2019年5月28日，国家互联网信息办公室（以下简称“中央网信办”）公布了《数据安全管理办法（征求意见稿）》（以下简称“该办法”或“办法”），向社会公开征求意见。而在一周前的5月21日，中央网信办刚刚公布了《网络安全审查办法（征求意见稿）》。

　　如果说“网络安全”一词因2017年生效的《网络安全法》而为人熟悉，那么相比而言，“数据安全”一词可以说是既熟悉又陌生。2018年9月公布的“十三届全国人大常委会立法规划”中，《数据安全法》赫然在列，然而学界对于这部法律的涵盖范围和规制方式久久无定论。由此，毫不意外，《数据安全管理办法（征求意见稿）》的出台注定夺人眼球。

　　那么，《数据安全管理办法（征求意见稿）》到底是怎样的一部规章呢？纵观这一征求意见稿，以《网络安全法》为上位法，以“网络运营者”为主要的规制对象，规制行为覆盖的数据仍然围绕个人信息和重要数据两类。其中许多关于个人信息的规则与《信息安全技术 个人信息安全规范》（GB/T35273-2017）（以下简称“《个人信息安全规范》”）相近。

　　此外，该办法中还存在许多规定令人眼前一亮，比如负有重要数据跨境传输评估义务的主体范围较《网络安全法》更大；为了保护用户知情权或他人权益的“定推”、“合成”字样标示义务；以及针对新型争议的“数据爬取”、“自动化洗稿”问题的专门规定，这些均值得加以品评。

　　一、重要数据：跨境传输评估义务范围扩大

　　该办法中最为关键的与重要数据相关的安全义务为跨境传输之前的评估和报批义务。这源于《网络安全法》中的第三十七条，即关键信息基础设施的运营者在境内收集的个人信息和重要数据须进行安全评估。此外，2017年中央网信办公布的《个人信息和重要数据出境安全评估办法（征求意见稿）》对此也有所涉及。

　　该办法第二十八条对此的改变包括三个方面：第一，主体由“关键信息基础设施的运营者”扩大至“网络运营者”；第二，其义务除了安全评估外，还须报有关部门同意或批准；第三；该条的特殊规定仅适用于重要数据而不适用于个人信息。这意味着，对于重要数据而言，跨境传输评估和报批义务主体是范围更大的“网络运营者”。但对个人信息而言，仍然按照《网络安全法》实行，仅“关键信息基础设施的运营者”有义务在跨境传输前进行安全评估。

　　除此之外，增强重要数据安全义务的规则还包括办法的第十七条，即以经营为目的收集重要数据的网络运营者须明确数据安全负责人。在该办法之前，类似义务仅在个人信息的相关规定中出现，如《个人信息安全规范》要求个人信息控制者明确法定代表人或主要负责人对个人信息安全负责。而办法中的该条对以经营为目的收集重要数据或个人敏感信息的网络运营者均施加了这一责任。但须指出的是，何为“以经营为目的”，该办法并未提出明确定义。

　　二、网络运营者之间的不正当竞争

　　该办法较为新颖的若干规定可视为是专门针对网络运营者之间的不正当竞争手段，例如“数据爬取”、“自动化洗稿”等目前及其常见的网络受争议行为。该办法尝试以数据安全的角度对此加以规定，予以定分止争。

“数据爬取”是大数据、人工智能时代的常见技术，即从网站中收集所需的数据并加以利用。对此，该办法第十六条规定，网络运营者采取自动化手段访问收集网站数据，不得妨碍网站的正常运行。如果此类行为严重影响了网站的运行，比如自动化访问收集流量超过网站日均流量三分之一，则当网站要求停止自动化访问收集时，应当停止。该条不仅给出了定性的规则（“严重影响网站运行”），甚至还尝试给出定量的标准（“日均流量三分之一”）。

　　“洗稿”是目前网络内容服务提供商之间容易产生争议的焦点之一。“洗稿”是指对别人的原创内容进行篡改、删减，使其好像面目全非，但其实最有价值的部分还是抄袭的；而利用人工智能进行“自动化洗稿”将使得侵权行为更加不费吹灰之力。该办法的第二十四条规定，如果网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，则应当以明显方式标明“合成”字样。

　　三、新增制度方面的配套规定

　　除了上述的实体性义务之外，该办法还新增了两项配套的制度性规定，用以更好地落实政府部门对数据安全的监督。第一项制度是重要数据和个人敏感信息的备案。该办法第十五条规定，如果网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门进行备案。在此之前，类似的备案制度仅在地方性的规章中出现过。2019年5月8日，天津市互联网信息办公室就《天津市数据安全管理办法（暂行）》公开征求意见，其中第十一条规定市互联网信息主管部门须建立信息备案制度，组织重要数据和个人信息的数据运营者进行备案。两者相比，该办法可能将天津将要推广的做法提前推广至全国，但是范围仅为重要数据和“个人敏感信息”而非“个人数据”。

　　第二项制度是数据安全管理认证和应用程序安全认证制度。该办法第三十四条规定，国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。但关于认证如何进行，办法除规定国家网信部门会同国务院市场监督管理部门进行指导外，未提供进一步的细则。

　　四、数据共享过程中的过错推定责任

　　该办法除了传统的罚则外，还囊括了一条关于过错推定的规定，即第三十条要求网络运营者对接入其平台的第三方应用有督促监督的安全管理职责。且当第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。“过错推定”相较于《个人信息安全规范》中关于个人信息控制者应通过合同等形式与第三方确定安全要求的规定更为严格，且有利于个人信息主体的追责。此外，这一条并未将“过错推定”设限于个人信息的范围内，故应当理解为同样适用于重要数据的安全事件追责。

　　五、个人信息保护义务的对比和加强

　　该办法中关于个人信息的规则与现行的《个人信息安全规范》国家标准异曲同工，例如个人信息主体的同意知情权（第二十二条）；查询、更正、删除个人信息以及注销账号的权利（第二十、二十一条）；向他人提供个人信息前的安全评估义务（第二十七条）等等。

　　广受关注的关于“定向推送”的新则（即个性化推送须标明“定推”字样并提供退出选项）事实上并非本办法首创，而是在近期的立法及执法活动中早已初露端倪。比如，2019年初刚公布新的《个人信息安全规范（草案）》中，以及2019年1月25日中央网信办、工业和信息化部、公安部、市场监管总局四部门联合举行的“App违法违规收集使用个人信息专项治理”发布的相关文件中，均已提及了这一规定。

　　下面以表格形式展现了本办法中和个人信息保护相关的主要规定与《个人信息安全规范》或其他相关文件的内容对比。从中可以看到，部分条款相较于《个人信息安全规范》加强了对个人信息保护的义务。

　　六、结语

　　中央网信办连续两周先后公布《网络安全审查办法（征求意见稿）》和《数据安全管理办法（征求意见稿）》，足见在网络安全和数据安全方面立法进程的明显加速。从文本看来，《数据安全管理办法（征求意见稿）》对个人信息和重要数据进一步施加安全保护，对网络运营者加重了安全保护义务，同时又试图通过新颖的规定解决一些目前盛行的网络数据或权利争议，反映了数据安全的热门议题。该办法如及时获通过，将会填补《数据安全法》出台之前的空白，在关键时期得以承担维护我国数据安全的重任。