2020年8月28日，全国信息安全标准化技术委员会秘书处发布《关于国家标准〈信息安全技术网络数据处理安全规范〉征求意见稿征求意见的通知》，对《信息安全技术网络数据处理安全规范》征求意见稿（以下简称“《征求意见稿》”）公开征求意见，意见征求截至2020年10月27日。

《征求意见稿》规定了网络运营者利用网络开展数据收集、存储、使用、加工、传输、提供、公开等数据生命全周期中各项处理活动所应遵循的规范和安全要求。其适用于网络运营者规范数据处理活动，也适用于主管监管部门对网络运营者数据处理活动进行监督管理，同时，第三方评估机构亦可在该文件指导下开展相关评估工作。

 1  借鉴原有规定

纵观《征求意见稿》，可发现《信息安全技术个人信息安全规范》（以下简称“《个人信息安全规范》”）《数据安全管理办法（征求意见稿）》（以下简称“《管理办法》”）《数据安全法（草案）》《民法典》等法律文件的影子。

如《国家标准〈信息安全技术网络数据处理安全规范〉（征求意见稿）编制说明》（以下简称“《编制说明》”）所介绍，《征求意见稿》的名称几经修改，从原来的《信息安全技术数据安全管理认证规范》到《信息安全技术 数据安全管理基本要求》，再为与《管理办法》和《民法典》中对“网络数据”和“处理”等用词的描述相关要求保持一致而变更为现在的《信息安全技术网络数据处理安全规范》。此外，“重要数据”“个人信息”“个人敏感信息”“个人信息主体”“匿名化”等术语的定义也借鉴了原有规定。

在具体内容上，以《征求意见稿》与《管理办法》的对比为例，较突出的有四处：

首先，在“数据安全负责人”上，《征求意见稿》6.1的要求与《管理办法》第十七条、第十八条对数据安全负责人的任职标准与职责的规定相差无几。

其次，在“数据出境”上，与《管理办法》相同，《征求意见稿》亦禁止了境内用户访问境内网络的流量被路由到境外。

再次，在“信息合成”上，《征求意见稿》同样要求利用大数据、机器生产、人工智能等技术自动合成文字、图片、音视频等信息的网络运营者应以明显方式提示用户。

此外，在“信息转发”上，《征求意见稿》除了沿袭《管理办法》第二十五条的相关规定——“对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识”，更进一步将用户在即时通信等社交平台上发送的信息分为私人信息和可转发信息，并提出不同处理要求：

5.7 私人信息和可转发信息的处理方式

即时通信等社交平台运营者宜为用户提供发送私人信息和可转发信息的选项，并按照以下方式处理：

a)对以私人选项发送的信息予以严格保护，不提供转发功能；

b) 对以可转发选项发送的信息，或者转发此类信息的，同时发送信息始发者在该平台上的账号名称，该账号名称唯一且不可更改。

这一改变除了督促提醒用户对自己的网络行为负责、加强自律外，“私人信息”分类的细化还扩大了用户的选择空间，使其拥有更大的决定权，更符合知情同意原则的个人信息保护精神。

 2  突出“安全”要求

虽如前所述，《征求意见稿》吸收了原有规定的相关内容，但《征求意见稿》并不是原有规定的简单整合或重复，与《个人信息安全规范》《民法典》等强调个人信息主体人格尊严保护不同，“安全”在《征求意见稿》中显得更为突出。

《编制说明》提到《征求意见稿》在编制过程中主要研究分析了包括GB/T22080-2016/ISO/IEC27001:2013《信息技术安全技术 信息安全管理体系 要求》、GB/T35273-2017《信息安全技术 个人信息安全规范》、GB/T35274-2017《信息安全技术 大数据服务安全能力要求》、ISO 27701-2019《安全技术—隐私信息管理的ISO/IEC27001和ISO/IEC27002的扩展—要求和准则》和GB/T37988-2019《信息安全技术 数据安全能力成熟度模型》在内的系列标准，这些标准都是从数据安全的某一个侧面提出了数据安全的相关要求，无法直接采用某一标准作为认证依据，《征求意见稿》在吸收借鉴的基础上采取了特殊的结构形式，提出了一个更为系统的数据安全规范体系。

《征求意见稿》先从“数据识别”“分级分类”“风险防控”“审计追溯”四个方面提出数据处理总体要求，为网络运营者的网络数据处理活动划定规范边界。

而后，《征求意见稿》从对数据“收集”“传输和存储”“加工”“公开”“定向推送及信息合成”“个人信息查阅、更正、删除及用户账号注销”“私人信息和可转发信息的处理方式”“投诉、举报受理处置”“访问控制与审计”“向他人提供”“数据删除和匿名化处理”“数据出境”“第三方应用”等方面提出数据处理具体要求，为网络运营者利用网络开展数据处理活动提供了更具操作性的指引。以第三方应用接入管理为例，《征求意见稿》5.13借鉴《个人信息安全规范》的第三方接入管理要求，细化《管理办法》第三十条相关规定，更全面地提出加强第三方应用数据安全管理的操作指引。

最后，除设置数据安全负责人外，《征求意见稿》在第六部分还增加和细化了“人力资源保障与考核”及“事件应急处理”的内容。根据《征求意见稿》，网络运营者应建立人力资源考核制度，明确数据安全管理考核指标和问责机制，对相关人员特别是重要岗位人员的履职情况进行考核。出现数据安全重大事件时，直接负责的主管人员和其他直接责任人员需被问责。

 3  新增突发公共卫生事件个人信息保护内容

在2019年新冠肺炎疫情防控期间，为把握人口流动情况、分析预测确诊、疑似患者以及密切接触人员等重点人群信息，需积极利用包括个人信息在内的大数据支撑联防联控工作，然而在此期间，个人信息泄露，过度收集等问题频频发生。此次《征求意见稿》单列“突发公共卫生事件个人信息保护”一节，是对当前社会热点事件和突出问题的有力回应。

在突发公共卫生事件中，能够利用个人信息为社会提供位置、行踪查询等信息服务的网络运营者必须为国务院卫生健康行政部门或者省级人民政府有关部门指定的机构（以下简称“指定机构”），其需按照与国务院卫生健康行政部门或者省级人民政府有关部门签订的服务合同或者其他有约束力的协议，履行个人信息保护要求，承担违约责任。

知情同意原则、最小化原则、目的明确原则仍是指定机构在突发公共卫生事件中需坚持的个人信息保护基本原则。但为控制事件扩大、减轻事件危害，经有关部门同意可进行特殊处理。

结语

《征求意见稿》系统全面地考虑数据安全和个人信息保护的综合要求，在借鉴原有规定的基础上，突出个人信息管理、重要数据和组织关键运营数据处理的安全要求，并新增突发公共卫生事件个人信息保护内容回应现实需求，为网络运营者的数据处理活动提供了更具操作性的指引，亦为主管监管部门的监督管理和认证机构的安全管理认证工作的开展提供有利参考。这有利于推动进一步落实我国大数据发展战略，促进数字经济的健康发展。

因此，建议网络运营者不仅应密切关注《征求意见稿》的后续制定动态，还可积极投入到《征求意见稿》的意见征求环节之中（截至10月27日），同时早做准备，参照《征求意见稿》相关要求对自身数据处理活动进行评估和整改，以有效应对《征求意见稿》及相关措施的后续出台与实施。

来源：微信公众号“大数据法律研究”