网络平台应依法收集利用个人信息并确保数据安全

　　近日，国家互联网信息办公室发布公告称，“滴滴出行”App因存在严重违法违规收集使用个人信息问题要求其下架，并要求滴滴出行科技有限公司切实保障广大用户个人信息安全。在《中华人民共和国数据安全法》将于今年9月1日正式生效的背景下，“滴滴出行”App被要求下架，引发社会对网络平台如何依法合理收集利用个人信息并确保安全的关注。

　　互联网企业应依法收集使用数据

　　互联网企业应当依法依规收集个人数据。为了确保网络平台的有效运行，网络平台企业往往会收集大量个人信息，且随着互联网企业掌握个人信息数量的迅速增加，网络平台可通过信息整合等技术基本勾勒出个人的生活习惯、工作轨迹等，从而使个人信息过度曝光于网络中。为此，《中华人民共和国网络安全法》规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。违法收集使用数据不仅侵犯公民个人的基本权利，还会严重危害国家数据安全。如国家互联网信息办公室公告中称，“滴滴出行”App因存在严重违法收集使用数据问题，依据《中华人民共和国网络安全法》等相关规定要求其下架。

　　互联网企业收集使用数据负有维护国家安全和数据安全的义务。《中华人民共和国数据安全法》第八条规定，“开展数据处理活动，应当遵守法律、法规，尊重社会公德和伦理，遵守商业道德和职业道德，诚实守信，履行数据安全保护义务，承担社会责任，不得危害国家安全、公共利益，不得损害个人、组织的合法权益。”“滴滴出行”App作为交通领域中的应用软件，其掌握大量公民个人基础信息，且通过此类信息可计算出特定群体的特定行为或特定习惯等。因此，此类信息数据的安全值得关注。另外，依据《中华人民共和国网络安全法》第三十五条的规定，对于关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应通过国家安全审查。

　　互联网企业应强化维护数据安全义务机制

　　数据是信息的载体，数据安全与网络安全、公共安全、国家安全有着必然联系。数据安全立法的核心就是确保重要数据的安全可控，具有基础设施运营者性质的大型互联网企业应当是国家重点监管的对象。目前，《中华人民共和国数据安全法》侧重于数据自身安全与个人权益、商业秘密的保护，和网络安全法有一定的交叉、重合。随着科学技术的迅速发展，信息安全不断衍生出新的风险，互联网企业应当加强其维护数据安全义务的机制。

　　应维护数据主权。滴滴公司在纽约证券交易所上市时提供的招股说明书显示，2021年第一季度，“滴滴出行”在国内平均月活跃用户数1.56亿人，国内出行业务日均交易量达2500万次。当其在海外上市，就有被境外资本通过股权交易和商业协议获取、操控数据的风险。“滴滴出行”显露出的数据安全风险，为所有在境外上市的中国关键信息基础设施运营者敲响警钟。关键信息基础设施运营者应当重新思考如何调整公司治理方式和商业惯例，来化解数据安全风险以及企业合规风险。

　　应完善重要数据保护机制。《中华人民共和国数据安全法》确立了数据分类分级管理制度，根据数据在社会发展中的重要性，以及这些数据被篡改、破坏、泄露或被非法获取、使用时对国家、公共、个人合法权益的危害程度，进行分类、分级保护。例如，对涉及国家安全的敏感数据的处理活动应进行风险评估，并向主管部门提交风险评估报告。其中，对于重要数据的保护，应当细化其识别标准与具体目录。此外，可以借鉴国外将敏感个人数据风险纳入外资安全审查范围内的做法。对重要数据的保护建立负面清单，明确规定严禁将数据及其分析处理结果用于某些可能威胁国家主权、公共安全的领域。

　　应促进数据的开发利用，实现数据信息价值的最大化。数据安全与数据自由流动是数据开发利用中不可回避的问题，对数据加强安全监管的目的不是要限制数据流动，而是要在促进数据安全有序流动的前提下促进数据的开发利用。如《中华人民共和国数据安全法》第一条明确规定：“为了规范数据处理活动，保障数据安全，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，制定本法。”对于通过国家网络安全审查的数据，可以允许其在国际领域内自由流动，以实现对数据信息的有效利用。

　　（作者单位：南开大学法学院）