2019年“数据合规”的监管俨然有成为网红之势，APP的治理还在如火如荼中，最近两个最新文件的出台再次刷爆朋友圈 - 5月28日午夜钟声敲响之际，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》（ “征求意见稿”）；而同一天作为欧盟《一般数据保护条例》（“GDPR”）一周年献礼，中国信息通信研究院安全研究所联合多家单位共同发布了洋洋洒洒70多页的《欧盟GDPR合规指引》（“GDPR合规指引”）。 征求意见稿是国家部门规章草案；GDPR合规指引则是对域外法律的学术研究报告，两个文件虽然在效力上并不具有可比性，但文件背后承载的中国和欧盟数据立法思路以及相似条款的融合和差异性值得回味和对比。

中国出台的数据保护和网络安全法规和规范多以综合性规定为主。

2017年的《网络安全法》中混合了关键信息基础设施保护、网络安全等级保护制度、网络信息治理以及公民个人信息保护等四方面内容。

而此次征求意见稿则除了目前监管要求比较成熟的个人信息，重要数据也作为文件的另一主要覆盖内容。

重要数据概念首次规定于《网络安全法》，是指关键信息基础设施企业中与国家安全、经济发展，以及社会公共利益密切相关的数据。 后网信办配套制定的《个人信息和重要数据出境安全评估办法（征求意见稿）》将其扩展到所有网络运营者的范围。征求意见稿之前，重要数据的管理集中于对数据出境的要求，我们注意到此次征求意见稿把《个人信息安全规范》等文件确认的个人数据保护要求（例如发布、共享、交易前的安全评估、对数据承接方和接入第三方应用的责任承担要求等）也扩展到对重要数据的适用。

相比较而言，欧盟的每部立法更加聚焦： 

GDPR，是专门针对个人信息保护的立法，一共99条的规定在落地和可操作性方面都比较强。

GDPR出台的同年，2016年6月针对欧盟网络安全的保护，出台了《网络与信息系统安全指令》（“NIS指令”）。NIS指令应对以关键信息基础设施为重要保护核心的网络安全问题[1]，对各欧盟成员国国家提出网络安全能力以及跨境合作等要求。NIS指令覆盖能源、交通、银行业、金融市场基础设施、健康产业、饮用水供给、数字基础设施，同时适用于包括网上市场、网络搜索引擎以及云计算等部分数字服务提供者的网络与信息系统。

针对非个人数据的规定，欧盟以2016年6月通过的《商业秘密保护指令》以及2018年10月的《非个人数据自由流动条例》为典型代表，前者旨在促进欧盟境内非个人数据自由流动，消除欧盟成员国数据本地化的限制，而后者则是通过明确和统一有关商业秘密的非法获取、使用或披露的法律来保护创新和发展。

相比较而言，我国对于企业商业数据的保护散落于《反不正当竞争法》、《劳动合同法》、《著作权法》等法规中，此次征求意见稿的保护标也排除了企业生产经营和内部管理信息等，但对 “自动化收集”（爬虫）做出了突破性规定。

爬虫基于计算机世界的机器人协议（robots协议），因为与技术的强属性在监管上各国都非常的谨慎。中国互联网协会行业2012年发布的《互联网搜索引擎服务自律公约》第七条要求会员应“遵循国际通行的行业惯例与商业规则，遵守机器人协议（robots协议）”。此前，我国对爬虫并没有设定专门的法规和标准，民事纠纷的法院判决案件[2]多从《反不正当竞争法》的商业道德和诚实信用原则的角度考量。如果爬虫措施强行突破某些特定被爬方的技术措施，还可能构成侵入计算机系统的刑事犯罪行为[3]。

中国的数据安全立法起步于2012年第十一届全国人民代表大会常务委员会第三十次会议通过的《关于加强网络信息保护的决定》，其中规范了公民个人身份和涉及公民个人隐私的电子信息。2017年是个人信息保护法的一个历史性年份， 6月1日我国第一部综合性网络安全和个人信息保护法律《网络安全法》出台，而4个月之后《民法总则》[4]将个人隐私权纳入了自然人基本民事权利的保护范围。然而前述两部大法的意义在于基本原则的奠基，规定内容过于粗疏和宽泛，导致落地和监管上的困难。

正当各界等待着一气呵成的《个人信息保护法》[5]出台时，应来的却是2018年1月的一部推荐性国家标准 --- 《GB/T 35273：2017信息安全技术：个人信息安全规范》（“安全规范”）。安全规范对于个人信息保护的原则和要求确实做到了细化落地，并引领了数据保护领域国标的浪潮，但由于其非国家立法文件的本质，导致行政措施依据上的尴尬性：

因此在我们常见发生个人信息安全事件中，目前行政机关多采取的是约谈、行政检查、劝导示范，而非出现大额的行政罚款或强制处罚。所以立法级别一定是征求意见稿最厉害之处： 一旦证实生效，将作为国家立法层级中的部门规章，可由行政机关依照直接给予行政处罚[6]。