數安條例百問9、10、11、12：關于重要數據

小貝案語

11月14日，國家互聯網信息辦公布了《網絡數據安全管理條例（征求意見稿）》。為此，小貝說安全設立《網絡數據安全管理條例（征求意見稿）》（后文簡稱《條例》）解讀專欄，以百問百答的形式對《條例》進行系列解讀。

需要指出，這些解讀只是專家個人觀點，不代表官方意見；且這些解讀針對的是征求意見稿，未來條文本身可能會發生變化，不排除會有新增和刪除。

對應條款

第五條國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護措施。

國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。

各地區、各部門應當按照國家數據分類分級要求，對本地區、本部門以及相關行業、領域的數據進行分類分級管理。

解讀

“重要數據”是國家數據分類分級保護制度中的其中一個級別。可以從以下幾個角度，認識重要數據的內涵。

重要數據的“重要性”是指相于國家安全而言重要，重要數據并不等于“重要的數據”。只對組織自身而言重要或敏感的數據不屬于重要數據，如企業的內部管理相關數據。考慮到《保守國家秘密法》已經對國家秘密信息保護作出了規定，故重要數據不包括國家秘密信息。

重要數據是有時效的。一旦被標識為重要數據，是否便永遠重要呢？這涉及到一個機構是否永遠要承擔重要數據的保護義務。在國家秘密信息保護制度中，“秘密級”信息保密期限為10年，“機密級”信息保密期限為20年，“絕密級”信息保密期限為30年。因此，原則上重要數據的“重要性”時效不超過10年，但不排除有長期“重要”的數據，典型如某些地理信息數據。

重要數據分布較廣。一些人關心，除了政府機構、重點行業外，企業是否輕易擁有重要數據？的確，重要數據一定分布在政府部門、重點行業企業，具有相應資質的公共服務機構、科研機構、行業組織等。但隨著移動互聯網應用滲透到人們生產生活的各個方面，以及物聯網、云計算、人工智能等技術的快速發展，有相當一部分重要數據被互聯網企業、產品和服務提供商所掌握。這意味著，有較多企業需要履行《條例》對重要數據處理者提出的安全保護義務。

重要數據的安全威脅涉及到多個方面，保護需求不僅僅是保密性。多數時候，重要數據的安全保護需求體現為保密性，目的是防止敏感數據未經授權披露，與之相關的數據安全管理制度如數據出境安全評估制度等。但也有些數據，其本身就是為了公開發布，以便為公眾所知悉，但數據的真實性、準確性十分重要。例如天氣預報信息、疫情信息、自然災害信息等。這些數據對國家安全的影響是顯而易見的，但是否將這些公開數據作為重要數據呢？至少目前現有的重要數據保護制度主要還是保護數據的保密性。這意味著，重要數據保護制度的設計是一個長期的過程，隨著時間的發展，人們對重要數據的認識將不斷深化。

重要數據不是中國特有的概念。一些外國機構提出，個人信息保護是全球共識，各國都是圍繞個人信息建立保護制度，但只有中國還提出了“重要數據”的概念。他們因此而質疑中國的做法不是國際慣例。但事實上，除了個人信息外，在國外可以找到大量非個人信息受到保護或嚴格管控的例子。例如，海關、港口等敏感場所禁止拍照，視頻資料被嚴格管控。而且，是不是除了對個人信息出境實施管理外，在國外其他數據都是不受限制地自由流動的呢？顯然也不是。美國有出口管制制度，國際上有對華限制出口的“瓦森納安排”，其出口管制物項顯然是被限制流通的某種數據與知識。此類例子不勝枚舉，只是國外并沒有統一提出“重要數據”的概念而已。

重要數據的識別需要有科學的標準。《條例》給出了重要數據的定義，但這只是一種定性描述，還不足以準確標識重要數據。2020年，全國信息安全標準化技術委員會立項制定國家標準《重要數據識別指南》，目前已經形成征求意見稿。征求意見稿的內容與《條例》對重要數據的定義在文字表述上不完全相同，但內在是一致的。

對應條款

重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。包括以下數據：

1.未公開的政務數據、工作秘密、情報數據和執法司法數據；

2.出口管制數據，出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據，密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據；

3.國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等；

4.工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據，關鍵系統組件、設備供應鏈數據；

5.達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據；

6.國家基礎設施、關鍵信息基礎設施建設運行及其安全數據，國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據；

7.其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。

解讀

2020年8月20日，國家互聯網信息辦等五部委印發《汽車數據安全管理若干規定（試行）》。文件中提出，重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據，包括涉及個人信息主體超過10萬人的個人信息。

上述規定被很多人認為，網信辦官方已經明確，批量個人信息屬于重要數據的一部分。在此認識下，一些人認為《條例》在附則中給出的重要數據定義也隱含了個人信息。特別是，《條例》第二十六條提出，數據處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數據的處理者作出的規定。這被一些人作為新的證據，證明批量個人信息已被作為重要數據。

可以肯定的是，以上認識屬于誤讀。《條例》并沒有任何這樣的表述，從“附則”中的定義也不可能讀出這樣的結論。

即，批量個人信息也是個人信息，其固然重要，但不是《條例》所定義的重要數據，只是批量個人信息需要遵守某些對重要數據的保護要求而已。如果僅以某種重要性來認定重要數據，那么國家秘密信息更應該成為重要數據。

我國已經制定實施了《個人信息保護法》，對個人信息保護的監管顆粒度已經非常細，例如個人信息處理行為原則上要征得個人同意甚至是單獨同意，這些本來就不是重要數據所具備的。就保護數據自身和維護個人信息主體合法權益而言，個人信息保護制度已經足夠。沒有必要通過個人信息保護制度、重要數據保護制度對個人信息進行重復管理。

實踐中，掌握批量個人信息的機構很多。如果這些機構都因此而被認定掌握了重要數據，那么也將帶來極高的監管成本和企業合規成本。

當然，《汽車數據安全管理若干規定（試行）》將批量個人信息作為重要數據也是事實。這只能說，對個人信息同重要數據關系的認識，是一個不斷深化的過程。