数据分类分级保护的逻辑厘定与制度构建
——以重要数据识别和管控为中心
2022-07-29鄢浩宇
袁 康 鄢浩宇
武汉大学法学院,湖北 武汉 430072)
随着 《数据安全法》正式稿的公布,其与 《国家安全法》和 《网络安全法》共同构成了我国网络数据安全保护的基本框架。数据分类分级保护制度作为 《数据安全法》中的核心制度,旨在对不同重要性和风险等级的数据实施不同程度的管控,以实现保障数据安全、促进数据开发利用的总体目标,但 《数据安全法》作为一部基础性法律,仅对数据分类分级标准和重要数据的识别和管控作了原则上的规定,相关的实施细则和配套制度匮乏,将直接影响制度的具体落实和实施成效。厘清数据分类分级保护制度的现实意义与实施逻辑,分析其实践困境和制度需求,构建相对统一的数据分类分级标准体系和数据保护框架,对于数据分类分级保护的制度落实和效用发挥、实现数据安全保障与数据开发利用的平衡具有重要意义。
1 数据安全保护的理念更新与范式转型
从Web1.0到Web3.0,互联网的运营模式与信息交互的形态不断进化,对于信息安全和网络安全的保护理念和保护范式也在相应更替[1]。作为新型生产要素的数据面临更为复杂的安全风险,法律在信息化和数字化革命下相较于以往将承担更为重要的社会功能[2]。为此需要对传统网络信息安全保护的理念和范式进行审视与革新,以应对数字浪潮的挑战。
1.1 数字经济下传统数据安全保护路径面临的挑战
首先, “整齐划一”的数据安全保护模式难以适应数据的异质性特征和复杂多变的数字经济发展形势。不同数据不仅在内容上互相差别,在形态上也各不相同,具有明显的异质性[3]。对所有数据不加区分地采用一套保护策略可能会产生诸多问题,倘若采用统一宽松的数据保护政策,公民个人隐私无处安放,甚至可能危及社会稳定和国家安全。美国曾一度采取完全市场化的数据流动利用模式,大量数据经纪商收集处理数据的行为基本处于不受监管的状态,消费者的个人数据在未经通知或征得同意的情况下即被收集处理,相关企业滥用消费者数据的行为频发,数据泄露问题严重,个人隐私和数据安全难以得到保障[4-6]。倘若采用统一严格的数据保护政策,不仅政府的执法成本较高,企业的合规成本也较高,或是导致政策难以真正落地实施,或是导致企业的数据流通积极性和数字经济的发展被限制。欧盟1995年 《个人数据保护指令》 (以下简称95 《指令》)统一严格的立法模式虽一定程度上实现了对个人数据权利的保护,但也给数据运营商带来巨大的合规成本。从欧盟后续对95 《指令》实施效果的评估来看,95 《指令》的实施一定程度上损害了数据流通的效率和欧盟数字经济和技术的发展,甚至成为欧盟在21世纪初的网络浪潮中未能发展出网络巨头的原因之一[7-8]。倘若顾及数据安全而将数据资源完全紧锁,则更不可取。一方面,数据资源的完全封闭使得数据无法汇聚融通,形成数据割据和孤岛,基于数据自身特质的规模效应和乘数效应无法发挥,数据的社会化利用难以实现[9]。另一方面,数据安全是一个相对而非绝对的概念,不计成本地追求绝对安全,不仅会背上沉重负担,甚至可能顾此失彼[10]。此外,在现实需求和商业利益的驱使下,正常数据流通和获取渠道的紧闭也可能导致数据黑市的盛行和数据爬取行为的泛滥[11]。因此,在不加区分 “整齐划一”的数据保护模式下,相对宽松、较为严苛亦或是完全封闭的数据保护政策都不尽人意,无法应对数据异质性和复杂多变的数字经济发展趋势带来的挑战。
其次,重静态而轻动态的数据安全保护模式无法应对日益凸显的数据流通需求所产生的新型数据安全风险。数据的价值在于利用,在数字经济背景下,数据的流动是 “常态”,数据静止存储是 “非常态”,数据处理角色更加多元,涉及业务更加多样,由此带来的数据安全风险也更为复杂[12]。在这一背景下,应树立数据流通利用常态化的理念,并应对数据大规模流动、聚合、分析可能产生的新型数据安全风险,有学者将应对这种新型数据安全风险的要求称为数据的可控性 (controllability)[13]。美国 《联邦信息安全管理法》中首次提出信息安全可用性 (availability)、保密性 (confidentiality)、完整性 (integrity)的 “信息安全三性”保护要求,成为使用最为广泛的信息安全保护原则[14],但传统的数据安全保护关注信息的自身安全和静态安全,多侧重信息的存储和管理,对于数据大规模流动、聚合和分析的动态管控和由此可能产生的新型数据安全风险回应不足。2017年11月,健身应用Strava发布了基于2700万用户运动轨迹数据的 “全球热力地图”,该地图发布后不久即被网友发现可以据此分析出美军、英军、法军在阿富汗、地中海、西非等地的军事基地位置和士兵的日常运动轨迹[15],使各国军方哗然。2021年7月4日,网络安全审查办公室对 “滴滴出行”启动网络安全审查,随即又启动了对 “运满满” “货车帮” “BOSS直聘”等企业的网络安全审查[16]。上述企业之所以面临国家网信部门的严格审查,在于其处理和产生的数据涉及国家人才职业、道路交通和地理信息,众多的个人数据、道路交通和地理数据流动、聚合和分析后,可能暴露国家关键的政府机构、基础设施和军事基地的地理位置和其他相关信息,对国家安全产生威胁。以上事件反映出两个问题:一是本身不被视为具有安全风险的数据在大规模聚合分析下能够产生超越传统数据自身风险的新型数据安全风险;二是从侧面说明了重静态轻动态理念下的传统信息安全保护模式仍然处于应急监管和事后监管的状态,难以应对数据大规模流动、聚合和分析产生的新型数据安全风险。数据作为信息的一种表现形式,固然可以套用传统的信息安全保护范式,但不足以完全应对数字经济下数据大规模流动、聚合和分析而产生的新型安全风险,数据安全保护范式亟待革新。
1.2 范式革新下应运而生的数据分级分类保护制度
面对数据异质性和数据因流动而产生的数据安全问题,数据分类分级保护制度能够充分回应上述困境,有效应对新型数据安全风险。
首先,数据分类分级保护制度能够以差异化管控应对数据的异质性特征。不同于 “一视同仁”的简单规制,数据分类分级保护制度能够打破数据全闭或全开的二元对立局面,对不同重要性和风险程度的数据实行差异化的流通策略和针对性的保护措施,以最大程度地平衡数据利用与数据安全。美国为了应对上述数据安全和消费者个人隐私侵犯等问题,在地方层面,加利福尼亚州、弗吉尼亚州和科罗拉多州等均相继通过了个人隐私保护的相关法案;在联邦层面,统一立法委员会于2021年7月推出了 《统一个人数据保护法》,以作为各州个人数据保护的示范法。为了应对数据流通处理可能对社会秩序和国家安全造成的影响,奥巴马政府于2010年推出了 “受控非密信息”管理制度,并于2016年建立了实施细则,以保护和管理需要控制传播的非国家秘密信息[17];美国国会于2018年通过了 《外国投资风险审查现代化法》,以管控数据的跨境流通和国家安全[18],由此初步形成了美国对不同类别数据分别进行管控的制度框架。欧盟为了缓解较为严苛的数据保护政策给数据创新和产业发展带来的限制,通过颁布 《通用数据保护条例》以替代95 《指令》,对不同敏感程度的个人数据进行了一定程度上的区分处理,颁布 《非个人数据在欧盟境内自由流动框架条例》及其指南,以促进非个人信息在欧盟范围内的流通利用,实现了欧盟对于个人数据和非个人数据的差异化管理。无论是美国还是欧盟在面临数据异质性和复杂多变的数字经济发展趋势的挑战时,均对 “整齐划一”的数据保护政策进行了革新,体现了分类分级保护的理念。我国 《数据安全法》中规定的数据分类分级保护制度,其核心亦在于对不同重要性和风险等级的数据匹配不同程度的保护和管制措施,避免数据保护程度不足而导致的风险外溢,也避免数据保护措施过严导致的数据流动利用限制,以实现数据流动利用风险和数据安全保护措施的最大程度适配。
其次,数据分类分级保护制度能够以针对性管控应对因数据大规模流动、聚合分析而产生的新型数据安全风险。在保护理念上, 《数据安全法》下分类分级保护制度的主旨即为保障数据安全的同时促进数据开发利用,不再将静态存储视为数据的常态,而将数字经济时代大规模的数据流动、聚合和分析作为制度实施的现实环境,对数据收集、数据交易、数据开放等数据流通利用活动作了规定。在保护方式上,数据分类分级保护制度能够对不同重要性和风险程度的数据进行分级,并在此基础上对不同流动性的数据采取差异化的保护措施。重要性和风险程度大的数据限制或禁止流动并进行针对性保护,一般商业性数据则允许市场化流通并主要关注其在流动过程中大规模聚集和分析产生的风险,把握关键环节进行持续动态性管控,以确保数据的可控性,从而实现对数据流动性的控制和应对数据因大规模流动利用而产生的新型数据风险。
2 数据分类分级保护的逻辑展开与制度需求
数据分类分级保护制度的落实并非一蹴而就,不仅需要对制度的理论层面进行剖析,还需对制度的实施逻辑进行梳理。一方面应注意从以往制度和实践中寻找经验,以厘清现实境况,做好制度衔接;另一方面也需明确制度目的和制度需求,以针对性地对制度进行构建和完善。
2.1 重要数据识别和数据分级标准的统一
数据分类分级标准是数据分类分级保护制度实施的前提, 《数据安全法》中仅对 “重要数据”进行了概念上的界定,并未规定具体的识别标准,对于数据如何分类、具体分为几级、分级的标准等问题也并未详细规定,直接影响了数据分类分级保护制度的落实。实践中相关部门和行业单位 “自下而上”发布的众多规范和标准虽形成了一定的共识,但难以形成统一,不足以直接作为制度落实的参照和依据,统一的 “自上而下”的重要数据识别和数据分类分级标准亟需建立。
在重要数据的界定和识别上,相关部门、行业单位和市场主体曾发布众多规范和标准,对重要数据概念的定义形成了一定的共识,均认为重要数据与国家安全、经济发展以及社会公共利益密切相关。但对于重要数据是否包含国家秘密、企业生产经营和内部管理信息、个人信息等,不同规范和标准则存在分歧。首先,对于重要数据是否包含国家秘密, 《数据安全管理办法 (征求意见稿)》等规范持模糊的态度,一些标准性文件则明确表明重要数据不应包含国家秘密 (如 《信息安全技术 大数据服务安全能力要求》等)。其次,对于是否包含企业生产经营和内部管理信息、个人信息, 《信息安全技术 数据出境安全评估指南 (草案)》等标准认为应当包含, 《金融数据安全 数据安全分级指南》等规范和标准则认为重要数据一般不应包含企业生产经营和内部管理信息、个人信息。在各类纷繁复杂的规范和标准性文件中,重要数据界定和识别的具体标准仍存争议、不甚清晰,为了确保数据分类分级保护制度的有效落实,需进一步对重要数据的界定和识别标准进行明确。
对于数据分类分级,相关部门、行业单位和市场主体亦曾发布大量规范和标准。由于数据分类主要是满足条块管理的需要,由各部门和行业结合自身需求和业务性质进行划分更为合适。数据分级则直接涉及对不同等级数据的管控,需要划定统一的标准,故本部分主要讨论当前各规范和标准对于数据定级的现状及存在的问题。
以金融业和工业领域为代表的行业性数据分类分级指南提出了一套以数据被损坏后的影响对象、影响程度为衡量标准划分数据等级的数据定级方法 (如 《基础电信企业重要数据识别指南》 《金融数据安全 数据安全分级指南》等),具有较高的参考价值,但仍存在以下问题:
首先,不同规范和标准对于影响对象、影响程度、等级数量等定级要素的具体规定存在分歧。在影响对象上,有的分为个人隐私、企业合法权益、公众权益、国家安全四个类别 (如 《金融数据安全 数据安全分级指南》等),有的分为用户和企业利益、公众利益和社会秩序、国民经济和国家安全三个类别 (如 《工业数据分类分级指南 (试行)》等),有的文件限于行业内部,分为行业、机构、客户三个类别 (如 《证券期货业数据分类分级指引》等)。在影响程度上,有的分为严重、中等、轻微、无损害四类 (如 《金融数据安全 数据安全分级指南》等),有的分为严重、高、中、低损害四类 (如 《基础电信企业数据分类分级方法》等),有的分为严重影响、较大影响、较小影响三类 (如 《工业数据分类分级指南 (试行)》等)。在数据等级数量上,各类文件产生的分歧则更为明显,有的将数据分为三级 (如 《个人金融信息保护技术规范》等),有的分为四级 (如 《基础电信企业数据分类分级方法》等),有的分为五级 (如 《电信和互联网服务 用户个人信息保护分级指南》等)。
其次,以上数据分类分级规范和标准均只针对特定行业和领域,并未形成统一数据分类分级的标准,不同数据分级标准缺乏对应联系和互操作性,可能导致数据分级标准的林立,增加数据分级制度整体落实的难度。此外,即使部分较有代表性的数据分类分级规范文件在数据分级标准上也存在进一步完善的空间。以 《金融数据安全 数据安全分级指南》为例,指南中将影响对象分为国家安全、公共权益、个人隐私和企业合法权益四类,将影响程度分为严重损害、一般损害、轻微损害和无损害四类,按照指南中的数据分级方法得出数据等级划分矩阵表 (见表1)。从影响对象看,个人隐私和企业合法权益在遭受不同影响程度情况下分别对应的数据等级完全相同,将两者分别作为独立的影响对象进行区分没有必要。从影响程度看,无损害单独作为一个评价指标所对应的受侵害客体为公共权益和国家安全时,数据级别堆叠,区分度小,是否必要将其独立作为一类影响程度值得思考;一旦涉及国家安全,无论造成轻微损害、一般损害或是严重损害均划定为同一等级数据,区分度不足。
表1 数据等级划分矩阵
从以上分析可以看出,各行业各部门推出的数据分类分级规范和标准采取的是一种 “实然”路径,其基本思路是根据本行业本部门实际运作流程中所收集和产生的各类数据进行分类,在此基础上再根据需要进行数据分级,可以统称为一种 “自下而上”的数据分类分级[19]。这种分类分级可能产生两个方面的问题:①各行业各部门之间的标准难以统一,缺乏互操作性,导致数据分类分级保护制度的整体落实面临困境;②数据等级和数据保护程度均由组织内部决定,可能产生较大的负外部性,组织内部认为重要性不大的数据实际上可能对于公共利益和国家安全的重要性更为明显,若将数据定级权限完全交由组织内部,则因此产生的负外部性只能由社会和国家承担。据此,统一的 “自上而下”的重要数据识别和数据分类分级标准亟需推出。
2.2 信息和网络安全等级保护制度的衔接与启示
在 《数据安全法》正式出台前,国内关于信息安全等级保护和网络安全等级保护的制度已付诸实践,数据分类分级保护制度应当注意与信息和网络安全等级保护制度的衔接,同时从中吸收等级保护的经验与启示。
数据是信息的一种表现形式,是以电子方式对信息的记录,本质上仍然以记录的信息内容为核心[20],故信息安全等级保护制度对于数据安全等级保护制度有重要的借鉴意义。 《信息安全技术 信息系统安全等级保护定级指南》将信息安全等级保护制度直接作用的对象界定为信息和信息系统,并对承载信息的信息系统安全保护等级作了划分,见表2。该安全保护等级划分方法和结果对于数据分类分级标准在影响对象、影响程度、数据等级数量等定级要素的确定和数据定级结果方面都具有一定的参考价值。
表2 信息系统安全等级划分矩阵
网络是数据流转的空间,数据的安全流通利用需要有网络信息系统的保障,一定等级的数据理应匹配相应安全防护等级以上的网络信息系统,由此才能实现网络安全与数据安全体系的统一协调构建, 《数据安全法》中亦提出应当在网络安全等级保护制度的基础上履行数据安全保护义务[21]。首先,网络安全等级保护制度与信息安全等级保护制度中的安全等级划分标准如出一辙 (见表2、表3),意味着信息、网络安全领域的安全等级保护划分标准存在延续和对应,数据等级划分标准也应当对该标准有一定的参照。其次, 《信息安全技术 网络安全等级保护定级指南》中提出,当安全责任主体相同时,数据与网络信息系统宜作为一个整体进行定级,意味着网络信息系统和数据的定级标准需存在对应关系,否则将导致两者作为整体定级时产生各自标准上的冲突。此外, 《网络安全法》中提出的对关键信息基础设施的重点保护和 《数据安全法》中提及的对重要数据的重点保护具有内在的联系,意味着处理重要数据的系统应当满足一定等级的网络信息系统保障和关键信息基础设施安全保护要求。
表3 网络信息系统安全保护等级划分矩阵
2.3 数据分类分级基本理念的把握
数据分类分级基本理念贯穿数据分类分级全过程,对于数据分类分级具有原则上的指引,应准确把握数据分类分级的基本理念,以确保数据分类分级的流程和结果符合制度的宗旨。
级别划定的合理适当。数据等级划定过低,可能导致数据的风险溢出,数据未能得到有效的保护;数据等级划定过高,则可能投入不必要的管控成本,或因此限制数据的流通利用,应当准确界定影响对象和评估影响程度,以确保数据等级划定的合理适当。在评估影响程度时,可以通过数据保密性、完整性、可用性的损坏造成的影响对侵害程度进行评估。此外,对于可能涉及多个数据级别的混合数据,无法将混合数据中不同级别数据区分的,应将混合数据作为一个整体划定为其所含数据涉及的最高数据等级。
数据等级的动态调整。数据的等级并非一成不变,数据的流动、汇集、分析以及社会经济的发展和国家政策的变化都将影响数据的重要程度以及可能带来的风险,因此需要对数据等级进行动态调整。对于因处理场景和处理方式变化或因流动、汇集、分析而可能对社会秩序、公共利益和国家安全产生更大程度危害风险的数据,应适当划入更高等级进行保护。对于部分已经被公开披露的数据、被更新替代的历史数据、不再涉及敏感信息或国家安全的数据,则可以划入更低等级,以节约执法资源,减轻相关主体的合规压力。
自主性定级与强制性定级相结合。数据分类分级保护制度是一项系统性工程,完全由中央采取自上而下的方式任务艰巨且不尽现实,完全由地方或部门采取自下而上的自主数据定级方式又可能造成各地方、各行业和各领域之间的标准互相冲突[22]和数据定级的负外部性,应将地方自主定级和中央强制定级相结合。地方、行业和领域的数据责任主体有一定的数据自主定级权限,可以在中央划定的数据定级标准基础上进行更为细化的分类分级,但自主定级的数据等级应与中央确定的数据等级有对应关系,落入中央相应数据等级的数据应采取符合要求的数据管控措施。
2.4 数据分类分级关键要素的厘清
根据 《数据安全法》中对于数据分类分级标准的表述,决定数据不同等级的因素为数据损坏后的影响对象以及对影响对象的影响程度,由此可以确定数据定级中的三大要素,即影响对象、影响程度和数据等级数量。这三大要素构成数据等级划定的基础框架,对三大要素内容的确定和基础框架的拟定在数据分类分级中尤为重要。
第一,影响对象的提炼。之所以区分不同的受侵害客体,在于其分别代表了不同的法益,且受到侵害后可能产生不同程度的影响。社会秩序和公共利益、国家安全应单独作为评价的客体并无疑义,但公民与法人和其他组织是否应当区分作为单独评价的客体在实践中则存在争议。如前文所述, 《金融数据安全 数据安全分级指南》中将个人权益和组织权益区分为不同的影响对象评价,可能考虑到组织相比于个人涉及更多的就业、产业和经济问题,但从两者最终的分级结果来看,个人权益和组织权益分别独立作为影响对象评价所得出的数据分级结果完全相同 (见表1),印证了该分类过于细化并未带来实质效果,徒增定级的繁琐程度。公民个人权益和组织权益本质上均属于私主体的权益,理应作为同一影响对象进行评价,即使组织可能涉及就业、产业和经济等与公共利益相关的问题,也应将涉及该部分的数据特殊考虑,而不宜直接将组织作为单独的影响对象进行评价。因此影响对象宜分为三类,即公民、法人和其他组织的合法权益;社会秩序、公共利益;国家安全。
第二,影响程度的评估。首先,需要考虑无损害是否应当独立作为一个损害程度的评价指标,该问题在实践中存在分歧。 《证券期货业数据分类分级指引》和 《金融数据安全 数据安全分级指南》将无损害作为单独的损害评价指标,其余规范和标准大多不将无损害作为单独的损害评价指标。数据的管控需要成本,无损害意味着无客体的法益受损,投入资源进行特殊管控可能造成执法资源的浪费,在成本效益上不经济。此外,将无损害作为一个独立的评价指标,可能造成数据等级评价结果的重复或堆叠,缺少区分性 (见表1),因此无损害不应单独作为一个损害程度的评价指标。其次,需要考虑是否将轻微损害和特别严重损害纳入影响程度的评价指标。 《数据安全法》是网络数据安全的基础性法律,必然需要与治安管理处罚法、刑法等法律法规协调和衔接,尤其是在法律责任的适用上,这一点从其在法律责任部分的引致条款即可看出,因此数据等级评估中考虑的法益损害很大程度上也是其他相关法律在适用法律责任时考虑的法益损害,治安管理处罚法和刑法中均包含对受侵害客体造成特别严重损害的评价,因此保留 “特别严重损害”的评价较为必要。轻微损害作为单独的损害程度评价指标并无必要,若损害程度较为轻微则不宜纳入数据评级,若损害程度趋于一般损害则可以结合实际适当参照一般损害的评价,一方面能够增加数据评级的灵活性,减少不必要的程序冗杂,另一方面可以通过向上兼容实现对数据更好的保护。此外,采取一般损害、严重损害、特别严重损害的影响程度评价指标亦能够与信息安全等级保护制度和网络安全等级保护制度中的影响程度评价指标衔接 (见表2、表3),实现信息、网络、数据安全保护体系的系统协调构建。因此,影响程度应区分为一般损害、严重损害、特别严重损害三类。
第三,数据等级数量的确定。数据分级的颗粒度不宜太粗,缺乏精细化,无法发挥数据分类分级制度的实效,也不宜太细,缺乏可操作性,使得各级别之间差异并不明显,徒增分级的成本和复杂性。部分学者提出应将数据等级划分为三级[23-24],但或是未兼顾到国家核心数据这一最高数据等级的分类,或是需要将其中一个数据等级进行细分,实质上为超过三级的数据分级。考虑到数据等级数量的划分在精确度和操作性上的平衡,以及数据安全等级保护制度与信息安全等级保护制度和网络安全等级保护制度的衔接,宜将数据等级的数量确定为五级。
3 统一数据分类分级标准体系的构建:以重要数据识别为核心
数据分类分级标准是数据分类分级保护制度实施的前提,应明确重要数据的界定与识别标准,并构建科学统一的数据分类分级标准体系。
3.1 重要数据的界定与识别
就目前对重要数据的讨论而言,确认重要数据关乎社会秩序、公共利益和国家安全已无疑义,但对于重要数据是否包含国家秘密、是否包含企业生产经营和内部管理信息、个人信息等问题仍存争议,应当对上述问题进行厘清,并探究重要数据的具体识别方法。
首先,重要数据不应当包含国家秘密。多数业内实务工作者和学者倾向于将国家秘密排除在重要数据范围之外[25],从最新的各行业数据分类分级文件来看,重要数据的内涵也不再包括国家秘密。2021年8月国家互联网信息办公室最新发布的 《汽车数据安全管理若干规定 (试行)》中,将重要数据的划分涵盖了军事管理区、国防科工等涉及国家秘密单位以及县级以上党政机关等重要敏感区域的地理、人流、车流数据,由此给重要数据内涵的界定带来困惑。对此,应当区分直接包含国家秘密和可能涉及国家秘密两个概念,军工单位和党政机关等区域的人流车流数据并不直接包含国家秘密,对这些数据进行流动、聚合和分析后则可能涉密。国家秘密属于特定军政人员在特定范围和特定时间内知悉的国家重要信息,并不纳入公共数据流通的范围,应依据 《保守国家秘密法》及其实施指南等专门性的法律法规进行管控, 《数据安全法》中亦使用引致条款对涉及国家秘密的数据进行了区别处理。
其次,重要数据一般不包含企业生产经营和内部管理信息、个人信息。将以上信息纳入重要数据范围将面临两个问题:第一,在政府层面,企业生产经营和内部管理信息、个人信息的数量众多,均纳入重要数据范围并采取重点保护,可能带来巨大的执法成本。第二,在企业和市场层面,如果以上信息纳入重要数据范围,将使企业背负巨大的合规压力,市场中数据流通利用成本大大增加,极有可能限制数据的流通利用、阻碍数字经济的发展。但应当注意的是,部分企业生产经营和内部管理信息、个人信息可能纳入重要数据甚至国家核心数据的范围,例如涉及国家核心技术的企业专利和商业秘密、国家重要军政人员的个人信息等,将其纳入重要数据并不是出于个人权益或企业权益的考虑,而是出于对公共利益和国家安全的考量。
在重要数据的识别上,可以采取定性和定量结合的方式。定性识别主要通过评估数据的重要程度及损坏后可能对社会秩序、公共利益和国家安全造成的影响程度来确定是否落入重要数据的范围[26]。定量识别主要考虑到大量数据聚合分析后可能产生的数据流通性风险,例如我国的 《网络安全审查法 (征求意见稿) (2021)》以及美国的 《外国投资风险审查现代化法》均将超过一定数量的数据跨境流动或处理纳入审查范围。采取定性和定量结合的方式进行重要数据的识别,能够兼顾对数据自身安全风险和数据流动性安全风险的防范,发挥重要数据管控的实效。
此外,应当明确重要数据是一个数据类别而非数据级别。从 《网络安全法》对个人信息和重要数据规定的相应安全保护要求来看,其是将个人信息和重要数据作为两个数据类别,个人信息可以因重要性和风险程度的不同再分为不同的安全等级,重要数据同样可以根据重要性和风险程度再分为不同的数据安全等级。国家核心数据作为 《数据安全法》中新提出的数据类别,其相较于重要数据实施更为严格的管理制度,数据等级明显位于重要数据之上,宜作为一个最高数据级别看待。
3.2 五级数据分级体系的构建
根据前文所述的数据分级基本逻辑和方法,可将数据由低到高分为一级数据 (一般数据)、二级数据 (敏感数据)、三级数据 (一般重要数据)、四级数据 (关键重要数据)、五级数据 (国家核心数据)共五个等级。
第五级数据为国家核心数据,国家核心数据不直接包含国家秘密,但其包含的数据经流动、聚合、分析后极有可能涉及国家秘密,从而遭受损坏后可能对国家安全造成特别严重的损害。 《数据安全法》中规定违反国家核心数据管理制度可能涉及刑事责任, 《保守国家秘密法》中同样规定了违反保密法规定的可能涉及刑事责任。可见,对国家核心数据管理制度的违反可能涉及对国家秘密所代表法益的侵害,将国家核心数据划入最高保护等级较为适宜。
重要数据是一个特殊的数据类别而非特定的数据等级,其根据数据的重要性和风险程度可以再划分为不同的数据等级。根据重要数据损坏后可能危害国家安全的识别标准,第三级、第四级、第五级数据均符合要求,由于第五级数据属于国家核心数据,处于单独的数据类别,因此第三、第四级数据应划入重要数据的范围。由此,第四级数据为关键重要数据,主要特征在于损坏后可能对国家安全造成严重损害,或者形成特别恶劣的群体性事件,对社会秩序、公共利益造成特别严重的损害,但该类数据并不因流动、聚合、分析而涉及国家秘密,因此划定为仅次于国家核心数据的第四级数据。第三级数据为一般重要数据,介于重要数据和非重要数据的分界,不仅包含自身遭受损坏后可能危及社会秩序、公共利益和国家安全的数据,还包含大量一级、二级数据流动、汇聚、分析后可能对社会秩序及公共利益和国家安全造成危害的数据集。目前正在制定的 《信息安全技术 关键信息基础设施安全防护能力评价方法》将关键信息基础设施的安全防护能力由低到高分为一至三级,由于处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,恰好形成了关键信息基础设施安全保护等级与本数据分级标准下第三至五级数据安全保护等级之间的对应,能够更好地实现数据分类分级制度与关键信息设施制度、网络安全等级保护制度的衔接。
第二级数据为敏感数据,第一级数据为一般数据。第二级数据既包括个人敏感数据也包括法人和其他组织的敏感数据,之所以将对公民、法人和其他组织的合法权益造成严重损害和特别严重损害的数据等级均划分为第二级,主要考虑到重要数据划分的审慎性,由于公民、法人和其他组织等私主体的受损害程度和受损害范围易于确定和控制,因此宜在同一等级中结合实际采取从轻或从重的管控措施,而不宜纳入重要数据的管控范围。第一级数据在所有等级数据中所受的流动性限制最少,最便于进行交易流通和发挥数据价值。
4 数据分类分级保护的基本框架:以重要数据管控为核心
对不同等级数据采取差异化管控措施,这是数据分类分级保护制度效用发挥的关键。应明确数据管控措施差异化适配的基本原则,以重要数据的管控为核心,妥善处理不同等级数据的流通利用和安全保障需求,构建数据分类分级保护的基本框架。
4.1 数据等级与管控措施的差异化适配
数据分类分级保护制度的目的在于确保不同重要性和风险等级的数据能够得到适当程度的保护。GDPR提出,在考虑所持有数据的本质属性、最先进的安全保护措施以及实施成本的前提下,个人信息控制者应采取与其面临的安全风险相称的技术和管理措施。 《欧盟网络与信息系统安全指令》提出,网络运营者应采取与所面临风险 “相称”或 “等比例”的安全措施。美国则在立法中对网络数据保护措施采用 “合理性标准 (reasonableness)”的表述[27]。我国在拟定不同等级数据管控措施时,同样可以借鉴相似理念,避免对保护措施作出过于细致、具体的规定,而是作出原则性和引导性规定,以包容技术进步和社会经济发展的空间[28]。较低级别的数据如第一级、第二级数据等可以优先考虑流通利用和市场化需求,较高级别的数据如第三级以上的重要数据则需主要考虑数据安全的需求。对于较低级别数据的流通宜采取 “合规即流通”的管控模式,满足既定的数据安全相关合规要求后即可对数据进行流通处理,发挥市场决定性作用,促进数据价值的激发和数字经济的发展。对于较高级别数据的流通宜采取 “专项审批”的管控模式,对重要数据进行处理时需报相关主管部门提前进行审核并开展风险评估,以保障社会秩序和国家安全。对于国家核心数据的管控,需要参照 《数据安全法》中的一般规定和重要数据的管控制度,在重要数据的 “重点保护”之上采取 “更加严格”的管控制度,对国家核心数据的流通处理进行严格限制,对数据的处理进行动态和实时监管,并建立记录溯源和应急处置措施,以确保国家安全。对于非电子化数据的管控,由于其不存在依托网络流动而产生的风险,可以结合 《数据安全法》中的一般规定和 《档案法》及其实施条例等档案资料管理的相关法律法规,采取相应的管控措施。
4.2 重要数据管控的具体方案
重要数据的管控包括对第三级、第四级数据的总体管控,第五级数据作为最高级别的国家核心数据,在总体管控上采取 “更加严格”的管控制度,此处主要论述重要数据总体管控制度的具体方案。目前而言,除了遵循一般数据的管控措施外,重要数据管控的增强措施主要见于 《网络安全法》和 《数据安全法》,包括重要数据备份、重要数据本地化存储、重要数据跨境流通的安全评估要求、重要数据的目录制定和重点保护要求、重要数据处理的数据安全负责人和管理机构要求、重要数据定期风险评估要求等。已有的相关规定提供了重要数据管控的基本要求,但仍可以从以下方面进一步落实和完善重要数据的管控制度。
首先,应当统筹重要数据的传统数据安全风险和新型数据安全风险。不仅需要关注数据采集、传输、存储、访问、删除等传统的数据风险管控环节,还需要重视对数据加工、汇聚融合、数据披露、数据转让、数据委托处理和数据共享等涉及数据流动、聚合和分析环节的管控,兼顾防范传统数据安全风险和新型数据安全风险。在数据采集和存储环节,应当对重要数据进行标记,以为后续的重要数据管控提供基础。以分离式标记方法对重要数据建立映射关系,在重要数据的分析场景中进行数据的访问控制和加密,以嵌入式标记方法将重要数据的标识融入原始数据中,对重要数据的流通进行审计和追溯[29]。在重要数据的流通利用环节,应当遵循 “专项审批”的管控模式,对涉及的关键环节可能产生的风险进行评估报告和审批,并采取相应的应对措施,确保重要数据流通利用的安全。
其次,应当对重要数据风险评估制度和重要数据出境安全评估制度等实施规则进行细化。在重要数据处理活动的风险评估方面,可以参考 《汽车数据安全管理若干规定 (试行)》中的相关规定,风险评估报告应包括处理的重要数据的种类、数量、范围、保存地点与期限、使用方式、开展数据处理活动情况、面临的数据安全风险及其应对措施等,重要数据处理者应严格按照风险评估中明确的各项指标开展重要数据处理活动。在重要数据出境安全评估方面,应由国家网信部门会同国务院有关部门组织安全评估,着重报告出境数据的情况、境外数据接受者的情况和数据在境外处理的情况,以安全为导向,经由国家间自由贸易协定实现数据共享[30]。在重要数据定期安全管理情况评估和风险评估制度方面,应明确评估的频率、内容、主体和相关责任,可借助数据等级评级中专业的测评机构进行评估,根据风险评估结果进行自我纠察,并及时上报有关主管部门。
最后,应当在网络安全等级保护制度的基础上开展重要数据的管控,注意网络安全等级保护与数据安全等级保护间的制度衔接,为确保重要数据处理活动的安全,应匹配与重要数据级别相当的网络信息系统,并重视网络信息系统的运维和紧急情况的处置能力,建立和完善重要数据安全应急处置机制,妥善应对重要数据处理过程中发生的数据安全事件,防止危害的扩大,及时消除事件造成的后果。
5 结语
数据分类分级保护制度的目的在于对不同重要性和风险等级的数据实施差异化管控措施,以应对日益勃兴的数字经济下数据要素所面临的多元化流通处理需求和复杂的数据安全风险,其重要性不言而喻。但在实施细则尚不明晰、配套制度相对匮乏的情况下,制度的落实难言顺利,制度的成效亦无法保障。因此,需梳理数据分类分级保护制度的实施逻辑,明确其制度需求,在借鉴信息和网络安全保护等级制度及相关实践经验的基础上明确数据分类分级的基本理念和关键要素,建立统一的数据分类分级标准体系,构建数据分类分级保护框架,以促进制度的具体落实,发挥制度的应有实效,真正实现数据安全保障和数据开发利用的平衡。