對數據分類分級,是開展數據安全治理的起始點。目前,在我國網絡安全和數據安全相關的法律法規中,數據分類分級的要求多有體現,但基本上這些分類分級的思路和方案均站在組織內部的視角,目的是提升組織的數據安全管理能力和水平。本文將之稱為“自下而上”的數據分類分級。而《數據安全法》創造性地提出了“自上而下”的數據分類分級路徑,其第21條規定“國家建立數據分類分級保護制度”,其重要意義可以與《網絡安全法》第21條的“國家實行網絡安全等級保護制度”做類比。本文分析此項制度設計的背景和邏輯,以及其對數據主權國際競爭加劇態勢下的重大影響和意義。
目次
一、現有數據分類分級的保護路徑
二、《數據安全法》對數據分類分級保護的制度設計
三、數據分類分級的國際競爭意義
四、結語
本文來源為《中國法律評論》2021年第5期專論(第71-78頁),原文10000余字,為閱讀方便,腳注從略。如需引用,可參閱原文。
在網絡安全領域,對數字資產(包括信息系統、網絡系統、數據等)的安全保護,起始于對數字資產的分類分級。將數字資產劃分成不同的類別和不同的級別,就能相應地確定與類別和級別匹配的安全保護水平和措施。在我國,分類分級的思想最早貫徹于網絡和信息系統的安全治理工作之中。在《網絡安全法》生效之前,我國將“信息安全等級保護制度”作為國家信息安全保障體系中的“一項基本制度”。“信息安全等級保護制度”是指“對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按等級管理,對信息系統中發生的信息安全事件分等級響應、處置。”
2017年《網絡安全法》開始實施,其將網絡運營者劃分為一般的網絡運營者和關鍵信息基礎設施運營者兩大類。后者為“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等”,前者即是“網絡的所有者、管理者和網絡服務提供者”中的非關鍵信息基礎設施的其他運營者。
同時對于所有的網絡運營者,《網絡安全法》將“信息安全等級保護制度”升級為“網絡安全等級保護制度”。該制度“根據等級保護對象在國家安全、經濟建設、社會生活中的重要程度,以及一旦遭到破壞、喪失功能或者數據被篡改、泄露、丟失、損毀后,對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的侵害程度等因素”,將其劃分為五個級別。不同級別的等級保護對象應具備不同的基本安全保護能力。
相對于對網絡和信息系統的分類分級,我國從安全保護角度對數據的分類分級要求比較新。《網絡安全法》第21條規定,網絡運營者為“防止網絡數據泄露或者被竊取、篡改”應當履行的最基本的安全保護義務之一,即“采取數據分類、重要數據備份和加密等措施”。此后主管監管部門發布的相關規定,對數據分類分級也做出了要求。
2021年9月1日生效的《數據安全法》,對數據分類分級作出了專門規定,提出:“國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。
國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。”全國人大常委會法制工作委員會對《數據安全法》的立法說明中,將數據分類分級管理制度作為國家數據安全管理制度和體系中的首要制度。
仔細分析《數據安全法》和《網絡安全法》中對數據分類分級的規定,可以發現一個顯著的區別:《網絡安全法》中開展數據分類工作的主體是網絡運營者;在《數據安全法》中,數據分類分級的主體卻是國家。本文認為,數據分類分級工作的主體不同,蘊含著對數據安全保護思路和工作路徑的重大變化,凸顯了國家對數據作為基礎性戰略資源的認識和管理思路的升級,更是服務于數據主權的國際競爭。
本文的內容安排如下:第一部分是對現有數據分類分級保護路徑的梳理和分析;第二部分解析《數據安全法》數據分類分級保護的制度設計,并對《數據安全法》中提出的重要數據和核心數據做出解構和重構;第三部分闡釋數據分類分級安全管理制度在國際競爭方面的重大意義;最后,本文嘗試對數據分類分級工作落地實施提出建議。
現有數據分類分級的保護路徑
無論是現行的法律、行政法規還是部門規章,都僅僅止步于提出數據分類分級的要求,并沒有對如何分類分級提出進一步的方案。
例如在行政法規層面,國務院2018年3月發布的《科學數據管理辦法》第10條規定:“科學數據中心負責科學數據的分級分類”;第20條規定“法人單位要對科學數據進行分級分類,明確科學數據的密級和保密期限、開放條件、開放對象和審核程序等”。
在部門規章或規范性文件層面,例如中國證券監督管理委員會2019年6月實施的《證券基金經營機構信息技術管理辦法》第30條規定:“證券基金經營機構應當將經營及客戶數據按照重要性和敏感性進行分類分級,并根據不同類別和級別作出差異化數據管理制度安排。”中國銀保監會辦公廳2019年5月發布的《關于開展銀行業和保險業網絡安全專項治理工作的通知》規定:銀行業和保險業機構應當“強化客戶信息保護。要制定數據安全分類分級標準,構建覆蓋客戶信息全生命周期的保護體系,防范數據被竊取”。工業和信息化部辦公廳2019年6月印發的《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》規定,電信和互聯網行業應“加快建立網絡數據分類分級保護、數據安全風險評估、數據安全事件通報處置、數據對外提供使用報告等制度”。
在國家部委發布的指引性文件,或者國家和行業標準層面,可以看到一些嘗試或方案。工業和信息化部2020年2月印發的《工業數據分類分級指南(試行)》中,提出了對工業數據的分類和分級標準。該指南第5條提出:“工業企業結合生產制造模式、平臺企業結合服務運營模式,分析梳理業務流程和系統設備,考慮行業要求、業務規模、數據復雜程度等實際情況,對工業數據進行分類梳理和標識,形成企業工業數據分類清單。”
沿著第5條,該指南在第6條中給出了工業企業的數據分類范例:“工業企業工業數據分類維度包括但不限于研發數據域(研發設計數據、開發測試數據等)、生產數據域(控制信息、工況狀態、工藝參數、系統日志等)、運維數據域(物流數據、產品售后服務數據等)、管理數據域(系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據等)、外部數據域(與其他主體共享的數據等)。”至于數據分級,該指南根據數據發生“篡改、破壞、泄露或非法利用”后造成的危害——“可能對工業生產、經濟效益等帶來的潛在影響”作為數據分級的標準,將數據分為三級。
同樣,證監會于2018年9月正式公布實施《證券期貨業數據分類分級指引》。該指引第6.4條要求:“本標準推薦的分類分級方法,從業務條線出發,首先對業務細分,其次對數據細分,形成從總到分的樹形邏輯體系結構,最后,對分類后的數據確定級別;同時,推薦考慮確定數據形態……”具體來說,數據分類“依據自身業務特點對產生、采集、加工、使用或管理的數據進行分類”。數據分級“是以數據分類為基礎,采用規范、明確的方法區分數據的重要性和敏感度差異,并確定數據級別”。
秉持類似思路的還有2020年2月中國人民銀行正式發布的《個人金融信息保護技術規范》(JR/T0171—2020)。在這些嘗試或方案中,數據分類采取的路徑主要是一種“實然”(“是什么就是什么”)路徑。此種路徑的基本思路是不改變企業實際如何組織生產的方式和流程,且客觀描述在這個方式和流程中所收集、產生出的數據類型。在完成數據分類的前提下,根據“后果”路徑,來對數據進行分級。此種路徑的基本思路是根據某類數據的安全屬性(完整性、保密性、可用性)遭到破壞后的影響對象、影響范圍、影響程度,對數據進行定級。一般來說,有分為三級的,也有分為四級的。本文將上述思路統稱為“自下而上”的數據分類分級。
目前部委指導性文件和標準所提出的數據分類分級路徑,給企業內部開展數據治理提供了很好的思路。如果企業能按照上述路徑開展分類分級工作,就能夠對其所掌握的數據建立管理目錄,并對目錄里面的數據進行“差序有致”的管理,最終達到對數據資產的高效利用和有效保護。
正如《證券期貨業數據分類分級指引》對數據分類分級的闡釋:“數據分類是數據保護工作中的一個關鍵部分,是建立統一、準確、完善的數據架構的基礎,是實現集中化、專業化、標準化數據管理的基礎。行業機構按照統一的數據分類方法,依據自身業務特點對產生、采集、加工、使用或管理的數據進行分類,可以全面清晰地厘清數據資產,對數據資產實現規范化管理,并有利于數據的維護和擴充。數據分類為數據分級管理奠定基礎”,“數據分級有助于行業機構根據數據不同級別,確定數據在其生命周期的各個環節應采取的數據安全防護策略和管控措施,進而提高機構的數據管理和安全防護水平,確保數據的完整性、保密性和可用性”。
采取“自下而上”的數據分類分級,本質上是站在組織的內部視角來看數據分類分級,目的是防止組織的資產和權益因為數據安全事件而受損。這種“自下而上”的數據分類分級模式有三個問題。第一個問題是,對數據提供何種保護水平僅僅由組織自行決定。以個人信息保護為例,組織出于自身的利益保護,普遍會將個人信息賦予高水平的保護,但其主要考慮的是防止因個人信息保護不利而導致的企業名譽、監管、司法等方面的風險,但對個人信息充分利用的考量(包括分析、與第三方共享、在生態內流轉、向境外傳輸等)始終占據優先級。因此其對個人信息保護的水平并不一定達到組織外部的個人、社會、監管部門所期待的水平。
第二個問題是,很多情況下,掌握在企業手中的數據對國家、社會、個人的價值,要比對企業來說價值更高;或者說,一旦出現安全事件,對國家、社會、個人造成的危害可能比對企業利益的危害更大。例如劍橋分析事件中,Facebook疏于對第三方小程序的管理,導致8700萬個人的數據被非法用于政治選舉目的,包括影響脫歐公投和美國總統大選等。
這就出現了一個所謂的“外部性”問題。外部性又稱為外溢效應,指一個人或一群人的行動和決策使另一個人或另一群人受損或受益的情況。顯然,目前站在組織內部角度的“自下而上”的數據分類分級,并不能很好地解決數據安全管理中的“外部性”問題。因此,為了督促或監督企業切實負起數據安全責任,同時對某些“外部性”很強的數據類型給予更高水平的安全保護,就需要國家站在組織的外部,要求組織對具體的、特定的數據類別,比其單純從自身角度出發所意愿供給的安全水平提供更高水平的保護。
“自下而上”的數據分類分級的第三個問題是,目前的部委指導性文件和標準所提出的數據分類分級路徑,在單個行業、單個組織的內部可以適用,但是對于面對不同行業的眾多組織的主管監管部門來說,不具備互操作性,即一個組織的數據分類或數據分級,很可能與另外一個組織的數據分類和數據分級截然不同。這種情況下,數據安全主管監管機關很可能無法開展統一的管理和監督工作,更無法判斷組織對不同類型和級別數據采取的安全保護措施,是否能夠充分維護個人合法權益、公共利益和國家利益。
《數據安全法》對數據分類分級保護的制度設計
在上述背景下,《數據安全法》提出的由國家而非組織來實施數據分類分級的制度設計(本文稱之為“自上而下”的數據分類分級),就能得到很好的解釋。“自上而下”的數據分類分級,要求國家根據數據對國家、社會的價值(“數據在經濟社會發展中的重要程度”)以及出現安全事件后造成的危害后果(“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度”),來開展數據分類分級的工作。在分類分級工作完成之后,即可以強制性地配適不同程度的安全保護規則,目的在于要求組織吸收或內化“外部性”效應。
實際上,這種“自上而下”分類分級路徑在數據安全之外的領域并不鮮見。例如前文提到的對網絡和信息系統,區分為一般運營者和關鍵信息基礎設施運營者這兩大類。猶如國家對勞動人口的身份管理,國家就“自上而下”地將勞動人口劃分為公務員、事業單位人員、企業員工、務農人員等。這樣一種站在全局視角下的相對整齊劃一的分類,一直是國家統一管理的有效工具。
《數據安全法》實際上已經“自上而下”地劃定了兩個主要的數據類型:個人信息和重要數據。雖然《數據安全法》沒有界定“重要數據”這個概念,但對其做了豐富的規則設計。例如重要數據的處理者應當明確數據安全負責人和管理機構(第27條);重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估;并向有關主管部門報送風險評估報告(第30條);關鍵信息基礎設施所收集和產生的重要數據的出境安全評估使用《網絡安全法》規定,其他數據處理者收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定(第31條)等。
而對個人信息的保護規則,《數據安全法》第53條規定,“開展涉及個人信息的數據處理活動,還應當遵守有關法律、行政法規的規定”,直接指向了《個人信息保護法》。由此,“作為數據領域的基礎性法律”的《數據安全法》初步完成了“自上而下”的數據分類分級中的數據分類工作,并設計了不同類別的數據的基本保護規則。相較于個人信息,重要數據這個概念極為新穎,因此下文將重點對其內涵做出分析。
實際上,重要數據為《網絡安全法》首次提出,回顧“重要數據”的產生過程,可回溯到《網絡安全法(草案)》三讀與最終稿之間出現的一個微妙變化。三讀文本中使用的是“重要業務數據”,對此,可能存在兩種理解:一是認為“業務數據”英文為“business data”,是組織機構與外界發生業務交互(transactions)的記錄,不包括內部運營數據,例如組織機構人力資源管理方面的數據;二是認為“業務數據”同時包括組織機構“內部運作”和“外部業務交互”的數據。
如果最終“重要業務數據”的定義采用前者,則關鍵信息基礎設施里存在其他類別的數據無需本地存儲;如果采用后者,則可認為關鍵信息基礎設施里的所有數據都要本地存儲。在2016年11月7日通過的《網絡安全法》最終文本中,立法者刪除了“業務”兩字,體現了立法者最后時刻的考量和決斷。
在《網絡安全法》生效(2017年6月1日)之前,中央網信辦于2017年4月的《個人信息和重要數據出境安全評估辦法(征求意見稿)》中第一次對重要數據做出界定。重要數據“是指與國家安全、經濟發展,以及社會公共利益密切相關的數據,具體范圍參照國家有關標準和重要數據識別指南”。與其配套的國家標準《信息安全技術數據出境安全評估指南(草案)》在附錄A中進一步定義了重要數據。雖然上述規則和標準始終處于征求意見稿的狀態,但都明確了一點——重要數據的重要性,針對的是整體層面的利益保護,即保護國家安全、國計民生、公共利益。
因此,只要運營者的數據不涉及整體層面利益,就不屬于“重要數據”的范疇。例如,一家互聯網廣告公司的高層會議紀要,如果不涉及國家、公共利益,顯然不屬于“重要數據”的范疇,這樣的數據能夠自由出境;但是一家生產戰備物資的企業,其信息系統形成的進出貨記錄、庫存水平等,可能就涉及國家安全事項,應當認定其為“重要數據”,《網絡安全法》原則上要求境內存儲。因此,從“重要業務數據”轉變為“重要數據”,說明立法者摒棄業界熟悉的“個人數據、企業數據、國家數據”的分類方法,進而從數據所影響的價值著手。換句話說,不論是個人數據還是企業數據,只要有可能危及整體層面的利益,也會被認定為“重要數據”。因此,《網絡安全法》首提“重要數據”,標志著“自上而下”的數據分類分級思路的雛形初現。
雖然上述規則和標準始終處于征求意見稿的狀態,但2021年8月國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、交通運輸部聯合頒布的《汽車數據安全管理若干規定(試行)》,沿著上述思路第一次對重要數據做出了具備法律效力的界定。其第3條規定:“重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益或者個人、組織合法權益的數據”,并在汽車領域對重要數據進行了列舉。此外,由工信部發布并于2021年7月生效的《基礎電信企業重要數據識別指南》,也將重要數據界定為“企業在運營中收集、產生、控制的不涉及國家秘密,但與國家安全、經濟發展、社會穩定,以及公共利益密切相關的數據,特別是與國家基礎通信網絡安全密切相關的數據”。
仔細分析上述在《數據安全法》文本發布之后出臺的關于重要數據的界定,可以發現重要數據并不是從組織內部出發、基于業務的數據分類,而是始終站在數據背后的重要價值的保護之上。在過去,“個人數據、企業數據、國家數據”的分類存在一定的意義,因為國家掌握的數據,往往才有可能影響到整體層面的利益。但在大數據時代,數據收集、匯聚、流轉等,大量地發生在公共部門之外,許多企業掌握著海量的數據資源。這些數據已經具備了影響國家、公共利益的可能性。
例如,超大互聯網平臺所掌握的海量用戶信息,首先肯定是個人信息,同時也是企業擁有的數據,但是由于其規模和顆粒度均可比擬公安機關的國家人口基礎信息庫,準確性甚至更勝一籌,因此對國家來說,互聯網平臺所掌握的這樣規模的人口信息數據一旦泄露,很可能對國家安全造成嚴重危害。再如為金融、能源、交通、電信等重要行業中的大型企業提供網絡安全防護過程中產生的數據,包括系統架構、安全防護計劃、策略、實施方案、漏洞等信息。這些數據雖然掌握在安全服務提供者手中,但這些數據一旦泄露,將大幅增加這些企業的網絡安全風險。因此從國家層面來說,這些數據肯定屬于“重要數據”,哪怕這些數據掌握在企業手中。
綜上來說,判定重要數據,應放棄從“誰掌握數據”來著手(即“自下而上”的數據分類),而是從數據可能影響的價值、利益來判斷;而全面判斷數據可能影響的各種價值和利益,顯然需要超越組織內部視角,需要國家“自上而下”地做出決斷。因此,由中央國家安全領導機構負責建立的國家數據安全工作協調機制,將來把哪些類型的數據納入重要數據目錄之中,持有或掌握這些數據的組織就需要按照國家規定,“對列入目錄的數據進行重點保護”。
數據分類分級的國際競爭意義
前述圍繞著“自上而下”的數據分類分級和重要數據的分析顯示,由于數據安全保護存在顯著的“外部性”效應,因此國家對數據安全保護具有獨立于組織、個人的利益,且該利益訴求在國際競爭的壓力下越來越凸顯。
著名的《外交事務》雜志在2021年第3期發表了一篇在國內廣為傳播的文章——《數據即是權力》。兩位作者直言:“與全球經濟的其他要素相比,數據與權力更緊密地交織在一起。作為創新的一個日益必要的投入,國際貿易的一個迅速擴大的元素,企業成功的一個重要因素,以及國家安全的一個重要層面,數據為所有擁有它的人提供了難以置信的優勢。它也很容易被濫用。尋求反競爭優勢(anticompetitive advantages)的國家和公司試圖控制數據。那些希望破壞自由和隱私的人也是如此。”這段話非常清晰、全面地勾勒出數據安全保護對于國家間競爭至關重要的意義。
美國占據技術先發優勢,有著強大的產業基礎和服務貿易量。全球運營的美國企業成為美國數據立法的重要關切和杠桿因素,并據此實現管轄范圍的擴張。美國數據主權戰略基本上圍繞著如何增強本國企業獲得和控制企業的能力。一直以來,歐盟互聯網產業發展相對落后于美國和我國,產業能力、基礎設施、代表性企業相對有限,歐盟企業事實上處于數據弱勢地位,歐盟在數字經濟中的份額也與其自身的經濟體量存在較大差距。
但近年歐盟轉換了視角,以整個歐盟市場作為政策施力點,要求所有面向歐盟提供產品或服務的實體(無論是否在歐盟境內有機構存在)均應當接受歐盟的管轄,實現對掌握歐盟數據的跨國公司的有效規制。此外,歐盟高水平的數據保護規則極大地抬高了數據從歐盟流出的門檻,配合歐盟積極推動的“單一數字市場”和“歐洲數據空間”,歐盟走出了符合自身利益發展的數據戰略,事實上擴張了歐盟對全球網絡空間中數據的掌控能力。
從目前《數據安全法》《個人信息保護法》《網絡安全法》等法律法規來看,我國并未提出系統性的符合國家主權、安全和發展利益的數據主權戰略,更多的還是應對或對抗美歐“擴張式”的數據權力為主。例如,《數據安全法》《個人信息保護法》均有阻斷外國“長臂”數據執法跨境調取的條款。為應對外國在出口管制、投資審查等領域中關于數據且針對我國的各種歧視性、限制性措施,《數據安全法》《個人信息保護法》同樣有類似的應對性條款。在激烈的國際競爭中,我國理應配備法律工具來應對來自外國的壓力,但在防守之余,我國可以在對外發展方面有所謀劃。
“自上而下”的數據分類分級和重要數據,雖然主要服務于境內的數據安全管理工作需要,但其能在構建我國“外向型”數據主權戰略之中發揮重要作用。本節提出三個方面的設想拋磚引玉。
其一,數據分類分級本身不是最終目的,對不同類別和級別的數據配適不同的安全保護規則,才是分類分級的落腳點。因此,對于國家主權、安全和發展利益至關重要的數據,可以通過分類分級和列入《數據安全法》提出的“重要數據目錄”中,輔以更高要求的安全保護規則,包括數據跨境流動規則,以此實現對重要的數據要素的控制。
其二,在目前已經開展的自貿區試驗中,出于實現更高水平的開放和融合的目標,賦予部分自貿試驗區根據自身的產業結構、主要的商貿目的地、技術合作對象等因素,動態調整國家層面出臺的“重要數據目錄”的權力。通過便利的數據跨境規則,再發揮人才、資金等方面的優勢因素,取得特色產業集中落地的效果。例如,北京和海南政治經濟特點不同,北京的“兩區建設”24和海南“自貿島”建設完全可以因地制宜地實施不同的“重要數據目錄”。
其三,為服務我國“一帶一路”戰略的實施,我國可以基于“一帶一路”國家的實際情況,根據政治外交、商貿合作、人文交流等因素,制定面向不同國家的“重要數據目錄”,有針對性地調適數據出境的范圍寬窄和出境規則的松緊,以此取得對外合作的戰略目標。
結語
《數據安全法》改變了我國數據分類分級工作的基本范式。“自下而上”的數據安全治理已不能完全滿足數據種類數據量、分析技術、商業模式等爆炸性發展所衍生的新安全風險。“自上而下”的數據分類分級能夠使組織有效地吸收其數據處理行為所產生的負面外部性。在法律層面,我國已經確立了個人信息和重要數據的基本分類。任何處理數據的組織應當高度關注國家制定的“重要數據目錄”,相應地調整組織內部對數據分類分級的實踐,并根據國家制定的個人信息和重要數據安全保護規則,更新組織所采用的安全保護措施。
從統籌安全和發展的角度來看,一方面,我國在開展數據分類分級工作和制定重要數據目錄,應當秉持科學、客觀、動態的原則,避免將過多的數據納入重要數據的保護范圍之中。另一方面,為更好地參與到數據資源的國際競爭之中,我國還可以靈活地使用數據分類分級和重要數據目的等政策工具,實施因地制宜的數據流動策略,使我國的主權、安全和發展利益最大化。
