以數據安全為主線，廓清筑牢平臺規范發展的基線底線

2021年12月召開的中央經濟工作會議強調，必須堅持高質量發展，推動經濟實現質的穩步提升和量的合理增長。必須堅持穩中求進，堅持先立后破、穩扎穩打。必須加強統籌協調，堅持系統觀念。具體到數字平臺經濟領域，則是必須堅持安全與發展的統籌，在規范中發展，在發展中規范，實現穩中求進，可持續健康發展。

2021年10月29日，國家市場監督管理總局（以下簡稱市場監管總局）發布《互聯網平臺分類分級指南（征求意見稿）》與《互聯網平臺落實主體責任指南（征求意見稿）》，旨在規范互聯網平臺經營活動，推動平臺經濟健康發展；2021年11月14日，國家網信辦發布《網絡數據安全管理條例（征求意見稿）》，旨在規范網絡數據處理活動，保障數據安全，保護個人、組織在網絡空間的合法權益，維護國家安全、公共利益。這一系列征求意見稿的發布，對于保障平臺經濟活動中的數據安全，促進數據合法有效的流通具有重要意義。

2021年以來，與數據有關的法律法規密集出臺，其中最具代表性和專業性的當數《數據安全法》和《個人信息保護法》。前者確立了“發展與安全并重，以發展促進安全、以安全保障發展”的基本原則。這一原則在《網絡數據安全管理條例（征求意見稿）》第3條中得到進一步細化，提出在數據安全方面要加強數據安全防護能力建設，在數據利用方面要保障數據依法有序自由流動，突出在數據安全基礎上有序促進數據依法合理有效利用的立法目標。后者明確規定了不同主體在處理個人信息時應遵守的基本原則、規則及方式方法，為互聯網平臺規定了相應的保障和管理個人（數據）信息安全的義務與責任，進一步規范了個人（數據）信息的安全保護與開放利用問題。綜合以上相關立法和征求意見稿，可以發現，國家相關負責機構已大致勾勒出以數據安全為主線的互聯網平臺發展與規范圖景。

細化實化平臺處理一般數據安全保障義務

作為數據領域的基本法和專門法，《數據安全法》與《個人信息保護法》為數據處理者與個人信息處理者規定了數據與個人信息處理的基本原則、主要規則以及相應的方法措施，構筑起我國在互聯網領域，特別是針對平臺主體落實數據安全與合規使用的基本法治體系和實施機制。具體而言，《數據安全法》規定了如下方面的義務：

處理數據應依法依規進行。數據處理者應建立健全全流程數據安全管理制度。數據安全管理應覆蓋數據的來源、傳輸、存儲、使用、清理等各個環節。不同環節所面臨的風險不同，對應采取的保護措施也不相同。

應組織開展數據安全教育培訓。教育培訓可以與教育、科研機構和企業等主體合作進行，促進人才交流。

數據處理者可根據數據的重要程度、一旦發生安全事故造成的危害、處理數據的具體場景等因素，采取相應的技術措施等手段保護數據安全，避免對重要程度相對較低的數據采取較為嚴格的保護措施而阻礙其流通，浪費相應資源。

若是數據處理者利用信息網絡處理數據，則需在網絡安全等級保護制度的基礎上，履行數據安全保護義務?！毒W絡安全法》第21條具體規定了網絡安全等級保護制度。根據《信息安全技術網絡安全等級保護定級指南》的規定，網絡安全等級依據等級保護對象的重要程度等因素可具體分為五個等級。

對于處于未然狀態的風險，數據處理者應立即采取補救措施，阻止未然狀態的風險變為現實；而對已經發生的安全事件，則需立即采取補救措施，并告知用戶，向有關部門報告。

與之相關，在《個人信息保護法》中也規定，個人信息處理者應在內部管理制度、操作規程、操作權限、教育培訓、制定應急預案等方面加強數據安全保護工作，防止未經授權的訪問與個人信息的泄露、篡改、丟失等問題。同時，個人信息處理者也應當依據處理目的、方式、個人信息種類、可能存在的風險等因素，采取相應的加密、去標識化等安全技術措施。

可見，無論是在《數據安全法》還是在《個人信息保護法》之中，均重視通過分級分類制度、采取相應的保護措施等規定來統籌數據安全與數據利用，避免因過度的數據保護而導致有關主體假借數據安全之名行數據封鎖之實，加劇數據孤島、數據斷供、數據壟斷等現象。

《網絡數據安全管理條例（征求意見稿）》則針對有關主體，特別是平臺主體處理數據信息的安全保障方面的義務做了進一步的細化。

其一，明確了數據安全應當包含數據的完整性、保密性和可用性三個方面，可采取的安全措施包括備份、加密、訪問控制等。

其二，進一步落實應如何依據網絡安全等級保護的要求履行數據安全保護義務，具體應加強數據處理系統、數據傳輸網絡、數據存儲環境等方面的安防問題。

其三，細化了應如何面對潛在的或已經發生的數據安全有關風險。當數據處理者提供的產品或服務存在威脅國家安全、危害公共利益等方面的風險時，數據處理者同樣需要采取補救措施以及數據安全應急處置機制以應對潛在的風險。

其四，對數據爬取的問題進行了規定，爬取個人信息后必須在一定時間內將個人信息刪除或做匿名化處理，體現了對數據安全與數據利用的平衡兼顧。

規范壓實平臺處理重要數據的義務與責任

《數據安全法》確立了數據分類分級保護制度，根據數據的重要程度以及一旦遭受篡改、破壞、泄露或者非法獲取、非法利用造成的危害程度，分為一般數據、重要數據與核心數據三種類型。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據。然而《數據安全法》并未對重要數據予以定義，《網絡數據安全管理條例（征求意見稿）》則彌補了這一缺失，通過“概括+舉例”的方式，明確重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據，包含未公開的政務數據等七大類型。

在對重要數據的保護上，《數據安全法》明確有關部門應制定重要數據目錄，對重要數據加以保護。重要數據的處理者還應明確數據安全負責人和管理機構，定期對其數據處理活動展開風險評估并向有關部門發送評估報告?！毒W絡數據安全管理條例（征求意見稿）》與《互聯網平臺落實主體責任指南（征求意見稿）》則進一步細化了對重要數據的保護措施。

首先，細化了數據分類分級制度。各地區、各部門在制定重要數據目錄的基礎上，還應當制定核心數據目錄。

其次，處理重要數據的平臺應當配備相應的負責人員：處理重要數據的平臺應當明確數據安全負責人和管理機構，同時確立了數據安全負責人和管理機構的具體職責。

再次，明確了重要數據的保護方式。數據處理者應當使用密碼對重要數據和核心數據進行保護。明確了重要數據的識別、交易規則：重要數據的處理者，應當在識別其重要數據后的15個工作日內向有關部門備案；交易、委托、共享重要數據，數據處理者應當與另一方就處理數據的目的、范圍等問題作出約定，并保存相關記錄；數據處理者共享、交易、委托處理重要數據的，應當征得有關部門同意。

最后，在處理重要數據的基本原則上應滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求，處理核心數據的系統依照有關規定從嚴保護。

《個人信息保護法》則將個人信息中的敏感個人信息做了單獨的區分，對其處理規則作了特殊規定。相較于一般類型的個人信息，敏感個人信息一經泄露，更容易侵害自然人的人格尊嚴或人身、財產安全。只有在具備特定的目的與充分的必要，并采取嚴格保護措施的情況下，方可處理敏感個人信息。處理個人信息應當取得個人的單獨同意。

《網絡數據安全管理條例（征求意見稿）》進一步明確，處理敏感個人信息應取得個人的單獨同意，并具體到身份認證這一使用敏感個人信息的具體場景，明確數據處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。這就為進一步規范壓實數據處理者，特別是擁有海量復雜數據的互聯網平臺在保護數據安全和規范數據使用上的義務與責任，提供了科學的具有可操作性的規則與依據。

多法協同統籌平臺發展中數據安全與利用

區別于一般的數據處理者，互聯網平臺一方面通過提供“零價格”服務獲取用戶的數據，積累了大量數據資源用來優化產品、提升算法，進而獲取更高的市場份額。另一方面，數據資源也構筑了市場進入壁壘，初創企業相較于在位企業盡管可能具有技術與理念上的優勢，然而，受限于缺少相關的數據資源，可能難以進入相關市場。與此同時，平臺一旦占有大量數據，也有可能實施侵害消費者隱私的行為。《個人信息保護法》《互聯網平臺分類分級指南（征求意見稿）》《互聯網平臺落實主體責任指南（征求意見稿）》《網絡數據安全管理條例（征求意見稿）》中，均體現了互聯網平臺應在保障數據安全的基礎上，促進數據流通與分享，打破數據壟斷、突破數據封鎖的發展理念。

《網絡數據安全管理條例（征求意見稿）》將互聯網平臺運營者與大型平臺運營者進行了區分。其中大型互聯網平臺運營者用戶數量較多，社會動員能力和市場控制能力較強，還會處理大量個人信息與重要數據。相較于普通平臺，大型互聯網平臺運營者應當委托第三方每年對其數據安全、個人信息保護、數據開發利用等情況進行審計，清晰體現了我國兼顧數據安全與數據開發利用的規制思路。同時，《網絡數據安全管理條例（征求意見稿）》也依據平臺運營的業務內容，將提供即時通信服務的平臺運營者區分為提供個人通信和非個人通信，對個人通信的信息按照個人信息保護要求嚴格保護，非個人通信的信息按照公共信息有關規定進行管理，以分類施策來平衡平臺所負有的數據安全義務與享有的數據發展權益。

《互聯網平臺分類分級指南（征求意見稿）》則將互聯網平臺分為超級平臺、大型平臺、中小平臺三級。《互聯網平臺落實主體責任指南（征求意見稿）》則在此分級基礎上，重點對超大型平臺經營者的治理進行了規定。超大型平臺經營者一方面應加強數據管理、內部治理、風險評估與風險防控，提高平臺內經營者合法合規經營的意識，避免出現危害數據安全的行為；另一方面應積極發揮其公平競爭示范上的引領作用，在與平臺內其他經營者競爭時，無正當理由不可使用其他經營者或用戶產生的非公開數據。平臺自治應堅持平等治理，不得假借“治理”之名而實施“自我優待”行為?；诖?，互聯網平臺應在保障數據安全的基礎上，開放生態，努力推動不同平臺之間的互聯互通，促進數據的流通，促進市場上的創新。

《個人信息保護法》則對平臺發展所涉及的海量的個人（數據）信息的安全保護與合理利用提供了規制工具，體現了“保護優先”下平衡數據利用的治理思路。譬如《個人信息保護法》第45條所規定的個人信息可攜權，雖然是對于個人對其自身信息處分權利的豐富，但是也為作為主要的個人信息處理者的互聯網平臺如何合規開放與利用個人信息（數據）提供了切實可用的工具。

總體來看，我國已認識到并積極搭建促進平臺經濟規范發展、穩中求進的系統法治構造。為進一步厘清和處理好平臺發展中數據安全與開放利用的合理配位關系，需切實有效結合《數據安全法》《個人信息保護法》《互聯網平臺落實主體責任指南（征求意見稿）》《網絡數據安全管理條例（征求意見稿）》等文件，審慎權衡不同利益，結合數據行為發生的具體場景，針對不同類型、不同周期的數據采取相應的保護措施，對不同類型、不同級別的平臺賦予相應的數據安全保障與數據開放利用的義務與責任，搭建多法協同、多工具協力的數據治理體系，以數據安全為主線，廓清和筑牢平臺經濟規范發展的基線與底線。^[1]

---

[1] 原文首發于《第一財經日報》2021年12月23日第A11版，收錄時有調整。