《互联网平台停服数据处理安全要求（征求意见稿）》（以下称“意见稿”）由全国网络安全标准化技术委员会（由国家标准委领导，业务上受中央网信办指导。）在8月7日发布，是对互联网平台停服后数据（含个人信息，后文同）处理的指引。

《意见稿》的适用规范第一条（《意见稿》自称“章”，考虑篇幅较短，笔者改称“条”）已明确说明：两个主体、一个要求。两个主体是指互联网平台数据处理者以及主管监管部门，一个要求是指停服数据处理的要求（特别点出重要数据的处理）。其次，对重要意见稿中所指的重要术语特别定义，体现在“2.1 互联网平台 internet platform”及“2.2 停服 shut down”，这里需要重点留意：前者是在通识理解的基础上作了扩充解释，既在定义中做了扩充解释，也在具体所指中特别说明，包括但不限于网站、移动互联网应用程序（App）、小程序等，说明规制的对象十分广泛；后者需要注意，这里的“停服”不能仅理解为因原服务主体的“消亡”而导致永久性停止提供服务，应作特定状态理解，通过该术语定义之“合并、分立、解散、被宣告破产等原因”以及第4条、第5条之数据删除、转移、继续保存等规定可知，原服务主体可以根据客观的具体情形，选择/顺应采取删除数据、转移数据（如原互联网平台通过合并、分立、重组等商业安排后，“新”主体承继前者数据，可以继续提供服务，在完成商业安排之前需遵守意见稿的规定要求）、继续保存数据（具备特别条件等，亦存在继续使用的情形）等措施。“2.3 重要数据 key data ”特别说明是强调之故，并引用GB/T 25069《信息安全技术 术语》作为概括性、兜底性规定（GB/T 25069中有对重要数据 key data的特别规定）

《意见稿》的第三条是对“互联网平台停服”状态下数据处理的一般要求，共7款，其中a）、b）两款对互联网平台运营者提出数据及个人信息的分类、分级要求，并引用了第2个国标GB/T43697《数据安全技术 数据分类分级规则》，GB/T43697不仅对数据的分类、分级做了具体指引，关于个人信息分类亦作示例（参见GB/T43697附录B）；至于敏感个人信息和个人信息的区分，笔者建议可参考国标GB/T 35273—2020《信息安全技术 个人信息安全规范》；c) 款是数据保障措施，不必累述；其余款项分别是“停止收集”要求；未成年人个人信息的特别保护，这需要互联网平台运营者要作区分并有针对性通知，建议在停服通知中同时添加针对未成年人的个人信息的特别/保护说明，以便符合合规要求；f）是特别说明，督促及时处理停用的App、小程序等软件；g）是转移数据情形的合规建议。

第4条是对“个人信息处理要求”的规范，分别从“处置公告”、“转移个人信息”、“继续保存个人信息”、“委托处理个人信息”、“个人信息删除”五个方面进行合规要求，其中所涉及的相关数字（如30个工作日、15个工作日、1000万以下）以及具体适用条件（主要体现在“4.4 继续保存个人信息”一款中）需要特别留意，另外对于“个人信息的删除”处理，《意见稿》给出了进行评估的建议，虽是建议，实操中建议采用，以便提高合规能力减少风险，如互联网平台运营者既涉及“转移”又涉及“删除”，或还涉及“委托处理”等情形，应该需要同时符合《意见稿》的合规要求。

第5条是对“重要数据处理要求”的规范，在满足第4条的基础上，分别“处置方案报告”、“重要数据删除”、“重要数据转移”三个方面进行合规要求，同上涉及的相关数字（如45个工作日、1000万以上）要特别留意。不同于“个人信息处理要求”，重要数据（含1000万人以上的个人信息）的删除，必须作评估，以确保重要数据和个人信息不可被识别、恢复，评估报告应当至少保存三年。至于“重要数据”具体所指或判断，除包括1000万人以上个人信息的情形，另需参考国标GB/T 25069、GB/T43697的规定以及其他国家标准。故在进行停服数据处理前，需要进行数据的分级、分类工作。

首发：微信公众号“民法商律”