2019年5月28日零時,國家互聯網信息辦公室發布《數據安全管理辦法(征求意見稿)》(下稱“征求意見稿”)。由于數據監管觸及多方利益,《征求意見稿》一經發布,立即引起了廣泛關注。筆者嘗試對《征求意見稿》的內容作出解讀,希望為關注該領域的企業和個人提供幫助。
第一 立法依據
第1條:根據《中華人民共和國網絡安全法》等法律法規,制定本辦法。
【解讀】此處的“法律法規”,筆者認為除了《網絡安全法》外,還應包括《國家安全法》。同時,我國十三屆全國人大常委會立法規劃將《個人信息保護法》和《數據安全法》列為“條件比較成熟、任期內擬提請審議的法律草案”。如果上述兩部法律在第十三屆全國人大常委會通過后,也將成為《征求意見稿》依據之一。
上述法律的層次順序應為:《個人信息保護法》⊂《數據安全法》⊂《網絡安全法》⊂《國家安全法》。
第二 立法目的
第1條:為了維護國家安全、社會公共利益,保護公民、法人和其他組織在網絡空間的合法權益,保障個人信息和重要數據安全。
【解讀】《征求意見稿》的立法目的如上述所示,筆者建議應著重關注“保障個人信息和重要數據安全”的表述,因為《征求意見稿》的內容主要圍繞“個人信息”和“重要數據”兩方面展開。但令筆者感到困惑的是,
根據第十三屆全國人大常委會立法規劃要求,“個人信息”和“數據安全”將分別以《個人信息保護法》和《數據安全法》的形式出臺,也即法律層面意圖將兩者分開,并制定不同法律。《征求意見稿》卻將兩者融合,正文中大篇幅規定“個人信息保護”的內容,標題卻取“數據安全管理辦法”,這在今后立法上是否會出現問題?立法技術上如何調和?值得重視。
第三 適用范圍
第2條:在中華人民共和國境內利用網絡開展數據收集、存儲、傳輸、處理、使用等活動,以及數據安全的保護和監督管理,適用本辦法。純粹家庭和個人事務除外。法律、行政法規另有規定的,從其規定。
【解讀】如何理解此處的“境內”。《電子商務法》在立法范圍上將原本的“境內發生或者有境內電子商務經營主體、消費者參與的電子商務活動”改為“境內的電子商務活動”,從而擴大了法律的適用范圍。
參照《電子商務法》,筆者認為《征求意見稿》的“境內”適用范圍同樣很廣泛,應理解為凡是涉及數據安全的,任何情況發生在境內的,都應適用該法律。此外,《征求意見稿》將“純粹家庭和個人事務”排除在外,符合世界上的立法通例,以歐盟為代表的GDPR也是將家庭和個人事務排除在適用范圍外。《征求意見稿》將“法律、行政法規另有規定的”排除在外,則是為突發狀況留下回旋的余地。
第四 適用思路
第4條:國家堅持保障數據安全與發展并重,鼓勵研發數據安全保護技術,積極推進數據資源開發利用,保障數據依法有序自由流動。
【解讀】《征求意見稿》主要思路在于:保障安全、鼓勵發展。
第五 權力機關
(一)監管機關
第5條:在中央網絡安全和信息化委員會領導下,國家網信部門統籌協調、指導監督個人信息和重要數據安全保護工作。地(市)及以上網信部門依據職責指導監督本行政區內個人信息和重要數據安全保護工作。
第33條:網信部門在履行職責中,發現網絡運營者數據安全管理責任落實不到位,應按照規定的權限和程序約談網絡運營者的主要負責人,督促整改。
【解讀】上述兩條款的規定分別對應《網絡安全法》第8條和56條。《征求意見稿》在《網絡安全法》的基礎上,
細化了網信部門在個人信息和重要數據安全保護領域的指導監督職能,并規定網信部門享有“約談”“督促整改”的權限。
(二)有關機關
第36條:國務院有關主管部門為履行維護國家安全、社會管理、經濟調控等職責需要,依照法律、行政法規的規定,要求網絡運營者提供掌握的相關數據的,網絡運營者應當予以提供。
國務院有關主管部門對網絡運營者提供的數據負有安全保護責任,不得用于與履行職責無關的用途。
第37條:網絡運營者違反本辦法規定的,由有關部門依照相關法律、行政法規的規定,根據情節給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰;構成犯罪的,依法追究刑事責任。
【解讀】雖然網信部門是個人信息和重要數據安全保護領域的監管部門,但由于數據的適用范圍特別廣泛,幾乎人人都會產生數據問題,網信部門有限的行政工具無法觸及市場各個角落。因此《征求意見稿》開口子規定“國家有關主管部門”基于職責,有要求網絡運營者提供數據的權力,并在網絡運營者違法本辦法規定,有行使行政處罰甚至刑事處罰的權力,以便適應當前行政監管的實務現況。
從文本規定可以看出制定者的無奈和妥協,但筆者不得不指出該條款的規定過于籠統和概括,不能解決實際問題,甚至會造成新的問題。
首先,
“國家有關主管部門”指向不明,容易造成多頭執法或者相互扯皮,互不監管;
其次,《征求意見稿》對網絡運營者的條文規定多達二十余條,
如果網絡運營者違反此二十多種情形,如何采用包括公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等在內的行政工具措施,沒有具體說明,賦予了“有關主管機關”極大的自主裁量權。
再次,
“國家有關主管部門”之間如果缺乏溝通協作,是否對于網絡運營者的同一問題,會重復作出處罰,從而違反“一事不再罰”原則?
最后,監管機關和有關部門屬于何種關系?中央網絡安全和信息化委員會的法律定性本身就不明晰,
讓網信部門作為監管部門,其和其他部門如何協調辦工?如果確定行政隸屬關系?
可見,監管上存在諸多問題,各種問題都有待厘清。
第六 監督對象
第6條:網絡運營者應當按照有關法律、行政法規的規定,參照國家網絡安全標準,履行數據安全保護義務,建立數據安全管理責任和評價考核制度,制定數據安全計劃,實施數據安全技術防護,開展數據安全風險評估,制定網絡安全事件應急預案,及時處置安全事件,組織數據安全教育、培訓。
【解讀】《征求意見稿》第38條第1款規定“網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。”該規定主要沿用《網絡安全法》第76條對網絡經營者的定義。《征求意見稿》的監督對象實際上囊括了政府機關和非政府機關,將運用網絡的相關者都規定在內。同時,《征求意見稿》規定監督對象要履行上述八大義務。對于如何履行八大義務,筆者查看相關資料后發現,《信息安全技術 個人信息安全規范》第9點、第10點對于履行“開展數據安全風險評估”“及時處置安全事件”“組織數據安全教育、培訓”已有詳細操作指引,網絡運營者可按照《規范》要求操作。
筆者認為,
上述規定對《征求意見稿》的立法依據、立法目的、適用范圍和思路、權力機關和監督對象做了解讀,實際上已經對《征求意見稿》的整體框架做了梳理。《征求意見稿》第二章“數據收集”和第三章“數據處理使用”是網絡經營者需履行的八大義務的細化規定,實際上還是在上述框架范疇內。
往下筆者將對設立的“數據收集”和“數據處理使用”兩章做相應的解讀。由于《征求意見稿》主要規定“個人信息”和“重要數據”兩方面的內容,在解讀前,筆者認為有必要先理清“數據”“個人信息”和“重要數據”的關系。根據《征求意見稿》第38條的規定,所謂的個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息;所謂的重要數據,是指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據。其中,重要數據一般不包括個人信息。根據該規定可以理解為,
個人信息和重要數據歸屬于數據的范疇,同時個人信息和重要數據一般互不交叉,并無關聯,它們三者的關系如下圖所示:
數據關系圖
在理解了上述關系圖后,我們就可以知道《征求意見稿》第二章“數據收集”和第三章“數據處理使用”,實際上主要是指個人信息和重要數據的收集和處理使用。
一、數據收集
在數據的收集上,個人信息和重要數據應遵循以下要求:
第一 重要數據和個人敏感信息要備案
第15條:網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案。備案內容包括收集使用規則,收集使用的目的、規模、方式、范圍、類型、期限等,不包括數據內容本身。
【解讀】最早天津市在出臺《天津市數據安全管理辦法(暫行)》(征求意見稿)》時就提出數據要備案,其規定備案的材料應包括:“(一)數據運營者主體信息;(二)數據收集和使用規則;(三)數據收集的目的、方式、范圍、類型等,不包括數據本身;(四)采集、傳輸、存儲、處理、使用、保護個人信息和重要數據的應用、系統、平臺等資產信息;(五)提供數據安全服務的企業及其人員、產品、技術等信息;(六)其他事關本市數據安全保護工作的信息。”相比之下,《征求意見稿》的備案要求看似較為輕松。然而細究下去仍會發現,備案存在較多值得思考的地方:
首先,《征求意見稿》所指的“以營利為目的”收集數據的網絡運營者,單指對一手數據收集的網絡運營者,還是所有的關聯方(包括受委托的數據處理者、轉讓方、數據共享的第三方等)?
其次,如果備案范圍是指所有關聯的網絡運營者,即意味著所有以營利為目的的網絡運營者都需要備案。此時,如何判斷“所在地網信部門”。因為有時關聯方是指某企業的子公司,甚至是分公司。當分公司與總公司分屬不同地域,是否需要多處備案?
最后,由于數據的更新迭代快,網絡運營者收集規則會因時因地發生變化,每當收集使用的“目的、規模、方式、范圍、類型、期限”任一要素發生變化,都需要重新或者更新備案?
第二 網絡爬蟲收集網站數據,有底線要求
第16條:網絡運營者采取自動化手段訪問收集網站數據,不得妨礙網站正常運行;此類行為嚴重影響網站運行,如自動化訪問收集流量超過網站日均流量三分之一,網站要求停止自動化訪問收集時,應當停止。
【解讀】網絡爬蟲是因應網絡時代海量數據無法靠人工收集而產生的工具,它的出現符合網絡發展的需要。然而,網絡爬蟲過度爬取網站平臺的數據有時影響了平臺的正常運行,影響平臺的服務質量和水平,甚至有時會造成不正當競爭。基于此種考慮,《征求意見稿》以“自動化訪問收集流量不得超過網站日均流量三分之一”作為網絡爬蟲爬取數據的紅線,可有效平衡雙方的利益,筆者認為,該做法值得肯定。
第三 以經營為目的收集數據,要明確數據安全責任人
第17條:網絡運營者以經營為目的收集重要數據或個人敏感信息的,應當明確數據安全責任人。數據安全責任人由具有相關管理工作經歷和數據安全專業知識的人員擔任,參與有關數據活動的重要決策,直接向網絡運營者的主要負責人報告工作。
第18條:數據安全責任人履行下列職責:
(一)組織制定數據保護計劃并督促落實;
(二)組織開展數據安全風險評估,督促整改安全隱患;
(三)按要求向有關部門和網信部門報告數據安全保護和事件處置情況;
(四)受理并處理用戶投訴和舉報。
網絡運營者應為數據安全責任人提供必要的資源,保障其獨立履行職責。
【解讀】歐盟GDPR規定一般情況下企業人數超過250人的應設置數據保護官,專職負責企業的數據合規問題。自GDPR生效實施后,歐盟產生了幾十萬數據保護官。我國某些大型企業在《征求意見稿》未出臺前,也已設立數據安全負責人的崗位。筆者相信在《征求意見稿》正式發布實施后,企業的數據安全責任人的崗位將炙手可熱。
個人信息和重要數據除了上述幾點要求外,《征求意見稿》還專門對個人信息的收集規定了額外的要求。
第一 制定收集使用規則
第7條:網絡運營者通過網站、應用程序等產品收集使用個人信息,應當分別制定并公開收集使用規則。收集使用規則可以包含在網站、應用程序等產品的隱私政策中,也可以其他形式提供給用戶。
第8條:收集使用規則應當明確具體、簡單通俗、易于訪問,突出以下內容:
(一)網絡運營者基本信息;
(二)網絡運營者主要負責人、數據安全責任人的姓名及聯系方式;
(三)收集使用個人信息的目的、種類、數量、頻度、方式、范圍等;
(四)個人信息保存地點、期限及到期后的處理方式;
(五)向他人提供個人信息的規則,如果向他人提供的;
(六)個人信息安全保護策略等相關信息;
(七)個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法;
(八)投訴、舉報渠道和方法等;
(九)法律、行政法規規定的其他內容。
第9條:如果收集使用規則包含在隱私政策中,應相對集中,明顯提示,以方便閱讀。另僅當用戶知悉收集使用規則并明確同意后,網絡運營者方可收集個人信息。
第10條:網絡運營者應當嚴格遵守收集使用規則,網站、應用程序收集或使用個人信息的功能設計應同隱私政策保持一致,同步調整。
【解讀】《征求意見稿》規定網絡經營者在網站和應用程序上應分別制定收集使用規則,收集使用規則既可以在隱私政策中集中展示,也可以別的方式,例如在用戶協議中展示。收集使用規則應隨著網站或者應用程序的功能設計同步調整,并具體列舉了收集使用規則應規定的內容。
其中,特別值得關注的點在于,《網絡安全法》第46條,《全國人民代表大會常務委員會關于加強網絡信息保護的決定》第2條規定“網絡服務提供者和其他企業事業單位在業務活動中收集、使用公民個人電子信息,應當……,并經被收集者同意”。筆者認為此處的“同意”并非收集信息的充分必要條件,而《征求意見稿》對于個人信息收集的表述為“僅當用戶明確同意收集規則后,網絡經營者才能收集個人信息”,此時,“同意”成為網絡運營者收集信息的充分必要條件。須知,即使被稱為史上最嚴的GDPR,其規定除了用戶同意外,網絡經營者還可以基于用戶的重大利益考慮、雙方簽訂合同、為履行法定義務等其他條件收集用戶信息。同時,《征求意見稿》第27條規定網絡經營者在向他人提供個人信息除了用戶同意外,也有例外條款規定。唯獨在收集個人信息上,僅當用戶同意才可以收集,《征求意見稿》設置的條件是否過于嚴苛,值得深入探討。
同時,《征求意見稿》第8條還規定收集使用規則應規定“個人信息主體撤銷同意,以及查詢、更正、刪除個人信息的途徑和方法”,結合《征求意見稿》第14條“網絡運營者從其他途徑獲得個人信息,與直接收集個人信息負有同等的保護責任和義務”理解,筆者認為該條款有諸多值得商榷的地方。
首先,網絡運營者對于自身收集的個人信息及從其他途徑收集的個人信息負有同等保護義務,是否意味著個人信息主體既有權查詢、更正、刪除網絡經營者基于自身收集的個人信息,也有權查詢、更正、刪除網絡經營者從其他途徑收集的個人信息?
其次,目前法律,尤其會計、金融類的法律規定,某些個人信息需作工作底稿備份或者保存5年、10年時間。如果此時允許個人信息主體刪除個人信息,法律之間的沖突如何協調?雖然《征求意見稿》第21條規定“網絡運營者收到有關個人信息查詢、更正、刪除以及用戶注銷賬號請求時,應當在合理時間和代價范圍內予以查詢、更正、刪除或注銷賬號”,但是如何理解此處的“合理時間”和“代價范圍”?《App違法違規收集使用個人信息行為認定方法(征求意見稿)》規定刪除時間無約定的,以15個工作日為限,《信息安全技術 個人信息安全規范》規定的合理時長為30日。可見“合理時間”目前并未有統一設置的標準,同樣的,“代價范圍”的概念也并不明確。因此如何在立法層面理清該問題也值得討論。
再次,由于個人信息有時雜糅著他人信息,例如社交上的聊天記錄,既有個人信息又包含他人信息,這種情況下如何查詢、更正以及刪除個人信息?在查詢、更正甚至刪除個人信息的同時,是否涉及侵犯他人隱私的問題?
最后,目前國內中小企業是否有足夠的技術條件,能處理用戶的查詢、更正和刪除問題?特別是在中美貿易戰的背景下,是否會給國內企業帶來更大的成本壓力,有考慮的必要。
此外,在收集使用規則的內容設定上,《征求意見稿》第8條規定應設定個人信息的保存地點、期限和到期后的處理方式,同時在《征求意見稿》第19條和第20條規定保存信息應參照國家標準,不得超過必要期限,到期后應及時刪除或作匿名化處理,該類規定實際上主要參鑒了《網絡安全法》和《信息安全技術 個人信息安全規范》的內容,這里不再贅言。
第二 區分核心業務功能和附加業務功能
第11條:網絡運營者不得以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等為由,以默認授權、功能捆綁等形式強迫、誤導個人信息主體同意其收集個人信息。
個人信息主體同意收集保證網絡產品核心業務功能運行的個人信息后,網絡運營者應當向個人信息主體提供核心業務功能服務,不得因個人信息主體拒絕或者撤銷同意收集上述信息以外的其他信息,而拒絕提供核心業務功能服務。
【解讀】根據《信息安全技術 個人信息安全規范》附錄C規定:常見的附加業務功能有提高產品(或服務)的使用體驗等。可見,網絡運營者所提出的改善服務質量、提升用戶體驗、定向推送信息、研發新產品的理由只是產品的附加功能,即使不同意授權,也不會影響產品核心功能的運行。而正如《關于開展App違法違規收集使用個人信息專項治理的公告》所指出,目前市面上大量APP正是以改善服務質量、提升用戶體驗、定向推送信息、研發新產品等附加功能業務為借口強制用戶授權、過度索權。《征求意見稿》第11條的規定正是為了切斷網絡經營者的無理理由,并對這種情況做出了核心功能業務和附加功能業務的區分。
《征求意見稿》規定對于附加功能業務,網絡運營者不得強制授權、過度索權;對于核心功能業務,收集數據時要遵循最小必要原則,不得因對用戶收集信息的不同,而采取價值歧視或者質量歧視。該條款的規定正式在法律層面區分了核心功能業務和附加功能業務,值得肯定。美中不足之處在于,該規定并未就“核心功能業務”和“附加功能業務”作出明確的概念界定。如果下次網絡運營者回避上述四種情況,采用另一理由收集個人信息,由于缺乏具體概念的界定,用戶仍然無法判斷此種理由是否屬于附加功能業務,仍可能遭受強制授權。
二、數據處理使用
在數據處理使用上,《征求意見稿》對數據的保存、使用和共享主要沿用《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《網絡安全法》、《App違法違規收集使用個人信息行為認定方法(征求意見稿)》、《App違法違規收集使用個人信息自評估指南》、《信息安全 技術個人信息安全規范》等法律法規及標準的規定。因此,對于相同部分,筆者將不再解讀,筆者主要解讀《征求意見稿》的創新之處。
第一 定向推送
第23條:網絡運營者利用用戶數據和算法推送新聞信息、商業廣告等,應當以明顯方式標明‘定推’字樣,為用戶提供停止接收定向推送信息的功能;用戶選擇停止接收定向推送信息時,應當停止推送,并刪除已經收集的設備識別碼等用戶數據和個人信息。網絡運營者開展定向推送活動應遵守法律、行政法規,尊重社會公德、商業道德、公序良俗,誠實守信,嚴禁歧視、欺詐等行為。
【解讀】《信息安全技術 個人信息安全規范》(草案)7.4條規定了“個性化展示及退出”的內容,其規定定向推送應標明“定推”等字樣,并且禁止大數據殺熟。《征求意見稿》在該規定的基礎上,進一步規定定向推送不得違反公序良俗等規定,在明顯地方顯示“定推”字樣時,還應附有停止推送的功能,并且當用戶選擇停止推送后,網絡運營者不僅應停止推送,還應刪除用戶的個人信息。該規定設置了“定向推送”的紅線,其與網絡爬蟲條款的立法思路一致,以利益平衡,保障安全與鼓勵發展為導向,筆者認為該思路值得肯定。
第二 自動化洗稿
第24條:網絡運營者利用大數據、人工智能等技術自動合成新聞、博文、帖子、評論等信息,應以明顯方式標明‘合成’字樣;不得以謀取利益或損害他人利益為目的自動合成信息。
【解讀】當前的互聯網生態魚龍混雜,“網絡水軍”大量存在,最常見的是娛樂圈明星粉絲為支持明星,買水軍上熱搜。為了規范互聯網生態治理,《征求意見稿》規定不得以“謀取利益或損害他人利益為目的自動合成信息”,并且自動合成信息應標明“合成”字樣。該規定將有力地打擊互聯網的黑色灰色交易,規范互聯網生態,筆者認為該做法值得肯定。
第三 信息制作者身份標明
第25條:網絡運營者應采取措施督促提醒用戶對自己的網絡行為負責、加強自律,對于用戶通過社交網絡轉發他人制作的信息,應自動標注信息制作者在該社交網絡上的賬戶或不可更改的用戶標識。
【解讀】當前的網絡環境存在以下問題,第一,博眼球、搶流量的問題突出。無論是互聯網媒體還是自媒體,為了吸引關注度,推送的新聞消息真實度存疑,甚至謠言亂飛。第二,由于網絡環境缺乏必要的監管,加上網民的版權保護意識薄弱,有些人甚至明知侵犯別人版權,但仍借助網絡難以追蹤定位個人信息,肆意侵犯他人的勞動成果。針對上述現象,《征求意見稿》規定,用戶轉發他人的信息時,應標注用戶標識。筆者認為,該規定有利于監管機構溯源追蹤,打擊謠言的肇事者,同時也有利于保障版權人的合法權益,在某種程度上值得肯定。但同時,對于當前的技術能否達到準確標明信息制作者身份,筆者表示懷疑。須知個人的網絡賬號、昵稱都是可以改變的,《征求意見稿》也規定個人信息主體有更正個人信息的權利,因此如何信息制作者“不可更改”的身份?最后的結果會不會淪為實名化登記?眾所周知,實名化登記問題一直是社會上最為敏感的話題,一旦觸及該問題,將引發一系列的后續問題。因此,信息制作者身份標明如何處理,還有待進一步研究。
第四 第三方應用責任歸屬
第30條:網絡運營者對接入其平臺的第三方應用,應明確數據安全要求和責任,督促監督第三方應用運營者加強數據安全管理。第三方應用發生數據安全事件對用戶造成損失的,網絡運營者應當承擔部分或全部責任,除非網絡運營者能夠證明無過錯。
【解讀】所謂的“第三方應用”,是指APP運營商為了快速積累用戶資源,與開放平臺簽訂《開發者協議》,通過開放平臺的應用編程接口(OpenAPI)接入平臺,在成為平臺生態圈組成部分的同時,利用雙方的段位差,將平臺的用戶流量順勢導入自己的應用程序,這些APP運營商就被稱為“第三方應用”。
想起“第三方應用”,一般會讓人想起近期發生的“頭騰大戰”,在“頭騰大戰”中,法院在實務中確立了“三重授權”的法律規則,認可了平臺經營者對用戶數據享有商業權利。此次《征求意見稿》規定第三方應用的責任原則上歸屬于平臺經營者,筆者認為立法者背后的立法邏輯跟“頭騰大戰”確定的“三重授權”規則有關。立法者的立法邏輯在于,既然實務中確定了平臺經營者對用戶數據享有商業權利,那么平臺經營者就應當承擔更大的審慎監管義務,第三方應用如果出現侵犯用戶數據的情況,就應當由平臺經營者承擔責任。也即立法者肯認了實務中確定的判決規則,并以該判決規則作出立法的前提條件,以此規定該法律條款。
針對該條款,筆者認為雖然《征求意見稿》將主要責任歸咎于平臺經營者,但由于平臺經營者在和第三方應用的談判中本身屬于強勢地位,平臺經營者容易把它在《征求意見稿》承受的壓力轉接給第三方應用,即會在《開發者協議》上對第三方應用規定諸多限制和條件。當然,如果此種限制和條件是有助于第三方應用合規處理數據,那么該規定將有利于互聯網平臺生態圈的繁榮,但如果第三方應用因受到諸多限制和條件而難以蓬勃發展,筆者認為,該規定將可能會限制互聯網的興盛發展。
小結
《數據安全管理辦法(征求意見稿)》從部門規章的層面對數據的收集、使用、處理等環節作出了諸多創新和突破,是數據管理安全上具有里程碑意義的新跨越。同時,正如前文所述,《數據安全管理辦法(征求意見稿)》也存在不少問題,正式稿將對該規定做何改變和調整,有待進一步觀察。
