适用场景
面向所有涉及数据处理、使用数字产品或服务、拥有移动应用(APP)或利用人工智能技术的中国出海企业,尤其是在业务拓展或运营阶段需要处理用户数据、进行数据跨境传输或部署新兴技术的企业。
核心要点
1. 数据出境路径明确化与监管趋严
2024年,数据出境新规预计正式出台,豁免情形将更清晰,企业需据此明确自身合规路径。同时,监管部门将加强对数据出境活动的执法检查,不合规行为面临更高风险。各地方自贸区可能推出促进数据流动的便利化措施,企业可关注相关‘负面清单’或‘白名单’制度。
2. 人工智能监管体系成形,合规要求具体化
针对生成式人工智能等AI技术的监管规则将进一步完善,形成发展与规制并重的治理体系。企业需重点关注算法备案、生成内容标识、训练数据合规及科技伦理审查等具体义务。人工智能领域的专门立法进程也将推进,企业应密切关注。
3. APP与网络安全执法常态化、精细化
对APP个人信息保护的执法已成常态,2024年监管将更深入,重点包括对第三方SDK的严格管理、加强APP数据安全现场检查,以及对未完成备案的APP采取下架措施。网络安全事件报告要求将趋严,企业需完善应急预案与报告机制。
4. 重点行业与未成年人保护规则细化
金融、汽车、工业互联网等重点行业的数据安全规则将更具体、执法更严格。同时,随着《未成年人网络保护条例》施行,针对未成年人个人信息保护(如‘未成年人模式’、防沉迷制度)的要求将细化并加强执法,相关网络产品与服务提供者需重点应对。
5. 合规审计与数据资产化管理成为重点
个人信息保护合规审计办法有望出台,企业需建立内部审计机制,以应对定期自主审计与监管强制审计。此外,数据作为‘生产要素’和‘资产’的相关规则深化实施,推动企业加强数据资产管理、安全保护并探索数据资产入表,以释放数据价值。
实务建议
- 立即梳理自身数据出境场景,根据即将出台的新规评估适用路径(如安全评估、标准合同、认证),并提前准备申报材料。
- 若业务涉及AI,特别是生成式AI,立即启动算法备案准备,建立训练数据合规审查机制,并对AI生成内容进行显著标识。
- 对所有运营的APP及使用的第三方SDK进行合规排查,确保已完成工信部备案,并完善用户隐私政策与数据安全防护措施。
- 建立或完善网络安全事件应急预案,明确1小时内报告较大以上事件的流程,并定期进行演练。
- 若产品服务涉及未成年人用户,务必部署‘未成年人模式’,建立健全防沉迷制度与个人信息处理合规审计机制。
- 着手建立内部个人信息保护合规审计制度,指定负责人,定期开展审计,形成并保存审计报告以备查。
- 关注金融、汽车等行业主管部门发布的数据安全细则,进行行业专项合规对标,并积极参与地方或行业的重要数据识别工作。
风险提示
- 切勿认为数据出境新规出台后门槛降低而放松合规,相反,执法检查将同步加强,侥幸心理可能导致处罚。
- 忽视APP备案截止日期(2024年3月)及后续检查,可能导致应用被下架,造成业务中断。
- 在AI业务中,切勿使用来源不明或未获授权的数据进行训练,并避免生成内容未标识,以免引发内容安全与版权风险。
- 误判重要数据范围,或未及时跟进行业、地方发布的重要数据目录,可能导致未履行相应安全义务而受罚。
- 将未成年人保护简单等同于‘青少年模式’开关,而未在个人信息处理全链条落实特殊保护要求,无法通过专项检查。
- 未建立网络安全事件即时报告机制,事发后因超时报告或报告不完整而面临加重处罚。