国家互联网信息办公室11月14日对外公布《网络数据安全管理条例（征求意见稿）》（以下简称《征求意见稿》），向社会公开征求意见。《征求意见稿》明确提出，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息；不得利用数据在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍；无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件等。《征求意见稿》共九章七十五条。

中国信息安全研究院副院长左晓栋认为，《征求意见稿》同时涵盖了数据安全和个人信息保护问题，倡导性条款很少，重在对上位法的制度设计进行落地，并创设新的制度。

左晓栋进一步指出，该条例的上位法有三个，分别是网络安全法、数据安全法和个人信息保护法。本条例作为行政法规，执行、细化、补充前述三部上位法的规定，同时进一步增强了数据安全法律体系的完备性和可操作性。

不得强制个人同意

收集其个人生物特征信息

记者注意到，《征求意见稿》总则部分共7条规定。第三条明确，国家统筹发展和安全，坚持促进数据开发利用与保障数据安全并重，加强数据安全防护能力建设，保障数据依法有序自由流动，促进数据依法合理有效利用。

第五条明确，国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

在个人信息保护一章中，《征求意见稿》明确，数据处理者处理个人信息，应当具有明确、合理的目的，遵循合法、正当、必要的原则。数据处理者利用生物特征进行个人身份认证的，应当对必要性、安全性进行风险评估，不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式，以强制个人同意收集其个人生物特征信息。

左晓栋指出，考虑到一百万人以上个人信息可能产生较大影响，拥有此类数据的机构应当承担更多的保护义务，故本章规定，处理一百万人以上个人信息的，还应当遵守本条例对重要数据处理者作出的规定。

不得超出安全评估范围规模等

向境外提供个人信息和重要数据

左晓栋介绍，第五章“数据跨境安全管理”在网络安全法、数据安全法和个人信息保护法基础上，对数据跨境流动规则进行了完善，较完整地建立了数据出境安全管理制度。包括个人信息出境前同意、数据出境安全评估、数据出境安全管理义务、数据出境情况报告等。

《征求意见稿》提出，数据处理者向境外提供在中华人民共和国境内收集和产生的数据，属于以下情形的，应当通过国家网信部门组织的数据出境安全评估：

• 出境数据中包含重要数据；

• 关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息；

• 国家网信部门规定的其它情形。

《征求意见稿》明确， 数据处理者向境外提供数据应当履行以下义务：

（一）不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息；

（二）不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据；

（三）采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全；

（四）接受和处理数据出境所涉及的用户投诉；

（五）数据出境对个人、组织合法权益或者公共利益造成损害的，数据处理者应当依法承担责任；

（六）存留相关日志记录和数据出境审批记录三年以上；

（七）国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示；

（八）国家网信部门认定不得出境的，数据处理者应当停止数据出境，并采取有效措施对已出境数据的安全予以补救；

（九）个人信息出境后确需再转移的，应当事先与个人约定再转移的条件，并明确数据接收方履行的安全保护义务。

《征求意见稿》明确，国家建立数据跨境安全网关，对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等，不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。境内用户访问境内网络的，其流量不得被路由至境外。

无正当理由不得限制

用户访问其他互联网平台

左晓栋指出，在“互联网平台运营者义务”一章，《征求意见稿》规定了互联网平台运营者应当履行的数据安全相关义务，包括披露数据相关的平台规则、隐私政策和算法策略，履行第三方安全管理义务，即时通信服务商设立个人通信和非个人通信选项，不得利用数据以及平台规则实施不正当竞争或限制，履行平台上应用程序分发管理义务，平台间通信的数据互通，履行个性化推荐安全义务，优先使用国家网络身份认证公共服务基础设施，开展年度合规审计等。

《征求意见稿》要求，互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度，及时披露制定程序、裁决程序，保障平台规则、隐私政策、算法公平公正。日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

《征求意见稿》强调，互联网平台运营者不得利用数据以及平台规则等从事以下活动：

（一）利用平台收集掌握的用户数据，无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为；

（二）利用平台收集掌握的经营者数据，在产品推广中实行最低价销售等损害公平竞争的行为；

（三）利用数据误导、欺诈、胁迫用户，损害用户对其数据被处理的决定权，违背用户意愿处理用户数据；

（四）在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍，限制平台上的中小企业公平获取平台产生的行业、市场数据等，阻碍市场创新。

《征求意见稿》要求，互联网平台运营者面向公众提供即时通信服务的，应当按照国务院电信主管部门的规定，为其他互联网平台运营者的即时通信服务提供数据接口，支持不同即时通信服务之间用户数据互通，无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。

《征求意见稿》明确，互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的，应当对推送信息的真实性、准确性以及来源合法性负责，并符合以下要求：

（一）收集个人信息用于个性化推荐时，应当取得个人单独同意；

（二）设置易于理解、便于访问和操作的一键关闭个性化推荐选项，允许用户拒绝接受定向推送信息，允许用户重置、修改、调整针对其个人特征的定向推送参数；

（三）允许个人删除定向推送信息服务收集产生的个人信息，法律、行政法规另有规定或者与用户另有约定的除外。

此外，《征求意见稿》指出，大型互联网平台运营者应当通过委托第三方审计方式，每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计，并披露审计结果。互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的，应当按照国家有关规定进行安全评估。

编辑 洪鹏辉 审核 刘杰