數(shù)據(jù)治理應(yīng)符合法治要求
數(shù)據(jù)治理的法治化問題，即對數(shù)據(jù)治理主體的權(quán)利義務(wù)的設(shè)定及其關(guān)系模式之制度安排，應(yīng)符合法治主義要求。“數(shù)據(jù)法治化治理”要特別關(guān)注合法性。一是作為底線的形式合法性。下位法不能跟上位法抵觸。二是體系的一致性或者體系合法性。數(shù)據(jù)治理的整個法律體系應(yīng)當(dāng)保持必要的一致性。三是實質(zhì)合法性，即安全與發(fā)展的平衡。安全并不等于一味地保護(hù)，真正的網(wǎng)絡(luò)空間安全不是沒有網(wǎng)絡(luò)空間，而是建立起新興企業(yè)和監(jiān)管機(jī)構(gòu)的聯(lián)結(jié)，既保護(hù)數(shù)據(jù)主體的權(quán)益，也實現(xiàn)國家利益和社會福利的最大化。這種聯(lián)結(jié)的內(nèi)在邏輯的前提是行業(yè)不斷升級、發(fā)展。
關(guān)于數(shù)據(jù)治理的法治化問題，不僅需要國內(nèi)法治，也需要考慮國際法治，促成維護(hù)國家利益但又能進(jìn)行對話、競爭和合作的國際數(shù)據(jù)治理體系，以提升我國在國際數(shù)據(jù)治理體系中的話語權(quán)和治理能力。

關(guān)注法律沖突與銜接問題
應(yīng)注意《數(shù)據(jù)安全管理辦法（征求意見稿）》第二十五條的規(guī)定與《憲法》第四十條以及《網(wǎng)絡(luò)安全法》相關(guān)規(guī)定可能存在的沖突，尤其注意在對消減公民權(quán)利、增加網(wǎng)絡(luò)運營者義務(wù)等進(jìn)行規(guī)定時有沒有違反上位法。互聯(lián)網(wǎng)的數(shù)據(jù)流越大，互聯(lián)網(wǎng)產(chǎn)業(yè)才會越繁榮越健康，應(yīng)注意《數(shù)據(jù)安全管理辦法（征求意見稿）》第二十五條的出臺對產(chǎn)業(yè)的發(fā)展可能產(chǎn)生的影響。

平臺治理要考察三個要素
平臺治理有三個要素：數(shù)據(jù)、算法、平臺。在數(shù)據(jù)的問題上，我國采取的是國際上通行的知情同意機(jī)制。《數(shù)據(jù)安全管理辦法（征求意見稿）》將同意機(jī)制規(guī)定得更為具體、詳細(xì)，還需要明確設(shè)定一些例外情形。《數(shù)據(jù)安全管理辦法（征求意見稿）》在個人信息權(quán)的權(quán)利內(nèi)涵上，基本是對《電子商務(wù)法》第二十四條、《網(wǎng)絡(luò)安全法》第四十三條的進(jìn)一步明確，沒有新設(shè)用戶權(quán)利。在算法的問題上，《數(shù)據(jù)安全管理辦法（征求意見稿）》第二十三條規(guī)定了“定推”標(biāo)識義務(wù)、用戶的退出權(quán)和刪除義務(wù)。但是，如果行使刪除權(quán)就意味著同時行使了退出權(quán)，但行使退出權(quán)可能并不意味著同時行使了刪除權(quán)，這需要在《數(shù)據(jù)安全管理辦法（征求意見稿）》進(jìn)一步明確。《數(shù)據(jù)安全管理辦法（征求意見稿）》第二十四條規(guī)定了算法“合成”信息的標(biāo)識義務(wù)，還需要進(jìn)一步明確該條的立法目的。在第三方應(yīng)用平臺責(zé)任的問題上，《數(shù)據(jù)安全管理辦法（征求意見稿）》進(jìn)一步體現(xiàn)了《電子商務(wù)法》中已經(jīng)反映出來的監(jiān)管平臺并通過平臺進(jìn)行監(jiān)管的思路。另外，由于規(guī)制對象過于寬泛，需要考慮對中小微企業(yè)發(fā)展的不利影響。

數(shù)據(jù)安全的規(guī)定需要完善
目前《個人信息出境安全評估辦法（征求意見稿）》，并沒有區(qū)分是為了安全目的進(jìn)行安全評估，還是為了保護(hù)個人權(quán)利進(jìn)行安全評估，這兩種評估定位明顯不同，需要進(jìn)一步明確。具體到《數(shù)據(jù)安全管理辦法（征求意見稿）》第三十條，該法條采用過錯推定規(guī)則，側(cè)重于事后救濟(jì)，有可能造成只要第三方應(yīng)用發(fā)生數(shù)據(jù)泄露等安全事件，網(wǎng)絡(luò)平臺就要承擔(dān)法律責(zé)任而承擔(dān)過重的法律責(zé)任。建議《個人信息出境安全評估辦法（征求意見稿）》規(guī)定網(wǎng)絡(luò)平臺對第三方應(yīng)用的事前和事中管理義務(wù)，以預(yù)防和避免數(shù)據(jù)安全事件發(fā)生，包括接入第三方應(yīng)用時要進(jìn)行登記和審查、出現(xiàn)違法行為要報告和處置、出現(xiàn)數(shù)據(jù)泄露要通知等。

要確保體系邏輯性和可執(zhí)行性
數(shù)據(jù)治理需要從立法是否足夠及立法能否產(chǎn)生實效兩個方面進(jìn)行考察。從立法是否足夠的角度審查，目前數(shù)據(jù)確權(quán)的問題引起各方爭議。這涉及網(wǎng)絡(luò)空間的基本治理規(guī)范設(shè)計，屬于基礎(chǔ)架構(gòu)，對此應(yīng)謹(jǐn)慎界定，充分論證。另一個是關(guān)于網(wǎng)絡(luò)平臺的司法實踐。網(wǎng)絡(luò)空間確有其特殊性，但對此不可過度解讀，在既有民法框架內(nèi)可解決的問題，不宜盲目擴(kuò)張或突破，否則會干擾一些基本權(quán)利的行使。另外，還應(yīng)當(dāng)觀察現(xiàn)有的立法是否發(fā)揮了應(yīng)有的作用。例如，目的限制原則在現(xiàn)實中難以完全落地，刪除權(quán)的行使存在技術(shù)性障礙，《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定（征求意見稿）》對于監(jiān)護(hù)人的有效告知也很難確保。因此，不應(yīng)盲目追求立法的數(shù)量，要確保規(guī)則體系內(nèi)的邏輯性、穩(wěn)定性及可執(zhí)行性。

立法要注意法律體系銜接問題
從整體上來說，《數(shù)據(jù)安全管理辦法》《兒童個人信息網(wǎng)絡(luò)保護(hù)規(guī)定》《個人信息出境安全評估辦法》三個征求意見稿都體現(xiàn)出監(jiān)管機(jī)構(gòu)對個人信息權(quán)利的高度重視，其中要注意兩個問題。
一是與其他法律的銜接問題，即如何保持立法體系內(nèi)的一致性。例如，關(guān)于“知情同意”原則，《民法總則》規(guī)定意思表示可以以明示或者默示作出，沉默在特定條件下也可視為意思表示。《網(wǎng)絡(luò)安全法》規(guī)定“明示并取得同意”，沒有要求“明確同意”。而《數(shù)據(jù)安全管理辦法(征求意見稿)》第九條、第十一條將“同意”限制在“明確同意”，也不允許采用“默示授權(quán)”。
二是《數(shù)據(jù)安全管理辦法（征求意見稿）》應(yīng)當(dāng)回歸本源，網(wǎng)絡(luò)運營者違反相關(guān)規(guī)定的法律后果應(yīng)該首先承擔(dān)行政責(zé)任，而不是侵權(quán)責(zé)任。《數(shù)據(jù)安全管理辦法（征求意見稿）》第三十條中網(wǎng)絡(luò)運營者的責(zé)任，應(yīng)理解為違反《網(wǎng)絡(luò)安全法》第九條、第二十二條所規(guī)定的“網(wǎng)絡(luò)安全保護(hù)義務(wù)”而產(chǎn)生的行政責(zé)任，而并非侵權(quán)責(zé)任。此處是否承擔(dān)侵權(quán)責(zé)任應(yīng)當(dāng)回歸《侵權(quán)責(zé)任法》關(guān)于共同侵權(quán)即第八條至第十三條的相關(guān)規(guī)定。

好的監(jiān)管需要把握監(jiān)管尺度
《數(shù)據(jù)安全管理辦法（征求意見稿）》第三十六條和第三十七條涉及行政機(jī)構(gòu)監(jiān)管網(wǎng)絡(luò)經(jīng)營者數(shù)據(jù)相關(guān)規(guī)定。在這種情況下，大型企業(yè)數(shù)據(jù)管理措施相對到位，而小微企業(yè)完善數(shù)據(jù)管理可能較為困難。好的監(jiān)管要對合法的投資者、網(wǎng)絡(luò)經(jīng)營者提供良好的保護(hù)。要把握好監(jiān)管與發(fā)展的尺度，對創(chuàng)新行業(yè)領(lǐng)域應(yīng)秉持審慎監(jiān)管原則，目前的監(jiān)管體制與靈活創(chuàng)新還有不相適應(yīng)的地方，需要在實踐中調(diào)整。

厘清相關(guān)法律適用問題
在歐美，很多時候不會將隱私政策認(rèn)定為合同，但如果中國認(rèn)定是，則可能存在與其他國家法律的銜接問題。關(guān)于《數(shù)據(jù)安全管理辦法（征求意見稿）》第三十二條，中國除了涉及上述數(shù)據(jù)安全的規(guī)章以外，還有很多的行業(yè)主管部門和行業(yè)主管規(guī)定，需要將其之間的關(guān)系厘清。

應(yīng)體現(xiàn)比例原則和正當(dāng)程序原則
在目前的大環(huán)境下，數(shù)據(jù)立法首先是一個行政法問題，公法色彩更重。國外的個人信息保護(hù)和數(shù)據(jù)保護(hù)立法幾乎都體現(xiàn)了比例原則、正當(dāng)程序原則，我國在立法中也應(yīng)有所借鑒。同時，要處理好不同法益的沖突，避免影響其他價值的實現(xiàn)。我國的數(shù)字經(jīng)濟(jì)能有今天的發(fā)展非常不容易，也出現(xiàn)了很多亟須規(guī)制的問題。風(fēng)險治理導(dǎo)向的立法和監(jiān)督完全可以理解，但要考慮到數(shù)據(jù)立法既有全局性也有行業(yè)特殊性（比如金融、醫(yī)療、汽車、能源就各有不同），法律體系的協(xié)調(diào)性對法律法規(guī)落地的效果非常關(guān)鍵。

應(yīng)明確區(qū)分?jǐn)?shù)據(jù)和個人信息
我想說三點。一是要把數(shù)據(jù)和個人數(shù)據(jù)或者個人信息加以區(qū)分。《數(shù)據(jù)安全管理辦法（征求意見稿）》中只有第五條、第十七條和第二十八條涉及重要數(shù)據(jù)，但是并沒有涉及實質(zhì)問題，而是更多關(guān)注個人信息的保護(hù)問題。二是數(shù)據(jù)安全和數(shù)據(jù)治理是兩個問題。數(shù)據(jù)治理涉及數(shù)據(jù)的收集、存儲、修改、發(fā)布等細(xì)節(jié)，出臺行業(yè)指南對小微企業(yè)更有幫助。三是數(shù)據(jù)的確權(quán)和賦權(quán)的問題。數(shù)據(jù)確權(quán)要避免設(shè)置過于碎片化的數(shù)據(jù)財產(chǎn)權(quán)，加大交易成本；數(shù)據(jù)賦權(quán)應(yīng)該放到私法領(lǐng)域去解決。