段拥堵(风险)分布”和“试验检测类-工地试验室数据集”,并获得《湖北省数据产权登记证书》《湖北省数据资产登记证书》,兴业银行武汉分行据此向湖北交投集团授信1亿元。[6]
(3)数据资产入股
2024年12月16日,天津轨道交通产业发展集团有限公司、衡阳瑞达电源有限公司、天津同阳科技发展有限公司在天津轨道交通控制中心签署合资入股协议,共同设立“天津津达电源科技有限公司”。本次合资,轨道产发集团全部以蓄电池全生命周期运维数据形成的数据产品入股(估值104万元,占股52%),其余两家合资方以现金形式入股。[7]
2024年12月20日,国家市场监督管理总局公布的《公司登记管理实施办法》(国家市场监督管理总局令第95号),其中第6条规定:“法律对数据、网络虚拟财产的权属等有规定的,股东可以按照规定用数据、网络虚拟财产作价出资。但是,法律、行政法规规定不得作为出资的财产除外。对作为出资的非货币财产应当依法评估作价,核实财产,不得高估或者低估作价。”上述规定为数据资产出资的合法性奠定了基础,也为数据要素的应用开辟了新的方向。
以上案例为数据资产应用的新型实践,但目前数据资产领域的法律法规体系尚不完善,将数据资产与金融相结合,实践中也面临着数据资产价值评估难度大、数据权属不清晰、相关法律规范体系不完善等问题,如何进一步优化数据资产的新应用,也是后续发展过程中需要继续探索的重要议题。
03
加强人工智能监管:常态化执法
(一)立法层面:细化规范内容
2023年4月11日,《生成式人工智能服务管理暂行办法》出台,对生成式人工智能的管理提出总体性要求。2024年间,相关立法文件的出台对《生成式人工智能服务管理暂行办法》确定的管理规范给出了更为明确的操作标准。
全国网络安全标准化技术委员会于2024年2月颁布了《生成式人工智能服务安全基本要求》,为生成式人工智能服务提供者在实践中开展安全评估提供有效的路径。此外,《信息安全技术 生成式人工智能预训练和优化训练数据安全规范(征求意见稿)》、《信息安全技术 生成式人工智能数据标注安全规范(征求意见稿)》、《人工智能生成合成内容标识办法(征求意见稿)》等文件对人工智能合成内容标识以及训练数据在技术方面的安全要求进行细化规定,为企业合规实践提供参考。
(二)执法监管层面:生成式人工智能备案监管常态化推进,已有少量执法案例出现
1.生成式人工智能备案
《生成式人工智能服务管理暂行办法》规定提供具有舆论属性或者社会动员能力的生成式人工智能服务的,应当按照国家有关规定开展安全评估,并按照《互联网信息服务算法推荐管理规定》履行算法备案和变更、注销备案手续。
2024年4月2日,国家网信办发布了生成式人工智能服务已备案信息,明确提出提供具有舆论属性或者社会动员能力的生成式人工智能服务的,可通过属地网信部门履行备案程序。此后《生成式人工智能服务管理暂行办法》确定的生成式人工智能服务备案监管流程正式明确,各地网信办也陆续发布受理生成式人工智能服务备案的公告,公布备案咨询方式和备案程序等具体要求,并定期发布已备案的生成式人工智能服务信息,生成式人工智能备案监管实现常态化推进。
2.生成式人工智能相关执法案例产生
目前我国对生成式人工智能的监管体系及监管依据仍处于发展阶段,对于生成式人工智能的监管执法案例较少,从执法案例涉及的主要问题来看,目前的执法要点侧重于对生成式人工智能内容的管理以及安全性的管理:
2024年7月22日,重庆市网信办公布“依法查处违规从事生成式人工智能服务的网站”相关案例。 对于未经安全评估上线提供Chat-GPT生成式人工智能信息服务的“南川区蓉城网络科技工作室”,重庆市网信办依法开展执法约谈,责令立即关停相关服务。
2024年12月2日,南昌市网信办依法对属地网站“阿水AI”的运营主体存在内容审核管理不严、主体责任落实不到位等问题进行处置。
(三)司法实践层面:首批生成式人工智能相关司法案例涌现
2024年生成式人工智能相关知识产权侵权纠纷案例涌现,针对人工智能生成物是否属于作品、人工智能生成物侵权的侵权主体认定等问题均已有司法案例作出判决。
1.“全国首例AI生成声音人格权侵权案”:该案中,原告是一名配音师,其声音权益及于案涉AI声音,被告方使用原告声音、开发案涉AI文本转语音产品未获得合法授权,法院认定被告行为构成侵权,判决被告向原告书面赔礼道歉,并赔偿原告各项损失25万元。法官指出,声音作为一种人格权益,具有人身专属性,任何自然人的声音均应受到法律的保护,未经许可,擅自使用、许可他人使用录音制品中的声音,构成侵权。[8]
2.“全球AIGC侵权第一案”:原告发现被告开发的Tab(化名)网站中可使用付费的AI绘画功能生成与原告享有著作权的奥特曼形象类似的图片,并据此主张被告侵犯了原告对“奥特曼”作品的复制权、改编权及信息网络传播权。法院经审理认为,Tab网站生成的奥特曼图片实质上部分或完全复制了原告作品中的独创性表达,并且在所生成的复合型奥特曼图片中存在对奥特曼作品的改编,且Tab网站平台作为生成式人工智能服务提供者,未采取措施避免侵权行为,违反了《生成式人工智能服务管理暂行办法》《互联网信息服务深度合成管理规定》。
1.国际立法及政策指引逐步出台
在立法及国际政策层面,2024年5月21日,欧盟理事会正式批准《人工智能法案》,该法案也被视为世界范围内首部专门针对人工智能行业的立法。《人工智能法案》对于法案的适用范围、人工智能系统风险分级管理、通用人工智能模型管理、执法与处罚等内容进行规制,构建了人工智能产业链的基本合规框架。
我国在人工智能治理方面也积极探索与各国展开交流合作,2024世界人工智能大会暨人工智能全球治理高级别会议在上海举办,会议通过的《人工智能全球治理上海宣言》倡导建立全球范围内的人工智能治理机制;2024年5月,中美人工智能政府间对话首次会议成功举行;2024年5月7日,中法两国发布《中华人民共和国和法兰西共和国关于人工智能和全球治理的联合声明》。
2.各国对人工智能的监管执法逐渐趋于严格
2024年,多国均有针对人工智能企业的执法案例:
2024年9月5日,Clearview AI因违反《通用数据保护条例》而面临荷兰监管机构(DPA)3050万欧元(约合人民币2.4亿元)的罚款。Clearview AI是美国的一家面部识别初创公司,该机构在未经用户同意的情况下建立了包含数十亿张人脸照片的非法数据库,其中就包含荷兰公民照片。
2024年12月20日,意大利数据保护机构(Garante Privacy)以违反欧盟《通用数据保护条例》(GDPR)的相关规定为由,对OpenAI旗下的ChatGPT作出1500万欧元的处罚。
综合现有执法案例,2024年国际层面对人工智能企业的处罚主要原因为数据泄露、未经授权将用户数据作为训练数据等,欧盟的处罚案例仍以《通用数据保护条例》为依据,可见数据安全及个人信息保护仍是人工智能企业面临的监管重点。
04
个人信息及数据安全保护:细化推进
(一)《网络数据安全管理条例》正式出台
2024年8月30日,《网络数据安全管理条例》(简称“《网数条例》”)正式通过,并将于2025年1月1日施行。
不同于《网数条例》征求意见稿阶段的严格,正式稿一方面细化了个人信息保护及数据安全的相关规定:
明确处理个人信息的规则和应当遵守的具体规定。要求网络数据处理者提供便捷的支持个人行使权利的方法和途径,不得设置不合理条件限制个人的合理请求。明确使用自动化采集技术等采集个人信息的保护义务,细化个人信息转移请求实现途径等。同时,《网数条例》明确制定重要数据目录职责要求,规定网络数据处理者识别、申报重要数据义务。规定网络数据安全管理机构和网络数据安全负责人的责任。明确重要数据风险评估具体要求。
另一方面,《网数条例》正式稿放宽了网络数据跨境安全管理规定。明确网络数据处理者可以向境外提供个人信息的条件,并规定可以按照缔结或者参加的国际条约、协定向境外提供个人信息;未被相关地区、部门告知或者公开发布为重要数据的,不需要将其作为重要数据申报数据出境安全评估。
作为数据领域重要的行政法规,《网数条例》的出台标志着我国数据保护法律体系日趋完善,也为企业的网络安全、数据安全及个人信息保护实践提供了更为细节的合规指引。
(二)个人信息保护相关国家标准进一步完善
1.个人信息保护合规审计标准公开征求意见
2024年7月12日,全国网安标委秘书处就国家标准《数据安全技术 个人信息保护合规审计要求(征求意见稿)》面向社会广泛征求意见。
该征求意见稿规定了依据《个人信息保护法》开展个人信息保护合规审计的审计原则、审计总体要求。为更好地提供落地性指导,该标准附录给出了个人信息保护合规审计流程、个人信息保护合规审计证据、个人信息保护合规审计内容和审计方法、个人信息保护合规审计底稿模板、个人信息保护合规审计报告模板等参考。
2.《网络安全标准实践指南——敏感个人信息识别指南》发布
2024年9月,《网络安全标准实践指南——敏感个人信息识别指南》发布。该指南提供了识别敏感个人信息的具体方法,并对典型敏感个人信息作清单式列举,为企业等主体识别敏感个人信息提供了细节指引。
05
结语
回顾2024: 立法细化强化,执法协同规范
纵观2024年数据领域立法、执法、司法以及数据要素市场发展的总体情况:在立法层面,在细化原有数据监管法律法规框架的基础上,针对实践中的新问题、新挑战及时出台相应的监管规范,同时结合实践情况发布数据出境新规,对数据跨境流动适度松绑;
在执法层面,进一步加强对网络安全、数据安全以及个人信息保护方面的监管执法,各监管部门积极开展专项或联合执法行动保障数据安全,此外,国家安全部门披露多起危害国家安全的数据安全事件,更加凸显出新时代数据安全执法的重要性;
在司法层面,人工智能、个人信息保护等相关诉讼案例数量增加,在解决纠纷的同时为现行法的理解、适用以及完善提供了实践参考;
在数据要素市场发展层面,数据资源入表,公共数据授权运营等问题成为新热点,如何合规实现对企业数据、公共数据的开发利用也成为数据领域从业者新的探索方向。
展望2025:变革前行,机遇与挑战并存
(一)推动数据基础设施建设
2024年12月31日,国家发展改革委、国家数据局、工业和信息化部联合发布关于印发《国家数据基础设施建设指引》的通知。《国家数据基础建设指引》中明确,目前我国的数据基础建设仍处于起步建设阶段,2024年至2029年期间应逐步推进各类数据基础设施建设,以实现在数据流通利用、算力底座、网络支持、数据基础建设安全及应用等方面提出的发展目标。综上所述,自2025年起,推动数据基础设施建设将成为数据领域的重要工作之一,与之相配套的制度体系及政策指引也将得到进一步完善。
(二)数据跨境流动制度进一步细化,数据跨境流通和交易将更为频繁
2024年,我国的数据出境监管以“松绑”为主基调。2025年1月3日,国家网信办就《个人信息出境个人信息保护认证办法(征求意见稿)》向社会公开征求意见,这意味着在法律规范层面对于个人信息出境个人信息保护认证制度的进一步完善。2025年可能在2024年的基础上,进一步对自贸区内的数据跨境流动政策以及特定场景下的数据跨境活动进行细化规定,通过标准的清晰化减轻企业在数据跨境流动方面的合规成本。随着数据跨境政策的放松,2025年跨境数据流通和交易市场将展现出巨大的增长潜力和广阔的发展前景。在跨境数据流动过程中,数据安全和隐私保护将成为关键挑战,企业数据出海过程中也需更加关注各国数据保护的相关政策及合规动态。
(三)人工智能领域的法律规范有望进一步得到完善,相关司法案例将持续增加
随着人工智能技术的飞速发展及其在社会各个领域的广泛应用,对其进行全面、系统的法律规制已成为必然趋势。2024年虽未出现人工智能领域的重大基础性立法,但从世界范围内的人工智能立法情况以及2024年人工智能领域的发展情况来看,我国人工智能领域的法律规范有望得到进一步完善,顶层立法文件的出台将会被加速提上日程;在司法方面,随着人工智能应用范围的扩大,相关案例也将持续增加,也期待人工智能领域的司法案件能够起到反哺立法的作用,依靠司法实践经验明确相关规则,实现权益保护与促进行业发展的利益平衡。
(四)数据要素市场将实现井喷式发展,数据+金融的创新应用实践加深
2025年,数据产权、企业数据资源入表等基础制度有望进一步完善。公共数据资源授权运营、登记管理以及公共数据价格确定等相关制度将会落地,公共数据开发利用基础规则体系搭建完成,推动公共数据资源开发利用。随着数据要素市场相关制度的不断完善,2025年数据信托、数据入股、数据信贷等数据+金融创新实践也将在政策支持、技术创新和市场需求的推动下,迎来快速发展,进一步推动数据要素的市场化配置和数字经济的繁荣。
(五)对重要数据及重点行业的数据监管趋于严格,国家安全高于一切
2024年,国家安全部公布了涉非法获取测绘数据等多起与国家安全相关的数据安全监管案例。《网数条例》《数据安全技术 数据分类分级规则(GB/T 43697-2024)》等文件的发布也可以看出,2024年监管部门已开始重视对于重要数据、核心数据以及关键信息基础设施的范围划分以及数据安全义务分配。在实践中,由于重要数据及核心数据目录目前仍不完善,很多企业主体无法自行对所处理的数据内容以及相关合规风险进行法律识别。2025年,重要数据及核心数据认定规则有望进一步细化,而对于重要数据、核心数据的安全管理监管工作也将得到更广泛深入的推进。
注 解
1.弗若斯特沙利文(北京)咨询有限公司、头豹信息科技南京有限公司、大数据流通与交易技术国家工程实验室、上海数据交易所:《2024中国数据交易市场分析研究报告》,第17页。
2.数博会微信公众号:
https://mp.weixin.qq.com/s/JRw__haZUdkyvhVeSZu9qw,2025年1月15日。
3.商学院微信公众号:
https://mp.weixin.qq.com/s/5J2yA3ssludSPaT6H74ulg,2024年12月13日。
4.高金智库数据资产研究课题组:《中国企业数据资产入表情况跟踪报告——2024年第一季度》,第5页,2024年7月24日。
5.聂怗:《浅析数据信托促进数据要素市场发展的积极作用》,载于深圳数据交易所微信公众号,2025年1月16日,https://mp.weixin.qq.com/s/7LNrNDc22i6IyEfDt3klEw。
6.“湖北联投”微信公众号,2024年6月28日,https://mp.weixin.qq.com/s/YGoKCk4tsHYYXKS_YhGUMA。
7.“天津国资”微信公众号,2024年12月17日,https://mp.weixin.qq.com/s/1UqwU8LD4TRCvFN2_Z6x5w。
8.“京网法事”微信公众号,2024年4月23日,https://mp.weixin.qq.com/s/zGimFyO-wB6ZLTF7ps3tvA。
作者介绍
聂雯珺实习律师
京师深圳律所实习律师,具有检察机关实习经历,曾参与完成多个数据合规项目。
教育背景:
吉林大学法学学士
王岩飞律师
京师深圳律所联合创始人、法律研究院院长、数字经济法律事务中心主任,深圳市大数据研究与应用协会首席法律顾问、数据合规研究院执行院长,广东省律协数字经济法律专业委员会副秘书长、深圳市律师协会数据合规专委会副主任、德国TUV莱茵学院数据合规官DPO、深圳数据交易所DEXCO(数据交易合规师)。
业务领域:
企业合规、数据合规及信息安全保护、跨境电商平台运营及合规体系构建、私募基金投融资及商业并购等法律服务。
教育背景:
中南财经政法大学
樊思琪律师
京师深圳律所高级合伙人、数字经济法律事务中心副主任、青工委副主任、金融科技法律事务部副主任。深圳市大数据产业协会、深圳市大数据研究与应用协会专家顾问、数据合规研究院高级研究员。
业务领域:
企业合规、数字经济产业、数据合规及信息安全、资产管理、投融资并购、资产证券化等。
教育背景:
中南财经政法大学法学院
武汉大学法学院经济法系
专业资质:
国际认证德国莱茵TüV DPO(数据保护官)/ISO37301
深圳数据交易所DEXCO(数据交易合规师)
ESG合规管理分析师
证券及基金从业资格
专业著作:
《金融消费者权益保护的法律实践及合规体系构建》法律出版社,2023年;
行业白皮书:
《网络安全与数据合规法律风险白皮书》,2020年
《中国个人金融信息保护执法白皮书2020》,2020年
《中国金融机构反洗钱合规实践白皮书2021》,2022年
《跨境数据流通合规与技术应用白皮书(2023)》,2023年
《跨境数据流通合规与技术应用白皮书(2024)》,2024年
