2021年全球数据治理十大事件

1.中国《个人信息保护法》生效

2.中国对多家赴美上市企业开展网络安全审查

3.中国《数据安全法》生效

4.中国发布《数据出境安全评估办法（征求意见稿）》

5.中国《关键信息基础设施安全保护条例》生效

6.中国发布《网络数据安全管理条例（征求意见稿）》

7.Facebook旗下软件WhatsApp因未告知用户与Facebook共享数据被处2.25亿欧元罚款

8.欧盟委员会发布新版个人数据跨境传输的标准合同条款

9.美国弗吉尼亚州、科罗拉多州、加利福尼亚颁布全面隐私法

10.中国正式交存《区域全面经济伙伴关系协定》

一、中国《个人信息保护法》生效

2021年8月20日，《中华人民共和国个人信息保护法》于第十三届全国人大常委会会议通过，自2021年11月1日起施行。《个人信息保护法》全文共八章74条，旨在保护个人信息权益，规范个人信息处理活动，促进个人信息合理利用。作为中国第一部全面保护个人信息的法律，本法凝结了过往的世界经验和中国智慧，与《数据安全法》及《网络安全法》共同构成了中国数据保护的基础框架。

《个人信息保护法》主要规定了以下五个方面：一是明确了个人信息保护的调整范围，即只保护自然人的个人信息且自然人纯粹为家庭事务处理个人信息不受本法的调整。二是明晰了个人信息处理的基本规则，要求处理活动必须遵循合法、正当、必要和诚信的原则，在“知情同意+免责事由”的情形下处理个人信息。三是规定了九类个人享有的信息权利，包括知情权、复制权、可携带权、更正权、删除权等。四是为个人信息处理者施加了信息安全保障义务，要求其实施分类管理、合规审计、安全评估等措施。五是明确了个人信息保护采纳“规则制定权相对集中，执法权相对分散”的监管机制，由国家网信部门统筹协调有关部门制定个人信息保护具体的规则，国务院有关部门在其职责范围内开展个人信息保护和监督工作。

“徒法不足以自行”，在立法大功告成之后，个人信息保护法还有待司法和执法的后续接力，才能真正落地生根。从出台到实施，个人信息保护法依然任重而道远。

二、中国对多家赴美上市企业开展网络安全审查

2021年7月，“滴滴出行”因为违规赴美上市而遭国家网信办的网络安全审查。随后，7月16日，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司，开展网络安全审查。此外，“运满满”“货车帮”“BOSS直聘”也因为类似的原因面临网络安全审查。

2021年11月16日，《网络安全审查办法》于国家互联网信息办公室室务会议通过，自2022年2月15日起施行。该办法全文共23条，旨在确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全；在审查的过程中坚持防范网络安全风险和促进先进技术相结合、事前审查和持续监督相结合、企业承诺和社会监督相结合，是网络安全领域的重要法律制度。

现《网络安全审查办法》在原《办法》的基础之上，基于《数据安全法》、《网络安全法》和《关键信息基础设施安全保护条例》的经验而修订，新增网络平台运营者赴国外上市申报网络安全审查的情形，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市，向国外证券监管机构提出上市申请之前必须申报网络安全审查。这一新规是2021年滴滴赴美上市后，国家网信办认为滴滴违反《网络安全法》违法违规收集个人信息而引起的对中国科技公司赴美上市安全审查的连锁反应。此外，《办法》还从产品与服务来源、供应渠道、服务提供方式、服务属性以及其他非技术因素对供应链的影响等方面全方位地开展供应链安全评估，并为运营者以及网络产品和服务的供应商设置了不同维度的合规要求；厘清了不同主体在网络审查制度下的责任义务，同时还构建了多部门联系工作机制，推动了网络安全审查制度与行业监管的衔接。

三、中国《数据安全法》生效

2021年6月10日，《中华人民共和国数据安全法》于第十三届全国人大常委会会议通过，自同年9月1日起施行。《数据安全法》全文共七章55条，旨在规范数据处理活动、促进数据开发利用，维护国家主权、安全和发展利益，这代表其既是数据领域的基本法，也是国家安全领域的重要法律，对国民经济和社会发展的促进而言意义重大。

制定《数据安全法》符合人民群众维护其合法权益的现实需求。当今社会已转型为数字经济社会，数字经济为社会生活带来极大便利的同时，也给非法利用数据、滥用数据侵害公民合法权益的企业、平台提供了可趁之机。为了维护人民群众合法权益，本法要求相关主体在网络安全等级保护制度的基础之上，履行风险监测、风险评估和数据安全事件及时报告等数据安全保护义务，严格规范数据处理活动，切实增强人民群众在数据领域的幸福感和安全感。

制定《数据安全法》是维护国家安全的必然要求。数据是国家基础性战略资源，数据安全是数字经济时代下国家安全的重要内容。本法明确坚持总体国家安全观，统筹发展和安全两大数据主题，建立数据分类分级保护制度和数据安全审查制度，建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制，从而建立健全数据安全治理体系，提高数据安全保障能力。

四、中国发布《数据出境安全评估办法（征求意见稿）》

2021年10月29日，国家互联网信息办公室发布了《《数据出境安全评估办法（征求意见稿）》，目前意见征询阶段已经结束。该办法全文共18条，旨在规范数据出境活动，保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。

办法第3条明确提出数据出境安全评估应坚持的准则，即坚持事前评估和持续监督相结合、风险自评估与安全评估相结合；第5-6、12-13条细化了三大数据保护基础法律下个人信息及重要数据跨境传输的规则，先自评估、后申报、等待国家网信部门的安全评估结果，有效期满需要继续进行原数据出境活动的应重新申报，否则应当停止数据出境活动；第4条明确了五类需要申报数据出境安全评估的场景；第8条指明了七类因数据出境安全评估重点评估数据出境活动而可能对国家安全、公共利益、个人或者组织合法权益带来的风险；第9条列举了数据处理者与境外接收方订立的合同充分约定数据安全保护责任义务。这些规定是对《数据安全法》中未予细化的有关数据出境的安全审查制度适用条件的明确，促使相关部门在实践中有效开展相应的数据安全审查，切实维护国家安全，防范数据出境风险。

五、中国《关键信息基础设施安全保护条例》生效

2021年4月27日，《关键信息基础设施安全保护条例》于国务院常务会议通过，自同年9月1日起施行。该条例全文共六章51条，旨在保障关键信息基础设施安全和网络安全，是适应新的形势任务发展的必然要求，是切实维护国家安全和根本利益的迫切需要。

《关键信息基础设施保护条例》在《网络安全法》确立的关键信息基础设施运行安全保护框架下，从关键信息基础设施的认定、完善监督管理体系、运营者责任义务、保障和促进措施与法律责任等多个方面提出总体监管要求，在关键信息基础设施保护法律体系建设中起到提纲挈领的作用。就设施运营者义务而言，条例第4条规定，关键信息基础设施安全保护坚持综合协调、分工负责、依法保护，强化和落实关键信息基础设施运营者主体责任。为此，条例第三章专章规定了设施运营者的具体义务，并在《网安法》的基础上，进行了更为具体、全面且深入地规定。就关键信息基础设施的监督管理体制而言，条例第3条明确了各个监管机构的职责分工，着重强调了国家网信办在关键信息基础设施保护与监督执法中的统筹地位，以及公安部的指导监督作用；同时其规定，国务院电信主管部门和其他有关部门依照《关键信息基础设施保护条例》及其他相关法律、行政法规的规定，在各自职责范围内负责关键信息基础设施安全保护和监督管理工作，而省级人民政府有关部门依据各自的职责实施相应的安全保护和监督管理。

六、中国发布《网络数据安全管理条例（征求意见稿）》

2021年11月14日，国家互联网信息办公室发布了《网络数据安全管理条例（征求意见稿）》，目前意见征询阶段已经结束。该条例共九章75条，旨在执行、细化、补充《网络安全法》、《网络安全法》和《个人信息保护法》三部法律的规定，进一步增强了数据安全法律体系的完备性和可操作性；对一般数据、个人信息、重要数据、数据跨境等如何保护给出了具体要求，对网络数据安全建设有着重要指导意义，在网络安全和数据安全之间搭建了执法的桥梁。

在一般数据方面，条例第二章明确了数据处理者在数据处理活动中应履行的数据保障必要措施，建立数据安全应急处置机制，在规定情形下申报网络安全审查；在个人信息方面，第三章规定了个人信息处理的基本原则和要求和数据处理者应当履行的义务；在重要数据方面，第四章要求数据处理者应按照国家要求和标准，识别重要数据和核心数据，制定重要数据目录，优先采购安全可信的网络产品和服务，组织员工的数据安全培训，并就重要数据向有关机关备案；在数据跨境方面，第五章指出了数据出境应具备的条件，安全评估内容，并要求数据处理者在每年1月31日前编制数据出境安全报告。值得注意的是，条例中提出的一些新要求，例如第三十五条跨境传输必备条件的例外场景，以及第四十条出境安全报告要求，仍有待进一步的解释。

七、Facebook旗下软件WhatsApp因未告知用户与Facebook共享数据被处2.25亿欧元罚款

自对Amazon公司因违反《欧洲通用数据保护条例》而开出了史无前例的7.46亿罚金后，欧洲监管机构又对美国科技公司开出了第二张巨额罚单。2021年9月，脸书旗下信息服务应用WhatsApp因未能告知用户其如何从用户收集数据，并如何将数据共享给其它脸书实体，构成违反《欧洲通用数据保护条例》而被爱尔兰数据监管机构处以近2.25亿欧元罚款。该罚款是最初监督组织所提议金额的四倍。爱尔兰数据监管机构提到欧盟数据保护委员会在7月命令其增加对WhatsApp的 处罚金额。

八、欧盟委员会发布新版个人数据跨境传输的标准合同条款

2021 年 6 月 4 日，欧盟委员会发布了关于个人数据跨境传输的新版标准合同条款的最终版本。尽管最终版本保留了2020年11月草案中的大部分条款，最终版本仍然作出了许多值得关注的更新。在修改标准合同条款的过程中，委员会参考了欧盟数据保护委员会以及欧盟数据保护监察专员的共同意见，利益相关者在公众评论期提交的反馈，以及欧盟成员国代表的评论。新版标准合同条款于2021年6月27日生效，在此后企业可将新版标准合同条款纳入新合同中。然而，若合同标的处理活动不变，并且基于旧版标准合同进行传输的个人数据得到了适当的保护，企业可以继续于2021年9月27日前签署旧版标准合同条款，并于2022年12月27日前将新版标准合同条跨纳入基于旧版标准合同条款签署的协议中。新版标准合同条款旨在为四种将个人数据传输到欧洲境外的场景提供足够的保障，包括控制者到控制者、控制者到处理者、处理者到控制者和处理者到处理者。不同的场景对应相应的义务将在新版标准合同条款特定条款的不同“模块”列出。此外，新版标准合同条款同时响应了欧盟法院在 Schrems II 中判决中提出的义务。

九、美国弗吉尼亚州、科罗拉多州、加利福尼亚颁布全面隐私法

2021年3月，弗吉尼亚州州长通过了通过了《弗吉尼亚消费者数据保护法》，该法律为一部全面的消费者隐私保护法并列出了对于数据控制者及数据处理者的要求。该法律要求数据控制者必须向消费者提供包括详细信息的隐私通知，为数据主体赋予特定的数据主体权利，并且进行数据保护评估。数据处理者必须在与控制者签署的协议中包括特定条款，例如要求数据处理者配合控制者的合规评估。该法律要求工作组于2021年11月1日前考虑公众建议以便州立法机构考虑是否将在法律于2023年1月1日生效前修改法律。

科罗拉多州于2021年7月通过了《科罗拉多隐私法》，该法律是一部全面的数据隐私法律。法律赋予消费者访问权、修正权、删除权、以及以目标营销为目的的个人数据处理、个人数据出售以及用户画像的选择退出权。《科罗拉多隐私法》也要求实体保护个人数据并且在处理消费者隐私数据前取得同意。该法律将于2023年1月生效。

此外，加利福尼亚开始了《加州隐私权法》("CPRA") 的政策制定程序（CPRA将取代 《加州消费者隐私法》并于2023年1月1日正式生效）。该法律提案包括“暗黑设计模式”、消费者对自动决策的退出权以及消费者限制使用敏感个人信息的权利等方面内容。

十、中国正式交存《区域全面经济伙伴关系协定》

2021年11月2日，《区域全面经济伙伴关系协定》（Regional Comprehensive Economic Partnership，RCEP）保管机构东盟秘书处发布通知，宣布6个东盟成员国和中国等4个非东盟成员国已向东盟秘书长正式提交核准书，RCEP将于2022年1月1日如期生效。该协定对各缔约方提出了促进数据跨境流动的要求，加强区域规则磋商及国际监管合作，构建更大范围的跨境数据安全流动合作区域。

长期以来，欧美主导了全球数据跨境流动规则制定的话语权，但其不能代表全球发展的共同利益，特别是不能直接代表广大发展中国家的利益。中国在RECP的签署过程中彰显了发展中国家构建新型“数据跨境流动圈”确保自身数字经济发展的决心。协定主要在电子商务的框架下规定了数据跨境流动的内容，要求各成员国不能将设施本地化作为在其领土内开展业务的条件，也不能阻止为实现业务需要而开展的数据跨境流动活动；但基于合理实现公共利益所必需时，则可采取设施本地化或限制数据跨境流动等非常手段。协定最大限度地考虑了不同国家之间的现实需要，兼顾国家安全和产业发展的双重目标，有利于促使成员国深入合作，推动各国个体和亚洲整体区域数字经济的发展。