11月14日，國家互聯(lián)網(wǎng)信息辦公布了《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》（以下簡稱《條例》）。

受訪專家指出，《條例》明確了中國數(shù)據(jù)監(jiān)管“三法合一”思路，執(zhí)行、細化、補充了《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》和《個人信息保護法》三部上位法的規(guī)定，進一步增強了數(shù)據(jù)安全法律體系的完備性和可操作性。

《條例》對數(shù)據(jù)分類分級、個人信息保護、個人行權、互聯(lián)網(wǎng)平臺運營者義務做出了較為細致的規(guī)定。

其中對日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運營者課以更多義務：平臺規(guī)則、隱私政策制定或者對用戶權益有重大影響的修訂的，應當經(jīng)國家網(wǎng)信部門認定的第三方機構評估，并報省級及以上網(wǎng)信部門和電信主管部門同意。這也意味著大型平臺規(guī)則等的變更不再是平臺自己的事情，而具備一定的公共屬性，需要經(jīng)過評估以及主管部門同意。

對于近期討論熱度極高的互聯(lián)互通、算法策略披露、個性化推薦等，《條例》也都有了回應。

數(shù)據(jù)分類分級：制訂重要數(shù)據(jù)目錄并報備

該《條例》級別高，被列入國務院2021年立法計劃。今年數(shù)據(jù)、網(wǎng)絡安全等相關政策密集，但是中國信息安全研究院副院長左曉棟指出，和今年其他文件比，《條例》規(guī)格更高，相當于航空母艦。尤其是伴隨著《數(shù)據(jù)安全法》和《個人信息保護法》的落地，《條例》將作為數(shù)據(jù)管理的重要實施規(guī)則。

《條例》明確了數(shù)據(jù)分類分級保護制度，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。

重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。包括：未公開的政務數(shù)據(jù)、工作秘密、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)；出口管制物項涉及的核心技術、設計方案、生產(chǎn)工藝等相關的數(shù)據(jù)，密碼、生物、電子信息、人工智能等領域?qū)野踩?、?jīng)濟競爭實力有直接影響的科學技術成果數(shù)據(jù)；達到國家有關部門規(guī)定的規(guī)?；蛘呔鹊幕颉⒌乩?、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎數(shù)據(jù)等。

核心數(shù)據(jù)則是指關系國家安全、國民經(jīng)濟命脈、重要民生和重大公共利益等的數(shù)據(jù)。

《條例》規(guī)定各地區(qū)、各部門對本地區(qū)、本部門以及相關行業(yè)、領域的數(shù)據(jù)進行分類分級管理，并制訂重要數(shù)據(jù)和核心數(shù)據(jù)目錄，并報國家網(wǎng)信部門。

重要數(shù)據(jù)與核心數(shù)據(jù)處理的要求也更為細化。處理重要數(shù)據(jù)的系統(tǒng)原則上應當滿足三級以上網(wǎng)絡安全等級保護和關鍵信息基礎設施安全保護要求，處理核心數(shù)據(jù)的系統(tǒng)依照有關規(guī)定從嚴保護。

此外，重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人，成立數(shù)據(jù)安全管理機構；向網(wǎng)信部門備案；制定數(shù)據(jù)安全培訓計劃以及向網(wǎng)信部門提供年度數(shù)據(jù)安全評估報告。

個人信息處理：以最短周期、最低頻次方式

“合法、正當、必要”是處理個人信息的基本原則，《條例》對此進行了細化，包括要求“限于實現(xiàn)處理目的最短周期、最低頻次，采取對個人權益影響最小的方式”。

清律律師事務所首席合伙人熊定中告訴21世紀經(jīng)濟報道記者，周期多短算短、頻次多低算低等的落地仍存在很大的彈性。

大成律師事務所高級合伙人鄧志松告訴記者，“最短周期”是對“必要”存儲時間的解釋。例如，國標GB/T 35283-2020《個人信息安全規(guī)范》中“個人信息存儲時間最小化”的要求包括“個人信息存儲期限應為實現(xiàn)個人信息主體授權使用的目的所必需的最短時間”及“超出上述個人信息存儲期限后，應對個人信息進行刪除或匿名化處理”。

互聯(lián)網(wǎng)隱私專家王磊認為，對APP隱私合規(guī)實際執(zhí)法的時候，會根據(jù)具體的場景判斷是否為最低頻次，比如每次點擊某個圖標都收集一IMEI，會被判定為違規(guī)，但如果只第一次收集，則不算是違規(guī)。

《個人信息保護法》賦予了個人查閱、復制、更正、刪除等權利，《條例》中規(guī)定了個人信息處理者應當對個人行權提供支持。

值得注意的是，《條例》細化了刪除權的場景，對于“因使用自動化采集技術等，無法避免采集到的非必要個人信息或者未經(jīng)個人同意的個人信息”，數(shù)據(jù)處理者應當在十五個工作日內(nèi)刪除個人信息或者進行匿名化處理。

熊定中解釋道，比如做數(shù)字營銷的企業(yè)去抓取淘寶平臺特定商品的購買者評論，里面可能帶有買家的個人信息。這種企業(yè)或許沒打算利用收集的個人信息識別到特定自然人，只是做群體畫像用以研判市場趨勢，但按照這條規(guī)定，應當限期刪除?！斑@在實踐中會增加非常高的運營成本，極難落地?！彼麖娬{(diào)。

此外，智能網(wǎng)聯(lián)汽車在行駛中收集的車外人員信息也屬于該條規(guī)定的情形。

平臺義務：應建立算法策略披露制度

“互聯(lián)網(wǎng)平臺治理涉及到很多方面的問題，各國也都在從不同角度進行探索?！稐l例》聚焦于互聯(lián)網(wǎng)平臺治理領域影響數(shù)據(jù)安全或與數(shù)據(jù)收集、使用有關的問題?！弊髸詶澲赋?。

《條例》設專章規(guī)定了互聯(lián)網(wǎng)平臺運營者應當履行的數(shù)據(jù)安全相關義務，包括披露數(shù)據(jù)相關的平臺規(guī)則、隱私政策和算法策略制度，不得利用數(shù)據(jù)以及平臺規(guī)則實施不正當競爭或限制，即時通信平臺間數(shù)據(jù)互通，履行個性化推薦安全義務等。

平臺規(guī)則、隱私政策等的制訂、變更不再是平臺自己的事情，而需面向社會征求意見，大型平臺還需經(jīng)第三方評估取得行政同意。

而對于日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運營者，其平臺規(guī)則、隱私政策制定或者對用戶權益有重大影響的修訂的，應當經(jīng)國家網(wǎng)信部門認定的第三方機構評估，并報省級及以上網(wǎng)信部門和電信主管部門同意。

21世紀經(jīng)濟報道記者整理各公司財報數(shù)據(jù)發(fā)現(xiàn)，日活用戶超一億的平臺包括微信、淘寶、支付寶、抖音、今日頭條、百度App、快手、拼多多、微博、愛奇藝等。這也意味著這些大型平臺的運營者以后要變更平臺規(guī)則等，或許將更為慎重。

但是何為“第三方”，不少專家表示《條例》規(guī)定得仍模糊。熊定中認為，個人信息保護法中規(guī)定的是網(wǎng)信部門“支持有關機構開展個人信息保護評估、認證服務”。從“支持”變成“認定”，是否有超出個保法授權范圍之外的嫌疑，值得探討。

不僅對個人信息處理、數(shù)據(jù)處理做出規(guī)定，《條例》還對算法推薦、互聯(lián)互通等深層問題提出要求。

大數(shù)據(jù)殺熟、差異定價等行為被禁止。《條例》要求：不得利用平臺收集掌握的用戶數(shù)據(jù)，無正當理由對交易條件相同的用戶實施產(chǎn)品和服務差異化定價等損害用戶合法利益的行為；不得在平臺規(guī)則、算法、技術、流量分配等方面設置不合理的限制和障礙，限制平臺上的中小企業(yè)公平獲取平臺產(chǎn)生的行業(yè)、市場數(shù)據(jù)等，阻礙市場創(chuàng)新等。

鄧志松認為，這體現(xiàn)了競爭法與數(shù)據(jù)相關法律的銜接。如此設置，一方面是因為，促進數(shù)據(jù)開發(fā)利用、保障數(shù)據(jù)依法有序自由流動是《數(shù)據(jù)安全法》的立法目的之一，而前述行為阻礙了這一目的的實現(xiàn)，有必要予以規(guī)制；另一方面，也是因為《數(shù)安法》中出現(xiàn)了競爭法與數(shù)據(jù)法的銜接條款，而平臺經(jīng)濟領域數(shù)據(jù)相關的反競爭行為數(shù)量越來越多，關注度也越來越高，有必要在數(shù)據(jù)相關法律中予以強調(diào)。

對于近期討論熱度極高的“互聯(lián)互通”，《條例》也有回應：互聯(lián)網(wǎng)平臺運營者面向公眾提供即時通信服務的，應當按照國務院電信主管部門的規(guī)定，為其他互聯(lián)網(wǎng)平臺運營者的即時通信服務提供數(shù)據(jù)接口，支持不同即時通信服務之間用戶數(shù)據(jù)互通，無正當理由不得限制用戶訪問其他互聯(lián)網(wǎng)平臺以及向其他互聯(lián)網(wǎng)平臺傳輸文件。

如若該條保留至《條例》正式通過，則意味著對即時通信平臺運營者數(shù)據(jù)互通的要求更為剛性。

此外，對于個性化推薦，《條例》要求保證推送信息的真實、準確和來源合法，且需獲得個人單獨同意，需支持一鍵關閉推薦或刪除信息。