亮點一：數(shù)據(jù)分類分級是關鍵

征求意見稿中提及“建立數(shù)據(jù)分類分級保護制度”，這其實也是《數(shù)安法》的亮點之一。將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，不同級別的數(shù)據(jù)采取不同的保護措施。對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行嚴格保護。一百萬以上的個人信息按重要數(shù)據(jù)級別保護，并定義了重要數(shù)據(jù)范疇。

針對發(fā)生數(shù)據(jù)安全事件，對個人、組織造成危害的情形，《條例》強調通知的即時性和有效性，擬定的3個工作日和8小時更具有可執(zhí)行性?！稐l例》第11條明確要求數(shù)據(jù)處理者應在3個工作日內將安全事件和風險情況、危害后果、已采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關系人。只有在無法通知的情形，方可采用公告方式進行告知。若發(fā)生重要數(shù)據(jù)或者10萬人以上個人信息泄露、毀損、丟失等安全事件，數(shù)據(jù)處理者還需要在發(fā)生安全事件的8小時內向相關部門報告事件基本信息；并在事件處置完畢后5個工作日內向相關部門報告事件相關的調查評估報告。這一項要求將促使數(shù)據(jù)處理者在發(fā)現(xiàn)或發(fā)生安全事件時更具行動力。

亮點三：明確單獨同意的操作方式

《條例》在其第九章“附則”部分提供了相應定義，明確“單獨同意”是指數(shù)據(jù)處理者在開展具體數(shù)據(jù)處理活動時，對每項個人信息取得個人同意，且不包括一次性針對多項個人信息、多種處理活動的同意?；诖?，數(shù)據(jù)處理者在相關法律法規(guī)要求取得個人單獨同意的情形時不得再將之囊括在先前的概括性授權條款之中。

此外，本次《條例》第21條明文規(guī)定，當對于個人信息主體的同意行為有效性產生爭議時，數(shù)據(jù)處理者承擔舉證責任，這就意味著數(shù)據(jù)處理者需要設置更加清晰明了的機制和告知同意取得相關同意，在發(fā)生爭議時，數(shù)據(jù)處理者需要“自證清白”。

《條例》第二十五條擬規(guī)定，不得將人臉、步態(tài)、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式，以強制個人同意收集其生物特征信息。這意味著日后所有互聯(lián)網(wǎng)產品及線下產品都應提供人臉等生物特征認證以外的其他認證方法。

如此一來，作為普通用戶，可以要求對方干什么、不能干什么，可以對哪些行為說不，在法規(guī)上都有據(jù)可查，非常具體。保護公民個人信息，個人是重要主體，當個人權益受到粗暴對待乃至嚴重侵害時，要敢于維權，別當“沉默的大多數(shù)”。

針對重要數(shù)據(jù)及處理100萬人以上個人信息的數(shù)據(jù)處理者，本次《條例》明確要求其數(shù)據(jù)安全負責人應當具備數(shù)據(jù)安全專業(yè)知識和相關管理工作經(jīng)歷，并應當由其決策層成員承擔，保證其有權直接向相關部門反映數(shù)據(jù)安全情況。針對重要數(shù)據(jù)的備案，《條例》亦明確了在識別其重要數(shù)據(jù)后15個工作日內向設區(qū)的市級網(wǎng)信部門備案。同時，相關數(shù)據(jù)處理者還應保證其數(shù)據(jù)安全相關的技術和管理人員每年有不少于20個小時的教育培訓時間。

針對處理重要數(shù)據(jù)的數(shù)據(jù)處理者每年應開展的數(shù)據(jù)安全評估義務，《條例》細化該項義務的具體履行時間、年度評估報告和重點評估內容，要求數(shù)據(jù)處理者在每年1月31日前將上一年度數(shù)據(jù)安全評估報告報設區(qū)的市級網(wǎng)信部門，且該份報告應保存至少三年。

亮點六：數(shù)據(jù)跨境安全管理相關細化規(guī)定

針對《個保法》第40條中關于應當通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估“處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量”的個人信息處理者，《條例》明確該數(shù)量為100萬人以上。除此之外，出境數(shù)據(jù)中包含重要數(shù)據(jù)的、關鍵信息基礎設施運營者向境外提供個人信息的，也應當通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估。

對于向境外提供個人信息和重要數(shù)據(jù)的數(shù)據(jù)處理者，也應當在每年1月31日前編制數(shù)據(jù)出境安全報告，向設區(qū)的市級網(wǎng)信部門報告上一年度數(shù)據(jù)的出境情況，如數(shù)據(jù)接收方名稱、聯(lián)系方式、境外存儲情況、用戶投訴及處理情況等。

針對數(shù)據(jù)的跨境情形，《條例》亦明文要求數(shù)據(jù)出境日志記錄和數(shù)據(jù)出境審批記錄應留存3年以上。

亮點七：互聯(lián)網(wǎng)平臺運營者的特別義務

本次《條例》明確規(guī)定了互聯(lián)網(wǎng)平臺運營者不僅應當建立和披露與數(shù)據(jù)相關的平臺規(guī)則和隱私政策和算法策略，保證公平公正。若相關平臺規(guī)則、隱私政策制定或者對用戶權益有重大影響的修訂，互聯(lián)網(wǎng)平臺運營者應當在其官方網(wǎng)站、個人信息保護相關行業(yè)協(xié)會互聯(lián)網(wǎng)平臺面向社會公開征求意見，征求意見時長不得少于30個工作日，并說明對公眾意見采納和未采納的情況。這是先前未有的規(guī)定，且征求意見的期限明顯長于我們常見的天數(shù)（通常為30日，但本次為工作日）。該規(guī)定為互聯(lián)網(wǎng)平臺運營者設定了一項接受社會監(jiān)督的具體的法定義務。對于日活用戶超過一億的大型互聯(lián)網(wǎng)平臺運營者，《條例》還規(guī)定應當經(jīng)第三方機構評估，并報相關部門同意。這個新的要求使得負載大量用戶的大型互聯(lián)網(wǎng)平臺在出現(xiàn)規(guī)則與策略變動時，需要通過更加嚴格的審核與監(jiān)督。

值得注意的是，征求意見稿第四十六條回應了“大數(shù)據(jù)殺熟”、低價策略等熱點問題，意在規(guī)制平臺運營者濫用數(shù)據(jù)實施不正當競爭或不合理限制的行為。