11月14日，國家互聯(lián)網(wǎng)信息辦公布了《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》（以下簡稱《條例》）。

受訪專家指出，《條例》明確了中國數(shù)據(jù)監(jiān)管“三法合一”思路，執(zhí)行、細(xì)化、補(bǔ)充了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》三部上位法的規(guī)定，進(jìn)一步增強(qiáng)了數(shù)據(jù)安全法律體系的完備性和可操作性。

《條例》對數(shù)據(jù)分類分級、個(gè)人信息保護(hù)、個(gè)人行權(quán)、互聯(lián)網(wǎng)平臺運(yùn)營者義務(wù)做出了較為細(xì)致的規(guī)定。

其中對日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運(yùn)營者課以更多義務(wù)：平臺規(guī)則、隱私政策制定或者對用戶權(quán)益有重大影響的修訂的，應(yīng)當(dāng)經(jīng)國家網(wǎng)信部門認(rèn)定的第三方機(jī)構(gòu)評估，并報(bào)省級及以上網(wǎng)信部門和電信主管部門同意。這也意味著大型平臺規(guī)則等的變更不再是平臺自己的事情，而具備一定的公共屬性，需要經(jīng)過評估以及主管部門同意。

對于近期討論熱度極高的互聯(lián)互通、算法策略披露、個(gè)性化推薦等，《條例》也都有了回應(yīng)。

數(shù)據(jù)分類分級：制訂重要數(shù)據(jù)目錄并報(bào)備

該《條例》級別高，被列入國務(wù)院2021年立法計(jì)劃。今年數(shù)據(jù)、網(wǎng)絡(luò)安全等相關(guān)政策密集，但是中國信息安全研究院副院長左曉棟指出，和今年其他文件比，《條例》規(guī)格更高，相當(dāng)于航空母艦。尤其是伴隨著《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的落地，《條例》將作為數(shù)據(jù)管理的重要實(shí)施規(guī)則。

《條例》明確了數(shù)據(jù)分類分級保護(hù)制度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。

重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。包括：未公開的政務(wù)數(shù)據(jù)、工作秘密、情報(bào)數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)；出口管制物項(xiàng)涉及的核心技術(shù)、設(shè)計(jì)方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù)，密碼、生物、電子信息、人工智能等領(lǐng)域?qū)野踩⒔?jīng)濟(jì)競爭實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù)；達(dá)到國家有關(guān)部門規(guī)定的規(guī)?；蛘呔鹊幕?、地理、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎(chǔ)數(shù)據(jù)等。

核心數(shù)據(jù)則是指關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù)。

《條例》規(guī)定各地區(qū)、各部門對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的數(shù)據(jù)進(jìn)行分類分級管理，并制訂重要數(shù)據(jù)和核心數(shù)據(jù)目錄，并報(bào)國家網(wǎng)信部門。

重要數(shù)據(jù)與核心數(shù)據(jù)處理的要求也更為細(xì)化。處理重要數(shù)據(jù)的系統(tǒng)原則上應(yīng)當(dāng)滿足三級以上網(wǎng)絡(luò)安全等級保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求，處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)規(guī)定從嚴(yán)保護(hù)。

此外，重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人，成立數(shù)據(jù)安全管理機(jī)構(gòu)；向網(wǎng)信部門備案；制定數(shù)據(jù)安全培訓(xùn)計(jì)劃以及向網(wǎng)信部門提供年度數(shù)據(jù)安全評估報(bào)告。

個(gè)人信息處理：以最短周期、最低頻次方式

“合法、正當(dāng)、必要”是處理個(gè)人信息的基本原則，《條例》對此進(jìn)行了細(xì)化，包括要求“限于實(shí)現(xiàn)處理目的最短周期、最低頻次，采取對個(gè)人權(quán)益影響最小的方式”。

清律律師事務(wù)所首席合伙人熊定中告訴21世紀(jì)經(jīng)濟(jì)報(bào)道記者，周期多短算短、頻次多低算低等的落地仍存在很大的彈性。

大成律師事務(wù)所高級合伙人鄧志松告訴記者，“最短周期”是對“必要”存儲時(shí)間的解釋。例如，國標(biāo)GB/T 35283-2020《個(gè)人信息安全規(guī)范》中“個(gè)人信息存儲時(shí)間最小化”的要求包括“個(gè)人信息存儲期限應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間”及“超出上述個(gè)人信息存儲期限后，應(yīng)對個(gè)人信息進(jìn)行刪除或匿名化處理”。

互聯(lián)網(wǎng)隱私專家王磊認(rèn)為，對APP隱私合規(guī)實(shí)際執(zhí)法的時(shí)候，會根據(jù)具體的場景判斷是否為最低頻次，比如每次點(diǎn)擊某個(gè)圖標(biāo)都收集一IMEI，會被判定為違規(guī)，但如果只第一次收集，則不算是違規(guī)。

《個(gè)人信息保護(hù)法》賦予了個(gè)人查閱、復(fù)制、更正、刪除等權(quán)利，《條例》中規(guī)定了個(gè)人信息處理者應(yīng)當(dāng)對個(gè)人行權(quán)提供支持。

值得注意的是，《條例》細(xì)化了刪除權(quán)的場景，對于“因使用自動(dòng)化采集技術(shù)等，無法避免采集到的非必要個(gè)人信息或者未經(jīng)個(gè)人同意的個(gè)人信息”，數(shù)據(jù)處理者應(yīng)當(dāng)在十五個(gè)工作日內(nèi)刪除個(gè)人信息或者進(jìn)行匿名化處理。

熊定中解釋道，比如做數(shù)字營銷的企業(yè)去抓取淘寶平臺特定商品的購買者評論，里面可能帶有買家的個(gè)人信息。這種企業(yè)或許沒打算利用收集的個(gè)人信息識別到特定自然人，只是做群體畫像用以研判市場趨勢，但按照這條規(guī)定，應(yīng)當(dāng)限期刪除?！斑@在實(shí)踐中會增加非常高的運(yùn)營成本，極難落地?！彼麖?qiáng)調(diào)。

此外，智能網(wǎng)聯(lián)汽車在行駛中收集的車外人員信息也屬于該條規(guī)定的情形。

平臺義務(wù)：應(yīng)建立算法策略披露制度

“互聯(lián)網(wǎng)平臺治理涉及到很多方面的問題，各國也都在從不同角度進(jìn)行探索?！稐l例》聚焦于互聯(lián)網(wǎng)平臺治理領(lǐng)域影響數(shù)據(jù)安全或與數(shù)據(jù)收集、使用有關(guān)的問題?！弊髸詶澲赋?。

《條例》設(shè)專章規(guī)定了互聯(lián)網(wǎng)平臺運(yùn)營者應(yīng)當(dāng)履行的數(shù)據(jù)安全相關(guān)義務(wù)，包括披露數(shù)據(jù)相關(guān)的平臺規(guī)則、隱私政策和算法策略制度，不得利用數(shù)據(jù)以及平臺規(guī)則實(shí)施不正當(dāng)競爭或限制，即時(shí)通信平臺間數(shù)據(jù)互通，履行個(gè)性化推薦安全義務(wù)等。

平臺規(guī)則、隱私政策等的制訂、變更不再是平臺自己的事情，而需面向社會征求意見，大型平臺還需經(jīng)第三方評估取得行政同意。

而對于日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運(yùn)營者，其平臺規(guī)則、隱私政策制定或者對用戶權(quán)益有重大影響的修訂的，應(yīng)當(dāng)經(jīng)國家網(wǎng)信部門認(rèn)定的第三方機(jī)構(gòu)評估，并報(bào)省級及以上網(wǎng)信部門和電信主管部門同意。

21世紀(jì)經(jīng)濟(jì)報(bào)道記者整理各公司財(cái)報(bào)數(shù)據(jù)發(fā)現(xiàn)，日活用戶超一億的平臺包括微信、淘寶、支付寶、抖音、今日頭條、百度App、快手、拼多多、微博、愛奇藝等。這也意味著這些大型平臺的運(yùn)營者以后要變更平臺規(guī)則等，或許將更為慎重。

但是何為“第三方”，不少專家表示《條例》規(guī)定得仍模糊。熊定中認(rèn)為，個(gè)人信息保護(hù)法中規(guī)定的是網(wǎng)信部門“支持有關(guān)機(jī)構(gòu)開展個(gè)人信息保護(hù)評估、認(rèn)證服務(wù)”。從“支持”變成“認(rèn)定”，是否有超出個(gè)保法授權(quán)范圍之外的嫌疑，值得探討。

不僅對個(gè)人信息處理、數(shù)據(jù)處理做出規(guī)定，《條例》還對算法推薦、互聯(lián)互通等深層問題提出要求。

大數(shù)據(jù)殺熟、差異定價(jià)等行為被禁止?！稐l例》要求：不得利用平臺收集掌握的用戶數(shù)據(jù)，無正當(dāng)理由對交易條件相同的用戶實(shí)施產(chǎn)品和服務(wù)差異化定價(jià)等損害用戶合法利益的行為；不得在平臺規(guī)則、算法、技術(shù)、流量分配等方面設(shè)置不合理的限制和障礙，限制平臺上的中小企業(yè)公平獲取平臺產(chǎn)生的行業(yè)、市場數(shù)據(jù)等，阻礙市場創(chuàng)新等。

鄧志松認(rèn)為，這體現(xiàn)了競爭法與數(shù)據(jù)相關(guān)法律的銜接。如此設(shè)置，一方面是因?yàn)?，促進(jìn)數(shù)據(jù)開發(fā)利用、保障數(shù)據(jù)依法有序自由流動(dòng)是《數(shù)據(jù)安全法》的立法目的之一，而前述行為阻礙了這一目的的實(shí)現(xiàn)，有必要予以規(guī)制；另一方面，也是因?yàn)椤稊?shù)安法》中出現(xiàn)了競爭法與數(shù)據(jù)法的銜接條款，而平臺經(jīng)濟(jì)領(lǐng)域數(shù)據(jù)相關(guān)的反競爭行為數(shù)量越來越多，關(guān)注度也越來越高，有必要在數(shù)據(jù)相關(guān)法律中予以強(qiáng)調(diào)。

對于近期討論熱度極高的“互聯(lián)互通”，《條例》也有回應(yīng)：互聯(lián)網(wǎng)平臺運(yùn)營者面向公眾提供即時(shí)通信服務(wù)的，應(yīng)當(dāng)按照國務(wù)院電信主管部門的規(guī)定，為其他互聯(lián)網(wǎng)平臺運(yùn)營者的即時(shí)通信服務(wù)提供數(shù)據(jù)接口，支持不同即時(shí)通信服務(wù)之間用戶數(shù)據(jù)互通，無正當(dāng)理由不得限制用戶訪問其他互聯(lián)網(wǎng)平臺以及向其他互聯(lián)網(wǎng)平臺傳輸文件。

如若該條保留至《條例》正式通過，則意味著對即時(shí)通信平臺運(yùn)營者數(shù)據(jù)互通的要求更為剛性。

此外，對于個(gè)性化推薦，《條例》要求保證推送信息的真實(shí)、準(zhǔn)確和來源合法，且需獲得個(gè)人單獨(dú)同意，需支持一鍵關(guān)閉推薦或刪除信息。