APP下载

我国重要数据认定制度的探索与完善

2024-05-31刘金瑞

中国应用法学 2024年1期
关键词:公共利益数据安全领域

刘金瑞

随着信息技术与人类生产生活深度交汇融合,人类行为日益表现为网络空间的数据流,数据呈现爆发式增长并且海量集聚,对人类社会产生了重大而深刻的影响,已经成为国家基础性战略资源,〔1〕《国务院关于印发促进大数据发展行动纲要的通知》(国发〔2015〕50 号)。没有数据安全就没有国家安全。对此,立法机关及时制定《中华人民共和国数据安全法》(以下简称《数据安全法》),开启了全球数据安全综合立法的先河。该法确立了一系列维护国家数据安全的重要制度,包括数据分类分级保护制度,其中明确提出要加强对重要数据的保护。

这种重要数据不同于国家秘密,也不同于公开信息,而是介于二者之间的一类应该被管控的高风险数据,央视曾披露的某公司“数据买卖”案中向境外非法提供的我国高铁数据就是典型例证。〔2〕《焦点访谈:失算的数据买卖》,央视网,https://news.cctv.com/2022/04/13/ARTI4FaQrwUQQp4WbKJPC1Jn220413.shtml,2023 年9 月1 日访问。对高风险数据进行重点管控并非我国独创,而是很多国家的常见做法,尽管域外并没有采用“重要数据”的概念。例如,美国2010 年以来建立了受控非密信息管理制度,〔3〕Executive Order 13556: Controlled Unclassified Information, Federal Register, Vol.75, No.216, November 9, 2010, pp.68675-68677.Controlled Unclassified Information (CUI), 32 C.F.R.Part 2002.将国家秘密之外的关键基础设施、国防、金融等20 个大类125 个子类的敏感信息纳入统一管理;2018 年8 月更新《外国投资风险审查现代化法》,〔4〕Foreign Investment Risk Review Modernization Act of 2018 (FIRRMA), Pub.L.No.115-232, 132 Stat.2173.将针对美国“敏感个人数据”商业的外国非控制性投资纳入外资安全审查范围,以避免这些数据被外国政府或主体获取。无论是域外相关制度,还是我国专门立法,管控这种重要数据的主要理由就在于这些数据事关国家安全和公共利益。

从我国立法来看,重要数据概念最早出现在《中华人民共和国网络安全法》(以下简称《网络安全法》)之中,该法规定了关键信息基础设施的重要数据的出境安全管理,此时重要数据主要是作为数据出境安全管理的对象。随着数据安全风险成为国家安全的新挑战,《数据安全法》将重要数据保护确立为一项独立的国家数据安全管理制度,就重要数据的目录管理、保护义务、风险评估、出境安全等提出了基本要求,重要数据保护已经成为维护国家数据安全的核心制度。

保护重要数据的前提是确定重要数据的范围。但什么是重要数据,如何认定重要数据,《网络安全法》和《数据安全法》并未给出明确规定,虽然近年来相关配套规定和国家标准对此进行了积极探索,但尚未形成统一协调的立法方案。目前《数据安全法》的配套行政法规《网络数据安全管理条例》正在抓紧制定中,从国家网信办2021 年11 月公布的该条例征求意见稿来看,相关条文对重要数据界定和认定的规定仍较为原则,难以满足相关制度落地的迫切需要。

本文就是在此背景下,聚焦重要数据认定这一基础性制度,厘清重要数据概念的界定,在梳理总结相关配套立法和国家标准探索经验的基础上,提出完善我国重要数据认定制度的建议,以期能够对重要数据认定和保护的配套立法提供有益参考。

一、重要数据认定是国家数据安全监管的基础

《数据安全法》第三章“数据安全制度”开篇在第21 条第1 款明确规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”

可见,我国根据数据的重要程度和风险程度,对数据进行分类分级保护,将关系国家数据安全和公共利益的数据称为“重要数据”,加强重要数据保护成为维护国家数据安全的关键所在。重要数据也成为《数据安全法》构建国家数据安全管理制度的核心抓手,第四章就围绕重要数据设定了多项“数据安全保护义务”。正因为重要数据是国家数据安全管理制度的基础概念,明确重要数据范围便成为国家数据安全监管的基础和起点,而这就需要尽快明确重要数据认定这一基础性制度。

(一)重要数据认定的重要性和紧迫性

无论是从贯彻实施《数据安全法》的基本制度来看,还是从切实保障国家数据安全、促进数据开发利用的现实需要来看,明确重要数据认定制度都意义重大、迫在眉睫。

一是切实维护国家数据安全的必然要求。数据是国家基础性战略资源,数据安全风险已经成为国家安全的新挑战。为有效应对境内外数据安全风险,《数据安全法》贯彻落实总体国家安全观,加强国家数据安全工作的统筹协调,确立了数据分类分级保护、数据安全风险管理、数据安全应急处置和数据安全审查等国家数据安全管理基本制度。其中以数据分类分级为基础,根据对国家安全、公共利益的影响,将数据分为一般数据、重要数据和核心数据三级,事关国家安全和公共利益的重要数据、核心数据及其处理活动,是这些基本制度重点关注的管控对象。而且明确由中央国家安全领导机构建立的国家数据安全工作协调机制,负责统筹协调有关部门制定重要数据目录,并加强对重要数据的保护,也充分体现了重要数据对国家数据安全的重要性。通过重要数据认定,可以明确重点保护和强化监管范围,有利于防范和应对数据这一非传统领域的国家安全风险,切实维护国家主权、安全和发展利益。

二是落实数据安全保护义务的客观需要。数字经济为人们生产生活带来了极大便利,但同时各类数据的拥有主体多样、处理活动复杂也带来了严峻的数据安全风险。对此,《数据安全法》明确规定了一系列数据安全保护义务,尤其是根据数据风险程度设定了不同强度的保护义务,以切实维护国家安全、公共利益以及公民和组织的合法权益。其中对于事关国家安全和公共利益的重要数据,设定了特别保护义务,这包括重要数据处理者承担的落实主体责任、定期风险评估、出境安全评估等义务,这些义务在《数据出境安全评估办法》等配套法规中得到了进一步细化。这些特别保护义务的落地实施,需要数据处理者明确自身是否持有重要数据、持有哪些重要数据,而这离不开明确清晰的重要数据认定规则。通过重要数据认定,可以明确重要数据的保护范围,落实重要数据处理者应尽的法定保护义务,有利于严格规范重要数据处理活动,切实加强重要数据安全保护,维护各方的合法权益。

三是促进数据要素价值释放的重要举措。数据已成为数字经济时代的基础性资源和新型生产要素,〔5〕《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》(2022 年12 月2 日)。应该充分释放数据要素价值,大力推动我国数字经济发展。《数据安全法》统筹发展和安全,在规范数据处理活动的同时,第二章专章规定了支持促进数据安全与发展的措施,第五章就推动政务数据开放利用作出专门规定。不过其中有些规定的落地实施也必须考虑数据分类分级和重要数据保护制度。例如,第19 条规定了“国家建立健全数据交易管理制度,规范数据交易行为,培育数据交易市场”,但该条本身并不能明确何种数据可以交易。笔者认为,建立数据交易市场需要以数据分级分类为前提,考虑到重要数据事关国家安全和公共利益,原则上不应作为可以交易的数据。换言之,促进数据开发利用也必须以不危害国家安全和公共利益为基本前提,这就需要明确重点保护和强化监管的重要数据的范围。通过重要数据认定,可以明确数据开发利用的合法空间,有利于充分释放数据要素价值,更好地服务我国经济社会发展。

作为国家数据安全监管的基础性制度,重要数据认定〔6〕我国国家标准往往将“重要数据认定”称为“重要数据识别”,笔者认为无论是“识别”还是“认定”,都是强调从海量数据中挑出“重要数据”,只不过前者是技术层面的惯常用语,后者是法律层面的惯常用语,本文对二者不作区分,援引文献时遵照其原本表述。制度主要是解决如何确定重要数据具体范围的问题,而解决这一问题就要首先明确什么是重要数据。

(二)厘清重要数据概念的界定

《网络安全法》和《数据安全法》本身并未规定重要数据的定义,界定重要数据的任务留给了相关配套立法。在《数据安全法》出台之前,对重要数据的界定,主要出现在《网络安全法》数据出境安全管理配套规定草案之中。2017 年4 月,国家网信办发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第17 条规定重要数据“是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南”。2017 年5 月公布的国家标准《信息安全技术 数据出境安全评估指南(草案)》,〔7〕本文引用的信息安全技术国家标准,首次引用时注明全称,后续再引时为行文简洁,省去名称中的“信息安全技术”。将重要数据界定为“与国家安全、经济发展,以及社会公共利益密切相关的数据”,并尝试在附录《重要数据识别指南》中列出其具体范围。为了强化数据安全监管,国家网信办2019 年5 月发布了《数据安全管理办法(征求意见稿)》,将“重要数据”界定为“一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等”,并且明确指出“重要数据一般不包括企业生产经营和内部管理信息、个人信息等”。

在《数据安全法》出台之后,界定重要数据成为相关配套规定的首要任务。2021 年8 月,国家网信办等五部门发布的《汽车数据安全管理若干规定(试行)》第3 条第6 款规定:“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据。”2021 年11 月,国家网信办发布的《网络数据安全管理条例(征求意见稿)》(以下简称《条例(征求意见稿)》)第73 条规定“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据”。2022 年7 月,国家网信办发布的《数据出境安全评估办法》第19 条将“重要数据”界定为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”。总结来看,这些规定界定重要数据主要从数据被不法处理或利用所影响的对象入手,而影响对象的表述逐渐完善和清晰,从“国家安全、公共利益或者个人、组织合法权益”,到“国家安全、公共利益”,再到细化为“国家安全、经济运行、社会稳定、公共健康和安全”。从保护重要数据以维护国家数据安全的制度定位来看,将重要数据的影响对象限于国家安全和公共利益才能符合立法初衷,而考虑到公共利益的内涵和外延较为宽泛,将公共利益细化为“经济运行、社会稳定、公共健康和安全”确实较为妥当。

需要指出的是,有些配套规定和国家标准界定重要数据时,还考虑了数据对影响对象造成的影响程度。工信部2022 年12 月印发的《工业和信息化领域数据安全管理办法(试行)》,虽然并未明确给出重要数据的定义,但在第10 条从数据遭到篡改、破坏、泄露或者非法获取、非法利用造成的影响程度入手,明确了认定重要数据的基本条件:对政治、军事、经济、生物等国家安全重点领域构成“威胁或影响”即可,而对工业和信息化领域生产运行、公共利益、行业发展等方面则应“造成严重影响”的程度。《网络数据分类分级要求(征求意见稿)》也有类似的规定,将危害程度分为“特别严重危害、严重危害和一般危害”,认为从数据遭到不法处理或利用的后果来看,可能对国家安全造成一般危害,对经济运行造成一般危害或严重危害,对社会稳定、公共利益造成严重危害的,可以确定为重要数据。笔者认为,鉴于国家安全包括“经济安全”,对“公共利益”层面的“经济运行”,影响程度设定为“严重危害”较为妥当。

综上,按照《数据安全法》数据分类分级保护的要求,总结目前相关配套规定和国家标准的表述,从数据的影响对象和影响程度出发,本文认为可以将“重要数据”界定为“特定领域、特定群体、特定区域或达到一定精度和规模,不涉及国家秘密,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接威胁国家安全或者严重危害经济运行、社会稳定、公共健康和安全的数据”。

二、我国重要数据认定制度的探索与现状

重要数据认定制度主要是回答如何确定重要数据具体范围的问题,这涉及由谁认定、怎样认定等具体问题,对此我国相关配套规定和国家标准进行了积极探索,从尝试列举重要数据具体范围到转向规定重要数据认定规则,逐渐形成了一定的制度共识。

(一)前期尝试:列举具体范围

在《数据安全法》出台之前,《网络安全法》只是在关键信息基础设施保护制度中对重要数据出境管理作了原则规定,并没有规定重要数据的认定主体和认定方式,当时草拟的数据出境管理配套规定如前所述仅给出了重要数据的定义,只有2017 年国家标准《数据出境安全评估指南(草案)》在附录中纳入了《重要数据识别指南》。该指南是国内认定重要数据的最早尝试,不仅列出了27个行业(领域)〔8〕这27 个行业(领域)包括:石油天然气、煤炭、石化、电力、通信、电子信息、钢铁、有色金属、装备制造、化学工业、国防军工、其他工业、地理信息、民用核设施、交通运输、邮政快递、水利、人口健康、金融、征信、食品药品、统计、气象、环境保护、广播电视、海洋环境、电子商务。负责认定重要数据的主管部门,还根据标准给出的定义和行业(领域)主管部门相关规定,列出了这些行业(领域)重要数据的具体范围。以“通信”行业为例,明确负责认定的主管部门是工信部,重要数据包括但不限于规划建设类、运行维护类、安全保障类、无线电、统计分析类和其他等6类数据。此外,考虑到重要数据涉及范围众多,该指南还列出了其他行业(领域)判断、识别重要数据的10 大考虑因素。但仔细来看,该指南的具体列举明显存在重要数据范围泛化、列举类型界限模糊、可操作性不强等问题。

正因如此,全国信息安全标准化技术委员会2019 年启动了“重要数据识别指南”标准研究修订工作,2020 年9 月版的国家标准《信息安全技术 重要数据识别指南(征求意见稿)》,已经初步放弃了试图全面列举主要行业或领域重要数据具体范围的做法,而是从8 个方面刻画了“重要数据的特征”,以供各行业或领域主管部门具体认定参考。这8 个方面包括:与经济运行相关、与人口和健康相关、与自然资源和环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关以及其他。但仔细来看,这8 个方面特征之下的子特征,有的还是延续了按行业或领域进行具体列举的思路,例如,“与自然资源和环境相关”特征下的子特征“涉及地理信息”所提及的大部分重要数据与2017 年《重要数据识别指南》“地理信息”领域所列的重要数据基本一致。这说明2020 年该国家标准的起草还是没有摆脱“具体列举”思路的影响。

这种“具体列举”的思路实际也影响了一些配套规定的制定。2021 年8 月发布的《汽车数据安全管理若干规定(试行)》第3 条除了界定重要数据外,还具体列出了汽车数据领域的重要数据,明确包括重要敏感区域的地理信息、人员流量、车辆流量等数据,车辆流量、物流等反映经济运行情况的数据,汽车充电网的运行数据,包含人脸信息、车牌信息等的车外视频、图像数据,超过10 万人的个人信息,以及作为“兜底”的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。暂不论该规定重要数据定义的问题,考虑到汽车数据既涉及汽车本身的技术数据,也涉及驾驶人等相关主体的数据和驾驶环境数据等,这种列举确实不可避免地会存在遗漏,已列举的一些数据如人脸信息等也不必然与国家安全和公共利益有关,可能不属于重要数据。

2021 年11 月的《条例(征求意见稿)》第73 条除了规定重要数据定义外,还具体列举了7 大类重要数据,其中包括未公开的政务数据、工作秘密、情报数据,出口管制数据,依法需要保护或者控制传播的国家经济运行数据,工业、电信、能源、交通等重点行业和领域安全生产、运行的数据等。但这些具体列举明显存在问题:一是将某些领域的数据整个纳入“重要数据”,并没有考虑“重要”程度,比如工业、电信、能源、交通等“重点行业和领域安全生产、运行的数据”,使得重要数据宽泛化;二是所列举的7 类数据在逻辑层次上并不一致,存在着大量交叉和重复;三是有些列出的具体数据类型,内涵并不清晰,甚至有可能涉及构成“国家秘密”,比如“未公开的政务数据、工作秘密、情报数据”,而《数据安全法》第53条明确排除了“涉及国家秘密的数据处理活动”,重要数据不应该包括“国家秘密”。

由上可知,鉴于重要数据所涉行业或领域的广泛性和复杂性,不可能在配套立法中全面列举出重要数据的具体范围,认定重要数据的“具体列举”路径是行不通的。

(二)校正转向:规定认定规则

《数据安全法》将重要数据保护作为维护国家数据安全的一项独立的基础制度,从数据分类分级保护角度提出了加强重要数据保护的基本要求,并对重要数据的认定主体和认定方式作出原则性规定:先由“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”,再由各地区、各部门“按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录”。这种先在国家层面确定“重要数据目录”,再由各地方、各部门据此制定行业或领域“重要数据具体目录”的规定,实际是初步规定了一种“自上而下”的重要数据认定规则。这说明《数据安全法》校正了重要数据认定的立法思路,放弃了之前并不可行的“具体列举”,转向规定重要数据认定规则。

《数据安全法》的校正转向,指明了继续探索和完善重要数据认定制度的正确方向。此后的行业配套规定和国家标准随之开始将探索重点转向规定重要数据认定规则。《条例(征求意见稿)》第27 条原则上规定,各地区、各部门按照“国家有关要求和标准”,组织数据处理者识别重要数据,组织制定本地区、本部门以及相关行业、领域重要数据目录,并报国家网信部门,实际将重要数据认定细则留给国家标准去明确。2022 年4 月公布的《重要数据识别规则(征求意见稿)》,相较于前述2020 年9 月的版本,取消了对重要数据特征的描述,表面上看是“因为这些特征依然不可避免地涉及行业分类”,深层原因在于上文所述有些特征描述延续了“具体列举”的思路而并不可行;其转而从数据影响而非数据类型角度,列出了识别重要数据的19 项考虑因素,除了作为“兜底”的其他因素外,包括涉及“国家安全”的16 项因素,以及涉及“公共利益”的2 项因素,以供各地区、各部门制定重要数据具体目录参考。标准起草人指出,该标准的定位不是“取代各部门的相关政策”,而是各地区、各部门基于标准提出的重要数据识别因素,根据具体情况制定本地区、本行业的重要数据识别标准规范。

其中,国家安全方面的考虑因素,基本按照总体国家安全观涵盖的16 个领域展开,描述了影响“政治、军事、国土、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、深海、极地、生物”〔9〕这就是总体国家安全观涵盖的16 个领域。参见《中共中央关于党的百年奋斗重大成就和历史经验的决议》,人民出版社2021 年版,第56 页。等领域国家安全的识别因素,例如,影响“政治安全”的识别因素表述为“直接影响政权安全、政治制度、国家主权、意识形态安全,如用以实施社会动员的数据等属于重要数据”;影响“网络安全”的识别因素列成了2 项,影响“太空、深海、极地安全”的识别因素列为了1 项,此外还将影响“政务数据安全”的识别因素单独列为了1 项,具体表述为“未公开的政务数据、情报数据和执法司法数据,如未公开的统计数据等属于重要数据”。公共利益方面的考虑因素又包括2 项识别因素,即影响“经济运行与社会稳定”和“公共健康和安全”的识别因素。

行业配套规定以工信领域的探索为代表。2022 年12 月,工信部印发《工业和信息化领域数据安全管理办法(试行)》(以下简称《办法(试行)》),进一步细化了工信领域重要数据认定规则。一是“自上而下”明确了认定主体。工信部组织制定工业和信息化领域重要数据识别认定标准规范;地方行业监管部门〔10〕该办法规定的地方行业监管部门,包括各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门,各省、自治区、直辖市通信管理局和无线电管理机构,可以看出这里的地方行业监管部门至少为副省级。组织开展本地区重要数据识别工作,确定本地区重要数据具体目录并上报工信部;数据处理者按照相关标准规范识别重要数据,形成本单位的具体目录。二是明确了认定条件。从数据影响对象和影响程度入手明确了重要数据的认定条件:威胁或影响政治、军事、经济、生物等国家安全重点领域;对工信领域生产、运行和经济利益等造成严重影响;造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;引发的级联效应明显,影响范围广或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响等。影响对象基本按照国家安全和公共利益两大方面展开。三是明确了认定程序。数据处理者应当将本单位重要数据目录向本地区行业监管部门备案;〔11〕备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。监管部门应当在提交备案申请的20 个工作日内完成审核工作,备案内容符合要求的,予以备案,同时将备案情况报工信部;不予备案的应当及时反馈备案申请人并说明理由,备案申请人应当在收到反馈情况后的15 个工作日内再次提交备案申请。

该办法颁行之后,上海、江苏等地通信管理局部署开展电信和互联网行业数据安全专项行动,〔12〕上海市通信管理局2023 年2 月发布《关于开展“浦江护航”2023 年电信和互联网行业数据安全专项行动的通知》,江苏省通信管理局2023 年4 月发布《关于开展2023 年“数安护航”电信和互联网行业数据安全专项行动的通知》。积极探索落实重要数据识别认定及目录管理工作。根据公开披露的信息,上海和江苏认定重要数据的探索试点,主要依据是正在制订的通信行业标准《电信领域重要数据和核心数据识别指南》,该标准内部试行版将电信领域数据分为网络规划运维数据、安全保障数据、经济运行与业务发展数据、关键技术成果数据和其他等5 类,每类数据又分为一般数据、重要数据和核心数据三级。这5 类数据认定为重要数据的条件分别为:能够反映重要网络设施和信息系统规划、建设、运维等总体发展情况的数据;能够反映重要网络设施和信息系统〔13〕判断网络规划运维数据、安全保障数据是否属于重要数据的基本标准为是否涉及重要网络设施和信息系统。据披露,重要网络设施和信息系统主要包括骨干网、卫星通信网、域名解析系统,或者市值、用户活跃度达到一定数量的数据处理者的三级以上网络设施和信息系统(通信网络定级,非公安等保定级)。参见孙鹏程、沈鑫瑶:《电信和互联网行业重要数据识别探索》,载光明网,https://topics.gmw.cn/2023-05/18/content_36568904.htm,2023 年9 月1 日访问。安全保障情况以及重大应急通信保障情况的数据;能够反映我国电信/互联网领域经济运行总体情况与核心业务发展情况的数据;能够反映我国先进信息通信技术与产品发展水平的数据;收集和产生的达到一定数量或影响一定范围的个人数据,其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的电信数据。〔14〕陶然彩:《“浦江护航”数据安全专项行动——电信和互联网企业如何开展数据安全风险评估》,载“赛博研究院”微信公众号,https://mp.weixin.qq.com/s/S5r285mxHqDR8rQSmLuVbg,2023 年9 月1 日访问。

(三)基于探索共识制定共通规则

总结来看,对于重要数据认定,由于所涉行业或领域的广泛性和复杂性,无论是配套行政规章,还是相关国家标准,都已经放弃了之前尝试列举具体范围的做法,开始转向细化规定重要数据的认定规则。而围绕认定主体和认定方式等问题,目前对认定规则的探索已经形成了一定的共识:各行业各领域的重要数据认定,应由相应主管部门负责,需要制定相关行业、领域的重要数据认定标准规范并据此开展认定工作;重要数据认定条件和标准的设定,应从数据对国家安全和公共利益两大方面对象的影响入手,对经济运行、社会稳定等公共利益的影响应当达到严重影响的程度;重要数据认定需要遵循一定的程序,为此工信部规定了“数据处理者提交备案、主管部门限期审核”的模式。

需要指出的是,这些共识目前只是反映在个别行业的配套规定和相关标准之中,尚未成为普遍适用的规则,很多行业或领域对如何认定重要数据仍然存在困惑和疑问。从已经制定或正在制定的行业配套规定和相关标准来看,在重要数据认定的制度定位和具体方式上还存在一些值得注意的不同认识。例如,2023 年7 月发布的《中国人民银行业务领域数据安全管理办法(征求意见稿)》,虽然将数据分为一般、重要、核心三级,但也同时提出了根据数据敏感性、可用性划分层级的规定,其中将数据项敏感性从低至高进一步分为5 个层级,而数据层级划分和重要数据认定是何种关系尚不明确。

本文认为,虽然不同行业或领域存在特殊性和复杂性,特定行业或领域的重要数据具体认定规则应按行业或领域单独制定,但仍有必要在《网络数据安全管理条例》等基本配套立法中明确重要数据认定的负责主体、基本条件和基本程序等中观层面的共通规则,一方面可以有力指导各行业各领域就重要数据制定具体认定规则和开展认定工作,另一方面也有利于形成统一协调的重要数据认定和保护制度体系。

三、关于完善我国重要数据认定制度的建议

总结我国相关配套立法和国家标准的探索来看,鉴于重要数据所涉行业或领域的广泛性和复杂性,立法不可能列举出重要数据的具体范围,但可以规定重要数据认定制度作为替代;虽然不同行业或领域认定重要数据的具体规则差异较大,但在领导体制、认定条件、认定程序方面具有一定的制度共识,存在提炼共通规则的可能。为构建统一协调的重要数据保护制度体系,建议进一步完善我国重要数据认定制度,在《网络数据安全管理条例》(以下简称《条例》)配套行政法规中对重要数据认定共通规则作出系统规定。具体而言包括以下几个方面:

(一)构建基于风险的认定规则体系

重要数据保护是数据分类分级保护制度的重要内容,而数据分类分级的依据在于数据的重要性和风险性,目的在于对不同风险程度的数据匹配不同的保护要求,以有效管控数据安全风险,数据分类分级保护本身就是一种基于风险的规制方法。因此,重要数据保护也应当坚持基于风险的规制方法,构建基于风险的重要数据认定规则体系。由于不可能实现绝对安全,基于风险的规制就应该接受一定风险的存在,这也是统筹发展和安全的应有之义。对重要数据认定而言,应该恪守重要数据重点保护和管控高风险数据的基线,避免重要数据认定的泛化,避免以安全之名不当阻碍数据的正常利用。

构建基于风险的认定规则体系,就是按照基于风险的方法来设定重要数据认定的负责主体、条件标准、方式机制等一系列规则。由此可以得出主要规则设定的基本思路:

一是在负责主体上,应该依靠行业主管部门。数据安全风险来自数据的处理活动,数据处理活动又因不同行业不同领域而存在较大差异,因而行业主管部门对本行业本领域数据处理活动产生的风险最为熟悉,本行业本领域的重要数据理应由其负责认定。《数据安全法》第6 条第1 款就明确规定:“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。”

二是在认定条件上,应该聚焦国家安全风险。从保护重要数据以管控国家数据安全风险的制度定位来看,认定条件应该强调数据对国家安全、经济运行、社会稳定、公共健康和安全造成的重大风险,仅影响个人、组织的数据不应认定为重要数据。

三是在认定方式上,应该进行充分的风险评估。应根据数据所在领域、具体用途、利用方式等,并考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用后造成的影响,以定性和定量相结合的方式充分评估数据安全风险,据此判断是否属于重要数据。

四是在程序机制上,应该对认定结果进行动态管理。考虑到数据的重要性可能随着数据具体用途、利用方式等方面的变化而发生变化,为如实反映重要数据的实际情况,应该对重要数据认定结果引入适时调整程序和动态管理机制。

从这些主要规则设定的基本思路中也可以提炼出重要数据认定制度的基本原则,那就是依靠行业监管、聚焦国家安全、基于风险评估以及实施动态管理。

(二)明确重要数据认定的领导体制

《条例(征求意见稿)》第27 条只是原则上规定,各地区、各部门按照“国家有关要求和标准”,组织数据处理者识别重要数据,组织制定本地区、本部门以及相关行业、领域重要数据目录,并报国家网信部门;第29 条规定“重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案”,“依据部门职责分工,网信部门与有关部门共享备案信息”。这似乎原则上确立了以网信部门为中心的重要数据认定领导体制,但并没有充分发挥行业或领域主管部门应有的监管职能。

而根据《数据安全法》的规定,在重要数据认定和保护方面,国家数据安全工作协调机制负责统筹协调,各地区、各部门负责确定本地区、本部门以及相关行业、领域的重要数据具体目录,并对列入目录的数据进行重点保护。上述规定显然偏离了上位法的精神,更没有达成细化上位法的目的。而且从工信等行业领域的实践探索来看,由于行业领域的特殊性和复杂性,也是由行业或领域的主管部门负责重要数据的具体认定。

从落实《数据安全法》基本制度设计出发,本文认为《条例》应该从三方面细化明确重要数据认定的领导体制:一是明确各行业各领域的重要数据认定工作由相应的主管部门负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门负责制定本行业、本领域的重要数据认定规则,〔15〕认定规则的形式包括但不限于行政规章、国家标准、行业标准、技术指南等。据此指导各地区开展本行业、本领域的具体认定工作,并基于各地认定结果,制定本行业、本领域的重要数据具体目录。

二是明确各地区的重要数据认定工作由各行业各领域的省级主管部门(以下简称省级行业主管部门)负责。考虑到重要数据事关国家安全、公共利益,具体判定需要一定的专业性和工作力量,借鉴工信部《办法(试行)》的经验,本文认为将地方认定工作负责主体设定为省级行业主管部门较为妥当。省级行业主管部门负责组织受管辖的数据处理者按照本行业、本领域的重要数据认定规则开展认定工作,审核数据处理者报送的认定结果,确定本地区的重要数据具体目录并上报相应的国家主管部门。

三是落实国家数据安全工作协调机制的统筹协调职能。明确各行业各领域主管部门制定的特定行业或领域的重要数据认定规则,应当报国家数据安全工作协调机制备案,各行业各领域主管部门应当根据通过备案的重要数据认定规则开展认定工作,形成特定行业或领域的重要数据具体目录,并及时报送国家数据安全工作协调机制。

(三)细化重要数据认定的条件标准

虽然应按行业或领域单独制定重要数据具体认定规则,但为贯彻《数据安全法》的统一要求,指导规范行业或领域具体认定规则的制定,仍有必要在《条例》中细化明确重要数据认定的基本条件和判断标准。本文认为,这种基本认定条件和判断标准应该基于重要数据的界定,从重要数据定义的核心要素适当展开而来,如此才可以反映重要数据保护的制度价值,为具体认定规则的制定提供统一指引。结合前述重要数据定义和行业探索经验,具体可以从重要数据的影响对象和影响程度两方面进行细化。

一是细化重要数据的影响对象。从《数据安全法》的制度定位来看,影响对象应该限于国家安全和公共利益两大方面,而排除单纯个人、组织的合法权益。前者可以根据总体国家安全观细化为“政治、军事、国土、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、深海、极地、生物”等16 个重点领域的国家安全;后者可以基于既有探索细化为“经济运行、社会稳定、公共健康和安全”等3 块重点内容。二是细化重要数据的影响程度。考虑到大数据时代下,数据聚合利用的可能,〔16〕刘金瑞:《数据安全范式革新及其立法展开》,载《环球法律评论》2021 年第1 期。几乎所有数据都可能与国家安全、公共利益有关,应该从数据影响程度上作适当限定,以突出“重要”的应有之义,本文认为对于国家安全的影响可以限定为“直接威胁”,对公共利益的影响可以限定为“严重危害”。

由此,建议在《条例》中对重要数据认定的基本条件和判断标准作如下规定:各行业、各领域主管部门结合本行业、本领域实际,制定重要数据认定规则,应当将一旦遭到篡改、破坏、泄露或者非法获取、非法利用而造成下列危害后果的数据认定为重要数据:(1)对政治、军事、国土、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、深海、极地、生物等领域国家安全构成直接威胁;(2)对经济运行、社会稳定、公共健康和安全等公共利益造成严重危害。对于其中的16 个国家安全重点领域和3 块公共利益重点内容之下的具体考虑因素,各行业、各领域的重要数据认定规则,结合本行业、本领域具体情况可作进一步细化。

(四)厘清重要数据认定的疑难界分

在重要数据具体认定中,如何界分重要数据与核心数据、个人信息的关系是亟须解决的疑难问题。前述重要数据的界定及其认定条件的细化,为解决这些难题提供了基本依据,在此基础上本文对这些疑难界分作如下厘清。

对于核心数据和重要数据的关系,《数据安全法》第21 条第2 款规定“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度”,这里的“更加严格”是相较于第1 款“重要数据”而言的,可见核心数据应该是比重要数据更重要的数据。笔者认为,从比较核心数据与重要数据的界定出发,可以从两个方面来理解核心数据和重要数据的关系:一是核心数据从影响程度上看对国家安全的影响更大,即可能构成对国家安全的“严重危害”;二是核心数据从影响对象上看会涉及更加重要的公共利益,即“经济运行”中的“国民经济命脉”、“社会稳定”中的“重要民生”以及其他重大公共利益等。《网络数据分类分级要求(征求意见稿)》就认为“核心数据”是“对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全”,包括关系国家安全重点领域、国民经济命脉、重要民生和重大公共利益的数据等。建议《条例》借鉴这一表述,对核心数据的界定作出进一步细化。

对于个人信息和重要数据的关系,《条例(征求意见稿)》第26 条把“一百万人以上个人信息”视为“重要数据”来管理,〔17〕《条例(征求意见稿)》第26 条规定:“数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。”《汽车数据安全管理若干规定(试行)》第3 条规定“涉及个人信息主体超过10 万人的个人信息”属于“重要数据”,而根据《数据出境安全评估办法》第4 条,与“重要数据”一样需要通过数据出境安全评估的情形,包括“处理100 万人以上个人信息”或者“自上年1 月1 日起累计向境外提供10 万人个人信息或者1 万人敏感个人信息”的数据处理者向境外提供个人信息。这些不同规定说明目前对二者的关系,在认识上还存在困惑,在监管上还未达成共识,有待进一步明确。

从重要数据的定义来看,由于重要数据的“重要”是指事关国家安全、公共利益,因此仅涉及私主体权益的组织或个人的数据包括个人信息在内,一般不会构成重要数据。《重要数据识别规则(征求意见稿)》和《网络数据分类分级要求(征求意见稿)》都明确指出“仅影响组织自身或公民个体的数据一般不作为重要数据”。但应当指出的是,达到一定规模的个人信息的集合通过搜索、比对、关联等分析,可能会挖掘出数据集背后蕴含的敏感信息甚至国家秘密,笔者认为这种个人信息集合应该纳入重要数据的范围。《条例(征求意见稿)》将“一百万人以上个人信息”视为“重要数据”来管理,就是考虑了数据集合的风险。但这种仅规定数据量的方式不足以充分界定个人信息数据集合的风险性,建议借鉴美国外资安全审查制度关于“敏感”个人数据的界定,〔18〕在美国外资安全审查制度中,敏感个人数据的“敏感”并不是强调个人权益的保护,而是强调对国家安全的威胁。详见刘金瑞:《美国外资安全审查改革中的数据安全审查及其对我国的启示》,载《中国信息安全》2021 年第7 期。对于作为重要数据的个人信息集合,在数据规模界定要素之外,同时界定个人信息集合的高风险性,比如涉及生物识别等可识别的敏感个人信息,或者涉及关系国家安全、公共安全的特定岗位人员。〔19〕前引〔16〕,刘金瑞文。换言之,笔者认为认定某些因聚合分析而影响国家安全、社会公共利益的重要数据,应采取定性与定量相结合的方式。综上,本文建议将《条例(征求意见稿)》第26 条修改如下:“数据处理者处理一百万人以上的可识别敏感个人信息,或者专门处理履行国家安全、公共安全职责的公务人员的个人信息,还应当遵守本条例第四章对重要数据的处理者作出的规定。”

(五)健全重要数据认定的程序机制

在前述重要数据认定领导体制的基础上,借鉴工信部《办法(试行)》的经验,本文认为《条例》应当从以下四个方面健全完善重要数据认定的程序机制。

一是明确数据处理者的重要数据目录申报义务和程序。数据处理者应当定期梳理数据,按照法律、行政法规有关要求和本行业、本领域重要数据认定规则认定重要数据,形成本单位的重要数据具体目录,并在目录形成后的15 个工作日内向省级行业主管部门申报备案,对于应申报而未申报的数据处理者应当承担相应的法律责任。申报内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。

二是明确省级行业主管部门的重要数据目录备案程序。收到数据处理者申报的重要数据目录之后,省级行业主管部门应当在20 个工作日内完成审核工作,符合法律、行政法规有关要求和本行业、本领域重要数据认定规则的,予以备案,同时将备案情况上报相应的国家主管部门;不予备案的应当及时反馈数据处理者并说明理由,如果属于需要核实补充相关内容的,数据处理者应当在收到反馈情况后的15 个工作日内再次申报。

三是明确备案内容发生重大变化时的备案变更程序。由于数据的重要性、使用方式等可能会发生变化,数据处理者的重要数据目录也可能随之发生改变,因此应该明确重要数据目录备案的变更程序,施以动态管理。可以规定当某类重要数据规模(数据条目数量或者存储总量等)变化30%以上,或者其他备案内容发生重大变化时,数据处理者应当在发生变化的3 个月内完成备案变更手续,具体程序要求可以和备案程序保持一致。

四是规定主管部门依职权认定重要数据的程序机制。无论是《条例(征求意见稿)》,还是工信部《办法(试行)》,基本都是遵循了“数据处理者自行认定+主管部门审核备案”的思路,上述三点内容也是延续了这一思路。但对于涉及国家安全、公共利益的重要数据而言,仅由数据处理者自行认定并报备,可能无法全面防范重要数据引发的国家数据安全风险,建议增加省级行业主管部门依职权认定的规定,作为依申报认定的必要补充。对于省级行业主管部门依职权认定重要数据的情形,鉴于数据处理者因数据纳入重要数据保护范围会承担法律强制性义务和责任,此时应当考虑赋予数据处理者一定的救济机制,比如可以将数据处理者不认可主管部门重要数据认定纳入行政复议的范围。

猜你喜欢

公共利益数据安全领域
谈谈个人信息保护和公共利益维护的合理界限
领域·对峙
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
论专利行政执法对公共利益的保护
大数据安全搜索与共享
新常态下推动多层次多领域依法治理初探
肯定与质疑:“慕课”在基础教育领域的应用
3D 打印:先进制造领域的必争之地