以數(shù)據(jù)安全為主線，廓清筑牢平臺規(guī)范發(fā)展的基線底線

2021年12月召開的中央經(jīng)濟工作會議強調(diào)，必須堅持高質(zhì)量發(fā)展，推動經(jīng)濟實現(xiàn)質(zhì)的穩(wěn)步提升和量的合理增長。必須堅持穩(wěn)中求進，堅持先立后破、穩(wěn)扎穩(wěn)打。必須加強統(tǒng)籌協(xié)調(diào)，堅持系統(tǒng)觀念。具體到數(shù)字平臺經(jīng)濟領(lǐng)域，則是必須堅持安全與發(fā)展的統(tǒng)籌，在規(guī)范中發(fā)展，在發(fā)展中規(guī)范，實現(xiàn)穩(wěn)中求進，可持續(xù)健康發(fā)展。

2021年10月29日，國家市場監(jiān)督管理總局（以下簡稱市場監(jiān)管總局）發(fā)布《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》與《互聯(lián)網(wǎng)平臺落實主體責任指南（征求意見稿）》，旨在規(guī)范互聯(lián)網(wǎng)平臺經(jīng)營活動，推動平臺經(jīng)濟健康發(fā)展；2021年11月14日，國家網(wǎng)信辦發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》，旨在規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，保護個人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護國家安全、公共利益。這一系列征求意見稿的發(fā)布，對于保障平臺經(jīng)濟活動中的數(shù)據(jù)安全，促進數(shù)據(jù)合法有效的流通具有重要意義。

2021年以來，與數(shù)據(jù)有關(guān)的法律法規(guī)密集出臺，其中最具代表性和專業(yè)性的當數(shù)《數(shù)據(jù)安全法》和《個人信息保護法》。前者確立了“發(fā)展與安全并重，以發(fā)展促進安全、以安全保障發(fā)展”的基本原則。這一原則在《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第3條中得到進一步細化，提出在數(shù)據(jù)安全方面要加強數(shù)據(jù)安全防護能力建設(shè)，在數(shù)據(jù)利用方面要保障數(shù)據(jù)依法有序自由流動，突出在數(shù)據(jù)安全基礎(chǔ)上有序促進數(shù)據(jù)依法合理有效利用的立法目標。后者明確規(guī)定了不同主體在處理個人信息時應遵守的基本原則、規(guī)則及方式方法，為互聯(lián)網(wǎng)平臺規(guī)定了相應的保障和管理個人（數(shù)據(jù)）信息安全的義務與責任，進一步規(guī)范了個人（數(shù)據(jù)）信息的安全保護與開放利用問題。綜合以上相關(guān)立法和征求意見稿，可以發(fā)現(xiàn)，國家相關(guān)負責機構(gòu)已大致勾勒出以數(shù)據(jù)安全為主線的互聯(lián)網(wǎng)平臺發(fā)展與規(guī)范圖景。

細化實化平臺處理一般數(shù)據(jù)安全保障義務

作為數(shù)據(jù)領(lǐng)域的基本法和專門法，《數(shù)據(jù)安全法》與《個人信息保護法》為數(shù)據(jù)處理者與個人信息處理者規(guī)定了數(shù)據(jù)與個人信息處理的基本原則、主要規(guī)則以及相應的方法措施，構(gòu)筑起我國在互聯(lián)網(wǎng)領(lǐng)域，特別是針對平臺主體落實數(shù)據(jù)安全與合規(guī)使用的基本法治體系和實施機制。具體而言，《數(shù)據(jù)安全法》規(guī)定了如下方面的義務：

處理數(shù)據(jù)應依法依規(guī)進行。數(shù)據(jù)處理者應建立健全全流程數(shù)據(jù)安全管理制度。數(shù)據(jù)安全管理應覆蓋數(shù)據(jù)的來源、傳輸、存儲、使用、清理等各個環(huán)節(jié)。不同環(huán)節(jié)所面臨的風險不同，對應采取的保護措施也不相同。

應組織開展數(shù)據(jù)安全教育培訓。教育培訓可以與教育、科研機構(gòu)和企業(yè)等主體合作進行，促進人才交流。

數(shù)據(jù)處理者可根據(jù)數(shù)據(jù)的重要程度、一旦發(fā)生安全事故造成的危害、處理數(shù)據(jù)的具體場景等因素，采取相應的技術(shù)措施等手段保護數(shù)據(jù)安全，避免對重要程度相對較低的數(shù)據(jù)采取較為嚴格的保護措施而阻礙其流通，浪費相應資源。

若是數(shù)據(jù)處理者利用信息網(wǎng)絡(luò)處理數(shù)據(jù)，則需在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行數(shù)據(jù)安全保護義務。《網(wǎng)絡(luò)安全法》第21條具體規(guī)定了網(wǎng)絡(luò)安全等級保護制度。根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》的規(guī)定，網(wǎng)絡(luò)安全等級依據(jù)等級保護對象的重要程度等因素可具體分為五個等級。

對于處于未然狀態(tài)的風險，數(shù)據(jù)處理者應立即采取補救措施，阻止未然狀態(tài)的風險變?yōu)楝F(xiàn)實；而對已經(jīng)發(fā)生的安全事件，則需立即采取補救措施，并告知用戶，向有關(guān)部門報告。

與之相關(guān)，在《個人信息保護法》中也規(guī)定，個人信息處理者應在內(nèi)部管理制度、操作規(guī)程、操作權(quán)限、教育培訓、制定應急預案等方面加強數(shù)據(jù)安全保護工作，防止未經(jīng)授權(quán)的訪問與個人信息的泄露、篡改、丟失等問題。同時，個人信息處理者也應當依據(jù)處理目的、方式、個人信息種類、可能存在的風險等因素，采取相應的加密、去標識化等安全技術(shù)措施。

可見，無論是在《數(shù)據(jù)安全法》還是在《個人信息保護法》之中，均重視通過分級分類制度、采取相應的保護措施等規(guī)定來統(tǒng)籌數(shù)據(jù)安全與數(shù)據(jù)利用，避免因過度的數(shù)據(jù)保護而導致有關(guān)主體假借數(shù)據(jù)安全之名行數(shù)據(jù)封鎖之實，加劇數(shù)據(jù)孤島、數(shù)據(jù)斷供、數(shù)據(jù)壟斷等現(xiàn)象。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》則針對有關(guān)主體，特別是平臺主體處理數(shù)據(jù)信息的安全保障方面的義務做了進一步的細化。

其一，明確了數(shù)據(jù)安全應當包含數(shù)據(jù)的完整性、保密性和可用性三個方面，可采取的安全措施包括備份、加密、訪問控制等。

其二，進一步落實應如何依據(jù)網(wǎng)絡(luò)安全等級保護的要求履行數(shù)據(jù)安全保護義務，具體應加強數(shù)據(jù)處理系統(tǒng)、數(shù)據(jù)傳輸網(wǎng)絡(luò)、數(shù)據(jù)存儲環(huán)境等方面的安防問題。

其三，細化了應如何面對潛在的或已經(jīng)發(fā)生的數(shù)據(jù)安全有關(guān)風險。當數(shù)據(jù)處理者提供的產(chǎn)品或服務存在威脅國家安全、危害公共利益等方面的風險時，數(shù)據(jù)處理者同樣需要采取補救措施以及數(shù)據(jù)安全應急處置機制以應對潛在的風險。

其四，對數(shù)據(jù)爬取的問題進行了規(guī)定，爬取個人信息后必須在一定時間內(nèi)將個人信息刪除或做匿名化處理，體現(xiàn)了對數(shù)據(jù)安全與數(shù)據(jù)利用的平衡兼顧。

規(guī)范壓實平臺處理重要數(shù)據(jù)的義務與責任

《數(shù)據(jù)安全法》確立了數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)的重要程度以及一旦遭受篡改、破壞、泄露或者非法獲取、非法利用造成的危害程度，分為一般數(shù)據(jù)、重要數(shù)據(jù)與核心數(shù)據(jù)三種類型。關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)。然而《數(shù)據(jù)安全法》并未對重要數(shù)據(jù)予以定義，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》則彌補了這一缺失，通過“概括+舉例”的方式，明確重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)，包含未公開的政務數(shù)據(jù)等七大類型。

在對重要數(shù)據(jù)的保護上，《數(shù)據(jù)安全法》明確有關(guān)部門應制定重要數(shù)據(jù)目錄，對重要數(shù)據(jù)加以保護。重要數(shù)據(jù)的處理者還應明確數(shù)據(jù)安全負責人和管理機構(gòu)，定期對其數(shù)據(jù)處理活動展開風險評估并向有關(guān)部門發(fā)送評估報告。《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》與《互聯(lián)網(wǎng)平臺落實主體責任指南（征求意見稿）》則進一步細化了對重要數(shù)據(jù)的保護措施。

首先，細化了數(shù)據(jù)分類分級制度。各地區(qū)、各部門在制定重要數(shù)據(jù)目錄的基礎(chǔ)上，還應當制定核心數(shù)據(jù)目錄。

其次，處理重要數(shù)據(jù)的平臺應當配備相應的負責人員：處理重要數(shù)據(jù)的平臺應當明確數(shù)據(jù)安全負責人和管理機構(gòu)，同時確立了數(shù)據(jù)安全負責人和管理機構(gòu)的具體職責。

再次，明確了重要數(shù)據(jù)的保護方式。數(shù)據(jù)處理者應當使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進行保護。明確了重要數(shù)據(jù)的識別、交易規(guī)則：重要數(shù)據(jù)的處理者，應當在識別其重要數(shù)據(jù)后的15個工作日內(nèi)向有關(guān)部門備案；交易、委托、共享重要數(shù)據(jù)，數(shù)據(jù)處理者應當與另一方就處理數(shù)據(jù)的目的、范圍等問題作出約定，并保存相關(guān)記錄；數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的，應當征得有關(guān)部門同意。

最后，在處理重要數(shù)據(jù)的基本原則上應滿足三級以上網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求，處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)規(guī)定從嚴保護。

《個人信息保護法》則將個人信息中的敏感個人信息做了單獨的區(qū)分，對其處理規(guī)則作了特殊規(guī)定。相較于一般類型的個人信息，敏感個人信息一經(jīng)泄露，更容易侵害自然人的人格尊嚴或人身、財產(chǎn)安全。只有在具備特定的目的與充分的必要，并采取嚴格保護措施的情況下，方可處理敏感個人信息。處理個人信息應當取得個人的單獨同意。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》進一步明確，處理敏感個人信息應取得個人的單獨同意，并具體到身份認證這一使用敏感個人信息的具體場景，明確數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。這就為進一步規(guī)范壓實數(shù)據(jù)處理者，特別是擁有海量復雜數(shù)據(jù)的互聯(lián)網(wǎng)平臺在保護數(shù)據(jù)安全和規(guī)范數(shù)據(jù)使用上的義務與責任，提供了科學的具有可操作性的規(guī)則與依據(jù)。

多法協(xié)同統(tǒng)籌平臺發(fā)展中數(shù)據(jù)安全與利用

區(qū)別于一般的數(shù)據(jù)處理者，互聯(lián)網(wǎng)平臺一方面通過提供“零價格”服務獲取用戶的數(shù)據(jù)，積累了大量數(shù)據(jù)資源用來優(yōu)化產(chǎn)品、提升算法，進而獲取更高的市場份額。另一方面，數(shù)據(jù)資源也構(gòu)筑了市場進入壁壘，初創(chuàng)企業(yè)相較于在位企業(yè)盡管可能具有技術(shù)與理念上的優(yōu)勢，然而，受限于缺少相關(guān)的數(shù)據(jù)資源，可能難以進入相關(guān)市場。與此同時，平臺一旦占有大量數(shù)據(jù)，也有可能實施侵害消費者隱私的行為。《個人信息保護法》《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》《互聯(lián)網(wǎng)平臺落實主體責任指南（征求意見稿）》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》中，均體現(xiàn)了互聯(lián)網(wǎng)平臺應在保障數(shù)據(jù)安全的基礎(chǔ)上，促進數(shù)據(jù)流通與分享，打破數(shù)據(jù)壟斷、突破數(shù)據(jù)封鎖的發(fā)展理念。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》將互聯(lián)網(wǎng)平臺運營者與大型平臺運營者進行了區(qū)分。其中大型互聯(lián)網(wǎng)平臺運營者用戶數(shù)量較多，社會動員能力和市場控制能力較強，還會處理大量個人信息與重要數(shù)據(jù)。相較于普通平臺，大型互聯(lián)網(wǎng)平臺運營者應當委托第三方每年對其數(shù)據(jù)安全、個人信息保護、數(shù)據(jù)開發(fā)利用等情況進行審計，清晰體現(xiàn)了我國兼顧數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用的規(guī)制思路。同時，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》也依據(jù)平臺運營的業(yè)務內(nèi)容，將提供即時通信服務的平臺運營者區(qū)分為提供個人通信和非個人通信，對個人通信的信息按照個人信息保護要求嚴格保護，非個人通信的信息按照公共信息有關(guān)規(guī)定進行管理，以分類施策來平衡平臺所負有的數(shù)據(jù)安全義務與享有的數(shù)據(jù)發(fā)展權(quán)益。

《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》則將互聯(lián)網(wǎng)平臺分為超級平臺、大型平臺、中小平臺三級。《互聯(lián)網(wǎng)平臺落實主體責任指南（征求意見稿）》則在此分級基礎(chǔ)上，重點對超大型平臺經(jīng)營者的治理進行了規(guī)定。超大型平臺經(jīng)營者一方面應加強數(shù)據(jù)管理、內(nèi)部治理、風險評估與風險防控，提高平臺內(nèi)經(jīng)營者合法合規(guī)經(jīng)營的意識，避免出現(xiàn)危害數(shù)據(jù)安全的行為；另一方面應積極發(fā)揮其公平競爭示范上的引領(lǐng)作用，在與平臺內(nèi)其他經(jīng)營者競爭時，無正當理由不可使用其他經(jīng)營者或用戶產(chǎn)生的非公開數(shù)據(jù)。平臺自治應堅持平等治理，不得假借“治理”之名而實施“自我優(yōu)待”行為。基于此，互聯(lián)網(wǎng)平臺應在保障數(shù)據(jù)安全的基礎(chǔ)上，開放生態(tài)，努力推動不同平臺之間的互聯(lián)互通，促進數(shù)據(jù)的流通，促進市場上的創(chuàng)新。

《個人信息保護法》則對平臺發(fā)展所涉及的海量的個人（數(shù)據(jù)）信息的安全保護與合理利用提供了規(guī)制工具，體現(xiàn)了“保護優(yōu)先”下平衡數(shù)據(jù)利用的治理思路。譬如《個人信息保護法》第45條所規(guī)定的個人信息可攜權(quán)，雖然是對于個人對其自身信息處分權(quán)利的豐富，但是也為作為主要的個人信息處理者的互聯(lián)網(wǎng)平臺如何合規(guī)開放與利用個人信息（數(shù)據(jù)）提供了切實可用的工具。

總體來看，我國已認識到并積極搭建促進平臺經(jīng)濟規(guī)范發(fā)展、穩(wěn)中求進的系統(tǒng)法治構(gòu)造。為進一步厘清和處理好平臺發(fā)展中數(shù)據(jù)安全與開放利用的合理配位關(guān)系，需切實有效結(jié)合《數(shù)據(jù)安全法》《個人信息保護法》《互聯(lián)網(wǎng)平臺落實主體責任指南（征求意見稿）》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》等文件，審慎權(quán)衡不同利益，結(jié)合數(shù)據(jù)行為發(fā)生的具體場景，針對不同類型、不同周期的數(shù)據(jù)采取相應的保護措施，對不同類型、不同級別的平臺賦予相應的數(shù)據(jù)安全保障與數(shù)據(jù)開放利用的義務與責任，搭建多法協(xié)同、多工具協(xié)力的數(shù)據(jù)治理體系，以數(shù)據(jù)安全為主線，廓清和筑牢平臺經(jīng)濟規(guī)范發(fā)展的基線與底線。^[1]

---

[1] 原文首發(fā)于《第一財經(jīng)日報》2021年12月23日第A11版，收錄時有調(diào)整。