論數智經濟時代重要數據安全的法律保護

祝高峰

（桂林電子科技大學 法學院/知識產權學院，廣西 桂林 541004）

引言

數智經濟時代是數字經濟更深層次的發展階段，即數字經濟與人工智能的深度結合應用時代，也可以概括為“數字經濟+算法”的時代。伴隨著算法的深度應用，數據洪流急劇涌向社會各個層面和領域，如何規制網絡空間中的數據信息安全，特別是關鍵信息基礎設施領域的重要數據安全，保障重要數據安全，是各國所面臨的緊迫又亟待解決的問題。早期的關鍵基礎設施更多地應當是指物理空間中的關鍵基礎設施，但是隨著網絡空間的不斷擴展和延伸，各國都更多的關注于關鍵信息基礎設施領域的網絡安全，這也使得關鍵基礎設施和關鍵信息基礎設施之間的邊界變得越發模糊。在歐盟、澳大利亞、日本等國家，兩者的概念經常互相交錯使用。關鍵信息基礎設施已經逐漸與關鍵基礎設施的邊界趨同。國際社會中，國家關鍵信息基礎設施也通常用于泛指那些需要進行網絡安全保障的國家關鍵基礎設施[1]。“CI”（Critical Infrastructure，關鍵基礎設施）一詞在20世紀90年代之前不存在，對CIP（Critical Infrastructure Protection，關鍵基礎設施保護）的最早定義出現在1997年。然后，從1997年到2003年，對CI部門的確定從8個擴大到13個部門加上5個關鍵資產（Key Assets），再次擴展到18個部門和關鍵資源（Key Resources），然后在2013年合并為16個CIKR（Critical Infrastructure and Key Resources）部門[2]。文章論述中如無特殊說明主要采用“關鍵信息基礎設施”的表達，以便與我國《網絡安全法》和《數據安全法》中的表達保持一致。

一、重要數據安全保護面臨的困境

（一）重要數據相關基本問題未能厘清

重要數據術語界定散見于不同規定之中，但是都比較分散且無具體的說明。2017年4月，國家互聯網信息辦公室發布了《個人信息和重要數據出境安全評估辦法（征求意見稿）》（以下簡稱《評估辦法》），在《評估辦法》第17條①《個人信息和重要數據出境安全評估辦法（征求意見稿）》第17條中，將重要數據規定為：“重要數據，是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體范圍參照國家有關標準和重要數據識別指南。”中做了概括性的規定。2017年5月，全國信息安全標準化技術委員會組織起草了國家標準《信息安全技術數據出境安全評估指南（草案）》［以下簡稱《評估指南》（草案）］在征求意見稿中也做了基本的規定。在2017年8月，全國信息安全標準化技術委員會在《信息安全技術 數據出境安全評估指南（征求意見稿）》［以下簡稱《評估指南》（征求意見稿）］中對重要數據的規定②《信息安全技術數據出境安全評估指南（征求意見稿）》中3.5部分指出：“重要數據相關組織、機構和個人在境內收集、產生的不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關的數據（包括原始數據和衍生數據）”，經政府信息公開渠道合法公開的，不再屬于重要數據。具體范圍參照附錄A重要數據識別指南部分內容。進行了例外的解釋，《評估指南》（征求意見稿）雖然對重要數據進行了更進一步的規定，但是不論從《評估指南》（征求意見稿）中對重要數據的規定還是在《評估指南》（草案）、《評估辦法》的規定中，都不能找到重要數據的明確界定，從《評估指南》（征求意見稿）中來看，目前有關重要數據規定對應的領域則主要體現在關鍵信息基礎設施領域。重要數據應當主要是指關鍵信息基礎設施領域的重要數據財產資源，其有別于個人信息資源，這就是《評估辦法》里面為什么沒有提及個人信息也是屬于法律上的重要數據范圍的原因，兩者本質上具有不同的法律屬性。

當下有關重要數據的范疇既包括了個人信息、隱私數據，又包括商業信息、經營管理數據信息等。一句話，重要數據的內容幾乎囊括了數據信息的各個綜合方面。如果重要數據的概念、內涵以及法律屬性不能明確的界定，那么對重要數據的規制必然缺失法理基礎。

（二）重要數據安全面臨的挑戰與危機

1.來自網絡入侵的威脅

物理空間的基礎設施與信息系統的融合程度不斷加深，在全球化融合的態勢下，重要數據安全在關鍵信息基礎設施領域正受到前所未有的網絡威脅，主要威脅來自網絡恐怖主義、網絡盜竊、網絡間諜、網絡黑客、高級持續性威脅（Advanced Persistent Threat，APT）等方面。2021年5月7日，美國最大輸油管道運營商Colonial Pipeline表示，該公司遭到了網絡攻擊，BBC援引多個信源報道稱，實施此次襲擊的是名為“黑暗面”（Dark Side）的網絡犯罪團伙，通過對目標系統植入惡意軟件，劫持了科洛尼爾管道運輸公司將近100GB的數據[3]。此次網絡安全攻擊，讓美國的關鍵信息基礎設施的脆弱性充分顯現。然而此事不久后，又發生了針對關鍵信息基礎設施領域重要數據安全進行攻擊的網絡事件。2021年7月21日，據美聯社報道，全球最大石油公司沙特阿美的約1TB數據出現在暗網上。黑客表示，如果沙特阿美以加密貨幣支付5000萬美元，就把數據刪除。此前黑客組織ZeroX聲稱這些被盜取的數據時間跨度達27年，包括員工信息、項目規范和分析報告等[4]。

重要數據的安全對任何一國來說，其重要性都不言而喻，我國目前針對關鍵信息基礎設施領域的重要數據安全保護能力仍較弱，面對重要數據安全來自互聯網的非法入侵、惡意攻擊等行為仍然缺乏必要和有效應對處理機制，重要數據安全的風險抵御能力較弱，整個關鍵信息基礎設施領域的數據安全治理都相對緩慢，缺乏有效的法律保障機制，尤其在重要數據安全的監測預警機制、重要數據安全面臨突發威脅應急響應機制、對重要數據的處置恢復能力等方面仍缺乏有效的法律制度保障。

2.網絡產品自身存在的安全隱患

對于關鍵信息基礎設施領域的網絡產品目前實現完全自主可控仍不現實，我國重要領域的重要數據安全存在極大的隱患，尤其在涉及政府、能源、通信、海關、金融、交通、醫療等關鍵信息基礎設施領域的網絡產品仍主要依靠進口，網絡產品自身安全性存在很大風險，必然也會危及到重要數據安全。網絡產品的涵蓋范圍也比較廣泛，既有硬件方面的產品，也有軟件方面的產品，對于網絡產品自身存在的安全隱患，如果全部做到監管、排查也是不現實的，但是對于關鍵信息基礎設施領域的涉及重要數據安全的網絡產品運行和應用，建立有效的重要數據安全檢測、評估、監管等制度則是必要的。

3.重要數據具有極易遭受攻擊的屬性

重要數據安全不僅僅關系到政府、能源、通信、海關、金融、交通、醫療等關鍵信息基礎設施領域的數據資源安全，由于這些行業和領域都與各國的國家安全，社會穩定緊密相連，因此，重要數據極易成為網絡黑客和網絡間諜的攻擊目標。大數據時代，數據的“爬取”能力也越來越強，僅僅通過技術層面對重要數據安全提供完善的保護，顯然是不夠的，在注重技術保護的同時，更應當設立有效的法律保障制度，從技術和制度上“雙管齊下”，才能為重要數據安全提供有效的保障。因此，針對重要數據安全極易受到威脅和攻擊的屬性，從法律層面規制重要數據安全不僅具有理論層面的意義，更具有現實的緊迫意義。

美國、歐盟等發達國家在網絡信息安全保護方面仍處于主導地位，美國網絡安全企業在技術創新方面的綜合實力仍處于遙遙領先的位置。2018年，美國有353家網絡安全企業上榜，約占據500強的71%，且在前10名中占據8個席位[5]。重要數據安全對各國的主權安全、政權安全、經濟發展安全以及社會安全等方面都具有深刻的影響，各國都將不遺余力地保護本國的關鍵信息基礎設施領域，維護本國的數據主權安全和重要數據安全。

二、重要數據安全法律保護的域外實踐模式

國外對重要數據安全的法律保護并未有明確的規定，對與重要數據安全相關的關鍵信息基礎設施領域則采取了相應的規定，這些規定主要體現在對整個關鍵基礎設施信息系統的保護上、信息系統與物理設施同時進行保護以及保障信息技術安全上。

（一）美國對關鍵基礎設施采取整體綜合保護的模式

早在1996年，克林頓政府第13010號行政令中就已經對8類①關鍵基礎設施主要包括電信、電力系統、天然氣及石油的存儲和運輸、銀行和金融、交通運輸、供水系統、緊急服務（包括醫療，警察，消防，救援）、政府連續性等 8 類。張莉.美國保護關鍵基礎設施法律分析及啟示[EB/OL].http：//www.xinhuanet.com//world/2015-07/24/c＿128056543.htm，2015-07-24.關鍵基礎設施定義了范圍。2002年美國《國土安全法》（Homeland Security Act of 2002）將關鍵資源（Key Resources）定義為“對經濟和政府的最低限度運行至關重要的公共或私人控制的資源”。有趣的是，這項法案并沒有提供任何關鍵資源的具體例子，而是主要強調了理解關鍵資源的性質，包括風險、威脅和漏洞的重要性。在《國土安全法》頒布近一年后，美國總統提出了物理保護關鍵基礎設施和關鍵資產的國家戰略（National Strategy for the Physical Protection of Critical Infrastructures and Key Assets），該戰略引入了“關鍵資產”的概念。關鍵資產被定義為“單個目標，其破壞不會危及重要系統，但可能造成局部災難或嚴重損害我們國家的士氣或信心”。“關鍵基礎設施”“關鍵資源”和“關鍵資產”的概念包括物理、“硬”系統（如道路和高速公路），以及控制硬系統的“軟”系統，因此，在解決不同利益相關者時，“關鍵”和非關鍵系統之間的區別是困難的[6]。

2013年奧巴馬政府制定的《提高關鍵基礎設施的網絡安全》出臺后，同時要求關鍵基礎設施要具有恢復力的文件也隨之出臺。2014年第一個全面指導性文件“關鍵基礎設施網絡安全框架規范”出臺[7]。2019年5月15日，美國總統特朗普簽署《確保信息通信技術與服務供應鏈安全》行政令，要求禁止交易、使用可能對美國國家安全、外交政策和經濟構成特殊威脅的外國信息技術和服務[8]。美國規定關鍵基礎設施是指一旦喪失功能或遭到破壞，將對國家安全、經濟安全、公共健康，對美國至關重要的實際或虛擬的系統和資產產生嚴重損害的設施。美國確定了10個②它們分別為：國土安全部門負責通信和信息技術、化工、關鍵制造、應急服務、水利、核反應堆及其材料和廢棄物、商業設施等7個行業；國土安全部和聯邦事務管理總局共同負責政府設施的安全保護；國土安全部和運輸部共同負責運輸系統；能源部負責能源行業；財政部負責金融服務行業；環境保護署負責水及污水處理系統；衛生與公眾健康部負責醫療保健和公共衛生行業；國防部負責國防工業；農業農村部和衛生與公眾健康部共同負責食品和農業。楊合慶.中華人民共和國網絡安全法釋義[M].北京：中國民主法制出版社，2017：89-91.聯邦主管部門負責行業內的關鍵基礎設施保護工作，通過此種部門分工負責的機制實現對關鍵信息基礎設施的保護，不僅可以節省保護重要數據資源的成本，更加有利于實現重要數據的高效保護。

從美國對關鍵信息基礎設施的立法保護中不難看出，美國對重要數據安全的保護，主要體現在其對整個關鍵基礎設施信息系統的保護，而并未放在重要數據安全的保護規制上。美國定義的CI范圍比其他國家要廣，且會隨著社會的發展而不斷地進行調整。

（二）英國設立國家基礎設施保護中心保護關鍵國家基礎設施

在英國，CNI（Critical National Infrastructure，關鍵國家基礎設施）由向國家提供不間斷基本服務的關鍵元素組成。沒有這些元素，基本服務就不能提供，英國將遭受嚴重的經濟損害、巨大的社會破壞乃至嚴重的生命威脅[9]。其中有10個①它們分別是：通信（數字通信、固定語音通信、郵遞、政府信息、無線通信）；應急服務（救護、消防和營救、海上急救、警察）；能源（電力、天然氣、石油）；金融（資產管理、金融設施、投資銀行、市場、小額銀行）；食品（生產、進口、加工、配送、零售）；政府和公共服務（中央政府、地區政府、地方政府、議會和立法機關、司法、國家安全）；公共安全（化學、生物、輻射和核［CBRN］恐怖襲擊；危及百姓生活的事件）；健康（醫療保健、公共衛生）；交通（航空、海運、鐵路、公路）；水處理（飲用水、污水）。北京江南天安科技有限公司.英國關鍵信息基礎設施保護概述[J].信息網絡安全，2009（08）：33.領域被認為是在提供“基本服務”。CIIP（Critical Information Infrastructure Protection，關鍵信息基礎設施保護）的保護責任主要由內政大臣承擔。CPNI（Centre for the Protection of National Infrastructure，國家基礎設施保護中心）建立于2007年2月1日，由NISCC（National Infrastructure Security Coordination Centre，國家基礎設施安全協調中心）和NSAC（National Security Advice Centre，國家安全咨詢中心）合并而來。其主要功能之一就是發揮政府機構在保護各CNI部門的工作中的協調作用。同時CPNI一直承擔著保護英國CNI免受物理和電子攻擊侵擾的責任。CPNI負責向構成了國家基礎設施的企業和機構提供一體化（信息、人員和物理形式的結合）安全建議[10]。

英國將關鍵基礎設施領域的行業、企業看成為一種“基本服務”，對重要數據安全的保護也主要是體現在其對物理設施的保護以及信息系統的保護上，也并未有對重要數據安全明確規定的法律。

（三）德國通過完善法律制度保護關鍵信息基礎設施

德國聯邦參議院于2015年7月10日，通過了新的《聯邦信息技術安全法》，其中對能源、信息與通信、交通運輸、衛生保健、供水、食品以及金融保險等行業中被認定為關鍵基礎設施的運營者進行重點保護。該法案從受保護資產的可用性、完整性、保密性和可靠性的角度，強化信息技術安全局的職能，以應對信息技術系統面臨的現實和未來的威脅。新的《聯邦信息技術安全法》共有10個部分，堪稱系統完備的關鍵信息基礎設施保護制度體系。明確了聯邦信息技術安全局作為國家信息安全主管機構，除了原有的保障聯邦信息技術安全的職能外，它將作為個人、企業、行政機構、政界之間有關信息技術安全對話溝通的主要職能部門。同時也明確了關鍵基礎設施的范圍[11]。為了進一步提高網絡信息安全，德國聯邦政府于2020年12月16日通過了《信息技術安全法》的修訂草案，隸屬德國聯邦內政部的聯邦信息安全辦公室的權限得到擴大，除能源、供水等關鍵基礎設施運營商外，將有更多企業需履行風險報告義務，如國防工業和其他對國民經濟具有特別重要意義的企業等[12]。

（四）日本采取維護信息系統安全的方式保障關鍵基礎設施

2005年，日本國家信息安全中心制定并頒布了《關鍵基礎設施信息安全措施行動計劃》，其中對關鍵基礎設施的概念作出了明確的界定，即由提供高度不可代替且對人民社會生活和經濟活動不可或缺的服務的商業實體組成，如果其功能被暫停、削弱或根本無法運行，人們的社會生活和經濟活動會遭受重大破壞。其中規定關鍵部門包括10類：電信、金融、民航、鐵路、電力、燃氣、政務、醫療、水利和物流。依照該行動計劃，組成關鍵基礎設施重要部分的基本信息系統統稱為“關鍵信息系統”[13]。日本政府于2010年5月頒布《保護國家信息安全戰略》，并再次強調現有的信息安全政策，確保物聯網（IoT）設備安全、醫療和教育領域信息安全的必要性，并推廣加密甚至“匿名”隱私保護技術的使用。2013年6月，日本發布首個《網絡安全戰略》，首次明確提出“在國外，針對交通信號設備和關鍵基礎設施（如控制系統）的網絡攻擊，其復雜性和復雜程度都令人懷疑政府組織參與其中”。2014年，日本出臺《網絡安全基本法》，首次對“網絡安全”一詞進行法律界定，并明確規定了日本政府、地方當局、關鍵信息基礎設施提供商、網絡相關企業經營者、教育/研究機構等的相關職責[14]。從以上分析不難看出，日本主要是采取維護信息系統安全的方式保障關鍵基礎設施安全。

三、重要數據安全法律保障制度構建

2019年5月，在2019中國國際大數據產業博覽會上，2015年圖靈獎獲得者、世界著名密碼技術與安全技術專家惠特菲爾德·迪菲說，數據量越大，安全保障的重要性就越大，有太多案例已經證明了這一點。5G、人工智能、大數據、移動互聯網、物聯網和云計算的協同融合，點燃了新的引擎，有數據安全才有數據未來[15]。由此可見，當下數據安全的重要性已不言而喻，數據安全中的個人信息安全和重要數據安全更是重中之重。

（一）理論層面

1.重要數據的界定

不論是《評估辦法》對重要數據的一般性規定，還是2017年8月，全國信息安全標準化技術委員會在《評估指南》（征求意見稿）對重要數據的規定，都是更多地關注在重要數據的重要性層面上，在2017年8月，全國信息安全標準化技術委員會在《評估指南》（征求意見稿）中指出：“重要數據相關組織、機構和個人在境內收集、產生的不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關的數據（包括原始數據和衍生數據）”，經政府信息公開渠道合法公開的，不再屬于重要數據。該條規定的重要數據應當滿足以下條件：（1）重要數據的搜集地域范圍限制在境內；（2）重要數據來源主體的廣泛性；（3）不涉及國家秘密，同時也沒有經過政府合法公開過的重要數據；（4）收集和產生的重要數據還要與國家利益和公共利益密切相關。與此對應的領域則主要體現在關鍵信息基礎設施領域。重要數據應當主要是關鍵信息基礎設施領域的重要數據財產資源，有別于個人信息資源，個人信息也是屬于法律上的重要數據資源范疇，但與特指的重要數據概念不同。

文章將重要數據界定為：重要數據是指面向境內收集的不為一般公眾所知悉的也未經合法公開的與國家利益或者社會公共利益緊密相關的重要數據信息資源，該重要數據一旦遭受竊取、泄露或者非法公開等將會給國家利益和社會公共利益造成重大損失，嚴重的會影響到國家安全。

2.重要數據的特征及法律屬性厘定

重要數據具有重要的價值，重要數據作為數據資源的一部分，應當與數據、信息的特征，尤其是法律意義上的數據、信息特征具有同質性，即重要數據應滿足數據、信息的法律特征。重要數據或者信息成為財產的理由主要包括以下方面：（1）重要數據信息資源的稀缺性，具有價值性；（2）重要數據信息資源的可控性，重要數據信息資源有具體的或者相對的管控人；（3）重要數據信息資源可以交易。主要存在關鍵信息基礎設施領域的重要數據當然具有稀缺性及巨大的經濟價值，同時不論是在官方機構掌控的重要數據，還是由企業、甚至是個人掌控下的重要數據，都是可以控制的，重要數據達到一定條件可以交易，因此，重要數據的本質屬性具有財產性，重要數據安全則屬于數據安全的一部分。

（二）制度層面

重要數據安全的法律保護，在有法理支撐的條件下，再對重要數據安全的法律保障制度進行構建則必事半功倍，重要數據安全法律保障機制的內容應當包括以下主要方面。

1.建立重要數據安全綜合保障制度

（1）建立分類、分級的重要數據安全管理制度。梳理對標《國家安全法》《網絡安全法》《評估辦法》以及《評估指南》（征求意見稿）等法律法規要求，建立重要數據安全分類、分級保護，重要數據安全預警以及重要數據對外提供使用報告等制度，健全完善關鍵信息基礎設施領域個人信息安全和重要數據數據安全生命周期安全管理制度；（2）完善重要數據識別標準體系。推動出臺關鍵信息基礎設施領域的《個人信息和重要數據安全標準體系建設指南》，加快完善關鍵信息基礎設施領域的網絡數據安全標準體系。盡快出臺行業重要數據識別指南、網絡重要數據安全防護等重點標準，遴選部分關鍵信息基礎設施領域的企業或行業開展貫標試點，加快推動網絡重要數據安全相關標準制定工作；（3）建立重要數據安全風險評估機制。出臺重要數據安全合規性評估要點，針對物聯網、人工智能、區塊鏈等新技術新應用帶來的重要數據安全問題，及時進行風險評估和監測，積極推動建立重要數據安全風險評估機制；（4）建立重要數據安全出境的監管審查制度。重要數據安全關系國家安全，重要數據所涵蓋的數據信息價值巨大，重要數據一旦泄露將會導致嚴重后果，因此應建立重要數據安全出境的監管審查制度。

2.實施重要數據資源“清單式”管理制度

對關鍵信息基礎設施領域開展分門別類的重要數據資源調研摸底，依據重要數據的敏感程度和泄露濫用可能造成的危害，制定關鍵信息基礎設施領域重要數據安全保護目錄，并選取重點企業開展試點應用。同時建立試點企業內部重要數據清單和重要數據分類、分級管理制度，對列入的重要數據實施重點保護。工作是艱辛復雜的，但是長效來看是值得的。明確關鍵基礎實施領域重要數據安全的職能部門，設立重要數據安全管理責任部門和專職人員，承擔相關領域重要數據安全管理工作，明確各關鍵信息基礎設施領域內部有重要數據安全的日志記錄、重要數據訪問控制、重要數據加密、重要數據脫敏、重要數據容災備份等重要數據安全的保護措施，組織開展重要部門重要數據安全崗位人員相關的法律法規培訓、知識技能等培訓，落實重要數據安全事件報告、調查追責、向社會公告等要求。

3.加強關鍵信息基礎設施領域信息通信技術（ICT）供應鏈的監管

ICT供應鏈安全應從四個方面著手：針對關鍵軟硬件產品開展安全審查，管控供應鏈網絡安全風險；統籌推進開源代碼安全檢測工作，提升對ICT供應鏈安全威脅的檢測能力；督促供應商營造安全的供應環境，強化對ICT供應鏈網絡安全威脅的源頭管控；引導用戶企業加強安全管理，補齊ICT供應鏈管理短板[16]。以上措施同樣也可以用于對重要數據安全的保護，統籌協調金融、電信、交通等行業主管部門，盡快啟動針對關鍵軟硬件產品的網絡安全審查工作，對進入我國重要行業、領域的關鍵軟硬件產品進行網絡安全審查。盡快制定出臺網絡安全審查、評估配套方面的標準規范，加快推廣實施ICT供應鏈重要數據安全風險管理指南、信息技術產品安全可控評價指標系列國家標準，為開展重要數據安全審查提供支撐。

四、結語

由于網絡空間數據信息自由流動的原則以及數據跨境交易業已成為常態，結合互聯網的特性，重要數據安全的保障在國際層面需要各國共同努力構建良好的網絡空間治理環境，保障重要數據的保密性、可用性、可控性和完整性，各個國家應順應時代潮流，在“領網”①“領網”是指國家基于網絡信息技術和信息基礎設施而架構起來的網絡空間，國家對在“領網”內的信息數據享有主權權力和權利。祝高峰.大數據時代國家信息主權的確立及其立法建議[J].江西社會科學，2016，36（07）：194.的范圍內勇擔數據安全發展的責任，共迎重要數據安全面臨的風險挑戰，共同推進網絡空間重要數據安全的治理，努力推動構建網絡空間命運共同體。重要數據安全是一個多維度的問題，重要數據安全不僅關系到關鍵信息基礎設施領域的數據安全，更會危及社會安全和國家安全，因此在明確數據主權的前提下，界定重要數據的概念，厘清重要數據的法律屬性，構建重要數據安全的法律保障機制既是現實保護數據安全的要求，也是完善數據安全法律保障制度的要求。