數據安全框架下重要數據和數據分類分級制度設計的相關考慮
文 | 信通院互聯網法律研究中心高級研究員 劉耀華
從《網絡安全法》到《數據安全法》的出臺,重要數據保護均是其中的一項重要制度,是實現網絡安全和數據安全重點保護的關鍵環節。當前,相關配套規定不斷出臺,對于重要數據保護制度的設計各有千秋,不同人士對于這一問題的認識也意見不一,重要數據保護制度需要進一步明確和完善,以適應實踐發展需要,并應對當前國際形勢。
一、重要數據提出的相關背景
重要數據保護制度的明確是一個階段性的成績。有關部門通過三個階段相關工作,階梯性的實現了重要數據制度的規劃和完善,對于我國數據分類分級整體工作的推進和落實具有重大現實意義。
(一)第一階段為重要數據的明確提出階段
2015年8月,國務院印發《促進大數據發展行動綱要》,明確提出數據是國家戰略性基礎資源,指出了數據對于經濟發展、國家競爭優勢、政府治理能力的重要作用。2016年11月,《網絡安全法》出臺即初步提出了“重要數據”的概念,其中在“網絡安全等級保護”要求中明確:網絡運營者按照網絡安全等級保護的要求,應當采取數據分類、重要數據備份和加密等措施履行網絡安全等級保護義務;另外在數據跨境流動管理部分明確了關鍵信息基礎設施運營者的重要數據應當履行的跨境傳輸安全評估義務。《網絡安全法》在這一階段深刻落實了黨中央、國務院對于數據的重點關切,通過首次提出“重要數據”的概念,明確了大數據在規劃發展應用方面的底線思維。
(二)第二階段為重要數據制度的初步確立階段
從國際來看,全球主要國家之間爭奪數據資源的動向頻頻。2018年,美國《云法案》和歐盟GDPR的生效正式將這種爭奪戰推向了更加顯性化的態勢。從國內來看,無論是跨境數據流動監管要求的落實,還是網絡安全等級保護義務的履行,“重要數據”的進一步明確都是其中的關鍵一環,也是各類企業在實踐中非常關注的一個具體性問題。我國需要在數據領域對國際形勢和國內情況及時做出應對。為了進一步落實《網絡安全法》精神,也為了契合數據安全問題逐漸聚焦和突出的整體大環境大趨勢,我國在2021年制定出臺了專門的《數據安全法》,首次對重要數據的制度做出全面完善的闡述。根據《數據安全法》的要求,重要數據的制度以目錄的形式和三項強化性要求進行具體落實和嚴格保護。目錄形式指的是國家數據安全工作協調機制統籌協調制定重要數據目錄,同時各地區、各部門要制定重要數據具體目錄。三項強化性要求指的是,重要數據處理者除了要履行《數據安全法》中規定的所有一般數據處理者都要履行的要求外,還要履行明確數據安全負責人和管理機構、定期開展風險評估、出境安全管理三項重點義務。《數據安全法》較為系統性地明確了重要數據制度,根據規定,主要傾向于自上而下的目錄型形式,以及義務加強型的嚴格保護要求。但是,在具體落實制度方面的挑戰也較為明顯,即“重要數據”究竟是指哪些數據,《數據安全法》中并沒有給出非常明確的答案。
(三)第三階段為重要數據制度的具體落實階段
《數據安全法》出臺之后,為了具體落實數據安全相關要求,相關行政法規、部門規章的制定工作不斷加速推動,有關部門公布了多個細化性的立法規定,其中對“重要數據”的制度做出了進一步的細化和完善。如《網絡數據安全管理條例(征求意見稿)》(以下稱《條例(征求意見稿)》)中明確了“重要數據”的具體內涵、范圍、保護要求,將重要數據制度落到了實處;《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》(以下稱《工信領域辦法(征求意見稿)》)中明確了重要數據的判定標準以及形成工業和信息化領域重要數據具體目錄的程序和要求,較為完善地細化了工信領域的重要數據體系。
二、面臨的現實問題和挑戰
“重要數據”制度趨于明確,但是目前,從具體實踐中落實重要數據制度要求的合理性、合法性、可操作性來看,還存在以下問題需要進一步研究和討論。
(一)重要數據是級別數據還是類別數據概念?
重要數據到底應當作為級別數據還是類別數據,或者跟二者均毫不相關,僅是“另起一行”的單獨制度而已,當前立法并未明確,《數據安全法》中僅規定重要數據的體現形式為“目錄”,但并未就“目錄”制定的標準進行界定,不同看法隨之產生。一方面,一些立法中傾向于將“重要數據”納入級別數據的范疇。如《工信領域辦法(征求意見稿)》中明確規定工業和信息化部將工業和電信數據分為一般數據、重要數據和核心數據三級,工業和電信數據處理者也應當建立健全數據分類分級管理制度并報送重要數據和核心數據目錄;《條例(征求意見稿)》規定國家將數據分為一般數據、重要數據和核心數據,不同級別數據采取不同保護措施。另一方面,一些立法中傾向于將重要數據作為類別數據,如《汽車數據安全管理若干規定(試行)》(以下稱《汽車數據規定》)雖然并沒有說重要數據是級別還是類別概念,但明確規定重要數據主要包括六類具體數據,一些學者也認為重要數據為類別數據。
從具體實施的角度來看,重要數據無論作為級別數據概念還是類別數據概念均無不可。
重要數據作為級別數據,可以同時巧妙地結合落實《數據安全法》規定的分類分級和重要數據制度,但同時存在以下問題有待于進一步研究和明確。一是企業是否也應當按照一般數據、重要數據、核心數據的標準落實分類分級制度。嚴格來說,《工信領域辦法(征求意見稿)》和《條例(征求意見稿)》的規定并沒有明確要求企業也要嚴格按照這三項標準進行數據分級,而是規定的工信部、國家應當對數據進行如此級別劃分,企業是否具有此項數據分級的強制性義務可以進一步做出明確。二是如果企業也需要按照這一標準進行數據分級的話,重要數據、核心數據是否是每個企業都需要具有的一級數據。具體到實踐落實的層面來看,為了切實保障企業履行合規義務,極有可能直接將一般數據、重要數據、核心數據的數據分級標準作為企業的一項強制性義務,這樣的話,是否每個企業都需要具有重要數據和核心數據呢?這也是需要進一步明確的問題。三是如果企業不是必須按照這一標準進行數據分級,那么企業進行數據分類分級的標準可能會留有空白,《數據安全法》中明確的國家需要建立的分類分級制度則有待于進一步明確。
重要數據作為類別數據也具有優勢。一方面,嚴格來說,根據《數據安全法》第二十一條的規定,數據分類分級保護制度和重要數據目錄制度是兩項獨立又相互聯系的制度,數據分類分級在先,重要數據目錄制定在后,《數據安全法》中并沒有把重要數據作為數據分類分級中的一級。另一方面,重要數據目錄應當是明確的目錄形式,所謂目錄,當為詳細列明具體的數據類別,當前來看,《汽車數據規定》中規定的重要數據更加符合所謂的“目錄”。不過,重要數據作為類別數據,也存在一些問題需要關注,比如國家層面的目錄和地方層面的目錄之間的關系如何掌握,各個行業、領域、地方之間的目錄如何協調。
(二)重要數據的范圍界定過寬是否合適?
《條例(征求意見稿)》第七十三條通過“概括+列舉+兜底”的方式在一定程度上明確了“重要數據”的范圍,充分體現范圍廣、種類多等全面性特點。一是,涉及到工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等多個行業和領域;二是,涉及到政務數據、情報數據、工作秘密、生產運行數據、系統組件數據、供應鏈數據等多種數據類型;三是,兜底性條款列舉了除網絡安全外,影響“總體國家安全觀”包括的所有安全領域的數據。全面性的特征,外加企業如果還應當按照一般數據、重要數據、核心數據的標準進行數據分級的話,那么重要數據的范圍可能將會比較寬泛,成為一項普遍存在的數據。
在當前數據資源全球博弈激烈的國際形勢下,強化對于數據資源,特別是重要數據資源的保護是非常具有必要性的,也是維護我國數據安全、網絡安全、國家安全的必然要求。但我們在界定重要數據的同時,可能還應當考慮到數字經濟全球化的發展,考慮到數據對于企業開拓全球性業務的關鍵作用。重要數據的范圍如果界定過寬,針對重要數據的嚴格保護可能會影響到數據在產業發展過程中的應用,比較凸顯的即為數據跨境流動的限制。重要數據的跨境管理對于滿足企業發展業務的時效性和契合國際協議要求來說還存在部分問題需要進一步思考。一方面,根據2021年10月公布的《數據出境安全評估辦法(征求意見稿)》和《條例(征求意見稿)》的規定,所有重要數據的出境都是需要滿足安全評估的要求的,相較于標準合同、行業認證的方式來說,由于人力、物力、財力所限,進行安全評估所需要的程序要求更高,時間耗費可能更長,可能會給企業合規帶來一定時間成本。那么,需要進行安全評估的重要數據越多,對企業乃至整個產業的發展帶來的影響也將更大,對于監管部門來說也是一個不小的負擔。另一方面,當前,我國提出加入全面進步協定跨太平洋伙伴關系(CPTPP)和數字經濟伙伴關系協議 (DEPA)的申請,數據跨境流動問題將是加入這兩個協議及其他類似國際協議的關鍵議題。兩個協議中均要求成員國對于跨境數據流動管理應當符合“合法公共政策目標”,并滿足合理性、非歧視性、必要性等要求。國際上對于論證成員國管理舉措的“必要性”要求較高,如果需要進行安全評估的重要數據的范圍過寬的話,很難論證安全評估這一舉措的必要性,對我國加入協議帶來一定困難。
三、重要數據制度設計的下一步建議
綜上,為了解決目錄制定、范圍確定等問題,重要數據的制度設計可以做出如下考慮:
一是從分類的思路對重要數據做出明確似乎更加有利于實現《數據安全法》提出的安全與發展兼顧的精神。根據上述分析,強制要求企業按照一般數據、重要數據、核心數據的標準進行數據分級可能還是稍顯抽象,而分類的思路更加有利于非常明確具體的確定重要數據的范圍。企業可以根據自身的情況需要將數據分為三級、五級等,重要數據目錄應當以列明具體數據類型的方式進行明確。
二是自上而下、層層遞進地明確重要數據目錄的制定。國家數據安全工作協調機制可以列明哪些行業、領域存在重要數據和核心數據,但該行業、領域內的數據并非均為重要數據或核心數據;然后由各個地方、各個行業、各個領域根據中央層面的大目錄具體列明本地區、本行業、本領域的哪些具體數據大類屬于重要數據或核心數據;最后由各個企業進行對照自身數據,列明自己掌握了哪些重要數據或核心數據類型,這些重要數據或核心數據具體處于數據分級的哪一級,可能在每個企業具有不同設置。
三是制定各個層級的重要數據目錄過程中,應當做好統籌協調、溝通協商,避免重要數據目錄的制定在各個地區、行業之間或內部存在較大差異。
(來源:信通院互聯網法律研究中心)
