數據分類分級是數據使用、管理、保護和安全防護的基礎，也是當前數據安全治理中的難點和關鍵。

　　11月14日，國家網信辦公布《網絡數據安全管理條例（征求意見稿）》（以下簡稱《征求意見稿》），并向社會公開征求意見。5個月前，《中華人民共和國數據安全法》（以下簡稱《數據安全法》）經第十三屆全國人民代表大會常務委員會第二十九次會議通過。該法已于9月1日起正式施行。

　　《數據安全法》和2017年6月1日施行的《網絡安全法》，作為網絡數據領域最重要的兩部基礎性法律，集中體現了當前的數據安全監管思路。

　　數據分類分級是關鍵

　　《網絡安全法》的通過時間是2016年11月7日，到正式實施有半年多的過渡期。而《數據安全法》從通過到施行，只有不到三個月的過渡期。在《數據安全法》施行還不到3個月，國家網信辦又公布了此次《征求意見稿》。作為法律適用的細則，應為執法和適法的迫切需要。

　　根據媒體梳理出的若干“亮點”去看，其中一些內容大多是《網絡安全法》《數據安全法》或《個人信息保護法》的既有規定。《征求意見稿》可將正在施行中的法律進行細化，但基于立法位階不能突破上位法的既有規定，這是法治常識。

　　比如，不少媒體關注了《征求意見稿》提及“國家建立數據分類分級保護制度”，這其實也是《數據安全法》的亮點之一。數據分類分級是數據使用、管理、保護和安全防護的基礎，當然，也是當前數據安全治理中的難點和關鍵。

　　《數據安全法》僅僅提出了一個名詞，這次《征求意見稿》則按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護措施。國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。

　　也有些條款，顯然是《征求意見稿》對當前數據安全管理實踐的反饋。比如，《征求意見稿》第十三條針對“處理一百萬人以上個人信息的數據處理者赴國外上市的”“數據處理者赴香港上市，影響或者可能影響國家安全的”等情況，明確數據處理者應當按照國家有關規定，“申報網絡安全審查”。就此去看，一些互聯網平臺企業想要在巨量數據未經審查的情況下，赴國外或香港上市，都將成為不可能的任務。

　　細化個人信息保護舉措

　　此次《征求意見稿》，在強化國家安全的同時，對個人信息保護也有不少的細化舉措。此前，網上流傳的一段調侃稱，網絡時代我們說過最多的謊言，就是“我已詳細閱讀并同意用戶服務協議及隱私保護政策”。

　　大多數時候，我們為什么在并未仔細閱讀網絡服務提供商的用戶服務協議及隱私保護政策，就忙不迭地點選了“同意”及“下一步”？原因無外乎從眾心理，以及那些密密麻麻的協議文字實在太長、太繞，又太難理解。這對于普通公眾而言，不僅晦澀，而且多少有些繁瑣。

　　為此，《征求意見稿》在第二十條明確，“數據處理者處理個人信息，應當制定個人信息處理規則并嚴格遵守。個人信息處理規則應當集中公開展示、易于訪問并置于醒目位置，內容明確具體、簡明通俗，系統全面地向個人說明個人信息處理情況”。

　　將簡明扼要、通俗易懂地明確雙方的權責利，作為對數據處理者或服務提供商在提供用戶協議等格式合同時的具體要求，無疑說出了大多數用戶的心聲。

　　當然，此次《征求意見稿》也回應了外界對網絡安全監管過嚴的某種擔憂。在一些領域，我們曾經有過“一放就亂，一亂就收，一收就死，一死又放”的循環。網絡數據安全管理會不會也如此？

　　在數據法治時代，安全與發展任一方的失衡，都將是立法的失敗和產業的災難。為此，《征求意見稿》特別強調了“安全與發展并重”原則，“國家統籌發展和安全，堅持促進數據開發利用與保障數據安全并重，加強數據安全防護能力建設，保障數據依法有序自由流動，促進數據依法合理有效利用”。

　　這表明，解決發展中的安全問題，并不是要扼殺數據產業的發展，而恰恰是為了讓數據產業在有序和安全的軌道上更好地發展。

　　□王琳（法律學者）