数据分类分级怎么管,这份部门规章打了个样|Mr.陈的E法空间

作者 | 陈兵 南开大学法学院副院长、数字经济交叉科学中心研究员;郭光坤 南开大学法学院博士生 编辑 | 朱弢  

2022年12月19日 19:51  

本文4833字,约7分钟

从《数据安全法》确立分类分级制度,到《工业和信息化领域数据安全管理办法》明确分类分级的措施框架,数据三级体系已逐步建立完善,该分级范式可进而成为统筹数据安全与发展的基准,数据要素市场化配置亦可在此基础上推进。

2022年12月13日,工信部发布《工业和信息化领域数据安全管理办法》(下称《管理办法》)。该办法共八章四十二条,以工业和信息化领域数据为对象、以数据处理者为主体、以数据分类分级为基点,对工业和信息化领域数据安全管理进行了顶层设计。

作为《数据安全法》实施后的首部由主管部门制定的关于本行业、本领域的数据安全专门办法,《管理办法》将对未来类似的数据安全领域行政规章具有参照意义。

二十大报告指出“加快发展数字经济,促进数字经济和实体经济深度融合”,数据已成为数字经济中最为核心的新型生产要素,与此同时,数据安全已成为关切国家安全、公共利益、公民及组织合法权益的重要因素。

2021年9月1日,《数据安全法》正式实施,成为了中国规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益的法治遵循。

《数据安全法》规定,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责,主管部门承担本行业、本领域数据安全监管职责。

数据属性特征决定了必须分类分级管理

数据分类分级是数据分类(Data Classification)与数据分级(Data Grade)的合称。

数据分类,是指根据数据的属性特征划分成一定的种类,使得纷繁芜杂的数据按照某种规律形成系列集合;数据分级,则指按照一定的原则、标准、规律划分成层次有序的级别,不同级别数据在数据处理行为中将遵循对应级别的规则。

就趋势而言,数据分类分级是实现维护数据安全、促进数据发展的基础,更是数据界定清、流通畅、效用高的先决条件。

然而,由于对不同类型、不同级别数据应当如何流通,尚无法达成共识,导致实践中产生一定的矛盾与冲突,当前所面临的困境主要在于:

第一,数据本身存在多样性的属性特征。

一方面,数据种类具有广泛性,从而导致了数据属性差异性。从数据内容审视,包括但不限于个人信息、政务、能源、交通、水利、金融、科技、教育、文化、卫生、农业、工业、气象、海洋等多种类型,涉及从人文到自然领域全覆盖。

另一方面,又由于不同类型数据的属性存在较大差异,譬如个人信息具有强烈的人格权益属性;企业数据则具有浓厚的财产权益属性;政务数据、自然数据等具有较强的公共和国家主权属性,直接关系国家利益和国家安全。

第二,数据涉及主体存在多类型。

数据涉及的主体多样,相关主体对数据分类产生的影响也不同。数据涉及市场主体、用户个人,也涉及政府部门、社会团体。数据归属存在交叉性。数据在不同场景下会产生不同归属的情形。譬如,疫情期间健康码关乎用户个人行踪轨迹等个人敏感信息数据,在被相关互联网企业及电信运营商收集时,汇总成为企业数据,在政府为实现防控管理职能收集时,则成为政府数据。此时,同一用户的行踪轨迹数据同时具有个人数据、企业数据、政府数据的特征,在不同场景下存在不同归属。

第三,数据敏感程度不同导致对不同数据的规制要求不同。

数据中所承载的各类信息,可根据其信息敏感程度,做不同分类。数据主体对数据的敏感程度会随着场景的不同而不同,由此引发的数据流通与数据保护的需求度亦不尽相同。

鉴于此,从数据要素属性特征审视可清晰认识到,分类分级是统筹数据安全与发展的现实需求。由于数据多样性的属性特征,导致不同类型、不同级别的数据所荷载的权益存在较大差别,须以差异化原则构建起与之配位的权属及权责关系、流通规则与安全体系。

只有对数据进行分类分级,才能够实现在数据全领域、全周期、多场景、多维度下的科学精准治理。

《管理办法》中分类分级的亮点与特点

《数据安全法》第21条规定了数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。这一条款的重要性在于,对核心数据与重要数据进行了界定。

《管理办法》在总则后紧接着规定了数据分类分级管理,并在《数据安全法》基础上,对工业和信息化领域数据分为一般数据、重要数据和核心数据三级,这是根据数据重要程度及遭到侵害后的危险程度进行划分,根据其影响范围广度、危害情节深度区分不同级别制度实施管理,是一种纵向分级保护制度。

《管理办法》第9条、第10条、第11条分别以危害程度为区分,细化了三级数据的区分标准,并且是符合条件之一即可认定,增强了工业和信息化领域数据分级的可操作性,实现了精细化管理。

《管理办法》还规定了重要数据与核心数据的备案管理制度,要求工业和信息化领域数据处理者应当将本单位重要数据和核心数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况,不包括数据内容本身。当备案内容发生重大变化的,工业和信息化领域数据处理者应当在发生变化的三个月内履行备案变更手续。重大变化是指某类重要数据和核心数据规模(数据条目数量或者存储总量等)变化30%以上,或者其它备案内容发生变化。数据分级备案管理制度有助于推动我国数据要素市场建设。

自2020年4月9日,中共中央国务院发布的《关于构建更加完善的要素市场化配置体制机制的意见》明确将数据纳入生产要素由市场评价贡献、按贡献决定报酬的机制,并明确提出“加快培育数据要素市场”。时至今日,中国对于数据要素市场培育建设已经历了近三年的探索。

2022年12月14日,中共中央、国务院印发《扩大内需战略规划纲要(2022-2035年)》指出,“完善数据要素市场化配置机制,建立数据资源产权、交易流通、跨境传输、安全保护等基础制度和标准规范。”

值得注意的是,数据分类分级是数据产权界分、流通利用、安全保护等顶层设计的基础,以此为着力点深入推进数据要素市场化配置改革,才能够使数据要素的生产、分配、流通、消费等各个环节更加畅通。

从《数据安全法》确立分类分级制度,到《管理办法》明确分类分级的措施框架,数据三级体系已逐步建立完善,该分级范式可进而成为统筹数据安全与发展的基准,数据要素市场化配置亦可在此基础上推进。

首先,可探索结合数据分级备案管理制度,实施数据要素市场化配置的“负面清单”制度。负面清单是指政府管制的范围和具体事项清楚明白地予以列举,除清单以外的事项,政府没有任何权力,以任何理由、形式阻碍或限制经营者从事合法的经营活动。

其次,结合核心数据与重要数据备案目录,分别设置负面清单。核心数据因关系到国家安全、国民经济命脉、重要民生、重大公共利益等,应该采取严格管理制度,原则上禁止在市场上流动,可附严格条件后限制性流动;重要数据涉及个人、组织合法权益以及公共利益,应加以重点保护,对于需要管制的重要数据应纳入负面清单,列举清楚管制的范围和具体事项,采取原则上限制性流动标准。

最后,负面清单外的数据应素允许市场自由配置,允许允许市场主体在合法合规的路径上自由流通数据要素,厘清政府与市场的边界,以此培育数据要素市场良好环境,激发数据要素市场活力。与此同时,定期根据国内外数据动态发展情势,动态调整核心数据、重要数据目录,持续优化数据要素负面清单。

依托分类分级统筹安全与发展

《管理办法》以数据分类分级为主线,细化了数据全生命周期安全保护规则,明确了工信部、地方行业监管部门的职责范围,以及数据处理者的安全保护义务。

分类分级是统筹数据安全与发展的基本原则。其中,数据安全是数据要素驱动数字经济健康发展的底线与支撑,数据发展是实现国家经济在国际竞争中获得优势地位的目标与保障,二者是充分释放数据要素价值、推动数字经济健康发展的车之两轮、鸟之两翼。

目前,多个国家和地区在对数据分类分级,以推动数据安全与发展都有探索,其中,欧美在数据治理方面的制度建设及实践具有比较研究意义。

欧盟在数字治理规则方面的创新探索,一直受到全球关注,其致力于构建在全球有领先优势的数字统一大市场。2016年,欧盟通过《通用数据保护条例》(General Data Protection Regulation, 下称GDPR),系统性规定了个人数据的基本权利、流动规则、处理规则等制度;2018年,欧盟通过《非个人数据自由流动框架条例》(Free Flow of non-personal Data Regulation, 下称FFDR)原则性规定了非个人数据流动规则,旨在保障非个人数据在欧盟区域内自由流动,以加速区域数字经济发展。

以主体是否为个人为区分,欧盟以二分法形式将数据类型划分为个人数据与非个人数据,GDPR与FFDR均对数据流通规则进行了基本规定,希冀以此构建欧盟统一数字市场基本规则,保证数据要素在统一市场内自由、安全流通。

此后,考虑到数据归属交叉性特征,导致部分数据以个人数据与非个人数据混合形式出现,难以将二者进行分离,又由于二分法下两类数据处理与流通遵循不同规则,在制度上可以导致了数据处理者发生冲突。2022年2月,欧盟委员会公布《数据法案》(Data Act)草案,分别规定了个人用户、企业、公共部门关于数据享有的权利义务,拟以主体为区分规定相应权利束,以细化数据流动规则。

美国对数据保护则呈强监管态势,一方面,针对涉及国家安全信息,2009年12月颁布第13526号行政命令《国家安全信息分类》(Classified National Security Information, 下称CNSI),根据涉密及可能造成的危害分为最高机密(Top Secret)、机密(Secret)、秘密(Confidential)。另一方面,针对不在上述类型,但需要控制的信息,2010年11月颁布第13556号行政命令《受控非密信息》(Controlled Unclassified Information, 下称CUI),规定由行政部门负责制定并发布政策指令,建立统一的“受控非密”信息类别及子类别,提供“受控非密”信息保护、传播、标志以及解除管控的政策及程序。

2018年3月,时任美国总统特朗普签署发布《澄清境外数据合法使用法案》(Clarifying Lawful Overseas Use of Data Act,“CLOUD 法案”)为美国行使境外数据管辖权确立了“控制者标准”,即只要数据是为美国数据服务提供者所拥有、监管或控制的,无论该数据是否存储于美国境内,政府均有权要求数据服务提供者向其披露该数据。在数据安全层面强监管态势不断加剧,数据领域国际竞争亦日趋激烈。

综上可见,微观上,由于数据的多样性、瞬时性、非排他性等属性特征,导致静态单一维度划分数据类型将导致实践中对数据类型识别困难,难以实现数据合规处理,造成立法与实践的割裂;宏观上,国家安全与社会公益是数据的基石与底线,对于关系社会公共利益、个人或组织合法权益等数据需要进行有序保护,对于直接关系到国家安全的数据采取严格管制。

纵观国内外关于数据类型化理论与实践的探索,尚未有理想的方案能一劳永逸地来平衡数据安全与发展之间的关系,这与数据的可共享性、复用性、多归属性、高度动态性、瞬时性、使用加权等特征密切相关。故此,数据分类分级应是贯穿于数据生命全周期,开展数据处理行为、保障数据安全、促进数据开发利用等全领域的基本原则,是统筹好数据安全与发展的着力点。

《数据安全法》规定,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。《管理办法》则是首部由主管部门制定的本领域数据安全管理办法,对于上位法的规定进行了较为全面细致的细化处理,为工业和信息化领域统筹数据安全与发展提供了有力保护与详细指引。从这个角度来说,《管理办法》将成为各领域开展数据安全的重要参照,具有先行先试的重要意义。