如何對數(shù)據(jù)進行分級分類保護

侯利陽　賀斯邁

數(shù)據(jù)安全機制的確立，最終要通過多個部門法的鏈接和共治來實現(xiàn)（圖/視覺中國）

立法回眸：數(shù)據(jù)安全保護大起底

我國對于數(shù)據(jù)安全的關(guān)注由來已久。早在《數(shù)據(jù)安全法（草案）》（以下簡稱“《草案》”）草擬之前，數(shù)據(jù)安全的保護就存在于一系列的法律法規(guī)之中。其中，最早的要數(shù)1994年頒布的《計算機信息系統(tǒng)安全保護條例》。當時沒有數(shù)據(jù)這個概念，該條例使用的還是信息安全保護的措辭。在后續(xù)的發(fā)展中，信息保護的實踐操作被大大加強，并逐步演化出分級保護的理念。這其中最為重要的就是2007年公安部頒布的《信息安全等級保護管理辦法》。該辦法按照信息系統(tǒng)損害后的社會后果差異將信息安全分為五級：損害個人利益（第一級）、損害社會利益（第二級）、損害國家安全（第三級）、嚴重損害社會利益（第四級）、嚴重損害國家利益（第五級）。基于這種分級保護的思路，我國在2008年建立了信息安全保護的國家標準，此即《信息安全技術(shù)、信息系統(tǒng)安全等級保護基本要求》，針對不同的保護等級從技術(shù)層面設置了詳細的保護要求，包括安全通用要求、云計算安全擴展要求、移動互聯(lián)安全擴展要求、物聯(lián)網(wǎng)安全擴展要求以及工業(yè)控制系統(tǒng)安全擴展要求等。至此，我國的數(shù)據(jù)分級保護體系開始全面地建立起來。

在《草案》發(fā)布之前，我國的數(shù)據(jù)保護基本上只遵循分級保護的思路。比如，2016年頒布的《網(wǎng)絡安全法》采用的依然是分級保護的提法。但分級保護只是設置了數(shù)據(jù)保護的框架，數(shù)據(jù)占有主體依然不明確哪些數(shù)據(jù)應當給予什么級別的保護，這給數(shù)據(jù)的市場運營造成了很多困擾。因此，單單從數(shù)據(jù)分級的角度構(gòu)建數(shù)據(jù)安全體制尚不足以充分保障數(shù)據(jù)的安全。雖然《網(wǎng)絡安全法》中也涉及了一些數(shù)據(jù)分類保護的內(nèi)容，但沒有將之作為原則進行確立。此次《草案》明確構(gòu)建了數(shù)據(jù)分級分類保護的原則，并且對數(shù)據(jù)保護提出了極高的要求——由中央國家安全領(lǐng)導機構(gòu)制定具體規(guī)定，由地方政府、行業(yè)主管部門、公安機關(guān)等制定重要數(shù)據(jù)保護目錄，最終由數(shù)據(jù)占有主體執(zhí)行。此外，《草案》還提出建立國家級別的數(shù)據(jù)安全風險評估、報告、信息共享、監(jiān)測預警機制，數(shù)據(jù)安全應急處置機制，數(shù)據(jù)安全審查制度等配套性機制。

數(shù)據(jù)分級保護與分類保護是數(shù)據(jù)保護的兩大維度，二者相輔相成。數(shù)據(jù)分級側(cè)重于劃定數(shù)據(jù)所具有的某種后果性標準，并構(gòu)建相應的技術(shù)保護體系;數(shù)據(jù)分類是把具有共同屬性或特征的數(shù)據(jù)歸并在一起，通過其類別的屬性或特征將之納入不同的分級保護體系之中。兩者從不同的角度明確數(shù)據(jù)安全的責任和邊界，確定責任主體的具體義務。可以說，《草案》回應了我國目前對于數(shù)據(jù)保護的現(xiàn)實需求，彌補了數(shù)據(jù)保護的短板。但是，《草案》雖然確立數(shù)據(jù)分類保護的原則，卻并未真正構(gòu)建分類保護的實操性規(guī)則，這有待后續(xù)配套性法規(guī)的出臺，否則只能是無本之木。

在《草案》出臺之前，我國已經(jīng)有一些法律文件對數(shù)據(jù)的分級分類進行了初步規(guī)定。這其中最為重要的是工信部在2020年初頒布的《工業(yè)數(shù)據(jù)分類分級指南（試行）》（以下簡稱“《分類分級指南》”）。《分類分級指南》僅僅規(guī)制工業(yè)企業(yè)和平臺企業(yè)的數(shù)據(jù)安全，為二者的所控數(shù)據(jù)設置了分類要求。工業(yè)企業(yè)數(shù)據(jù)被分為研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、運維數(shù)據(jù)、管理數(shù)據(jù)、外部數(shù)據(jù)等。平臺企業(yè)數(shù)據(jù)被分為平臺運營數(shù)據(jù)和企業(yè)管理數(shù)據(jù)。此外，《分類分級指南》根據(jù)不同類別工業(yè)數(shù)據(jù)遭篡改、破壞、泄露或非法利用后可能對工業(yè)生產(chǎn)、經(jīng)濟效益等帶來的潛在影響，將工業(yè)數(shù)據(jù)分為一級、二級、三級等三個級別（一級最低、三級最高）。《分類分級指南》為我們今后依據(jù)《草案》建構(gòu)數(shù)據(jù)分級分類保護制度提供了參考樣板。但《分類分級指南》至少存在三個問題。其一，《分類分級指南》中的數(shù)據(jù)安全分級與《信息安全等級保護管理辦法》存在對接上的困難，前者分為三級，而后者則分為五級。其二，《分類分級指南》雖然構(gòu)建了數(shù)據(jù)分級分類保護的標準，但未建立二者之間的聯(lián)動機制;換言之，何種數(shù)據(jù)應當給予什么級別的保護依然模糊。其三，從條文規(guī)定來看，《草案》確立了三種特殊的數(shù)據(jù)分類：重要數(shù)據(jù)（第19條）、國家安全數(shù)據(jù)（第22條）、屬于管制物項的數(shù)據(jù)（第23條）。但這些分類在《分類分級指南》中并沒有得到體現(xiàn)。因此，《分類分級指南》中無法直接作為《草案》的配套性規(guī)定，依然需要我們在《草案》正式頒布之后重新思考這些問題。

他山之石：域外數(shù)據(jù)分類分級規(guī)則考

數(shù)據(jù)分級分類的具體規(guī)則主要涉及實際操作方面的內(nèi)容，因此其他國家的相關(guān)經(jīng)驗對我們具有重要的參考意義。國際層面對數(shù)據(jù)保護的代表性法域主要為歐盟和美國。歐盟以GDPR為代表，建立了以保護用戶基本權(quán)利為核心的數(shù)據(jù)安全體系，對數(shù)據(jù)占有主體施加了較為嚴格的規(guī)范性義務。而美國選擇賦予市場更大的自由，以市場自主調(diào)節(jié)與高度監(jiān)管的方式構(gòu)建數(shù)據(jù)安全體系。我國目前對于數(shù)據(jù)保護的態(tài)度更接近于美國，因此本文主要參考美國的相關(guān)制度。美國對于數(shù)據(jù)安全保護的重要制度是受控非密信息的管理制度。

美國的受控非密信息保護制度從強制統(tǒng)一標識入手，將原有的幾十種標識方式逐項做了統(tǒng)一，按需將各部門的不同標識（如“工作秘密”“內(nèi)部信息”“敏感信息”“私有信息”“商業(yè)秘密”等）作出一體化規(guī)定。其中，對我國借鑒意義最大的部分是其構(gòu)建的分級分類保護制度。該制度將受控非密信息分為二十大類。這二十大類主要按照行業(yè)進行區(qū)分，諸如隱私、專利、移民、金融、商業(yè)信息、稅收、交通等。這些大類又被細分為124子類，每個類別都有對應的子類別。比如，隱私被細分為合同使用、死亡記錄、一般隱私信息、遺傳信息、健康信息等子類別。每個子類均有詳細的定義、各自的強制分類標識、所對應的分級保護標準以及相應的法律責任。

頭腦風暴：《草案》所涉分級分類問題的建設性方案

與美國的相關(guān)操作相比，目前《草案》中關(guān)于分級分類保護的問題主要有四：缺乏統(tǒng)一的分級體系、缺乏細致的分類體系、缺乏分級與分類的聯(lián)通機制、缺乏相應具體法律責任。鑒此，我們應當首先借鑒美國受控非密信息保護制度的相關(guān)經(jīng)驗，建立強制統(tǒng)一標識制度、統(tǒng)一的登記備案系統(tǒng)和執(zhí)行機構(gòu)、統(tǒng)一的分級保護制度。其次，建立統(tǒng)一的數(shù)據(jù)分類制度。目前對于數(shù)據(jù)分類保護規(guī)制最多的行業(yè)主要是金融業(yè)，其基本的分類路徑是按照影響對象、影響范圍、影響程度對數(shù)據(jù)進行大類別劃分，再通過對業(yè)務和數(shù)據(jù)細分，形成從總到分的整體性邏輯體系。對此，我們可以結(jié)合政府機構(gòu)、重點行業(yè)和主管部門的意見，建立以行業(yè)為標準、以業(yè)務為導向、符合我國基本國情的核心數(shù)據(jù)類型，并在核心類型的概念基礎上向外輻射，確保數(shù)據(jù)類別與安全防護需求基本一致。

此外，數(shù)據(jù)的分級分類保護還需要規(guī)定相應法律責任的保障機制。數(shù)據(jù)安全機制的確立，以及安全保護目的的實現(xiàn)，最終要通過多個部門法的鏈接和共治來實現(xiàn)。尤其是在當前數(shù)據(jù)權(quán)屬不清、爭議頻發(fā)的市場現(xiàn)狀下，最大化釋放數(shù)據(jù)產(chǎn)能，要求我們必須建立起嚴格的問責機制，落實義務人。落實法律責任是個系統(tǒng)性的工程，需要我們在民法、競爭法、行政法、刑法等多個層面構(gòu)建責任體系。比如，行政法可以要求就特定數(shù)據(jù)依規(guī)依法開放、依照比例原則保護數(shù)據(jù)權(quán)益人的數(shù)據(jù)權(quán)利和數(shù)據(jù)被收集行為;民法可從契約保護的角度為數(shù)據(jù)的基本活動構(gòu)建多場景的保護機制等。