引用参考文献格式:
商希雪,韩海庭. 数据分类分级治理规范的体系化建构[J]. 电子政务,2022(10): 75-87.
摘 要:数据的类型化管理极大地促进数据安全与数据流动,国家法律、部门规章、标准规范共同构成的制度体系所关注的数据分类分级机制应各有侧重,并进而形成数据分类分级治理体系的效力协同机制。通过运用文献调研和比较分析的研究方法,梳理出当前我国数据分类规范呈现个人信息与重要数据的双层治理轨道,分级规范则主要基于数据的敏感性、重要性、被危害程度等因素划分对应的保护等级。研究提出的数据划分范畴,在数据安全视野下既是分级又是分类,该适用场景下的分级实则为一种特殊的分类。然而,数据分类存在多重法益价值的划分标准,而数据分级划分标准则仅围绕安全保障目标。对此,在突破单一的安全标准后,数据分类法治建设下一步应着眼于数据的开发利用与权益划分,并实现分类与分级之间的明确界分与协同适用。
关键词:数据分类;数据分级;数据治理;个人信息
DOI:10.16582/j.cnki.dzzw.2022.10.006
一、数据分类分级研究现状与实践发展
随着数据安全上升到国家安全与国家战略层面,数据的分类分级已经成为数据处理者开展数据安全治理的必选措施。[1]数据分类分级体系为数据应用的各项场景提供了管理设计参照与合规操作坐标,例如,数据的分类分级体系在维护数据主权的前提下为促进数据的跨境流动提供了基础与保障。[2]
通过梳理与分析相关的国内外文献,当前关于数据分类分级的理论阐释多是围绕企业实务中企业数据、用户信息的分类分级建设,研究内容主要围绕企业管理中数据的分类分级治理以及具体的落实方案。[3]研究动态整体上呈现以下特征:其一,研究主要是从实务工作角度出发;[4]其二,研究主要是往技术层面关注。[5]进一步分析来看,当前关于数据分类分级治理机制的学术讨论,一方面,大多围绕数据安全为导向的分类分级标准建设[6],较少探讨数据要素市场化为导向的分类分级建设;另一方面,理论界目前主要试着探索技术纬度下的数据分类分级治理规范[7],数据分类分级在法治纬度的系统化建设尚缺乏足够关注。
分类分级是一种数据治理的工作思路和模式,全面系统的数据规范体系主要从法律规范、行业标准和技术措施三个纬度构建,数据分类分级在法律、标准与技术层面的效力协同机制是数据治理规范的基础工作,三者的协同运作决定了数据治理工作的最终效力。目前,我国在数据分类分级领域已形成国家法律、部门规章、标准规范三类政策文件共同构建的制度规范雏形,特别是在技术标准与行业规范中已具备较为体系化的数据分类分级要求,但在法律层面上尚未得以完整落实。最新发布的规范性文件如《网络数据安全管理条例(征求意见稿)》《数据分类分级指引(征求意见稿)》《重要数据识别指南(征求意见稿)》中细化的数据分类分级治理思路与规则设置也须在法律体系中深化落实,以此保障数据分类分级相关规定规则适用的统一。
二、数据分类分级的权益保护基础与规范治理挑战
(一)数据分类的双层治理轨道:重要数据与个人信息
数据分类是将具有共同属性或特征的数据归为一类,当前我国法律规范体系对数据主要分为两类:个人信息与重要数据。未来更加细化的规范构建需要承接《网络安全法》《数据安全法》《个人信息保护法》中的原则性规定,制订实施细则以提供配套的安全保护与权益划分规则。在理论支撑上,学理层面应厘清上述两类数据背后的法益基础与保护目标,以此为数据分类规范工作提供明确的指导。
⒈重要数据与个人信息规范的法益保护基础
不同国家或地区的数据立法对于数据的分类方法与称呼不同,欧盟将数据分为个人数据和非个人数据[8],澳大利亚将个人数据分为一般数据和敏感数据[9],印度将个人数据分为一般数据、敏感数据和关键数据[10]。美国对个人数据的分类方式与欧盟采用的方式类似,按内容和性质将数据分为敏感和非敏感[11],但对于企业和社会层面的个人数据并没有严格区分,只是针对特定领域和人群提出了保护用户个人信息的具体要求。例如,《电子通信隐私法》(ECPA)旨在保护电子通信领域的个人信息不被第三方窃听或截获。[12]《儿童在线隐私保护规则》(COPPA)主要针对美国13岁以下的儿童,要求互联网企业遵守保护儿童在线信息的六项基本原则。[13]对比来看,在当前的规范体系下,我国将数据分为个人信息与重要数据,规制模式采取的是个人信息与重要数据保护体系的双轨化。我国的《数据安全法》将数据分为一般数据和重要数据,《个人信息保护法》则界定了敏感个人信息。国家互联网信息办公室于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》分别专门规定了“个人信息保护”和“重要数据安全”两章,由此看出个人信息与重要数据的保护体系在规范适用上是相互独立的。具体到目前的制度保障,个人信息保护规范主要基于《个人信息保护法》确立了保护框架,《网络数据安全管理条例(征求意见稿)》仅从安全管理角度为《个人信息保护法》提供支撑。对比来看,《数据安全法》明确提出了重要数据的概念与保护地位,但重要数据的框架性保护制度则是由《网络数据安全管理条例(征求意见稿)》完整建立的。[14]数据分类的法益保护思路遵循从总到分的整体性逻辑,先按照归属主体、影响对象、影响范围、影响程度对数据进行类别划分,再通过对业务和数据细分。[15]在当前的法律规范体系下,数据安全(data security)与个人信息保护(data privacy)是数据法律制度的主要规范目标。其中,重要数据是数据安全治理的核心对象,体现在现实适用场景中,两者在同一应用管理场景下侧重的立法保护法益不同。例如,在数据跨境流动监管中的利益保护考量,对个人信息的跨境数据流动进行管理是出于保护个人数据、个人隐私和维护国家安全目的,而对于重要数据的出境监管则是出于维护公共利益、保障国家安全的需求。
在《民法典》《个人信息保护法》的规制体系下,保护个人信息本质上是保护信息主体的信息控制能力,法律规范主要关注个人信息权益的行使与维护,由此对应个人信息处理者的处理规范与保护责任。出于该保障目标,根据个人信息之于主体的敏感(重要性)程度,个人信息一般分为敏感信息与非敏感信息。宏观来看,个人信息保护制度旨在追求维持自然人独有的自我决定能力,其出发点与落脚点在于保护自然人主体的人格权或财产权益。比较而言,在安全监管视野下,《数据安全法》着重提出了重要数据的概念并赋予高标准的保护要求与机制设置,对于数据分类治理具有标志性的法律意义,重要数据的分类标准也将作为标杆性的数据分类参照系。对重要数据的分类识别主要评估其安全风险,涉及对国家安全和重大社会公共利益的危害程度,《数据安全法》明确提出三类数据概念:重要数据(第21条)、核心数据(第21条)、属于管制物项的数据(第25条),在安全监管视野下来看,三类数据的划分原则上属于分级,但也属于一种特殊的分类。其中,各类型数据存在一定的交叉,重要数据是指直接关系国家安全的数据,而核心数据事实上是一类特殊的重要数据,关系国家安全、国民经济命脉、重要民生、重大公共利益等,因此享有更加严格的保护标准。与维护国家安全和利益、履行国际义务相关的数据属于管制物项的数据,应依法实施出口管制。从定性上来看,属于管制物项的数据属于重要数据或者属于核心数据,对该类数据的划分主要出于对使用场景的限制。根据安全重要性程度,这三类数据是《数据安全法》的规制重点。三类数据之外的数据统称为一般数据或其他数据,但一般数据的重要程度也是动态变化的,取决于处理目的与使用场景等因素,包括时间、政策环境、业务场景敏感性等。
⒉数据分类规范标准的界限模糊
从我国制度建设现状来看,相较于数据分级制度,数据分类制度在行业规范、技术标准以及立法中出现稍晚,也尚未形成较为系统的规制框架。数据分类法治目前面临概念不清、分类价值单一等问题。《数据安全法》明确提出了分类且分级的立法保护思路,第21条、第25条、第27条、第30-31条提出“重要数据”“核心数据”“管制物项的数据”的保护规定,但没有明确规定上述类型数据的内涵和外延;规定了“重要数据”在程序上的认定主体,但未回应《网络安全法》第27条、第37条中关于“重要数据”的安全等级保护与境内储存原则的规范。[16]当前立法的概括性可能导致各行业与各地方在认定重要数据时标准不统一,存在扩大或缩小重要数据范围的空间,进而导致重要数据被规管疏漏或一般数据被不恰当高标准保护。[17]因此,规范建设首先要厘定各类数据的内涵与外延,尤其是重要数据的定性标准。目前,国家标准《重要数据识别指南(征求意见稿)》对重要数据的分类不再按照行业,而是从对国家安全的影响等出发点分为八类。但无论在哪种分类定义下,数据的安全重要性是定义重要数据的核心特性,各类数据在规范中亦对应不同的保护与使用规则。数据的不同分类标准有其各自的意义和价值,数据的分类标准原则上取决于数据治理的管理目标与监管模式。在规范层面上,如何选择合适的分类角度主要考虑现实的保护价值,其核心考量在于需要维护的法益保护价值。基于这样的考虑,规范建设(主要是立法)不适合将多个分类角度混合,分类标准的不统一可能导致保护目标的偏失,在后续的规范适用上也难以把握。[18]此外,各个行业可在统一立法的基础上,确立本行业的重要数据识别法益并制定具体的判断规则。这是因为,行业本身即数据分类的角度之一,并且行业属性也在一定程度上作为数据分级的考量因素,如金融、地理、地质、国防等关键领域。行业类型可作为数据的分类考量,那么行业内部数据分类分级治理本质上是构建分级规则,行业内部的分级考量因素主要有主体权益(国家安全、个人隐私、公共利益等)、处理方式、处理目的、面向对象等。
数据权属、流转规则、开发规范等利益划分事项是将来个人信息立法的重点内容,而对于个人信息的分类问题,尤其需重视个人数据和非个人数据作为基本法定分类的意义。非个人数据的使用“以共享为原则、不共享为例外”,私人数据的使用则“以同意为原则、不同意为例外”。以欧盟为例,欧盟的数据治理制度框架主要分为个人数据与非个人数据两大体系:2016年颁布的《欧盟通用数据保护条例》(GDPR)和2018年颁布的《非个人数据自由流动条例》分别对个人数据和非个人数据的保护、处理、跨境流动等事项采取了不同的政策。我国已经通过《民法典》《个人信息保护法》确立了个人数据的基本规制框架,将来立法应重点关注非个人数据,确定其法律标准。去标识化和匿名化都是个人隐私安全的技术防护手段,两者的本质区别在于,去标识化信息亦属于个人信息,如果与其他补充的信息结合,可以重新识别到信息主体,通常也称为重标识;信息被匿名化处理后,个人信息处理者不得直接或间接再次识别个人信息,因此匿名化信息不属于个人信息。[19]基于此,将来源于自然人主体的信息分为三类:个人信息、去标识化个人信息和匿名化信息,前两者都属于个人信息(广义)。对于该分类体系,除了典型的与自然个体无关的数据类型如工业数据等[20],个人信息与非个人信息的分类定性,其核心争议点在于个人信息向非个人信息的转化界限及其技术要求。这是因为,随着信息技术的不断发展,“可被识别”的标准是动态变化的,同一个数据集,基于时间、技术环境、技术人员的不同,可能会产生不同的识别结果[21],由此会导致个人信息与非个人信息之间的界分可能是不确定的。
(二)数据分级规范的结果导向思路:风险预防
数据分级,是对分类后的数据按照一定价值识别标准划分保护级别,并以此为依据确立适当的保护策略与规则,从而实现数据的完整性、保密性和可用性。数据分级标准主要依据数据承载的“利益特征”,数据保护与使用中所涉的相关主体权益即数据分级的法益基础。一般来说,目前主要从数据安全、隐私保护和合规要求等角度对数据进行分级。[22]
⒈数据分级规范的法益保护基础
目前,我国在一系列技术标准与行业规范中已形成了较为完整的数据分级制度,但在立法层面上尚未完整落实。2019年5月13日,《网络安全等级保护基本要求》正式发布,在标准名称、保护对象、章节结构、控制措施等规定内容上做了重要修改,由此标志着我国网络安全等级保护工作进入了“2.0时代”。2020年11月1日实施的国家标准《网络安全等级保护定级指南》则进一步将数据资源作为新的规制对象,根据该指南的相关规定,判断等级保护对象保护级别主要考量两个要素:受侵害的客体以及对客体的侵害程度,其中客体主要是指:①公民、法人和其他组织的合法权益;②社会秩序、公共利益;③国家安全。基于《网络安全等级保护定级指南》的分级考量思路,并结合《数据安全法》第21条的规定,数据保护级别的主要定性考量遵循“风险预防”思路,即发生侵害后对各方主体的不同性质利益可能造成的现实损害和整体危害。因此,数据分级规范的权益保护基础涵盖公民、法人和其他组织的合法权益、社会秩序、公共利益与国家安全等。[23]
国家标准下的数据分级体系是整体化的,但由于数据分级标准下法益属性与归属主体的性质差异,在法律规制中应归属不同部门法领域,法律实务工作中相对应的执法与司法工作路径亦不同。由此,一方面,数据分级标准衍生的权益划分思路要体现在立法规制中;另一方面,法律体系对于不同的数据权益,应厘定各自的规制领域、规则适用、保护模式等。在法律规范层面,数据分级规范设置与制度安排应该重点围绕各级别数据的类型、权益归属、主体责任等方面展开。根据《网络安全等级保护定级指南》第4.2条规定,对客体的侵害程度则主要通过侵害保护对象的危害方式、危害后果和危害程度做出判断。等级保护对象受到侵害后对客体造成的损害程度有三级:①造成一般损害;②造成严重损害;③造成特别严重损害。[24]上述权益划分与保护级别需要立法保障其最终落实,因此在数据保护的立法工作中,鉴于调整对象、调整方式与调整目标的不同,应将上述多主体的多元权益划分到不同规制领域中。例如,民商法领域主要调整公民、法人等私主体的数据权益问题,公法领域诸如刑法、行政法则主要负责社会与国家的公共数据权益保护。由此,整体立法体系下实现部门法调整范畴的分工,最终各部门法衔接构建协同共治的数据法治体系。
⒉数据分级规范的划分标准模糊与落实难题
当前,规范层面较多关于数据分类分级定性的原则和规定,但具体的划分标准尚不清晰,难以切实指导企业的合规实践。出于立法层级的考量,《网络安全法》《数据安全法》等高层级法律只对数据分类分级问题做了宏观的原则性规定,部门规章一般会细化法律的规定,同时结合所主管行业的特点提出落实策略,但其适用领域依然较为宽泛,也难以直接指导企业的合规工作。相对而言,国家标准应当尽可能具体且明确,但目前仍存在一定的差距。以2021年12月全国信安标委发布的《网络安全标准实践指南——网络数据分类分级指引》为例,虽然该指南对数据遭到篡改、破坏后所造成的不同危害程度做了列表说明,但说明语言为“严重影响”“轻微影响”“重大负面影响”“轻微受损”等模糊的定性描述,难以现实指导企业的适用参照。在电子通信行业中,2020年12月9日实施的行业标准《基础电信企业数据分类分级办法》,其标准的明确性和可执行性显著提高,但目前尚未覆盖到其他关键行业领域和重点类型企业。因此,明确分级标准是目前数据分级规范建设的重要工作内容。
常见的数据分级标准主要有:①基于数据使用行为的危害性进行定级,例如数据泄露或破坏造成的影响范围、影响对象、影响程度等;②根据数据自身的关键性程度,即相对于相关业务的作用大小;③根据数据所适用的司法管辖区,基于法律合规的要求进行划分,不同司法管辖区对数据在收集、传输、保留或处理环节的规范要求存在差异,尤其针对公民个人信息跨境流动、涉密数据保护、开放共享等反应监管特色的方面,因此应遵循国内外相关规范标准进行分级管理。[25]因此,在不同分级纬度与法域规制场景下,鉴于数据产业场景的快速变动性,数据的分级管理的工作标准应及时适应实时的场景要求。
一般来说,根据数据侵害的可能损害程度与影响大小确定数据的分级,然而对损害结果与影响规模进行定量评价则是个难题,目前尚无计算模型和技术操作支撑对分级标准的计算。例如,对自然人造成的损害应包括人格权或财产损失,那么该如何量化各级标准下的损失或影响?实践中,量化描述的缺失无法为数据分级工作提供明确统一的标准,导致分级操作及保护工作难以现实开展。该定量难题反应在规范建设工作中就是法律法规、行业规范设计上的不确定性与规则适用的茫然,亟待有效的计算标准与技术操作为规范适用提供量化参照,以构建完整有效的数据隐私保护与数据安全风险评估制度。此外,值得注意的是,数据自身与持有数据的平台,在分级上各自存在独立性。鉴于平台之间在重要性、影响力、业务类型上差异较大,根据《关键信息基础设施安全保护条例》的相关规定,某些运营和管理关系到国家安全、国计民生、公共利益的网络设施和信息系统属于关键信息基础设施运营者(CIIO),享有被重点保护的法律地位并履行高标准的安全保护义务。法治建设需要对数据资源与控制平台各自进行定级,数据资源可以独立进行定级,但定级要素要综合考量数据资源本身及其控制主体。由此,具体平台的用户数据库应作为单独的定级对象,平台也应基于规模大小、营业范围、社会影响等因素进行另外定级。不同平台可能具有不同的法人性质与身份,其数据安全责任也有所差异。出于该考虑,一方面,平台法人与平台数据的定级考量不同,应分别做出判断;另一方面,结合两者各自的级别,确定整体的保护级别。
三、数据分类与分级的规范定位及保护侧重
从《民法典》《个人信息保护法》《数据安全法》《网络数据安全管理条例》《数据出境安全评估办法》的规范定位和规制思路来看,我国规范体系已将网络安全分为个人信息保护与数据安全保护两条规制线路,在权益保护层面上也可理解为是信息权利与信息安全的区分。[26]在体系关系上,网络安全是总纲领和总路线,个人信息主要关乎民生、产业等私主体活动领域,数据安全则主要涉及国家安全、公共制度与社会经济发展领域。尽管两者存在一定的交叉,但规范方向与规制思路仍然为互相独立的二元轨道。由此,基于调整对象、调整方法与调整目标,数据的分类与分级为数据主体间的法律关系提供了核心参照,进而决定数据治理规范的整体体系构建。
(一)分类与分级共同的规范目标:安全保障
首先,从概念定义上来区分,数据分类是根据数据的属性或特征,按照一定的原则和方法进行区分和归类,以便于管理和使用数据。[27]而数据分级是基于数据的重要程度和发生危害时的影响程度,区分出适用不同保护等级的保护对象,以便按照不同等级进行保护和监管。
其次,在规范层面上区分,最先颁布的《网络安全法》只提出了分类,第21条第4款规定要采取数据分类、重要数据备份和加密等措施,但未提出分级。之后颁布的《数据安全法》第二十一条及其配套性落实文件《网络数据安全管理条例(征求意见稿)》第五条完整提出了分类且分级的规制思路。最新颁布的《个人信息保护法》第51条第2款规定要对个人信息实行分类管理,仅提了分类未提及分级。可以看出,分类又分级的规制思路并非立法进程的“前沿认知”,数据的保护或治理是否适用分类或分级,或者两者均适用,仅是出于特定规范文件的利益保护目标与规范适用场景。
最后,从分类和分级各自的概念定义出发,并结合具体规范文件的制定目的,从保障数据安全角度来说,数据分类本质上是为了数据的保护分级,就这一层面来说,国际数据管理协会(Data Management International, DAMA)发布的《DAMA数据管理知识体系指南》(Data Management Body of Knowledge, DMBOK)也表达了“分级实质是一种分类方式”的共识看法。[28]
总结而言,数据的分级制度主要针对适用于安全保障目标场景中以及对应的监管保护标准,实则为安全监管要求下的一种数据分类。在安全保障目标下分类和分级并非并列关系,实则是从属关系。因此,数据分类与数据分级规范体系均担负保障数据安全的制度目标。可以看到,《数据安全法》适用于所有类型所有级别的数据,必然涵盖个人信息。比较来说,《个人信息保护法》则重点围绕个人信息在保存、使用、流转过程中提出数据处理者的保护要求,以及自然人相关权益的保护规则,但其核心规范目标依然是以安全保护为导向。
(二)分类规范对于数据权益的侧重保护:价值开发
对于数据分类,当超出安全保障目的审视时,更多是从行业划分角度而论,例如不同行业类型的数据在经济价值开发、产业应用、流通共享中的使用规则与权益划分。相较于数据单一的分级标准,数据分类标准非常多元,分类标准不必然与安全监管相关。例如,从数据开发利用和权益分配的角度,可以分为原始数据和增值数据;从行业应用与管理角度,可以按行业进行分类,包括交通、能源、电信、金融等。从数据来源性质与应用目的角度,可以分为公共数据与非公共数据;从个体相关性角度,可以分为个人数据与非个人数据,等等。从该思路继续延伸,下一步数据分类规范体系的待完善之处在于数据增值保护对于数据分类治理的定位。目前,各界对数据的分类探讨主要立足于数据安全监管目标。前文提到,数据安全监管视角下的数据分类没有必要从行业角度制定重要数据的标准。然而,除了安全保障角度,数据分类也应从数据资源利用、市场利益分配、数据权益归属角度进行划分。
从生产要素推动市场发展的角度,当前产业界数据的二次处理与使用已是常态,数据不断被开发与应用,数据的动态场景化应用、再利用与二次增值,是数据经济价值的核心内容。[29]在原始数据的基础上,经数据控制者处理分析后产生了增值数据,其表现形式可为数据产品或服务。增值后的数据产品或服务,超出了原始数据的保护范畴。对于衍生数据,目前关于归属主体的争论,主要有三类观点:①衍生数据的所有权归于个人;②平台在储存、收集、二次开发、分析融合用户原始数据时,投入了技术、人力和资产等运营成本,因此应享有对衍生数据的收益权;③网络参与数据具有公共性,应作为一种公共资源纳入社会公共治理范畴。[30]从当前司法裁判看,随着产业发展,司法从关注保护用户权利转向关注保护企业数据权利,平台企业应享有对衍生数据的合法权益。例如,在北京微梦创科网络技术有限公司诉湖南蚁坊软件股份有限公司不正当竞争一案中,法院认为,平台所主张的权益,除其对数据本身所享有的权益之外,还包括平台运营、维护数据安全而产生的成本控制,以及其基于所享有权益的数据进行衍生性利用或开发所获的经营利益等(北京知识产权法院:民事判决书(2019)京73民终3789号)。响应该司法规则,在数据资产管理的场景下,数据分类标准更应考量其增值保护价值,该分类体系决定了数据二次处理后的增值利益归属。[31]2022年5月18日,温州市瓯海区人民法院数据资源法庭正式揭牌设立,这是国内设立的首个以受理数据资源案件为核心业务的专业法庭,数据资源法庭是加强增值数据司法保护的有益尝试。随着数据被国家政策确立作为一种新型的生产要素,加快数据要素市场化是迫在眉睫的议题。由此,如何加快培育数据要素市场,以推进政府数据开放共享、提升社会数据资源价值、加强数据资源的价值释放,也应作为数据分类的一个考量因素和分类角度。
(三)数据分类与分级的规范侧重设置
整体上,数据分类分级规范的主要考量因素大致从两个层面判断:①对经济社会发展的作用与影响;②权益侵害的可能损害程度与发生可能性。一般而言,前者为数据分类规范的重点,后者为数据分级规范的重点。基于此论述,以下具体阐释数据分类与分级各自的规范侧重设置。2021年9月30日,全国信息安全标准化技术委员会秘书处发布的《网络安全标准实践指南——数据分类分级指引(征求意见稿)》从数据主体角度将数据分为公共数据、个人信息、法人数据三个类别。根据《民法典》《数据安全法》《个人信息保护法》《数据出境安全评估办法》的相关规定和立法精神,“国家重要数据”“国家核心数据”“个人隐私信息”“企业原始数据”等官方或行业说法,也预示了数据分类与控制或归属主体息息相关,各主体的数据权益,是指数据保存与处理场景下数据所负载的个体权益或者企业的开发、利用与收益等权益。理论上,数据可分类为个人信息、重要数据、安全数据、业务数据、公共数据等。数据分类规范侧重于数据持有主体身份及其数据自身的内容属性。不同性质的主体对数据的使用诉求以及对应的管理义务、保护责任存在差异,对数据的分类与关涉的主体密不可分,应当以主体相关性作为构建数据分类规范体系的基本框架。数据主体一般可分为个人、法人、国家、其他组织等,针对规范对象开展数据分类治理工作,在数据分类规范设置上,主要针对数据持有方及其自身职能属性与数据处理目的,通过分类规范更便于通过积极作为实现其处理目标。
数据分级规范设置,一般针对于保护数据来源方,预防其相关的权益因为数据安全事件而导致损害,旨在保护数据安全、数据人身权益、数据财产权益等。《网络数据安全管理条例(征求意见稿)》第九条第一次对数据处理者提出了网络安全等级保护的要求,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求。关于数据分级规范的调整领域与法益保护范围,大致可分为以下四类:一是调整国家安全领域,主要指向保护国家主权、安全与发展利益。当数据处理行为可能危害到“国家在政治、经济、国防、外交等领域的安全和利益”,则涉及维护国家层面的数据安全。二是调整社会管理领域,主要指向保护公共安全、公共利益和公共秩序。数据处理行为可能危害到公共性利益,例如企业公开发布统计信息可能会影响行政管理与经济秩序等。企业的数据及数据处理行为亦在《数据安全法》的规制范畴内,那么企业的数据与重要数据应在概念上建立衔接,进而指导企业数据的保存与使用遵循数据的等级保护要求。三是调整经济社会领域,主要指向保护企业权益、产业利益和市场竞争秩序。企业或其他组织的专有数据(proprietary data),是指私人出资开发的属商业秘密或具有特权或机密的商业、金融信息的数据[32],即企业或组织所持有的可能影响其市场竞争优势的数据。对于企业、事业单位等数据控制者,第三方的数据处理行为可能对其数据相关的权益造成影响和损失,具体如数据库安全、知识产权、商业秘密、企业名誉、市场竞争性利益等合法权益。对于企业数据的分级治理,应重点调整企业间的市场利益与市场竞争秩序,规范调整范畴面向社会经济领域。四是调整民生领域,主要指向保护自然人的个体权益,如人身权、财产权等。在明确划分主要法益保护级别的基础上,针对数据分级粒度的问题,应根据实践工作进行评估确定。
四、数据分类分级规范体系的效力协同
关于具体的协同共治工作,在对数据进行分类的基础上考虑数据分级因素,最终确定数据安全视域下不同数据的具体保护策略。由此,数据分类分级规范体系实现“横向到边,纵向到底”的治理协同机制,以此为制定数据分类分级目录、技术保护标准和数据控制者的管理方案提供明确的统一指引。其中,重要数据与个人信息是两个主要且关键的数据分类,有其各自的保护目标与分级角度,是规范建设工作面向的两个相对独立的数据治理规范轨道,亦是企业、国家机关等组织的两个重要的合规体系。
(一)个人信息与重要数据的动态关系定位
个人信息与重要数据的关系一直被持续关注,在当前分类规范中个人信息与重要数据的关系是不确定的,这是因为,在不同规范目标的法律文件中,个人信息与重要数据的法益保护侧重与规制定位不同。例如,《网络安全法》第三十七条并列提及重要数据与个人信息时,是出于保障数据跨境场景下的国家安全利益等目的,此处重要数据与个人信息是分类标准,这与《数据出境安全评估办法(征求意见稿)》第四条规定反映出来的分类定性思路一致。在特定应用或监管场景下的“分而论之”不代表两者的重要性程度区分,而是基于同样的法益保护基础时的特定针对对象,均纳入数据出境监管范畴中。另外,《数据安全法》《网络数据安全管理条例(征求意见稿)》提及重要数据时,同时并列提出了核心数据与一般数据,该描述的本质是分级的意味。这是因为,在重要性与影响程度上,核心数据大于重要数据、重要数据大于一般数据。相应地,各级别数据的保护等级不同。[33]《数据安全法》将个人信息纳入重要数据和核心数据目录以重点保护,因此个人信息保护合规也要遵守数据安全管理的有关规定。[34]此处,个人信息与重要数据仍属于在安全监管标准下的不同分类。当然,《汽车数据安全管理若干规定(试行)》第三条明确规定“涉及个人信息主体超过10万人的个人信息”属于重要数据,与此类似,《网络数据安全管理条例(征求意见稿)》第26条的规定表明个人信息与重要数据存在保护交集,即如果处理一百万以上个人信息,数据处理者除了要遵守个人信息保护规则,还应当遵守本条例第四章对重要数据的处理者作出的规定。上述同等保护思路尽管在描述上将符合一定条件的个人信息一同归类为重要数据,但仍属该保护思路的范畴。
数据安全与个人信息保护规范在适用对象、保护基础、治理目标上存在本质区分,两者实则隶属不同规范轨道,厘清数据与个人信息之间的关系将明确数据分类规范(并进一步分级)的不同导向。数据安全治理目标主要为预防泄露,个人信息保护目标主要为预防过度收集、滥用、非法交易等风险。[35]个人信息与(非个人)数据的定性区分是个人信息与重要数据二元规范体系的界分前提。数据是所有具有价值的信息,包括个人信息、工业数据、统计数据等,个人信息则是关涉到自然人个体的一类特殊数据,核心特征表现为与自然人权益的相关性。个人信息保护与数据安全制度下数据分级的衡量纬度不同,对于个人信息,在分级保护时评估可能遭受风险的主体权益包括国家安全、公共利益、个体利益等。而对于(非个人)数据,则只需考虑国家安全与公共利益,不必关照个体权益。对此,首先是要明确界分与自然主体相关的个人信息与其他数据。个人信息本质特征在于描述或记录自然人的生活内容,即来源于个人活动,(与个人无关的)数据则是除个人信息之外的信息记录,较为典型的是工业数据,是指智能工业设备设施在生产制造过程中产生的数据。两类数据对比来看,个人信息与(与个人无关的)数据的本质区分在于信息与自然人个体的相关性,而非以往认为的识别性,由此两者界分的难点地带主要在于非识别性个人信息。现实中,个人信息与非识别性个人信息的区分操作较为困难。这是因为,对于去识别化的个人信息,“不可再被识别”存在诸多不确定性,不同主体之间的流转以及不同技术的处理,可否再识别存在事实上的不可控,例如接收方可能掌握足够的其他信息支撑对接收数据进行间接识别。反映在数据分类分级的规范建设中,针对不同身份主体的不同性质的数据权益,基于现有的数据安全与个人信息保护的双层规范体系,制度完善方向应在法律顶层设计下协调不同规范间的交叉与匹配。[36]
(二)明确重要数据的识别特征与行业标准的适用方式
目前,诸多法律法规和标准规范已经对重要数据的定性与分类标准做了明确界定。[37]2017年,国家标准《数据出境安全评估指南(征求意见稿)》首次提出重要数据的完整定义,并对重要数据主要有八种特征描述:与经济运行相关、与人口和健康相关、与自然资源及环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关以及其他。在掌握重要特征的前提下,再对数据进行重要性归类。对重要数据进行识别是网络安全审查工作的重要内容,重要数据的识别问题是当前数据分类规范工作的关键环节与当务之急。对此,一方面,重要数据的识别标准是数据分类规范的重要参照系;另一方面,各行业、各地方在数据分类工作中需统一重要数据的描述格式,规范层面亦应统一重要数据目录的具体要求,例如,《基础电信企业重要数据识别指南》规定了特定类型企业的重要数据标准,由此对电信行业提供了明确的规范指导。梳理《数据安全法》的整体规制思路,对重要数据的定性主要是从国家安全、经济运行、社会稳定、公共健康和安全等角度进行判断,那么承载国家利益与公共职能之外的数据则不属于重要数据范畴。
2021年9月,全国信息安全标准化技术委员会发布的国家标准《重要数据识别指南(征求意见稿)》确立了五个识别原则:①从国家安全角度定义重要数据;②促进数据的安全有序流动;③衔接地方既有的规定;④综合考虑风险界定重要数据;⑤根据数据具体情况、定量与定性相结合。重要数据不必然是保密性的,核心考量是被破坏、泄露后的社会危害性。《重要数据识别指南(征求意见稿)》没有沿用2017年版本中按照行业分类的方式,对此,相关专家表示,重要数据的分类主要立足于影响国家安全的角度,并不针对具体行业,因此没有必要从交通、能源、电信、金融等行业角度制定重要数据的标准。[38]即便如此,重要数据的识别与保护实践也需经行业的实践与市场的检验,而法治规范层面的讨论侧重理念上的价值导向,旨在为行业规范、应用实践提供指导思路。在行业实践中,数据处理者应当认识到“重要数据”并不等同于“重要的数据”,符合数据处理者立场的“重要性”与规范层面要求的“重要性”并不尽一致,重要数据的定性核心是从国家安全、社会稳定、公共利益等宏观角度做出判断,而对于数据处理者重要或敏感的数据,不一定涉及国家或公共性利益。此外,认定重要数据也需结合其关联主体来看,例如,如果是与关键信息基础设施运营者有关的信息,其运营数据在某些情况下也可能被认定为重要数据。最后,需要注意的是,数据处理者在识别重要数据时,需要结合行业要求、重要程度、处理数量三个因素,避免在行业实践中重要数据被不当地扩大化,对企业合规造成过大压力。同时,企业应参照数据的重要性、影响业务的优先级,以及被侵害后的后果严重程度等因素对数据进行内部定级,以便内部的管理分工和保护。[39]在现实执行上,应对不同行业和地区主管部门制定的重要数据目录做统筹协调,并对在具体执法活动中出现的标准不统一问题进行指导。
(三)深化个人信息分级的保护路径
一方面,个人信息在产业经济与公共管理领域中牵扯的权益与主体极为广泛与多元;另一方面,个人信息与个体的人身或财产权益紧密相关。因此,个人信息的多元利益属性和多方权属主体使得个人信息的分级立法规制较为复杂。由此,制度层面需要考虑多方利益诉求的冲突与公民权利的保护。此外,考虑到公民社会生活的复杂性与数字产业服务的持续动态发展,与之相关的个人数据法律问题则更为纷繁复杂。因此,对于数据分级的规则构建,厘清个人信息与信息主体在分级体系下的保护方案则是前提性任务。个人信息保护制度的核心目的在于对信息主体权益的保护,因此只有当某项信息能够对具体个人的利益产生实质影响时,方才具有受法律保护的价值和必要,这决定了身份的可识别性在个人信息法律概念中的基础性地位。[40]在目前的规范体系下,识别特性被作为个人信息定性的核心要件,其目的在于保护被确定身份的特定个体的信息不被侵害与行使相应的权益。然而,“个人信息”不同于“个人的信息”,前者是指能够识别出特定自然人身份的信息,而后者则泛指一切与自然人相关的信息。前文阐释了个人信息与(非个人)数据的区分关键在于非识别性个人信息(仅具相关性),识别性个人信息与非识别性个人信息共同构成了广义上的个人信息。对于自然人相关信息的等级保护,当前行业实践中存在的分级标准体系参见表1。[4]
结合该实践标准,从学理上来说,个人信息保护等级可划分为如下几个级别:一级主要指向个人隐私信息、生物识别信息,处理时的法益保护基础要出于自身利益或公共利益;二级主要指向隐私信息、生物识别信息之外的敏感信息,包括财产信息、健康生理信息、身份信息、精准定位信息、行踪轨迹信息等;三级主要指向数字痕迹信息,如网页浏览记录、消费记录等;四级主要指向与个体相关的物联网信息,例如智能穿戴设备收集的身体体征信息数据、系统错误报告、用户改善计划等;五级主要指向去识别性的个人信息。对于上述不同级别的个人信息,按照信息安全法益的重要程度选择不同的保护模式。[41]根据《民法典》《个人信息保护法》《个人信息告知同意指南》《个人信息安全规范》等相关规范性文件的规定,对于一级与二级保护要求,数据控制者收集该类数据必须获得数据主体的明示同意,同时,数据控制者要遵循合法收集、目的限制、最小够用等原则,数据主体享有查询、更正、删除、撤回同意等权利。对于三级、四级、五级的保护要求则相对宽松一些,在符合个人信息保护的一般性规定之外,针对各级别指向的分类信息,按照行业规范标准制定适合其特定使用场景的个性化保护方案。例如,在各行业的实际操作中,用户数据项的组成非常复杂,由于不同数据项的安全等级不同,各行业应设计相应的规则模型,进而在应用的过程中对数据集进行分级。[42]
(四)数据分类分级规范的协同机制
规范层面应当建立相对统一的数据分类与分级标准。数据的分类与分级各自均具有自身的交叉性,按照不同的标准可将数据划分为不同的类别与级别,且分类与分级两者之间也存在交叉,进而对同一数据存在不同的规范管理制度[43],可能导致不同的领域、行业、执行主体等在具体适用中混乱与不协调。对于数据治理工作,应建立由政府主导、发动多方参与的数据分类分级制度,国家不只需要在国家安全监管目标下制定重要数据的具体目录,也需要提供数据分类分级的配套落实机制。[44]2021年10月19日,商务部等24部门发布的《“十四五”服务贸易发展规划》提出,要在有条件的地区探索跨境数据流动分级分类监管,开展数据跨境传输安全管理试点。[45]不止在数据流动场景中,数据处理者对数据的日常维护与处理亦需参照数据分类分级体系,其合规依据则需要规范化的指引。在当前规范体系(国家法律、部门规章、标准规范),尤其是法律体系下,掌握数据的主体应履行数据安全保护义务,在网络安全等级保护的制度基础上,对数据进行等级保护亦是掌握数据主体的法定义务。因此,规范层面应为数据的分类分级治理工作提供明确具体的责任保障机制,数据分类分级的规范治理则需要多个部门法的衔接适用与协同共治。
鉴于数据权益的多元性,在法律规范体系建设中应主要在民法、行政法、刑法、竞争法等多个部门法规中构建数据分类分级的法律责任体系。因此,下一步规范建设工作需在数据安全配套规范文件中确立基本的数据分类分级规则。我国数据安全政策法规及其实施细则正处于完善中,内部的协同机制应同步响应。在目前我国的数据安全治理工作上,尽管立法层面已经出台了诸多数据安全规范性文件,但数据执法稍显乏力,大数据治理问题是新出现的社会管理问题,必然需经历逐渐完善监管手段、提升监管能力的过程,目前数据治理已经提出了“让制度长出牙齿”的治理理念,也是在推动数据应用走向规范发展的有序轨道,通过合理分配各部门调整范畴的分工、系统构建各监管部门衔接与协同共治体系,逐步实现“有法可依”“违规必究”的数据规范治理生态。相关主管部门应当根据新技术新业态的自身特点,打破传统行业和地域边界建立联动机制,共同制定与新技术新业态应用场景相适应的数据分级分类规则。
五、结语
国家法律对数据的分类分级做出原则性规定,接下来,部门规章、行政规定、技术标准及行业规范等,应结合所主管行业的现实需求,确定其数据分类或分级的工作任务,进而在顶层立法设计下制订更细化的分类分级规范。总结当前数据分类分级保护的规范现状与操作实践,基于国家安全的数据分类与基于风险的数据分级体系往往存在重叠并相互影响。围绕数据属性、行业性质、利益保护等多角度多纬度的分类分级规范思路针对的功能定位亦不同,因此很难有单一的标准和模型实现对数据的分类分级治理,目前我国规范体系主要从安全监管角度提出了对数据分类分级的规制思路,在安全保护目标之外,也可基于具体治理目标实施其他纬度的分类分级。出于发展数字产业的考量,分类分级制度如何更便于主体对数据的使用,则可按照数据权属、处理目的、处理方式等厘定分类分级标准。在现在与将来的规范体系中,尤其是法治建设中,数据的分类与分级从不同纬度廓清数据安全的责任和边界、数据权益的归属与划分,明确各方主体关于数据的权利和义务,进而构建政府部门、企事业单位、社会公众对于数据利益的共享机制。在此基础上,数据分类分级治理工作在规范体系中应按照一定逻辑形成系统性的协同共治机制,以此指导数据规范治理在实务工作中的安排与落实。
参考文献:
(略)
作者简介:
商希雪(1987—),女,博士,中国政法大学刑事司法学院副教授,研究方向:数字治理、数字经济与法治、个人信息保护。
韩海庭(1993—),男,哥本哈根大学区块链与电子市场研究中心工程师,研究方向:数字技术与政策、区块链与电子市场、数字经济与数字治理、法经济学和协议经济学。
基金项目:国家社会科学基金后期资助项目“个人信息保护与数据治理研究”(项目编号:20FFXB068);中国政法大学科研创新年度青年项目(项目编号:20ZFQ82007);中国政法大学青年教师学术创新团队支持计划(项目编号:20CXTD03)。
声明:本文来自电子政务杂志,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。