10月29日，國家市場監督管理總局發布《互聯網平臺分類分級指南（征求意見稿）》（下稱《分類分級指南》）與《互聯網平臺落實主體責任指南（征求意見稿）》（下稱《責任指南》），旨在規范互聯網平臺經營活動，推動平臺經濟健康發展；11月14日，國家互聯網信息辦公室發布《網絡數據安全管理條例（征求意見稿）》（下稱《管理條例》），旨在規范網絡數據處理活動，保障數據安全，保護個人、組織在網絡空間的合法權益，維護國家安全、公共利益。這一系列“征求意見稿”的發布，對于保障平臺經濟活動中的數據安全，促進數據合法有效的流通具有重要意義。

今年以來，與數據有關的法律法規密集出臺，其中最具代表性和專業性的當屬《中華人民共和國數據安全法》（下稱《數安法》）和《中華人民共和國個人信息保護法》（下稱《個保法》）。前者確立了“發展與安全并重，以發展促進安全、以安全保障發展”的基本原則。這一原則在《管理條例》第三條中得到進一步細化，提出在數據安全方面要加強數據安全防護能力建設，在數據利用方面要保障數據依法有序自由流動，突出在數據安全基礎上有序促進數據合理有效利用的立法目標。后者明確規定了不同主體在處理個人信息時應遵守的基本原則、規則及方式方法，為互聯網平臺規定了相應的保障和管理個人（數據）信息安全的義務與責任，進一步規范了個人（數據）信息的安全保護與開放利用問題。綜合以上相關立法和征求意見稿，可以發現國家相關負責機構已大致勾勒出以數據安全為中主線的互聯網平臺發展與規范圖景。

細化實化平臺處理一般數據安全保障義務

作為數據領域的基本法和專門法，《數安法》與《個保法》為數據處理者與個人信息處理者規定了數據與個人信息處理的基本原則、主要規則以及相應的方法措施，構筑起我國在互聯網領域，特別是針對平臺主體落實數據安全與合規使用的基本法治體系和實施機制。具體而言，《數安法》規定了如下方面的義務：

第一，處理數據應依法依規進行。數據處理者應建立健全全流程數據安全管理制度。數據安全管理應覆蓋數據的來源、傳輸、存儲、使用、清理等各個環節。不同環節所面臨的風險不同，對應采取的保護措施也不相同。

第二，應組織開展數據安全教育培訓。教育培訓可以與教育、科研機構和企業等主體合作進行，促進人才交流。

第三，數據處理者可根據數據的重要程度、一旦發生安全事故造成的危害、處理數據的具體場景等因素，采取相應的技術措施等手段保護數據安全，避免對重要程度相對較低的數據采取較為嚴格的保護措施而阻礙其流通，浪費相應資源。

第四，若是數據處理者利用信息網絡處理數據，則需在網絡安全等級保護制度的基礎上，履行數據安全保護義務?！吨腥A人民共和國網絡安全法》第二十一條具體規定了網絡安全等級保護制度。根據《信息安全技術網絡安全等級保護定級指南》的規定，網絡安全等級依據等級保護對象的重要程度等因素可具體分為五個等級。

第五，對于處于未然狀態的風險，數據處理者應立即采取補救措施，阻止未然狀態的風險變為現實；而對已經發生的安全事件，則需立即采取補救措施，并告知用戶，向有關部門報告。

與之相關，在剛實施的《個保法》中也規定，個人信息處理者應在內部管理制度、操作規程、操作權限、教育培訓、制定應急預案等方面加強數據安全保護工作，防止未經授權的訪問與個人信息的泄露、篡改、丟失等問題。同時，個人信息處理者也應當依據處理目的、方式、個人信息種類、可能存在的風險等因素，采取相應的加密、去標識化等安全技術措施?？梢?，無論是在《數安法》還是在《個保法》之中，均重視通過分級分類制度、采取相應的保護措施等規定來統籌數據安全與數據利用，避免因過度的數據保護而導致有關主體假借數據安全之名行數據封鎖之實，加劇數據孤島、數據斷供、數據壟斷等現象。

《管理條例》則針對有關主體，特別是平臺主體處理數據信息的安全保障方面的義務做了進一步的細化。其一，《管理條例》明確了數據安全應當包含數據的完整性、保密性和可用性三個方面，可采取的安全措施包括備份、加密、訪問控制等。

其二，《管理條例》進一步落實應如何依據網絡安全等級保護的要求履行數據安全保護義務，具體應加強數據處理系統、數據傳輸網絡、數據存儲環境等方面的安防問題。

其三，《管理條例》細化了應如何面對潛在的或已經發生的數據安全有關風險。當數據處理者提供的產品或服務存在威脅國家安全、危害公共利益等方面的風險時，數據處理者同樣需要采取補救措施以及數據安全應急處置機制以應對潛在的風險。

其四，《管理條例》對數據爬取的問題進行了規定，爬取個人信息后必須在一定時間內將個人信息刪除或做匿名化處理，體現了對數據安全與數據利用的平衡兼顧。

規范壓實平臺處理重要數據的義務與責任

《數安法》確立了數據分類分級保護制度，根據數據的重要程度以及一旦遭受篡改、破壞、泄露或者非法獲取、非法利用造成的危害程度分為一般數據、重要數據與核心數據三種類型。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據。然而《數安法》并未對重要數據予以定義，《管理條例》則彌補了這一缺失，通過“概括+舉例”的方式，明確重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據，包含未公開的政務數據等七大類型。

在對重要數據的保護上，《數安法》明確有關部門應制定重要數據目錄，對重要數據加以保護。重要數據的處理者還應明確數據安全負責人和管理機構，定期對其數據處理活動展開風險評估并向有關部門發送評估報告?！豆芾項l例》與《責任指南》則進一步細化了對重要數據的保護措施。

首先，細化了數據分類分級制度。各地區、各部門在制定重要數據目錄的基礎上，還應當制定核心數據目錄。

其次，處理重要數據的平臺應當配備相應的負責人員：處理重要數據的平臺應當明確數據安全負責人和管理機構，同時確立了數據安全負責人和管理機構的具體職責。

再次，明確了重要數據的保護方式。數據處理者應當使用密碼對重要數據和核心數據進行保護。明確了重要數據的識別、交易規則：重要數據的處理者，應當在識別其重要數據后的十五個工作日內向有關部門備案；交易、委托、共享重要數據，數據處理者應當與另一方就處理數據的目的、范圍等問題作出約定，并保存相關記錄；數據處理者共享、交易、委托處理重要數據的，應當征得有關部門同意。

最后，在處理重要數據的基本原則上應滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求，處理核心數據的系統依照有關規定從嚴保護。

《個保法》則將個人信息中的敏感個人信息做了單獨的區分，對其處理規則做了特殊規定。相較于一般類型的個人信息，敏感個人信息一經泄露，更容易侵害自然人的人格尊嚴或人身、財產安全。只有在具備特定的目的與充分的必要，并采取嚴格保護措施的情況下，方可處理敏感個人信息。處理個人信息應當取得個人的單獨同意。

《管理條例》進一步明確，處理敏感個人信息應取得個人的單獨同意，并具體到身份認證這一使用敏感個人信息的具體場景，明確數據處理者利用生物特征進行個人身份認證的，應當對必要性、安全性進行風險評估，不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其個人生物特征信息。這就為進一步規范壓實數據處理者，特別是擁有海量復雜數據的互聯網平臺在保護數據安全和規范數據使用上的義務與責任的設定與落實，提供了科學的具有可操作性的規則與依據。

多法協同統籌平臺發展中數據安全與利用

區別于一般的數據處理者，互聯網平臺一方面通過提供“零價格”服務獲取用戶的數據，積累了大量數據資源用來優化產品、提升算法，進而獲取更高的市場份額。另一方面，數據資源也構筑了市場進入壁壘，初創企業相較于在位企業盡管可能具有技術與理念上的優勢，然而，受限于缺少相關的數據資源，可能難以進入相關市場。與此同時，平臺一旦占有大量數據，也有可能實施侵害消費者隱私的行為?！秱€保法》《分類分級指南》《責任指南》及《管理條例》中，均體現了互聯網平臺應在保障數據安全的基礎上，促進數據流通與分享，打破數據壟斷、數據封鎖的發展理念。

《管理條例》將互聯網平臺運營者與大型平臺運營者進行了區分。其中大型互聯網平臺運營者用戶數量較多，社會動員能力和市場控制能力較強，還會處理大量個人信息與重要數據。相較于普通的平臺，大型互聯網平臺運營者應當委托第三方每年對其數據安全、個人信息保護、數據開發利用等情況進行審計，清晰體現了我國兼顧數據安全與數據開發利用的規制思路。同時，《管理條例》也依據平臺運營的業務內容，將提供即時通信服務的平臺運營者區分為提供個人通信和非個人通信，對個人通信的信息按照個人信息保護要求嚴格保護，非個人通信的信息按照公共信息有關規定進行管理，以分類施策來平衡平臺所負有的數據安全與享有的數據發展之間的平衡。

《分類分級指南》則將互聯網平臺分為超級平臺、大型平臺、中小平臺三級?！敦熑沃改稀穭t在此分級基礎上，重點對超大型平臺經營者的治理進行了規定。超大型平臺經營者一方面應加強數據管理、內部治理、風險評估與風險防控，提高平臺內經營者合法合規經營的意識，避免出現危害數據安全的行為；另一方面，應積極發揮其公平競爭示范上的引領作用，在與平臺內其他經營者競爭時，無正當理由不可使用其他經營者或用戶產生的非公開數據。平臺自治應堅持平等治理，不得假借“治理”之名而實施“自我優待”行為?；诖?，互聯網平臺應在保障數據安全的基礎上，開放生態，努力推動不同平臺之間的互聯互通，促進數據的流通，促進市場上的創新。

《個保法》則對平臺發展所涉及的海量的個人（數據）信息的安全保護與合理利用提供了規制工具，體現了“保護優先”下平衡數據利用的治理思路。譬如《個保法》第四十五條所規定的個人信息可攜權，雖然是對個人對其自身信息處分權利的豐富，但是對作為主要的個人信息處理者的互聯網平臺如何合規開放與利用個人信息（數據）提供了切實可用的工具。

總體看來，我國已認識到并積極搭建促進平臺經濟規范發展、穩中求進的系統法治構造。為進一步理清和處理好平臺發展中數據安全與開放利用的合理配位關系，需切實有效結合《數安法》《個保法》《責任指南》《管理條例》等不同法律法規文件，審慎權衡不同利益，結合數據行為發生的具體場景，針對不同類型、不同周期的數據采取相應的保護措施，對不同類型、不同級別的平臺賦予相應的數據安全保障與數據開放利用的義務與責任，搭建多法協同、多工具協力的數據治理體系，以數據安全為中主線，廓清和筑牢平臺經濟規范發展的基線與底線。

（陳兵系南開大學法學院教授、競爭法研究中心主任，夏迪旸系南開大學競爭法研究中心研究人員。本文系教育部人文社會科學重點研究基地重大項目“全球數據競爭中人權基準的考量與促進研究”的階段性成果）