本文刊登于《上海政法学院学报》2025年第1期
摘 要
“重要数据”从仅具有日常意义的表述,到作为在立法上具有独立地位的数据类型,经历了《网安法》和《数安法》,再到《条例》才逐渐形成较为完整的法制框架,包括目录管理制与确认告知或公开发布制,以及重要数据处理者的识别申报义务、重要数据安全保护义务、实施特定处理行为时的特别义务、年度风险评估义务、处理重要数据的大型网络平台服务提供者的特殊义务。“重要数据”作为数据法律制度,取得了与国家秘密与工作秘密、隐私与个人信息、商业秘密和保密商务信息、政府信息、档案信息与文献信息,以及拟议中的商业数据等数据类型相并列的地位,但仍存在自身内部与核心数据和一般数据的区别,以及在外部与其他数据类型的精确区分问题。
关键词
数据制度;重要数据;个人信息;直接报告权;数据法制
作 者
张建文,西南政法大学民商法学院教授、博士生导师。
引用格式
张建文:《对作为独立数据类型的“重要数据”的发生史与本体论考察》,《上海政法学院学报》(法治论丛)2025年第1期。
目 次
一、“重要数据”制度的思想来源与立法化进程
二、作为独立数据类型的“重要数据”的概念和外延
(一)“重要数据”术语的使用梳理
(二)作为法律概念的“重要数据”
(三)重要数据与核心数据的缠绕与区别
(四)“重要数据”立法定义的不足:形式性的阙失
三、“重要数据”在数据类型体系中的地位
四、“重要数据”法律制度的主要内容
五、结 语
2024年9月24日通过的《网络数据安全管理条例》(以下简称“《条例》”)第四章进一步完善了重要数据制度的内容,使得“重要数据”更具有独立的数据类型和数据法制的地位。由于该领域较少为人关注,对于重要数据到底为何物,以及重要数据如何成为独立的数据法制,从发生史的角度对“重要数据”逐渐成长为独立的数据法律制度的考察,以及从本体论的角度对“重要数据”的法律本质的追问,将使得有机会观察到并深刻理解一项数据制度的诞生之路。
一、“重要数据”制度的思想来源与立法化进程
“重要数据”制度的最初思想来源于习近平总书记2016年4月对网络和信息化工作的重要指示:“一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全。”在习近平法治思想中构成了“坚持依法治网”之“依法加强数据安全管理”的主要内容,重申了互联网企业“必须保证这些数据安全”。
最早在立法上提到“重要数据”表述的是2016年11月通过的《网络安全法》(以下简称“《网安法》”),其中两次提到该表述,即作为网络安全等级保护制度内容的“重要数据”备份(第21条)和重要数据的本地化存储义务(第37条)。但是,在该法中,重要数据并没有被作为一种重要的且也没有被有意识地明确承认为独立的数据类型,对重要数据的概念也没有予以揭示。在该法施行后4年多内,“重要数据”的制度化处于沉寂之中。直到2021年1月,全国人大代表在提议制定数据安全法的议案中,再次呼吁“加强重要数据保护,建立数据使用规则,平衡数据安全保护和数据合理利用”。
2021年6月10日通过的《数据安全法》(以下简称“《数安法》”)9次提到“重要数据”,提出要制定重要数据目录,“加强重要数据的保护”,其要点有三:一是首次使用“重要数据的处理者”的概念,规定数据安全保护义务的基本内容,即建立数据安全管理架构(第27条第1款)和定期开展并报送数据处理活动风险评估报告(第30条第1款);二是创设重要数据出境安全管理制度,区分适用《网安法》规定的关键信息基础设施运营者的出境安全管理和其他数据处理者的出境安全管理(第31条);三是明确了违法向境外提供重要数据的法律责任(第46条),主要是行政法上的责任,尤其是高额的双重行政罚款责任,即一方面是对重要数据处理者的高起点行政罚款,另一方面是对直接负责的主管人员和其他直接责任人员的高起点行政罚款。
但是,有关“重要数据”的概念和本质性特征问题仍然没有解决,在不断强调要“加强重要数据保护”和“依法加强重要数据出境安全管理”的背景下,难免因为其内涵和外延的不确定而引起误解和恐慌。在个别领域中,国务院已经意有所指:“探索制定自动驾驶、生物基因等行业数据分类分级指南和重要数据目录,以重点领域企业数据出境需求为牵引,明确重要数据识别认定标准,做好数据安全保护支撑。”2024年2月28日国办印发的《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》中公开承诺要“科学界定重要数据的范围”。
《条例》更加频繁地(37次)使用“重要数据”的表述,规定了“重要数据”的立法定义,建立了重要数据提供和委托处理以及共同处理的一般规则,明确了“网络数据处理者处理1000万人以上个人信息的”,应当承担作为重要数据的处理者的部分义务(但并没有明确该处理者就是重要数据的处理者,也不是令其承担重要数据的处理者的全部义务,只是明确规定的义务,可谓之“准重要数据的处理者”),建立了“重要数据安全”制度,形成了更为完整的重要数据法律制度,以及作为重要数据的网络数据跨境安全管理制度,建立了行政法规层级的非重要数据推定和数据出境安全评估豁免制度,具有重要的现实意义。
二、作为独立数据类型的“重要数据”的概念和外延
(一)“重要数据”术语的使用梳理
第一,在与不重要数据相区别的意义上使用。在《网安法》施行之前,重要数据的术语,最初并不具有独立的意义,在官方公文中主要是区别于不重要数据,也没有一般性的识别标准。如最初的含义是指在官方的技术平台中被记录和交换的信息,在2008年轰动中外的“三鹿奶粉事件”之后,建立的全国联网的婴幼儿配方乳粉和原料乳粉电子追溯系统中记录的追溯信息就被归入重要数据,但此时只是官方文件用以表述强调其重要性的意图,并无意建立重要数据的法律制度。之后,开始具有关于强调行业性质的重要数据,如“涉及国家安全重要数据”“金融、能源、交通、电信、统计、广电、公共安全、公共事业等重要数据资源”的表述。而《关键信息基础设施安全保护条例》也没有规定“重要数据”的概念,只是并非郑重地提到,而且只是用于区分为“国家基础信息”和之外的“其他重要数据”(第18条)。
第二,作为现有成型数据类型的总称使用。即作为国家秘密、商业秘密、个人隐私等数据类型的上位概念使用。《网安法》施行后,尽管有“重要数据”的提法,但并没有重要数据的立法定义及本质性特征,更加混乱且与其他的数据类型相混淆,如有将“居民健康状况”作为重要数据的,还有“国家秘密、商业秘密、个人隐私等重要数据”和“加强平台中各类公共信息、个人隐私等重要数据的安全防护”的提法,显然是意图用重要数据统摄国家秘密、商业秘密和个人隐私,导致重要数据的非独立化和上位化,而不是后来的与国家秘密、商业秘密、个人信息等数据类型相并立的数据制度。有学者指出:“当下有关重要数据的范畴既包括了个人信息、隐私数据,又包括商业信息、经营管理数据信息等。一句话,重要数据的内容几乎囊括了数据信息的各个综合方面。”
第三,作为特定类型的个人信息的使用。即用于指称个人信息中的特定部分。在《粤港澳大湾区(内地、澳门)个人信息跨境流动标准合同实施指引》第2条提到“被相关部门、地区告知或者公开发布为重要数据的个人信息除外”,用于排除通过订立标准合同的方式进行个人信息跨境流动的个人信息。
第四,作为与个人信息相互独立的数据类型使用。体现在诸如“加强重要数据和个人信息保护” 之类的表述,符合《网安法》以来的表述和意图,即将“重要数据”作为与“个人信息”相独立且并立的类型(第37条)。在近两年来,将“重要数据”与“个人信息”“商业秘密”相并列的用法渐成主流,往往使用“重要数据和(或者)个人信息”的表述,明确“向境外提供的个人信息,不包括重要数据”,而在《条例》(第38条)中“个人信息和重要数据”的表述成为行政法规的固定表述。
(二)作为法律概念的“重要数据”
在规范层面,作为更高层级的立法规范,法律并没有规定“重要数据”的概念,只是在《条例》中规定了重要数据的定义,即“特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”(第62条)。与之前在更低一级层面上《数据出境安全评估办法》第19条所规定的仅以危害程度标准作为其本质性特征的重要数据定义——“一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据”——相比,有了不小的改善,即增加了“重要程度标准”,也更符合《数安法》的规定。
从该定义来看,“重要数据”以保障国家安全和社会公共利益为价值取向,须同时符合以下条件的数据才能归入重要数据之列:
第一,须为“特定领域、特定群体、特定区域”的数据,或“达到一定精度和规模的数据”。这里所谓的“特定”或“一定”,在法律技术上是由有关部门或地区制定重要数据目录的方式实现的,而且相关地区或部门对于被确认为重要数据的,负有及时向网络数据处理者告知或公开发布的义务(第29条第2款),一旦违反该义务,没有及时告知网络数据处理者,那么网络数据处理者在向境外提供时就被豁免了将其作为重要数据申报数据出境安全评估的义务(第37条)。
看起来似乎网络数据处理者并没有负担更重的义务,只需要看有关地区或部门是否告知或公开发布确认为重要数据即可,但是,网络数据处理者是负担了前置的自行识别并主动申报重要数据的义务的,即网络数据处理者按照国家有关规定,自行识别并向有关地区或部门申报请求确认该数据是否为重要数据,而相关地区或部门履行的是确认和告知或公开发布的职责,只有在没有被确认或本应被确认但是由于有关地区或部门未及时告知或公开发布被确认为重要数据时,才能享有在确需向境外提供时豁免将其作为重要数据申报数据出境安全评估的义务,但是并不豁免其他的法律义务,如网络数据安全保护义务。在没有履行或不适当履行前置的识别和申报重要数据的义务时,网络数据处理者要承担相应的行政法律责任(第57条)。因此,实际而言,判断某类数据是否为重要数据的责任主要还是由处理者所承担的自行识别与主动申报的义务来保障的,主管部门所承担的不过是确认处理者所申报的数据是否重要的职责,而且在主管部门出于降低或免除自我责任时难以避免职责履行中过于宽泛的认定。
第二,在发生网络数据安全事件时,具有可能对“国家安全、经济运行、社会稳定、公共健康和安全”的直接危害性。这种危害性标准(后果标准)是抽象的,是用假设的方式——“一旦遭到篡改、破坏、泄露或者非法获取、非法利用”——来认定其危害性的,也就是所谓的基于风险的。在此需注意立法定义的两个表述:一是危害的可能性,立法所使用的是“可能”直接危害,并没有强调或要求必须是具有更大或更高可能性,而是只要可能直接危害,哪怕是仅仅具有一般可能性,即已满足该条件;二是危害的直接性,立法所使用的可能“直接”侵害的表述,意味着直接会对重要数据所针对的国家安全、经济运行、社会稳定、公共健康和安全造成不利后果或不利后果之虞。由此可知,重要数据所强调的后果标准具有更强的预防性特点,意在通过强调重要数据在发生安全事件时所可能产生的后果的特点,要求重要数据的处理者履行重要数据安全保护义务,以避免或降低发生重要数据安全事件的可能性或后果。
对于承担重要数据目录的制定和重要数据的确认职责的主体,以及负有识别和申报重要数据的网络数据处理者而言,“重要数据”的立法定义具有重要的方法论意义。
(三)重要数据与核心数据的缠绕与区别
重要数据的概念,与另一个也在《数安法》和《条例》中存在的术语“核心数据”存在交叉和缠绕。如《数安法》两次提到“国家核心数据”——“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”,强调“实行更加严格的管理制度”以及在“危害国家主权、安全和发展利益”时给予极其严厉的处罚。《条例》也提到了“核心数据”,但是并没有正面规定,只是将其作为该条例适用的排除性规定(第63条)。
因此,可以看出《数安法》所希望构建的数据类型体系,即核心数据、重要数据和一般数据。尽管没有给予相应的立法定义,但是规定了区别或建立相应数据类型的方法论标准,即重要程度标准和危害程度标准相结合。前者强调数据对经济社会发展的重要程度,而后者强调“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”(第21 条)。
在部委规章层面,对核心数据、重要数据和一般数据作了较为完整规定的是《自然资源领域数据安全管理办法》。其中,核心数据被定义为“对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全”(第10条)。核心数据包括三种亚类型:涉及国家安全重点领域的数据,涉及国民经济命脉、重要民生和重大公共利益的数据,以及经国家有关部门评估确定的其他数据。
将其与重要数据的定义对比可以发现,在该规范性文件中,核心数据与重要数据相比较,差异有二:一是数据对领域、群体、区域是否具有较高覆盖度,或其精度和规模是否较高和较大;二是在发生数据安全事件时所直接影响的对象,是政治安全,还是国家安全、经济运行、社会稳定、公共健康和安全。一般数据是消极意义上的、排除性质的,即除重要数据、核心数据以外的数据。将该定义与《条例》的重要数据定义做对照,可以发现两者没有差别,鉴于该办法发布且生效在先,不能不令人猜想后者很可能是全面借鉴了前者的规定。
在以重要程度和危害程度为标准的数据分类上,完整的类型应当包括核心数据、重要数据和一般数据。但是,除了在部委规章层面给予核心数据、重要数据的定义之外,并没有在法律层面的规定。而且“国家核心数据”的表述由于也同样涉及“关系国家安全、国民经济命脉、重要民生、重大公共利益等”,也并没有将其与“关系国家安全和利益”的国家秘密之类数据的内在关系剖析清楚。
(四)“重要数据”立法定义的不足:形式性的阙失
在《条例》中,“重要数据”的立法定义存在着明显的不足:
第一,在该定义中,缺乏对重要数据确定程序的明确和强调,而是试图用数据在所属领域、技术特性和规模特征,再加上假定的危害性后果标准等实质性要素来识别是否具有重要数据的属性,忽略了在重要数据的识别中确定程序的决定性意义。
第二,在该定义之外,尽管提到两种重要数据确定程序,即制定重要数据目录和确认重要数据,《数安法》规定了制定重要数据目录,《条例》增加了确认重要数据的告知或公开发布,但是该确定程序的法定性和程序性不足,没有明确该程序进一步的具体细节,特别是涉及处理者向相关地区或部门申报的程序、时限、异议、救济等。
综上,可以说,重要数据的术语在数据法领域中,从一般的不具有特殊意义的表述,到具有指称作为独立数据类型且具有其法律制度的表述,其间经历了作为现有法定数据类型,即国家秘密、商业秘密、个人隐私等数据类型的上位概念,以及作为与个人信息的特定部分的混乱之后,逐渐定型为与国家秘密、商业秘密、个人信息相独立的数据类型,并获得必要的法律制度内容。但是,重要数据的立法定义也存在明显的不足,在内涵上缺乏与核心数据的区分。
三、“重要数据”在数据类型体系中的地位
在我国,较为固定的数据类型,主要有国家秘密与工作秘密、商业秘密与保密商务信息、商业数据、隐私与个人信息,以及政府信息、档案信息、文献信息等,均由单独的立法予以规制和调整。“重要数据”在法律调整上应当与其他具有独立法律地位的数据类型区别开来。
第一,“重要数据”与“涉及国家秘密、工作秘密的网络数据”。“重要数据”不应当包括“涉及国家秘密、工作秘密的网络数据”。根据《条例》第63条第3款的规定,是将“开展涉及国家秘密、工作秘密的网络数据处理活动”排除在该条例的适用范围之外的。根据《保守国家秘密法》第2条的规定,至少在形式上可以将两者区分开来,因为国家秘密的确定是具有明确的法定程序予以确定,具有形式上的可辨识性。而工作秘密制度,也是来自《保守国家秘密法》第64条的规定,其特殊性在于:工作秘密是机关或单位在履职过程中产生或取得的事项;虽然不属于国家秘密,但其泄露后会造成一定不利影响;通常会要求对工作秘密采取必要的保护措施;在泄露工作秘密情节严重时,直接负责的主管人员和其他直接责任人员仍须承担法律责任。因而工作秘密事项的具体范围和确定程序处于阙失之中。对于重要数据与工作秘密的区别,可以从主体上予以区分,重要数据似乎主要是涉及包括国有企业和私营企业在内的企业所收集或掌握的数据(最初的时候主要是指互联网企业),而工作秘密则仅限于“机关、单位”,应当是“按照公务员法管理的单位、参照公务员法管理的机关(单位)、事业单位”,原则上不包括企业在内。
第二,“重要数据”与商业秘密和保密商务信息。“重要数据”可能包括商业秘密和保密商务信息。根据《反不正当竞争法》的规定,商业秘密本质上是一种特定类型的商业信息,即:一方面其不为公众所知悉,而且权利人采取了必要的保密措施;另一方面该秘密能够给权利人带来经济利益,也即具有商业价值,通常而言包括技术信息、经营信息等(第9条第4款)。在法律上它属于经营者的经营资产,具有财产属性。重要数据不排除其可能具有财产价值,甚至与商业秘密数据有所交叉,因而企业出于对泄漏商业秘密的担忧往往不愿意主动报送,但是在法律规制上并不在意于此,而是看重其对公共利益的影响。对于涉及国家核心技术的企业专利和商业秘密可能会纳入重要数据甚至国家核心数据之列。保密商务信息的情况与商业秘密类似。
第三,“重要数据”与隐私和个人信息。虽然个人信息与重要数据相比,都属于“以电子或者其他方式对信息的记录”(《数安法》第2条),但是个人信息与已确定或可确定的自然人相关,而重要数据似乎不具有与已确定或可确定的自然人相关的特性。但是,“不论是企业数据还是个人信息,如果因聚合效应后可能危及整体层面的利益,也会构成重要数据”。《条例》第28条要求“网络数据处理者处理1000万人以上个人信息的”,还应当遵守其第30条和第32条“对处理重要数据的网络数据处理者作出的规定”,意味着:个人信息处理者同时具备网络数据处理者和重要数据的处理者的双重身份,其既需要承担个人信息保护的义务,也要承担重要数据安全的保护义务;此类个人信息处理者并不是承担全部的重要数据的处理者义务,而是仅承担重要数据安全保护义务(包括明确网络数据安全负责人和管理机构,以及特定情况下报送数据处置方案等),不承担重要数据处理者的其他义务,如识别和申报重要数据的义务,在提供、委托处理或共同处理前的风险评估义务,以及年度风险评估和报送评估报告的义务等;将“处理1000万人以上个人信息的”网络数据处理者作为重要数据的处理者,不属于需要处理者识别和申报,而是被立法直接作为重要数据的处理者对待。
第四,“重要数据”与政府信息。根据《政府信息公开条例》,政府信息中的“政府”专指“行政机关”,不包括其他国家机关,政府信息的形成或获取具有强烈的履职过程特点,并且须具有特定的形式,在本质上属于对信息的记录和保存(第2条),其包含了多种类型的信息,从公开与否的角度,可以是政府公开信息和政府非公开信息。政府公开信息,无论是应当主动公开的政府信息还是依申请公开的政府信息,均不应当被包含在“重要数据”之列。而政府非公开信息包括了以下六种:属于国家秘密的;依法禁止公开的;公开后可能危及国家安全、公共安全、经济安全、社会稳定的;因涉及商业秘密、个人隐私等,其公开会损害第三方合法权益的;涉及行政机关人事管理、后勤管理、内部工作流程等内部事务的;履职过程中的过程性信息以及行政执法案卷信息。
笔者认为,对于被确定为国家秘密、涉及商业秘密、个人隐私等数据,不应当归入重要数据,因为已经由比较成型的法律机制予以调整。而内部事务信息以及过程性信息和行政执法案卷信息,则应当归入工作秘密之列。只有其中“公开后可能危及国家安全、公共安全、经济安全、社会稳定的政府信息”才符合重要数据的本质性特征,可以也应当列入“重要数据”,纳入重要数据的管理制度。
第五,“重要数据”与档案信息。根据《档案法》第2条的规定,档案在本质上属于历史记录,即“各种文字、图标、声像等不同形式的历史记录”,属于档案数据,是由过去曾经存在或现在依然存续的各类公共机关、团体、企事业单位和其他组织以及个人在其所从事的涉及经济、政治、文化、社会、生态文明、军事、外事、科技等方面活动中直接形成的对国家和社会具有“保存价值”的记录。根据该法第20条的逻辑,属于国家秘密之档案的管理和利用以及密级的变动,不适用档案立法而是适用保守国家秘密立法的规定。因此,尽管存在着“涉及国家安全或重大利益以及其他到期不宜开放的档案”类型,与“重要数据”相近,但是笔者认为,“重要数据”法律制度不应适用和覆盖到该类作为历史记录的档案信息,原因在于,国家已经制定了专门的《档案法》,明确了档案向社会开放的一般期限(25年),而对于“到期不宜开放的档案”(包括涉及国家安全或重大利益的档案),可以延期开放,已解决了此类档案信息可能对公共利益的消极影响问题。因而,不宜将此类档案信息叠加适用“档案”法律制度和“重要数据”法律制度,徒增档案信息管理和合理利用的负担。
第六,“重要数据”与文献信息。文献信息不应当被纳入重要数据之中,是因为根据《公共图书馆法》第2条,公共图书馆作为“向社会公众免费开放,收集、整理、保存文献信息并提供查询、借阅及相关服务,开展社会教育的公共文化设施”,其活动所围绕的对象主要就是“文献信息”(包括图书报刊、音像制品、缩微制品、数字资源等),本质上均属于可以并且必须向社会公众开放的信息(第27条)。公共图书馆馆藏文献信息应当向社会开放的本质性特征,不符合“重要数据”本质性要素,尤其是与重要数据所内在蕴含的限制或禁止未经许可的获取和使用的特性直接相悖。因此,才有必要建立以文献信息流通(收集、整理、保存和提供)为主要目的的公共图书馆系统,以推动文献信息向社会公众开放,所以,文献信息与重要数据不存在也不应当存在交集。
第七,“重要数据”与拟议中的“商业数据”。2022年11月《中华人民共和国反不正当竞争法(修订草案征求意见稿)》试图在该法中加入“商业数据”法律制度。这是一个涵盖范围比商业秘密更广的概念,力图将“经营者依法收集、具有商业价值并采取相应技术管理措施的数据”均纳入其中,但不包括“公众可以无偿利用的信息”(该稿第18条)。从与重要数据的关系角度而言,商业数据尤其是关键信息基础设施的经营者和大型网络平台的经营者作为数据处理者时,其所处理的数据很可能会同时被纳入重要数据的调整范围。可以说,重要数据与所拟议的商业数据之间存在着本质性的交叉,与商业秘密的情形类似。综上,“重要数据”作为被立法予以特别调整的数据类型,在纵向上存在着重要数据与核心数据和一般数据的区别必要性,而在横向上存在着将重要数据与其他具有独立法律地位的数据类型区别的必要性。
整体上来说,目前已经存在多种具有独立法律地位和调整机制的数据类型,而且还存在仅有表述但尚未或有待在立法上厘清其法律地位和调整机制的数据概念,如政务数据、核心数据、保密商务信息等。仅就重要数据与国家秘密、工作秘密,与商业秘密和保密商务信息,与个人信息,与政府公开信息、档案信息以及文献信息,以及拟议中的商业数据等而言,其间的关系并非一目了然,甚至在个别领域如个人信息、政府信息、商业数据等存在交叉。笔者认为,原则上应当尊重已经在先的数据法律制度的独立性并推定其充分有效性,支持由单行法所规定的特定数据类型及其调整机制发挥作用,新型的“重要数据”制度尽量不与其他数据制度叠加适用,仅在法律或行政法规有不同规定时从其规定。
四、“重要数据”法律制度的主要内容
“重要数据”作为一种独立的数据类型并取得法律制度的地位,主要是由《数安法》提供了制度框架,而“条例”进行了具体化。整个“重要数据”法律制度在建构上对个人信息法律制度有所借鉴,但是又有所不同。具体而言,“重要数据”法律制度的基本内容包括以下几点:
第一,国家对“重要数据”实行目录管理制。在国家数据安全工作协调机制的统筹协调之下,具体则是由有关地区和部门制定重要数据目录。根据《数安法》第21条,在确定重要数据的具体目录之后,对列入目录的数据进行重点保护。言外之意就是没有列入目录的数据不作为重要数据予以保护,但可能会被作为一般数据予以保护。
第二,具体的“重要数据”实行申报确认制。网络数据处理者负有按照规定自主识别、主动申报重要数据的前置义务。而主管部门此时仅负有进行确认的职责,只有在被确认为重要数据时,才承担及时向网络数据处理者告知或公开发布的职责(《条例》第29条)。
第三,重要数据的处理者对重要数据的安全保护义务。即确定数据安全负责人和数据安全管理机构。《数安法》称之为“数据安全负责人”,《条例》称之为“网络数据安全负责人”,与《个人信息保护法》(以下简称“《个保法》”)上的“个人信息保护负责人”承担相同的义务,即制定重要数据安全管理制度,组织开展数据安全活动,处理数据安全风险和事件,以及受理并处理数据安全投诉与举报(《数安法》第27条和《条例》第30条)。
值得注意的是,《条例》凸显了“网络数据安全负责人”的更高和更强的独立性。该职位是立法直接强制要求须由处理者管理层成员担任,而且赋予其直接向主管部门报告网络数据安全情况的权利。该“直接报告权”是《个保法》个人信息保护负责人所不拥有的,与数据安全负责人在处理者违反法律时所要承担独立的法律责任(《数安法》第46条及《条例》第55-57条)相匹配。此为《条例》的一大亮点。
第四,重要数据处理者在实施特定的数据处理行为时承担特殊的义务。包括:一是在提供、委托处理、共同处理重要数据时承担前置的风险评估义务(《条例》第31条),这是新规定的处理者义务;二是在因企业改组或终止时,负有保障网络数据安全,并向主管部门报告的义务(《条例》第32条);三是跨境提供时须通过数据出境安全评估,其针对的对象是处理者在我国境内运营中收集和产生的重要数据,而豁免该义务的条件是处理者须在先履行按照规定识别和申报重要数据的义务。否则,无需将其作为重要数据申报数据出境安全评估(《条例》第37条)。但是,这并不意味着不需要承担任何网络数据跨境安全管理的义务,如有可能需要承担通过个人信息保护认证或缔结个人信息出境标准合同等义务。
第五,重要数据的处理者承担年度风险评估的义务。具体来说,其义务内容即每年度开展对其整体上的网络数据处理活动的风险评估,并向省级以上主管部门报送风险评估报告(《数安法》第30条和《条例》第33条)。该项风险评估义务与前述在实施特定的重要数据处理活动时的专项风险评估义务相比,更具有一般性,其针对的是处理者在该年度对其网络数据活动整体的风险评估。
第六,大型网络平台服务提供者的风险评估及报送义务。《条例》规定了“大型网络平台”的判断标准,从用户数量、业务类型、活动影响三个要素界定大型网络平台,填补了《数安法》的立法定义空白。《数安法》对其风险评估的特别要求是必须“充分说明关键业务和供应链网络数据安全等情况”(第33条)。
由上可知,“重要数据”的理念和基本法制框架是由《数安法》提出的,其具体化则是由《条例》遵循《数安法》的框架所实现的。但是,其中也有较为创新性的规定,如对网络数据安全负责人的法律地位独立性的规定,以及对特定网络数据处理活动(提供、委托处理、共同处理)的规定,均将产生积极的现实意义。
五、结 语
《条例》的出台,充实了《数安法》所设想并初步建构的“重要数据”法律制度,尤其是在“重要数据”的立法定义和“重要数据”的基本法制框架方面型构了“重要数据”法律制度,逐步理清了与其他数据类型之间的关系。“重要数据”类型和制度的确立,丰富了数据的类型,但是也导致数据类型更加多样,数据法律调整的适用更为复杂。纵向而言,“重要数据”与核心数据、一般数据之间的区分仍然缺乏明确的标准和法律依据,横向而言,“重要数据”与工作秘密、保密商务信息、商业数据等数据类型的区分并非易事。
不同的数据类型之所以具有作为独立类型的必要性和正当性,源自其法律属性的不同,原则上不同的数据类型适用不同的数据制度,只有在个别情况下特别是在法律明确规定时存在数据类型的有限交叉,会导致叠加适用两种数据法律制度的情形,如处理1000万人以上个人信息的网络数据处理者同时具有重要数据处理者的法律地位,需要同时使用个人信息保护和重要数据保护的法律调整机制。然而,整体上而言,数据类型体系仍不无含混之处,如工作秘密、保密商务信息、商业数据等类型处存在有术语无定义的模糊状态。追求清晰简单易从的数据类型体系,构建整体数据法律制度(数据法典),是值得努力的目标。
声明:本文来自上海政法学院学报,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
