我国数据安全法第21条的出台,标志着我国在上位法中正式确立了数据分类分级保护的重要制度要求,具有历史性的进步意义。然而,目前数据分类分级制度缺乏明确的目的导向:该领域上位法律法规、部门规章等尚停留于概括性规定的阶段,难以具体落实;而下位的分类分级指南、文件又存在一定程度的混乱,二者难以达到有序地衔接适用。本文力图针对此问题,以宏观层面的各类数据为对象,用体系性思维对我国数据分类分级的法律保护制度提出完善路径。具体而言,通过界清数据分类分级在数据安全保护与共享开放两个层面的二元目的,梳理我国数据不同层级的规范特点,从基本原则和具体规则二者入手,将数据分类与数据分级两项工作根据其侧重点的不同剥离处理,贴合我国实际情况来构建数据分类分级制度建构方案。
一、问题提出
在现代信息社会数据爆炸式增长,数据安全、数据流通等问题被日益重视的趋势下,数据分类分级制度的建设作为数据保护问题拆解后的一项基础性工作,近年来逐步被国家、地方和企业等主体聚焦。2021年中华人民共和国数据安全法出台,其中第21条标志着我国首次在上位法中正式确立数据分类分级保护的制度要求。虽然各部门、各行业、各地区日趋重视数据分类分级的地位,业已制定了各类型的指南、规范性文件等,但由于以数据安全法第21条为代表的上位法在概念阐释、具体导向方面尚不清晰;下位法中存在各行其是、彼此之间衔接机制不足、缺乏统一标准等问题,在法治架构层面未建立完善的管理体系,落实度尚不理想。基于此,数据分类分级制度应当从底层基础进行理论检视,总结已有成果,发掘现存问题,寻求导向明确的完整制度框架建设。
“数据”作为分类分级制度的研究对象,本身包罗万象,因此对其概念和范围的界定众说纷纭,立法者在此问题上的态度也有些摇摆。数据分类分级管理背景下应当将数据限定在电子形式下,同时包括网络与线下数据、结构化与非结构化数据。在后两种分类方式上,线下数据同样包括储存于电子媒介中的部分,有时为了预防网络侵入等先进技术手段,数据主体反而会倾向于切断网络的线下存储方式。结构化数据和非结构化数据在表达与分析方式上存在差异,但不能忽视两者共有的数据价值,且应纳入保护范围。而在电子与非电子数据的界分上,当今社会的数据存储方式越来越偏向和依赖于电子媒介,传统非电子方式记录的内容一般属于物理形态,在传播方式上远不如电子数据范围广、速度快。在审查过程上电子媒介更易将数据限于可控范围内,在发布源上更易追踪和定位。因此非电子数据通常只需要通过传统民刑法、档案法等为主,辅助以相关审查和保密措施,即可解决基本的数据问题。将数据安全问题聚焦在电子数据上,可以节省司法资源,实现对数据更有效的保护。
针对此类荷载内容丰富、传播能力强的对象,其潜在价值需要通过共享开放以及不同主体间的流通利用才能得以充分展现。但既有的制度实践对于数据分类分级这一问题的态度普遍倾向于数据安全视角。法律法规中正式确立这一制度的典型代表数据安全法第21条对于数据分类分级制度的定位,事实上也落脚于国家层面的数据安全保护问题。虽然数据安全是流通必须遵循的前提底线,数据的安全保护也实为分类分级主要实施目的,但若过度的安全保障容易限制数据的开发利用。现行制度在确立数据分类分级要求时,对于数据保护的强烈谨慎态度带来了一定的局限性,忽视了数据流通与数据安全之间相反相成的关系,未能完成对二者之间的尺度把控,导致数据管控制度实践中不自觉地趋向严苛的态度,不利于多种场景下数据流通的必要需求。
故本文在制度内容的细化研究之外,首先聚焦于数据导向的完善调整,扩张和明确数据分类分级的目的导向亟待受到重视,释明目的实际上即把握制度的核心思想,同时对于数据分类分级我们应当赋予更为全面的解读,以张弛有度、包容兼顾的态度树立制度目标,通过分类分级实现差异性保护要求的同时,也能完成适当的共享开放要求。在此基础上方能把控好基本原则,并进一步在合理的轨道内指导恰当具体规则的建设,制定有序的归类方式和定级规则,实现科学分类分级,及时对应恰当的开放程度,赋予数据以保护手段。
二、我国数据分类分级制度的体系现状
介质中形成或存储的“电子数据”,不仅包括“网络数据”,也涵盖了线下的电子数据。
(一)我国数据分类分级现行制度
我国在数据立法方面起步相较于西方发达国家稍晚,近几年随着技术的进步快速跟进。笔者针对我国数据分类分级相关法律法规、政策指南、行业标准等体系进行了收集梳理,从中解读我国数据分类分级实践的发展演化和现存问题。
1.法律法规
数据分类分级的思想事实上在各类规范体系中多有渗透,早期主要体现在信息安全保障等领域,网络安全法就是数据分类分级初期发展的代表,其中第21条提出“国家实行网络安全等级制度”,支振峰教授认为,数据安全立法中的“数据”应当限于电子形式的网络数据;许可教授认为,规制的对象应限于在电子介质中形成或存储的“电子数据”,但是不仅包括“网络数据”,也涵盖了线下的电子数据。
数据安全法第三条对于数据概念进行了简单的界定:“本法所称数据,是指任何以电子或者其他方式对信息的记录。”草案中使用的定义则是“电子或者非电子的”,将非电子化替代为兜底性表达。
表1 我国数据分类分级相关规定部分整理
但是该制度概念不明晰,偏向强调安全等级,将“数据分类”置于其项下一笔带过。近年来,随着数据开发利用的热潮,数据分类分级逐渐以制度化的形式受到关注。2020年4月9日中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》,指出“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强对政务数据、企业商业秘密和个人数据的保护。”而数据安全法第21条则首次以明确的制度要求进入上位法领域。
在上位法领域,如前文所述数安法第21条是我国首次明确提出数据分类分级制度。该条文有几点进步:第一,初步完成了“自上而下”的数据分类分级思想建设,并针对重要数据、个人信息等不同类别数据设计差别化的基本保护规则导向;第二,正式将数据分类分级上升到以国家为主体引导的层面;第三,初步提出重要数据与核心数据的概念并作出一定区分;第四,提出制定重要数据目录。当然,由于立法与实践经验的不足,不可否认该条文仍存可商榷之处,如对于重要数据和核心数据二者应当属并列抑或包含关系表述模糊、关于制定数据目录以及具体的分级方式等问题仅仅停留于概括性规定等等,与实际落实之间仍存在着较大鸿沟。
除此之外,由于在法律法规中难觅专门针对数据分类分级的规定,只能在面对特定数据类型时寻求传统法律框架下的保护,例如保守国家秘密法、个人信息保护法等,这在一定程度上影响了分类分级导向的建设。虽然《关于构建更加完善的要素市场化配置体制机制的意见》的总体方针是为“促进要素自主有序流动,提高要素配置效率”,对包括数据在内的新型生产要素也提出了共享开放、开发价值和安全保护等多方面要求,但在分类分级问题上使用了“安全保护制度”的措辞。数据安全法在总则中事实上也体现了数据流动、促进开发和数据安全并重的总方针,但分类分级制度被纳入“数据安全制度”这一限制性相对强的章节下。事实上这也与我国将国家安全和公共利益置于首位的传统法律倾向有关,面对数据的众多不可控要素,开发利用也必须控制在数据主权的红线内。因此,当下法律法规的现状在部分场景下易出现从强调安全偏离向有失偏颇的片面倾斜的情况。
2.其他规范性文件
我国目前关于数据分类分级的相关规定更多集中在下位性规定,制定主体主要包括国家、地方政府以及行业部门,相较于法律法规的制度建设和宏观引领作用,这些规范文件更多通过具体统筹方法、实操性规则来指导具体数据处理、数据管理工作,且调整的对象相对聚焦,但规范性文件体系性尚不清晰。同一领域的文件制定者由国务院部门、标准制定部门、行业内社会组织、地方政府部门等多类型组成,彼此之间的位阶和统领地位难以明晰,因此可寻求的分类分级依据较繁杂混乱。
在数据分类分级相关规范性文件中占有最重要比例的一为技术标准。我国的技术标准从宏观定位来看,可以包括国家标准、行业标准、地方标准、企业标准几种。技术标准的法律位阶一般很低,甚至从严格定义而言并不属于“法”,只是通过标准化法的赋权获得了一定法的规范功能,即使是国家标准,其应用定位也只能接近于规范性文件,且我国关于数据分类分级的国家标准均属推荐性标准,不具有强制性,仅为数据处理者、网络运营方等提供指导。
但技术标准从功能主义的视角,具有不可替代的重要作用。法律规范主要强调权利义务内容,且具有一定抽象性,标准则具有延伸法律调整社会关系的作用,促进法律规范的落实。很多情况下,法律只能给出法益为导向的指导方案,而技术标准则从专业角度细致解决了法律无法直接回答的“如何为”的问题,其制定者也往往在特定领域具有比立法部门更加权威客观的判断。如没有技术标准的辅助,则分类分级法律规范中部分模糊抽象的表达如“重要数据”“合理”等无法得到具象的实施指导。同时,技术标准相较法律法规涉及主题更为广泛而精细,除专门针对数据分类分级相关标准之外,各行业的管理办法、数据处理指南等外延标准也可以为之提供技术参考,防止理解偏差导致规则脱节。
涉及数据分类分级相关内容的技术标准中主要有三大类型。第一类为以宏观各类数据为调整对象的综合性标准,其内容大部分集中在信息技术、大数据安全领域,这些标准针对分类分级的原则、具体方法、流程等方面作出技术指南,在数据统计、大数据信息等领域具有专业性,且对分类和分级两项工作的针对性更明确。2017年颁布的《大数据服务安全能力要求》属于提出分类分级要求较早的一版指南,之后大约以2019年为分界点,数据分类分级的标准制定水平有了质变。在分类分级技术方法、详实度、细粒度、严谨性各方面明显提升。如GB/T22240-2020《信息安全技术网络安全保护定级指南》与GB/T38667-2020《信息技术大数据数据分类指南》二者就是分别针对数据分级和数据分类作出的标准。《网络安全保护定级指南》在一般的确定层级之外,另列出了定级流程和较详细的判定规则,包括侵害不同客体包括的事项、不同侵害程度具体在业务信息安全和系统服务安全中的表现以及综合二者划分的等级矩阵表。《数据分类指南》选取技术选型、业务应用以及安全隐私保护多个视角,针对每个视角进一步划分更细化的维度,对分类方法也不仅停留于概括性概念描述,选取具有多源性、异构性的铁路大数据,以不同方式和维度作出示例划分以满足具体业务层面的需求。可以看出此类标准注重实际操作中的直接指导作用。
第二类为地方规定。在政务透明、服务型政府理念深度渗透的背景下,各地政府相继出台数据分类分级的规范性文件,以地方标准的形式为主,另有部分指南等尚处于试行阶段。地方文件大多针对政府数据,或者称为政务数据、公共数据等。这几个名称不同的概念内涵相近,基本都涵盖了具有公共管理职能或者提供公共服务的组织在相关活动中获取、产生的各类数据资源,但彼此之间的内容外延有差异。贵州省分类分级指南为最早出台的典型代表之一,成为很多地方规定的借鉴模版。近几年各地对此的规定力度不断提升,地方标准逐渐呈现出百花齐放之势。此类规定的总体框架大同小异,大多以明确分类分级方法、分类维度、分级层次为主要内容,但各自确立的具体维度以及细化程度等不尽相同,从各地标准的详细条文中也可以发掘出一些地方规定中具有进步性的差异化特点。例如浙江省指南中在建立分类分级维度之外,给出了不同数据主体类型的各级别数据特征以及部分示例,为各部门的定级活动提供官方依据;重庆市指南在总体框架继承贵州省模式的基础上,完善了数据生命周期分级管控措施,即以不同的数据处理环节为划分分别设置各级别数据保护基本要求;北京市在分级过程中的影响范围因素认定以影响到的党政机关、公共服务机构、自然人等的数量这样一种具体量化的方式呈现,提高了精确性。当然在追求指南创新性全面性的同时,也可能存在不合理的微瑕之处。例如浙江省指南中分类分级维度和层级过多略显细碎,“根据数据产生频率分为每秒、分、时、天……”“根据结构化特征分为结构化数据、半结构化数据……”等多种不必要分类关联度不高,且部分类型描述偏向理论式说明,对于实际管控而言实用性并不强。
第三类为行业规定。行业数据具有类型相对单一集中、专业程度高的特点,因此对于某一行业进行数据分类分级更容易得到细粒度高、可执行性强的结果,同时各行业标准间也会存在明显的专业技术壁垒。从数据的分类方法上看,业务线条基本上成为各行业数据分类的必要标准。近年来我国金融行业、电信行业、证券业等领域相继通过国家部门、行业协会发布行业标准等指南性文件,助推数据价值开发。从规范体系角度看,可以发现相较于国家整体数据分类分级建设的滞后性,在单独行业内的数据分类分级制度反而已经初步形成了相对细化的模式和体系。以智能汽车数据行业为例,工信部于2020年出台《YD/T3751-2020车联网信息服务数据安全技术要求》,虽然不具有强制性,但在效力位阶上接近部门规章,对数据进行敏感性分级并给出分类分级示例;类似的要求还有针对汽车数据中个人信息的《YD/T3746-2020车联网信息服务用户个人信息保护要求》;汽车工业协会发布的《智能网联汽车数据格式与定义》根据数据境内交互和出境活动中的风险情况将数据进行安全等级划分;2022年3月9日,《智能网联汽车数据安全评估指南》公开征求意见,强调数据安全风险评估、数据安全合规性评估和数据出境安全评估三种类型,对评估结果定级管理,进一步落实了网信办2021年颁布的《汽车数据安全管理若干规定(试行)》等政策要求,通过渗透分类分级的思想规范智能网联汽车行业数据处理行为,提高行业服务能力。自此,在智能汽车数据领域的分类分级标准初步形成了一套由法律、行政法规、部门规章至行业标准层层递进、可执行的细化标准。而金融、工业等基础行业作为数据分类分级领域的领军者,在相关标准制定方面的专业性较强,也有类似的发展成果。
(二)我国数据分类分级制度体系存在问题
我国数据分类分级制度同样面临相似的困境,主要有理论支撑和制度建设两方面的痛点:
在理论支撑方面,首先,缺乏明确的数据分类分级目的导向。顶层法律法规中导向的偏离或缺失,进一步影响了下级标准订立。众多标准和指南通过条文结构直接或间接地表明了其分类分级导向,但彼此之间参差有别。例如贵州省指南以数据共享开放为导向,而浙江省偏向于数据安全保护,北京市则结合了两者。这也是分类分级目的未经全面统一强调导致的局限,不利于在建立成熟的制度体系同时满足数字经济时代的多样化需求。其次,现有的分类分级工作对于数据分类与数据分级二者间的界限处理不清。早期的制度雏形往往偏向对分级的强调,目前数据安全法与其他条例、征求意见稿提出分类分级制度后,普遍没有对分类与分级的概念分别予以解释,而是往往作为一个合并概念或整体制度阐述,因此二者存在混用的情况。
在制度建设方面,第一,分类分级上位法支撑不足。如前文所述,数据安全法第21条的出台在提升制度建设地位的同时,仍留下了需要填补的空白,主要体现在举措不具体和概念不明晰两方面。目前的上位法仅确立了数据分类分级保护的原则,并未建立实操性规则。固然,上位法的本质价值就是统领与指导,建立宏观原则,提供基础规则。但数据分类分级的属性决定了这是一项繁复琐碎的工作,用一个通俗的类比而言,分类分级就譬如是要从头做一份精细的针线活,但上位法只有一份高屋建瓴的设计大纲,没有具体技术指导,只能是无本之木。第二,各地区、各行业分类分级体系不统一。上位法对于相关概念界定模糊势必会导致下级规定混乱,各地区依据自身经济发展水平、专家分析结果各行其道,虽然互有借鉴、各有亮点,但在当下数据共享开放、交互频繁的背景下,各种分类依据、分级标准并立,如果缺乏统一的官方引导就无法整合建设出一套条理清晰的制度模式。
三、我国数据分类分级的目的与原则确立
面对制度现状凸显的问题,本文希望通过借鉴现有经验,以法律属性为基点,在释明分类分级目的的基础上,建立基本原则,为后续梳理数据分类分级具体规则构建合理框架。
(一)数据分类分级的目的——“安全保护与共享开放”二元导向
如前文所述,我国数据分类分级目前存在目的导向上的片面性。针对此,笔者认为数据分类分级制度建设首先应当建立“安全保护—共享开放”二元导向,以此为根基向上延伸。目前分类分级的重点目标数据安全是保护各类主体法益的重要命题,但数据安全还有一个与之相反相成地对向问题——数据的共享开放以及数据流通。广义上而言数据共享开放不仅包括了政府信息公开,还包括了企业、个人等主体之间的数据交互。数据安全态度保守,而数据流通主张自由。诚然,国家安全和数据主权毫无疑问始终是我们的坚定立场,但当今数字经济时代大背景下,数据已经被承认作为一种重要的新型生产要素,数据流通逐渐成为社会高质量发展的有力引擎,也是促进扩大社会获得数据资源进行开发利用,创造价值的重要条件,有助于提高资源利用效率,优化资源配置,推动我国社会主义市场经济体制改革。立足于国家视角,数据在合理限度下流通也是实现命运共同体,加强国际合作交流,提高国际竞争力的必要前提。2021年12月国务院办公厅印发的《要素市场化配置综合改革试点总体方案》进一步指出要探索建立数据流通规则。此类趋势提醒我们在面对数据的规则体系建设时必须一应完善。
鉴于此二元导向实属必要。首先,从数据分类分级本身的性质而言,数据的分类分级是数据全生命周期、全领域管理的前置工作,安全保护只是数据管控中的一个重要场景。一项数据的分类定级结果可以是约束以保护措施的依据,但同时也可以是支持其自由流通、向特定对象开放的证明。
因此讨论分类分级应当跳出数据安全的框架,从数据基本法出发,以体系化思维理解,沿用保护数据安全与促进数据开发利用并重的总方针。
其次,从数据分类分级的需求而言,分类分级的必要性其实正源于数据自由流动与数据保护之间的矛盾承载了多重法益关系,因此其目的也不应被框定为有效保障数据安全,而应界定为更高效地实现数据保护与数据开放之间的良好平衡。此二者皆是数字经济发展潮流下的关键词:数据安全保护倾向于私密性保护,对数据进行限制加密,其作为“地基”,是数据在良性环境下充分开发利用的保证;数据共享开放则作为“大厦”,倾向于放开过于严苛的禁锢,加强流通公开。推动最大限度释放价值。明确二元导向的目的是将数据分类分级工作的始末两端都控制在更合理的轨道上。对数据进行分类和定级应当同时考虑到数据安全与共享开放的不同需求,囊括多种情况,找到合适的平衡点;对完成分类分级后的不同类级数据制定管控要求时,从两个导向分别出发,有利于方案落地后的全面性。
在制度表述上,为践行二元导向,也可以适当削弱对数据安全的强调。我国在数据资源顶层发展规划中,2016年12月,国务院印发《“十三五”国家信息化规划》曾提出“推动数据资源分类分级管理”;2021年12月,中央网络安全和信息化委员会印发的《“十四五”国家信息化规划》再次提出“建立数据分类分级管理制度”。此类包容性强的制度条文将有助于目的导向的稳固。
(二)数据分类分级的原则
1.数据分类与数据分级的明确界分
基本原则的建立应当是以全局观确立具有普适作用的价值导向。笔者首先希望在分类与分级二者间划分明确的界限。由于法律法规对于分类分级这一大概念阐释不够深入,因此二者时而作为整体制度时而分别付诸实践。尤其是在现有规则或学术研究中面临基本原则建立时,往往出现两种不同的方式,一是对数据分类分级整体确立原则;二是分别确立分类原则与分级原则。笔者倾向于在本文中将分类与分级二者剥离分别确立原则,便于提供更具象的指引。
事实上,分类与分级应当是两项存在交叉但本质存在差异的工作。分类一般是根据数据的属性、来源、所属领域等特性划分类别、排列顺序,其目的一般是明确性质、划定边界、定位安全责任;而分级一般是根据数据的重要性、影响程度和损毁后果确定安全等级,目的是以此决定实施管理措施的力度和粒度,实现差异化安全防护。常见分类中按照重要程度、敏感程度等类似维度进行的分类方式实质上也应被视为分级的变相表达。
总而言之,虽然二者的最终目标都是为了数据管理,但在实务操作过程中,仍然应当予以界清,为设定具体规则奠定方法论基础。分类事实上可以作为分级的前置工作,提供更加清晰有序的定级条件,而分级才是更多数据保护场景下的结果和目的。因此虽然有部分普适性基本原则可以同时适用于两项工作,譬如科学合理原则等,但此类原则相对常规,一般情况下容易被作为隐性原则得到适用,采用将二者分离处理的方式具有更强的实践价值。
2.数据分类原则
数据分类原则主要有以下两点:
第一,MECE原则。其全称是Mutually Exclusive Collectively Exhaustive,意为“相互独立,完全穷尽”。这一原则由著名学者麦肯锡提出,常在复杂的分解工作中作为思考工具被应用。很多数据的特征归属往往是多元的,从不同的分类思路出发可以得到不同的结果,常见的分类方式包括数据主体、数据处理、应用场景等维度。数据分类工作需要首先确定分类维度,根据必要的分类分级场景需求确立不过于繁杂细碎亦不过度简易包容的类别数量,然后从不同的维度出发,在每一个维度的划分中,均需不重复、不遗漏,为后续的数据管控工作奠基。防止同类型数据被多次评估导致对应要求矛盾,或者部分数据缺失分类定级结果随意处置,间接造成后续对相关主体的权益侵害,这一原则有助于保障分类过程中找到合适的切入点。
第二,延展性原则。数据包罗万象,难以胜举。随着科技发展,各行各业对于业务、技术、客户的拓展都势必引发数据的数量和种类以指数式增长。但数据分类分级的地位已上升为一项制度,且国家也提出了制定重要数据目录的要求,相关文件作为具有公定力的法律法规,为保证权威性需要在相对期限内保持稳定,如果跟随数据发展的频率及时更新易导致混乱。因此,数据分类应当具有包容性,在实现覆盖各类型且不空泛的基础上,以适当的细粒度和文字措辞保留一定的外延,以此来满足将来可能出现的类型。以重要数据目录为例,国家主体制定的重要数据只能采取非穷尽式列举的方式,难以做到也不宜细粒度很高,主要关注与国家安全、社会秩序、公共利益等方面相关的一些高风险热点类型即可,这也有助于部分地区根据自身产业结构等因素动态调整国家层面出台的类型,覆盖更多需求面,实现因地制宜。
3.数据分级原则
数据分级应当满足以下原则:第一,比例原则。浙江省《公共数据分类分级指南》中,对于数据分级指出应当遵从“就高从严原则”,意味着在不确定敏感等级和影响后果的情况下,以严格态度抬高数据安全等级。这种原则的前提其实但在二元导向的前提下,我们应当认识到数据处理活动往往是一把双刃剑,风险与机遇相生相随。就高从严是强调数据安全保护的结果,但同时是数据的流通开放的桎梏,可能间接导致我国相关产业竞争力的削弱,在当下国内国际形势中可能间接导致我国相关产业竞争力的削弱。比例原则一定程度上是对二元导向的践行,守住数据安全的红线,同时防止因噎废食,适当赋予数据流通、数据共享的自由度。达到二者动态平衡可以降低相关数据处理者的使用成本,促进数据效能增益。
第二,多维度原则。虽然多维度思维一般情况下更多体现在数据分类中,但事实上数据定级也不能局限于单一角度。不同数据形态、生命周期阶段、时空域下的数据管控要求存在参差,例如脱敏数据相较于原始数据的形态安全等级会降低、数据交易或传输活动较于数据存储保护要求更高、数据境内交互的要求比境外流通宽松等……因此针对同一对象的数据定级并不是固化的标准答案,而是可以由多重进路给予充分合理的考量,分情况给出多维定级,实际上也是对比例原则的进一步加固。
第三,动态性原则。分类分级制度的建设需要追求统一标准的设立,但同时应当警惕数据分级僵化问题。数据的多元同时带来了数据级别的弹性。除数据本身属性以外,很多主客观因素的渗透会主动或者隐性的触发数据级别升降。例如数据的时效性——随着某一时限经过,在特定背景下具有重要地位的数据价值可能随之贬值;数据加工因素——原始数据在经过一些特定操作如数据脱敏、加密之后,其敏感性和影响后果随之改变,开放性、保护性要求等也应灵活应变;数据聚合因素——部分数据的信息处理可能需要通过各数据集的聚合,或汇聚数据可以产生不同分析价值的,应对不同体量的数据集分别定级。因此,数据级别需要被赋予一定的动态性,定级结果不是终局性的,而应允许在满足一定条件时自动或由职能部门调整等级。
四、数据分类分级的具体规则设定
在基本原则的指引下,分别设立分类与分级的具体规则是落实数据保护的重中之重,也是难点所在,同时需要斟酌法益保护和技术功能方面的需求来着手细化。
(一)数据分类方式
1.第一层级大类:以数据主体为划分标准
有学者认为,数据安全法第21条表明立法者摒弃了业界熟悉的“个人数据、企业数据、国家数据”的分类方法,进而从数据所影响的价值着手。也有不少学者在提供数据分类思路时将“重要数据”与“个人信息、公共数据”等化为并列等级的大类。但从功能主义出发来看,数安法条文侧重于安全保护导向下对分级的强调。重要数据、核心数据是根据数据重要程度和影响后果出发提出的概念,内核也是分级思想,“重要数据目录”制度更是在数据分级完成后对于安全保护等级较高数据进行汇总制成的。数据分类的科学性和合理性,对数据分级起着良好的辅助界定作用,应当作为数据分级的前置工作。如果“重要数据”与“个人信息”“政府数据”等概念并列,难免有分类依据杂糅之嫌。
梳理现有的分类分级规范,各地方政府的指南一般针对政府数据、各行业标准一般针对行业机构产生的数据……以数据主体作为切入口确定分类的基础框架,有利于解构数据多样的困境,让分类线条更清晰。在此种逻辑支撑下,笔者认为不应摒弃以数据主体为基础分类的传统模式,而是完善其合理性,形成以下几个基础大类(见图1):
图1 数据初级分类
这一层级的大分类不一定需要由某一法规明文规定,只是为确立数据分类的切入口,树立分类保护的意识。
2.第二层级小类:分别细化标准——以公共数据为重点
在基础分类后,针对每一数据主体涉及的数据类型,应当通过不同的法律法规分别调整,并打通不同的分类思路。
(1)国家涉密数据
国家涉密数据是指关系到国家安全利益,包括军事、经济、政治等领域的机密信息,作为最高级别数据由保守国家秘密法调整,中央政府直属管辖。
(2)个人数据
非密数据中的个人信息在北京市政务数据分级规范等文件中纳入政务数据管理,因为公民个人业务也是政府工作的重要模块,不可否认的是政府处理数据时不可避免会涉及个人数据。但在个人信息、个人隐私权等概念作为法律法规调整重点的背景下,将其作为一类主体剥离单独调整更有利于分类的合理化和保护的全面性。目前这一领域的法律体系相对成熟且在继续完善中,主要以个人信息保护法为主导法律,结合下位标准中的个人信息安全规范、各地规范性文件等加以扩充。该分类一般以数据敏感性和隐私程度为依据,也意味着该类数据保护的重心可以直接过渡至分级。
(3)企业数据
这里的企业数据主要指企业内部数据。大数据技术的发展带动数据日渐成为一种新型资源,越来越多的企业具备了收集、处理、分析原始数据的能力,有的甚至发展了创造全新数据集合(比如数据库、大数据)的技术能力。因此企业数据具有多重聚合性。其中包括了用户信息等个人数据、生产过程中利用的公共数据例如政府信息和社会公开信息资源等。此处强调的内部数据主要是指除此之外企业利用自身生产力生成的技术成果、商业秘密、人才资料、特定用户信息等非对外性数据。此类数据目前主要通过知识产权法、反不正当竞争法以及民商法体系内容加以规制。以龙卫球教授为代表的学者进一步提出了企业数据财产化的路径,针对数据经济发展的动态过程性和包含的主要利益关系独立出企业新型数据财产权。
(4)公共数据
此类数据应当是国家主导数据分类分级制度建设的主要着力点。“公共数据”的概念在部分地方性规范文件和指南中被应用,被作为政府数据、政务数据的近义替代词。使用此概念主要是基于数据覆盖度的考量。政府数据的外延相对小,参照各指南定义,主要指政府职能部门等在依法履行职责、业务处理、业务决策过程中直接制作或者从第三方收集并记录保存的数据资源。而公共数据更加宽泛,其数据采集和产生主体还包括了公共管理机构、公共服务组织等。此外,各行业企业和其他组织在生产过程中制作、处理的,得以流通至社会公共领域化为信息资源的数据,也可以且应当纳入这一类。公共数据概念的应用在扩展外延的同时一定程度上可以发挥归类的兜底性作用,实现数据保护的全面性。
数据分类工作最大的难点即在于公共数据子类的划分,在制度选择上美国CUI目录制度给我们提供了一个成效卓著的范例,我们可以加以借鉴,从实际国情出发制定一套符合我国需求的目录。这份目录应当是以国家为主体制定的,作为初级类目表承担主*角色,引导下位以此向外辐射,形成各分支细化分类。笔者认为分类维度的选择可从最为典型的主题和行业两者出发。具体分类需要政府职能部门以及专家学者共同献策,但通过对相关国家标准等文件的搜集,可以寻求到部分参考依据。
主题维度的分类可参考GB/T21063《政务信息资源目录体系》系列标准,其中第4部详细制定了分类类目表,共分为综合政务、经济管理、国土资源等20大类,134小类。由于该标准制定时间较久远,也没有另行更新,因此基本停留于传统产业类别,在重新完善类别划分时可以顺应时代需求、跟进发展步伐,纳入大数据等新兴产业。
行业维度分类可参考GB/T4754《国民经济行业分类》,该标准最新版于2017年更新,由国家市场监管局、国家标准化管理委员会等联合制定,具有一定的权威性和前沿性。行业分为农林牧渔、采矿业、制造业等20大类,97小项。
在分类方法上,GB/T7027-2002《信息分类和编码的基本原则与方法》借鉴价值深厚,该标准也是很多地方文件、国家分类标准的参考指南。标准通过概念释明与实际示例结合的方式阐述了线分类法、面分类法以及混合分类法几种最常见的分类方式。针对应由国家制定的类目表,主要运用线分类法即可以满足需求,即上下位类目之间保持隶属关系,而同位类目之间为并列关系。因为此处以主题和行业为维度时不必过于追求细粒度和数据复合属性,仅作为大类指导下级进一步划分子类,采用线分类法层次分明,逻辑关系简单。但在下级某一部门继续细分时,应当另行对业务实施时的应用考量,依据数据固有的不同属性,加入彼此不具有隶属关系的面分类,以复合形式满足更丰富的业务需求。
形成分类结果后,为提升数据分类水平,可以参照GB/T7027-2002中的另一侧重点——信息编码,也可以称为数据分类标识。将分类后的数据赋予具有一定规律且计算机和人容易识别处理的符号,形成代码元素集合。这一进阶操作可以辅助数据分类分级逐步智能化和自动化,实现效率最大化。未来也应当继续大力发展以人工智能、机器学习为代表的高新技术在数据分类分级领域的应用,提升整体效能。
(二)数据分级方式
1.统一数据类型与分级标准
分级标准目前呈现出标准间重合相似之处但不尽统一的状态。分级的设立相较于分类繁杂度较低,因此从国家大局观出发在数据级别数量及类型方面确定统一的标准,有助于在数据差异化保护过程中有章可循。
数据安全法对于重要数据、核心数据的概念提出存在模糊性,对于二者属于并列关系抑或包含关系亦未厘清。2021年11月份发布的《网络数据安全管理条例(征求意见稿》第5条提出了“将数据分为一般数据、重要数据、核心数据”,一定程度上隐含了将重要数据与核心数据剥离分级的立法意旨,这也有利于锐化分级边界性,使逻辑更明晰。基于此,我们可以初步将其订立为三级分级模型:一般数据、重要数据、核心数据,其中不包含国家涉密信息,国家秘密作为最高机密性数据剔除出后由专门法律和机关规制。如果在具体实行中三级的数量导致细粒度不够,精准管控存在困难,可以进一步细化为更多等级。
三级模型确立后的难点在于具体标准的设定和数据定级。分级结果不可避免具有一定的主观色彩,因此分级依据多元化可以降低客观偏差。其依据主要应从影响对象、广度、深度三个角度入手。影响对象包括公民、法人与其他组织合法权益(包括个人隐私权、财产权、知识产权等法益);社会与公共利益(包括影响公共场所正常活动秩序、影响人民群众正常获取资源等);国家安全(包括影响国家政权稳固、领土统一等)三方面;影响广度即影响范围,以北京市分级指南为参考,对于影响范围予以一定细度的数字量化有利于精准分级;影响深度可以理解为数据一旦遭到泄露、破坏、篡改丢失、滥用等后的损害后果,其具体判定需要以受侵害的客体为基准,评定危害结果发生后的功能执行能力、损害修复可能、影响可控性和造成的人身、财产损失。将三个维度综合考虑,可以通过多维定级表的形式划分出数据定级总标准,作为为各类数据定级的母版。
2.分级制定管控要求
数据定级只是一项前置性工作,根本目的仍在于对定级完成后的数据实行差异化保护,落实匹配的管控要求。数据管控要求应当坚持两个导向的基本原则,分别从共享开放与数据保护两个角度入手制定。
在共享开放角度,数据的共享开放要求由低等级至高等级主要分为无条件共享/开放、有条件共享/开放与禁止共享/开放。最低等级数据尽可能共享开放,拓宽数据资源获取渠道;最高等级数据则限制在数据主体或有关职能部门的完全控制之下不予共享;其余等级则需要在保证不违反法律法规的前提原则下,加以适当的保护措施,满足特定条件时开放或脱敏后开放。
在数据保护角度,制定通用保护要求与技术保护要求。通用保护要求主要设定管理程序上的要求,包括系统访问控制、身份识别、监测溯源等;技术保护要求则通过技术手段如校验技术、加密技术、备份技术等,从而防止数据在加工处理或传输等过程中被泄露、篡改、丢失。各级别数据通用要求和技术要求上需要的手段数量和严格性不同,低等级数据要求较松,高等级数据则需要各层安全阀联合防控。在要求制定方法上,浙江省指南按照数据生命周期环节分别设要求的模式提供了一个可行性较高的思路。
3.特定场景下的特殊分级
数据类型、作用、安全风险的动态性决定了不同场景下分类分级要求的差异。数据安全法上升国家主体引导的做法,正凸显了国家对数据作为基础性战略资源的认识和管理思路的升级,在此背景下我们应尤其在国家视野下重点关注一些特定场景下的特殊要求。例如其中数据跨境正是一个典型课题。
基于国际交流中服务于数据主权的国际竞争背景,打破不同国家之间数据流通的壁垒,推动全球贸易便利化已经成为了不同国际组织的政策导向。同时,数据本地化的限制仍然是维护国家重要安全利益的保守性要求。因此数据跨境场景下的数据处理往往需要更审慎严苛的态度,数据安全等级与对应的实践要求也具有特殊性。
我国网络安全法规定,关键信息基础设施的运营者因业务需要,确需向境外提供个人信息和重要数据的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但对各类数据进行个案的安全评估在时间、人力成本上耗费较高,在数据跨境流通制度中纳入数据分级思想可以实现效率最大化。由于跨境流通的安全要求相较于境内共享开放等要更高,因此可以对跨境流通专门制定一套定级方案和管理办法,以“特殊优于一般”的原则予以适用。对最低级别的数据例如企业公开性技术方案等可以放开限制允许跨境交互;涉及个人隐私、重要数据等存在社会即公民法益损害的风险数据原则上遵循数据本地化禁止流通;对于中等级别数据,由数据处理者提交安全评估报告和跨境流通必要性报告,交由国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门及下属管理机构依据职责审核后评定流通限度。
结语
数据安全保护将是未来持续重点关注的一项“持久战”。以数据安全法为标志的战略地位的提升是一个里程碑,亦是风向标,将引导分类分级具体措施的推进,实现自上而下、有方向、有条理的制度模式。数据分类分级工作的自身属性决定了其复杂性,需要层层递进抽丝剥茧,客观环境的变化发展也将引发其动态性,时效上的与时俱进,空间上的因地制宜都将成为日后制度建设的关键词。
本文就“数据”问题提出建议,以传统的数据主体分类为基点延伸出更加细度的分类分级框架,而数据分类分级工作道阻且长,即使形成了一套完整的制度体系,分类分级思想和基本原则、具体规则在提出后必须真正落实到法治中才能发挥实际效用,需要法律领域的“立、执、司、守、监”相互配合。除了法律体系的完善,管理模式的法治路径探究也需并行,包括设定层级清晰、职能明确的管控框架;严格分类分级认定程序;设置专门的数据管理机构与岗位等。期待在不久的将来能见证数据分类分级制度这座工程浩大而精密的大厦逐步构建,成为数据在安全庇护下有序开发利用的港口,助力推动解决数据确权、信息保护、国家安全等关注度较高的问题,回应不同数据主体的诉求,实现数据配置公平有序,数据流动合理高效的目标,同时有效节省社会在数据管理项上投入的资源。
