12月召開(kāi)的中央經(jīng)濟(jì)工作會(huì)議強(qiáng)調(diào)，必須堅(jiān)持高質(zhì)量發(fā)展，推動(dòng)經(jīng)濟(jì)實(shí)現(xiàn)質(zhì)的穩(wěn)步提升和量的合理增長(zhǎng)。必須堅(jiān)持穩(wěn)中求進(jìn)，堅(jiān)持先立后破、穩(wěn)扎穩(wěn)打。必須加強(qiáng)統(tǒng)籌協(xié)調(diào)，堅(jiān)持系統(tǒng)觀念。具體到數(shù)字平臺(tái)經(jīng)濟(jì)領(lǐng)域，則是必須堅(jiān)持安全與發(fā)展的統(tǒng)籌，在規(guī)范中發(fā)展，在發(fā)展中規(guī)范，實(shí)現(xiàn)穩(wěn)中求進(jìn)，可持續(xù)健康發(fā)展。

10月29日，國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南（征求意見(jiàn)稿）》（下稱《分類分級(jí)指南》）與《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南（征求意見(jiàn)稿）》（下稱《責(zé)任指南》），旨在規(guī)范互聯(lián)網(wǎng)平臺(tái)經(jīng)營(yíng)活動(dòng)，推動(dòng)平臺(tái)經(jīng)濟(jì)健康發(fā)展；11月14日，國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》（下稱《管理?xiàng)l例》），旨在規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，保護(hù)個(gè)人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護(hù)國(guó)家安全、公共利益。這一系列“征求意見(jiàn)稿”的發(fā)布，對(duì)于保障平臺(tái)經(jīng)濟(jì)活動(dòng)中的數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)合法有效的流通具有重要意義。

今年以來(lái)，與數(shù)據(jù)有關(guān)的法律法規(guī)密集出臺(tái)，其中最具代表性和專業(yè)性的當(dāng)屬《中華人民共和國(guó)數(shù)據(jù)安全法》（下稱《數(shù)安法》）和《中華人民共和國(guó)個(gè)人信息保護(hù)法》（下稱《個(gè)保法》）。前者確立了“發(fā)展與安全并重，以發(fā)展促進(jìn)安全、以安全保障發(fā)展”的基本原則。這一原則在《管理?xiàng)l例》第三條中得到進(jìn)一步細(xì)化，提出在數(shù)據(jù)安全方面要加強(qiáng)數(shù)據(jù)安全防護(hù)能力建設(shè)，在數(shù)據(jù)利用方面要保障數(shù)據(jù)依法有序自由流動(dòng)，突出在數(shù)據(jù)安全基礎(chǔ)上有序促進(jìn)數(shù)據(jù)合理有效利用的立法目標(biāo)。后者明確規(guī)定了不同主體在處理個(gè)人信息時(shí)應(yīng)遵守的基本原則、規(guī)則及方式方法，為互聯(lián)網(wǎng)平臺(tái)規(guī)定了相應(yīng)的保障和管理個(gè)人（數(shù)據(jù)）信息安全的義務(wù)與責(zé)任，進(jìn)一步規(guī)范了個(gè)人（數(shù)據(jù)）信息的安全保護(hù)與開(kāi)放利用問(wèn)題。綜合以上相關(guān)立法和征求意見(jiàn)稿，可以發(fā)現(xiàn)國(guó)家相關(guān)負(fù)責(zé)機(jī)構(gòu)已大致勾勒出以數(shù)據(jù)安全為中主線的互聯(lián)網(wǎng)平臺(tái)發(fā)展與規(guī)范圖景。

細(xì)化實(shí)化平臺(tái)處理一般數(shù)據(jù)安全保障義務(wù)

作為數(shù)據(jù)領(lǐng)域的基本法和專門(mén)法，《數(shù)安法》與《個(gè)保法》為數(shù)據(jù)處理者與個(gè)人信息處理者規(guī)定了數(shù)據(jù)與個(gè)人信息處理的基本原則、主要規(guī)則以及相應(yīng)的方法措施，構(gòu)筑起我國(guó)在互聯(lián)網(wǎng)領(lǐng)域，特別是針對(duì)平臺(tái)主體落實(shí)數(shù)據(jù)安全與合規(guī)使用的基本法治體系和實(shí)施機(jī)制。具體而言，《數(shù)安法》規(guī)定了如下方面的義務(wù)：

第一，處理數(shù)據(jù)應(yīng)依法依規(guī)進(jìn)行。數(shù)據(jù)處理者應(yīng)建立健全全流程數(shù)據(jù)安全管理制度。數(shù)據(jù)安全管理應(yīng)覆蓋數(shù)據(jù)的來(lái)源、傳輸、存儲(chǔ)、使用、清理等各個(gè)環(huán)節(jié)。不同環(huán)節(jié)所面臨的風(fēng)險(xiǎn)不同，對(duì)應(yīng)采取的保護(hù)措施也不相同。

第二，應(yīng)組織開(kāi)展數(shù)據(jù)安全教育培訓(xùn)。教育培訓(xùn)可以與教育、科研機(jī)構(gòu)和企業(yè)等主體合作進(jìn)行，促進(jìn)人才交流。

第三，數(shù)據(jù)處理者可根據(jù)數(shù)據(jù)的重要程度、一旦發(fā)生安全事故造成的危害、處理數(shù)據(jù)的具體場(chǎng)景等因素，采取相應(yīng)的技術(shù)措施等手段保護(hù)數(shù)據(jù)安全，避免對(duì)重要程度相對(duì)較低的數(shù)據(jù)采取較為嚴(yán)格的保護(hù)措施而阻礙其流通，浪費(fèi)相應(yīng)資源。

第四，若是數(shù)據(jù)處理者利用信息網(wǎng)絡(luò)處理數(shù)據(jù)，則需在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，履行數(shù)據(jù)安全保護(hù)義務(wù)。《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第二十一條具體規(guī)定了網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》的規(guī)定，網(wǎng)絡(luò)安全等級(jí)依據(jù)等級(jí)保護(hù)對(duì)象的重要程度等因素可具體分為五個(gè)等級(jí)。

第五，對(duì)于處于未然狀態(tài)的風(fēng)險(xiǎn)，數(shù)據(jù)處理者應(yīng)立即采取補(bǔ)救措施，阻止未然狀態(tài)的風(fēng)險(xiǎn)變?yōu)楝F(xiàn)實(shí)；而對(duì)已經(jīng)發(fā)生的安全事件，則需立即采取補(bǔ)救措施，并告知用戶，向有關(guān)部門(mén)報(bào)告。

與之相關(guān)，在剛實(shí)施的《個(gè)保法》中也規(guī)定，個(gè)人信息處理者應(yīng)在內(nèi)部管理制度、操作規(guī)程、操作權(quán)限、教育培訓(xùn)、制定應(yīng)急預(yù)案等方面加強(qiáng)數(shù)據(jù)安全保護(hù)工作，防止未經(jīng)授權(quán)的訪問(wèn)與個(gè)人信息的泄露、篡改、丟失等問(wèn)題。同時(shí)，個(gè)人信息處理者也應(yīng)當(dāng)依據(jù)處理目的、方式、個(gè)人信息種類、可能存在的風(fēng)險(xiǎn)等因素，采取相應(yīng)的加密、去標(biāo)識(shí)化等安全技術(shù)措施。可見(jiàn)，無(wú)論是在《數(shù)安法》還是在《個(gè)保法》之中，均重視通過(guò)分級(jí)分類制度、采取相應(yīng)的保護(hù)措施等規(guī)定來(lái)統(tǒng)籌數(shù)據(jù)安全與數(shù)據(jù)利用，避免因過(guò)度的數(shù)據(jù)保護(hù)而導(dǎo)致有關(guān)主體假借數(shù)據(jù)安全之名行數(shù)據(jù)封鎖之實(shí)，加劇數(shù)據(jù)孤島、數(shù)據(jù)斷供、數(shù)據(jù)壟斷等現(xiàn)象。

《管理?xiàng)l例》則針對(duì)有關(guān)主體，特別是平臺(tái)主體處理數(shù)據(jù)信息的安全保障方面的義務(wù)做了進(jìn)一步的細(xì)化。

其一，《管理?xiàng)l例》明確了數(shù)據(jù)安全應(yīng)當(dāng)包含數(shù)據(jù)的完整性、保密性和可用性三個(gè)方面，可采取的安全措施包括備份、加密、訪問(wèn)控制等。

其二，《管理?xiàng)l例》進(jìn)一步落實(shí)應(yīng)如何依據(jù)網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求履行數(shù)據(jù)安全保護(hù)義務(wù)，具體應(yīng)加強(qiáng)數(shù)據(jù)處理系統(tǒng)、數(shù)據(jù)傳輸網(wǎng)絡(luò)、數(shù)據(jù)存儲(chǔ)環(huán)境等方面的安防問(wèn)題。

其三，《管理?xiàng)l例》細(xì)化了應(yīng)如何面對(duì)潛在的或已經(jīng)發(fā)生的數(shù)據(jù)安全有關(guān)風(fēng)險(xiǎn)。當(dāng)數(shù)據(jù)處理者提供的產(chǎn)品或服務(wù)存在威脅國(guó)家安全、危害公共利益等方面的風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)處理者同樣需要采取補(bǔ)救措施以及數(shù)據(jù)安全應(yīng)急處置機(jī)制以應(yīng)對(duì)潛在的風(fēng)險(xiǎn)。

其四，《管理?xiàng)l例》對(duì)數(shù)據(jù)爬取的問(wèn)題進(jìn)行了規(guī)定，爬取個(gè)人信息后必須在一定時(shí)間內(nèi)將個(gè)人信息刪除或做匿名化處理，體現(xiàn)了對(duì)數(shù)據(jù)安全與數(shù)據(jù)利用的平衡兼顧。

規(guī)范壓實(shí)平臺(tái)處理重要數(shù)據(jù)的義務(wù)與責(zé)任

《數(shù)安法》確立了數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)的重要程度以及一旦遭受篡改、破壞、泄露或者非法獲取、非法利用造成的危害程度分為一般數(shù)據(jù)、重要數(shù)據(jù)與核心數(shù)據(jù)三種類型。關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)。然而《數(shù)安法》并未對(duì)重要數(shù)據(jù)予以定義，《管理?xiàng)l例》則彌補(bǔ)了這一缺失，通過(guò)“概括+舉例”的方式，明確重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益的數(shù)據(jù)，包含未公開(kāi)的政務(wù)數(shù)據(jù)等七大類型。

在對(duì)重要數(shù)據(jù)的保護(hù)上，《數(shù)安法》明確有關(guān)部門(mén)應(yīng)制定重要數(shù)據(jù)目錄，對(duì)重要數(shù)據(jù)加以保護(hù)。重要數(shù)據(jù)的處理者還應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，定期對(duì)其數(shù)據(jù)處理活動(dòng)展開(kāi)風(fēng)險(xiǎn)評(píng)估并向有關(guān)部門(mén)發(fā)送評(píng)估報(bào)告。《管理?xiàng)l例》與《責(zé)任指南》則進(jìn)一步細(xì)化了對(duì)重要數(shù)據(jù)的保護(hù)措施。

首先，細(xì)化了數(shù)據(jù)分類分級(jí)制度。各地區(qū)、各部門(mén)在制定重要數(shù)據(jù)目錄的基礎(chǔ)上，還應(yīng)當(dāng)制定核心數(shù)據(jù)目錄。

其次，處理重要數(shù)據(jù)的平臺(tái)應(yīng)當(dāng)配備相應(yīng)的負(fù)責(zé)人員：處理重要數(shù)據(jù)的平臺(tái)應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，同時(shí)確立了數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)的具體職責(zé)。

再次，明確了重要數(shù)據(jù)的保護(hù)方式。數(shù)據(jù)處理者應(yīng)當(dāng)使用密碼對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行保護(hù)。明確了重要數(shù)據(jù)的識(shí)別、交易規(guī)則：重要數(shù)據(jù)的處理者，應(yīng)當(dāng)在識(shí)別其重要數(shù)據(jù)后的十五個(gè)工作日內(nèi)向有關(guān)部門(mén)備案；交易、委托、共享重要數(shù)據(jù)，數(shù)據(jù)處理者應(yīng)當(dāng)與另一方就處理數(shù)據(jù)的目的、范圍等問(wèn)題作出約定，并保存相關(guān)記錄；數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當(dāng)征得有關(guān)部門(mén)同意。

最后，在處理重要數(shù)據(jù)的基本原則上應(yīng)滿足三級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求，處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)規(guī)定從嚴(yán)保護(hù)。

《個(gè)保法》則將個(gè)人信息中的敏感個(gè)人信息做了單獨(dú)的區(qū)分，對(duì)其處理規(guī)則做了特殊規(guī)定。相較于一般類型的個(gè)人信息，敏感個(gè)人信息一經(jīng)泄露，更容易侵害自然人的人格尊嚴(yán)或人身、財(cái)產(chǎn)安全。只有在具備特定的目的與充分的必要，并采取嚴(yán)格保護(hù)措施的情況下，方可處理敏感個(gè)人信息。處理個(gè)人信息應(yīng)當(dāng)取得個(gè)人的單獨(dú)同意。

《管理?xiàng)l例》進(jìn)一步明確，處理敏感個(gè)人信息應(yīng)取得個(gè)人的單獨(dú)同意，并具體到身份認(rèn)證這一使用敏感個(gè)人信息的具體場(chǎng)景，明確數(shù)據(jù)處理者利用生物特征進(jìn)行個(gè)人身份認(rèn)證的，應(yīng)當(dāng)對(duì)必要性、安全性進(jìn)行風(fēng)險(xiǎn)評(píng)估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個(gè)人身份認(rèn)證方式，以強(qiáng)制個(gè)人同意收集其個(gè)人生物特征信息。這就為進(jìn)一步規(guī)范壓實(shí)數(shù)據(jù)處理者，特別是擁有海量復(fù)雜數(shù)據(jù)的互聯(lián)網(wǎng)平臺(tái)在保護(hù)數(shù)據(jù)安全和規(guī)范數(shù)據(jù)使用上的義務(wù)與責(zé)任的設(shè)定與落實(shí)，提供了科學(xué)的具有可操作性的規(guī)則與依據(jù)。

多法協(xié)同統(tǒng)籌平臺(tái)發(fā)展中數(shù)據(jù)安全與利用

區(qū)別于一般的數(shù)據(jù)處理者，互聯(lián)網(wǎng)平臺(tái)一方面通過(guò)提供“零價(jià)格”服務(wù)獲取用戶的數(shù)據(jù)，積累了大量數(shù)據(jù)資源用來(lái)優(yōu)化產(chǎn)品、提升算法，進(jìn)而獲取更高的市場(chǎng)份額。另一方面，數(shù)據(jù)資源也構(gòu)筑了市場(chǎng)進(jìn)入壁壘，初創(chuàng)企業(yè)相較于在位企業(yè)盡管可能具有技術(shù)與理念上的優(yōu)勢(shì)，然而，受限于缺少相關(guān)的數(shù)據(jù)資源，可能難以進(jìn)入相關(guān)市場(chǎng)。與此同時(shí)，平臺(tái)一旦占有大量數(shù)據(jù)，也有可能實(shí)施侵害消費(fèi)者隱私的行為?！秱€(gè)保法》《分類分級(jí)指南》《責(zé)任指南》及《管理?xiàng)l例》中，均體現(xiàn)了互聯(lián)網(wǎng)平臺(tái)應(yīng)在保障數(shù)據(jù)安全的基礎(chǔ)上，促進(jìn)數(shù)據(jù)流通與分享，打破數(shù)據(jù)壟斷、數(shù)據(jù)封鎖的發(fā)展理念。

《管理?xiàng)l例》將互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者與大型平臺(tái)運(yùn)營(yíng)者進(jìn)行了區(qū)分。其中大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者用戶數(shù)量較多，社會(huì)動(dòng)員能力和市場(chǎng)控制能力較強(qiáng)，還會(huì)處理大量個(gè)人信息與重要數(shù)據(jù)。相較于普通的平臺(tái)，大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者應(yīng)當(dāng)委托第三方每年對(duì)其數(shù)據(jù)安全、個(gè)人信息保護(hù)、數(shù)據(jù)開(kāi)發(fā)利用等情況進(jìn)行審計(jì)，清晰體現(xiàn)了我國(guó)兼顧數(shù)據(jù)安全與數(shù)據(jù)開(kāi)發(fā)利用的規(guī)制思路。同時(shí)，《管理?xiàng)l例》也依據(jù)平臺(tái)運(yùn)營(yíng)的業(yè)務(wù)內(nèi)容，將提供即時(shí)通信服務(wù)的平臺(tái)運(yùn)營(yíng)者區(qū)分為提供個(gè)人通信和非個(gè)人通信，對(duì)個(gè)人通信的信息按照個(gè)人信息保護(hù)要求嚴(yán)格保護(hù)，非個(gè)人通信的信息按照公共信息有關(guān)規(guī)定進(jìn)行管理，以分類施策來(lái)平衡平臺(tái)所負(fù)有的數(shù)據(jù)安全與享有的數(shù)據(jù)發(fā)展之間的平衡。

《分類分級(jí)指南》則將互聯(lián)網(wǎng)平臺(tái)分為超級(jí)平臺(tái)、大型平臺(tái)、中小平臺(tái)三級(jí)?！敦?zé)任指南》則在此分級(jí)基礎(chǔ)上，重點(diǎn)對(duì)超大型平臺(tái)經(jīng)營(yíng)者的治理進(jìn)行了規(guī)定。超大型平臺(tái)經(jīng)營(yíng)者一方面應(yīng)加強(qiáng)數(shù)據(jù)管理、內(nèi)部治理、風(fēng)險(xiǎn)評(píng)估與風(fēng)險(xiǎn)防控，提高平臺(tái)內(nèi)經(jīng)營(yíng)者合法合規(guī)經(jīng)營(yíng)的意識(shí)，避免出現(xiàn)危害數(shù)據(jù)安全的行為；另一方面，應(yīng)積極發(fā)揮其公平競(jìng)爭(zhēng)示范上的引領(lǐng)作用，在與平臺(tái)內(nèi)其他經(jīng)營(yíng)者競(jìng)爭(zhēng)時(shí)，無(wú)正當(dāng)理由不可使用其他經(jīng)營(yíng)者或用戶產(chǎn)生的非公開(kāi)數(shù)據(jù)。平臺(tái)自治應(yīng)堅(jiān)持平等治理，不得假借“治理”之名而實(shí)施“自我優(yōu)待”行為?；诖?，互聯(lián)網(wǎng)平臺(tái)應(yīng)在保障數(shù)據(jù)安全的基礎(chǔ)上，開(kāi)放生態(tài)，努力推動(dòng)不同平臺(tái)之間的互聯(lián)互通，促進(jìn)數(shù)據(jù)的流通，促進(jìn)市場(chǎng)上的創(chuàng)新。

《個(gè)保法》則對(duì)平臺(tái)發(fā)展所涉及的海量的個(gè)人（數(shù)據(jù)）信息的安全保護(hù)與合理利用提供了規(guī)制工具，體現(xiàn)了“保護(hù)優(yōu)先”下平衡數(shù)據(jù)利用的治理思路。譬如《個(gè)保法》第四十五條所規(guī)定的個(gè)人信息可攜權(quán)，雖然是對(duì)個(gè)人對(duì)其自身信息處分權(quán)利的豐富，但是對(duì)作為主要的個(gè)人信息處理者的互聯(lián)網(wǎng)平臺(tái)如何合規(guī)開(kāi)放與利用個(gè)人信息（數(shù)據(jù)）提供了切實(shí)可用的工具。

總體看來(lái)，我國(guó)已認(rèn)識(shí)到并積極搭建促進(jìn)平臺(tái)經(jīng)濟(jì)規(guī)范發(fā)展、穩(wěn)中求進(jìn)的系統(tǒng)法治構(gòu)造。為進(jìn)一步理清和處理好平臺(tái)發(fā)展中數(shù)據(jù)安全與開(kāi)放利用的合理配位關(guān)系，需切實(shí)有效結(jié)合《數(shù)安法》《個(gè)保法》《責(zé)任指南》《管理?xiàng)l例》等不同法律法規(guī)文件，審慎權(quán)衡不同利益，結(jié)合數(shù)據(jù)行為發(fā)生的具體場(chǎng)景，針對(duì)不同類型、不同周期的數(shù)據(jù)采取相應(yīng)的保護(hù)措施，對(duì)不同類型、不同級(jí)別的平臺(tái)賦予相應(yīng)的數(shù)據(jù)安全保障與數(shù)據(jù)開(kāi)放利用的義務(wù)與責(zé)任，搭建多法協(xié)同、多工具協(xié)力的數(shù)據(jù)治理體系，以數(shù)據(jù)安全為中主線，廓清和筑牢平臺(tái)經(jīng)濟(jì)規(guī)范發(fā)展的基線與底線。

（陳兵系南開(kāi)大學(xué)法學(xué)院教授、競(jìng)爭(zhēng)法研究中心主任，夏迪旸系南開(kāi)大學(xué)競(jìng)爭(zhēng)法研究中心研究人員。本文系教育部人文社會(huì)科學(xué)重點(diǎn)研究基地重大項(xiàng)目“全球數(shù)據(jù)競(jìng)爭(zhēng)中人權(quán)基準(zhǔn)的考量與促進(jìn)研究”的階段性成果）