我國重要數據認定制度的探索與完善

劉金瑞

隨著信息技術與人類生產生活深度交匯融合，人類行為日益表現為網絡空間的數據流，數據呈現爆發式增長并且海量集聚，對人類社會產生了重大而深刻的影響，已經成為國家基礎性戰略資源，〔1〕《國務院關于印發促進大數據發展行動綱要的通知》（國發〔2015〕50 號）。沒有數據安全就沒有國家安全。對此，立法機關及時制定《中華人民共和國數據安全法》（以下簡稱《數據安全法》），開啟了全球數據安全綜合立法的先河。該法確立了一系列維護國家數據安全的重要制度，包括數據分類分級保護制度，其中明確提出要加強對重要數據的保護。

這種重要數據不同于國家秘密，也不同于公開信息，而是介于二者之間的一類應該被管控的高風險數據，央視曾披露的某公司“數據買賣”案中向境外非法提供的我國高鐵數據就是典型例證。〔2〕《焦點訪談：失算的數據買賣》，央視網，https://news.cctv.com/2022/04/13/ARTI4FaQrwUQQp4WbKJPC1Jn220413.shtml，2023 年9 月1 日訪問。對高風險數據進行重點管控并非我國獨創，而是很多國家的常見做法，盡管域外并沒有采用“重要數據”的概念。例如，美國2010 年以來建立了受控非密信息管理制度，〔3〕Executive Order 13556: Controlled Unclassified Information, Federal Register, Vol.75, No.216, November 9, 2010, pp.68675-68677.Controlled Unclassified Information (CUI), 32 C.F.R.Part 2002.將國家秘密之外的關鍵基礎設施、國防、金融等20 個大類125 個子類的敏感信息納入統一管理；2018 年8 月更新《外國投資風險審查現代化法》，〔4〕Foreign Investment Risk Review Modernization Act of 2018 (FIRRMA), Pub.L.No.115-232, 132 Stat.2173.將針對美國“敏感個人數據”商業的外國非控制性投資納入外資安全審查范圍，以避免這些數據被外國政府或主體獲取。無論是域外相關制度，還是我國專門立法，管控這種重要數據的主要理由就在于這些數據事關國家安全和公共利益。

從我國立法來看，重要數據概念最早出現在《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）之中，該法規定了關鍵信息基礎設施的重要數據的出境安全管理，此時重要數據主要是作為數據出境安全管理的對象。隨著數據安全風險成為國家安全的新挑戰，《數據安全法》將重要數據保護確立為一項獨立的國家數據安全管理制度，就重要數據的目錄管理、保護義務、風險評估、出境安全等提出了基本要求，重要數據保護已經成為維護國家數據安全的核心制度。

保護重要數據的前提是確定重要數據的范圍。但什么是重要數據，如何認定重要數據，《網絡安全法》和《數據安全法》并未給出明確規定，雖然近年來相關配套規定和國家標準對此進行了積極探索，但尚未形成統一協調的立法方案。目前《數據安全法》的配套行政法規《網絡數據安全管理條例》正在抓緊制定中，從國家網信辦2021 年11 月公布的該條例征求意見稿來看，相關條文對重要數據界定和認定的規定仍較為原則，難以滿足相關制度落地的迫切需要。

本文就是在此背景下，聚焦重要數據認定這一基礎性制度，厘清重要數據概念的界定，在梳理總結相關配套立法和國家標準探索經驗的基礎上，提出完善我國重要數據認定制度的建議，以期能夠對重要數據認定和保護的配套立法提供有益參考。

一、重要數據認定是國家數據安全監管的基礎

《數據安全法》第三章“數據安全制度”開篇在第21 條第1 款明確規定：“國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。”

可見，我國根據數據的重要程度和風險程度，對數據進行分類分級保護，將關系國家數據安全和公共利益的數據稱為“重要數據”，加強重要數據保護成為維護國家數據安全的關鍵所在。重要數據也成為《數據安全法》構建國家數據安全管理制度的核心抓手，第四章就圍繞重要數據設定了多項“數據安全保護義務”。正因為重要數據是國家數據安全管理制度的基礎概念，明確重要數據范圍便成為國家數據安全監管的基礎和起點，而這就需要盡快明確重要數據認定這一基礎性制度。

（一）重要數據認定的重要性和緊迫性

無論是從貫徹實施《數據安全法》的基本制度來看，還是從切實保障國家數據安全、促進數據開發利用的現實需要來看，明確重要數據認定制度都意義重大、迫在眉睫。

一是切實維護國家數據安全的必然要求。數據是國家基礎性戰略資源，數據安全風險已經成為國家安全的新挑戰。為有效應對境內外數據安全風險，《數據安全法》貫徹落實總體國家安全觀，加強國家數據安全工作的統籌協調，確立了數據分類分級保護、數據安全風險管理、數據安全應急處置和數據安全審查等國家數據安全管理基本制度。其中以數據分類分級為基礎，根據對國家安全、公共利益的影響，將數據分為一般數據、重要數據和核心數據三級，事關國家安全和公共利益的重要數據、核心數據及其處理活動，是這些基本制度重點關注的管控對象。而且明確由中央國家安全領導機構建立的國家數據安全工作協調機制，負責統籌協調有關部門制定重要數據目錄，并加強對重要數據的保護，也充分體現了重要數據對國家數據安全的重要性。通過重要數據認定，可以明確重點保護和強化監管范圍，有利于防范和應對數據這一非傳統領域的國家安全風險，切實維護國家主權、安全和發展利益。

二是落實數據安全保護義務的客觀需要。數字經濟為人們生產生活帶來了極大便利，但同時各類數據的擁有主體多樣、處理活動復雜也帶來了嚴峻的數據安全風險。對此，《數據安全法》明確規定了一系列數據安全保護義務，尤其是根據數據風險程度設定了不同強度的保護義務，以切實維護國家安全、公共利益以及公民和組織的合法權益。其中對于事關國家安全和公共利益的重要數據，設定了特別保護義務，這包括重要數據處理者承擔的落實主體責任、定期風險評估、出境安全評估等義務，這些義務在《數據出境安全評估辦法》等配套法規中得到了進一步細化。這些特別保護義務的落地實施，需要數據處理者明確自身是否持有重要數據、持有哪些重要數據，而這離不開明確清晰的重要數據認定規則。通過重要數據認定，可以明確重要數據的保護范圍，落實重要數據處理者應盡的法定保護義務，有利于嚴格規范重要數據處理活動，切實加強重要數據安全保護，維護各方的合法權益。

三是促進數據要素價值釋放的重要舉措。數據已成為數字經濟時代的基礎性資源和新型生產要素，〔5〕《中共中央、國務院關于構建數據基礎制度更好發揮數據要素作用的意見》（2022 年12 月2 日）。應該充分釋放數據要素價值，大力推動我國數字經濟發展。《數據安全法》統籌發展和安全，在規范數據處理活動的同時，第二章專章規定了支持促進數據安全與發展的措施，第五章就推動政務數據開放利用作出專門規定。不過其中有些規定的落地實施也必須考慮數據分類分級和重要數據保護制度。例如，第19 條規定了“國家建立健全數據交易管理制度，規范數據交易行為，培育數據交易市場”，但該條本身并不能明確何種數據可以交易。筆者認為，建立數據交易市場需要以數據分級分類為前提，考慮到重要數據事關國家安全和公共利益，原則上不應作為可以交易的數據。換言之，促進數據開發利用也必須以不危害國家安全和公共利益為基本前提，這就需要明確重點保護和強化監管的重要數據的范圍。通過重要數據認定，可以明確數據開發利用的合法空間，有利于充分釋放數據要素價值，更好地服務我國經濟社會發展。

作為國家數據安全監管的基礎性制度，重要數據認定〔6〕我國國家標準往往將“重要數據認定”稱為“重要數據識別”，筆者認為無論是“識別”還是“認定”，都是強調從海量數據中挑出“重要數據”，只不過前者是技術層面的慣常用語，后者是法律層面的慣常用語，本文對二者不作區分，援引文獻時遵照其原本表述。制度主要是解決如何確定重要數據具體范圍的問題，而解決這一問題就要首先明確什么是重要數據。

（二）厘清重要數據概念的界定

《網絡安全法》和《數據安全法》本身并未規定重要數據的定義，界定重要數據的任務留給了相關配套立法。在《數據安全法》出臺之前，對重要數據的界定，主要出現在《網絡安全法》數據出境安全管理配套規定草案之中。2017 年4 月，國家網信辦發布的《個人信息和重要數據出境安全評估辦法（征求意見稿）》第17 條規定重要數據“是指與國家安全、經濟發展，以及社會公共利益密切相關的數據，具體范圍參照國家有關標準和重要數據識別指南”。2017 年5 月公布的國家標準《信息安全技術 數據出境安全評估指南（草案）》，〔7〕本文引用的信息安全技術國家標準，首次引用時注明全稱，后續再引時為行文簡潔，省去名稱中的“信息安全技術”。將重要數據界定為“與國家安全、經濟發展，以及社會公共利益密切相關的數據”，并嘗試在附錄《重要數據識別指南》中列出其具體范圍。為了強化數據安全監管，國家網信辦2019 年5 月發布了《數據安全管理辦法（征求意見稿）》，將“重要數據”界定為“一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等”，并且明確指出“重要數據一般不包括企業生產經營和內部管理信息、個人信息等”。

在《數據安全法》出臺之后，界定重要數據成為相關配套規定的首要任務。2021 年8 月，國家網信辦等五部門發布的《汽車數據安全管理若干規定（試行）》第3 條第6 款規定：“重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權益的數據。”2021 年11 月，國家網信辦發布的《網絡數據安全管理條例（征求意見稿）》（以下簡稱《條例（征求意見稿）》）第73 條規定“重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據”。2022 年7 月，國家網信辦發布的《數據出境安全評估辦法》第19 條將“重要數據”界定為“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經濟運行、社會穩定、公共健康和安全等的數據”。總結來看，這些規定界定重要數據主要從數據被不法處理或利用所影響的對象入手，而影響對象的表述逐漸完善和清晰，從“國家安全、公共利益或者個人、組織合法權益”，到“國家安全、公共利益”，再到細化為“國家安全、經濟運行、社會穩定、公共健康和安全”。從保護重要數據以維護國家數據安全的制度定位來看，將重要數據的影響對象限于國家安全和公共利益才能符合立法初衷，而考慮到公共利益的內涵和外延較為寬泛，將公共利益細化為“經濟運行、社會穩定、公共健康和安全”確實較為妥當。

需要指出的是，有些配套規定和國家標準界定重要數據時，還考慮了數據對影響對象造成的影響程度。工信部2022 年12 月印發的《工業和信息化領域數據安全管理辦法（試行）》，雖然并未明確給出重要數據的定義，但在第10 條從數據遭到篡改、破壞、泄露或者非法獲取、非法利用造成的影響程度入手，明確了認定重要數據的基本條件：對政治、軍事、經濟、生物等國家安全重點領域構成“威脅或影響”即可，而對工業和信息化領域生產運行、公共利益、行業發展等方面則應“造成嚴重影響”的程度。《網絡數據分類分級要求（征求意見稿）》也有類似的規定，將危害程度分為“特別嚴重危害、嚴重危害和一般危害”，認為從數據遭到不法處理或利用的后果來看，可能對國家安全造成一般危害，對經濟運行造成一般危害或嚴重危害，對社會穩定、公共利益造成嚴重危害的，可以確定為重要數據。筆者認為，鑒于國家安全包括“經濟安全”，對“公共利益”層面的“經濟運行”，影響程度設定為“嚴重危害”較為妥當。

綜上，按照《數據安全法》數據分類分級保護的要求，總結目前相關配套規定和國家標準的表述，從數據的影響對象和影響程度出發，本文認為可以將“重要數據”界定為“特定領域、特定群體、特定區域或達到一定精度和規模，不涉及國家秘密，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接威脅國家安全或者嚴重危害經濟運行、社會穩定、公共健康和安全的數據”。

二、我國重要數據認定制度的探索與現狀

重要數據認定制度主要是回答如何確定重要數據具體范圍的問題，這涉及由誰認定、怎樣認定等具體問題，對此我國相關配套規定和國家標準進行了積極探索，從嘗試列舉重要數據具體范圍到轉向規定重要數據認定規則，逐漸形成了一定的制度共識。

（一）前期嘗試：列舉具體范圍

在《數據安全法》出臺之前，《網絡安全法》只是在關鍵信息基礎設施保護制度中對重要數據出境管理作了原則規定，并沒有規定重要數據的認定主體和認定方式，當時草擬的數據出境管理配套規定如前所述僅給出了重要數據的定義，只有2017 年國家標準《數據出境安全評估指南（草案）》在附錄中納入了《重要數據識別指南》。該指南是國內認定重要數據的最早嘗試，不僅列出了27個行業（領域）〔8〕這27 個行業（領域）包括：石油天然氣、煤炭、石化、電力、通信、電子信息、鋼鐵、有色金屬、裝備制造、化學工業、國防軍工、其他工業、地理信息、民用核設施、交通運輸、郵政快遞、水利、人口健康、金融、征信、食品藥品、統計、氣象、環境保護、廣播電視、海洋環境、電子商務。負責認定重要數據的主管部門，還根據標準給出的定義和行業（領域）主管部門相關規定，列出了這些行業（領域）重要數據的具體范圍。以“通信”行業為例，明確負責認定的主管部門是工信部，重要數據包括但不限于規劃建設類、運行維護類、安全保障類、無線電、統計分析類和其他等6類數據。此外，考慮到重要數據涉及范圍眾多，該指南還列出了其他行業（領域）判斷、識別重要數據的10 大考慮因素。但仔細來看，該指南的具體列舉明顯存在重要數據范圍泛化、列舉類型界限模糊、可操作性不強等問題。

正因如此，全國信息安全標準化技術委員會2019 年啟動了“重要數據識別指南”標準研究修訂工作，2020 年9 月版的國家標準《信息安全技術 重要數據識別指南（征求意見稿）》，已經初步放棄了試圖全面列舉主要行業或領域重要數據具體范圍的做法，而是從8 個方面刻畫了“重要數據的特征”，以供各行業或領域主管部門具體認定參考。這8 個方面包括：與經濟運行相關、與人口和健康相關、與自然資源和環境相關、與科學技術相關、與安全保護相關、與應用服務相關、與政務活動相關以及其他。但仔細來看，這8 個方面特征之下的子特征，有的還是延續了按行業或領域進行具體列舉的思路，例如，“與自然資源和環境相關”特征下的子特征“涉及地理信息”所提及的大部分重要數據與2017 年《重要數據識別指南》“地理信息”領域所列的重要數據基本一致。這說明2020 年該國家標準的起草還是沒有擺脫“具體列舉”思路的影響。

這種“具體列舉”的思路實際也影響了一些配套規定的制定。2021 年8 月發布的《汽車數據安全管理若干規定（試行）》第3 條除了界定重要數據外，還具體列出了汽車數據領域的重要數據，明確包括重要敏感區域的地理信息、人員流量、車輛流量等數據，車輛流量、物流等反映經濟運行情況的數據，汽車充電網的運行數據，包含人臉信息、車牌信息等的車外視頻、圖像數據，超過10 萬人的個人信息，以及作為“兜底”的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。暫不論該規定重要數據定義的問題，考慮到汽車數據既涉及汽車本身的技術數據，也涉及駕駛人等相關主體的數據和駕駛環境數據等，這種列舉確實不可避免地會存在遺漏，已列舉的一些數據如人臉信息等也不必然與國家安全和公共利益有關，可能不屬于重要數據。

2021 年11 月的《條例（征求意見稿）》第73 條除了規定重要數據定義外，還具體列舉了7 大類重要數據，其中包括未公開的政務數據、工作秘密、情報數據，出口管制數據，依法需要保護或者控制傳播的國家經濟運行數據，工業、電信、能源、交通等重點行業和領域安全生產、運行的數據等。但這些具體列舉明顯存在問題：一是將某些領域的數據整個納入“重要數據”，并沒有考慮“重要”程度，比如工業、電信、能源、交通等“重點行業和領域安全生產、運行的數據”，使得重要數據寬泛化；二是所列舉的7 類數據在邏輯層次上并不一致，存在著大量交叉和重復；三是有些列出的具體數據類型，內涵并不清晰，甚至有可能涉及構成“國家秘密”，比如“未公開的政務數據、工作秘密、情報數據”，而《數據安全法》第53條明確排除了“涉及國家秘密的數據處理活動”，重要數據不應該包括“國家秘密”。

由上可知，鑒于重要數據所涉行業或領域的廣泛性和復雜性，不可能在配套立法中全面列舉出重要數據的具體范圍，認定重要數據的“具體列舉”路徑是行不通的。

（二）校正轉向：規定認定規則

《數據安全法》將重要數據保護作為維護國家數據安全的一項獨立的基礎制度，從數據分類分級保護角度提出了加強重要數據保護的基本要求，并對重要數據的認定主體和認定方式作出原則性規定：先由“國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄”，再由各地區、各部門“按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄”。這種先在國家層面確定“重要數據目錄”，再由各地方、各部門據此制定行業或領域“重要數據具體目錄”的規定，實際是初步規定了一種“自上而下”的重要數據認定規則。這說明《數據安全法》校正了重要數據認定的立法思路，放棄了之前并不可行的“具體列舉”，轉向規定重要數據認定規則。

《數據安全法》的校正轉向，指明了繼續探索和完善重要數據認定制度的正確方向。此后的行業配套規定和國家標準隨之開始將探索重點轉向規定重要數據認定規則。《條例（征求意見稿）》第27 條原則上規定，各地區、各部門按照“國家有關要求和標準”，組織數據處理者識別重要數據，組織制定本地區、本部門以及相關行業、領域重要數據目錄，并報國家網信部門，實際將重要數據認定細則留給國家標準去明確。2022 年4 月公布的《重要數據識別規則（征求意見稿）》，相較于前述2020 年9 月的版本，取消了對重要數據特征的描述，表面上看是“因為這些特征依然不可避免地涉及行業分類”，深層原因在于上文所述有些特征描述延續了“具體列舉”的思路而并不可行；其轉而從數據影響而非數據類型角度，列出了識別重要數據的19 項考慮因素，除了作為“兜底”的其他因素外，包括涉及“國家安全”的16 項因素，以及涉及“公共利益”的2 項因素，以供各地區、各部門制定重要數據具體目錄參考。標準起草人指出，該標準的定位不是“取代各部門的相關政策”，而是各地區、各部門基于標準提出的重要數據識別因素，根據具體情況制定本地區、本行業的重要數據識別標準規范。

其中，國家安全方面的考慮因素，基本按照總體國家安全觀涵蓋的16 個領域展開，描述了影響“政治、軍事、國土、經濟、文化、社會、科技、網絡、生態、資源、核、海外利益、太空、深海、極地、生物”〔9〕這就是總體國家安全觀涵蓋的16 個領域。參見《中共中央關于黨的百年奮斗重大成就和歷史經驗的決議》，人民出版社2021 年版，第56 頁。等領域國家安全的識別因素，例如，影響“政治安全”的識別因素表述為“直接影響政權安全、政治制度、國家主權、意識形態安全，如用以實施社會動員的數據等屬于重要數據”；影響“網絡安全”的識別因素列成了2 項，影響“太空、深海、極地安全”的識別因素列為了1 項，此外還將影響“政務數據安全”的識別因素單獨列為了1 項，具體表述為“未公開的政務數據、情報數據和執法司法數據，如未公開的統計數據等屬于重要數據”。公共利益方面的考慮因素又包括2 項識別因素，即影響“經濟運行與社會穩定”和“公共健康和安全”的識別因素。

行業配套規定以工信領域的探索為代表。2022 年12 月，工信部印發《工業和信息化領域數據安全管理辦法（試行）》（以下簡稱《辦法（試行）》），進一步細化了工信領域重要數據認定規則。一是“自上而下”明確了認定主體。工信部組織制定工業和信息化領域重要數據識別認定標準規范；地方行業監管部門〔10〕該辦法規定的地方行業監管部門，包括各省、自治區、直轄市及計劃單列市、新疆生產建設兵團工業和信息化主管部門，各省、自治區、直轄市通信管理局和無線電管理機構，可以看出這里的地方行業監管部門至少為副省級。組織開展本地區重要數據識別工作，確定本地區重要數據具體目錄并上報工信部；數據處理者按照相關標準規范識別重要數據，形成本單位的具體目錄。二是明確了認定條件。從數據影響對象和影響程度入手明確了重要數據的認定條件：威脅或影響政治、軍事、經濟、生物等國家安全重點領域；對工信領域生產、運行和經濟利益等造成嚴重影響；造成重大數據安全事件或生產安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；引發的級聯效應明顯，影響范圍廣或者影響持續時間長，對行業發展、技術進步和產業生態等造成嚴重影響等。影響對象基本按照國家安全和公共利益兩大方面展開。三是明確了認定程序。數據處理者應當將本單位重要數據目錄向本地區行業監管部門備案；〔11〕備案內容包括但不限于數據來源、類別、級別、規模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況，不包括數據內容本身。監管部門應當在提交備案申請的20 個工作日內完成審核工作，備案內容符合要求的，予以備案，同時將備案情況報工信部；不予備案的應當及時反饋備案申請人并說明理由，備案申請人應當在收到反饋情況后的15 個工作日內再次提交備案申請。

該辦法頒行之后，上海、江蘇等地通信管理局部署開展電信和互聯網行業數據安全專項行動，〔12〕上海市通信管理局2023 年2 月發布《關于開展“浦江護航”2023 年電信和互聯網行業數據安全專項行動的通知》，江蘇省通信管理局2023 年4 月發布《關于開展2023 年“數安護航”電信和互聯網行業數據安全專項行動的通知》。積極探索落實重要數據識別認定及目錄管理工作。根據公開披露的信息，上海和江蘇認定重要數據的探索試點，主要依據是正在制訂的通信行業標準《電信領域重要數據和核心數據識別指南》，該標準內部試行版將電信領域數據分為網絡規劃運維數據、安全保障數據、經濟運行與業務發展數據、關鍵技術成果數據和其他等5 類，每類數據又分為一般數據、重要數據和核心數據三級。這5 類數據認定為重要數據的條件分別為：能夠反映重要網絡設施和信息系統規劃、建設、運維等總體發展情況的數據；能夠反映重要網絡設施和信息系統〔13〕判斷網絡規劃運維數據、安全保障數據是否屬于重要數據的基本標準為是否涉及重要網絡設施和信息系統。據披露，重要網絡設施和信息系統主要包括骨干網、衛星通信網、域名解析系統，或者市值、用戶活躍度達到一定數量的數據處理者的三級以上網絡設施和信息系統（通信網絡定級，非公安等保定級）。參見孫鵬程、沈鑫瑤：《電信和互聯網行業重要數據識別探索》，載光明網，https://topics.gmw.cn/2023-05/18/content_36568904.htm，2023 年9 月1 日訪問。安全保障情況以及重大應急通信保障情況的數據；能夠反映我國電信/互聯網領域經濟運行總體情況與核心業務發展情況的數據；能夠反映我國先進信息通信技術與產品發展水平的數據；收集和產生的達到一定數量或影響一定范圍的個人數據，其他一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的電信數據。〔14〕陶然彩：《“浦江護航”數據安全專項行動——電信和互聯網企業如何開展數據安全風險評估》，載“賽博研究院”微信公眾號，https://mp.weixin.qq.com/s/S5r285mxHqDR8rQSmLuVbg，2023 年9 月1 日訪問。

（三）基于探索共識制定共通規則

總結來看，對于重要數據認定，由于所涉行業或領域的廣泛性和復雜性，無論是配套行政規章，還是相關國家標準，都已經放棄了之前嘗試列舉具體范圍的做法，開始轉向細化規定重要數據的認定規則。而圍繞認定主體和認定方式等問題，目前對認定規則的探索已經形成了一定的共識：各行業各領域的重要數據認定，應由相應主管部門負責，需要制定相關行業、領域的重要數據認定標準規范并據此開展認定工作；重要數據認定條件和標準的設定，應從數據對國家安全和公共利益兩大方面對象的影響入手，對經濟運行、社會穩定等公共利益的影響應當達到嚴重影響的程度；重要數據認定需要遵循一定的程序，為此工信部規定了“數據處理者提交備案、主管部門限期審核”的模式。

需要指出的是，這些共識目前只是反映在個別行業的配套規定和相關標準之中，尚未成為普遍適用的規則，很多行業或領域對如何認定重要數據仍然存在困惑和疑問。從已經制定或正在制定的行業配套規定和相關標準來看，在重要數據認定的制度定位和具體方式上還存在一些值得注意的不同認識。例如，2023 年7 月發布的《中國人民銀行業務領域數據安全管理辦法（征求意見稿）》，雖然將數據分為一般、重要、核心三級，但也同時提出了根據數據敏感性、可用性劃分層級的規定，其中將數據項敏感性從低至高進一步分為5 個層級，而數據層級劃分和重要數據認定是何種關系尚不明確。

本文認為，雖然不同行業或領域存在特殊性和復雜性，特定行業或領域的重要數據具體認定規則應按行業或領域單獨制定，但仍有必要在《網絡數據安全管理條例》等基本配套立法中明確重要數據認定的負責主體、基本條件和基本程序等中觀層面的共通規則，一方面可以有力指導各行業各領域就重要數據制定具體認定規則和開展認定工作，另一方面也有利于形成統一協調的重要數據認定和保護制度體系。

三、關于完善我國重要數據認定制度的建議

總結我國相關配套立法和國家標準的探索來看，鑒于重要數據所涉行業或領域的廣泛性和復雜性，立法不可能列舉出重要數據的具體范圍，但可以規定重要數據認定制度作為替代；雖然不同行業或領域認定重要數據的具體規則差異較大，但在領導體制、認定條件、認定程序方面具有一定的制度共識，存在提煉共通規則的可能。為構建統一協調的重要數據保護制度體系，建議進一步完善我國重要數據認定制度，在《網絡數據安全管理條例》（以下簡稱《條例》）配套行政法規中對重要數據認定共通規則作出系統規定。具體而言包括以下幾個方面：

（一）構建基于風險的認定規則體系

重要數據保護是數據分類分級保護制度的重要內容，而數據分類分級的依據在于數據的重要性和風險性，目的在于對不同風險程度的數據匹配不同的保護要求，以有效管控數據安全風險，數據分類分級保護本身就是一種基于風險的規制方法。因此，重要數據保護也應當堅持基于風險的規制方法，構建基于風險的重要數據認定規則體系。由于不可能實現絕對安全，基于風險的規制就應該接受一定風險的存在，這也是統籌發展和安全的應有之義。對重要數據認定而言，應該恪守重要數據重點保護和管控高風險數據的基線，避免重要數據認定的泛化，避免以安全之名不當阻礙數據的正常利用。

構建基于風險的認定規則體系，就是按照基于風險的方法來設定重要數據認定的負責主體、條件標準、方式機制等一系列規則。由此可以得出主要規則設定的基本思路：

一是在負責主體上，應該依靠行業主管部門。數據安全風險來自數據的處理活動，數據處理活動又因不同行業不同領域而存在較大差異，因而行業主管部門對本行業本領域數據處理活動產生的風險最為熟悉，本行業本領域的重要數據理應由其負責認定。《數據安全法》第6 條第1 款就明確規定：“各地區、各部門對本地區、本部門工作中收集和產生的數據及數據安全負責。”

二是在認定條件上，應該聚焦國家安全風險。從保護重要數據以管控國家數據安全風險的制度定位來看，認定條件應該強調數據對國家安全、經濟運行、社會穩定、公共健康和安全造成的重大風險，僅影響個人、組織的數據不應認定為重要數據。

三是在認定方式上，應該進行充分的風險評估。應根據數據所在領域、具體用途、利用方式等，并考慮數據遭到篡改、破壞、泄露或者非法獲取、非法利用后造成的影響，以定性和定量相結合的方式充分評估數據安全風險，據此判斷是否屬于重要數據。

四是在程序機制上，應該對認定結果進行動態管理。考慮到數據的重要性可能隨著數據具體用途、利用方式等方面的變化而發生變化，為如實反映重要數據的實際情況，應該對重要數據認定結果引入適時調整程序和動態管理機制。

從這些主要規則設定的基本思路中也可以提煉出重要數據認定制度的基本原則，那就是依靠行業監管、聚焦國家安全、基于風險評估以及實施動態管理。

（二）明確重要數據認定的領導體制

《條例（征求意見稿）》第27 條只是原則上規定，各地區、各部門按照“國家有關要求和標準”，組織數據處理者識別重要數據，組織制定本地區、本部門以及相關行業、領域重要數據目錄，并報國家網信部門；第29 條規定“重要數據的處理者，應當在識別其重要數據后的十五個工作日內向設區的市級網信部門備案”，“依據部門職責分工，網信部門與有關部門共享備案信息”。這似乎原則上確立了以網信部門為中心的重要數據認定領導體制，但并沒有充分發揮行業或領域主管部門應有的監管職能。

而根據《數據安全法》的規定，在重要數據認定和保護方面，國家數據安全工作協調機制負責統籌協調，各地區、各部門負責確定本地區、本部門以及相關行業、領域的重要數據具體目錄，并對列入目錄的數據進行重點保護。上述規定顯然偏離了上位法的精神，更沒有達成細化上位法的目的。而且從工信等行業領域的實踐探索來看，由于行業領域的特殊性和復雜性，也是由行業或領域的主管部門負責重要數據的具體認定。

從落實《數據安全法》基本制度設計出發，本文認為《條例》應該從三方面細化明確重要數據認定的領導體制：一是明確各行業各領域的重要數據認定工作由相應的主管部門負責。工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門負責制定本行業、本領域的重要數據認定規則，〔15〕認定規則的形式包括但不限于行政規章、國家標準、行業標準、技術指南等。據此指導各地區開展本行業、本領域的具體認定工作，并基于各地認定結果，制定本行業、本領域的重要數據具體目錄。

二是明確各地區的重要數據認定工作由各行業各領域的省級主管部門（以下簡稱省級行業主管部門）負責。考慮到重要數據事關國家安全、公共利益，具體判定需要一定的專業性和工作力量，借鑒工信部《辦法（試行）》的經驗，本文認為將地方認定工作負責主體設定為省級行業主管部門較為妥當。省級行業主管部門負責組織受管轄的數據處理者按照本行業、本領域的重要數據認定規則開展認定工作，審核數據處理者報送的認定結果，確定本地區的重要數據具體目錄并上報相應的國家主管部門。

三是落實國家數據安全工作協調機制的統籌協調職能。明確各行業各領域主管部門制定的特定行業或領域的重要數據認定規則，應當報國家數據安全工作協調機制備案，各行業各領域主管部門應當根據通過備案的重要數據認定規則開展認定工作，形成特定行業或領域的重要數據具體目錄，并及時報送國家數據安全工作協調機制。

（三）細化重要數據認定的條件標準

雖然應按行業或領域單獨制定重要數據具體認定規則，但為貫徹《數據安全法》的統一要求，指導規范行業或領域具體認定規則的制定，仍有必要在《條例》中細化明確重要數據認定的基本條件和判斷標準。本文認為，這種基本認定條件和判斷標準應該基于重要數據的界定，從重要數據定義的核心要素適當展開而來，如此才可以反映重要數據保護的制度價值，為具體認定規則的制定提供統一指引。結合前述重要數據定義和行業探索經驗，具體可以從重要數據的影響對象和影響程度兩方面進行細化。

一是細化重要數據的影響對象。從《數據安全法》的制度定位來看，影響對象應該限于國家安全和公共利益兩大方面，而排除單純個人、組織的合法權益。前者可以根據總體國家安全觀細化為“政治、軍事、國土、經濟、文化、社會、科技、網絡、生態、資源、核、海外利益、太空、深海、極地、生物”等16 個重點領域的國家安全；后者可以基于既有探索細化為“經濟運行、社會穩定、公共健康和安全”等3 塊重點內容。二是細化重要數據的影響程度。考慮到大數據時代下，數據聚合利用的可能，〔16〕劉金瑞：《數據安全范式革新及其立法展開》，載《環球法律評論》2021 年第1 期。幾乎所有數據都可能與國家安全、公共利益有關，應該從數據影響程度上作適當限定，以突出“重要”的應有之義，本文認為對于國家安全的影響可以限定為“直接威脅”，對公共利益的影響可以限定為“嚴重危害”。

由此，建議在《條例》中對重要數據認定的基本條件和判斷標準作如下規定：各行業、各領域主管部門結合本行業、本領域實際，制定重要數據認定規則，應當將一旦遭到篡改、破壞、泄露或者非法獲取、非法利用而造成下列危害后果的數據認定為重要數據：（1）對政治、軍事、國土、經濟、文化、社會、科技、網絡、生態、資源、核、海外利益、太空、深海、極地、生物等領域國家安全構成直接威脅；（2）對經濟運行、社會穩定、公共健康和安全等公共利益造成嚴重危害。對于其中的16 個國家安全重點領域和3 塊公共利益重點內容之下的具體考慮因素，各行業、各領域的重要數據認定規則，結合本行業、本領域具體情況可作進一步細化。

（四）厘清重要數據認定的疑難界分

在重要數據具體認定中，如何界分重要數據與核心數據、個人信息的關系是亟須解決的疑難問題。前述重要數據的界定及其認定條件的細化，為解決這些難題提供了基本依據，在此基礎上本文對這些疑難界分作如下厘清。

對于核心數據和重要數據的關系，《數據安全法》第21 條第2 款規定“關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，實行更加嚴格的管理制度”，這里的“更加嚴格”是相較于第1 款“重要數據”而言的，可見核心數據應該是比重要數據更重要的數據。筆者認為，從比較核心數據與重要數據的界定出發，可以從兩個方面來理解核心數據和重要數據的關系：一是核心數據從影響程度上看對國家安全的影響更大，即可能構成對國家安全的“嚴重危害”；二是核心數據從影響對象上看會涉及更加重要的公共利益，即“經濟運行”中的“國民經濟命脈”、“社會穩定”中的“重要民生”以及其他重大公共利益等。《網絡數據分類分級要求（征求意見稿）》就認為“核心數據”是“對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的重要數據，一旦被非法使用或共享，可能直接影響政治安全”，包括關系國家安全重點領域、國民經濟命脈、重要民生和重大公共利益的數據等。建議《條例》借鑒這一表述，對核心數據的界定作出進一步細化。

對于個人信息和重要數據的關系，《條例（征求意見稿）》第26 條把“一百萬人以上個人信息”視為“重要數據”來管理，〔17〕《條例（征求意見稿）》第26 條規定：“數據處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數據的處理者作出的規定。”《汽車數據安全管理若干規定（試行）》第3 條規定“涉及個人信息主體超過10 萬人的個人信息”屬于“重要數據”，而根據《數據出境安全評估辦法》第4 條，與“重要數據”一樣需要通過數據出境安全評估的情形，包括“處理100 萬人以上個人信息”或者“自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息”的數據處理者向境外提供個人信息。這些不同規定說明目前對二者的關系，在認識上還存在困惑，在監管上還未達成共識，有待進一步明確。

從重要數據的定義來看，由于重要數據的“重要”是指事關國家安全、公共利益，因此僅涉及私主體權益的組織或個人的數據包括個人信息在內，一般不會構成重要數據。《重要數據識別規則（征求意見稿）》和《網絡數據分類分級要求（征求意見稿）》都明確指出“僅影響組織自身或公民個體的數據一般不作為重要數據”。但應當指出的是，達到一定規模的個人信息的集合通過搜索、比對、關聯等分析，可能會挖掘出數據集背后蘊含的敏感信息甚至國家秘密，筆者認為這種個人信息集合應該納入重要數據的范圍。《條例（征求意見稿）》將“一百萬人以上個人信息”視為“重要數據”來管理，就是考慮了數據集合的風險。但這種僅規定數據量的方式不足以充分界定個人信息數據集合的風險性，建議借鑒美國外資安全審查制度關于“敏感”個人數據的界定，〔18〕在美國外資安全審查制度中，敏感個人數據的“敏感”并不是強調個人權益的保護，而是強調對國家安全的威脅。詳見劉金瑞：《美國外資安全審查改革中的數據安全審查及其對我國的啟示》，載《中國信息安全》2021 年第7 期。對于作為重要數據的個人信息集合，在數據規模界定要素之外，同時界定個人信息集合的高風險性，比如涉及生物識別等可識別的敏感個人信息，或者涉及關系國家安全、公共安全的特定崗位人員。〔19〕前引〔16〕，劉金瑞文。換言之，筆者認為認定某些因聚合分析而影響國家安全、社會公共利益的重要數據，應采取定性與定量相結合的方式。綜上，本文建議將《條例（征求意見稿）》第26 條修改如下：“數據處理者處理一百萬人以上的可識別敏感個人信息，或者專門處理履行國家安全、公共安全職責的公務人員的個人信息，還應當遵守本條例第四章對重要數據的處理者作出的規定。”

（五）健全重要數據認定的程序機制

在前述重要數據認定領導體制的基礎上，借鑒工信部《辦法（試行）》的經驗，本文認為《條例》應當從以下四個方面健全完善重要數據認定的程序機制。

一是明確數據處理者的重要數據目錄申報義務和程序。數據處理者應當定期梳理數據，按照法律、行政法規有關要求和本行業、本領域重要數據認定規則認定重要數據，形成本單位的重要數據具體目錄，并在目錄形成后的15 個工作日內向省級行業主管部門申報備案，對于應申報而未申報的數據處理者應當承擔相應的法律責任。申報內容包括但不限于數據來源、類別、級別、規模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況，不包括數據內容本身。

二是明確省級行業主管部門的重要數據目錄備案程序。收到數據處理者申報的重要數據目錄之后，省級行業主管部門應當在20 個工作日內完成審核工作，符合法律、行政法規有關要求和本行業、本領域重要數據認定規則的，予以備案，同時將備案情況上報相應的國家主管部門；不予備案的應當及時反饋數據處理者并說明理由，如果屬于需要核實補充相關內容的，數據處理者應當在收到反饋情況后的15 個工作日內再次申報。

三是明確備案內容發生重大變化時的備案變更程序。由于數據的重要性、使用方式等可能會發生變化，數據處理者的重要數據目錄也可能隨之發生改變，因此應該明確重要數據目錄備案的變更程序，施以動態管理。可以規定當某類重要數據規模（數據條目數量或者存儲總量等）變化30%以上，或者其他備案內容發生重大變化時，數據處理者應當在發生變化的3 個月內完成備案變更手續，具體程序要求可以和備案程序保持一致。

四是規定主管部門依職權認定重要數據的程序機制。無論是《條例（征求意見稿）》，還是工信部《辦法（試行）》，基本都是遵循了“數據處理者自行認定+主管部門審核備案”的思路，上述三點內容也是延續了這一思路。但對于涉及國家安全、公共利益的重要數據而言，僅由數據處理者自行認定并報備，可能無法全面防范重要數據引發的國家數據安全風險，建議增加省級行業主管部門依職權認定的規定，作為依申報認定的必要補充。對于省級行業主管部門依職權認定重要數據的情形，鑒于數據處理者因數據納入重要數據保護范圍會承擔法律強制性義務和責任，此時應當考慮賦予數據處理者一定的救濟機制，比如可以將數據處理者不認可主管部門重要數據認定納入行政復議的范圍。