为了规范网络数据处理活动，保护个人、组织在网络空间里的合法权益，国家互联网信息办公室基于《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律制定了《网络数据安全管理条例（征求意见稿）》（以下简称“条例”）。当前，该条例正处于修改的关键时间点。对外经济贸易大学数字经济与法律创新中心于近日特邀来自各学术单位、实务部门的学者专家，就条例中现存的问题开展讨论，在辨明分歧的基础上弥合共识，以期有助于后续条例的完善。

中国信通院高级研究员刘耀华首先梳理了条例制定过程中遇到的主要问题。第一，数据分级分类。第二，平台先行赔偿制度。第三，小型个人信息处理者。《个人信息保护法》第62条明确规定网信部门应当依据该法，针对小型个人信息处理者制定专门的个人信息保护规则，那是否有必要在条例中补充小型个人信息处理者的规定以及如何规定？第四，个人通信信息问题。《网络数据安全管理规定》将个人通信信息分为个人通信和非个人通信信息，在条例中要求按照个人信息严格保护个人通信信息，按照公共信息管理非个人通信信息的规定是否合理？第五，数据出境问题。《个人信息保护法》规定数据出境应当具备一定的条件，其中赋予了国家网信部门可以在其他规定中制定一些出境条件的裁量权。那是否可以在本条例中补充数据出境的条件？是否需要明确数据出境条件和安全评估的关系以避免实践产生错误理解？第六，条例的域外适用问题。目前的域外适用规则主要参照的是《个人信息保护法》域外适用规则，但是数据安全并非仅仅局限于个人利益，是否能以结果为导向，只要境外数据相关行为威胁到了我国的国家安全利益或者社会利益则可适用本条例？

北京师范大学互联网发展研究院院长助理吴沈括对此前问题进行了回应。就分级分类而言，以结果为导向分类标准是难以实现的，因为事先对数据进行分级分类需要对整个数据流转利用程序十分了解，且有一种先知先觉的完全预判能力，但这是不现实的。他认为可以适当参考金融监管部门提出的规则和方法论。就小型个人信息处理者而言，他认为小型个人信息处理者的认定标准与人数应当无关，即使是五个人在现有技术水平上足以制造非常严重的事件，应当以处理目的为连接点，如果处理者在处理目的上不具有高度敏感性，可以认为是小型个人信息处理者。就个人通信信息方面，要求按照个人信规则严格保护个人通信信息应当是不全面的，因为个人通信信息最起码应当符合我国宪法所确定的通信自由和通信秘密的制度安排，这其中还有更丰富甚至比个人信息保护更高的标准。就数据出境方面，可以将需要评估的具体情况表述得更加清楚，以免产生误解。且跨境还涉及到域外适用的问题，需要考虑国外的数据保护生态环境。此外，条例中还提到了公共数据的问题。公共数据并非一个单独的数据类型，而是场景的具体描述，既涉及到个人数据也涉及到非个人数据，以何种规则来解决此种多维度合规的问题是目前急需解决的问题之一。

华东政法大学数字法治研究院副院长韩旭至就相关问题进行了深入讨论：第一，个人信息和重要数据的关系。条例第26条规定，数据处理者处理一百万人以上的个人信息就应遵守重要数据规定。但问题在于，除了数量级外还有很多重要维度，如公共健康、国家、经济安全等等，这些维度也应当被置于考虑的范围。但同时也应该排除一些维度，不能够与个人信息内部分类进行随便交叉，首先需要排除的则是公开维度。个人信息是否公开、是否属于私密信息与它是否属于重要数据没有任何关系，但和是否敏感有一定关联，差异则在利益重要性。对于敏感信息利益重要性集中在个人层面，重要数据利益重要性则是要达到国家安全、经济发展、社会公共利益这样一种层面。总体来说重要数据应该从主体、客体特殊性维度以及数量几个标准来判断与个人信息的交叉。第二，公共信息和公共数据的含义和范围。条例第73条对公共数据和公共信息进行了界定。按照一般理解数据和信息的关系，一个是形式一个是内容；这样公共数据应该指向代码层，公共信息指向内容层反映出一些信息。但第73条的界定并非如此，其认为涉及公共利益的各类数据应当归于公共数据范围内并以公共利益进行判断。而公共信息则以公共传播特性为判断标准因素。两者的判断出发点都不一样，完全超脱了数据和信息区分，界定了两个不同的内容，产生了概念上的混淆。由于条例的立法目的是促进数据安全管理，公共信息的概念无需出现在这里。第三，单独同意问题。老师在此回应了王融老师提出的质疑，即在条例中设置新的单独同意情形与个保法相悖。他认为个保法第14条明确规定，行政法规可以对单独同意的场景另行作出规定，因此新增个性化推送中的单独同意不存在问题。但他质疑了条例第73条对单独同意的界定，即单独同意是每项个人信息取得个人同意，认为这种界定是不符合个保法体系解释，因为不可能将单独同意解释为逐项同意。

北京航天航空大学助理教授赵精武以法条为切入点加以剖析。他认为，条例第2条有关域外管辖的规定可能过于抽象，向境内外提供产品或者服务为目的，基本可以囊括了很大一部分处理活动，因此他建议明确两种域外管辖的分类模式，一类向境内提供产品或服务为目的，一类以对境内个人组织行为进行分析和工具评估，明确上述分类也有助于未来跟欧盟数据竞争政策博弈。他还指出，第35条有关数据出境的规定可以就数据出境的类型设置更加具体的出境安全审查流程。第45条对公共信息和公共数据的定义不作处理可能更利于实践操作，公共数据核心在于履行公共职能，基于履行公共职能收集的数据才属于公共数据，其是以实现社会数据资源经济价值为目标的；根据现行法规定，公共信息已经属于政府信息公开的部分，实际范围仅仅局限在政府向社会公众开放的这个政府信息，其目标在于解决行政行为透明度。对于平台先行赔付制度的法律条文，赵精武建议能否考虑增加保险利益条款，确保应当优先采购安全可信的产品或者投保网络安全保险等网络产品与服务。美国欧盟都有类似的保险制度以解决数据泄露的问题，欧盟拥有对于网络安全保险有较为体系的保单类型可供参考，将保险嵌入数据安全管理流程中可以离散很多不确定的风险。至于通信信息的判断标准，赵精武建议不宜在条例中将通信信息的内涵界定得过于清楚，提供一个动态判断标准即可，具体的内容可以留待未来的立法对此进行具体的和说明。

对外经济贸易大学副教授孔祥稳从行政法角度提出了自己的思考。首先，如果作为行政法规的条例坚持采用大立法的体系，则会进一步强化和巩固网络安全概念的泛化。行政法规定位的条例，个人信息保护、平台责任等内容是否应当包含其中？其次，条例中混杂了过多的领域规则，管理性的规范和权利性质的规范导致整部条例没有办法很好处理不同的规制的目标。当我们谈到网络数据安全，可能更多指向的是国家安全和公共利益，但现在的规范包含了大量可能不涉及公共利益和国家安全的私人权利，这样的一些规则在条例中可能没有必要出现。应当把立法定位回归到对于公共性问题的关注，对于网络数据本身涉及到国家安全和公共利益的关注，这样能处理好个人信息和重要数据关系。再者，个人通信信息问题争议很大。第45条的区分规定是否存在限缩通信自由和通信秘密的风险，限缩了权利保护的范围？按照个人信息保护通信信息显然没有按照通信秘密保护得那样严格，可能不符合宪法的规定。他具体认为，通信秘密、个人通信信息和非个人通信信息实际上是保护程度递减的关系，到非个人通信信息时实际上保护强度就很弱了。最后，公共数据的界定。条例实际上扩张了公共数据的界定，因为其具体规定其他组织在提供公共服务中收集产生的数据也属于公共数据，但是“其他组织”包含所有的商业性组织，不再限于传统行政法上讲的承担公共事务的组织，使得整个公共数据的概念完全高度泛化了，应当予以限缩。

中国法学会法治研究所研究员刘金瑞就条例的规范定位和法理逻辑、落实重要数据管理制度提出了自己的思考。征求意见稿部分条款尝试提出同时适用于个人信息和重要数据的一般规则，上位法依据并不充分，可行性也值得商榷。征求意见稿对重要数据范围、重要数据和个人信息二者关系的规定仍需进一步完善，建议明确重要数据认定规则，在此基础上完善数据出境管理制度等，以重要数据为抓手切实管控国家数据安全风险。

对外经济贸易大学数字经济与法律创新中心主任许可主要分享了他对条例体系的看法。首先，法律一般可分为：管理法、促进法、权利法、保护法、交易法，从分类来看，中国网络立法都是混合型的立法，具有公法与私法、多种性质法规叠加的特点。条例的三大上位法都至少具有两种以上的法律属性，但共同点是三者都是管理法。此时，条例的性质确定就有两种解决思路：其一，删繁就简，立足于管理法。其二，求大求全，将上位法的管理性、保护性和交易性等内容都包含在内。目前，条例采取了第二种思路，但也导致了不同原则之间难以平衡，规制主体相互冲突，法律概念无法周延、逻辑体系存在断裂。因此，应当回到管理性质上，落实和细化上位法中的管理性内容。

在学界专家发言后，金杜律师事务所合伙人吴涵律师、世辉律师事务所合伙人王新锐律师、美国科文顿·柏灵律师事务所合伙人罗嫣律师以及来自百度、腾讯、阿里巴巴集团的实务专家均发表了真知灼见。研讨会在热烈的讨论中圆满结束。

真理越辩越名，理论界和实务界的每一次交流都能加深对《网络数据安全管理条例》的理解，而条例在一定程度上决定了未来中国数据治理立法和监管的走向，期待这些讨论促成理性共识的达成。

声明：本文来自数字经济与社会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。