7月5日，国务院印发了《国务院2022年度立法工作计划》（以下简称《计划》）。《计划》提出坚持围绕中心、服务大局、突出重点，适应立足新发展阶段、贯彻新发展理念、构建新发展格局、推动高质量发展要求，紧跟党中央重大决策部署，紧贴人民群众美好生活对立法工作的呼声期盼，紧扣国家治理体系和治理能力现代化提出的立法需求实际，科学合理安排立法项目，以高质量立法保障和促进经济社会发展目标任务顺利实现。《计划》中明确了2022年拟制定、修订的行政法规中包括由网信办组织起草的《网络数据安全管理条例》、密码局起草的《商用密码管理条例（修订）》。网信办在2021年11月发布了《网络数据安全管理条例》（征求意见稿）。本次被列入国务院立法计划，意味着《网络数据安全管理条例》立法进程又进一步。

7月23日，以“创新驱动新变革 数字引领新格局”为主题的第五届数字中国建设峰会在福建省福州市开幕。本届峰会由国家互联网信息办公室、国家发展和改革委员会、科技部、工业和信息化部、国务院国有资产监督管理委员会、福建省人民政府共同举办。第十二届全国政协副主席王钦敏出席开幕式并就数字政府建设作专题发言。中宣部副部长、中央网信办主任、国家网信办主任庄荣文，中共福建省委书记、省人大常委会主任尹力，工业和信息化部副部长徐晓兰，国务院国有资产监督管理委员会党委委员、副主任翁杰明出席开幕式并致辞。王钦敏指出，要以前瞻性思考、全局性谋划、系统性布局、协同性推进的思路与方法，统筹各种资源，协调一致开展数字政府建设；要优化政务服务平台，坚持数字普惠，促进数字包容，让数字政府建设成果更多更公平地惠及全体人民；要强化改革思维，注重顶层设计、系统工程和基层探索的有机结合，坚持技术创新与制度创新双轮驱动，推动政府、经济、社会、文化、生态与数字化深度融合；要建立健全数据治理制度和标准体系，加强数据归集融合、共享开放和开发利用，强化数据安全管理责任，充分释放数据价值；要加强顶层设计，统筹部署数字政府应用系统建设，推进流程和事项标准化，着力推动部门数据向基层回流；要提高风险防范意识，统筹关键基础设施，构建数据安全防护体系。

7月7日，上海市通信管理局发布《关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知》，表示按照工业和信息化部保障党的二十大网络安全有关工作要求和《关于开展2022年全市网络安全专项检查的通知》要求，决定组织开展2022年上海市电信和互联网行业网络和数据安全检查工作。数据安全保护方面，检查企业落实《数据安全法》《电信和互联网企业数据安全合规性评估要点》的要求，包括：持续完善本单位数据安全管理制度和技术保护措施的情况；落实开展网络数据安全合规性评估，数据分类分级管理、对外合作安全管理、访问权限管理和安全审计情况；及时发现和处置非授权访问、批量复制或转移、删改异常情况；数据安全事件应急预案制定，重要数据备份和加密等工作情况。个人信息和用户权益保护方面，检查企业按照《个人信息保护法》《电信和互联网用户个人信息保护规定》《工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知》《关于开展信息通信服务感知提升行动的通知》要求，落实电信和互联网行业个人信息保护和用户权益保护专项治理工作情况。按照APP用户权益保护相关测评规范和APP收集使用个人信息最小必要相关评估规范，重点对移动互联网APP、小程序运营企业的个人信息保护和用户权益保护情况开展检查。

7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。2021年7月，为防范国家数据安全风险、维护国家安全、保障公共利益，依据《国家安全法》《网络安全法》，网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。经查明，滴滴公司共存在16项违法事实，归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条；二是过度收集用户剪切板信息、应用列表信息83.23亿条；三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；五是过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；七是在乘客使用顺风车服务时频繁索取无关的“电话权限”；八是未准确、清晰说明用户设备信息等19项个人信息处理目的。

7月11日，广州市越秀区人民检察院办理的广东省首例向互联网法院提交的涉“人脸识别”公民个人信息保护民事公益诉讼案公开宣判。法院判决郑某等4名被告立即停止对公民个人信息的侵害，支付公益损害赔偿金、公开赔礼道歉并以行为补偿弥补损害。此前，被告郑某等4人已被法院刑事判决认定侵犯公民个人信息罪，判处有期徒刑一年二个月至一年不等，并处罚金。2020年8月起，郑某开始提供代查高清身份证照片、身份证号码等个人敏感信息的非法服务。任某等3人按照下家提供的个人信息，从郑某手中购得与个人信息相匹配的高清身份证照片制作人脸识别动态视频再进行售卖。这些视频可以通过一些App的人脸识别身份验证，造成严重的个人信息泄露隐患。截至案发，郑某等人买卖公民个人信息2000余条，严重侵害众多公民个人信息安全，损害了社会公共利益。广州市越秀区人民检察院认为被告郑某等人非法买卖公民个人信息不仅触犯了刑法，同时也违反了《民法典》、《个人信息保护法》中关于个人信息保护的相关规定，构成对个人信息保护领域社会公共利益的侵害，依法应承担民事侵权责任。故而，对4名被告侵害公民个人信息安全、损害社会公共利益的行为作为民事公益诉讼线索立案。

7月7日，蚂蚁集团旗下支付宝对SDK隐私权政策进行了更新，进一步详细披露第三方App在实现“使用支付宝支付”等4个功能时，支付宝需要调用的个人信息清单，以更好地保障开发者及用户知情权。支付宝为开发者提供了“App支付”“App支付宝登录”“分享到支付宝”“身份验证”四种SDK，实现了其他App为用户提供使用支付宝支付、使用支付宝账号快速登录、将图片网页支付宝以及集成支付宝实人认证能力的功能。更新后的支付宝SDK隐私权政策中，详细披露了四种SDK在什么情况下调用信息及调用信息的具体清单，还区分了iOS、Android系统下相应的调用情况和用途。以“APP支付”SDK为例，明确仅在发起支付时调取常用设备信息、网络信息，用于登录账户和支付过程中的安全风控。此外，更新后的隐私权政策也对每种SDK如何存储信息做了更完整介绍。 

7月8日，中央财经大学副教授张金平在国家网信办官网发表了名为《数据出境安全制度的新探索》的文章，对《数据出境安全评估办法》（以下简称《办法》）进行了解读。国家互联网信息办公室根据《网络安全法》《数据安全法》《个人信息保护法》规定，统筹数据出境监管的国内法治和涉及境外接收方数据处理要求的涉外法治，制定了《办法》，有力维护了国家在数据领域的主权、安全和发展利益。评估目的方面，《办法》第1条规定数据出境安全评估的目的在于“保护个人信息权益，维护国家安全和社会公共利益”，但并不意味着重要数据和个人信息的出境安全评估的目的是完全一致的，相反二者评估目的是由其上位法决定的。其中，重要数据出境监管制度由《网络安全法》和《数据安全法》加以明确，其核心目的是维护网络空间主权和国家安全、社会公共利益。相比之下，《个人信息保护法》明确个人信息出境监管的目的是保护个人信息权益。评估范围方面，《办法》第4条规定数据处理者在四种情形下向境外提供重要数据或者个人信息，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。其中，按照现有立法要求，所有主体的重要数据出境都要申报安全评估。个人信息出境进行安全评估的门槛主要在于执行《个人信息保护法》第40条的规定，明确累计向境外提供个人信息的特定规模设定为年度累计，充分反映了相关主体有关科学设定个人信息出境安全评估范围的诉求，便利其通过认证、标准合同等机制开展个人信息出境。评估程序方面，《办法》明确安全评估的程序包括：（1）数据处理者自评估；（2）数据处理者申报安全评估；（3）省级网信部门的申报接收和国家网信部门的申报受理；（4）国家网信部门组织安全评估，评估过程中可要求数据处理者进行材料补充或更正；（5）评估结果的告知与申请复评；（6）通过数据出境安全评估但在有效期内出现特定情形的重新申报评估；（7）通过数据出境安全评估后的终止数据出境。其中，《办法》第13条相对于征求意见稿专门新增了评估结果的复评，为数据处理者提供了异议机会，进一步增强了制度的科学性。