12月召開的中央經(jīng)濟工作會議強調(diào)，必須堅持高質(zhì)量發(fā)展，推動經(jīng)濟實現(xiàn)質(zhì)的穩(wěn)步提升和量的合理增長。必須堅持穩(wěn)中求進，堅持先立后破、穩(wěn)扎穩(wěn)打。必須加強統(tǒng)籌協(xié)調(diào)，堅持系統(tǒng)觀念。具體到數(shù)字平臺經(jīng)濟領(lǐng)域，則是必須堅持安全與發(fā)展的統(tǒng)籌，在規(guī)范中發(fā)展，在發(fā)展中規(guī)范，實現(xiàn)穩(wěn)中求進，可持續(xù)健康發(fā)展。

10月29日，國家市場監(jiān)督管理總局發(fā)布《互聯(lián)網(wǎng)平臺分類分級指南（征求意見稿）》（下稱《分類分級指南》）與《互聯(lián)網(wǎng)平臺落實主體責(zé)任指南（征求意見稿）》（下稱《責(zé)任指南》），旨在規(guī)范互聯(lián)網(wǎng)平臺經(jīng)營活動，推動平臺經(jīng)濟健康發(fā)展；11月14日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》（下稱《管理條例》），旨在規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，保護個人、組織在網(wǎng)絡(luò)空間的合法權(quán)益，維護國家安全、公共利益。這一系列“征求意見稿”的發(fā)布，對于保障平臺經(jīng)濟活動中的數(shù)據(jù)安全，促進數(shù)據(jù)合法有效的流通具有重要意義。

今年以來，與數(shù)據(jù)有關(guān)的法律法規(guī)密集出臺，其中最具代表性和專業(yè)性的當屬《中華人民共和國數(shù)據(jù)安全法》（下稱《數(shù)安法》）和《中華人民共和國個人信息保護法》（下稱《個保法》）。前者確立了“發(fā)展與安全并重，以發(fā)展促進安全、以安全保障發(fā)展”的基本原則。這一原則在《管理條例》第三條中得到進一步細化，提出在數(shù)據(jù)安全方面要加強數(shù)據(jù)安全防護能力建設(shè)，在數(shù)據(jù)利用方面要保障數(shù)據(jù)依法有序自由流動，突出在數(shù)據(jù)安全基礎(chǔ)上有序促進數(shù)據(jù)合理有效利用的立法目標。后者明確規(guī)定了不同主體在處理個人信息時應(yīng)遵守的基本原則、規(guī)則及方式方法，為互聯(lián)網(wǎng)平臺規(guī)定了相應(yīng)的保障和管理個人（數(shù)據(jù)）信息安全的義務(wù)與責(zé)任，進一步規(guī)范了個人（數(shù)據(jù)）信息的安全保護與開放利用問題。綜合以上相關(guān)立法和征求意見稿，可以發(fā)現(xiàn)國家相關(guān)負責(zé)機構(gòu)已大致勾勒出以數(shù)據(jù)安全為中主線的互聯(lián)網(wǎng)平臺發(fā)展與規(guī)范圖景。

細化實化平臺處理一般數(shù)據(jù)安全保障義務(wù)

作為數(shù)據(jù)領(lǐng)域的基本法和專門法，《數(shù)安法》與《個保法》為數(shù)據(jù)處理者與個人信息處理者規(guī)定了數(shù)據(jù)與個人信息處理的基本原則、主要規(guī)則以及相應(yīng)的方法措施，構(gòu)筑起我國在互聯(lián)網(wǎng)領(lǐng)域，特別是針對平臺主體落實數(shù)據(jù)安全與合規(guī)使用的基本法治體系和實施機制。具體而言，《數(shù)安法》規(guī)定了如下方面的義務(wù)：

第一，處理數(shù)據(jù)應(yīng)依法依規(guī)進行。數(shù)據(jù)處理者應(yīng)建立健全全流程數(shù)據(jù)安全管理制度。數(shù)據(jù)安全管理應(yīng)覆蓋數(shù)據(jù)的來源、傳輸、存儲、使用、清理等各個環(huán)節(jié)。不同環(huán)節(jié)所面臨的風(fēng)險不同，對應(yīng)采取的保護措施也不相同。

第二，應(yīng)組織開展數(shù)據(jù)安全教育培訓(xùn)。教育培訓(xùn)可以與教育、科研機構(gòu)和企業(yè)等主體合作進行，促進人才交流。

第三，數(shù)據(jù)處理者可根據(jù)數(shù)據(jù)的重要程度、一旦發(fā)生安全事故造成的危害、處理數(shù)據(jù)的具體場景等因素，采取相應(yīng)的技術(shù)措施等手段保護數(shù)據(jù)安全，避免對重要程度相對較低的數(shù)據(jù)采取較為嚴格的保護措施而阻礙其流通，浪費相應(yīng)資源。

第四，若是數(shù)據(jù)處理者利用信息網(wǎng)絡(luò)處理數(shù)據(jù)，則需在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，履行數(shù)據(jù)安全保護義務(wù)。《中華人民共和國網(wǎng)絡(luò)安全法》第二十一條具體規(guī)定了網(wǎng)絡(luò)安全等級保護制度。根據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》的規(guī)定，網(wǎng)絡(luò)安全等級依據(jù)等級保護對象的重要程度等因素可具體分為五個等級。

第五，對于處于未然狀態(tài)的風(fēng)險，數(shù)據(jù)處理者應(yīng)立即采取補救措施，阻止未然狀態(tài)的風(fēng)險變?yōu)楝F(xiàn)實；而對已經(jīng)發(fā)生的安全事件，則需立即采取補救措施，并告知用戶，向有關(guān)部門報告。

與之相關(guān)，在剛實施的《個保法》中也規(guī)定，個人信息處理者應(yīng)在內(nèi)部管理制度、操作規(guī)程、操作權(quán)限、教育培訓(xùn)、制定應(yīng)急預(yù)案等方面加強數(shù)據(jù)安全保護工作，防止未經(jīng)授權(quán)的訪問與個人信息的泄露、篡改、丟失等問題。同時，個人信息處理者也應(yīng)當依據(jù)處理目的、方式、個人信息種類、可能存在的風(fēng)險等因素，采取相應(yīng)的加密、去標識化等安全技術(shù)措施。可見，無論是在《數(shù)安法》還是在《個保法》之中，均重視通過分級分類制度、采取相應(yīng)的保護措施等規(guī)定來統(tǒng)籌數(shù)據(jù)安全與數(shù)據(jù)利用，避免因過度的數(shù)據(jù)保護而導(dǎo)致有關(guān)主體假借數(shù)據(jù)安全之名行數(shù)據(jù)封鎖之實，加劇數(shù)據(jù)孤島、數(shù)據(jù)斷供、數(shù)據(jù)壟斷等現(xiàn)象。

《管理條例》則針對有關(guān)主體，特別是平臺主體處理數(shù)據(jù)信息的安全保障方面的義務(wù)做了進一步的細化。

其一，《管理條例》明確了數(shù)據(jù)安全應(yīng)當包含數(shù)據(jù)的完整性、保密性和可用性三個方面，可采取的安全措施包括備份、加密、訪問控制等。

其二，《管理條例》進一步落實應(yīng)如何依據(jù)網(wǎng)絡(luò)安全等級保護的要求履行數(shù)據(jù)安全保護義務(wù)，具體應(yīng)加強數(shù)據(jù)處理系統(tǒng)、數(shù)據(jù)傳輸網(wǎng)絡(luò)、數(shù)據(jù)存儲環(huán)境等方面的安防問題。

其三，《管理條例》細化了應(yīng)如何面對潛在的或已經(jīng)發(fā)生的數(shù)據(jù)安全有關(guān)風(fēng)險。當數(shù)據(jù)處理者提供的產(chǎn)品或服務(wù)存在威脅國家安全、危害公共利益等方面的風(fēng)險時，數(shù)據(jù)處理者同樣需要采取補救措施以及數(shù)據(jù)安全應(yīng)急處置機制以應(yīng)對潛在的風(fēng)險。

其四，《管理條例》對數(shù)據(jù)爬取的問題進行了規(guī)定，爬取個人信息后必須在一定時間內(nèi)將個人信息刪除或做匿名化處理，體現(xiàn)了對數(shù)據(jù)安全與數(shù)據(jù)利用的平衡兼顧。

規(guī)范壓實平臺處理重要數(shù)據(jù)的義務(wù)與責(zé)任

《數(shù)安法》確立了數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)的重要程度以及一旦遭受篡改、破壞、泄露或者非法獲取、非法利用造成的危害程度分為一般數(shù)據(jù)、重要數(shù)據(jù)與核心數(shù)據(jù)三種類型。關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)。然而《數(shù)安法》并未對重要數(shù)據(jù)予以定義，《管理條例》則彌補了這一缺失，通過“概括+舉例”的方式，明確重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)，包含未公開的政務(wù)數(shù)據(jù)等七大類型。

在對重要數(shù)據(jù)的保護上，《數(shù)安法》明確有關(guān)部門應(yīng)制定重要數(shù)據(jù)目錄，對重要數(shù)據(jù)加以保護。重要數(shù)據(jù)的處理者還應(yīng)明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)，定期對其數(shù)據(jù)處理活動展開風(fēng)險評估并向有關(guān)部門發(fā)送評估報告?！豆芾項l例》與《責(zé)任指南》則進一步細化了對重要數(shù)據(jù)的保護措施。

首先，細化了數(shù)據(jù)分類分級制度。各地區(qū)、各部門在制定重要數(shù)據(jù)目錄的基礎(chǔ)上，還應(yīng)當制定核心數(shù)據(jù)目錄。

其次，處理重要數(shù)據(jù)的平臺應(yīng)當配備相應(yīng)的負責(zé)人員：處理重要數(shù)據(jù)的平臺應(yīng)當明確數(shù)據(jù)安全負責(zé)人和管理機構(gòu)，同時確立了數(shù)據(jù)安全負責(zé)人和管理機構(gòu)的具體職責(zé)。

再次，明確了重要數(shù)據(jù)的保護方式。數(shù)據(jù)處理者應(yīng)當使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進行保護。明確了重要數(shù)據(jù)的識別、交易規(guī)則：重要數(shù)據(jù)的處理者，應(yīng)當在識別其重要數(shù)據(jù)后的十五個工作日內(nèi)向有關(guān)部門備案；交易、委托、共享重要數(shù)據(jù)，數(shù)據(jù)處理者應(yīng)當與另一方就處理數(shù)據(jù)的目的、范圍等問題作出約定，并保存相關(guān)記錄；數(shù)據(jù)處理者共享、交易、委托處理重要數(shù)據(jù)的，應(yīng)當征得有關(guān)部門同意。

最后，在處理重要數(shù)據(jù)的基本原則上應(yīng)滿足三級以上網(wǎng)絡(luò)安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求，處理核心數(shù)據(jù)的系統(tǒng)依照有關(guān)規(guī)定從嚴保護。

《個保法》則將個人信息中的敏感個人信息做了單獨的區(qū)分，對其處理規(guī)則做了特殊規(guī)定。相較于一般類型的個人信息，敏感個人信息一經(jīng)泄露，更容易侵害自然人的人格尊嚴或人身、財產(chǎn)安全。只有在具備特定的目的與充分的必要，并采取嚴格保護措施的情況下，方可處理敏感個人信息。處理個人信息應(yīng)當取得個人的單獨同意。

《管理條例》進一步明確，處理敏感個人信息應(yīng)取得個人的單獨同意，并具體到身份認證這一使用敏感個人信息的具體場景，明確數(shù)據(jù)處理者利用生物特征進行個人身份認證的，應(yīng)當對必要性、安全性進行風(fēng)險評估，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。這就為進一步規(guī)范壓實數(shù)據(jù)處理者，特別是擁有海量復(fù)雜數(shù)據(jù)的互聯(lián)網(wǎng)平臺在保護數(shù)據(jù)安全和規(guī)范數(shù)據(jù)使用上的義務(wù)與責(zé)任的設(shè)定與落實，提供了科學(xué)的具有可操作性的規(guī)則與依據(jù)。

多法協(xié)同統(tǒng)籌平臺發(fā)展中數(shù)據(jù)安全與利用

區(qū)別于一般的數(shù)據(jù)處理者，互聯(lián)網(wǎng)平臺一方面通過提供“零價格”服務(wù)獲取用戶的數(shù)據(jù)，積累了大量數(shù)據(jù)資源用來優(yōu)化產(chǎn)品、提升算法，進而獲取更高的市場份額。另一方面，數(shù)據(jù)資源也構(gòu)筑了市場進入壁壘，初創(chuàng)企業(yè)相較于在位企業(yè)盡管可能具有技術(shù)與理念上的優(yōu)勢，然而，受限于缺少相關(guān)的數(shù)據(jù)資源，可能難以進入相關(guān)市場。與此同時，平臺一旦占有大量數(shù)據(jù)，也有可能實施侵害消費者隱私的行為?！秱€保法》《分類分級指南》《責(zé)任指南》及《管理條例》中，均體現(xiàn)了互聯(lián)網(wǎng)平臺應(yīng)在保障數(shù)據(jù)安全的基礎(chǔ)上，促進數(shù)據(jù)流通與分享，打破數(shù)據(jù)壟斷、數(shù)據(jù)封鎖的發(fā)展理念。

《管理條例》將互聯(lián)網(wǎng)平臺運營者與大型平臺運營者進行了區(qū)分。其中大型互聯(lián)網(wǎng)平臺運營者用戶數(shù)量較多，社會動員能力和市場控制能力較強，還會處理大量個人信息與重要數(shù)據(jù)。相較于普通的平臺，大型互聯(lián)網(wǎng)平臺運營者應(yīng)當委托第三方每年對其數(shù)據(jù)安全、個人信息保護、數(shù)據(jù)開發(fā)利用等情況進行審計，清晰體現(xiàn)了我國兼顧數(shù)據(jù)安全與數(shù)據(jù)開發(fā)利用的規(guī)制思路。同時，《管理條例》也依據(jù)平臺運營的業(yè)務(wù)內(nèi)容，將提供即時通信服務(wù)的平臺運營者區(qū)分為提供個人通信和非個人通信，對個人通信的信息按照個人信息保護要求嚴格保護，非個人通信的信息按照公共信息有關(guān)規(guī)定進行管理，以分類施策來平衡平臺所負有的數(shù)據(jù)安全與享有的數(shù)據(jù)發(fā)展之間的平衡。

《分類分級指南》則將互聯(lián)網(wǎng)平臺分為超級平臺、大型平臺、中小平臺三級?！敦?zé)任指南》則在此分級基礎(chǔ)上，重點對超大型平臺經(jīng)營者的治理進行了規(guī)定。超大型平臺經(jīng)營者一方面應(yīng)加強數(shù)據(jù)管理、內(nèi)部治理、風(fēng)險評估與風(fēng)險防控，提高平臺內(nèi)經(jīng)營者合法合規(guī)經(jīng)營的意識，避免出現(xiàn)危害數(shù)據(jù)安全的行為；另一方面，應(yīng)積極發(fā)揮其公平競爭示范上的引領(lǐng)作用，在與平臺內(nèi)其他經(jīng)營者競爭時，無正當理由不可使用其他經(jīng)營者或用戶產(chǎn)生的非公開數(shù)據(jù)。平臺自治應(yīng)堅持平等治理，不得假借“治理”之名而實施“自我優(yōu)待”行為?；诖耍ヂ?lián)網(wǎng)平臺應(yīng)在保障數(shù)據(jù)安全的基礎(chǔ)上，開放生態(tài)，努力推動不同平臺之間的互聯(lián)互通，促進數(shù)據(jù)的流通，促進市場上的創(chuàng)新。

《個保法》則對平臺發(fā)展所涉及的海量的個人（數(shù)據(jù)）信息的安全保護與合理利用提供了規(guī)制工具，體現(xiàn)了“保護優(yōu)先”下平衡數(shù)據(jù)利用的治理思路。譬如《個保法》第四十五條所規(guī)定的個人信息可攜權(quán)，雖然是對個人對其自身信息處分權(quán)利的豐富，但是對作為主要的個人信息處理者的互聯(lián)網(wǎng)平臺如何合規(guī)開放與利用個人信息（數(shù)據(jù)）提供了切實可用的工具。

總體看來，我國已認識到并積極搭建促進平臺經(jīng)濟規(guī)范發(fā)展、穩(wěn)中求進的系統(tǒng)法治構(gòu)造。為進一步理清和處理好平臺發(fā)展中數(shù)據(jù)安全與開放利用的合理配位關(guān)系，需切實有效結(jié)合《數(shù)安法》《個保法》《責(zé)任指南》《管理條例》等不同法律法規(guī)文件，審慎權(quán)衡不同利益，結(jié)合數(shù)據(jù)行為發(fā)生的具體場景，針對不同類型、不同周期的數(shù)據(jù)采取相應(yīng)的保護措施，對不同類型、不同級別的平臺賦予相應(yīng)的數(shù)據(jù)安全保障與數(shù)據(jù)開放利用的義務(wù)與責(zé)任，搭建多法協(xié)同、多工具協(xié)力的數(shù)據(jù)治理體系，以數(shù)據(jù)安全為中主線，廓清和筑牢平臺經(jīng)濟規(guī)范發(fā)展的基線與底線。

（陳兵系南開大學(xué)法學(xué)院教授、競爭法研究中心主任，夏迪旸系南開大學(xué)競爭法研究中心研究人員。本文系教育部人文社會科學(xué)重點研究基地重大項目“全球數(shù)據(jù)競爭中人權(quán)基準的考量與促進研究”的階段性成果）