网络数据安全管理将迎新规，互联网平台急需补上隐私保护和数据安全短板

继《网络安全法》《数据安全法》《个人信息保护法》之后，网络数据安全管理将迎来新规。国家互联网信息办公室近日会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》(下称《征求意见稿》)。

《征求意见稿》融合了关于个人信息保护和数据安全的法律法规，明确互联网平台在数据安全和信息保护领域的责任和义务，以更加清晰精炼的方式，对一系列信息隐私保护、数据安全的法律进行总结归纳，提高了法律的可行性和可理解性。

中南财经政法大学数字经济研究院执行院长盘和林对《国际金融报》记者表示，通过增加用户权益，明确互联网平台在数据安全和信息保护领域的责任和义务，《征求意见稿》将推动互联网平台数据治理模式变革，是推动数字经济和互联网平台实现可持续发展的标识标线。

网络数据安全管理将迎新规

《征求意见稿》指出，国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。数据处理者对所处理数据的安全负责，履行数据安全保护义务，接受政府和社会监督，承担社会责任。数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求，建立完善数据安全管理制度和技术保护机制。

《征求意见稿》明确，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据属于重要数据。

对于处理重要数据或者赴境外上市的数据处理者，《征求意见稿》规定，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。

《征求意见稿》还明确，国家建立数据跨境安全网关，对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等，不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。

此外，《征求意见稿》赋予了用户同意权、知情权、信息获取权（可以索要信息复制件）、信息修改权、被遗忘权（可以删除信息，取消授权）、限制处理权、数据可携权（转移数据）、异议权（举报数据违规）等多项权益。

《征求意见稿》表明，数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意。

强化大型互联网平台监管

《征求意见稿》也赋予互联网平台更多责任和义务，包括平台需要公布数据安全规则、平台需要记录数据使用过程、平台要和数据安全监管部门合作、平台在数据泄露的时候有上报的义务、平台要设立专门的数据安全部门等。

值得一提的是，《征求意见稿》对日活用户超过一亿的大型互联网平台运营者专门提出了规定，要求其平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

此外，大型互联网平台运营者应当通过委托第三方审计方式，每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计，并披露审计结果。

盘和林表示，这可能意味着未来互联网平台的平台规则和隐私政策将是制度性的。此类大型互联网平台的平台规则和隐私政策，涉及群体利益和公众利益，牵一发而动全身，所以平台的规则自主权受到限制。未来，互联网大平台的规则属于制度规则范畴，这增加了平台规则的刚性。

盘和林进一步分析指出，此项规定还意味着未来大型互联网平台将进一步定位为涉及公共利益的基础设施，平台的规则制定和控制力将受到约束；未来大型互联网平台将逐渐转向技术创新，规模优势和市场支配地位将无法直接给平台经营者带来超额收益。此外，未来大型互联网平台在初始设置平台规则和隐私政策的时候需要力求简明、清晰、全面。

互联网平台“合规路径”

“在隐私保护和数据安全方面，我国互联网平台从数据利用到兼顾数据利用和隐私保护，要实现‘急转弯’。也就是说，互联网企业需要在内部以最短的时间建立保护隐私和数据安全的规则策略。”盘和林表示。

具体来看，盘和林给出三条路径。路径一：平台制定简化明晰的隐私保护规则，增强内部透明度。一方面，互联网平台有责任披露平台规则、隐私规则和算法策略；另一方面，现实中，普通用户对数据安全存在更高的学习成本，所以规则策略的公布关键词是“简化”，以简化直观的方式告诉用户：平台如何获取信息、存储信息、对外提供信息，用户如何访问和处理自身信息。

路径二：平台对数据进行匿名化和假名化处理，继续推进数据应用。信息和数据既统一，又有区别。数据可能包含用户信息，但如果通过匿名化和假名化，数据则可以和个人隐私脱钩，这样人工智能、大数据等需要数据驱动的技术就可以继续发展。

盘和林表示，根据国外GDPR（欧盟《通用数据保护条例》）实践的经验，个人非重要数据匿名化和假名化后，可以实现和个人隐私脱钩，从个人信息隐私范畴归入数据安全管理范畴，告知义务、数据安全管理规则依然有效，但可以合规应用于数字技术的开发，在数据使用中此举被称为“脱敏”。

路径三：平台可能会寻求更专业的第三方数据风控企业。盘和林认为，隐私保护和数据安全最终将走向专业化分工。合规成本高，则会有风险外部转移的需求。对于互联网平台，其可能会在规则的许可下，谋求自身分裂出专业化的第三方数据风控企业，也可能会向外购买服务。这可能会打造一个繁盛的数据风控行业。

综上，盘和林表示，互联网平台需要适应新的法律环境，建立新的数据安全规则，发展数据安全技术。如果互联网企业以此为契机，实现数据安全、信息保护技术的提升，甚至发展出新技术、新业态，则有可能“化危为机”，迎来新的发展机遇。