在《數(shù)據(jù)安全法》施行僅2個多月、《個人信息保護法》剛剛落地生效之際，為回應網(wǎng)絡數(shù)據(jù)法治化治理的執(zhí)法和適法需求，一部更趨完備、更具可操作性的法律適用細則正呼之欲出。

11月14日，國家網(wǎng)信辦發(fā)布《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》（下稱“征求意見稿”），該征求意見稿共計9章75條，以《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等上位法為依據(jù)，明確建立數(shù)據(jù)分類分級保護制度，并進一步細化了以大型互聯(lián)網(wǎng)平臺運營者為代表的數(shù)據(jù)處理者對重要數(shù)據(jù)和核心數(shù)據(jù)的保護要求，以及相關的網(wǎng)絡安全審查情形，其征求意見的截止時間為2021年12月13日。

早在今年6月，此次征求意見的《網(wǎng)絡數(shù)據(jù)安全管理條例》就被列在國務院2021年度立法工作計劃當中，但當時擬定的名稱為《數(shù)據(jù)安全管理條例》。北京市京師律師事務所律師杜廣普在接受第一財經(jīng)采訪時稱，此次更名，體現(xiàn)了立法過程中的“抓大放小”，即針對互聯(lián)網(wǎng)平臺經(jīng)營者等數(shù)據(jù)處理者先行立法，突出了近期監(jiān)管部門的治理重點，也便于該條例更快落地。

北京師范大學網(wǎng)絡法治國際中心執(zhí)行主任吳沈括進一步對第一財經(jīng)表示，該征求意見稿中有關個人信息保護、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺運營者義務等方面的細化規(guī)定，對于互聯(lián)網(wǎng)平臺經(jīng)營者的合規(guī)風控工作將產(chǎn)生廣泛指引意義。待其落地之后，可以對互聯(lián)網(wǎng)產(chǎn)業(yè)和數(shù)字生態(tài)、數(shù)字經(jīng)濟帶來深度的、生態(tài)性的重組和改造。

建立數(shù)據(jù)分類分級保護制度

征求意見稿提出，國家建立數(shù)據(jù)分類分級保護制度。按照數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級別的數(shù)據(jù)采取不同的保護措施。

其中，國家對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行嚴格保護。

中國信息通信研究院云計算與大數(shù)據(jù)研究所人工智能部工程師呼娜英對第一財經(jīng)稱，作為正在施行的兩部上位法，網(wǎng)安法的網(wǎng)絡安全等級保護制度中已提出了數(shù)據(jù)分類，數(shù)安法中則提出重要數(shù)據(jù)保護目錄以及核心數(shù)據(jù)兩大重要概念。征求意見稿是在網(wǎng)安法、數(shù)安法的基礎上，進一步明確，國家要針對個人信息權益進行重點保護。

在數(shù)據(jù)安全法第三章第二十一條中，原則性規(guī)定了數(shù)據(jù)分類分級的依據(jù)為在經(jīng)濟社會發(fā)展中的重要程度和遭到篡改、泄露等情形時的危害程度。其中，“關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)”被列為國家核心數(shù)據(jù)，征求意見稿對于“核心數(shù)據(jù)”的定義與之保持一致。

但對于“重要數(shù)據(jù)”的范疇，數(shù)據(jù)安全法并未做出具體界定。

征求意見稿在上述法律的基礎上進行細化。其中明確，重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)，共包括7類，如在密碼、生物、電子信息、人工智能等領域對國家安全、經(jīng)濟競爭實力有直接影響的科學技術成果數(shù)據(jù)為代表的出口管制數(shù)據(jù)；電信、能源、金融等重點行業(yè)和領域安全生產(chǎn)、運行的數(shù)據(jù)；國家基礎設施、關鍵信息基礎設施建設運行及其安全數(shù)據(jù)等。

中國人民大學數(shù)字經(jīng)濟跨學科交叉平臺首席專家李三希對第一財經(jīng)表示，此類數(shù)據(jù)的共同特征是與產(chǎn)業(yè)數(shù)字化轉型及高質量發(fā)展密切相關，將有助于我國產(chǎn)業(yè)鏈供應鏈的自主安全發(fā)展。

由于不同行業(yè)、不同地區(qū)數(shù)據(jù)分類分級的具體規(guī)則和考慮因素差異巨大，重要數(shù)據(jù)具體目錄和具體分類分級保護制度的制定權限被予以下放。征求意見稿稱，按照國家數(shù)據(jù)分類分級要求，各地區(qū)、各部門應對本地區(qū)、本部門以及相關行業(yè)、領域的數(shù)據(jù)進行分類分級管理。

大型互聯(lián)網(wǎng)平臺面臨更嚴“數(shù)據(jù)出境”監(jiān)管

考慮到港股市場的強大活力以及中國針對跨境數(shù)據(jù)安全的監(jiān)管加強，相較于網(wǎng)信辦于7月10日發(fā)布的《網(wǎng)絡安全審查辦法（修訂草案征求意見稿）》，征求意見稿進一步細化并補充了網(wǎng)絡安全審查的對象，并增設了大型互聯(lián)網(wǎng)平臺的義務。

根據(jù)征求意見稿第十三條，數(shù)據(jù)處理者赴中國香港上市，影響或者可能影響國家安全的，應當按照國家有關規(guī)定，申報網(wǎng)絡安全審查。

而在上述《網(wǎng)絡安全審查辦法（修訂草案征求意見稿）》中，對于數(shù)據(jù)出境的安全審查僅包含“對于處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的”，并未涉及赴中國香港上市的情形。

網(wǎng)絡安全領域資深學者、中國社會科學院經(jīng)濟學博士方燕告訴第一財經(jīng)，在全球復雜多變的形勢下，內地有更多IPO的企業(yè)紛紛去中國香港上市，征求意見稿彌補了此前《網(wǎng)絡安全審查辦法（修訂草案征求意見稿）》中的不完備之處，即數(shù)據(jù)安全審查原則不僅限于“數(shù)據(jù)出國”，也涵蓋“數(shù)據(jù)出境”。

事實上，在 10月29日印發(fā)的《數(shù)據(jù)出境安全評估辦法（征求意見稿）》中，已經(jīng)將需申報安全評估的對象，從開展數(shù)據(jù)出國活動的數(shù)據(jù)處理者延伸至開展數(shù)據(jù)出境活動的數(shù)據(jù)處理者，這與該征求意見稿所指對象一致。

此外，對于數(shù)據(jù)跨境安全管理方面，征求意見稿第十三條還對大型互聯(lián)網(wǎng)平臺運營者提出安全審查要求，即“大型互聯(lián)網(wǎng)平臺運營者在境外設立總部或者運營中心、研發(fā)中心，應當向國家網(wǎng)信部門和主管部門報告。”

李三希指出，相比企業(yè)及平臺運營者而言，國家網(wǎng)信部門或主管部門對國內外的數(shù)據(jù)安全保護政策都更為清晰，通過向相關監(jiān)管部門申報的方式，可以幫助出海企業(yè)規(guī)避相關風險。同時，做好事前備案工作也有助于企業(yè)應對國際形勢變化。

但對于該條目的監(jiān)管主體——“大型互聯(lián)網(wǎng)平臺運營者”，多名受訪人士指出，或值得進一步商榷。

方燕認為，在“其他影響或者可能影響國家安全的數(shù)據(jù)處理活動”中，如果僅針對互聯(lián)網(wǎng)企業(yè)，其主體設定或偏窄。比如，一些具有一定規(guī)模的電信運營商、智能終端制造商等也在境外設立了研發(fā)中心或運營中心，并同樣掌握海量數(shù)據(jù)，這類對象也應被納入安全審查。

杜廣普則認為，征求意見稿中界定的“大型互聯(lián)網(wǎng)平臺運營者”這一概念，有一定的不合理之處。

根據(jù)征求意見稿第七十三條，“大型互聯(lián)網(wǎng)平臺運營者是指用戶超過五千萬、處理大量個人信息和重要數(shù)據(jù)、具有強大社會動員能力和市場支配地位的互聯(lián)網(wǎng)平臺運營者”。

“從上述定義可以看出，大型互聯(lián)網(wǎng)平臺經(jīng)營者需要同時滿足4個維度的條件。其中，前三個條件，即用戶、信息和社會動員方面的判定可能較為容易一些，而第四點‘市場支配地位’相對可能較難判斷。”杜廣普稱。

他進一步稱，根據(jù)當前的立法及實踐，“市場支配地位”主要是《反壟斷法》項下的術語。判斷經(jīng)營者是否具有市場支配地位，通常是由反壟斷執(zhí)法機構或法院在具體個案中結合相關證據(jù)，在準確界定相關市場之后，綜合考量多種因素進行認定或推定，具有比較高的專業(yè)性和難度。此外，即使一個經(jīng)營者在一個案件中被認定具有市場支配地位，這種認定也可能隨著時間的推移、經(jīng)營者內外部環(huán)境變化而發(fā)生變化。

“由此可見，‘大型互聯(lián)網(wǎng)平臺經(jīng)營者’這一重要‘身份’的認定具有不確定性，實際操作上可能會面臨比較大的挑戰(zhàn)。”杜廣普稱。

除了“大型互聯(lián)網(wǎng)平臺運營者”這一概念，呼娜英還表示，在個人信息保護方面，征求意見稿也有一些措辭上或需要進一步統(tǒng)一或解釋，比如，數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，其與個保法中規(guī)定的處理敏感個人信息的事前影響評估，應是基于同一種事前評估的本意，建議統(tǒng)一措辭。

“總體上來看，征求意見稿對于互聯(lián)網(wǎng)平臺運營者，尤其是大型互聯(lián)網(wǎng)平臺運營者設立了較多監(jiān)管措施，有利于細化并落實三部上位法。但其中有些條目內容或存在與此前法律法規(guī)不相一致的地方，征求意見稿中更新創(chuàng)設的表述有待進一步厘清與明確。”呼娜英稱。

標簽： 網(wǎng)絡數(shù)據(jù)安全 互聯(lián)網(wǎng)平臺 數(shù)據(jù)出境 數(shù)據(jù)分類分級