数据安全框架下重要数据和数据分类分级制度设计的相关考虑

文| 刘耀华 信通院互联网法律研究中心高级研究员

【关键词】重要数据 核心数据 数据安全

从《网络安全法》到《数据安全法》的出台，重要数据保护均是其中的一项重要制度，是实现网络安全和数据安全重点保护的关键环节。当前，相关配套规定不断出台，对于重要数据保护制度的设计各有千秋，不同人士对于这一问题的认识也意见不一，重要数据保护制度需要进一步明确和完善，以适应实践发展需要，并应对当前国际形势。

一、重要数据提出的相关背景

重要数据保护制度的明确是一个阶段性的成绩。有关部门通过三个阶段相关工作，阶梯性的实现了重要数据制度的规划和完善，对于我国数据分类分级整体工作的推进和落实具有重大现实意义。

（一）第一阶段为重要数据的明确提出阶段

2015年8月，国务院印发《促进大数据发展行动纲要》，明确提出数据是国家战略性基础资源，指出了数据对于经济发展、国家竞争优势、政府治理能力的重要作用。2016年11月，《网络安全法》出台即初步提出了“重要数据”的概念，其中在“网络安全等级保护”要求中明确：网络运营者按照网络安全等级保护的要求，应当采取数据分类、重要数据备份和加密等措施履行网络安全等级保护义务；另外在数据跨境流动管理部分明确了关键信息基础设施运营者的重要数据应当履行的跨境传输安全评估义务。《网络安全法》在这一阶段深刻落实了党中央、国务院对于数据的重点关切，通过首次提出“重要数据”的概念，明确了大数据在规划发展应用方面的底线思维。

（二）第二阶段为重要数据制度的初步确立阶段

从国际来看，全球主要国家之间争夺数据资源的动向频频。2018年，美国《云法案》和欧盟GDPR的生效正式将这种争夺战推向了更加显性化的态势。从国内来看，无论是跨境数据流动监管要求的落实，还是网络安全等级保护义务的履行，“重要数据”的进一步明确都是其中的关键一环，也是各类企业在实践中非常关注的一个具体性问题。我国需要在数据领域对国际形势和国内情况及时做出应对。为了进一步落实《网络安全法》精神，也为了契合数据安全问题逐渐聚焦和突出的整体大环境大趋势，我国在2021年制定出台了专门的《数据安全法》，首次对重要数据的制度做出全面完善的阐述。根据《数据安全法》的要求，重要数据的制度以目录的形式和三项强化性要求进行具体落实和严格保护。目录形式指的是国家数据安全工作协调机制统筹协调制定重要数据目录，同时各地区、各部门要制定重要数据具体目录。三项强化性要求指的是，重要数据处理者除了要履行《数据安全法》中规定的所有一般数据处理者都要履行的要求外，还要履行明确数据安全负责人和管理机构、定期开展风险评估、出境安全管理三项重点义务。《数据安全法》较为系统性地明确了重要数据制度，根据规定，主要倾向于自上而下的目录型形式，以及义务加强型的严格保护要求。但是，在具体落实制度方面的挑战也较为明显，即“重要数据”究竟是指哪些数据，《数据安全法》中并没有给出非常明确的答案。

（三）第三阶段为重要数据制度的具体落实阶段

《数据安全法》出台之后，为了具体落实数据安全相关要求，相关行政法规、部门规章的制定工作不断加速推动，有关部门公布了多个细化性的立法规定，其中对“重要数据”的制度做出了进一步的细化和完善。如《网络数据安全管理条例（征求意见稿）》（以下称《条例（征求意见稿）》）中明确了“重要数据”的具体内涵、范围、保护要求，将重要数据制度落到了实处；《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》（以下称《工信领域办法（征求意见稿）》）中明确了重要数据的判定标准以及形成工业和信息化领域重要数据具体目录的程序和要求，较为完善地细化了工信领域的重要数据体系。

二、面临的现实问题和挑战

“重要数据”制度趋于明确，但是目前，从具体实践中落实重要数据制度要求的合理性、合法性、可操作性来看，还存在以下问题需要进一步研究和讨论。

（一）重要数据是级别数据还是类别数据概念？

重要数据到底应当作为级别数据还是类别数据，或者跟二者均毫不相关，仅是“另起一行”的单独制度而已，当前立法并未明确，《数据安全法》中仅规定重要数据的体现形式为“目录”，但并未就“目录”制定的标准进行界定，不同看法随之产生。一方面，一些立法中倾向于将“重要数据”纳入级别数据的范畴。如《工信领域办法（征求意见稿）》中明确规定工业和信息化部将工业和电信数据分为一般数据、重要数据和核心数据三级，工业和电信数据处理者也应当建立健全数据分类分级管理制度并报送重要数据和核心数据目录；《条例（征求意见稿）》规定国家将数据分为一般数据、重要数据和核心数据，不同级别数据采取不同保护措施。另一方面，一些立法中倾向于将重要数据作为类别数据，如《汽车数据安全管理若干规定（试行）》（以下称《汽车数据规定》）虽然并没有说重要数据是级别还是类别概念，但明确规定重要数据主要包括六类具体数据，一些学者也认为重要数据为类别数据[1]。

从具体实施的角度来看，重要数据无论作为级别数据概念还是类别数据概念均无不可。

重要数据作为级别数据，可以同时巧妙地结合落实《数据安全法》规定的分类分级和重要数据制度，但同时存在以下问题有待于进一步研究和明确。一是企业是否也应当按照一般数据、重要数据、核心数据的标准落实分类分级制度。严格来说，《工信领域办法（征求意见稿）》和《条例（征求意见稿）》的规定并没有明确要求企业也要严格按照这三项标准进行数据分级，而是规定的工信部、国家应当对数据进行如此级别划分，企业是否具有此项数据分级的强制性义务可以进一步做出明确。二是如果企业也需要按照这一标准进行数据分级的话，重要数据、核心数据是否是每个企业都需要具有的一级数据。具体到实践落实的层面来看，为了切实保障企业履行合规义务，极有可能直接将一般数据、重要数据、核心数据的数据分级标准作为企业的一项强制性义务，这样的话，是否每个企业都需要具有重要数据和核心数据呢？这也是需要进一步明确的问题。三是如果企业不是必须按照这一标准进行数据分级，那么企业进行数据分类分级的标准可能会留有空白，《数据安全法》中明确的国家需要建立的分类分级制度则有待于进一步明确。

重要数据作为类别数据也具有优势。一方面，严格来说，根据《数据安全法》第二十一条的规定，数据分类分级保护制度和重要数据目录制度是两项独立又相互联系的制度，数据分类分级在先，重要数据目录制定在后，《数据安全法》中并没有把重要数据作为数据分类分级中的一级。另一方面，重要数据目录应当是明确的目录形式，所谓目录，当为详细列明具体的数据类别，当前来看，《汽车数据规定》中规定的重要数据更加符合所谓的“目录”。不过，重要数据作为类别数据，也存在一些问题需要关注，比如国家层面的目录和地方层面的目录之间的关系如何掌握，各个行业、领域、地方之间的目录如何协调。

（二）重要数据的范围界定过宽是否合适？

《条例（征求意见稿）》第七十三条通过“概括+列举+兜底”的方式在一定程度上明确了“重要数据”的范围，充分体现范围广、种类多等全面性特点。一是，涉及到工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等多个行业和领域；二是，涉及到政务数据、情报数据、工作秘密、生产运行数据、系统组件数据、供应链数据等多种数据类型；三是，兜底性条款列举了除网络安全外，影响“总体国家安全观”包括的所有安全领域的数据。全面性的特征，外加企业如果还应当按照一般数据、重要数据、核心数据的标准进行数据分级的话，那么重要数据的范围可能将会比较宽泛，成为一项普遍存在的数据。

在当前数据资源全球博弈激烈的国际形势下，强化对于数据资源，特别是重要数据资源的保护是非常具有必要性的，也是维护我国数据安全、网络安全、国家安全的必然要求。但我们在界定重要数据的同时，可能还应当考虑到数字经济全球化的发展，考虑到数据对于企业开拓全球性业务的关键作用。重要数据的范围如果界定过宽，针对重要数据的严格保护可能会影响到数据在产业发展过程中的应用，比较凸显的即为数据跨境流动的限制。重要数据的跨境管理对于满足企业发展业务的时效性和契合国际协议要求来说还存在部分问题需要进一步思考。一方面，根据2021年10月公布的《数据出境安全评估办法（征求意见稿）》和《条例（征求意见稿）》的规定，所有重要数据的出境都是需要满足安全评估的要求的，相较于标准合同、行业认证的方式来说，由于人力、物力、财力所限，进行安全评估所需要的程序要求更高，时间耗费可能更长，可能会给企业合规带来一定时间成本。那么，需要进行安全评估的重要数据越多，对企业乃至整个产业的发展带来的影响也将更大，对于监管部门来说也是一个不小的负担。另一方面，当前，我国提出加入全面进步协定跨太平洋伙伴关系（CPTPP）和数字经济伙伴关系协议 (DEPA)的申请,数据跨境流动问题将是加入这两个协议及其他类似国际协议的关键议题。两个协议中均要求成员国对于跨境数据流动管理应当符合“合法公共政策目标”，并满足合理性、非歧视性、必要性等要求。国际上对于论证成员国管理举措的“必要性”要求较高，如果需要进行安全评估的重要数据的范围过宽的话，很难论证安全评估这一举措的必要性，对我国加入协议带来一定困难。

三、重要数据制度设计的下一步建议

综上，为了解决目录制定、范围确定等问题，重要数据的制度设计可以做出如下考虑：

一是从分类的思路对重要数据做出明确似乎更加有利于实现《数据安全法》提出的安全与发展兼顾的精神。根据上述分析，强制要求企业按照一般数据、重要数据、核心数据的标准进行数据分级可能还是稍显抽象，而分类的思路更加有利于非常明确具体的确定重要数据的范围。企业可以根据自身的情况需要将数据分为三级、五级等，重要数据目录应当以列明具体数据类型的方式进行明确。

二是自上而下、层层递进地明确重要数据目录的制定。国家数据安全工作协调机制可以列明哪些行业、领域存在重要数据和核心数据，但该行业、领域内的数据并非均为重要数据或核心数据；然后由各个地方、各个行业、各个领域根据中央层面的大目录具体列明本地区、本行业、本领域的哪些具体数据大类属于重要数据或核心数据；最后由各个企业进行对照自身数据，列明自己掌握了哪些重要数据或核心数据类型，这些重要数据或核心数据具体处于数据分级的哪一级，可能在每个企业具有不同设置。

三是制定各个层级的重要数据目录过程中，应当做好统筹协调、沟通协商，避免重要数据目录的制定在各个地区、行业之间或内部存在较大差异。

[1]见公号“网安寻路人”2021年10月19日的文章《重要数据 | 级别概念 vs 类别概念》。https://mp.weixin.qq.com/s/fOkbSHRQGN5pSDjJTOqVNA

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。