周杨、梁天翔丨竞天公诚律师事务所

前言

2024年,人工智能引领全球经济浪潮高速发展。在保持现有治理节奏的基础上,全球网络安全、数据安全和个人信息保护均围绕着人工智能的发展调整新的关注角度。各国监管节奏不再是数据发展浪潮初期忙于应对泥沙俱下局面的仓促无力,更多显示出了契合本国经济发展的侧重点从容不迫。

在2024年的尾声,我们尝试以中国网络安全和数据保护监管为主线,梳理一年来在境内外发生的重大立法和执法活动。在不胜枚举的立法和执法活动中,我们选取了国家安全、网络安全、网络信息内容安全、数据安全、个人信息保护、数据资源开发利用、公共数据授权运营、数据跨境、人工智能、平台监管十个领域作为讨论维度,以期有侧重地讨论我们对各领域一年内的动态和趋势观察。

一、国家安全

国家安全对网络安全和数据保护领域的全部法规起到统摄作用。无论是关键信息基础设施保护制度、数据分类分级制度、重要数据制度、数据出境制度、数据安全审查制度,均为服从国家安全利益的直接产物。2024年,境内数据法规针对国家安全进行了大量修补。2月,新修订的《中华人民共和国保守国家秘密法》发布;7月,《中华人民共和国保守国家秘密法实施条例》发布,针对国家秘密的范围确认、定密流程、责任单位等作出明确规范,并将国家机关工作秘密首次纳入管理范围。2月和7月,自然资源部发布《对外提供涉密测绘成果管理办法(征求意见稿)》《关于加强智能网联汽车有关测绘地理信息安全管理的通知》,对于垂直领域数据和资料可能涉及国家秘密的内容处理进行了补充,并进而影响到可能涉及测绘领域的汽车、海洋运输领域。4月,国家安全部发布《国家安全机关行政执法程序规定》,为后续国家安全执法储备依据。10月,2024年度首个国家安全领域涉数据处罚公布,国家安全部通报一起境外企业以汽车智驾为由非法测绘事件。该案件公布了相关测绘数据非法出境细节,在全民国家安全教育方面画下浓墨重彩的一笔。

境外方面,美国在2024年以“国家安全”为名采取了一系列行径,频频出台限制性政策及规定。2024年2月,美总统拜登签署“关于防止有关国家访问美国敏感数据”的行政令,限制数据不经限制地传输到包括中国在内的“受关注国家”。3月,美众议院全票通过《保护美国人数据免受外国对手侵害法案》,美国将对内嵌中国ICTS的联网汽车启动国家安全审查,4月,“TikTok剥离法案”及“防止受关注国家侵害美国人数据法案”生效,TikTok案件中字节的反击成为2024年度跟踪热点,6月,《保护美国人数据免受外国对手侵害法案》生效,9月,美国拟禁止智能网联车使用中国软硬件,以防止中国企业收集敏感数据,10月,美国公布“应对美国敏感数据面临的国家安全风险拟议规则”并再次征求公众意见,同月,拜登签署《关于提升美国在人工智能领域的国家安全备忘录》,为2024年度美国在科技和数据领域颇具针对性的国家安全政策画上句号。

二、网络安全

自2016年公布以来,《网络安全法》已经在法规、标准层级构建了相对完善的监管框架,监管活动也日益常态化。2024年,各地均持续公布因未履行网络安全保护义务而被处罚的通报名单,除北上广深等一线城市外,山东、内蒙古、江西、四川等地也对属地企业网络安全保护工作启动了常态化监督执法工作,这一年来出现的“超市”“足浴店”因未履行网络安全保护义务而遭罚款的消息也令公众看到网络安全执法已经“走上街头”。

2024年,网络安全领域的规则也逐步在垂直化监管领域深入。2024年1月,网络安全保险工作、工控系统网络安全防护工作在工信部牵头下开展试点和发布方案,国家金融监督管理总局继续持续发布多家银行涉信息安全罚单,交通运输部针对铁路系统发布专项关键信息基础设施安全保护管理办法;车联网领域以上海“铸盾车联”为代表启动了专项行动,网安标委并针对车外画面局部轮廓化处理效果验证发布实践指南;关键信息基础设施领域,除前述交通运输部发布的铁路系统安全保护要求外, 国家密码管理局在年末亦就《关键信息基础设施商用密码使用管理规定(征求意见稿)》公开征求意见。垂直领域的监管甚至细化至终端设备直连卫星服务,也进一步反映了信息技术“上天入地”般的发展向监管机构发起的挑战。

于境外,2024年网络安全也成为了境外监管的重点关注部分。2024年1月,欧盟《网络安全条例》正式生效,该法案通过明确责任、设立规划、加强合作等举措,改善欧盟预防、处理和应对大规模网络安全事件和危机的机制。同时,该法案针对关键信息基础设施保护提出了明确要求,例如要求欧盟成员国制定国家网络安全战略,任命负责网络危机管理的国家机构,设立国家大规模网络安全事件和危机应对计划,建立欧洲网络危机联络组织网络等,以提升对大规模网络安全事件和危机的管理水平。2024年10月,欧盟委员会通过“连接欧洲设施”(CEF)项目数字部分的第二个工作计划,该计划将在2024年至2027年期间为各种数字基础设施项目提供8.65亿欧元的资金。2024年11月,欧盟发布《网络弹性法案》全文,作为欧盟首部对包含数字元素产品提出强制性网络安全要求的立法文件,标志着欧盟在增强网络安全保护、抵御网络威胁方面迈出了重要步伐。

同样在1月,美国NIST发布《企业网络安全评估与改善指南(草案)》,并在10月由国防部发布了网络安全成熟度模型认证计划的最终规则,英国政府发布《网络治理实践准则》并公开征求企业意见,英国国家网络安全中心(NCSC)并敏锐观察到人工智能对网络安全带来的冲击,发布了人工智能对网络安全近期影响的报告。

随着数字经济的发展,网络安全作为数据安全、个人信息保护以及人工智能等新技术的基础和第一道防线,《网络安全法》也将作出调整应变。2024年5月,全国人大常委会公布2024年度立法工作计划,网络安全法的修订计划已经正式提上日程。

三、网络信息内容安全

作为网络空间治理体系中最为成熟的方面之一,中国对网络信息内容安全的监管框架在2024年得到了进一步的完善。本年度以国家网信办为主导的监管机构出台了一系列政策,并针对新问题、新挑战进行了积极的应对。

市场监管总局等部门于2024年5月发布的《关于促进网络拍卖规范健康发展的指导意见》标志着中国对网络拍卖领域的监管进入了一个新的阶段。该意见强化了平台的监管责任,确保了拍卖活动的透明度和公平性。其后,国家网信办于6月出台的《互联网政务应用安全管理规定》则全面覆盖了互联网政务应用的安全管理,从开办、建设到运营的各个环节,构建了一个全面、系统的安全管理框架,并通过明确的责任追究机制,增强了规定的执行力。

在违法违规和不良信息治理方面,国家网信办等四部门于2024年6月公布的《网络暴力信息治理规定》,从主体责任、预防预警机制、账号处置等多方面建立了综合治理体系,为营造良好的网络生态提供了坚实的法律支撑。“清朗·优化营商网络环境—整治涉企侵权信息乱象”、“清朗·整治违规开展互联网新闻信息服务”等专项行动的开展,以及公安部公布的打击整治网络谣言、广告推广型网络黑灰产犯罪等典型案例,显示了中国在打击网络谣言和虚假信息、保护企业合法权益方面的决心和力度。

未成年人保护方面政策与行动并举,《移动互联网未成年人模式建设指南》的发布和《网络安全标准实践指南——移动互联网未成年人模式技术要求(征求意见稿)》的公开征求意见,进一步加强了对未成年人网络保护的技术要求和管理规范。国家网信办启动的“清朗·2024年暑期未成年人网络环境整治”专项行动,针对未成年人网络环境中的突出问题进行了重点整治,体现了对未成年人权益保护的高度重视,其后续将侵害未成年人合法权益案例公开通报的行为,显示了中国对未成年人网络环境的持续治理之决心。与之相对应的是国家网信部门称其将持续加大治理力度,依托“清朗”系列专项行动,聚焦可能影响未成年人身心健康的各类新问题新情况,重拳出击、精准施策,持续净化未成年人上网环境。

总体来看,2024年中国网络信息内容安全监管呈现出明显的多元化、系统化趋势。监管政策的密集出台和专项行动的实施,不仅体现了监管机构对网络信息内容安全的高度重视,也反映了对网络环境治理的持续深化。未来,随着技术的不断进步和网络环境的演变,预计监管力度和频率将不断加强,我们理解“未成年人网络保护”、“打击网络谣言、虚假信息、网络暴力内容等不良信息”仍将是监管的重点议题。

四、数据安全

《网络数据安全管理条例》的发布无疑是数据安全领域2024年度最为重要的事件之一。该条例不仅从行政法规层级补充了三法一条例的法律位阶空缺,在实质内容方面也是对《数据安全法》实施三年有余的阶段性总结,对网络数据处理的合法性基础、重要数据管理、数据出境规则等方面进行了细节补齐和规则充实。

除此之外,我们也不应忽视数据安全监管领域取得的成效。在垂直领域,政务数据安全、会计师审计业务数据安全、民航数据安全、工信领域数据安全、自然资源领域和征信数据安全均迎来自身具体监管规范,并出现了“浦江护航”“江淮护航”数据安全专项行动,垂直监管领域中汽车领域表现突出,随着4月《汽车企业数据安全管理体系要求》团体标准发布,8月,国家强制性标准《汽车整车信息安全技术要求》正式发布,9月,自然资源部就《智能网联汽车时空数据传感系统安全基本要求》(征求意见稿)和《智能网联汽车时空数据安全处理基本要求》(征求意见稿)等2项强制性国家标准公开征求意见。需要额外注意,各部门出台的规定可能对企业均产生影响。如今年3月来自自然资源部的《自然资源领域数据安全管理办法》即将深刻影响汽车领域的地图数据处理。可见包括汽车领域数据安全在内的监管愈加严格、细致和具有联动性。上周末,国家金融监督管理总局发布《银行保险机构数据安全管理办法》正式稿,对包括间接获取数据、重要数据处理等银行保险机构数据处理活动及安全要求提出了十分具体的安排,这一答卷可视为2024年度数据安全领域的垂直监管收官之作。

执法领域,以违反数据安全义务为名的罚单也开始获得更多的社会关注。2024年10月,上海和郑州网信办针对企业未履行数据安全保护义务开出罚单,均对涉事企业处以五万元罚款。相比2023年期间的数据安全罚单,2024年因违反数据安全义务的罚单消息获得了人们更多关注,一度成为资讯热点被广泛讨论。

2024年境外数据安全领域,各国的治理手段均在稳步有序推进。2024年1月,欧盟《数据法案》(Data Act)正式生效。该法案旨在规范欧盟内部数据共享和使用,于2023年1月由欧盟委员会提出。该法案旨在促进公平的数据经济,让企业和个人更好地控制自己的数据,并促进数据驱动的创新。法案与《数据治理法案》(Data Governance Act)和《通用数据保护条例》(GDPR)共同构成了欧盟数据监管框架的重要支柱。治理层面,澳大利亚韩国也在年初针对数据存储、供应链数据安全等发布指南和报告,旨在为企业实践提供更多参照。在数据利用和发展之外,数据的安全保护罚单在年末涌现,因数据安全义务存在瑕疵,或因此导致个人信息泄露案件层出不穷,美国普罗维登斯医学院、Postel等均因未履行数据安全保护义务而收到了高达数十万美元的罚单。

五、个人信息保护

2014年境内个人信息保护已经“过尽千帆”。相比2019年徐玉玉案件初发之时,2024年,个人信息保护领域法律、法规、国家标准的框架已经基本齐备,2024年7月,《数据安全技术 个人信息保护合规审计要求(征求意见稿)》公开征求意见,结合2023年8月国家网信办所发布的《个人信息保护合规审计管理办法(征求意见稿)》,个人信息保护合规审计制度的补齐和落地指日可待。

与此同时,各地通管局、网信办、网安部门及行业主管部门的执法活动已常态化,海南、福建、浙江、江苏、湖南、内蒙古、江西、广东等省(区)也针对个人信息保护展开持续监管活动,并针对热点事件或突出问题实施了专题化监管,如北京在5月针对停车、餐饮、商超等10大领域扫码缴费违规收集个人信息开展清朗行动,上海则在5月、8月分别针对咖啡馆、地铁售货机等具体场景展开检查和指导工作。需要看到,个人信息保护的监管活动也反向推动了相关标准对于实践中过分束缚企业经营行为的概念等进行松绑。作为反映全国网安标委标准制定趋势的重要文件,《网络安全标准实践指南——敏感个人信息识别指南》于2024年9月发布,该文件因将身份证号不再视为敏感个人信息示例而受到广泛讨论和欢迎,但事实上仍应清晰认识到相关个人信息是否视为个人信息,仍应结合处理场景、处理后果等因素确认。

在司法审判层面,7月,最高院司法案例研究院发布侵犯公民个人信息罪相关案例裁判要旨汇总,各地法院也陆续发布针对个人信息案件的审判总结。司法系统有关个人信息保护的经验积累也意味着个人信息保护争议案件已经平稳度过初期摸索阶段,从争议解决角度为个人信息保护领域中的个人信息处理行为进一步划出红线区域。

尤其值得一提的是,2024年7月,在《个人信息保护法》的顶层设计之下,公安部和国家网信办就《国家网络身份认证公共服务管理办法》公开征求意见,该办法倡导个人信息主体向具备资质的公共服务机构申请网号、网证,以替代公民身份证作为网络社会身份流通标识。尽管不乏负面声音,但必须承认网络身份认证机制建立了个人信息的源头保护机制,极大提升公民对其身份信息的自决权。

境外,2024年的个人信息保护也转入更为细致的专题化讨论,一方面,英国美国包括西班牙在内的数据保护机构对于儿童、未成年人个人信息保护表现出了极大关切,针对儿童信息保护战略、儿童安全行为守则、儿童网络安全行为等的公开征求意见和讨论贯穿全年立法行动。2024年10月,英美两国签署历史性儿童网络安全协议以期讨论针对儿童个人信息和网络安全保护的一致准则。另一方面,欧盟持续以指南方式深化和细化GDPR规则及关联数据处理活动规则适用的解读,针对常常混淆的个人信息控制者、处理者身份认定,以及欧洲刑警组织关于确定行政个人数据存储期限等规则,均在10月份发布了指导意见。

2024年,全球范围内的个人信息保护立法及执法活动可称“盛况”。公开资料显示,包括韩国、土耳其、法国、德国、荷兰、波兰、乌拉圭、越南均不同程度修订了与个人信息保护相关的核心法规,或针对法规适用作出解释,且大部分地区有关个人信息保护领域的讨论均表现出了对人工智能等新技术的关注。个人信息保护的全球化趋势已成定局,但有关个人信息保护与新技术发展之间的冲突和磨合还有待进一步观察。

六、数据资源开发利用

2024年是数据要素和数据交易市场蓬勃发展的一年。

新年尚未开启,国家数据局等十七部门联合发布《“数据要素x”三年行动计划(2024—2026年)(征求意见稿)》,提出充分发挥数据要素的放大、叠加、倍增作用,从供需两端发力,在智能制造、商贸流通、交通物流、金融服务、医疗健康等若干重点领域,加强场景需求牵引、打通流通障碍、提升供给质量,推动数据要素与其他要素相结合,发挥数据要素乘数效应,赋能经济社会发展。

随后的一年中,四川、江苏、广东、山西、湖南、内蒙、天津等各省市纷纷发文落实数据要素市场化配置综合改革的实施方案,着力从顶层设计、基础建设、资产管理、知识产权登记等各方面展开具体工作部署。行业方面,气象部针对“数据要素x”行动计划开展具体实施方案,国家网信办亦在年初启动全国数据资源调查,中国人民银行针对金融数据发展亦提出具体落地建议。最为亮眼和高效的落地进展体现在数据资源的资产化和价值化方面,财政部在2024年的年初两次针对数据资产管理发布了企业可供实践依赖的重要操作指导《关于加强数据资产管理的指导意见》《关于加强行政事业单位数据资产管理的通知》,各地频频出现企业凭借数据资产获得贷款的实践案例,在法规引导和落地实践的良好互动下,财政部在2024年年尾发布了《数据资产全过程管理试点方案》交出漂亮总结。

国家数据局作为数据资源战略的统筹部门,除年初“数据要素x”行动计划提出的战略方向外,国家数据局在第三季度频频发文,分别就《关于促进数据产业高质量发展的指导意见》《数据领域名词解释》《国家数据基础设施建设指引》《关于完善数据流通安全治理 更好促进数据要素市场化价值化的实施方案》等数据资源发展基础底座建设广泛征求意见;第四季度,国家数据局自行或联合其他部委发布了《国家数据标准体系建设指南》《可信数据空间发展行动计划(2024—2028 年)》《关于促进企业数据资源开发利用的意见》等系列年终总结。作为年终献表的一部分,国家数据局官方网站(www.nda.gov.cn)已于12月25日上线试运行,当日,国家数据局领导团队、职能、内设机构亦全部公布——距离国家数据局正式挂牌成立,上述工作成就的取得仅用时14个月。

七、公共数据资源授权运营

《数据安全法》第五章专章描述了政务数据安全与开放的规则。随着数据资源顶层战略的确定和底层基础的夯实,公共数据概念逐步与政务数据糅合,在2022年末《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》首次出现在重要政策指导意见中,作为独立于企业数据和个人数据的类别单独讨论。在此之后,北京、上海、浙江、广东、深圳、成都等省份和城市对于公共数据资源授权运营公布了规则并进行了积极试点,作为最具潜力的数据类别,公共数据资源的利用规划在2024年以“公共数据资源登记”“公共数据授权运营”为关键词迎来了更为成熟的配套规则及落地实施方案。

2024年上半年,包括广东、贵州、湖北以及厦门、济南多个省市公布了公共数据资源授权运营的具体试行办法,其中绝大多数为处于初期摸索阶段的征求意见稿。2024年10月,国家数据局正式就《公共数据资源授权运营实施规范(试行)》公开征求意见,阶段性总结了初期摸索结果,提出了“实施机构”“运营机构”和“其他经营主体”的三级运营方案。同日,国家发展改革委就《公共数据资源登记管理暂行办法》向社会公开征求意见,该暂行办法作为公共数据资源运营的重要前提,实质上从源头处框定了公共数据资源可供运营的数据范围和权责分配。在国家数据局和国家发改委两份重磅征求意见稿后,广州发布了《公共数据授权运营管理暂行办法》,该办法引入了数据商等新概念,并未完全限定在两份重磅征求意见稿范围内。

相比之下,针对政务数据乃至公共数据共享,2024年的公开可查的境外法规并无过多亮点。2024年4月,《欧洲互操作法案》公布,该法案规定了联盟实体和公共部门机构之间高度互操作的措施,并创建了互操作治理结构,旨在提高联盟实体和公共部门机构之间的数字服务跨边界和跨领域的互操作性,通过数字流程共享数据、信息和知识,提高跨境互动的能力,确保实现无缝协作和信息共享。该法案可以视为欧盟对公共数据共享的一次探索,也可用作借鉴境内公共数据资源治理思路。

公共数据资源授权运营模式的探索之路尚且漫漫,但在热切的呼声之下,两份国家数据局征求意见稿的迅速出台似乎亦可期待。

八、数据跨境

2024年对于存在数据跨境流动的中国企业来说是令人振奋的一年。2024年3月,国家互联网信息办公室公布发布的《促进和规范数据跨境流动规定》极大松绑了境内企业个人信息出境的合规义务,提出了六大“绝对豁免”场景,这些豁免场景在随后9月公布的《网络数据安全管理条例》中进一步增补为七个。同期,国家网信办发布《数据出境安全评估申报指南(第二版)》和《个人信息出境标准合同备案指南(第二版)》。至此,在数据出境安全评估、个人信息标准合同备案、个人信息保护认证之外,是否适用豁免场景成为了企业跨境首要的考虑因素。

《促进和规范数据跨境流动规定》提出的“绝对豁免”首次向自由贸易试验区放权制定“负面清单”,归属于负面清单之外的数据可以不经安全评估、合同备案或认证,在履行必要合规义务后出境。在此利好政策下,各地自贸区纷纷推出自家负面清单。2024年2月,天津自贸区率先推出《中国(天津)自由贸易试验区企业数据分类分级标准规范》,随后几天,《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法(试行)》在上海发布,但其中清单形式为“一般数据清单”。2024年8月,《中国(北京)自由贸易试验区数据出境管理清单(负面清单)(2024版)》在北京发布,北京自贸区负面清单作为首个中央网信办审批发布的负面清单,成为了业内负面清单内容标准的重要参考。此外,2024年1月和9月,粤港澳大湾区个人信息跨境流动标准合同机制进一步构建和完善,该机制为粤港澳大湾区数据流动和促进经济活力提供了重要保障,同样成为了境内企业数据跨境的优选考虑方案。

此外,我们也观察到,与数据跨境联动的有关机制也在逐步建设。2024年5月,国家监察委员会等联合发布《关于实施〈中华人民共和国国际刑事司法协助法〉若干问题的规定(试行)》,涉及刑事证据数据出境规则,2024年11月,国务院公布《中华人民共和国两用物项出口管制条例》,企业出境数据时需要额外考虑数据所依附的业务和技术是否受到出口管制限制。

境外,有关数据跨境的规则仍在安全与发展中不断探索平衡之道。2024年1月,欧盟委员会完成对现行11项数据跨境流动“充分性决定”的审查并公布国别报告,4月,欧洲数据保护委员会发布“欧盟-美国数据隐私框架”救济流程指南,11月,EDPB发布关于欧盟—美国数据隐私框架的首次审查报告。继隐私盾坍陷后,欧美数据传输机制重新建设并展开运行。相类似的国与国之间的数据跨境机制建设在2024年还出现了欧盟与日本关于跨境数据流动的协议、中国与德国签署数据跨境流动合作的谅解备忘录等形式。

此外,各国纷纷就本国数据向境外传输展开政策讨论,2024年中,法国、土耳其、巴西、沙特均就数据出境制定了框架规则。需要特别注意,2024年,美国方面,2月,总统拜登签署“关于防止有关国家访问美国敏感数据”的行政令,3月颁布《保护美国人数据免受外国对手侵害法案》,9月公布消息拟禁止智能网联车使用中国软硬件,以防止中国企业收集敏感数据,10月公布“应对美国敏感数据面临的国家安全风险拟议规则”并再次征求公众意见,11月,EPIC向司法部提交关于关注国获取大量美国敏感个人数据的拟议规则的评论。一系列针对性规则均牵制了中国企业赴美展业的脚步,中美数据流动前景尚待进一步观察。

九、人工智能

人工智能在2024年迎来了监管年。过去的两年中,人工智能高速发展给各国监管机构带来了巨大压力,输入方面人工智能训练数据的可控性,计算方面人工智能模型的安全性和伦理可靠性,以及输出方面,人工智能可能导致的幻觉或侵权信息,逐渐成为监管发力的三大方向。

境内,人工智能治理逐步有序推进,大模型备案进入有序公布节奏。关于人工智能模型是否需要备案,需要参考的决定性因素等,如是否面对自然人用户,是否收费,是否涉及自主训练、是否涉及境外大模型等,均已经初步探索出相对明确的判断要素。在2023年《生成式人工智能服务管理暂行办法》的规则框架下,2024年4月,国家市场监督管理总局、国家标准化管理委员会发布针对人工智能数据标注安全预训练优化训练数据安全发布标准;2024年9月,国家网信办就《人工智能生成合成内容标识办法》公开征求意见,以进一步管理输入数据规范。2024年5月,《生成式人工智能服务安全基本要求》发布征求意见稿,对模型可靠性提出要求细则,9月,全国网安标委发布《人工智能安全治理框架》1.0版,对全面治理人工智能安全框架作出阶段性总结并指出规管方向。在输出方面,除一般治理规则的探索外,司法裁判提供了重要的参考坐标。2024年4月,全国首例AI声音侵权案一审宣判,7月,北京市人民检察院发布《关于人工智能产业发展刑事合规风险提示》,今年8月,浦东新区检察院办理的全国首例人工智能领域侵犯商业秘密案审结,11月,人工智能生成图片著作权纠纷第二案宣判,后者判决结果因认可人工智能生成物版权而受到广泛争议

境内与境外关于人工智能治理的共识也在2024年取得进展。2024年5月,中美举行人工智能政府间对话首次会议,中国和法国发布关于人工智能和全球治理的联合声明,7月,《人工智能全球治理上海宣言》发表。全球范围内,有关人工智能治理的共识也在逐步缔结,3月,联合国大会通过了首个有关人工智能(AI)的全球决议草案,4月,英美达成全球首个涉AI安全双边协议,7月,美英欧监管机构签署关于人工智能竞争的联合声明,金秋9月,美英欧等国正式签署全球首个人工智能国际公约,G20通过关于人工智能、虚假信息和全球互联网自由接入的宣言,全球移动通信系统(GSMA)发布负责任的人工智能成熟度路线图,美国和阿联酋就人工智能合作发表声明,12月,新加坡与澳大利亚签署人工智能谅解备忘录。

境外有关人工智能治理的监管规则也在2024年爆发。全球瞩目的欧盟《人工智能法案》(AI Act)于2月正式获得 欧盟议会委员会批准,并于7月正式发布全文,确立了风险路径治理的基本原则。除此之外,欧盟针对金融领域AI应用、通用人工智能行为准则等均发布了具体指南或意见,为AI Act的理解和细则补充实践规范。作为人工智能技术最为领先的地区,美国在2024年针对人工智能部署了诸多治理规则,2024年1月,美国联邦贸易委员会(FTC)启动对生成式人工智能企业的投资与合作伙伴关系的调查,2月,美国司法部任命首位首席科技顾问与首席人工智能官,4月,发布工作场所人工智能应用相关风险的指南,并提出新的AI法案,5月,白宫基于14110行政令发布180天关键AI行动。美国在人工智能对国家安全的威胁方面忧思甚重,11月, 美国司法部就有关限制访问美国人敏感个人数据行政令(E.O. 14117)发布拟议规则通知中涉及了人工智能使用的注意要点,同月,美国白宫发布针对国家安全和人工智能的行政命令备忘录,提出了人工智能可能对国家安全产生的风险及相应风险控制要求。

除表现抢眼的欧美外,经济发展领先的国家和地区也纷纷针对人工智能治理提出主张,如英国、日本、新加坡、澳大利亚、韩国、德国、巴西。可见,人工智能发展与经济发展密切相关,可以想见,人工智能或能决定新一轮经济竞争秩序。

十、平台监管

大型互联网平台因巨量用户粘性和业务复杂性,无论境内还是境外,一直被视为监管工作的重点抓手。2024年,国内主要针对经营者竞争行为发力监管,4月,国务院反垄断反不正当竞争委员会颁布新修订的《经营者反垄断合规指南》,5月,市场监管总局发布《网络反不正当竞争暂行规定》,12月,《中华人民共和国反不正当竞争法(修订草案)》发布。同时,监管部门也在网络安全方面统筹了国家标准,2024年6月,全国网络安全标准化技术委员会秘书处正式发布《网络安全标准实践指南——大型互联网平台网络安全评估指南》,为平台自治和监管活动提供依据,2024年12月,《中华人民共和国反不正当竞争法(修订草案)》发布,新增对互联网领域利用技术手段实施不正当竞争行为的条款,成为该法的新增亮点之一。值得关注的是,2024年年末,《互联网平台企业涉税信息报送规定(征求意见稿)》公开征求意见,在灵活用工模式普遍使用的当下,该规定严重挑战了广泛存在的“灵活用工平台”运营模式中的税务合规问题。后续发展是对灵活用工模式的一剂良药还是一脚刹车,尚待观察。

境外方面,对于大型平台监管的法规如欧盟《数字服务法》已经正式实施。2024年2月,欧盟委员会根据该法案,将第一剑斩向对某大型出海社交媒体公司,对某大型出海社交媒体公司启动正式调查。3月和4月,欧盟根据《数字服务法》对速卖通、某大型出海社交媒体公司启动调查,并将认定Shein为超大型在线平台从而需要遵守《数字服务法》的系列额外义务;6月,美国联邦贸易委员会起诉某大型出海社交媒体公司违反《儿童在线隐私保护法》。简言之,这一年来,中国的大型互联网平台运营者,尤其作为最受广泛欢迎的应用程序某大型出海社交媒体公司,在境外的运营屡遭挫折和针对。

作者介绍

周杨 合伙人

竞天公诚律师事务所

北京、深圳办公室

邮箱:zhou.yang@jingtian.com

专业领域:网络与数据安全、TMT与互联网、知识产权

周律师曾任职于国内著名互联网企业法律合规部,于2014年开始聚焦于网络安全和数据保护领域,受托处理了包括金融、房地产、能源、游戏、电子商务、零售和人工智能在内诸多行业领域的数据合规专项法律服务。

在数十家企业的专项数据合规服务项目中,周律师为客户提供了高效且贴合实际的解决方案,以其专业、勤勉的工作态度,以及其对于新兴业务卓越的理解能力和项目领导能力获得了客户的诸多好评。

在钱伯斯2024年大中华区榜单中,周律师的客户对周律师的评价是,“周杨律师非常擅长处理复杂的数据合规事务,有能力对复杂法律问题的长期、跨领域影响进行考虑和规划。”“她拥有很强的专业能力,对行业和监管动态非常敏感。”

梁天翔  实习律师

竞天公诚律师事务所

邮箱:liang.tianxiang@jingtian.com

专业领域:网络安全、数据合规及个人信息保护

加入竞天公诚之前,梁天翔曾工作于中国网络社会组织联合会及国内知名律师事务所网络安全和数据合规业务团队,在网信、数据安全和个人信息保护领域已有四年以上的实践经验。

梁天翔已取得个人信息保护工程师(PIPE)证书,熟悉国内外网络安全、数据合规相关法律法规、标准规范、监管政策,并积极参与相关领域的政策解读和学术研究。梁天翔能够在及时掌握法律变化和监管动向的同时为客户提供定制化的法律服务,曾为多家知名互联网企业、金融机构、游戏公司、工业制造业企业以及政府部门等提供数据安全和个人信息保护方面的法律咨询、合同审查、风险评估、隐私设计、合规建设、应急处置、数据分类分级、数据跨境合规等专业服务。

声明:本文来自律商视点,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。