随着《数据安全法》及《国家新一代人工智能标准体系建设指南》等重要法律及政策的颁布,我国正在针对数据和算法形成全面覆盖“硬法”和“软法”的治理体系,数据与算法治理方面的“中国道路”和“中国方案”已经日渐清晰。
《中国法律评论》2021年第5期专论二“数据安全与算法治理”邀请三位学者北京理工大学洪延青教授、对外经济贸易大学张欣副教授、北京航空航天大学蔡星月助理教授,直面数据安全与算法治理的前沿热点问题展开探讨。具有不同学历背景、实务经历及研究基础的三位作者, 针对这一领域中非常引人关注的两个问题——数据分类分级保护与人工智能技术标准,进行了探索性、开拓性的思考与阐释,内容丰富、观点多元、见解新颖。我们冀望本期专论能对学界与实务界同仁探讨相关议题产生积极的启发作用和参考价值。
洪延青 北京理工大学法学院教授
对数据分类分级,是开展数据安全治理的起始点。目前,在我国网络安全和数据安全相关的法律法规中,数据分类分级的要求多有体现,但基本上这些分类分级的思路和方案均站在组织内部的视角,目的是提升组织的数据安全管理能力和水平。本文将之称为“自下而上”的数据分类分级。而《数据安全法》创造性地提出了“自上而下”的数据分类分级路径,其第21条规定“国家建立数据分类分级保护制度”,其重要意义可以与《网络安全法》第21条的“国家实行网络安全等级保护制度”做类比。本文分析此项制度设计的背景和逻辑,以及其对数据主权国际竞争加剧态势下的重大影响和意义。
目次
一、现有数据分类分级的保护路径
二、《数据安全法》对数据分类分级保护的制度设计
三、数据分类分级的国际竞争意义
四、结语
本文来源为《中国法律评论》2021年第5期专论(第71-78页),原文10000余字,为阅读方便,脚注从略。如需引用,可参阅原文。
在网络安全领域,对数字资产(包括信息系统、网络系统、数据等)的安全保护,起始于对数字资产的分类分级。将数字资产划分成不同的类别和不同的级别,就能相应地确定与类别和级别匹配的安全保护水平和措施。在我国,分类分级的思想最早贯彻于网络和信息系统的安全治理工作之中。在《网络安全法》生效之前,我国将“信息安全等级保护制度”作为国家信息安全保障体系中的“一项基本制度”。“信息安全等级保护制度”是指“对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。”
2017年《网络安全法》开始实施,其将网络运营者划分为一般的网络运营者和关键信息基础设施运营者两大类。后者为“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”,前者即是“网络的所有者、管理者和网络服务提供者”中的非关键信息基础设施的其他运营者。
同时对于所有的网络运营者,《网络安全法》将“信息安全等级保护制度”升级为“网络安全等级保护制度”。该制度“根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素”,将其划分为五个级别。不同级别的等级保护对象应具备不同的基本安全保护能力。
相对于对网络和信息系统的分类分级,我国从安全保护角度对数据的分类分级要求比较新。《网络安全法》第21条规定,网络运营者为“防止网络数据泄露或者被窃取、篡改”应当履行的最基本的安全保护义务之一,即“采取数据分类、重要数据备份和加密等措施”。此后主管监管部门发布的相关规定,对数据分类分级也做出了要求。
2021年9月1日生效的《数据安全法》,对数据分类分级作出了专门规定,提出:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”全国人大常委会法制工作委员会对《数据安全法》的立法说明中,将数据分类分级管理制度作为国家数据安全管理制度和体系中的首要制度。
仔细分析《数据安全法》和《网络安全法》中对数据分类分级的规定,可以发现一个显著的区别:《网络安全法》中开展数据分类工作的主体是网络运营者;在《数据安全法》中,数据分类分级的主体却是国家。本文认为,数据分类分级工作的主体不同,蕴含着对数据安全保护思路和工作路径的重大变化,凸显了国家对数据作为基础性战略资源的认识和管理思路的升级,更是服务于数据主权的国际竞争。
本文的内容安排如下:第一部分是对现有数据分类分级保护路径的梳理和分析;第二部分解析《数据安全法》数据分类分级保护的制度设计,并对《数据安全法》中提出的重要数据和核心数据做出解构和重构;第三部分阐释数据分类分级安全管理制度在国际竞争方面的重大意义;最后,本文尝试对数据分类分级工作落地实施提出建议。
现有数据分类分级的保护路径
无论是现行的法律、行政法规还是部门规章,都仅仅止步于提出数据分类分级的要求,并没有对如何分类分级提出进一步的方案。
例如在行政法规层面,国务院2018年3月发布的《科学数据管理办法》第10条规定:“科学数据中心负责科学数据的分级分类”;第20条规定“法人单位要对科学数据进行分级分类,明确科学数据的密级和保密期限、开放条件、开放对象和审核程序等”。
在部门规章或规范性文件层面,例如中国证券监督管理委员会2019年6月实施的《证券基金经营机构信息技术管理办法》第30条规定:“证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排。”中国银保监会办公厅2019年5月发布的《关于开展银行业和保险业网络安全专项治理工作的通知》规定:银行业和保险业机构应当“强化客户信息保护。要制定数据安全分类分级标准,构建覆盖客户信息全生命周期的保护体系,防范数据被窃取”。工业和信息化部办公厅2019年6月印发的《电信和互联网行业提升网络数据安全保护能力专项行动方案》规定,电信和互联网行业应“加快建立网络数据分类分级保护、数据安全风险评估、数据安全事件通报处置、数据对外提供使用报告等制度”。
在国家部委发布的指引性文件,或者国家和行业标准层面,可以看到一些尝试或方案。工业和信息化部2020年2月印发的《工业数据分类分级指南(试行)》中,提出了对工业数据的分类和分级标准。该指南第5条提出:“工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。”
沿着第5条,该指南在第6条中给出了工业企业的数据分类范例:“工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。”至于数据分级,该指南根据数据发生“篡改、破坏、泄露或非法利用”后造成的危害——“可能对工业生产、经济效益等带来的潜在影响”作为数据分级的标准,将数据分为三级。
同样,证监会于2018年9月正式公布实施《证券期货业数据分类分级指引》。该指引第6.4条要求:“本标准推荐的分类分级方法,从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构,最后,对分类后的数据确定级别;同时,推荐考虑确定数据形态……”具体来说,数据分类“依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类”。数据分级“是以数据分类为基础,采用规范、明确的方法区分数据的重要性和敏感度差异,并确定数据级别”。
秉持类似思路的还有2020年2月中国人民银行正式发布的《个人金融信息保护技术规范》(JR/T0171—2020)。在这些尝试或方案中,数据分类采取的路径主要是一种“实然”(“是什么就是什么”)路径。此种路径的基本思路是不改变企业实际如何组织生产的方式和流程,且客观描述在这个方式和流程中所收集、产生出的数据类型。在完成数据分类的前提下,根据“后果”路径,来对数据进行分级。此种路径的基本思路是根据某类数据的安全属性(完整性、保密性、可用性)遭到破坏后的影响对象、影响范围、影响程度,对数据进行定级。一般来说,有分为三级的,也有分为四级的。本文将上述思路统称为“自下而上”的数据分类分级。
目前部委指导性文件和标准所提出的数据分类分级路径,给企业内部开展数据治理提供了很好的思路。如果企业能按照上述路径开展分类分级工作,就能够对其所掌握的数据建立管理目录,并对目录里面的数据进行“差序有致”的管理,最终达到对数据资产的高效利用和有效保护。
正如《证券期货业数据分类分级指引》对数据分类分级的阐释:“数据分类是数据保护工作中的一个关键部分,是建立统一、准确、完善的数据架构的基础,是实现集中化、专业化、标准化数据管理的基础。行业机构按照统一的数据分类方法,依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类,可以全面清晰地厘清数据资产,对数据资产实现规范化管理,并有利于数据的维护和扩充。数据分类为数据分级管理奠定基础”,“数据分级有助于行业机构根据数据不同级别,确定数据在其生命周期的各个环节应采取的数据安全防护策略和管控措施,进而提高机构的数据管理和安全防护水平,确保数据的完整性、保密性和可用性”。
采取“自下而上”的数据分类分级,本质上是站在组织的内部视角来看数据分类分级,目的是防止组织的资产和权益因为数据安全事件而受损。这种“自下而上”的数据分类分级模式有三个问题。第一个问题是,对数据提供何种保护水平仅仅由组织自行决定。以个人信息保护为例,组织出于自身的利益保护,普遍会将个人信息赋予高水平的保护,但其主要考虑的是防止因个人信息保护不利而导致的企业名誉、监管、司法等方面的风险,但对个人信息充分利用的考量(包括分析、与第三方共享、在生态内流转、向境外传输等)始终占据优先级。因此其对个人信息保护的水平并不一定达到组织外部的个人、社会、监管部门所期待的水平。
第二个问题是,很多情况下,掌握在企业手中的数据对国家、社会、个人的价值,要比对企业来说价值更高;或者说,一旦出现安全事件,对国家、社会、个人造成的危害可能比对企业利益的危害更大。例如剑桥分析事件中,Facebook疏于对第三方小程序的管理,导致8700万个人的数据被非法用于政治选举目的,包括影响脱欧公投和美国总统大选等。
这就出现了一个所谓的“外部性”问题。外部性又称为外溢效应,指一个人或一群人的行动和决策使另一个人或另一群人受损或受益的情况。显然,目前站在组织内部角度的“自下而上”的数据分类分级,并不能很好地解决数据安全管理中的“外部性”问题。因此,为了督促或监督企业切实负起数据安全责任,同时对某些“外部性”很强的数据类型给予更高水平的安全保护,就需要国家站在组织的外部,要求组织对具体的、特定的数据类别,比其单纯从自身角度出发所意愿供给的安全水平提供更高水平的保护。
“自下而上”的数据分类分级的第三个问题是,目前的部委指导性文件和标准所提出的数据分类分级路径,在单个行业、单个组织的内部可以适用,但是对于面对不同行业的众多组织的主管监管部门来说,不具备互操作性,即一个组织的数据分类或数据分级,很可能与另外一个组织的数据分类和数据分级截然不同。这种情况下,数据安全主管监管机关很可能无法开展统一的管理和监督工作,更无法判断组织对不同类型和级别数据采取的安全保护措施,是否能够充分维护个人合法权益、公共利益和国家利益。
《数据安全法》对数据分类分级保护的制度设计
在上述背景下,《数据安全法》提出的由国家而非组织来实施数据分类分级的制度设计(本文称之为“自上而下”的数据分类分级),就能得到很好的解释。“自上而下”的数据分类分级,要求国家根据数据对国家、社会的价值(“数据在经济社会发展中的重要程度”)以及出现安全事件后造成的危害后果(“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”),来开展数据分类分级的工作。在分类分级工作完成之后,即可以强制性地配适不同程度的安全保护规则,目的在于要求组织吸收或内化“外部性”效应。
实际上,这种“自上而下”分类分级路径在数据安全之外的领域并不鲜见。例如前文提到的对网络和信息系统,区分为一般运营者和关键信息基础设施运营者这两大类。犹如国家对劳动人口的身份管理,国家就“自上而下”地将劳动人口划分为公务员、事业单位人员、企业员工、务农人员等。这样一种站在全局视角下的相对整齐划一的分类,一直是国家统一管理的有效工具。
《数据安全法》实际上已经“自上而下”地划定了两个主要的数据类型:个人信息和重要数据。虽然《数据安全法》没有界定“重要数据”这个概念,但对其做了丰富的规则设计。例如重要数据的处理者应当明确数据安全负责人和管理机构(第27条);重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估;并向有关主管部门报送风险评估报告(第30条);关键信息基础设施所收集和产生的重要数据的出境安全评估使用《网络安全法》规定,其他数据处理者收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定(第31条)等。
而对个人信息的保护规则,《数据安全法》第53条规定,“开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定”,直接指向了《个人信息保护法》。由此,“作为数据领域的基础性法律”的《数据安全法》初步完成了“自上而下”的数据分类分级中的数据分类工作,并设计了不同类别的数据的基本保护规则。相较于个人信息,重要数据这个概念极为新颖,因此下文将重点对其内涵做出分析。
实际上,重要数据为《网络安全法》首次提出,回顾“重要数据”的产生过程,可回溯到《网络安全法(草案)》三读与最终稿之间出现的一个微妙变化。三读文本中使用的是“重要业务数据”,对此,可能存在两种理解:一是认为“业务数据”英文为“business data”,是组织机构与外界发生业务交互(transactions)的记录,不包括内部运营数据,例如组织机构人力资源管理方面的数据;二是认为“业务数据”同时包括组织机构“内部运作”和“外部业务交互”的数据。
如果最终“重要业务数据”的定义采用前者,则关键信息基础设施里存在其他类别的数据无需本地存储;如果采用后者,则可认为关键信息基础设施里的所有数据都要本地存储。在2016年11月7日通过的《网络安全法》最终文本中,立法者删除了“业务”两字,体现了立法者最后时刻的考量和决断。
在《网络安全法》生效(2017年6月1日)之前,中央网信办于2017年4月的《个人信息和重要数据出境安全评估办法(征求意见稿)》中第一次对重要数据做出界定。重要数据“是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南”。与其配套的国家标准《信息安全技术数据出境安全评估指南(草案)》在附录A中进一步定义了重要数据。虽然上述规则和标准始终处于征求意见稿的状态,但都明确了一点——重要数据的重要性,针对的是整体层面的利益保护,即保护国家安全、国计民生、公共利益。
因此,只要运营者的数据不涉及整体层面利益,就不属于“重要数据”的范畴。例如,一家互联网广告公司的高层会议纪要,如果不涉及国家、公共利益,显然不属于“重要数据”的范畴,这样的数据能够自由出境;但是一家生产战备物资的企业,其信息系统形成的进出货记录、库存水平等,可能就涉及国家安全事项,应当认定其为“重要数据”,《网络安全法》原则上要求境内存储。因此,从“重要业务数据”转变为“重要数据”,说明立法者摒弃业界熟悉的“个人数据、企业数据、国家数据”的分类方法,进而从数据所影响的价值着手。换句话说,不论是个人数据还是企业数据,只要有可能危及整体层面的利益,也会被认定为“重要数据”。因此,《网络安全法》首提“重要数据”,标志着“自上而下”的数据分类分级思路的雏形初现。
虽然上述规则和标准始终处于征求意见稿的状态,但2021年8月国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、交通运输部联合颁布的《汽车数据安全管理若干规定(试行)》,沿着上述思路第一次对重要数据做出了具备法律效力的界定。其第3条规定:“重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据”,并在汽车领域对重要数据进行了列举。此外,由工信部发布并于2021年7月生效的《基础电信企业重要数据识别指南》,也将重要数据界定为“企业在运营中收集、产生、控制的不涉及国家秘密,但与国家安全、经济发展、社会稳定,以及公共利益密切相关的数据,特别是与国家基础通信网络安全密切相关的数据”。
仔细分析上述在《数据安全法》文本发布之后出台的关于重要数据的界定,可以发现重要数据并不是从组织内部出发、基于业务的数据分类,而是始终站在数据背后的重要价值的保护之上。在过去,“个人数据、企业数据、国家数据”的分类存在一定的意义,因为国家掌握的数据,往往才有可能影响到整体层面的利益。但在大数据时代,数据收集、汇聚、流转等,大量地发生在公共部门之外,许多企业掌握着海量的数据资源。这些数据已经具备了影响国家、公共利益的可能性。
例如,超大互联网平台所掌握的海量用户信息,首先肯定是个人信息,同时也是企业拥有的数据,但是由于其规模和颗粒度均可比拟公安机关的国家人口基础信息库,准确性甚至更胜一筹,因此对国家来说,互联网平台所掌握的这样规模的人口信息数据一旦泄露,很可能对国家安全造成严重危害。再如为金融、能源、交通、电信等重要行业中的大型企业提供网络安全防护过程中产生的数据,包括系统架构、安全防护计划、策略、实施方案、漏洞等信息。这些数据虽然掌握在安全服务提供者手中,但这些数据一旦泄露,将大幅增加这些企业的网络安全风险。因此从国家层面来说,这些数据肯定属于“重要数据”,哪怕这些数据掌握在企业手中。
综上来说,判定重要数据,应放弃从“谁掌握数据”来着手(即“自下而上”的数据分类),而是从数据可能影响的价值、利益来判断;而全面判断数据可能影响的各种价值和利益,显然需要超越组织内部视角,需要国家“自上而下”地做出决断。因此,由中央国家安全领导机构负责建立的国家数据安全工作协调机制,将来把哪些类型的数据纳入重要数据目录之中,持有或掌握这些数据的组织就需要按照国家规定,“对列入目录的数据进行重点保护”。
数据分类分级的国际竞争意义
前述围绕着“自上而下”的数据分类分级和重要数据的分析显示,由于数据安全保护存在显著的“外部性”效应,因此国家对数据安全保护具有独立于组织、个人的利益,且该利益诉求在国际竞争的压力下越来越凸显。
著名的《外交事务》杂志在2021年第3期发表了一篇在国内广为传播的文章——《数据即是权力》。两位作者直言:“与全球经济的其他要素相比,数据与权力更紧密地交织在一起。作为创新的一个日益必要的投入,国际贸易的一个迅速扩大的元素,企业成功的一个重要因素,以及国家安全的一个重要层面,数据为所有拥有它的人提供了难以置信的优势。它也很容易被滥用。寻求反竞争优势(anticompetitive advantages)的国家和公司试图控制数据。那些希望破坏自由和隐私的人也是如此。”这段话非常清晰、全面地勾勒出数据安全保护对于国家间竞争至关重要的意义。
美国占据技术先发优势,有着强大的产业基础和服务贸易量。全球运营的美国企业成为美国数据立法的重要关切和杠杆因素,并据此实现管辖范围的扩张。美国数据主权战略基本上围绕着如何增强本国企业获得和控制企业的能力。一直以来,欧盟互联网产业发展相对落后于美国和我国,产业能力、基础设施、代表性企业相对有限,欧盟企业事实上处于数据弱势地位,欧盟在数字经济中的份额也与其自身的经济体量存在较大差距。
但近年欧盟转换了视角,以整个欧盟市场作为政策施力点,要求所有面向欧盟提供产品或服务的实体(无论是否在欧盟境内有机构存在)均应当接受欧盟的管辖,实现对掌握欧盟数据的跨国公司的有效规制。此外,欧盟高水平的数据保护规则极大地抬高了数据从欧盟流出的门槛,配合欧盟积极推动的“单一数字市场”和“欧洲数据空间”,欧盟走出了符合自身利益发展的数据战略,事实上扩张了欧盟对全球网络空间中数据的掌控能力。
从目前《数据安全法》《个人信息保护法》《网络安全法》等法律法规来看,我国并未提出系统性的符合国家主权、安全和发展利益的数据主权战略,更多的还是应对或对抗美欧“扩张式”的数据权力为主。例如,《数据安全法》《个人信息保护法》均有阻断外国“长臂”数据执法跨境调取的条款。为应对外国在出口管制、投资审查等领域中关于数据且针对我国的各种歧视性、限制性措施,《数据安全法》《个人信息保护法》同样有类似的应对性条款。在激烈的国际竞争中,我国理应配备法律工具来应对来自外国的压力,但在防守之余,我国可以在对外发展方面有所谋划。
“自上而下”的数据分类分级和重要数据,虽然主要服务于境内的数据安全管理工作需要,但其能在构建我国“外向型”数据主权战略之中发挥重要作用。本节提出三个方面的设想抛砖引玉。
其一,数据分类分级本身不是最终目的,对不同类别和级别的数据配适不同的安全保护规则,才是分类分级的落脚点。因此,对于国家主权、安全和发展利益至关重要的数据,可以通过分类分级和列入《数据安全法》提出的“重要数据目录”中,辅以更高要求的安全保护规则,包括数据跨境流动规则,以此实现对重要的数据要素的控制。
其二,在目前已经开展的自贸区试验中,出于实现更高水平的开放和融合的目标,赋予部分自贸试验区根据自身的产业结构、主要的商贸目的地、技术合作对象等因素,动态调整国家层面出台的“重要数据目录”的权力。通过便利的数据跨境规则,再发挥人才、资金等方面的优势因素,取得特色产业集中落地的效果。例如,北京和海南政治经济特点不同,北京的“两区建设”24和海南“自贸岛”建设完全可以因地制宜地实施不同的“重要数据目录”。
其三,为服务我国“一带一路”战略的实施,我国可以基于“一带一路”国家的实际情况,根据政治外交、商贸合作、人文交流等因素,制定面向不同国家的“重要数据目录”,有针对性地调适数据出境的范围宽窄和出境规则的松紧,以此取得对外合作的战略目标。
结语
《数据安全法》改变了我国数据分类分级工作的基本范式。“自下而上”的数据安全治理已不能完全满足数据种类数据量、分析技术、商业模式等爆炸性发展所衍生的新安全风险。“自上而下”的数据分类分级能够使组织有效地吸收其数据处理行为所产生的负面外部性。在法律层面,我国已经确立了个人信息和重要数据的基本分类。任何处理数据的组织应当高度关注国家制定的“重要数据目录”,相应地调整组织内部对数据分类分级的实践,并根据国家制定的个人信息和重要数据安全保护规则,更新组织所采用的安全保护措施。
从统筹安全和发展的角度来看,一方面,我国在开展数据分类分级工作和制定重要数据目录,应当秉持科学、客观、动态的原则,避免将过多的数据纳入重要数据的保护范围之中。另一方面,为更好地参与到数据资源的国际竞争之中,我国还可以灵活地使用数据分类分级和重要数据目的等政策工具,实施因地制宜的数据流动策略,使我国的主权、安全和发展利益最大化。
声明:本文来自中国法律评论,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。