11月14日，國家網信辦發布《網絡數據安全管理條例（征求意見稿）》（下稱“征求意見稿”），該征求意見稿共計9章75條，以《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等上位法為依據，明確建立數據分類分級保護制度，并進一步細化了以大型互聯網平臺運營者為代表的數據處理者對重要數據和核心數據的保護要求，以及相關的網絡安全審查情形，其征求意見的截止時間為2021年12月13日。

早在今年6月，此次征求意見的《網絡數據安全管理條例》就被列在國務院2021年度立法工作計劃當中，但當時擬定的名稱為《數據安全管理條例》。北京市京師律師事務所律師杜廣普在接受第一財經采訪時稱，此次更名，體現了立法過程中的“抓大放小”，即針對互聯網平臺經營者等數據處理者先行立法，突出了近期監管部門的治理重點，也便于該條例更快落地。

北京師范大學網絡法治國際中心執行主任吳沈括進一步對第一財經表示，該征求意見稿中有關個人信息保護、重要數據安全、數據跨境安全管理、互聯網平臺運營者義務等方面的細化規定，對于互聯網平臺經營者的合規風控工作將產生廣泛指引意義。待其落地之后，可以對互聯網產業和數字生態、數字經濟帶來深度的、生態性的重組和改造。

建立數據分類分級保護制度

征求意見稿提出，國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護措施。

其中，國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。

中國信息通信研究院云計算與大數據研究所人工智能部工程師呼娜英對第一財經稱，作為正在施行的兩部上位法，網安法的網絡安全等級保護制度中已提出了數據分類，數安法中則提出重要數據保護目錄以及核心數據兩大重要概念。征求意見稿是在網安法、數安法的基礎上，進一步明確，國家要針對個人信息權益進行重點保護。

在數據安全法第三章第二十一條中，原則性規定了數據分類分級的依據為在經濟社會發展中的重要程度和遭到篡改、泄露等情形時的危害程度。其中，“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據”被列為國家核心數據，征求意見稿對于“核心數據”的定義與之保持一致。

但對于“重要數據”的范疇，數據安全法并未做出具體界定。

征求意見稿在上述法律的基礎上進行細化。其中明確，重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據，共包括7類，如在密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據為代表的出口管制數據；電信、能源、金融等重點行業和領域安全生產、運行的數據；國家基礎設施、關鍵信息基礎設施建設運行及其安全數據等。

中國人民大學數字經濟跨學科交叉平臺首席專家李三希對第一財經表示，此類數據的共同特征是與產業數字化轉型及高質量發展密切相關，將有助于我國產業鏈供應鏈的自主安全發展。

由于不同行業、不同地區數據分類分級的具體規則和考慮因素差異巨大，重要數據具體目錄和具體分類分級保護制度的制定權限被予以下放。征求意見稿稱，按照國家數據分類分級要求，各地區、各部門應對本地區、本部門以及相關行業、領域的數據進行分類分級管理。

大型互聯網平臺面臨更嚴“數據出境”監管

考慮到港股市場的強大活力以及中國針對跨境數據安全的監管加強，相較于網信辦于7月10日發布的《網絡安全審查辦法（修訂草案征求意見稿）》，征求意見稿進一步細化并補充了網絡安全審查的對象，并增設了大型互聯網平臺的義務。

根據征求意見稿第十三條，數據處理者赴中國香港上市，影響或者可能影響國家安全的，應當按照國家有關規定，申報網絡安全審查。

而在上述《網絡安全審查辦法（修訂草案征求意見稿）》中，對于數據出境的安全審查僅包含“對于處理一百萬人以上個人信息的數據處理者赴國外上市的”，并未涉及赴香港上市的情形。

網絡安全領域資深學者、中國社會科學院經濟學博士方燕告訴第一財經，在全球復雜多變的形勢下，內地有更多IPO的企業紛紛去香港上市，征求意見稿彌補了此前《網絡安全審查辦法（修訂草案征求意見稿）》中的不完備之處，即數據安全審查原則不僅限于“數據出國”，也涵蓋“數據出境”。

事實上，在 10月29日印發的《數據出境安全評估辦法（征求意見稿）》中，已經將需申報安全評估的對象，從開展數據出國活動的數據處理者延伸至開展數據出境活動的數據處理者，這與該征求意見稿所指對象一致。

此外，對于數據跨境安全管理方面，征求意見稿第十三條還對大型互聯網平臺運營者提出安全審查要求，即“大型互聯網平臺運營者在境外設立總部或者運營中心、研發中心，應當向國家網信部門和主管部門報告?！?/p>

李三希指出，相比企業及平臺運營者而言，國家網信部門或主管部門對國內外的數據安全保護政策都更為清晰，通過向相關監管部門申報的方式，可以幫助出海企業規避相關風險。同時，做好事前備案工作也有助于企業應對國際形勢變化。

但對于該條目的監管主體——“大型互聯網平臺運營者”，多名受訪人士指出，或值得進一步商榷。

方燕認為，在“其他影響或者可能影響國家安全的數據處理活動”中，如果僅針對互聯網企業，其主體設定或偏窄。比如，一些具有一定規模的電信運營商、智能終端制造商等也在境外設立了研發中心或運營中心，并同樣掌握海量數據，這類對象也應被納入安全審查。

杜廣普則認為，征求意見稿中界定的“大型互聯網平臺運營者”這一概念，有一定的不合理之處。

根據征求意見稿第七十三條，“大型互聯網平臺運營者是指用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者”。

“從上述定義可以看出，大型互聯網平臺經營者需要同時滿足4個維度的條件。其中，前三個條件，即用戶、信息和社會動員方面的判定可能較為容易一些，而第四點‘市場支配地位’相對可能較難判斷?！倍艔V普稱。

他進一步稱，根據當前的立法及實踐，“市場支配地位”主要是《反壟斷法》項下的術語。判斷經營者是否具有市場支配地位，通常是由反壟斷執法機構或法院在具體個案中結合相關證據，在準確界定相關市場之后，綜合考量多種因素進行認定或推定，具有比較高的專業性和難度。此外，即使一個經營者在一個案件中被認定具有市場支配地位，這種認定也可能隨著時間的推移、經營者內外部環境變化而發生變化。

“由此可見，‘大型互聯網平臺經營者’這一重要‘身份’的認定具有不確定性，實際操作上可能會面臨比較大的挑戰?！倍艔V普稱。

除了“大型互聯網平臺運營者”這一概念，呼娜英還表示，在個人信息保護方面，征求意見稿也有一些措辭上或需要進一步統一或解釋，比如，數據處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，其與個保法中規定的處理敏感個人信息的事前影響評估，應是基于同一種事前評估的本意，建議統一措辭。

“總體上來看，征求意見稿對于互聯網平臺運營者，尤其是大型互聯網平臺運營者設立了較多監管措施，有利于細化并落實三部上位法。但其中有些條目內容或存在與此前法律法規不相一致的地方，征求意見稿中更新創設的表述有待進一步厘清與明確?！焙裟扔⒎Q。