1.8　数据是宝，取之有道

我国一直非常重视网络数据安全和个人信息保护。2016年11月，我国颁布了《中华人民共和国网络安全法》，建立了网络数据安全相关制度；2019年5月，国家互联网信息办公室会同相关部门研究起草了《数据安全管理办法（征求意见稿）》；2020年7月，《中华人民共和国数据安全法（草案）》公布在中国人大网，面向社会公众征求意见。数据安全已成为网络安全乃至国家安全法制体系中的核心内容之一。

在数字经济时代，数据既是财富，也是生产要素，只有数据流动起来，才能创造更多的价值。因此，要动态保护数据，确保在各类场景下收集、利用、流转、开放、共享等不同行为的安全与自由。应用场景的差异会形成不同的正当价值和安全风险，网络数据安全立法的基本思路是进行分级分类的动态保护。根据《中华人民共和国网络安全法》第21条的规定，网络运营者应当采取数据分类、重要数据备份和加密等措施。《中华人民共和国数据安全法（草案）》第十九条提出：“国家根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，对数据实行分级分类保护。”由此可见，国家成为数据分级分类的主体，分级分类不仅包括制定重要数据目录，更需要结合典型的数据应用场景制定配套的网络数据安全法规。

根据《信息安全技术个人信息安全规范》，个人数据可以划分为一般数据、敏感数据和高度敏感数据三类。其中，收集一般个人信息，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，并获得个人信息主体的授权同意；收集个人敏感信息前，应征得个人信息主体的明示同意。应确保个人信息主体的明示同意是其在完全知情的基础上自愿给出的、具体的、清晰明确的意愿表示。此外，个人生物识别信息属于高度敏感数据，收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意。对于这些推荐性国家标准中的管理性规范，需要通过立法程序转化为相应的法律规则。

像淘宝、微博等互联网平台，虽然掌握了大量用户的个人信息，但是未经用户授权，不能随意使用，否则违法。《网络安全法》第41条明确规定：“网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定或者与用户的约定，处理其保存的个人信息。”

2020年10月13日，第十三届全国人大常委会第二十二次会议审议《中华人民共和国个人信息保护法（草案）》。草案规定，侵害个人信息权益的违法行为，情节严重的，没收违法所得，并处5000万元以下或者上一年度营业额5%以下罚款。其中，5%的额度超过了在个人信息保护方面规定“最严”的欧盟。