​2019年5月28日，国家互联网信息办公室发布了《数据安全管理办法（征求意见稿）》（以下简称“征求意见稿”），被誉为中国版的“GDPR”（General Data Protection Regulation，欧盟一般数据保护法，也被称为史上最严数据保护法）。征求意见稿全文分为五章共四十条（注：GDPR分为11章共99条），核心部分为第二章“数据收集”和第三章“数据处理使用”。

第二章“数据收集”应该吸收借鉴了“GDPR”的一些思路，同时也结合了我国实践中关于数据收集的现实情况，亮点较多。第三章“数据处理使用”有较多条款超出了数据安全管理的范畴，应该归类于网络信息传播规范，立法者的思路似乎并不局限于数据安全管理，笔者对此持一定保留意见。

此外，征求意见稿很多条款仅是原则性规定，实施细则还需进一步明确，但征求意见稿中部分概念来源于《信息安全技术个人信息安全规范》（GB/T 35273-2017），加之《信息安全技术个人信息安全规范》本身对操作的指示性就比较强，所以未来的实施细则（当然前提是《数据安全管理办法》得正式实施）更多会遵循《信息安全技术个人信息安全规范》的内容。

下面就逐条对征求意见稿的内容进行逐一分析吧。

第一条 为了维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全，根据《中华人民共和国网络安全法》等法律法规，制定本办法。

第一条是立法目的，与欧盟的GDPR（一般数据保护法）只提保护自然人不同，中国将“维护国家安全和社会公共利益”放在了“保护公民、法人和其他组织的合法权益”之前。从立法目的的外延上，“征求意见稿”比GDPR要更广一些。

第二条 在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动（以下简称数据活动），以及数据安全的保护和监督管理，适用本办法。纯粹家庭和个人事务除外。

法律、行政法规另有规定的，从其规定。

第二条提纲式地将“征求意见稿”分为两大部分：数据活动与数据安全保护。

然后又将数据活动分为“收集、存储、传输、处理、使用”，但其中核心关键应为收集、处理和使用。

第一款“纯粹家庭和个人事务除外”的例外条款，由于省略了主体描述，所以存在歧义。从立法目的来看，应该是指个人或家庭为了自己个人事务或自己家庭事务而开展的数据活动——例如妻子每个月查看丈夫的信用卡账单之类。而非只要是涉及家庭或个人事务的数据就不受办法的约束。笔者认为在正式稿中会做修正。

第三条 国家坚持保障数据安全与发展并重，鼓励研发数据安全保护技术，积极推进数据资源开发利用，保障数据依法有序自由流动。

这条有一点很值得关注“保障数据依法有序自由流动”——保障数据“自由流动”是比较新的提法，可以认为在合法有序的前提下，数据的自由流动是被国家鼓励的，这对从事大数据业务的公司是比较利好的消息。

第四条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁，保护数据免受泄露、窃取、篡改、毁损、非法使用等，依法惩治危害数据安全的违法犯罪活动。

笔者认为在正式稿中这一条可能会有所调整——首先“采取措施”应该是指采取技术措施；其次，“国家”这一概念过于宽泛，缺乏具体执行机构，正式稿中应该会明确具体的执行机构；第三，如果针对来自境外的数据安全风险和威胁采取措施是国家责任的话，那么来自于境内的数据泄漏、窃取就属于防不胜防了，如果将这也划归为国家责任的话，从立法技术上来说显然不够合理。

第五条 在中央网络安全和信息化委员会领导下，国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。

地（市）及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。

网信部门基本上负责了所有与互联网相关的监管责任。

第六条 网络运营者应当按照有关法律、行政法规的规定，参照国家网络安全标准，履行数据安全保护义务，建立数据安全管理责任和评价考核制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训。

本条属于纲领式的表述，其内容与《网络安全法》相比，网络运营者多了“开展数据安全风险评估”与“组织数据安全教育、培训”两项。

第七条 网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中，也可以其他形式提供给用户。

网络运营者需要关注的是，收集规则和使用规则“应当分别制定并公开”。

第八条 收集使用规则应当明确具体、简单通俗、易于访问，突出以下内容：

（一）网络运营者基本信息；

（二）网络运营者主要负责人、数据安全责任人的姓名及联系方式；

（三）收集使用个人信息的目的、种类、数量、频度、方式、范围等；

（四）个人信息保存地点、期限及到期后的处理方式；

（五）向他人提供个人信息的规则，如果向他人提供的；

（六）个人信息安全保护策略等相关信息；

（七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法；

（八）投诉、举报渠道和方法等；

（九）法律、行政法规规定的其他内容。

公开的收集使用规则内容有非常多的亮点，同时也留下了许多疑问。

1.   “（二）数据安全责任人的姓名及联系方式”。“数据安全责任人”是一个非常新鲜的概念，担任责任人需要什么资质？如果发生数据安全事故，责任人该接受什么处罚？网络运营者是否可以随意更换责任人？结合下文第十七条的规定来看，如果不涉及重要数据或个人敏感信息收集的，是否还必须要公示数据安全责任人的姓名和联系方式呢？

当然此外还有一个问题：联系方式是否必须是能够直接联系到个人的方式？如果联系方式就是公司客服联系方式，那么公开负责人与责任人的联系方式其实就是一句空话；如果是私人联系方式，那负责人与责任人的合法权利又如何保障呢？

这些问题都有待解决。

2.   “（四）个人信息保存地点、期限及到期后的处理方法”非常有新意。但同样留下了几个问题：保存地点到底指物理地址还是网络地址？如果是物理地址，那么需要详细到什么地步？因异地灾备需要而增加的保存地址，是否也需要一一公开？到期后处理方法通常是删除，但是否需要做到不可恢复？处理方法是否需要详细到具体技术措施？网络运营者是否可以自行变更保存地点、处理方式？

3.   “（五）向他人提供个人信息的规则，如果向他人提供的”笔者从中国政府法制信息网（www.moj.gov.cn）上下载的文字就是这样的，这个病句在正式稿中肯定会被修正。

4.   “（七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法”这条规定意味着我国会参照GDPR的规定，我们也会有个人信息的删除权（Right to erasure，也有人称之为“被遗忘权（Right to be forgotten）”）。

第九条 如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。

这条规定明显基于现实中广大用户不仔细阅读用户协议而设——由于绝大部分用户在注册时，不会仔细阅读用户协议和隐私政策，所以很多网络运营者都会将诸多不利于用户的约定加入其中。

本条要求“仅当用户知悉收集使用规则并明确同意后”才可以收集个人信息，等于要求用户必须单独就信息收集使用规则进行确认，过去网络运营者将规则藏在长篇文字中蒙混过关的做法会得到遏制（当然，用户也有可能在单独确认的情况下，仍然不仔细阅读，但立法只能帮到这里了）。

第十条 网络运营者应当严格遵守收集使用规则，网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致，同步调整。

本条应该与第三十七条的罚则条款配合起来。

第十一条 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。

个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

第一款是第九条的进一步细化——第九条要求用户必须知悉且明确同意收集使用规则，所以从逻辑上也必须否定默认授权、功能捆绑等形式的授权。

第二款虽然没有明确陈述，但有信息收集“必要限度原则”的意味——收集的信息以能够满足提供核心业务功能服务为限度。但美中不足的是毕竟没有直言“信息收集以必要为限度”，所以依然有缺憾。

第十二条 收集14周岁以下未成年人个人信息的，应当征得其监护人同意。

从我国法律体系来看，虽然未满18周岁的都属于需要保护的未成年人，但是唯独刑法对未满14周岁的未成年人有特别保护的规定（刑事责任年龄以14周岁为界、性侵未满14周岁的犯罪从重处罚等）。“征求意见稿”以14周岁为界限，应该是参照了刑法的标准，笔者大胆推测一下，下一次刑法修正案是否会将非法获取未满14周岁未成年人信息作为侵犯公民个人信息罪的一种加重情节呢？

第十三条 网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，对个人信息主体采取歧视行为，包括服务质量、价格差异等。

从事互联网金融的从业者可能会对这条规定有不同意见。

第十四条 网络运营者从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务。

这条值得玩味，因为根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》，实际上我国几乎不存在合法地通过直接收集以外的“从其他途径获得个人信息”的可能，这条的“同等保护责任和义务”又从何谈起呢？

这是否意味着以后会有限度地逐步放开个人信息的公开？

第十五条 网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

根据《信息安全技术个人信息安全规范》（GB/T 35273-2017），“个人敏感信息”指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等。

“所在地网信部门”到底指哪一个行政级别需要进一步明确。

此外，需要注意的是：收集这些数据需要的只是“备案”而不是批准。

第十六条 网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

这里的网络运营者应该特指从事信息收集的征信公司、调查公司、数据分析公司等。

第十七条 网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。

数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。

这是对第八条的细化，但同样存在之前的疑问：

担任责任人需要什么资质？如果发生数据安全事故，责任人该接受什么处罚？网络运营者是否可以随意更换责任人？

第十八条 数据安全责任人履行下列职责：

（一）组织制定数据保护计划并督促落实；

（二）组织开展数据安全风险评估，督促整改安全隐患；

（三）按要求向有关部门和网信部门报告数据安全保护和事件处置情况；

（四）受理并处理用户投诉和举报。

网络运营者应为数据安全责任人提供必要的资源，保障其独立履行职责。

本条是对第八条与第十七条数据安全责任人职责的进一步细化。

第十九条 网络运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。

“国家有关标准”应该指的是《信息安全技术个人信息安全规范》（GB/T 35273-2017）。

第二十条 网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当及时删除其个人信息，经过处理无法关联到特定个人且不能复原（以下称匿名化处理）的除外。

匿名化的要求同样来源于《信息安全技术个人信息安全规范》（GB/T 35273-2017）。

第二十一条 网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

笔者认为，本条规定严格意义上并不属于“数据安全”的范畴。

第二十二条 网络运营者不得违反收集使用规则使用个人信息。因业务需要，确需扩大个人信息使用范围的，应当征得个人信息主体同意。

此处隐含了一个逻辑：网络运营者可以超过（最初的）业务需要收集用户个人信息（当然，需要基于用户同意的前提）。否则就不应该是“确需扩大个人信息使用范围”，而应该是“确需扩大个人信息收集使用范围”的表述了。

第二十三条 网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称“定向推送”），应当以明显方式标明“定推”字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。

网络运营者开展定向推送活动应遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。

严格来说，本条规定实际上已经超出了“数据安全”的范畴，触及到了互联网信息服务业务的规范问题，理论上应该由其他规范性文件予以规定。但是由于目前大量定向推送信息都是基于未授权情况下的用户数据收集，所以本条规定对这种业务而言是“釜底抽薪”之举。

第二十四条 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明“合成”字样；不得以谋取利益或损害他人利益为目的自动合成信息。

同上一条一样，第二十四条也不属于“数据安全”范畴。但考虑到目前这种类型的业务正处于缺乏监管规定的现状，以及无论什么业务最后都归网信部门监管的客观情况，所以将亟需解决的问题放到已经进入立法程序的规定中予以规制，好像也无可厚非。

第二十五条 网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律，对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。

这一条或许可能打破网络空间服务提供商常用的“避风港原则”——因为网络运营者对用户转发的信息有义务标注“信息制作者的账户”或“不可更改的用户标识”，其需要承担比“告诉—删除”更多的责任，如果网络运营者没有尽到自动标注的义务，那就可能因此承担后果。

而且我注意到“征求意见稿”使用了“自动标注”字样，这表示网络运营者需要通过代码来实现这一功能，也就是说网络运营者的注意义务应当要及于代码的层面。

当然，这条也同样不属于“数据安全”。

第二十六条 网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实立即停止传播并作删除处理。

这条规定有点“鸡肋”，没有它似乎逻辑上不完整，但有了它又没有太大意义。

第二十七条 网络运营者向他人提供个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意。下列情况除外：

（一）从合法公开渠道收集且不明显违背个人信息主体意愿；

（二）个人信息主体主动公开；

（三）经过匿名化处理；

（四）执法机关依法履行职责所必需；

（五）维护国家安全、社会公共利益、个人信息主体生命安全所必需。

从二十三条至二十六条，基本都与“数据安全”无关，第二十七条重新回到“数据安全”的内容。

本条规定了网络运营者合法的、无需经信息主体同意，向其他第三方提供用户个人信息的集中情形。笔者认为，第（四）、（五）项还需要进一步的实施细则。

第二十八条 网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。

向境外提供个人信息按有关规定执行。

第一款是重要数据的保护，只要是重要数据，其发布、共享、交易、向境外提供（其实某种意义上，发布就等于向境外提供了）就必须事先取得批准。

第二款向境外提供个人信息，包含了个人一般信息和敏感信息，无论何种信息都需要经过批准才能向境外提供。

第二十九条 境内用户访问境内互联网的，其流量不得被路由到境外。

笔者认为这条在正式稿中会做语言上的调整，尤其是“流量”、“路由”两个用词会更加规范。

本条要表达的意思应该是，境内用户访问境内互联网期间，不允许“绕道”境外网络。从用语来看，应该指网络运营者不得从事相关行为。

第三十条 网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

这条规定是基于现实情况所做出的，在一些网络销售平台上搭载了许多其他第三方，一旦发生数据泄漏，用户往往无法明确到底谁是责任人，而这条规定明确网络运营者适用过错推定原则，在不能自证无过错的情况下就需要承担责任。

但美中不足的是，规定使用了“第三方应用”这样的词语，“应用”作为名词通常是“应用程序”的简称，所以这里是否就是指“应用程序”？还需要进一步规范用词。另外，如果就是指应用程序，那么就限缩了网络平台搭载第三方的范围——很多第三方并无“应用”，但通过网络平台收集、交换数据，并且基于此提供核心业务服务，如果只强调应用程序的话，无疑是不恰当的。

第三十一条 网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。法律、行政法规另有规定的，从其规定。

本条对数据并未做区分，应该包含所有的数据。

第三十二条 网络运营者分析利用所掌握的数据资源，发布市场预测、统计信息、个人和企业信用等信息，不得影响国家安全、经济运行、社会稳定，不得损害他人合法权益。

严格来说，这条应当属于信息传播行为规范，而不是数据安全规范。

第三十三条 网信部门在履行职责中，发现网络运营者数据安全管理责任落实不到位，应按照规定的权限和程序约谈网络运营者的主要负责人，督促整改。

笔者认为本条在正式稿中会有所修订，加入其它行政处罚内容。

第三十四条 国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。

国家网信部门会同国务院市场监督管理部门，指导国家网络安全审查与认证机构，组织数据安全管理认证和应用程序安全认证工作。

笔者认为，数据安全管理认证与应用程序安全认证在部分领域中应当是强制的，而不是可选择的，例如涉及到个人敏感信息收集及使用的网络运营者。

第三十五条 发生个人信息泄露、毁损、丢失等数据安全事件，或者发生数据安全事件风险明显加大时，网络运营者应当立即采取补救措施，及时以电话、短信、邮件或信函等方式告知个人信息主体，并按要求向行业主管监管部门和网信部门报告。

对于补救措施的执行时间、报告的要求等还需要在实践中进一步明确。

第三十六条 国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要，依照法律、行政法规的规定，要求网络运营者提供掌握的相关数据的，网络运营者应当予以提供。

国务院有关主管部门对网络运营者提供的数据负有安全保护责任，不得用于与履行职责无关的用途。

本条也存在实施细则需要进一步明确的问题。

第三十七条 网络运营者违反本办法规定的，由有关部门依照相关法律、行政法规的规定，根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。

正式稿中，本条行政处罚可能会做更加细化的规定。

第三十八条 本办法下列用语的含义：

（一）网络运营者，是指网络的所有者、管理者和网络服务提供者。

（二）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。

（三）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。

（四）个人信息主体，是指个人信息所标识或关联到的自然人。

（五）重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

第三十九条 涉及国家秘密信息、密码使用的数据活动，按照国家有关规定执行。

第四十条本办法自 年 月 日起施行。