如何對數據進行分級分類保護

侯利陽　賀斯邁

數據安全機制的確立，最終要通過多個部門法的鏈接和共治來實現（圖/視覺中國）

立法回眸：數據安全保護大起底

我國對于數據安全的關注由來已久。早在《數據安全法（草案）》（以下簡稱“《草案》”）草擬之前，數據安全的保護就存在于一系列的法律法規之中。其中，最早的要數1994年頒布的《計算機信息系統安全保護條例》。當時沒有數據這個概念，該條例使用的還是信息安全保護的措辭。在后續的發展中，信息保護的實踐操作被大大加強，并逐步演化出分級保護的理念。這其中最為重要的就是2007年公安部頒布的《信息安全等級保護管理辦法》。該辦法按照信息系統損害后的社會后果差異將信息安全分為五級：損害個人利益（第一級）、損害社會利益（第二級）、損害國家安全（第三級）、嚴重損害社會利益（第四級）、嚴重損害國家利益（第五級）。基于這種分級保護的思路，我國在2008年建立了信息安全保護的國家標準，此即《信息安全技術、信息系統安全等級保護基本要求》，針對不同的保護等級從技術層面設置了詳細的保護要求，包括安全通用要求、云計算安全擴展要求、移動互聯安全擴展要求、物聯網安全擴展要求以及工業控制系統安全擴展要求等。至此，我國的數據分級保護體系開始全面地建立起來。

在《草案》發布之前，我國的數據保護基本上只遵循分級保護的思路。比如，2016年頒布的《網絡安全法》采用的依然是分級保護的提法。但分級保護只是設置了數據保護的框架，數據占有主體依然不明確哪些數據應當給予什么級別的保護，這給數據的市場運營造成了很多困擾。因此，單單從數據分級的角度構建數據安全體制尚不足以充分保障數據的安全。雖然《網絡安全法》中也涉及了一些數據分類保護的內容，但沒有將之作為原則進行確立。此次《草案》明確構建了數據分級分類保護的原則，并且對數據保護提出了極高的要求——由中央國家安全領導機構制定具體規定，由地方政府、行業主管部門、公安機關等制定重要數據保護目錄，最終由數據占有主體執行。此外，《草案》還提出建立國家級別的數據安全風險評估、報告、信息共享、監測預警機制，數據安全應急處置機制，數據安全審查制度等配套性機制。

數據分級保護與分類保護是數據保護的兩大維度，二者相輔相成。數據分級側重于劃定數據所具有的某種后果性標準，并構建相應的技術保護體系;數據分類是把具有共同屬性或特征的數據歸并在一起，通過其類別的屬性或特征將之納入不同的分級保護體系之中。兩者從不同的角度明確數據安全的責任和邊界，確定責任主體的具體義務。可以說，《草案》回應了我國目前對于數據保護的現實需求，彌補了數據保護的短板。但是，《草案》雖然確立數據分類保護的原則，卻并未真正構建分類保護的實操性規則，這有待后續配套性法規的出臺，否則只能是無本之木。

在《草案》出臺之前，我國已經有一些法律文件對數據的分級分類進行了初步規定。這其中最為重要的是工信部在2020年初頒布的《工業數據分類分級指南（試行）》（以下簡稱“《分類分級指南》”）。《分類分級指南》僅僅規制工業企業和平臺企業的數據安全，為二者的所控數據設置了分類要求。工業企業數據被分為研發數據、生產數據、運維數據、管理數據、外部數據等。平臺企業數據被分為平臺運營數據和企業管理數據。此外，《分類分級指南》根據不同類別工業數據遭篡改、破壞、泄露或非法利用后可能對工業生產、經濟效益等帶來的潛在影響，將工業數據分為一級、二級、三級等三個級別（一級最低、三級最高）。《分類分級指南》為我們今后依據《草案》建構數據分級分類保護制度提供了參考樣板。但《分類分級指南》至少存在三個問題。其一，《分類分級指南》中的數據安全分級與《信息安全等級保護管理辦法》存在對接上的困難，前者分為三級，而后者則分為五級。其二，《分類分級指南》雖然構建了數據分級分類保護的標準，但未建立二者之間的聯動機制;換言之，何種數據應當給予什么級別的保護依然模糊。其三，從條文規定來看，《草案》確立了三種特殊的數據分類：重要數據（第19條）、國家安全數據（第22條）、屬于管制物項的數據（第23條）。但這些分類在《分類分級指南》中并沒有得到體現。因此，《分類分級指南》中無法直接作為《草案》的配套性規定，依然需要我們在《草案》正式頒布之后重新思考這些問題。

他山之石：域外數據分類分級規則考

數據分級分類的具體規則主要涉及實際操作方面的內容，因此其他國家的相關經驗對我們具有重要的參考意義。國際層面對數據保護的代表性法域主要為歐盟和美國。歐盟以GDPR為代表，建立了以保護用戶基本權利為核心的數據安全體系，對數據占有主體施加了較為嚴格的規范性義務。而美國選擇賦予市場更大的自由，以市場自主調節與高度監管的方式構建數據安全體系。我國目前對于數據保護的態度更接近于美國，因此本文主要參考美國的相關制度。美國對于數據安全保護的重要制度是受控非密信息的管理制度。

美國的受控非密信息保護制度從強制統一標識入手，將原有的幾十種標識方式逐項做了統一，按需將各部門的不同標識（如“工作秘密”“內部信息”“敏感信息”“私有信息”“商業秘密”等）作出一體化規定。其中，對我國借鑒意義最大的部分是其構建的分級分類保護制度。該制度將受控非密信息分為二十大類。這二十大類主要按照行業進行區分，諸如隱私、專利、移民、金融、商業信息、稅收、交通等。這些大類又被細分為124子類，每個類別都有對應的子類別。比如，隱私被細分為合同使用、死亡記錄、一般隱私信息、遺傳信息、健康信息等子類別。每個子類均有詳細的定義、各自的強制分類標識、所對應的分級保護標準以及相應的法律責任。

頭腦風暴：《草案》所涉分級分類問題的建設性方案

與美國的相關操作相比，目前《草案》中關于分級分類保護的問題主要有四：缺乏統一的分級體系、缺乏細致的分類體系、缺乏分級與分類的聯通機制、缺乏相應具體法律責任。鑒此，我們應當首先借鑒美國受控非密信息保護制度的相關經驗，建立強制統一標識制度、統一的登記備案系統和執行機構、統一的分級保護制度。其次，建立統一的數據分類制度。目前對于數據分類保護規制最多的行業主要是金融業，其基本的分類路徑是按照影響對象、影響范圍、影響程度對數據進行大類別劃分，再通過對業務和數據細分，形成從總到分的整體性邏輯體系。對此，我們可以結合政府機構、重點行業和主管部門的意見，建立以行業為標準、以業務為導向、符合我國基本國情的核心數據類型，并在核心類型的概念基礎上向外輻射，確保數據類別與安全防護需求基本一致。

此外，數據的分級分類保護還需要規定相應法律責任的保障機制。數據安全機制的確立，以及安全保護目的的實現，最終要通過多個部門法的鏈接和共治來實現。尤其是在當前數據權屬不清、爭議頻發的市場現狀下，最大化釋放數據產能，要求我們必須建立起嚴格的問責機制，落實義務人。落實法律責任是個系統性的工程，需要我們在民法、競爭法、行政法、刑法等多個層面構建責任體系。比如，行政法可以要求就特定數據依規依法開放、依照比例原則保護數據權益人的數據權利和數據被收集行為;民法可從契約保護的角度為數據的基本活動構建多場景的保護機制等。