数据资产价值释放之行业应用场景解析与合规框架:信息传输、软件和信息技术服务业
AI智能总结
章节主编:李子燃赵颖岚尹立凌何强舒栎宇罗骜韩行舟吴君凤葛秀茹 研究助理:高小婷刘瀚聪裴之怀施卉肖涪文杨添琪周琦 电信、广播电视和卫星传输服务 电信、广播电视和卫星传输服务 电信、广播电视和卫星传输服务 电信、广播电视和卫星传输服务 互联网和相关服务 互联网和相关服务 互联网和相关服务 软件和信息技术服务业 软件和信息技术服务业 软件和信息技术服务业 从行业应用场景解析信息传输、软件和信息技术服务业数据合规风险 北京市中伦(成都)律师事务所舒栎宇律师罗骜律师 分类分级、风险评估、应急处置等全流程管理体系;《个人信息保护法》则聚焦个人信息权益保护,形成个人信息处理的刚性约束。 一、引言 信息传输、软件和信息技术服务业(下称“行业”)系数字经济的核心支柱。但行业数据数量爆发性增长背后,数据合规风险持续攀升,数据泄露、跨境传输违规、算法歧视等问题频发,既损害企业声誉与竞争力,也为数字经济健康发展带来挑战。 上述法律通过“数据安全-个人信息保护-网络运行安全”的三维架构,对75场景中的数据活动施加规制。例如场景1(智能家庭娱乐)收集的个人用户行为数据须符合《个人信息保护法》第十三条的同意要求;场景9(网络安全防护)的威胁数据处理应循《《数据安全法》第三十条的风险评估规定;而场景13(工业互联网设备协同)涉及的关键信息基础设施数据,则须同时满足《网络安全法》第三十一条的安全保护义务。 本次梳理的行业75个应用场景(以下简称“75场景”)覆盖数据“采集-传输-存储-使用-共享-销毁”全生命周期,涵盖电信传输、互联网服务、软件研发等核心业务环节。这些场景既是行业数字化创新的集中体现,也是相关部门对行业数据监管日常抽查与专项执法的“重点靶区”。 (二)行业专项监管规则 鉴于行业在数据领域中的关键地位与独特属性,工业和信息化部通过一系列规范性文件,对该领域的数据合规安全保护要求作出细化规定。例如,其先后发布《电信网络运行监管管理办法》《电信和互联网用户个人信息保护规定》《电信和互联网行业提升网络数据安全保护能力专项行动方案》《电信和互联网行业数据安全标准体系建设指南》等文件,对电信及互联网领域的数据提出合规要求。随着 文中结合部分具体场景细节,剖析潜在风险与合规要点。旨在为行业相关人员提供实践参考,欢迎业内人士共同探讨交流。 二、相关监管规范 (一)通用层法律框架 数据合规的基础法律体系以“三法”为核心构成:《网络安全法》确立网络运行安全与数据安全的基本准则;《数据安全法》构建数据 数字技术迭代与产业数字化的深度推进,近年来工业和信息化部又密集出台多项新规,动态响应技术变革带来的新问题,如: 场景14举例: 1、应急传输场景 《工业和信息化领域数据安全管理办法(试行)》明确电信业务经营者、互联网服务提供者等主体的数据分类分级责任,要求对“核心数据”实施严格管控,对“重要数据”落实出境安全评估;该办法第二十五条提出“工业和信息化领域数据处理者应当在数据全生命周期处理过程中,记录数据处理、权限管理、人员操作等日志。日志留存时间不少于六个月。”的追溯机制,直接关联场景11(国际通信业务优化)、场景14(卫星测绘)等场景的合规操作。 场景5(应急通信保障)在“断路、断网、断电”等紧急状态下收集的受灾群众信息,可依据《中华人民共和国个人信息保护法》第十三条第一款第(四)项“……紧急情况下为保护自然人的生命健康和财产安全所必需”豁免单独同意,但依据该法第十八条,事后须在紧急情况消除后及时告知义务,形成“紧急豁免—事后补救”的完整合规路径。 实践中需重点关注以下事项:一是紧急情况解除后,须立即启动告知程序,清晰说明信息收集的目的、范围及方式等核心内容,确保信息主体的知情权得到充分保障;二是全程留存紧急状态的证明材料与告知记录,同时预先设定紧急状态的识别标准和数据最小化采集范围,在满足应急处置效率需求的同时,严格契合个人信息保护的法定要求。 针对生成式AI等新兴领域,《生成式人工智能服务管理暂行办法》第四条要求服务提供者应当循守法律、行政法规,尊重社会公德和伦理道德;其第十一条规定对使用者的输入信息和使用记录应当依法履行保护义务;第十四条规定内容违法或利用生成式AI服务从事违法活动有相应整改措施,直接规制场景25(电竞战队战术分析)的AI模型训练、场景10(数字内容推荐)的算法生成等活动。 2、跨境传输场景 三、部分场景典型合规关注点 场景16(智能交通跨境物流追踪)中,全球定位数据的跨境传输面临多重合规挑战。这类数据通常涵盖车辆实时位置、运输路线、货物信息等内容,不仅可能涉及敏感地理信息,还可能包含个人信息(如司机的位置信息),因此其传输需留意满足中国《数据出境安全 (一)空天地一体传输域(场景1-19、45-50) 本技术域涵盖数据跨空间、跨网络传输的核心场景,其风险集中体现为传输安全性与跨境合规性双重挑战。现以场景5、场景16及 数据资产价值释放:全行业应用场景拆解与合规操作指南的合规性;三是对于高分辨率遥感数据等重要数据,需按规定向国家网信部门申报国家安全审查;四是严格循《“境内清洗-脱敏出境”的合规路径,部署专业脱敏系统,并根据数据级别动态调整数据精度,确保数据出境安全。 评估办法》与目的地国(如欧盟《通用数据保护条例》GDPR)的双重合规要求,还需关注敏感信息及个人信息的处理。 在此基础上,智能交通跨境物流追踪的定位数据传输需构建“双重合规校验”路径:首先依据《数据出境安全评估办法》,判定数据类型及出境规模,如需评估则完成申报并确保通过;其次,同步核查目的地国(如欧盟GDPR)的传输要求,选择合法传输机制,同时与境外接收方签订安全保障协议,明确双方在数据保护尤其是敏感信息和个人信息处理方面的权责;再次,建立数据传输台账及风险监测机制,定期核验合规状态,确保跨境数据流同时满足中国与目的地国的监管要求。 (二)互联网内容分发域(场景20-39) 该技术域聚焦互联网服务中的数据交互,用户数据收集合法性与算法透明度构成主要风险点: 1、用户数据采集合规性问题 在实践中,用户数据采集的合规性问题广泛存在于多个场景,其中互联网内容分发领域因直接且高频接触个人用户,风险爆发频率相对更高。 3、卫星与电信传输特殊场景 该领域的数据采集合规问题主要集中在三个方面:一是未经用户授权擅自收集数据;二是违反“最小化处理原则”,过度采集与服务无关的信息;三是对敏感信息的处理不符合法定要求。例如,场景22(电商平台商品推荐)中,推推荐系统未明确告知用户其数据将被用于算法训练,可能违反《个人信息保护法》第十七条的“明确告知”义务;再如场景24(在线音乐个性化歌单)中,音乐APP收集的听歌记录属于“个人习惯数据”,根据《信息安全技术个人信息安全规范》第7.5条,此类数据用于个性化推荐时,需为用户提供“关闭个 场景14(卫星测绘辅助城市规划)中,涉及的高分辨率遥感数据可能属于《测绘地理信息管理工作国家秘密范围的规定》所界定的“国家秘密信息”。因此,其数据采集与传输环节需满足严格的合规要求:相关主体通常须取得甲级测绘资质,且向境外提供此类数据时,应依据《数据安全法》第二十四条规定,通过国家安全审查。 除常规跨境传输的数据合规要求外,该特殊场景还需额外强化以下合规措施:一是重视资质核查与主体确认,确保数据处理主体具备合法资质;二是加强数据分级与保密管理,同时严格审核采集范围 数据资产价值释放:全行业应用场景拆解与合规操作指南设置诱导用户沉迷(如无节制推送低俗内容、过度延长使用时长的奖励机制)、过度消费(如利用用户心理弱点推送超出其支付能力的商品)的模型参数;二、向用户公示算法推荐的基本原理、主要影响因素及干预方式,提供“关闭算法推荐”的便捷入口;三、推荐算法所依赖的用户行为数据(如浏览记录、消费偏好)需符合《个人信息保护法》要求,明确收集目的并获得用户同意。 性化展示”的便捷选项,以避免过度收集数据的风险。 针对前述事项,建议从以下方面强化数据采集的合规管理:一、严格核验数据源准入资质,重点核查数据提供方与原始权利方的合同及授权文件,明确数据使用范围、期限及双方权责;二、推涉及网络爬虫采集,必须事先取得目标平台的爬虫许可,且爬虫行为需严格循守robots协议及相关法律法规;三、对集成的第三方SDK,需签订规范的合作协议,明确数据收集的边界、安全保护责任及违规追责条款,从源头规避因SDK过度索权引发的合规风险。 场景25电竞战队战术分析系统进行算法合规整改,需留意:一、收集敏感信息需取得本人单独同意;二、存储环节采用加密技术,限制访问权限;三、使用时不得超出战术分析的必要范围,禁止用于人身攻击、隐私泄露等用途;四、建议引入第三方审计机构,定期对算法模型进行合规审查。 2、算法合规问题 算法合规问题已成为场景10(数字内容推荐)、场景25(电竞战队战术分析)等场景的新挑战。例如,相关互联网企业的算法需严格循《《互联网信息服务算法推荐管理规定》第八条规定,“不得设置诱导用户沉迷、过度消费等违反法律法规或违背伦理道德的算法模型”;推电竞战队的战术分析系统所使用的对手情报数据包含个人信息,还需依据《个人信息保护法》第二十八条强化敏感信息保护,且算法决策结果需符合《生成式人工智能服务管理暂行办法》第七条关于“真实性、准确性、客观性、多样性”的要求。 3、商业数据权属问题 商业数据权属问题争议在场景29(大宗商品在线交易)、场景34(知识产权在线交易)中较为突出。如,大宗商品在线交易网站整合的商品价格数据,推涉及交易对手的商业秘密,其使用须循守《反不正当竞争法》(2019年修订)关于商业秘密的相关规定;知识产权交易中心的专利交易平台,应依据《专利法》建立权属核验机制,避免因数据错误导致的侵权责任。 针对场景10(数字内容推荐)等相关情形,建议从以下方面进行合规整改:一、在算法设计阶段建立“负面清单”制度,明确禁止 建议相关场景建立“来源合规-权属清晰-用途明确”的三阶审查 数据资产价值释放:全行业应用场景拆解与合规操作指南合规要求,具体措施如下:一、建立源代码的分类分级存储机制,明确核心代码的范畴,将其划定为“重要数据”或“核心数据”,并采用加密存储方式;二、非核心代码可列为“一般数据”,但仍需落实访问控制措施,通过账号密码、密钥管理等方式限制非授权人员访问;三、建立代码存储台账,详细记录代码类别、存储位置、加密方式及访问日志,并定期开展安全审计,确保存储状态符合分类分级要求;四、重视代码缺陷检测过程中的安全防护,核查检测工具是否具备安全认证资质,避免因使用开源工具存在后门程序而导致代码被窃取的风险。 机制。以大宗商品在线交易场景为例,可考虑通过以下路径确保合规:一、来源合规层面:(一)确认数据提供方对数据拥有合法处分权;(二)严格循《目标平台robots协议,严禁突破访问限制抓取未公开信息;(三)与数据提供方签订《数据来源承诺书》,明确数据未侵犯第三方商业秘密,并留存获取记录,形成来源可追溯的证据链等。二、权属清晰层面:依据《反不正当竞争法》界定数据权属,并建立“权属分级台账”,清晰划分不同数据的权属边界。三、用途明确层面:在《用户服务协议》中明确数据用途,如,非涉密数据可用于平台内交易匹配、行情展示;涉密数据仅限交易双方协商的特定用途,严禁用于平台营销推广或向第三方售卖等。 2、云服务合规 场景45(云存储资源调度)中,云服务存储资源盘活系统的数据存储环节需严格循《《云计算服务安全评估办法》,确保存储架构设计、数据分类存储、访问控制机制等满足评估办法对数据安全、隐私保护、服务可用性的要求;场景44(数据库性能优化)推采用分布式内存储技术,因存在数据多副本存储特点,必须严格契合《个人信息保护法》第四十七条关于个人信息删除的规定。 (三)软件交付与运维域(场景40-59) 本技术域涉及软件研发与运维全流程,代码、数据安全与供应链合规风险是相关场景典型风险。
