2018年互联网法律白皮书.pdf

互联网法律白皮书 （ 2018 年） 中国信息通信研究院 2018年 12月 版权声明 本白皮书版权属于中国信息通信研究院，并受法律保护。转载、摘编或利用其它方式使用本白皮书文字或者观点的，应注明 “来源：中国信息通信研究院 ”。违反上述声明者，本院将追究其相关法律责任。 前 言 党的十八大 、十九大 以来，我国网络空间法治建设不断推进，以总体 国家安全观为指导，顺应数字经济发展的时代浪潮，兼顾安全与发展，我国互联 网领域法律体系框架初步形成。党的十九大报 告 提出了 全面依法治国的工作布局和重点任务， 要求 坚持法治国家、法治政府、法治社会一体建设。 我国 围绕网络信息服务、网络安全保护、网络社会管理等重点方向，不断稳步推进互联网络领域立法工作。 从全球各国互联网立法趋势来看，各国 加强个人信息和数据保护立法 、完善跨境 数据 流动规则 ，加强网络安全顶层设计，提高 在线 内容管理要求，探索新技术新业务监管规则，不断应对数字经济对法律制度带来的挑战 。面对新的经济形态和社会关系变革，我国也应 积极调整和完善互联网立法 规定，加快形成完备的法律规范体系，为数字经济发展提供更有力的法律保障。 中国信息通信研究院在互联网法律白皮书（ 2017）的基础上，结合 全球 数字经济发展新趋势，总结分析过去一年国内外互联网领域重要立法活动，形成本 白皮 书， 希望能为社会各界 了解互联网领域立法最新动态和 立法 趋势 提供有价值的参考。 目 录 一、国际持续加强互联网立法 . 1 （一）个人信息保护立法普遍加快 . 1 1. 全球个人信息保护立法掀起新浪潮 . 2 2. 个人信息保护配套规则和救济机制不断完善 . 3 （二） 跨境数据流动规则不断探索 . 3 1. 欧盟促进境内非个人数据流动 . 4 2. 探索个人数据跨境安全流动国际规则 . 4 3. 美欧对境外国家的 数据调取实施管辖权 . 5 （三）网络安全顶层设计持续更新 . 6 1. 出台网络安全顶层立法 . 7 2. 持续完善网络安全战略 . 7 3. 构建网络安全管理制度体系 . 8 （四）在线内容管理要求显著提高 . 9 1. 进一步明确网络服务提供者的义务 . 9 2. 大力整治打击虚假信息内容 . 10 （五）新型业态监管思路渐趋成熟 . 10 1. 出台推动新技术新业务发展政策 . 11 2. 加紧人工智能战略部署 . 11 3. 强化新技术新业务监管规定 . 12 二、国内循序推进互联网立法 . 13 （一）网络信息服务政策法规陆续出台 . 14 1. 完善网络内容管理体系 . 14 2. 推动形成尊崇英烈的网络空间 . 15 3. 规范网络视听节目传播秩序 . 16 4. 促进网络文化健康发展 . 16 5. 加强新技术新应用信息服务管理 . 17 （二）网络安全保护配套规定稳步推进 . 18 1. 落实网络安全等级保护制度 . 18 2. 不断强化个人信息保护规定 . 19 3. 完善网络基础资源管理立法 . 20 （三）网络社会管理规范取得积极进展 . 21 1. 出台电子商务法 . 21 2. 加强未成年人网络保 护 . 22 3. 规范智能网联汽车发展 . 22 4. 加强网络约租车监管 . 23 5. 规范互联网金融活动 . 24 6. 整治互联网广告活动 . 24 三、重点立法展望 . 25 （一）研究起草数据安全法 . 26 （二）尽快启动个人信息保护法 . 27 （三）推动审议电信法 . 30 （四）加快出台密码法 . 32 附录：党的十八大、十九大以来新制定修订的网信领域立法 汇编表 . 34 中国 信息通信研究院 互联网法律白皮书 （ 2018 年 ） 1 一、国际持续加强互联网立法 以信息技术为代表的新一轮科技和产业革命蓬勃兴起，在推动社会经济发展潜能全面迸发的同时，也给世界各国带来 了 一些潜在的安全风险和法律问题，突出表现在个人信息保护、跨境数据流动、网络安全管理、 在线 内容 监管 以及新技术新业务等领域。 2018 年 ， 世界各国纷纷围绕网络安全保护和数字经济发展两大主题，加强个人信息保护立法规定， 探索跨境数 据流动规则， 加快网络空间顶层制度设计，加强 在线 内容监管，推动新技术新业务立法进程。 （一）个人信息保护立法普遍加快 个人信息保护在信息社会成为重要的立法领域 ,目前全球一共有127 个国家制定了个人信息保护相关立法。 1一直以来欧盟和美国两大经济体向全球推行符合各自价值利益的个人信息保护法律体系，虽然二者 在立场上有着 根本分歧，但是不妨碍双方在制度层面的相互借鉴。近期，随着大数据、云计算、人工智能等新技术新业务对信息社会个人信息保护带来重大冲击，原有 的 个人信息保护规则已经落后于技术发展变化，无法有效保护个人权利，以 美欧为首的发达国家 和地区 积极完善个人信息保护规则。在发达国家引领的个人信息保护立法浪潮下，新兴发展中国家也开始积极制定个人信息保护立法。同时，个人信息保护 配套规则和救济机制 也 在 不断完善和跟进。 1以满足经济合作与发展组织（ OECD） 1980 年规定的隐私保护国内立法的最低标准为依据。参见 Graham Greenleaf, “ Speaking notes for the European Commission events on the launch of the General Data Protection Regulation (GDPR) in Brussels & New Delhi” . 互联网法律 白皮 书 （ 2018 年 ） 中国 信息通信研究院 2 1. 全球个人信息保护立法掀起新浪潮 欧盟通用数据保护条例 (以下简称 GDPR)于 2018 年 5 月在欧盟全体成员国正式生效，对全球产生深远影响。 GDPR 强化了自然人的个人数据保护权，协调了现 有的各类数据保护规则，简化了跨国公司的合规程序，是一部适应信息 通信技术 发 展的个人数据保护法。为推动个人数据保护立法的实施，欧盟委 员会发布了 GDPR 指南。美国虽然在联邦层面个人信息保护立法尚未有进展，但在州层面，爱荷华州、内布拉斯加州、科罗拉多州和 加利福尼亚州 （以下 简称加州 ）等州 正 在进行数据保护立法的研究和制定工作。其中， 2018 年 6 月，加州 颁布消费者隐私保护法（ CCPA）。该项立法 与当前全球个人信息保护立法的发展趋势基本一致，赋予了消费者更多的权利，给企业施加了更严苛的义务。 由于加州是全球互联网企业的聚集地， 消费者隐私保护法 有着较为广泛的影响力。在当前个人信息保护 立法浪潮的推动下，印度、巴西等新兴市场国家，也已经形成 或准备形 成专门的个人信息保护法，加紧推动个人信息保护国际原则在本国落地。2018 年 7 月，巴西参议院通过了个人数据保护法，旨在建立起一个保护国内个人数据的体系，这项立法生效以后，巴西联邦政府将建立一个新机构对个人数据保护领域进行管理。 2018 年 8 月，印度就 2018 年个人数据保护法（草案）向利益攸关方和公众征求意见，草案吸收了欧盟等地区立法的经验，明确了个人的权利，对违法行为规定了较高数额的罚款。 中国 信息通信研究院 互联网法律白皮书 （ 2018 年 ） 3 2. 个人信息保护配套规则和救济机制不断完善 各国针对个人信息保护的具体应用场景以及个人信息保护的具体环节，陆续出 台相应的配套指南。其中，新加坡个人数据保护委员会（ PDPC）出台了多项个人信息保护指南。例如，企业打印流程指南明确企业内部打印和打印供应商在打印的全生命周期中每个步骤应当遵循的个人信息保护规定；雇佣运输服务中的车载式录音相关指南规定了有关如何确保车内录像设备在捕捉车辆内个人的图像或声音的实况下符合数据保护规定；关于身份证及其他国家身份号码的个人数据保护法咨询指南就使用和收集身份证和其他身份证件提出指导性建议。欧洲网络和信息安全局（ ENISA）也发布个人数据处理安全手册，旨在 为 2016 年中小 企业个人数据处理安全指南提供 实践演示和解释方法步骤。此外， 个人信息保护行政救济和司法救济手段有所加强。 GDPR 规定对于不服监管机构作出的决定或者针对监管机构的不作为，当事主体可以寻求司法救济。其中，数据主体可以通过司法途径向数据控制者、数据处理者主张遭受物质上或者非物质上的损害，司法救济的权利可以由消费者机构代表数据主体行使。美欧签订的隐私盾协议中就个人信息保护救济手段作出专门规定，欧盟公民可以向数据监察专员进行投诉，欧盟数据监察专员可以将投诉移交给美国商务部和联邦贸易委员会。 （二）跨境数据流动规则 不断探索 随着互联网的普及和全球数字贸易的发展，数据有序流动成为经互联网法律 白皮 书 （ 2018 年 ） 中国 信息通信研究院 4 济发展和创新的重要驱动力量，但目前跨境数据流动政策在全球尚未达成一致。基于促进本地投资以及数据安全等原因，大多数国家对跨境数据流动持较为保守的态度。随着数据价值的凸显以及大数据、云计算技术的发展成熟，各国开始重视数据流动对经济发展的促进作用，通过完善数据保护规则，推动数据有序流动。同时，各国通过立法实现长臂管辖，加强对境内外数据的管控。 1. 欧盟促进境内非个人数据流动 2018 年 10 月，欧洲议会 通过 了 非个人 数据自由流动条例（ Regulation on a framework for the free flow of non-personal data in the European Union）， 允许数据在欧盟各地存储和处理而不受非公平限制影响，有助于 在 欧盟单一数字市场战略下 ， 推动欧盟打造富有竞争力的数字经济 体系 。该协议将取消欧盟境内数据自由流动壁垒，推动数据跨境自由流动，为数据在欧盟全境内存储和处理设立了框架，严禁数据本地化限制 。该协议还确保监管控制 数据 的 可用性，规定公共部门可访问欧盟任何地方存储和处理数据，并进行审查和监督控制。此外 ，该协议鼓励制定云服务行为准则，将使欧盟云服务市场更加灵活，数据服务更加实惠。 2. 探索个人数据跨境安全流动 国际 规则 一直以来，全球很多国家对跨境数据流动设计了较为繁杂和保守的规则，导致企业跨境数据流动法律风险较高。例如，印度个人中国 信息通信研究院 互联网法律白皮书 （ 2018 年 ） 5 数据保护法（草案）中设置了限制个人数据的跨境流动的规定，强制要求将 “关键的个人数据 ”储存在境内。在全球难以达成统一框架的背景下，一些国家通过采取双边协定等机制，来解决跨境数据流动问题。欧盟在跨境数据流动领域制定严格的法律制度已经成为全球典范，有一系列规范化和复杂的制度和程序， 其中之一就是充分性认定。同时，欧盟也意识到限制跨境数据流动对数字经济发展带来的负面影响。欧盟通过采用双边协定的方式，探索在现有制度基础上促进跨境数据流动的新路径。 2018 年 7 月，日本与欧盟在东京签署了经济伙伴关系协定（ EPA）和战略伙伴关系协定（ SPA），双方就数据跨境流动中对等充分性要求形成共识，一致同意承认双方的数据保护体系“同等有效 ”，允许数据在欧盟和日本之间自由传输。并且，双方未来还将签署有关数据对等充分性协议，推动日欧间的数据流动和访问 ，旨在 创造世界上最大的安全数据传输领域。在欧盟完成充分 性认定之前，日本将实施建立投诉处理机制等额外保障措施以保护欧盟公民的个人数据。由此可见，欧盟、日本在跨境数据流动方面在坚持较高保护水平的同时，也在通过构建双边机制来解决数据保护体系之间的互认问题，实现高水平数据保护国家之间的数据自由流动。 3. 美欧对境外国家的数据调取实施管辖权 跨境数据流动给各国政府执法机构的数据调取带来管辖权上的争议，发达国家和地区通过 “长臂管辖 ”立法扩展司法及执法范围，从而达到保护个人数据安全和维护数据治理主权的目的。 2018 年 3 月，