这是一篇吃力不讨好的文章,但是藏在公号君胸中已经很久很久。这次利用假期时间,终于写出来。公号君的观点和主流做法和看法完全相反,但真理愈辩愈明,因此也应当容许有另外一种声音存在。
引言
数据分类分级是数据安全治理的起点。但起点若不清,后续的目录管理、风险评估、出境审查、安全保护义务以及责任配置,都会发生概念错位。
我国《数据安全法》第21条确立了“国家建立数据分类分级保护制度”的基本框架。此后,围绕“个人信息”“重要数据”“核心数据”“一般数据”等概念,实务和标准体系逐步展开。然而,一个更基础的问题并未被充分澄清:这些概念究竟是“类别”,还是“级别”?它们之间是并列关系、包含关系,还是阶梯关系?它们与企业、行业内部的数据资产分类分级又是什么关系?
公号君认为,问题的关键不在于抽象地追问“数据分类分级是什么”,而在于先追问:是谁在进行分类分级,以及为了什么目的进行分类分级。数据分类分级不是脱离主体的认知活动,而是服务于特定治理目的的制度工具。企业、行业、国家三个主体所面对的问题不同,需要的概念工具也不同。脱离主体讨论“分类”“分级”“重要数据”“核心数据”,必然会把操作层面的工具误置到监管层面,把资产盘点意义上的分类误认为公法监管意义上的分类。
基于这一前提,公号君提出三段式的概念秩序:
第一,法益型类别才是真正的监管分类;第二,业务流程分类只是识别和盘点工具;第三,分级只是保护强度配置,不应反过来决定类别本体。
由此可以进一步推出操作层面与监管层面的二元区分:企业和行业主要从事业务流程分类与内部分级配置;国家则应当从事法益型类别认定与相应保护强度的制度配置。在国家层面,个人信息、重要数据、核心数据应被理解为三个以不同法益为中心的监管类别,而不应被简单压入同一条“高低等级”的刻度轴之中。
本文的核心主张是:数据安全法意义上的“类别”,不应是对数据来源、业务流程、生命周期环节或自然属性的描述,而应是指向独立法益、需要公权力介入保护的监管身份。保护强度是在类别成立之后才发生的问题。
一、判断的起点:分类分级是有主体的工作
要回答“重要数据是什么性质的概念”,首先要回答一个更根本的问题:这个概念是谁在使用,又是为了什么目的而使用?
数据分类分级不是一个抽象的技术动作,而是一项有主体、有目标、有场景的管理工作。不同主体面对的治理问题不同,其分类分级框架在形态、颗粒度和法律效果上也必然不同。混淆主体讨论数据分类分级,等于把不同管理工作的工具放在同一平面上比较,概念混乱由此产生。
(一)企业层面:服务于资产管理和风险控制
企业层面的数据分类分级,主要服务于数据资产的高效利用与风险防控之间的平衡。企业是数据的实际处理者,每天需要回答的是高度操作性的问题:哪些数据可以被哪些员工访问,哪些数据可以对外共享,哪些数据需要脱敏,哪些数据需要加密,哪些数据可以保存,哪些数据应当删除。
因此,企业需要的是颗粒度细、可解耦、可累加、可嵌入系统权限和流程控制的工具。研发数据、生产数据、客户数据、交易数据、日志数据、运维数据等分类,对于企业而言具有直接管理价值。企业内部的“公开、内部、受限、机密、绝密”或者 L1 至 L5 分级,也主要是为了配置访问权限、加密强度、审计频率、审批流程和应急响应机制。
这种分类分级的中心问题是:如何让企业看清自己的数据资产,并以适当成本进行管理。
(二)行业层面:服务于标准协调和监管衔接
行业层面的数据分类分级,目的不同于单个企业。行业要解决的是共同语言问题和标准协调问题。不同企业虽然从事相同或相近业务,但其内部组织架构、系统建设、数据命名、风险偏好和管理能力可能差异很大。如果完全任由企业自行分类分级,行业监管就难以形成统一抓手,企业间的数据合作也缺乏可互操作的基础。
因此,行业分类分级的主要功能,是将企业层面零散、异质的业务流程分类标准化,形成某一行业内可供企业遵循、监管可据以检查的统一框架。行业目录、行业分类指引、行业重要数据识别规则,都是这种标准化协调的表现。
但行业并不是独立的终局法益来源。所谓行业安全、行业秩序、行业系统性风险,本质上仍然是公共利益、经济运行安全、关键基础设施连续性等国家层面法益在特定行业场景中的具体化。行业的角色不是创造一套与国家法益并列的监管法益,而是作为国家监管向具体业务场景下沉的中介。
(三)国家层面:服务于整体性法益保护
国家层面的数据分类分级,目标则更为根本。国家面对的不是某个企业的运营效率,也不是某个行业内部的标准协调,而是数据处理活动可能对国家安全、公共利益、经济社会运行、个人基本权利和数据主权产生的外部性风险。
企业视角下,数据是否“重要”,取决于它是否影响企业资产、商业秘密、经营安全或合规风险。行业视角下,数据是否“重要”,取决于它是否影响行业运行、行业秩序或行业系统性风险。但国家视角下,数据是否“重要”,取决于它是否触及超越企业和行业的整体性法益。
这正是《数据安全法》第21条将数据分类分级的主体设定为“国家”的制度意义。国家需要识别的,不是企业内部相对更敏感、更高价值的数据,而是那些一旦被篡改、破坏、泄露、非法获取、非法利用,就可能影响国家安全、公共利益、经济运行、社会稳定、公共健康和安全等法益的数据。
因此,在国家层面,分类分级的中心问题应当是:哪些数据因其法益指向而应被国家从一般数据流中切分出来,并赋予跨主体、跨行业、跨场景延续的监管身份。
这一点构成本文全部论证的起点。企业、行业、国家虽然都在谈“分类分级”,但三者并不是同一件事的不同精度,而是服务于不同治理目的的不同制度工具。
二、概念秩序的三段式重构
确立“分类分级是有主体的工作”之后,就可以进一步厘清类别、业务流程分类和级别之间的关系。本文主张,应当建立“法益型类别—业务流程分类—保护强度分级”的三段式概念秩序。
(一)法益型类别才是真正的监管分类
监管的本质是法益保护。国家之所以要把数据分类,不是为了描述数据在企业内部属于哪个系统、哪个部门、哪个生命周期环节,而是为了识别某些数据是否承载特定法益,并据此配置差异化的公法义务。
因此,真正具有监管意义的类别,应当是法益型类别。所谓法益型类别,是指国家为了保护某一独立法益,将特定数据处理对象从一般数据流中切分出来,并赋予其特定监管身份的法律标签。它回答的不是“这是什么业务数据”,而是“这份数据触及什么法益,为什么需要国家出手保护”。
法益型类别的核心功能是身份认定。一份数据是否属于某一法益型类别,形式上是一个“是或否”的入类判断。识别个人信息,回答的是它是否指向可识别的自然人;识别重要数据,回答的是它是否承载公共利益、经济运行、社会稳定、公共健康和安全等公共法益;识别核心数据,回答的是它是否承载国家安全、国民经济命脉、重要民生、重大公共利益等国家核心法益。
需要说明的是,入类判断并不意味着完全排除规模、精度、覆盖范围、关联性、使用场景等因素。相反,在判断重要数据和核心数据时,这些因素往往十分关键。但它们的作用不是把数据排成高低等级,而是作为判断数据是否触及某一法益类别的事实材料。换言之,规模、精度、覆盖范围等因素可以参与类别识别,但不应把类别本身降格为等级阈值的结果。
法益型类别的另一个特征,是监管身份的延续性。一份数据一旦被识别为重要数据,原则上不应仅因其从 A 行业流转到 B 行业、从甲企业转移到乙企业,就当然丧失其重要数据身份。真正可能改变其监管身份的,应当是数据本身风险结构的实质变化,例如充分脱敏、降精度、拆分、去关联,或者反向的聚合、关联、扩容和升维。换言之,重要数据身份不应因持有者变化而漂移,而应随其法益风险的存在而延续。
这正是国家“自上而下”管理的概念基础:国家必须能够基于稳定的监管身份,对数据进行跨主体、跨行业、跨地域的统一识别和持续监管。
在这一框架下,某些常见概念也应重新定位。例如,敏感个人信息并不是与个人信息并列的一级法益类别。它仍然指向自然人的人格尊严、人身安全、财产安全和个人信息权益,只是同一法益类别内部的高风险状态,因此应理解为个人信息类别内部的加严保护层,而非独立类别。又如,“关键信息基础设施相关数据”也不宜被直接当作法益型类别。关键信息基础设施本身是基础设施或运营者监管对象,“相关”只是场景标签;真正可能构成法益型类别的,是其中足以影响基础设施连续运行、公共服务安全、经济运行或国家安全的数据。此类数据可以被识别为重要数据或核心数据,而不必另造一个以“相关性”为中心的空泛类别。
(二)业务流程分类只是识别和盘点工具
与法益型类别不同,企业和行业大量使用的另一种分类方式,是按业务条线、生命周期、数据来源、数据形态或处理环节进行分类。例如研发数据、生产数据、交易数据、客户数据、运维数据、日志数据;又如采集期数据、加工期数据、传输期数据、存储期数据、归档期数据;再如自采数据、第三方数据、衍生数据、共享数据。
这些分类客观存在,也非常重要。但它们的性质不同于法益型类别。
业务流程分类的功能,是数据资产的盘点与操作管理。它回答的是:企业有什么数据,这些数据存在哪些系统,由哪个部门负责,在哪些流程中流转,由哪些角色访问,与哪些外部主体共享。业务流程分类做得好的企业,能够清楚掌握自身数据资产的数量、位置、状态、责任主体和流向。这是一种重要的数据治理能力。
但业务流程分类本身不是监管分类。研发数据、生产数据、客户数据、运维数据并不天然指向某个独立法益。研发数据可能是国家秘密,也可能是普通商业数据;客户数据可能是个人信息,也可能同时构成重要数据;日志数据可能只是普通运维记录,也可能因反映关键基础设施漏洞、安全策略或攻击路径而触及重要数据甚至核心数据。
仅仅把数据归入“研发数据”或“生产数据”,并不能回答国家为什么要对它出手,也不能直接决定应适用何种公法监管规则。法益识别必须跳出业务流程视角,重新追问:这份数据究竟触及什么法益?其泄露、篡改、破坏、非法获取或非法利用,会影响谁的何种利益?
因此,业务流程分类的真正价值,在于为法益型类别识别提供底座。一家企业要识别其掌握的重要数据,必须先有完整的数据资产台账;要判断哪些数据可能构成核心数据,也必须先知道这些数据的来源、规模、精度、关联关系和流转路径。从这个意义上,业务流程分类是法益型类别识别的前置工具,是必要的、有价值的,但不能替代监管意义上的类别认定。
把二者区分清楚,可以解决一个长期困扰实务的问题:企业数据治理与国家数据监管究竟是什么关系。二者不是同一件事的不同精度,而是两种不同性质的工作。企业治理的主轴是业务流程分类与内部分级配置;国家监管的主轴是法益型类别认定与公法义务配置。二者衔接但不替代:企业应通过业务流程分类完成底账盘点,再在盘点结果上识别法益型类别的成员,并承担相应监管义务。
(三)分级只是保护强度配置,不应反过来决定类别本体
在法益型类别和业务流程分类之外,还需要明确“级”的位置。本文认为,分级是类内的、衍生的、配套的保护强度配置工具。
级回答的问题是:既然已经识别出某份数据需要保护,那么应投入多少保护资源、施加多强管控措施、配置何种审批流程和责任机制。在企业内部,级通常表现为访问权限等级、敏感度等级、加密等级、审计等级和应急响应等级。在国家监管层面,级则可以表现为风险评估、负责人制度、出境安全评估、本地存储、安全审查、禁止或限制处理、加重法律责任等差异化保护强度。
因此,级不是用来回答“这是什么数据”的,而是用来回答“对这类数据应当管到什么程度”的。级在概念秩序上后于类别,是类别确立之后的衍生工作。
更重要的是,分级不能反过来定义类别本体。如果允许级反过来制造类别,会出现两个问题。
第一,法益指向会被遮蔽。如果把核心数据简单理解为“重要数据中最严格的一档”,那么“核心”就不再指向独立的国家核心法益,而只是表示比“重要”更高的管理强度。这样一来,核心数据就成为一个只有相对位置、没有独立法益内涵的空心概念。
第二,跨域监管身份会变得不稳定。级别通常依赖特定主体、特定业务、特定行业和特定场景下的相对评价。在 A 企业是最高等级的数据,到 B 企业可能只是普通数据;在 A 行业具有关键意义的数据,流入 B 行业后可能不再被认为重要。如果把重要数据理解为这种相对级别,那么数据跨主体、跨行业流动时,其监管身份就会发生漂移。国家层面的统一监管将失去稳定抓手。
因此,分级必须守在自己的位置上:它可以配置保护强度,可以表达监管强弱,可以设计类内差异化义务,但不应取代类别识别,更不应反过来决定“重要数据”“核心数据”这类概念的本体。
三、操作层面与监管层面的二元区分
将上述三段式秩序置入企业、行业、国家三个主体之中,可以形成一个更清晰的二元结构:企业和行业属于操作层面,国家属于监管层面。
(一)企业与行业:业务流程分类和内部分级配置
企业的本职工作,是在自身业务结构和系统架构中完成数据盘点、分类标识、权限配置和风险控制。企业必须知道自己有什么数据、这些数据在哪里、由谁处理、流向何处、风险如何、应采取何种控制措施。因此,业务流程分类和内部分级配置构成企业数据治理的主轴。
行业的工作,则是在企业内部分类之上进行标准化协调。行业可以提出典型数据分类目录、重要数据识别指南、风险评估方法和安全保护基线,使本行业内企业能够使用相对一致的语言和尺度开展数据治理。行业的价值在于把分散的企业实践转化为可互操作、可比较、可监管的共同框架。
但无论是企业还是行业,其分类本身原则上都不直接产生国家层面的监管身份。企业说某数据是“机密级”,并不当然意味着它是重要数据;行业说某数据属于某业务条线,也不当然意味着它构成核心数据。企业和行业所做的是操作层面的分类分级,其结果需要与国家层面的法益型类别发生映射,而不是替代国家层面的类别认定。
(二)国家:法益型类别认定和监管义务配置
国家层面的工作主轴,是法益型类别认定。国家要做的不是重新替企业盘点数据资产,也不是把所有行业业务流程统一改造成同一张表,而是从总量庞大、形态多样、流转复杂的数据中,识别哪些数据触及个人基本权利、公共利益、经济运行、社会稳定、国家安全和国家核心利益,并据此施加公法监管义务。
这一层面上的类别,应具有跨主体、跨行业、跨场景的延续性。个人信息在金融行业是个人信息,在医疗行业仍是个人信息,在互联网平台流转到第三方服务商后仍是个人信息。重要数据也是如此。它不是某个行业内部相对更高等级的数据,而是国家从整体利益和外部性风险出发识别出来的监管对象。其身份不应因为流转到另一个行业而当然消失。
由此,国家法益型类别与企业业务流程分类之间形成的是“双向衔接”关系:一方面,国家法益型类别向下穿透企业和行业,要求企业在自身数据资产台账中识别个人信息、重要数据、核心数据等成员;另一方面,企业和行业的业务流程分类向上提供事实基础,帮助监管者判断哪些数据确实触及相应法益。
两套分类并行不悖、各司其职。业务流程分类提供盘点底座,法益型类别施加监管身份,分级则配置保护强度。
四、现行制度的概念错位
以上述概念秩序为参照,现行制度和实务话语中存在若干值得反思的错位。问题并不在于现行规则没有价值,而在于其为了工程化落地而使用的语言,容易被误解为法律概念的本体结构。
(一)“分类分级”四字连用,掩盖了类与级的本质差异
在企业内部数据治理中,“分类分级”是一个常见的合成动作。企业先按业务、系统、部门、数据形态等维度进行分类,再根据敏感程度、影响程度和管理需要进行分级。由于企业层面的类与级都服务于操作管理,二者紧密耦合,合称“分类分级”并无明显问题。
但在国家层面,分类和分级的性质应当严格区分。分类是法益识别,分级是强度配置。分类回答“它触及什么法益、是否进入某一监管类别”;分级回答“进入类别后,应采取多强保护措施”。二者虽然衔接,却不是同一动作。
如果把企业层面的“分类分级”表达方式直接搬到国家层面,就容易让人误以为国家也在做与企业类似的复合管理工作。事实上,国家层面的核心任务不是资产盘点,而是法益型类别认定;分级只是认定之后的配套安排。
(二)用“程度”语言描述法益类别,容易遮蔽法益指向
《数据安全法》第21条以“数据在经济社会发展中的重要程度”以及安全事件可能造成的危害程度作为分类分级依据。这一表述具有现实合理性,因为数据的重要性和危害后果确实需要通过程度因素来判断。但如果将“重要程度”理解为概念本体,就容易产生误读:仿佛“重要数据”只是比一般数据更重要的一档,核心数据只是比重要数据更重要的一档。
从法益型类别的角度看,真正的识别基准不是抽象的“重要程度”,而是数据是否触及特定法益。所谓“重要”,并不是对数据经济价值、企业价值或行业价值的泛泛评价,而是对其公共法益影响的法律评价。所谓“核心”,也不是单纯表示程度更高,而是表示其指向国家核心利益、国民经济命脉、重要民生、重大公共利益等更高位阶的法益。
因此,“程度”因素应当被理解为法益识别中的事实判断材料,而不应被提升为定义类别本体的唯一逻辑。
(三)单一阶梯结构制造了伪比较关系
现行标准和实务话语中,经常把核心数据、重要数据、一般数据排列成从高到低的三档。此种排列便于操作,也有助于配置差异化保护强度。但如果进一步将其理解为法律概念的本体结构,就会出现问题。
个人信息、重要数据、核心数据分别指向不同法益:个人信息主要指向人格尊严、人格自由和个人信息权益;重要数据主要指向公共利益、经济运行、社会稳定、公共健康和安全等公共法益;核心数据主要指向国家安全、国民经济命脉、重要民生、重大公共利益等国家核心法益。这些法益并不处在同一条连续刻度轴上,不能简单用“更高”或“更低”加以比较。
单一阶梯结构会诱发一系列伪命题。例如,实务中常说“海量个人信息可能升格为重要数据”。如果“升格”意味着原有个人信息身份被替代,那么《个人信息保护法》是否还适用?如果个人信息身份并未消失,那么“升格”其实并非升格,而是新的法益类别身份叠加。可见,“升格”叙事之所以含混,正是因为它用等级语言描述了本应以类别重叠来解释的现象。
更准确的表述应当是:某些数据在小规模、低精度、低关联状态下仅构成个人信息;当其规模、精度、覆盖范围和关联能力达到足以影响公共利益或国家核心利益时,它可能同时构成重要数据或核心数据。变化的不是数据在单一阶梯上的位置,而是它是否进一步落入新的法益型类别。
(四)主体错位是概念错位的根源
上述错位的共同根源,是国家层面的监管任务被企业层面的操作语言所表达。企业层面的分类分级重在资产盘点和强度配置,因此天然倾向于业务流程分类与等级排列;国家层面的分类分级重在法益识别和外部性内化,因此应当以法益型类别为中心。
一旦用企业层面的工具描述国家层面的任务,就会出现一系列结构性症状:重要数据被误解为企业内部高等级数据,核心数据被误解为重要数据中的最高档,跨行业流动导致身份漂移,多重身份被误表述为“升格”,行业目录被误解为行业内部排级工具。这些问题表面上是分散的技术争议,实质上都来自同一个根源:主体错位。
五、国家层面的法益类别重构
如果从国家视角重新建构数据分类分级的概念秩序,就应当将个人信息、重要数据、核心数据理解为三个以不同法益为中心的监管类别,而不是同一阶梯上的三档。
(一)个人信息类:指向人格尊严与个人信息权益
个人信息类指向的是自然人的人格尊严、人格自由、人身财产安全和个人信息权益。其识别标准的核心,是数据是否能够单独或者结合其他信息识别特定自然人,或者是否与已识别、可识别的自然人有关。
在这一类别内部,可以进一步存在高风险状态。例如敏感个人信息、未成年人个人信息、大规模个人信息处理等,都可能触发更严格的处理条件和保护义务。但这些并不当然构成与个人信息并列的一级法益类别,而是在个人信息类别内部,根据风险后果和保护需要形成的加严规则。
(二)重要数据类:指向公共利益和外部性风险
重要数据类指向的是超越单个企业和个体权利、但又未必直接达到国家核心利益层面的公共法益。其关注重点,是数据一旦遭到篡改、破坏、泄露、非法获取或非法利用,是否可能影响经济运行、社会稳定、公共健康和安全、行业系统性风险、关键基础设施安全、特定区域或特定群体的公共利益。
因此,重要数据不是企业认为重要的数据,也不是行业内部相对更高等级的数据。一个企业的商业秘密、客户名单、内部经营数据,对企业可能极为重要,但如果只影响企业自身利益,通常不应当然构成数据安全法意义上的重要数据。反过来,某些数据即便掌握在普通企业手中,只要其规模、精度、覆盖范围或关联能力足以影响公共法益,就可能构成重要数据。
重要数据之所以应被理解为类别概念,正是因为它要打破单个组织、单个行业、单个业务流程的垂直管理局限,形成国家层面横向可识别、可流转、可继受、可监管的统一对象。如果将重要数据理解为级别概念,那么一个在 A 行业被定为重要数据级别的数据,流入 B 行业后,完全可能因 B 行业的业务结构和风险判断不同而被降格为普通数据。这与国家统一监管的目标相冲突。
(三)核心数据类:指向国家核心利益
核心数据类指向的是国家安全、国民经济命脉、重要民生、重大公共利益等国家核心法益。与重要数据相比,核心数据的特殊性不应仅被理解为“保护强度更高”,而应被理解为其法益指向更接近国家主权、安全和发展利益的核心区域。
如果保留“核心数据”作为独立法律概念,就必须赋予其独立法益内涵。否则,核心数据就会退化为“重要数据中最严格的一档”,成为一个只有强度差异、没有类别内涵的等级标签。这样的理解不仅削弱了核心数据概念的规范价值,也不利于建立针对国家核心利益的数据安全管理制度。
当然,从现行规范文字看,核心数据与重要数据之间确有递进关系,甚至可以说核心数据是重要数据体系中最高风险、最高保护强度的一部分。但从概念重构角度,应当至少坚持一点:核心数据的成立不能只依赖“比重要数据更重要”这一相对判断,而必须说明它究竟指向何种独立或更高位阶的法益。
(四)三类法益类别可以重叠,而非相互排斥
个人信息、重要数据、核心数据不是彼此排斥的分类格子,而是可以重叠的法益维度。一份数据可以同时指向自然人、公共利益和国家核心利益。
例如,某平台掌握的大规模、高精度人口信息,首先可能是个人信息;当其规模、精度、覆盖范围和关联能力足以影响公共利益、社会稳定或公共安全时,又可能构成重要数据;如果进一步达到足以影响国家安全、国民经济命脉、重要民生或重大公共利益的程度,则还可能构成核心数据。
在这种情况下,规则适用不是“升格替代”,而是“身份叠加”。个人信息保护规则不会因为该数据同时构成重要数据而消失;重要数据保护规则也不会因为其同时构成核心数据而完全失效。更合理的做法是承认多重身份并行存在,并通过特别法优先、就高从严、目的限定、最小必要、风险评估等规则协调具体义务冲突。
(五)一般数据是剩余范畴,而非正向监管类别
在这一框架下,“一般数据”不宜被理解为与个人信息、重要数据、核心数据并列的正向类别。一般数据只是未被特定公法监管类别捕获的数据剩余空间。
这并不意味着一般数据不受保护。一般数据仍可能受到合同法、民法、反不正当竞争法、商业秘密保护、知识产权、网络安全义务以及企业内部管理规则的约束。但从国家数据安全监管的角度看,它不具有与个人信息、重要数据、核心数据相同的法益型类别地位。
将一般数据理解为剩余范畴,可以避免把所有数据都纳入公法类别,从而保持国家监管的重点性和比例性。
六、重构带来的制度优势
上述重构并非纯粹概念游戏,而是能够直接回应实务中的若干困境。
(一)“升格”伪命题被消解
在阶梯框架下,海量个人信息常被描述为“升格为重要数据”或“升格为核心数据”。这一表述容易造成误解,仿佛数据从一个等级移动到另一个等级,原有身份随之被替代。
在法益型类别框架下,问题更清楚:海量个人信息始终可能保持个人信息身份;当其进一步触及公共法益时,同时落入重要数据类;当其进一步触及国家核心法益时,同时落入核心数据类。变化的不是数据在同一阶梯上的位置,而是其法益身份的叠加。
(二)跨域身份的稳定性得以保证
法益型类别具有跨主体、跨行业、跨场景的延续性。一份数据是否属于重要数据,不取决于接收行业是否认为它在本行业内部“重要”,也不取决于接收企业是否将其列为内部最高等级,而取决于它是否仍然承载公共法益风险。
因此,重要数据从 A 行业流入 B 行业后,其监管身份原则上应当延续;只有当数据本身经过充分脱敏、降精度、拆分、去关联,导致原有公共法益风险实质消失时,才可能重新判断其身份。这样的框架更符合国家统一监管和跨域流动治理的需要。
(三)识别与强度配置被清晰分离
法益型类别框架将“是不是某类数据”和“应当多严管理”区分开来。前者是类别识别问题,后者是保护强度配置问题。
这种区分可以减少实践中的扭曲激励。如果企业可以通过降低内部等级来否认重要数据身份,就会削弱国家监管效果。反之,如果重要数据身份由法益风险决定,企业内部等级只是保护措施配置的一部分,那么企业就不能通过内部定级回避外部监管义务。
(四)行业目录角色得以归位
在级别框架下,行业重要数据目录容易被理解为“在本行业内部对数据排级”。这会强化垂直管理,使重要数据身份依附于行业内部评价。
在法益类别框架下,行业目录的功能应被重新定位为:在本行业的数据池中识别哪些数据属于国家重要数据类别的成员。行业目录不是独立创造重要数据概念,也不是对本行业数据进行单纯排级,而是国家法益型类别在特定行业场景中的具体化。
这样一来,行业的位置也更清楚:行业是国家监管向业务场景下沉的中介,是法益型类别与业务流程分类之间的转换层,而不是独立的分级机构。
七、回应:现行规范中的“级别”措辞如何理解
在以上重构面前,一个不可回避的问题是:现行标准和实务文件中,确实已经将核心数据、重要数据、一般数据表述为不同“级别”的做法。这是否构成对类别说的反证?本文认为,并不构成。
(一)标准是制度工程化文本
国家标准的主要功能,是将法律制度工程化、操作化、流程化,使企业和行业能够开展资产盘点、识别、标识、报送和保护工作。为了便于实务落地,标准采用“级别”语言有其便利性。核心数据、重要数据、一般数据被排列成不同级别,能够帮助企业迅速理解保护强度差异,并映射到内部控制措施。
但工程化便利不等于概念精确。标准是某种治理思路和操作需要的产物,不必然穷尽法律概念的规范内涵。学理讨论不能停留在标准文本的表层措辞,而应回到制度目的:国家为什么要建立数据分类分级保护制度?它究竟是要帮助企业盘点资产,还是要识别并保护特定法益?
(二)“级别”可以被理解为类别之间的保护强度差异
即便保留“级别”措辞,也不必将其理解为严格意义上同一刻度轴上的不同档位。它也可以被解释为不同监管类别之间保护强度的差异。
例如,我们可以说对未成年人、消费者、劳动者、纳税人、公务员等不同主体适用不同强度的保护或管理规则,但这并不意味着它们是同一类别内部的高低等级。它们首先是不同法律身份或监管类别,只是相应规则强度有所不同。
同理,重要数据和核心数据可以对应更高保护强度,但这并不意味着它们本体上只是等级概念。更准确的理解是:它们是具有不同法益指向的监管类别,同时在保护措施上呈现强度差异。
(三)学理重构是制度自我修正的前提
制度在形成初期,往往为了可操作性而采取简化表达。随着实践展开,简化表达可能暴露出概念混淆、跨域适用困难、多重身份处理不清、目录角色错位等问题。此时,学理研究的价值就在于提供更精确的概念工具,帮助制度完成自我修正。
因此,主张“重要数据、核心数据应主要被理解为法益型类别”,并不是否定现行标准的实践价值,而是对其概念基础进行澄清和升级。标准可以继续承担操作层面的落地功能;法律理论则应当为监管层面的概念秩序提供更清晰的解释框架。
总之,数据分类分级是数据安全治理的起点。起点的概念若不清,后续制度就难以稳固。最后,本文的核心主张可以概括为三句话:
法益型类别才是真正的监管分类;业务流程分类只是识别和盘点工具;分级只是保护强度配置,不应反过来决定类别本体。
由此可以推出:企业和行业处在操作层面,主要从事业务流程分类与内部分级配置;国家处在监管层面,主要从事法益型类别认定与相应保护义务配置。在国家层面,个人信息、重要数据、核心数据应当被理解为三个围绕不同法益展开的监管类别:个人信息指向人格尊严和个人信息权益,重要数据指向公共利益和外部性风险,核心数据指向国家安全、国民经济命脉、重要民生、重大公共利益等国家核心利益。三者可以重叠适用,而不应被误解为同一阶梯上的高低档位。
“敏感个人信息”更适合作为个人信息类别内部的高风险状态,“关键信息基础设施相关数据”更适合作为重要数据或核心数据识别中的场景线索,而不宜被直接提升为独立法益类别。“一般数据”则是未被特定公法监管类别捕获的剩余空间,并非与前三者并列的正向监管类别。
这套重构的意义,不只是纠正若干术语用法,而是让数据安全治理的概念秩序与其管理目的真正契合。国家层面的数据分类分级,不应停留在企业资产盘点和行业流程描述上,而应回到公法监管的核心问题:哪些数据承载了需要公权力介入保护的独立法益,国家应当如何持续、统一、跨域地识别和保护这些法益。
在数据成为基础性战略资源、数据主权竞争不断加剧的背景下,数据安全治理的底层概念能否精确、自洽、可操作,直接影响制度供给能否回应时代要求。理清分类分级的概念秩序,是这一切工作的起点。
声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
