为维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全，国家互联网信息办公室（“网信办”）于２０１９年５月２８日发布《数据安全管理办法（征求意见稿）》（“征求意见稿”），向社会公开征求意见。征求意见稿在《网络安全法》的基础上，进一步从数据的收集、处理使用和安全监督管理等方面规定了网络运营者的数据安全保护义务。

鉴于在中国境内利用网络开展数据收集、存储、传输、处理、使用等活动（“数据活动”）的企业或公司等均将适用该办法，如征求意见稿正式生效，将深刻改变所涉企业的业务安排及合规体系，我们建议从事数据活动的企业或公司的管理层、法务部门和数据安全管理部门以及相关的专业人士对相关的立法活动持续予以关注。

征求意见稿由网信办发布，如未来正式生效，则其性质应为国务院部门规章。根据十三届全国人大常委会２０１８年９月７日公布的立法规划，《数据安全法》已被列为第一类立法项目，即条件比较成熟、任期内拟提请审议的法律草案。我们理解，《数据安全管理办法》可以视为《数据安全法》的先驱或预演，其确立的规范、制度和体系可能被《数据安全法》吸纳而成为未来中国数据安全保护领域的基本规则。从长远来看，征求意见稿的影响可能比现阶段看到的更为深远。

一、立法思路

（一）区分数据类型，明确重点保护对象

征求意见稿明确提出其立法目的为保障个人信息和重要数据安全。虽未明确提及普通数据，但在逻辑上我们理解征求意见稿实质上已将数据区分为个人信息、重要数据和其他数据。征求意见稿重点保护个人信息和重要数据，其他数据按照征求意见稿和其他法律法规的一般性规定保护即可。此外，征求意见稿明确将纯粹家庭和个人事务排除在其适用范围之外，但该等数据仍可以由其他相关法律法规保护，例如隐私权保护的相关规定。

（二）吸纳国标内容，构建个人信息保护的基本制度

征求意见稿在《网络安全法》的基础上，吸收了国家推荐性标准《信息安全技术　个人信息安全规范》（ＧＢ／Ｔ　３５２７３－２０１７）（“《个人信息安全规范》”，包括２０１９年６月发布的最新版本的征求意见稿）中的若干规定，提出了收集、处理使用个人信息的系列要求，将国家推荐性标准中较为适用的监管措施以及实践要点上升到了国务院部门规章层面。我们在此也提示网络运营者充分重视《个人信息安全规范》，个人信息保护的立法工作是一个渐进的过程，《个人信息安全规范》的内容未来大概率将更多地被纳入到相关法律法规中。

（三）重新定义重要数据，构建重要数据保护的基本制度

２０１７年国家互联网信息办公室先后发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》、《信息安全技术　数据出境安全评估指南（征求意见稿）》，初次对重要数据做出了定义（指与国家安全、经济发展，以及社会公共利益密切相关的数据）并按照行业（领域）列举了各自所涉及的重要数据范围。但经征求意见后，为进一步明确重要数据保护的边界及其在实务中的可行性，征求意见稿从后果的角度进一步明确了重要数据的定义，即“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等”。征求意见稿原则上将企业生产经营和内部管理信息、个人信息等排除在重要数据之外，澄清了部分实务中的困惑。

征求意见稿初步构建了等于甚至严于个人信息保护标准的重要数据保护制度，如针对以经营为目的收集重要数据（或个人敏感信息）的备案制度；针对发布、共享、交易或向境外提供重要数据的批准制度等。

（四）针对新技术，提出新的监管措施

征求意见稿针对采用自动技术（如网络爬虫等）爬取数据，采用用户画像技术定向推送广告，利用大数据、人工智能等技术自动合成信息等基于新技术的数据活动，分别引入了新的监管措施及合规要求。

（五）明确网络运营者的义务，澄清国家标准的法律地位

征求意见稿规定，网络运营者的主要义务为数据安全保护义务（详见征求意见稿第６条），并应对接入其平台的第三方应用运营者的行为承担过错推定责任。

征求意见稿要求网络运营者履行数据安全保护义务时应当参照国家网络安全标准，并就个人信息和重要数据保护明确要求网络运营者参照国家有关标准采用数据分类、备份、加密等措施。

二、监管措施

（一）监管主体及主要义务主体

１．监管主体

《网络安全法》初步规定由国家网信部门负责统筹协调网络安全工作和相关监督管理工作。《征求意见稿》进一步明确在中央网络安全和信息化委员会领导下，国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作，地（市）及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。即数据安全管理的监管主体为中央网络安全和信息化委员会、国家网信部门、地（市）及以上网信部门。

２．主要义务主体

网络运营者是数据安全管理的主要义务主体。征求意见稿在总则第６条中原则规定了网络运营者的主要义务，该等义务被充分体现在了征求意见稿各具体条文中。

此外，关于重要数据出境安全评估，与个人信息出境安全评估一样，征求意见稿也存在义务主体扩大（从关键信息基础设施运营者扩大为至网络运营者）问题。

（二）监管措施

１．数据收集

由于个人信息和重要数据在性质上的差异，征求意见稿在数据收集环节更多规定了个人信息收集的相关合规要求，对于重要数据的收集规定了相对较少但更为严格的合规要求（与适用于个人敏感信息收集的特殊要求同等）。此外，征求意见稿进一步针对网络运营者使用自动化手段（如网络爬虫）收集数据的行为提出了约束性的要求。

①个人信息收集的合规要求

征求意见稿在总结《网络安全法》、《个人信息安全规范》实践经验的基础上，就个人信息的收集使用提出下述合规要求。

Ａ．公开收集使用规则要求

征求意见稿规定，网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。征求意见稿明确规定了收集使用规则应包含的内容，以及收集使用规则的提供形式，例如应可以包含在隐私政策中，也可以以其他形式提供。

Ｂ．自主明示同意要求

征求意见稿规定，仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

Ｃ．功能设计一致要求

征求意见稿规定，网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致，并同步调整。

Ｄ．区分核心业务功能要求

征求意见稿规定，个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

Ｅ．非歧视要求

征求意见稿规定，网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，对个人信息主体采取歧视行为，包括服务质量、价格差异等。

Ｆ．间接收集同等责任要求

征求意见稿规定，网络运营者从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务。

②重要数据或个人敏感信息收集　（以经营为目的）的合规要求

个人敏感信息的收集除应适用上述个人信息收集的一般性合规要求，还应适用征求意见稿进一步提出的制度性要求，该制度性要求同时适用于个人敏感信息和重要数据。征求意见稿规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应该遵守以下规定：

Ａ．向所在地网信部门备案

备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

Ｂ．明确数据安全责任人

数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。

③自动化手段收集网站数据（如网络爬虫）的合规要求

征求意见稿规定，网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行，此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

我们理解，现阶段本条主要针对的是网络运营者使用网络爬虫收集网站数据的情形。现行法律对网络爬虫的相关规定主要集中于刑法中有关计算机信息系统犯罪的条文上，罪名包括非法获取计算机信息系统数据罪、非法控制计算机信息系统以及破坏计算机信息系统罪。但刑法仅在造成严重影响并具有社会危害性时方能适用，难以规制商业活动中的一般危害行为。如征求意见稿生效，则本条将在国务院部门规章层面初步解决了网络爬虫行为相关规定缺失的问题。在立法技术上，本条采用了“自动化手段”的表示，也为未来规范网络爬虫以外的自动化手段收集网站数据的行为留下了充分的空间。

２．数据处理使用

与收集环节相同，征求意见稿在数据处理使用环节也更多规定了个人信息处理使用的相关合规要求，对于重要数据收集的规定相对较少但更为严格。此外，征求意见稿进一步明确了网络运营者平台上存在第三方应用以及网络运营者兼并、重组、破产等特殊情形下的归责原则和数据处理原则。

①　个人信息处理使用的合规要求

Ａ．安全保障要求

征求意见稿规定，网络运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。

Ｂ．个人信息保存期限要求

征求意见稿规定，网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当及时删除其个人信息。结合征求意见稿对于收集使用规则应包含个人信息保存期限和到期后处理方式、以及对于个人敏感信息应备案期限的要求，征求意见稿对于个人信息保存期限的要求实际上存在突破《个人信息安全规范》原则性要求（在目的所需的期限内）的可能性。

Ｃ．合理、及时响应要求

征求意见稿规定，网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实应立即停止传播并作删除处理。从用户权利角度，《网络安全法》仅规定了用户的更正、删除个人信息权利，征求意见稿承袭了《个人信息安全规范》的规定扩大了用户权利，引入了个人信息主体撤销同意及查询个人信息的权利。

Ｄ．信息标注（“定推”、“合成”、自动标注ＩＤ）要求

基于保护用户知情权以及信息发布责任自负的原则，征求意见稿要求网络运营者推送广告和合成信息时以明显方式标注“定推”、“合成”等字样，在转发他人制作的信息时自动标注信息制作者ＩＤ。

征求意见稿规定，网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能。定向推送的数据来源为用户的个人信息，技术来源为用户画像技术。标注“定推”有助于用户了解网络运营者如何使用其个人信息，赋予拒绝权则响应了广告法项下“不得投放未经请求或明确拒绝的广告”的要求，有助于保障用户的知情权和自主选择权。本条规定对于互联网广告从业者的业务实践将产生实质性的影响。

征求意见稿规定，网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明“合成”字样；不得以谋取利益或损害他人利益为目的自动合成信息。标注“合成”可以在一定程度上限制业界大量存在的自动化洗稿等侵权行为，有助于保护原创作品。

征求意见稿规定，网络运营者对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。本条规定为网络实名制的进一步落实，目的在于确保网络发布者对其发布的内容负责，进一步规范网络发布者的行为。

Ｅ．向第三方提供时的评估要求

征求意见稿规定，网络运营者向他人提供个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意。下列情况除外：从合法公开渠道收集且不明显违背个人信息主体意愿；个人信息主体主动公开；经过匿名化处理；执法机关依法履行职责所必需；维护国家安全、社会公共利益、个人信息主体生命安全所必需。此项规定承袭了《个人信息安全规范》的要求，但有关例外情形的规定与《个人信息安全规范》略有差异。

②重要数据处理使用的合规要求

Ａ．安全保障要求

安全保障要求为基本要求，如上所述，对重要数据的安全保障要求与对个人信息的要求相同。

Ｂ．发布、共享、交易或向境外提供前的评估及审批要求

征求意见稿规定，网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。个人信息和重要数据保护的对象不同，个人信息保护的对象主要为个人信息主体的合法权益，重要数据保护的对象主要为国家安全、社会公共利益等。个人信息的保护在方式上更倾向于以个人信息主体的授权同意为前提，而重要数据的保护在方式上则更倾向于取得代表国家安全、社会公共利益等的相关主管机关的同意或批准。因此，重要数据保护的呈现方式更为严格，其发布、共享、交易或向境外提供均须经行业主管监管部门或省级网信部门的同意或批准。此外，就网络运营者向境外提供重要数据事宜，与《网络安全法》的规定相比，征求意见稿的规定更为严格：义务主体从关键信息基础设施运营者扩大为至网络运营者；行为范围从出境扩大至包括发布、共享、交易以及出境；监管措施从安全评估升级至行业主管部门同意或省级网信部门批准。

③存在第三方应用时的归责原则（过错推定责任）

征求意见稿规定，网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。本条规定明确了网络运营者在前述情形下的过错推定责任，加重了网络运营者的安全管理责任，有利于推动网络运营者履行对第三方平台的监管责任。

④　网络运营者兼并、重组、破产时的数据处理原则

征求意见稿规定，网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。法律、行政法规另有规定的，从其规定。如征求意见稿正式生效，则企业如进行并购重组且作为数据承接方接收数据的，应留意相应的数据安全责任和义务的承担问题。

３．数据安全监督管理

①监管部门约谈机制

《网络安全法》规定，省级以上人民政府有关部门如发现网络存在较大安全风险或者发生安全事件的，可以按照规定的权限和程序对该网络的运营者的法定代表人或者主要负责人进行约谈。而征求意见稿进一步明确，网信部门如发现网络运营者数据安全管理责任落实不到位，应按照规定的权限和程序约谈网络运营者的主要负责人，督促整改。将约谈对象缩小为主要负责人，更具针对性。根据监管部门对数据安全问题的执法实践，约谈整改在现阶段已成为主要监管措施之一。

②数据安全管理认证和应用程序安全认证

２０１９年１月２５日，中央网信办、工信部、公安部、市场监管总局正式发布《关于开展Ａｐｐ违法违规收集使用个人信息专项治理的公告》（“《公告》”），并于２０１９年１月至１２月期间在全国范围内开展专项治理。此举对互联网企业的数据合规产生了重大影响。征求意见稿将《公告》治理违法违规收集个人信息的监管思路推广至所有数据安全管理中，鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。征求意见稿规定，国家网信部门会同国务院市场监督管理部门，指导国家网络安全审查与认证机构，组织数据安全管理认证和应用程序安全认证工作。

③发生数据安全事件时的通知义务

征求意见稿规定，发生个人信息泄露、毁损、丢失等数据安全事件，或者发生数据安全事件风险明显加大时，网络运营者应当立即采取补救措施，及时以电话、短信、邮件或信函等方式告知个人信息主体，并按要求向行业主管监管部门和网信部门报告。

４．法律责任

征求意见稿规定，对于违反本办法规定的网络运营者，有关部门将依据相关法律、行政法规的规定，根据情节严重程度施加不同的处罚措施，具体包括：公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等。构成犯罪的，将依法追究刑事责任。

三、实务争议点

征求意见稿基于新的监管思路明确了数据安全管理的具体制度，但就其中的部分内容，从实务的观点，我们理解仍然存在进一步商榷的余地。

（一）“以经营为目的”等概念尚待明确

征求意见稿规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案，但征求意见稿中并未明确规定何为“以经营为目的”，此项概念的缺失可能导致实务中出现适用标准的混乱或矛盾冲突，建议予以明确。

（二）关于备案和批准的要求缺乏明确的程序性规定

关于网络运营者以经营为目的收集重要数据或个人敏感信息的备案要求，以及重要数据发布、共享、交易或向境外提供前的评估及审批要求，征求意见稿均未规定具体的程序要求，例如准予备案或同意或批准期限、具体审核内容等均不明确，实务中缺乏执行标准，建议予以明确。

（三）信息标注可能导致合规成本增加及用户体验降低

“定推”、“合成”、自动标注ＩＤ等有关信息标注的规定，或多或少均要求网络运营者变更其网站的功能设计，如需大幅更改网站功能设计，则此项要求可能导致较大的合规成本。此外，从普通用户的角度，仅标注“定推”、“合成”等字样，普通用户往往不会关注其含义或者难以理解其含义，则将导致用户体验的降低。

（四）重要数据外延待进一步澄清

如前所述，征求意见稿重新定义了重要数据，虽然２０１７年《信息安全技术　数据出境安全评估指南（征求意见稿）》曾按照行业（领域）界定过重要数据的外延，但鉴于监管思路已经发生了显著变化，我们理解前述评估指南中的外延大概率不会被原封不动地继续采用，重要数据的外延仍待进一步澄清。

（作者：徐云飞、李楠，中伦文德律师事务所）