10月29日，國(guó)家市場監督管理總局發(fā)布《互聯網平台分類分級指南（征求意見稿）》（下稱《分類分級指南》）與《互聯網平台落實主體責任指南（征求意見稿）》（下稱《責任指南》），旨在規範互聯網平台經(jīng)營活動，推動平台經(jīng)濟健康發(fā)展；11月14日，國(guó)家互聯網信息辦公室發(fā)布《網絡數據安全管理條例（征求意見稿）》（下稱《管理條例》），旨在規範網絡數據處理活動，保障數據安全，保護個人、組織在網絡空間的合法權益，維護國(guó)家安全、公共利益。這(zhè)一系列“征求意見稿”的發(fā)布，對(duì)于保障平台經(jīng)濟活動中的數據安全，促進(jìn)數據合法有效的流通具有重要意義。

今年以來，與數據有關的法律法規密集出台，其中最具代表性和專業性的當屬《中華人民共和國(guó)數據安全法》（下稱《數安法》）和《中華人民共和國(guó)個人信息保護法》（下稱《個保法》）。前者确立了“發(fā)展與安全并重，以發(fā)展促進(jìn)安全、以安全保障發(fā)展”的基本原則。這(zhè)一原則在《管理條例》第三條中得到進(jìn)一步細化，提出在數據安全方面(miàn)要加強數據安全防護能(néng)力建設，在數據利用方面(miàn)要保障數據依法有序自由流動，突出在數據安全基礎上有序促進(jìn)數據合理有效利用的立法目标。後(hòu)者明确規定了不同主體在處理個人信息時應遵守的基本原則、規則及方式方法，爲互聯網平台規定了相應的保障和管理個人（數據）信息安全的義務與責任，進(jìn)一步規範了個人（數據）信息的安全保護與開(kāi)放利用問題。綜合以上相關立法和征求意見稿，可以發(fā)現國(guó)家相關負責機構已大緻勾勒出以數據安全爲中主線的互聯網平台發(fā)展與規範圖景。

細化實化平台處理一般數據安全保障義務

作爲數據領域的基本法和專門法，《數安法》與《個保法》爲數據處理者與個人信息處理者規定了數據與個人信息處理的基本原則、主要規則以及相應的方法措施，構築起(qǐ)我國(guó)在互聯網領域，特别是針對(duì)平台主體落實數據安全與合規使用的基本法治體系和實施機制。具體而言，《數安法》規定了如下方面(miàn)的義務：

第一，處理數據應依法依規進(jìn)行。數據處理者應建立健全全流程數據安全管理制度。數據安全管理應覆蓋數據的來源、傳輸、存儲、使用、清理等各個環節。不同環節所面(miàn)臨的風險不同，對(duì)應采取的保護措施也不相同。

第二，應組織開(kāi)展數據安全教育培訓。教育培訓可以與教育、科研機構和企業等主體合作進(jìn)行，促進(jìn)人才交流。

第三，數據處理者可根據數據的重要程度、一旦發(fā)生安全事(shì)故造成(chéng)的危害、處理數據的具體場景等因素，采取相應的技術措施等手段保護數據安全，避免對(duì)重要程度相對(duì)較低的數據采取較爲嚴格的保護措施而阻礙其流通，浪費相應資源。

第四，若是數據處理者利用信息網絡處理數據，則需在網絡安全等級保護制度的基礎上，履行數據安全保護義務。《中華人民共和國(guó)網絡安全法》第二十一條具體規定了網絡安全等級保護制度。根據《信息安全技術網絡安全等級保護定級指南》的規定，網絡安全等級依據等級保護對(duì)象的重要程度等因素可具體分爲五個等級。

第五，對(duì)于處于未然狀态的風險，數據處理者應立即采取補救措施，阻止未然狀态的風險變爲現實；而對(duì)已經(jīng)發(fā)生的安全事(shì)件，則需立即采取補救措施，并告知用戶，向(xiàng)有關部門報告。

與之相關，在剛實施的《個保法》中也規定，個人信息處理者應在内部管理制度、操作規程、操作權限、教育培訓、制定應急預案等方面(miàn)加強數據安全保護工作，防止未經(jīng)授權的訪問與個人信息的洩露、篡改、丢失等問題。同時，個人信息處理者也應當依據處理目的、方式、個人信息種(zhǒng)類、可能(néng)存在的風險等因素，采取相應的加密、去标識化等安全技術措施。可見，無論是在《數安法》還(hái)是在《個保法》之中，均重視通過(guò)分級分類制度、采取相應的保護措施等規定來統籌數據安全與數據利用，避免因過(guò)度的數據保護而導緻有關主體假借數據安全之名行數據封鎖之實，加劇數據孤島、數據斷供、數據壟斷等現象。

《管理條例》則針對(duì)有關主體，特别是平台主體處理數據信息的安全保障方面(miàn)的義務做了進(jìn)一步的細化。其一，《管理條例》明确了數據安全應當包含數據的完整性、保密性和可用性三個方面(miàn)，可采取的安全措施包括備份、加密、訪問控制等。

其二，《管理條例》進(jìn)一步落實應如何依據網絡安全等級保護的要求履行數據安全保護義務，具體應加強數據處理系統、數據傳輸網絡、數據存儲環境等方面(miàn)的安防問題。

其三，《管理條例》細化了應如何面(miàn)對(duì)潛在的或已經(jīng)發(fā)生的數據安全有關風險。當數據處理者提供的産品或服務存在威脅國(guó)家安全、危害公共利益等方面(miàn)的風險時，數據處理者同樣(yàng)需要采取補救措施以及數據安全應急處置機制以應對(duì)潛在的風險。

其四，《管理條例》對(duì)數據爬取的問題進(jìn)行了規定，爬取個人信息後(hòu)必須在一定時間内將(jiāng)個人信息删除或做匿名化處理，體現了對(duì)數據安全與數據利用的平衡兼顧。

規範壓實平台處理重要數據的義務與責任

《數安法》确立了數據分類分級保護制度，根據數據的重要程度以及一旦遭受篡改、破壞、洩露或者非法獲取、非法利用造成(chéng)的危害程度分爲一般數據、重要數據與核心數據三種(zhǒng)類型。關系國(guó)家安全、國(guó)民經(jīng)濟命脈、重要民生、重大公共利益等數據屬于國(guó)家核心數據。然而《數安法》并未對(duì)重要數據予以定義，《管理條例》則彌補了這(zhè)一缺失，通過(guò)“概括+舉例”的方式，明确重要數據是指一旦遭到篡改、破壞、洩露或者非法獲取、非法利用，可能(néng)危害國(guó)家安全、公共利益的數據，包含未公開(kāi)的政務數據等七大類型。

在對(duì)重要數據的保護上，《數安法》明确有關部門應制定重要數據目錄，對(duì)重要數據加以保護。重要數據的處理者還(hái)應明确數據安全負責人和管理機構，定期對(duì)其數據處理活動展開(kāi)風險評估并向(xiàng)有關部門發(fā)送評估報告。《管理條例》與《責任指南》則進(jìn)一步細化了對(duì)重要數據的保護措施。

首先，細化了數據分類分級制度。各地區、各部門在制定重要數據目錄的基礎上，還(hái)應當制定核心數據目錄。

其次，處理重要數據的平台應當配備相應的負責人員：處理重要數據的平台應當明确數據安全負責人和管理機構，同時确立了數據安全負責人和管理機構的具體職責。

再次，明确了重要數據的保護方式。數據處理者應當使用密碼對(duì)重要數據和核心數據進(jìn)行保護。明确了重要數據的識别、交易規則：重要數據的處理者，應當在識别其重要數據後(hòu)的十五個工作日内向(xiàng)有關部門備案；交易、委托、共享重要數據，數據處理者應當與另一方就處理數據的目的、範圍等問題作出約定，并保存相關記錄；數據處理者共享、交易、委托處理重要數據的，應當征得有關部門同意。

最後(hòu)，在處理重要數據的基本原則上應滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求，處理核心數據的系統依照有關規定從嚴保護。

《個保法》則將(jiāng)個人信息中的敏感個人信息做了單獨的區分，對(duì)其處理規則做了特殊規定。相較于一般類型的個人信息，敏感個人信息一經(jīng)洩露，更容易侵害自然人的人格尊嚴或人身、财産安全。隻有在具備特定的目的與充分的必要，并采取嚴格保護措施的情況下，方可處理敏感個人信息。處理個人信息應當取得個人的單獨同意。

《管理條例》進(jìn)一步明确，處理敏感個人信息應取得個人的單獨同意，并具體到身份認證這(zhè)一使用敏感個人信息的具體場景，明确數據處理者利用生物特征進(jìn)行個人身份認證的，應當對(duì)必要性、安全性進(jìn)行風險評估，不得將(jiāng)人臉、步态、指紋、虹膜、聲紋等生物特征作爲唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。這(zhè)就爲進(jìn)一步規範壓實數據處理者，特别是擁有海量複雜數據的互聯網平台在保護數據安全和規範數據使用上的義務與責任的設定與落實，提供了科學(xué)的具有可操作性的規則與依據。

多法協同統籌平台發(fā)展中數據安全與利用

區别于一般的數據處理者，互聯網平台一方面(miàn)通過(guò)提供“零價格”服務獲取用戶的數據，積累了大量數據資源用來優化産品、提升算法，進(jìn)而獲取更高的市場份額。另一方面(miàn)，數據資源也構築了市場進(jìn)入壁壘，初創企業相較于在位企業盡管可能(néng)具有技術與理念上的優勢，然而，受限于缺少相關的數據資源，可能(néng)難以進(jìn)入相關市場。與此同時，平台一旦占有大量數據，也有可能(néng)實施侵害消費者隐私的行爲。《個保法》《分類分級指南》《責任指南》及《管理條例》中，均體現了互聯網平台應在保障數據安全的基礎上，促進(jìn)數據流通與分享，打破數據壟斷、數據封鎖的發(fā)展理念。

《管理條例》將(jiāng)互聯網平台運營者與大型平台運營者進(jìn)行了區分。其中大型互聯網平台運營者用戶數量較多，社會(huì)動員能(néng)力和市場控制能(néng)力較強，還(hái)會(huì)處理大量個人信息與重要數據。相較于普通的平台，大型互聯網平台運營者應當委托第三方每年對(duì)其數據安全、個人信息保護、數據開(kāi)發(fā)利用等情況進(jìn)行審計，清晰體現了我國(guó)兼顧數據安全與數據開(kāi)發(fā)利用的規制思路。同時，《管理條例》也依據平台運營的業務内容，將(jiāng)提供即時通信服務的平台運營者區分爲提供個人通信和非個人通信，對(duì)個人通信的信息按照個人信息保護要求嚴格保護，非個人通信的信息按照公共信息有關規定進(jìn)行管理，以分類施策來平衡平台所負有的數據安全與享有的數據發(fā)展之間的平衡。

《分類分級指南》則將(jiāng)互聯網平台分爲超級平台、大型平台、中小平台三級。《責任指南》則在此分級基礎上，重點對(duì)超大型平台經(jīng)營者的治理進(jìn)行了規定。超大型平台經(jīng)營者一方面(miàn)應加強數據管理、内部治理、風險評估與風險防控，提高平台内經(jīng)營者合法合規經(jīng)營的意識，避免出現危害數據安全的行爲；另一方面(miàn)，應積極發(fā)揮其公平競争示範上的引領作用，在與平台内其他經(jīng)營者競争時，無正當理由不可使用其他經(jīng)營者或用戶産生的非公開(kāi)數據。平台自治應堅持平等治理，不得假借“治理”之名而實施“自我優待”行爲。基于此，互聯網平台應在保障數據安全的基礎上，開(kāi)放生态，努力推動不同平台之間的互聯互通，促進(jìn)數據的流通，促進(jìn)市場上的創新。

《個保法》則對(duì)平台發(fā)展所涉及的海量的個人（數據）信息的安全保護與合理利用提供了規制工具，體現了“保護優先”下平衡數據利用的治理思路。譬如《個保法》第四十五條所規定的個人信息可攜權，雖然是對(duì)個人對(duì)其自身信息處分權利的豐富，但是對(duì)作爲主要的個人信息處理者的互聯網平台如何合規開(kāi)放與利用個人信息（數據）提供了切實可用的工具。

總體看來，我國(guó)已認識到并積極搭建促進(jìn)平台經(jīng)濟規範發(fā)展、穩中求進(jìn)的系統法治構造。爲進(jìn)一步理清和處理好(hǎo)平台發(fā)展中數據安全與開(kāi)放利用的合理配位關系，需切實有效結合《數安法》《個保法》《責任指南》《管理條例》等不同法律法規文件，審慎權衡不同利益，結合數據行爲發(fā)生的具體場景，針對(duì)不同類型、不同周期的數據采取相應的保護措施，對(duì)不同類型、不同級别的平台賦予相應的數據安全保障與數據開(kāi)放利用的義務與責任，搭建多法協同、多工具協力的數據治理體系，以數據安全爲中主線，廓清和築牢平台經(jīng)濟規範發(fā)展的基線與底線。

（陳兵系南開(kāi)大學(xué)法學(xué)院教授、競争法研究中心主任，夏迪旸系南開(kāi)大學(xué)競争法研究中心研究人員。本文系教育部人文社會(huì)科學(xué)重點研究基地重大項目“全球數據競争中人權基準的考量與促進(jìn)研究”的階段性成(chéng)果）