滴滴被罚事件，回望合规后信成为个人信息保护历程中一个重要的大新注脚。

5、闻疾蔚来、风骤丰田陷数据泄露风波

2022年下半年，心比两则车企数据泄露事件不容小觑。金更

10月初丰田汽车表示：发现在T-Connect服务中有296019条客户信息疑似被泄露，珍贵泄露的回望合规后信内容包含了客户电子邮件地址和客户号码，受影响的大新客户为2017年7月以来使用电子邮件地址注册该服务网站的个人用户。

尽管丰田中国相关负责人此后在接受采访时表示，闻疾“这个情况是风骤在日本发生的，跟中国没有关系，心比主要是金更使用T-connect服务的客户的邮箱地址和内部管理的号码被窃取了，别的珍贵信息都不受影响。”但接近30万条信息被泄露依旧在圈层内持续震荡。回望合规后信

12月末，蔚来首席信息安全科学家、信息安全委员会负责人卢龙在蔚来官方社区发布公告，表示12月11日蔚来公司收到外部邮件，声称拥有蔚来内部数据，并以泄露数据勒索 225 万美元（当前约 1570.5 万元人民币）等额比特币。经初步调查，蔚来被窃取数据为2021年8月之前的部分用户基本信息和车辆销售信息。蔚来对于此次事件对用户造成的影响深表歉意，并承诺对因本次事件给用户造成的损失承担责任。

智能网联汽车被看作继手机之后的又一个互联网入口，伴随着技术的快速发展，以及应用场景的不断丰富，其网络安全以及数据保障问题愈发凸显。

近两年来，关于智能网联车的监管文件密集出台，从准入管理到安全体系建设，规范逐渐完善。然而，智能网联汽车的数据安全保护问题是一项系统工程，需要监管、行业、车企等共同努力。

6、《个人信息保护法》实施一周年

在历经了数据泄露和个人信息遭受冲击事件后，对一部有“牙齿”法律的渴求变得正当。

2022年11月1日是《个人信息保护法》实施一周年，这部年轻的法律适用与实践似乎还在探索期，滴滴被罚成为一个重要节点，但相比法律细密、有力地贯彻，仍存在差距。

个人信息保护并不能“毕其功于一役”，立法只是第一步。过去一年南财合规科技研究院密切关注法律的实施情况，通过测评、调研、采访等多种方式，发现个人信息保护仍存在诸多不足，也有许多值得继续探讨的问题，比如，存量数据的问题，如果继续使用个人信息保护法实施之前收集的历史数据，是否需要按照该法进行合规？比如，个人信息权益行使的问题，我们通过调研发现半数的调查对象均进行过查阅、复制、删除、注销等操作，其中超半数认为行权并不便捷；

再比如，个人信息保护法创设的“守门人”条款，独立的监督机构建设，各个头部企业基本“按兵不动”，个人信息保护社会责任报告普遍不尽如人意；此外，中小企业合规水平不高，商业模式受到的冲击较大，尤其是在经济下行压力下，企业自身发展与数据合规，到底该怎么平衡？

这些均需要配套制度的完善，以及企业自身要敢于“刀刃向内”去完善合规体系，寻求新的出路与解法。

7、《反电信网络诈骗法》实施

随着信息社会快速发展，以电信网络诈骗为代表的新型网络犯罪已成为当前的主要犯罪形态。犯罪分子利用非法获取个人信息、网络黑灰产业交易等实施精准诈骗，组织化、链条化运作，跨境跨地域实施，已经成为当前发案最高、损失最大、群众反响最强烈的突出犯罪。

12月1日，《中华人民共和国反电信网络诈骗法》正式施行，这是我国第一部专门、系统、完备规范反电信网络诈骗工作的法律。

《反电信网络诈骗法》共七章50条。该法针对电信网络诈骗的各环节进行了针对性制度设计，特别是要求电信企业、银行、支付机构、互联网企业等在反诈工作中要承担风险防控责任，建立内部控制制度和安全责任制度。例如，银行要履行反洗钱、反诈职责，建立尽职调查制度，对涉诈异常银行卡、可疑交易等进行监测处置；电信企业要对涉诈异常电话卡、改号电话、GOIP（虚拟拨号设备）等非法设备等进行监测处置；互联网企业要对涉诈互联网账号、App、网络黑灰产进行监测处置，要按照国家规定，履行合理注意义务，防范其相关业务被用于实施电信网络诈骗等等。 

8、欧盟《数字市场法》11月1日生效

在欧亚大陆的另一端，两部重磅法案的实质性推进，或许将重塑科技巨头的商业模式，甚至改变整个数字生态。

2022年7月5日，欧洲议会以压倒性多数分别通过了《数字服务法案》（DSA）与《数字市场法案》（DMA），进一步明确了数字领域企业的行为义务与禁区。当地时间7月18日，欧盟27个成员国一致批准《数字市场法案》。

《数字市场法案》（DMA）已于11月1日生效，其瞄准大型互联网平台，对于苹果、Meta、谷歌、亚马逊、微软等科技巨头，可以说是“刀刀砍在大动脉”。

DMA明确规定了大型在线平台的“看门人”义务：一方面，为充分规避不公平的商业行为，允许包括第三方与自身的服务互操作、企业用户可访问在相关平台生成的数据、从第三方安装应用并确保可卸载、与开发者及竞争对手共享数据、设立独立合规小组及向欧委会通报合并、收购交易等；另一方面，有效规避扭曲性、垄断性及偏袒性市场行为，特别是禁止通过强行预装软件、变相使用私人数据、私自收集数据推送广告等。

这也意味着，苹果规定的应用要通过苹果商店安装、优先使用Apple Pay，谷歌利用搜索引擎优先显示自营产品，守门人旗下用户不得与其他平台互操作等等，均将被打击。

自2019年以来，欧盟率先在全球掀起对巨头的反垄断风暴，2020年拿出的《数字市场法》和《数字服务法》草案，给市场投下重磅炸弹；与此同时，密集对苹果、谷歌等巨头展开调查。

DMA的生效已是既定事实，对于科技巨头而言，只能接受。12月14日，据报道称，为应对欧盟在未来几个月即将施行的《数字市场法案》，苹果将于明年iOS 17正式发布后，开始允许第三方应用进入iPhone和iPad。不过，由于《数字市场法案》的作用范围，苹果的这一项更改仅在欧洲地区生效。

作为立法先锋的欧洲，这两部法案的后续影响也想必会传导到世界的每个角落，数字平台的变革或许刚刚开始。

9、“数据二十条”正式出炉，互联网企业或应迎新机遇

12月19日“数据二十条”——《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“《意见》”）释出，成为我国首份专门针对数据要素的基础性文件。

《意见》对我国数据要素市场建设起了“”作用：从对数据产权、数据流通与交易、数据收益分配、数据治理等作出一系列制度性安排。

对于企业数据，发挥国有企业带头作用，引导行业龙头企业、互联网平台企业发挥带动作用，促进与中小微企业双向公平授权，共同合理使用数据，赋能中小微企业数字化转型。旨在鼓励国企、行业龙头企业、互联网平台企业带头通过合规流通途径，为市场提供高质量的供给数据。

《意见》强调推动数据要素收益向数据价值和使用价值的创造者合理倾斜，确保在开发挖掘数据价值各环节的投入有相应回报，强化基于数据价值创造和价值实现的激励导向。通过分红、提成等多种收益共享方式，平衡兼顾数据内容采集、加工、流通、应用等不同环节相关主体之间的利益分配。这体现了对于数据价值创造和价值实现激励导向。

对于产生大量数据资源的企业，特别是互联网企业、电信运营商、银行以及电力、交通运营企业等，数据开发和数据资产运营或将成为这些企业新的获利来源。

《意见》中诸多新提法也引起了广泛关注。比如，探索由受托者代表个人利益，监督市场主体对个人信息数据进行采集、加工、使用的机制。

实践中个人信息权益维权的边际成本远大于边际收益，并且，当每个个体拥有单独的信息决定权时，会极大增加企业市场主体获得整体大数据获取难度，通过个人信息信托的“受托者”来代表个人利益，或许可以将零散的个人变成集中的主体，行使其权利，实现个人信息安全和利用的平衡。

10、知网被罚8760万元

2022年末最大的合规新闻落在了知网垄断案上，这家中国最具市场影响力的学术服务平台，近年来不断陷入垄断争议的漩涡。

2022年5月13日消息，市场监管总局根据前期核查，依法对知网涉嫌实施垄断行为立案调查。时隔半年，12月26日，国家市场监管总局发布调查结果：2014年以来，知网滥用支配地位实施垄断行为，通过连续大幅提高服务价格、拆分数据库变相涨价等方式，实施了以不公平的高价销售其数据库服务的行为。对此市场监管总局作出处罚决定：责令知网停止独家合作行为，不得以不公平的高价销售数据库服务，并处以罚款8760万元。

值得关注的是，在市场监管总局不仅依法对知网作出行政处罚决定，而且监督知网消除违法行为后果，要求知网围绕解除独家合作、减轻用户负担、加强内部合规管理等方面进行全面整改。

知网垄断案反应出，推动平台经济高质量发展，不仅需要竞争和创新的良性互动，还需要更好地实现有效市场和有为政府的结合。同时也以典型案例的方式警醒市场主体要重视竞争合规工作，建立体系化的竞争合规机制。

合规，在数字化时代不再是口头表态，更应该是切实刻入企业管理中。而在当前的经济环境下，合规与发展如何平衡，是2023年需要回答的。中央经济工作会议指出，“明年经济工作千头万绪，要从战略全局出发，从改善社会心理预期、提振发展信心入手，纲举目张做好工作”。这或许是最重要的前提。

E N D

本期编辑 林海铭 实习生梅乐轩