人民网北京7月21日 （记者王震）据中国网信网消息，根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实，滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。
7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款，对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。

1、企业数据应用合规现状和痛点
近年来，我国迎来了个人信息保护以及数据安全领域的两部专属立法：《中华人民共和国个人信息保护法》与《中华人民共和国数据安全法》。这两部法律与“网安法”共同构建了中国数据合规及隐私保护的基础法律框架，对数据安全和个人信息保护提出了方向性和基础性指引及监管要求。

一方面是国家在数据安全、网络安全、个人信息保护层面的监管力度持续增强，一方面是频频出现的企业数据安全事件，加强企业合规管理已成为当下企业发展的必要性、基础性内容。然而，通过对企业合规管理现状的分析，我们发现企业在合规管理方面，往往存在以下难点、痛点问题。

错综复杂的数据如何分类分级？

个人信息合规监管环境日益严格，企业如何应对？

海量的数据，如何识别并掌握数据的流向和分布？

与监管、同行、合作方多渠道数据交换如何保证安全？

数据多层级、多系统、多角色的使用、提取中，如何确保整个业务敏感数据合规使用？

……

这些都是当前企业数据安全和个人信息保护层面面临的风险和挑战。

2、数据分级管理要求明晰化，有的放矢成为未来趋势
根据网络安全法第二十一条规定，网络运营者应当按照网络安全等级保护制度的要求，采取数据分类、重要数据备份和加密等措施。但在实操当中，企业存在的困惑往往是应当如何进行数据分类，在不同级别的数据类目下应当采取何种等级的保护措施。在这一问题上，意见稿给出了新的答案。

首先，意见稿提出了分级分类保护制度的原则性判断标准为对国家安全、公共利益或个人、组织合法权益的影响和重要程度。其次，意见稿根据上述判断标准将数据进一步分为一般数据、重要数据、核心数据。重要数据指的是一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能危害国家安全、公共利益如未公开的政务数据、出口管制数据、重要行业业务数据、统计数据等。核心数据则指关系国家安全、国民经济命脉、重要民生和重大利益等数据。最后，对于不同级别的数据，其保护和制度的要求也不尽相同。

（一）大乱炖时代结束，企业需对数据进行精准分级

因意见稿尚未正式实施，其评估标准可以意见稿所作出的原则性判断标准为指导，以意见稿附则所确定的分级细分方法为参照，按照国家、各地区、各部门建立的本地区、本部门以及相关行业、领域的数据分级分类管理制度以及其他相关的法律法规综合确定。以重庆市2021年10月11日颁布的《重庆市公共数据分类分级指南（试行）》为例，重庆市将公共数据的结构化数据等级划分以库表为单位，结合字段的含义和库表的业务应用场景进行综合判断，并在字段基础定级和库表业务定级两者中取级别更高者对数据进行定级。对于数据分为四个等级，并根据不同级别的数据提出不同的管理方式。我们建议企业对自己所有的业务场景进行梳理，明确在何种业务场景下涉及到规定所要保护的数据范畴，并对企业内部的数据进行分级评估。企业应当关注所在区域的数据分级分类制度，分级分类管理要求进行确定，如所在区域、行业、尚未确定标准的，建议根据最终颁布实施的网络数据安全管理条例或网络安全法、数据安全法确定的标准兜底。

（二）区分管理，重要数据和核心数据或将成为企业需重点关注的对象

在网络安全法第二十一条规定，网络运营者应当按照网络安全等级保护制度的要求履行安全保护义务。在此基础之上，意见稿对于数据处理者关于重要数据的保护提出了更为细化的要求。意见稿对于重要数据的保护程度的措辞为“重点保护”，对于核心数据的措辞为“严格保护”。对于重要数据和核心数据，意见稿均要求数据处理者使用密码对其进行保护。

对重要数据，意见稿要求数据处理者使用的处理重要数据系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求。同时，对于个人同意处理共享、委托、交易重要数据的审批记录、日志记录等，要求数据处理者至少要留存5年。对于重要数据的泄露、毁损、丢失等数据安全事件，意见稿对数据处理者提出了报告义务、处理后评估义务、应急处理机制的建立义务等等。

我们建议企业对自身业务场景下涉及到的重要数据板块进行筛查，先行了解网络安全等级保护设备相关要求，迭代对数据的存储期限要求。同时，企业内部建制关于重要数据泄露、毁损、丢失等数据安全事件的应急机制，确定数据安全负责人。

对于核心数据，意见稿在第九条要求数据处理者应当使用密码保护以外，在二十七条对各地区和部门提出了核心数据目录编制的要求，不排除在未来部门主管单位向企业征求对于核心数据的汇编意见。

我们建议企业根据行业特点、企业特点对于核心数据的目录进行探讨和编制，也可以积极参与行业协会的编制探讨工作，确定行业核心数据编制标准。这不仅是为行业整体的数据合规做贡献，更是一个能够将企业特性与行业标准结合的好机会，为企业的长远发展保驾护航。

3、互联网企业或将成为重点监管对象
意见稿在第六章以专章的形式对互联网平台运营者提出了细致、全面的数据合规监管要求。意见稿对互联网平台运营者的定义为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者，同时规定用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的属于大型互联网平台运营者。根据这一定义，绝大部分传统狭义定义内的互联网企业都将落入意见稿的规制范畴。

（一）平台规则修改需经披露、裁决程序，公平公正不再仅仅是原则性要求

对于互联网平台，常见的用户使用场景基本为手机、电脑等智慧型硬件与软件的结合达到用户与公司的平台交互。以APP为例，用户在第一次注册时，企业通常以用户协议、隐私政策等文本和用户确定相关的权利义务，算法策略往往不予披露，同时也不要求企业进行意见征集。意见稿在这一点上做出了重大变更，意见稿第四十三条规定，互联网平台运营者对于平台规则、隐私政策、算法策略应当建立明确的披露制度，涉及到对用户权益重大影响的，还应当征求公开意见，说明采纳/未采纳意见的原因，接受社会监督。对于日活用户超过一亿的大型互联网平台运营者，还应经国家网信部门认定的第三方机构评估，报省级以上网信部门和电信主管部门同意。

我们建议企业现阶段至少应当针对个保法对个人信息采集和处理的要求，对隐私政策、用户协议等文本及时修订，并根据意见稿的要求，先行起草平台政策、隐私政策、算法策略的披露、制定、裁决、征求意见、公示一系列程序制度。

（二）互联网企业的先行赔付制度

意见稿第四十四条规定，互联网平台运营者的数据安全责任不仅限于自身的管理责任，还包括了对其平台接入的第三方产品和服务的管理责任。更重要的是，第四十四条第二款明确提出，第三方产品和服务对用户造成损害的，用户可以要求互联网平台运营者先行赔偿。

我们建议，企业对于自身平台接入的第三方产品和服务主体数据合规应当进行系统化梳理，并在合作文本中对于数据安全责任义务进行约定，以免在履行了先行赔付义务后难以追索。

（三）精准推荐所涉及的算法自动化决策不再成为霸王条款

随着自动化决策领域的逐步发展，对于用户群体的画像逐渐趋于准确，大数据时代下的信息作茧情况愈演愈烈。简单来讲，如果用户的爱好领域被标记后，算法基于提高用户关注度的需求，进一步将所涉领域的信息进行准确推送。久而久之，用户便只会接收到这一方面的信息，信息孤岛逐渐形成。个保法对自动化决策的透明度、结果公平公正提出要求的同时，还要求个人信息处理者应当在向个人进行信息推送、商业营销时提供不针对其个人特征的选项。意见稿在此基础之上提出了征得个人单独同意，同时附加一键关闭个性化推荐选项的要求。同时，对于一键关闭的操作应当易于理解、便于访问和操作。不仅如此，还应当允许个人删除定向推送信息服务收集产生的个人信息，进一步加大了对用户的保护。

（四）互联网企业间彼此割裂的技术壁垒或将不再合规

在目前的互联网市场运营中，为了增加用户黏度和应用场景，许多平台已经搭建了即时通信服务。数据的介入和阻断成为互联网企业在商业上的考量因素之一。部分企业为了控制自身在即时通信服务领域的市场地位，曾经采取对第三方数据接入采取诸如关键字屏蔽等措施进行阻断。然而意见稿对这一行为进行了限制，意见稿第四十八条明确提出互联网平台运营者应当支持不同即时通信服务之间用户数据互通，无正当理由不得限制用户访问其他平台及传输文件。

我们建议企业平台涉及到即时通信服务的，应当重点关注这一条款在正式稿中是否得到保留，并进一步根据国务院电信主管部门的规定，及时开放/关闭/调整对应的数据接口和屏蔽算法。

（五）大型互联网平台运营者的审计义务

此外，意见稿还要求大型互联网平台运营者应当对平台的数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况进行年度审计，并披露审计结果。

 来源：网络货运平台指南