5月8日，天津市互联网信息办公室发布《天津市数据安全管理办法（暂行）》（征求意见稿）（简称办法），并对外公开征求意见。隐私护卫队梳理发现，这可能是继《贵阳市大数据安全管理条例》之后的第二个地方性数据管理法规。

据了解，办法分总则、安全保障、信息通报与应急处置、监督检查、责任追究、附则六章，包含36条具体规定，从数据、数据运营者等相关名词的的定义、各相关部门的职责和权限以及企业在数据管理中的责任和义务等进行了详细规定。

对于办法，有专家表示它在网安法基础上更加详细，但也有专家认为，办法中一些条款或操作性不高。

比《贵阳市大数据安全管理条例》管理范围更广

与办法相似、同属地方性的与数据安全相关的法规，隐私护卫队发现，2018年10月，《贵阳市大数据安全管理条例》（简称贵阳市条例）发布实施。

与贵阳市条例不同的是，办法是天津网信办制定的地方性法规，侧重数据管理；贵阳市条例是贵阳市人大制定的规章，侧重数据产权的交易。

隐私护卫队注意到，办法与贵阳市条例在字面上有一个明显的区别。贵阳市条例聚焦于新兴行业“大数据”，而办法针对的是“数据”。

据了解，贵阳市条例中定义“大数据”为“以容量大、类型多、存取速度快、应用价值高为主要特征的数据集合”，办法中“数据”的定义为“通过网络采集、传输、存储、处理和产生的各种电子数据”。

对此，南京信息工程大学法政学院教授蒋洁表示，办法比贵阳市条例管理的范围要大。

她指出，条例主要调整“大数据发展应用中的安全保护、监督管理以及相关活动”，实质是将法规调整范围限定在大数据处理的整个生命周期，不涉及所有数据活动。而办法的数据管理范围要广泛得多，比如个人之间的数据传输、数据篡改、毁损等都在此列。

“大数据的本质仍然是数据，以数据安全，替代大数据安全，可以避免数据‘大’与‘小’区分给人们带来的困扰。”华东政法大学教授高富平说。

数据不继续使用应当立即销毁？各方意见不一

办法第二十四条【数据销毁】规定，数据不需要继续使用或继续存储将妨碍数据主体权益的，数据运营者应当立即销毁。销毁数据，应当建立相应的管理制度和审批机制，明确销毁对象、流程、方式、方法和技术等要求，设置相关监督岗位人员，确保以不可逆方式销毁数据。

2018年11月，人人网因被卖在勾起用户回忆青春的同时，也有用户质疑在人人网上留下的数据该何去何从。其中，有用户希望能注销账号，将照片、日志等数据打包导出。但用户发现，人人网账号无法彻底注销，尽管网站提供“停用账号”选项，但该功能仅会将账号置于锁定状态，且他人无法访问人人页面，但数据并未删除。

中国政法大学传播法研究中心副主任朱巍表示，数据销毁讨论的是当用户注销账号、数据不再使用时，数据的权属问题。他表示，这些问题有必要出台具体的规定进行规范。“制度上加以保证，技术上才会跟进。”他说。

对于该条规定，高富平表示，企业继续存储数据将妨碍数据主体权利的情况，可以作为其销毁数据的依据，但企业不需要继续使用数据的情况，不宜作为其销毁数据的依据，这干涉数据使用人的自由。

作为数据运营者，天津某企业的法务则坦言，“目前法律仅对个人信息的保存期限进行了明确要求，超过目的所需期限的，应当删除或匿名化处理。”他指出，办法创设了“销毁”这一概念，如果将个人信息在内的所有数据都包括在内，无论是在适用范围还是具体要求上都已经“越界”。

数据经营者：信息备案制缺少上位法支撑

办法第十一条【信息备案】规定，市互联网信息主管部门应当建立本市数据安全信息本案制度，会同有关部门组织重要数据和个人信息的数据运营者备案主体信息，数据收集和使用规则，数据收集目的、方式、范围（不包括数据本身），还需提供数据安全服务的企业及产品等信息。

隐私护卫队发现，信息备案制度鲜少在类似办法中出现。该条例引起学者和企业的热议，意见不一。

朱巍认为，在电子商务法和网安法中，企业需要将数据本身上交给网信等部门的情况，可能是涉及犯罪或危害国家安全的时候。“该办法作为地方性条例，本身没有权力要求企业上交数据，所以只是备案企业使用数据的方式、目的、范围等内容”，他直言，“在法律框架以内，天津网信办的备案制度将其权利扩大化。”

不过，他也指出，备案机制对营造良好的大数据使用环境是有帮助的。执行信息备案制度，一方面可对企业进行合规审核，检查企业管理、使用数据的规则是否有问题；另一方面，当企业发生信息安全事故之后，政府怎么监管需要一个抓手，“备案就是一个基本的抓手。”他还表示，该机制可以避免企业承担更多的责任。

对于该条规定，蒋洁认为内容比较模糊，比如对于提供数据安全服务企业的技术备案规定，备案程度值得讨论：简单粗略的技术描述达不到监督数据安全的作用，过于详细的技术备案要求则可能涉及知识产权风险。

上述企业法务对隐私护卫队表示，网安法仅规定了网络运营者处理个人信息时“同意”的合法性事由，其他任何法律都未规定网络运营者处理非个人信息的前置条件；而办法却在上位法既定的合法性事由之外或者法律未规定的前提下增设了“备案”要求，“缺乏上位法支撑”。

专家：某些条款存在可操作性较差的问题

据了解，在十三届全国人大常委会立法规划中，《数据安全法》已列入其中，且立法条件定位为条件比较成熟。而如果办法正式实施，全国将至少有两个数据管理相关的地方性法规。

朱巍表示，办法是根据地方特色出台的与数据管理相关、基于网安法的法规，还更加详细。比如，对于数据交换，更多的是涉及开放平台，但它的合法合规性怎么判断，光靠法院的判决是不够的，需要出台具体的法律法规，比如网信部门出台相关的办法等。“我觉得办法规定是比较细的。”

他还表示，虽然办法位阶比较低，没有处罚规则，但是嫁接到了网安法和相关刑事犯罪的处罚规则上，这样是可以的。

赞同声音之外，也有其他不同的声音。

比如，高富平认为办法中的一些内容并不必要。比如，数据外包条款规定：数据运营者利用服务外包方式开展数据活动的，应当与外包服务提供者签订安全保护协议。

他表示，上述方法在商业操作中已经是普遍做法。“企业认为数据有价值，为了维护对数据的控制，在与合作伙伴签署的协议中，自然会增加相关的约束条件”，他指出，如果法律上要求签署保密条款的话，意味着这将成为企业的义务，“这样做是否有必要性？”

同时，高富平还说，办法着眼于“利用网络开展数据采集、传输、存储、处理、使用等数据活动的秩序安全，较符合数据安全内涵和目的。 “安全保障”一章从数据生命周期出发对数据安全组织和制度措施作了很好的指引，给数据运用主体很好的参考。

还有专家对隐私护卫队表示，传统的数据安全是保证数据的保密性、可用性和完整性。如今，数据安全已上升为数据利用秩序的安全。虽然办法的主导思想包括数据资产管理等内容，但主要还是基于传统的信息安全加上公开网络环境下有害信息的治理等。“框架很全，但有些内容并不太具有可操作性。”