1、应兼顾平衡安全保护与流动发展强调个人信息保护与数据流动的平衡，每一条条文都应当妥善处理发展和安全的关系，在公民基本个人信息权益得到保护的同时尽可能地促进数据的流动。由于我国现状与美国类似，因此在立法时应当适当偏向美国模式，偏离欧洲模式，或位于二者中间。 为了达到鼓励创新和合理竞争，促进数据自由流动的目标，监管范围要尽可能地小，避免对一些合理的商业行为进行过多的干预，鼓励跨境互通性，对全球的最佳实践进行融合。目前立法给相关产业制定了过多约束性条件，目前是失衡的状态。 制度选择上，应当考虑到底选择何种激励性政策。目前很多隐私保护的安全技术可以很好地达到保护数据安全的目标，是否应当在技术发展方面增加投入，以达到安全保护和技术发展的平衡。

2、应政府调控与市场调节相结合目前世界各国大范围数据保护的法律空白并非故意，因此管理办法应当明确哪些领域需要管理，哪些领域由市场调整，选择必须由法律法规管理的领域出台相关政策。

3、 区分数据安全与数据保护不能将数据保护与数据安全等同。数据保护是客观标准，表现在个人数据层面，应当是一种自行选择权。数据安全是一种主观感知，应合理考量投入成本，主观标准带来缺陷。目前条文里考虑了个人用户、政府监管部门和企业的不同主体的数据安全，带有相当复杂的维度。

4、考虑成本和收益的协调应当考察成本和收益之间的关系，成本包括给企业带来的合规成本，监管成本，总体社会成本以及对未来科技发展创新的影响。收益是对用户、社会和国家安全的保护。应当以长远的眼光来看二者的关系。应考虑风险处置的实际效果与实现的成本问题。

5、应全面考虑用户与企业的关系应当在保护用户时，重新考虑用户和企业的关系。二者并非总是处于对立面。

6、 缺乏体系性，应调整内部结构《征求意见稿》内容庞杂，应当形成体系。从基于风险的流程化监管的思路来看，《征求意见稿》分为三个板块：第一是与数据收集活动相关的风险，可以分为两个子内容：与知情同意相关的五项原则；特定数据业务相关的三种风险。第二是数据处理相关的风险应对，应当是19种风险类型，19种业务场景。第三是基于监管附加的客观保护，集中了五种工具。因此从体系结构的角度来说，可以概括为三个板块、19种风险、5种客观监管工具。《征求意见稿》应考虑规范内部制度的协调统一问题。

7、 应对风险有更多预判既然《征求意见稿》针对风险指向的应对或者说是处置办法，应当始终思考风险的预判是否完整全面，目前在全世界范围内没有任何一个国家说对于数据相关风险的类型能够做到全覆盖，只能说明这个"办法"一旦出来之后，将会面对一个持续、频繁的修改过程。

8、监管对象不应限于"以经营为目的的网络运营者"目前大部分条文里都限定了规范主体是"以经营为目的的网络运营者"。在目前数据时代里，无论是不是经营目的，都会带来数据保护和安全的问题，相关的规则上，如果只是针对经营性的，可能存在偏差问题。

9、有关重要数据的规范较少数据可以分为国家秘密、个人信息、商业数据以及重要数据四类，其中应当明确划分重要数据和商业数据的区别。目前来看，个人信息、重要数据与商业数据均有交叉，数据分类是重点也是难点。 重要数据应该是与国家安全相关的非国家秘密类数据，或与重大公共利益相关，而非与私权相关，是由行政手段来保护与管理的数据类别。商业数据属于非重要数据，与个人信息有交叉，经过授权的个人信息属于商业数据，商业数据应当充分流动。对重要数据的内涵和外延要通过配套指南和清单进行规范，范围越小越好，符合立法本意。从《征求意见稿》内容来看，关于重要数据的部分较少。 将个人数据的监管方法适用到其他数据类别，在前瞻性上欠缺考虑。《征求意见稿》涵盖了不同的利益，包括商业秩序维护与国家安全原则等，目前采取一刀切的方式存在一定的问题，最显著的是对数据处理方式方面。

10、缺乏对混合数据的处理如果存在混合数据的情况下，重要数据和个人信息是选择欧盟式的两个条例，还是选择拆分的方式，需要有一个明确的回应。

11、区分数据控制者和处理者应当区分数据控制者和数据处理者的不同角色。数据控制者决定数据处理的目的和手段。数据处理者是代理，具有代表性。应当把个人数据独立出来，同一规范无法同时满足个人信息和其他信息的要求。

12、应建立数据泄露通知制度以数据泄露通知为核心建立管理制度，且应当明确化和具象化，包括主体、条件、程序、控制主体以及惩罚措施。

13、应当注意刑事、行政、民事保护手段的协调从保护途径来看，应当转变方式，目前刑事保护力度相当大，行政管理在扩大，而民事保护十分少，应当注意三者的平衡。

14、考虑与其他法律的协调在立法统筹方面，应当与其他的法律、规则和标准进行补充、配合，特别是《网络安全法》以及将来制定的《个人信息保护法》《数据安全法》融合。《征求意见稿》与最新版个人信息安全规范应用的术语没有保持一致。

草案：第一条 为了维护国家安全、社会公共利益，保护公民、法人和其他组织在网络空间的合法权益，保障个人信息和重要数据安全，根据《中华人民共和国网络安全法》等法律法规，制定本办法。

意见和建议：重要数据与个人数据存在交叉性。该条"保障个人信息和重要数据安全"，但全文对重要数据的规范较少。

草案：第二条 在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动（以下简称数据活动），以及数据安全的保护和监督管理，适用本办法。纯粹家庭和个人事务除外。法律、行政法规另有规定的，从其规定。

意见和建议：如何定义"境内"？对于来境内收集和处理信息的境外机构，我国是否具有足够的执法力量？

草案：第三条 国家坚持保障数据安全与发展并重，鼓励研发数据安全保护技术，积极推进数据资源开发利用，保障数据依法有序自由流动。

意见和建议：建议增加关于数据共享的规定。

草案：第四条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁，保护数据免受泄露、窃取、篡改、毁损、非法使用等，依法惩治危害数据安全的违法犯罪活动。

草案：第五条 在中央网络安全和信息化委员会领导下，国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。 地（市）及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。

草案：第六条 网络运营者应当按照有关法律、行政法规的规定，参照国家网络安全标准，履行数据安全保护义务，建立数据安全管理责任和评价考核制度，制定数据安全计划，实施数据安全技术防护，开展数据安全风险评估，制定网络安全事件应急预案，及时处置安全事件，组织数据安全教育、培训。

草案：第七条 网络运营者通过网站、应用程序等产品收集使用个人信息，应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中，也可以其他形式提供给用户。

草案：第八条 收集使用规则应当明确具体、简单通俗、易于访问，突出以下内容： （一）网络运营者基本信息； （二）网络运营者主要负责人、数据安全责任人的姓名及联系方式； （三）收集使用个人信息的目的、种类、数量、频度、方式、范围等； （四）个人信息保存地点、期限及到期后的处理方式； （五）向他人提供个人信息的规则，如果向他人提供的； （六）个人信息安全保护策略等相关信息； （七）个人信息主体撤销同意，以及查询、更正、删除个人信息的途径和方法； （八）投诉、举报渠道和方法等； （九）法律、行政法规规定的其他内容。

草案：第九条 如果收集使用规则包含在隐私政策中，应相对集中，明显提示，以方便阅读。另仅当用户知悉收集使用规则并明确同意后，网络运营者方可收集个人信息。

意见和建议：1."一刀切"地规定为"事前同意"，过于严格。个人对于数据带来的便利性、对外展示的需求以及保护隐私的需求是不同的。在个性化场景下要求个人明示同意，有一定困难。由于用户对专业性问题不够了解，所有场景都要求明示同意将会遇到瓶颈，可以由专业机构通过统计判断哪些情形对消费者会构成实质性损害，因而需要"明示同意"。 2.将"明确同意"改为"明示同意"，同意法律术语。 3.对网络运营者的收集活动产生较大影响，建议把27条的意外情形提前到该条之后。

草案：第十条 网络运营者应当严格遵守收集使用规则，网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致，同步调整。

意见和建议：建议增加规定："隐私政策变化时，应及时通知个人信息主体，并重新征求个人信息主体的同意。"

草案：第十一条 网络运营者不得以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由，以默认授权、功能捆绑等形式强迫、误导个人信息主体同意其收集个人信息。个人信息主体同意收集保证网络产品核心业务功能运行的个人信息后，网络运营者应当向个人信息主体提供核心业务功能服务，不得因个人信息主体拒绝或者撤销同意收集上述信息以外的其他信息，而拒绝提供核心业务功能服务。

草案：第十二条 收集14周岁以下未成年人个人信息的，应当征得其监护人同意。

意见和建议：1.应增加例外规定。在最近出的《儿童个人信息网络保护规定》里面有关于向第三方提供儿童个人信息征得授权同意的例外。但是在本办法里，对于收集个人信息没有任何例外，仅仅坚守了授权同意的方式。应当增加为履行合同的必要或维护个体的重大权益在没有授权同意的情况下也可以收集未成年人个人信息的例外规定。 2.建议借鉴美国《儿童在线隐私保护法》（COPPA）的经验，确定本条的适用范围和场景，制定具体数据处理流程。 3.对年龄再商讨，建议改为16岁。 4.完善监护人同意的渠道。 5.同意是否应当为明示同意？应予明确。 6.增加监护人配合网络运营者识别未成年人的条款。为了识别到未成年人身份，需搜集更多的未成年人信息进行判断；但搜集更多的信息要求监护人同意，造成恶性循环。

草案：第十三条 网络运营者不得依据个人信息主体是否授权收集个人信息及授权范围，对个人信息主体采取歧视行为，包括服务质量、价格差异等。

意见和建议：不应一刀切，最好通过市场竞争来解决。

草案：第十四条 网络运营者从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务。

意见和建议：1.不应一刀切。与个人信息保护规范相互冲突，间接获取信息责任和义务与直接获取信息的责任和义务并不一样，间接获取信息的获取者责任和义务要比直接的稍微有所区别。2.与第9条、第27条之间出现不协调。第9条指向数据收集的同意原则，第14条确立直接收集和间接收集同等原则，但是第27条向他人提供个人信息出现例外情形，三者之间出现不协调。

草案：第十五条 网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。备案内容包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，不包括数据内容本身。

意见和建议：1.重要数据内延和外含要通过配套指南和清单来做一个规范，而重要数据本身应该越小越好，符合立法的本意。 2.建议关注备案的成本。收集敏感信息在企业运营当中较为普遍，应当考虑企业运营成本；以及网信部门的行政承载力和行政效率。 3.建议采取分类性的管理。对于企业业务主要为收集数据的或企业收集数据量巨大的，才应当备案，抓大放小，兼顾效率与安全。 4.吸取欧洲GDPR的失败经验。欧盟各成员国的监管机构通过备案许可制度，并没有达到对数据处理活动有效监管的效果，这个制度被证明是有问题的。备案可以改成数据公开。 5.只限定了规范主体是以经营为目的，但在目前大数据时代，无论有无经营目的，都会带来数据保护和安全的问题。 6. "以经营为目的"定义过于宽泛。公司实体都是以经营为目的，应当在选词造句上修改，例如：以数据加工处理为商业获利的模式。

草案：第十六条 网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行；此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止。

意见和建议：1.无立法必要。对于爬虫技术的规范，经过这么多司法实践基本能够规范，用规章规范意义不大，也起不到好的效果。可以用合同进行规定。 2.建议增加影响不严重时的法律后果。3.建议区分政府网站和私营网站。对于私营网站，只要允许企业按照市场规则采取自己的技术措施去反爬取就可以了。对于政府网站，可以采取使用者付费的原则，就能解决这些问题。

草案：第十七条 网络运营者以经营为目的收集重要数据或个人敏感信息的，应当明确数据安全责任人。 数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任，参与有关数据活动的重要决策，直接向网络运营者的主要负责人报告工作。

意见和建议：1.数据收集目的是为了商业服务，都构成经营目的来收集个人信息，那么是否都应设置数据安全负责人？建议区分公司规模。 2.应当增加"非以经营为目的"的规定3."相关管理工作经历和数据安全专业知识"范围不明确。

草案：第十八条 数据安全责任人履行下列职责： （一）组织制定数据保护计划并督促落实； （二）组织开展数据安全风险评估，督促整改安全隐患； （三）按要求向有关部门和网信部门报告数据安全保护和事件处置情况； （四）受理并处理用户投诉和举报。 网络运营者应为数据安全责任人提供必要的资源，保障其独立履行职责。

草案：第十九条 网络运营者应当参照国家有关标准，采用数据分类、备份、加密等措施加强对个人信息和重要数据保护。

草案：第二十条 网络运营者保存个人信息不应超出收集使用规则中的保存期限，用户注销账号后应当及时删除其个人信息，经过处理无法关联到特定个人且不能复原（以下称匿名化处理）的除外。

草案：第二十一条 网络运营者收到有关个人信息查询、更正、删除以及用户注销账号请求时，应当在合理时间和代价范围内予以查询、更正、删除或注销账号。

意见和建议：1."合理时间"的标准不明确。2."合理代价"不明确。

草案：第二十二条 网络运营者不得违反收集使用规则使用个人信息。因业务需要，确需扩大个人信息使用范围的，应当征得个人信息主体同意。

草案：第二十三条 网络运营者利用用户数据和算法推送新闻信息、商业广告等（以下简称"定向推送"），应当以明显方式标明"定推"字样，为用户提供停止接收定向推送信息的功能；用户选择停止接收定向推送信息时，应当停止推送，并删除已经收集的设备识别码等用户数据和个人信息。网络运营者开展定向推送活动应遵守法律、行政法规，尊重社会公德、商业道德、公序良俗，诚实守信，严禁歧视、欺诈等行为。

意见和建议：1.规定过于严格。应当考虑用户和企业的市场关系，二者不是对立的。2.应当分情景规定。定向推送有不同的场景，遵循了不同的目的和方法，所以需要进行不同的限定。3."删除个人信息"的规定过于"一刀切"。如果停止推送就要删除用户数据、个人信息，但实际上除了用于定向推送的场景以外，其实很多业务类型都需要用这些信息。

草案：第二十四条 网络运营者利用大数据、人工智能等技术自动合成新闻、博文、帖子、评论等信息，应以明显方式标明"合成"字样；不得以谋取利益或损害他人利益为目的自动合成信息。

意见和建议：建议明确算法中立原则。

草案：第二十五条 网络运营者应采取措施督促提醒用户对自己的网络行为负责、加强自律，对于用户通过社交网络转发他人制作的信息，应自动标注信息制作者在该社交网络上的账户或不可更改的用户标识。

意见和建议：1.这条规定易被他国政府理解为我国政府要求企业监控用户信息，影响企业在他国上市。《网络安全法》里已经规定了实名制，没有必要再规定这一条。2.标注有可能侵犯当事人隐私权。很多转发是点对点的，或者在一个非常小的圈子里，这个时候要求转发的时候标识出来，实际上是侵犯他人的隐私或利益，所以应当进行非常严格的限定。

草案：第二十六条 网络运营者接到相关假冒、仿冒、盗用他人名义发布信息的举报投诉时，应当及时响应，一旦核实立即停止传播并作删除处理。

意见和建议：1.建议增加"纳入信用档案"的规定。2.建议明确规定由谁来核实。一旦核实立即停止传播。

草案：第二十七条 网络运营者向他人提供个人信息前，应当评估可能带来的安全风险，并征得个人信息主体同意。下列情况除外： （一）从合法公开渠道收集且不明显违背个人信息主体意愿； （二）个人信息主体主动公开； （三）经过匿名化处理； （四）执法机关依法履行职责所必需； （五）维护国家安全、社会公共利益、个人信息主体生命安全所必需。

草案：第二十八条 网络运营者发布、共享、交易或向境外提供重要数据前，应当评估可能带来的安全风险，并报经行业主管监管部门同意；行业主管监管部门不明确的，应经省级网信部门批准。向境外提供个人信息按有关规定执行。

意见和建议：1.在存在混合数据的情况下，重要数据和个人信息是选择欧盟两个条例的模式，还是选择拆分的模式。这需要有一个明确的回应。 2.本条规定还是比较单一，对个人信息，不管是共享还是交易，缺乏足够的指引。

草案：第二十九条 境内用户访问境内互联网的，其流量不得被路由到境外。

意见和建议：1.互联网全球互通，流量不得路由到境外在技术上很难实现。因为现在互联网是全球互联互通的，很难说一个互联网或者网络系统完全不会有任何的数据、流量从国外走一下，或者是绕一圈再回来，除非所有的网络结点全都在国内。2.跨国公司的大量存在可能导致普遍违规的。99%的客户都做不到本条的规定。因为现在的跨国公司都用英特尔，要建立一个系统，不管是国内国外的系统，公司都是接在一起的。其实是把数据回到总部，然后进入那个系统，不管是国内还是国外的数据，用的是国内的系统但是会跳到国外。3.有些数据需要跨境流动，比如留学教育信息、跨国电商、跨国物流等，还有电商商务，像淘宝、天猫，基本上都是穿插着不同的系统，也是要和外面交易的，这是一个很大的问题。4.立法意图不是很明确。《数据安全管理办法》应该聚焦在数据安全的管理，本条涉及网络连接的事情，工信部对电信网络连接方法有非常明确的规定。

草案：第三十条 网络运营者对接入其平台的第三方应用，应明确数据安全要求和责任，督促监督第三方应用运营者加强数据安全管理。第三方应用发生数据安全事件对用户造成损失的，网络运营者应当承担部分或全部责任，除非网络运营者能够证明无过错。

意见和建议：1.规定了承担部分或者全部责任，但没有给出具体的责任范围。2.现在表述的是一个民事连带责任。《立法法》、《民法总则》和《侵权责任法》的体系下都明确规定了，不能通过部门规章去处理，还是应该留给民事立法去处理或者是个案化的处理。什么时候应承担相应的责任是由个案来决定的，而不是统一规定为连带责任。3.极端的情况下我可以解释为严格责任，也可以是过错责任，也可以说是过错推定责任，怎么解释都行。建议改成过错责任。4.本条款明显违法。根据《侵权责任法》第六条第二款，明确说适用于过错推定必须有法律明确规定，作为一个部门的规章，不可能作为一个法律来设定过错推定，这显然是违法的。

草案：第三十一条 网络运营者兼并、重组、破产的，数据承接方应承接数据安全责任和义务。没有数据承接方的，应当对数据作删除处理。法律、行政法规另有规定的，从其规定。

草案：第三十二条 网络运营者分析利用所掌握的数据资源，发布市场预测、统计信息、个人和企业信用等信息，不得影响国家安全、经济运行、社会稳定，不得损害他人合法权益。

草案：第三十三条 网信部门在履行职责中，发现网络运营者数据安全管理责任落实不到位，应按照规定的权限和程序约谈网络运营者的主要负责人，督促整改。

草案：第三十四条 国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证，鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。国家网信部门会同国务院市场监督管理部门，指导国家网络安全审查与认证机构，组织数据安全管理认证和应用程序安全认证工作。

草案：第三十五条 发生个人信息泄露、毁损、丢失等数据安全事件，或者发生数据安全事件风险明显加大时，网络运营者应当立即采取补救措施，及时以电话、短信、邮件或信函等方式告知个人信息主体，并按要求向行业主管监管部门和网信部门报告。

草案：第三十六条 国务院有关主管部门为履行维护国家安全、社会管理、经济调控等职责需要，依照法律、行政法规的规定，要求网络运营者提供掌握的相关数据的，网络运营者应当予以提供。国务院有关主管部门对网络运营者提供的数据负有安全保护责任，不得用于与履行职责无关的用途。

意见和建议："社会管理""经济调控"范围过于宽泛，建议列举典型情形，并明确提供数据的程序。

草案：第三十七条 网络运营者违反本办法规定的，由有关部门依照相关法律、行政法规的规定，根据情节给予公开曝光、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等处罚；构成犯罪的，依法追究刑事责任。

草案：第三十八条 本办法下列用语的含义： （一）网络运营者，是指网络的所有者、管理者和网络服务提供者。 （一）网络运营者，是指网络的所有者、管理者和网络服务提供者。 （二）网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。 （三）个人信息，是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息，包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 （四）个人信息主体，是指个人信息所标识或关联到的自然人。 （五）重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

意见和建议：本条规定重要数据一般不包括企业生产经营和内部管理信息、个人信息等。建议改为一般不包括个人信息、企业生产经营和内部管理信息等。这样更容易理解重要数据和个人信息没有重合。

草案：第三十九条 涉及国家秘密信息、密码使用的数据活动，按照国家有关规定执行。

草案：第四十条 本办法自 年 月 日起施行。