數據分類分級保護的邏輯厘定與制度構建
——以重要數據識別和管控為中心

袁 康 鄢浩宇

武漢大學法學院，湖北 武漢 430072)

隨著 《數據安全法》正式稿的公布，其與 《國家安全法》和 《網絡安全法》共同構成了我國網絡數據安全保護的基本框架。數據分類分級保護制度作為 《數據安全法》中的核心制度，旨在對不同重要性和風險等級的數據實施不同程度的管控，以實現保障數據安全、促進數據開發利用的總體目標，但 《數據安全法》作為一部基礎性法律，僅對數據分類分級標準和重要數據的識別和管控作了原則上的規定，相關的實施細則和配套制度匱乏，將直接影響制度的具體落實和實施成效。厘清數據分類分級保護制度的現實意義與實施邏輯，分析其實踐困境和制度需求，構建相對統一的數據分類分級標準體系和數據保護框架，對于數據分類分級保護的制度落實和效用發揮、實現數據安全保障與數據開發利用的平衡具有重要意義。

1 數據安全保護的理念更新與范式轉型

從Web1.0到Web3.0，互聯網的運營模式與信息交互的形態不斷進化，對于信息安全和網絡安全的保護理念和保護范式也在相應更替[1]。作為新型生產要素的數據面臨更為復雜的安全風險，法律在信息化和數字化革命下相較于以往將承擔更為重要的社會功能[2]。為此需要對傳統網絡信息安全保護的理念和范式進行審視與革新，以應對數字浪潮的挑戰。

1.1 數字經濟下傳統數據安全保護路徑面臨的挑戰

首先， “整齊劃一”的數據安全保護模式難以適應數據的異質性特征和復雜多變的數字經濟發展形勢。不同數據不僅在內容上互相差別，在形態上也各不相同，具有明顯的異質性[3]。對所有數據不加區分地采用一套保護策略可能會產生諸多問題，倘若采用統一寬松的數據保護政策，公民個人隱私無處安放，甚至可能危及社會穩定和國家安全。美國曾一度采取完全市場化的數據流動利用模式，大量數據經紀商收集處理數據的行為基本處于不受監管的狀態，消費者的個人數據在未經通知或征得同意的情況下即被收集處理，相關企業濫用消費者數據的行為頻發，數據泄露問題嚴重，個人隱私和數據安全難以得到保障[4-6]。倘若采用統一嚴格的數據保護政策，不僅政府的執法成本較高，企業的合規成本也較高，或是導致政策難以真正落地實施，或是導致企業的數據流通積極性和數字經濟的發展被限制。歐盟1995年 《個人數據保護指令》 (以下簡稱95 《指令》)統一嚴格的立法模式雖一定程度上實現了對個人數據權利的保護，但也給數據運營商帶來巨大的合規成本。從歐盟后續對95 《指令》實施效果的評估來看，95 《指令》的實施一定程度上損害了數據流通的效率和歐盟數字經濟和技術的發展，甚至成為歐盟在21世紀初的網絡浪潮中未能發展出網絡巨頭的原因之一[7-8]。倘若顧及數據安全而將數據資源完全緊鎖，則更不可取。一方面，數據資源的完全封閉使得數據無法匯聚融通，形成數據割據和孤島，基于數據自身特質的規模效應和乘數效應無法發揮，數據的社會化利用難以實現[9]。另一方面，數據安全是一個相對而非絕對的概念，不計成本地追求絕對安全，不僅會背上沉重負擔，甚至可能顧此失彼[10]。此外，在現實需求和商業利益的驅使下，正常數據流通和獲取渠道的緊閉也可能導致數據黑市的盛行和數據爬取行為的泛濫[11]。因此，在不加區分 “整齊劃一”的數據保護模式下，相對寬松、較為嚴苛亦或是完全封閉的數據保護政策都不盡人意，無法應對數據異質性和復雜多變的數字經濟發展趨勢帶來的挑戰。

其次，重靜態而輕動態的數據安全保護模式無法應對日益凸顯的數據流通需求所產生的新型數據安全風險。數據的價值在于利用，在數字經濟背景下，數據的流動是 “常態”，數據靜止存儲是 “非常態”，數據處理角色更加多元，涉及業務更加多樣，由此帶來的數據安全風險也更為復雜[12]。在這一背景下，應樹立數據流通利用常態化的理念，并應對數據大規模流動、聚合、分析可能產生的新型數據安全風險，有學者將應對這種新型數據安全風險的要求稱為數據的可控性 (controllability)[13]。美國 《聯邦信息安全管理法》中首次提出信息安全可用性 (availability)、保密性 (confidentiality)、完整性 (integrity)的 “信息安全三性”保護要求，成為使用最為廣泛的信息安全保護原則[14]，但傳統的數據安全保護關注信息的自身安全和靜態安全，多側重信息的存儲和管理，對于數據大規模流動、聚合和分析的動態管控和由此可能產生的新型數據安全風險回應不足。2017年11月，健身應用Strava發布了基于2700萬用戶運動軌跡數據的 “全球熱力地圖”，該地圖發布后不久即被網友發現可以據此分析出美軍、英軍、法軍在阿富汗、地中海、西非等地的軍事基地位置和士兵的日常運動軌跡[15]，使各國軍方嘩然。2021年7月4日，網絡安全審查辦公室對 “滴滴出行”啟動網絡安全審查，隨即又啟動了對 “運滿滿” “貨車幫” “BOSS直聘”等企業的網絡安全審查[16]。上述企業之所以面臨國家網信部門的嚴格審查，在于其處理和產生的數據涉及國家人才職業、道路交通和地理信息，眾多的個人數據、道路交通和地理數據流動、聚合和分析后，可能暴露國家關鍵的政府機構、基礎設施和軍事基地的地理位置和其他相關信息，對國家安全產生威脅。以上事件反映出兩個問題：一是本身不被視為具有安全風險的數據在大規模聚合分析下能夠產生超越傳統數據自身風險的新型數據安全風險；二是從側面說明了重靜態輕動態理念下的傳統信息安全保護模式仍然處于應急監管和事后監管的狀態，難以應對數據大規模流動、聚合和分析產生的新型數據安全風險。數據作為信息的一種表現形式，固然可以套用傳統的信息安全保護范式，但不足以完全應對數字經濟下數據大規模流動、聚合和分析而產生的新型安全風險，數據安全保護范式亟待革新。

1.2 范式革新下應運而生的數據分級分類保護制度

面對數據異質性和數據因流動而產生的數據安全問題，數據分類分級保護制度能夠充分回應上述困境，有效應對新型數據安全風險。

首先，數據分類分級保護制度能夠以差異化管控應對數據的異質性特征。不同于 “一視同仁”的簡單規制，數據分類分級保護制度能夠打破數據全閉或全開的二元對立局面，對不同重要性和風險程度的數據實行差異化的流通策略和針對性的保護措施，以最大程度地平衡數據利用與數據安全。美國為了應對上述數據安全和消費者個人隱私侵犯等問題，在地方層面，加利福尼亞州、弗吉尼亞州和科羅拉多州等均相繼通過了個人隱私保護的相關法案；在聯邦層面，統一立法委員會于2021年7月推出了 《統一個人數據保護法》，以作為各州個人數據保護的示范法。為了應對數據流通處理可能對社會秩序和國家安全造成的影響，奧巴馬政府于2010年推出了 “受控非密信息”管理制度，并于2016年建立了實施細則，以保護和管理需要控制傳播的非國家秘密信息[17]；美國國會于2018年通過了 《外國投資風險審查現代化法》，以管控數據的跨境流通和國家安全[18]，由此初步形成了美國對不同類別數據分別進行管控的制度框架。歐盟為了緩解較為嚴苛的數據保護政策給數據創新和產業發展帶來的限制，通過頒布 《通用數據保護條例》以替代95 《指令》，對不同敏感程度的個人數據進行了一定程度上的區分處理，頒布 《非個人數據在歐盟境內自由流動框架條例》及其指南，以促進非個人信息在歐盟范圍內的流通利用，實現了歐盟對于個人數據和非個人數據的差異化管理。無論是美國還是歐盟在面臨數據異質性和復雜多變的數字經濟發展趨勢的挑戰時，均對 “整齊劃一”的數據保護政策進行了革新，體現了分類分級保護的理念。我國 《數據安全法》中規定的數據分類分級保護制度，其核心亦在于對不同重要性和風險等級的數據匹配不同程度的保護和管制措施，避免數據保護程度不足而導致的風險外溢，也避免數據保護措施過嚴導致的數據流動利用限制，以實現數據流動利用風險和數據安全保護措施的最大程度適配。

其次，數據分類分級保護制度能夠以針對性管控應對因數據大規模流動、聚合分析而產生的新型數據安全風險。在保護理念上， 《數據安全法》下分類分級保護制度的主旨即為保障數據安全的同時促進數據開發利用，不再將靜態存儲視為數據的常態，而將數字經濟時代大規模的數據流動、聚合和分析作為制度實施的現實環境，對數據收集、數據交易、數據開放等數據流通利用活動作了規定。在保護方式上，數據分類分級保護制度能夠對不同重要性和風險程度的數據進行分級，并在此基礎上對不同流動性的數據采取差異化的保護措施。重要性和風險程度大的數據限制或禁止流動并進行針對性保護，一般商業性數據則允許市場化流通并主要關注其在流動過程中大規模聚集和分析產生的風險，把握關鍵環節進行持續動態性管控，以確保數據的可控性，從而實現對數據流動性的控制和應對數據因大規模流動利用而產生的新型數據風險。

2 數據分類分級保護的邏輯展開與制度需求

數據分類分級保護制度的落實并非一蹴而就，不僅需要對制度的理論層面進行剖析，還需對制度的實施邏輯進行梳理。一方面應注意從以往制度和實踐中尋找經驗，以厘清現實境況，做好制度銜接；另一方面也需明確制度目的和制度需求，以針對性地對制度進行構建和完善。

2.1 重要數據識別和數據分級標準的統一

數據分類分級標準是數據分類分級保護制度實施的前提， 《數據安全法》中僅對 “重要數據”進行了概念上的界定，并未規定具體的識別標準，對于數據如何分類、具體分為幾級、分級的標準等問題也并未詳細規定，直接影響了數據分類分級保護制度的落實。實踐中相關部門和行業單位 “自下而上”發布的眾多規范和標準雖形成了一定的共識，但難以形成統一，不足以直接作為制度落實的參照和依據，統一的 “自上而下”的重要數據識別和數據分類分級標準亟需建立。

在重要數據的界定和識別上，相關部門、行業單位和市場主體曾發布眾多規范和標準，對重要數據概念的定義形成了一定的共識，均認為重要數據與國家安全、經濟發展以及社會公共利益密切相關。但對于重要數據是否包含國家秘密、企業生產經營和內部管理信息、個人信息等，不同規范和標準則存在分歧。首先，對于重要數據是否包含國家秘密， 《數據安全管理辦法 (征求意見稿)》等規范持模糊的態度，一些標準性文件則明確表明重要數據不應包含國家秘密 (如 《信息安全技術 大數據服務安全能力要求》等)。其次，對于是否包含企業生產經營和內部管理信息、個人信息， 《信息安全技術 數據出境安全評估指南 (草案)》等標準認為應當包含， 《金融數據安全 數據安全分級指南》等規范和標準則認為重要數據一般不應包含企業生產經營和內部管理信息、個人信息。在各類紛繁復雜的規范和標準性文件中，重要數據界定和識別的具體標準仍存爭議、不甚清晰，為了確保數據分類分級保護制度的有效落實，需進一步對重要數據的界定和識別標準進行明確。

對于數據分類分級，相關部門、行業單位和市場主體亦曾發布大量規范和標準。由于數據分類主要是滿足條塊管理的需要，由各部門和行業結合自身需求和業務性質進行劃分更為合適。數據分級則直接涉及對不同等級數據的管控，需要劃定統一的標準，故本部分主要討論當前各規范和標準對于數據定級的現狀及存在的問題。

以金融業和工業領域為代表的行業性數據分類分級指南提出了一套以數據被損壞后的影響對象、影響程度為衡量標準劃分數據等級的數據定級方法 (如 《基礎電信企業重要數據識別指南》 《金融數據安全 數據安全分級指南》等)，具有較高的參考價值，但仍存在以下問題：

首先，不同規范和標準對于影響對象、影響程度、等級數量等定級要素的具體規定存在分歧。在影響對象上，有的分為個人隱私、企業合法權益、公眾權益、國家安全四個類別 (如 《金融數據安全 數據安全分級指南》等)，有的分為用戶和企業利益、公眾利益和社會秩序、國民經濟和國家安全三個類別 (如 《工業數據分類分級指南 (試行)》等)，有的文件限于行業內部，分為行業、機構、客戶三個類別 (如 《證券期貨業數據分類分級指引》等)。在影響程度上，有的分為嚴重、中等、輕微、無損害四類 (如 《金融數據安全 數據安全分級指南》等)，有的分為嚴重、高、中、低損害四類 (如 《基礎電信企業數據分類分級方法》等)，有的分為嚴重影響、較大影響、較小影響三類 (如 《工業數據分類分級指南 (試行)》等)。在數據等級數量上，各類文件產生的分歧則更為明顯，有的將數據分為三級 (如 《個人金融信息保護技術規范》等)，有的分為四級 (如 《基礎電信企業數據分類分級方法》等)，有的分為五級 (如 《電信和互聯網服務 用戶個人信息保護分級指南》等)。

其次，以上數據分類分級規范和標準均只針對特定行業和領域，并未形成統一數據分類分級的標準，不同數據分級標準缺乏對應聯系和互操作性，可能導致數據分級標準的林立，增加數據分級制度整體落實的難度。此外，即使部分較有代表性的數據分類分級規范文件在數據分級標準上也存在進一步完善的空間。以 《金融數據安全 數據安全分級指南》為例，指南中將影響對象分為國家安全、公共權益、個人隱私和企業合法權益四類，將影響程度分為嚴重損害、一般損害、輕微損害和無損害四類，按照指南中的數據分級方法得出數據等級劃分矩陣表 (見表1)。從影響對象看，個人隱私和企業合法權益在遭受不同影響程度情況下分別對應的數據等級完全相同，將兩者分別作為獨立的影響對象進行區分沒有必要。從影響程度看，無損害單獨作為一個評價指標所對應的受侵害客體為公共權益和國家安全時，數據級別堆疊，區分度小，是否必要將其獨立作為一類影響程度值得思考；一旦涉及國家安全，無論造成輕微損害、一般損害或是嚴重損害均劃定為同一等級數據，區分度不足。

表1 數據等級劃分矩陣

從以上分析可以看出，各行業各部門推出的數據分類分級規范和標準采取的是一種 “實然”路徑，其基本思路是根據本行業本部門實際運作流程中所收集和產生的各類數據進行分類，在此基礎上再根據需要進行數據分級，可以統稱為一種 “自下而上”的數據分類分級[19]。這種分類分級可能產生兩個方面的問題：①各行業各部門之間的標準難以統一，缺乏互操作性，導致數據分類分級保護制度的整體落實面臨困境；②數據等級和數據保護程度均由組織內部決定，可能產生較大的負外部性，組織內部認為重要性不大的數據實際上可能對于公共利益和國家安全的重要性更為明顯，若將數據定級權限完全交由組織內部，則因此產生的負外部性只能由社會和國家承擔。據此，統一的 “自上而下”的重要數據識別和數據分類分級標準亟需推出。

2.2 信息和網絡安全等級保護制度的銜接與啟示

在 《數據安全法》正式出臺前，國內關于信息安全等級保護和網絡安全等級保護的制度已付諸實踐，數據分類分級保護制度應當注意與信息和網絡安全等級保護制度的銜接，同時從中吸收等級保護的經驗與啟示。

數據是信息的一種表現形式，是以電子方式對信息的記錄，本質上仍然以記錄的信息內容為核心[20]，故信息安全等級保護制度對于數據安全等級保護制度有重要的借鑒意義。 《信息安全技術 信息系統安全等級保護定級指南》將信息安全等級保護制度直接作用的對象界定為信息和信息系統，并對承載信息的信息系統安全保護等級作了劃分，見表2。該安全保護等級劃分方法和結果對于數據分類分級標準在影響對象、影響程度、數據等級數量等定級要素的確定和數據定級結果方面都具有一定的參考價值。

表2 信息系統安全等級劃分矩陣

網絡是數據流轉的空間，數據的安全流通利用需要有網絡信息系統的保障，一定等級的數據理應匹配相應安全防護等級以上的網絡信息系統，由此才能實現網絡安全與數據安全體系的統一協調構建， 《數據安全法》中亦提出應當在網絡安全等級保護制度的基礎上履行數據安全保護義務[21]。首先，網絡安全等級保護制度與信息安全等級保護制度中的安全等級劃分標準如出一轍 (見表2、表3)，意味著信息、網絡安全領域的安全等級保護劃分標準存在延續和對應，數據等級劃分標準也應當對該標準有一定的參照。其次， 《信息安全技術 網絡安全等級保護定級指南》中提出，當安全責任主體相同時，數據與網絡信息系統宜作為一個整體進行定級，意味著網絡信息系統和數據的定級標準需存在對應關系，否則將導致兩者作為整體定級時產生各自標準上的沖突。此外， 《網絡安全法》中提出的對關鍵信息基礎設施的重點保護和 《數據安全法》中提及的對重要數據的重點保護具有內在的聯系，意味著處理重要數據的系統應當滿足一定等級的網絡信息系統保障和關鍵信息基礎設施安全保護要求。

表3 網絡信息系統安全保護等級劃分矩陣

2.3 數據分類分級基本理念的把握

數據分類分級基本理念貫穿數據分類分級全過程，對于數據分類分級具有原則上的指引，應準確把握數據分類分級的基本理念，以確保數據分類分級的流程和結果符合制度的宗旨。

級別劃定的合理適當。數據等級劃定過低，可能導致數據的風險溢出，數據未能得到有效的保護；數據等級劃定過高，則可能投入不必要的管控成本，或因此限制數據的流通利用，應當準確界定影響對象和評估影響程度，以確保數據等級劃定的合理適當。在評估影響程度時，可以通過數據保密性、完整性、可用性的損壞造成的影響對侵害程度進行評估。此外，對于可能涉及多個數據級別的混合數據，無法將混合數據中不同級別數據區分的，應將混合數據作為一個整體劃定為其所含數據涉及的最高數據等級。

數據等級的動態調整。數據的等級并非一成不變，數據的流動、匯集、分析以及社會經濟的發展和國家政策的變化都將影響數據的重要程度以及可能帶來的風險，因此需要對數據等級進行動態調整。對于因處理場景和處理方式變化或因流動、匯集、分析而可能對社會秩序、公共利益和國家安全產生更大程度危害風險的數據，應適當劃入更高等級進行保護。對于部分已經被公開披露的數據、被更新替代的歷史數據、不再涉及敏感信息或國家安全的數據，則可以劃入更低等級，以節約執法資源，減輕相關主體的合規壓力。

自主性定級與強制性定級相結合。數據分類分級保護制度是一項系統性工程，完全由中央采取自上而下的方式任務艱巨且不盡現實，完全由地方或部門采取自下而上的自主數據定級方式又可能造成各地方、各行業和各領域之間的標準互相沖突[22]和數據定級的負外部性，應將地方自主定級和中央強制定級相結合。地方、行業和領域的數據責任主體有一定的數據自主定級權限，可以在中央劃定的數據定級標準基礎上進行更為細化的分類分級，但自主定級的數據等級應與中央確定的數據等級有對應關系，落入中央相應數據等級的數據應采取符合要求的數據管控措施。

2.4 數據分類分級關鍵要素的厘清

根據 《數據安全法》中對于數據分類分級標準的表述，決定數據不同等級的因素為數據損壞后的影響對象以及對影響對象的影響程度，由此可以確定數據定級中的三大要素，即影響對象、影響程度和數據等級數量。這三大要素構成數據等級劃定的基礎框架，對三大要素內容的確定和基礎框架的擬定在數據分類分級中尤為重要。

第一，影響對象的提煉。之所以區分不同的受侵害客體，在于其分別代表了不同的法益，且受到侵害后可能產生不同程度的影響。社會秩序和公共利益、國家安全應單獨作為評價的客體并無疑義，但公民與法人和其他組織是否應當區分作為單獨評價的客體在實踐中則存在爭議。如前文所述， 《金融數據安全 數據安全分級指南》中將個人權益和組織權益區分為不同的影響對象評價，可能考慮到組織相比于個人涉及更多的就業、產業和經濟問題，但從兩者最終的分級結果來看，個人權益和組織權益分別獨立作為影響對象評價所得出的數據分級結果完全相同 (見表1)，印證了該分類過于細化并未帶來實質效果，徒增定級的繁瑣程度。公民個人權益和組織權益本質上均屬于私主體的權益，理應作為同一影響對象進行評價，即使組織可能涉及就業、產業和經濟等與公共利益相關的問題，也應將涉及該部分的數據特殊考慮，而不宜直接將組織作為單獨的影響對象進行評價。因此影響對象宜分為三類，即公民、法人和其他組織的合法權益；社會秩序、公共利益；國家安全。

第二，影響程度的評估。首先，需要考慮無損害是否應當獨立作為一個損害程度的評價指標，該問題在實踐中存在分歧。 《證券期貨業數據分類分級指引》和 《金融數據安全 數據安全分級指南》將無損害作為單獨的損害評價指標，其余規范和標準大多不將無損害作為單獨的損害評價指標。數據的管控需要成本，無損害意味著無客體的法益受損，投入資源進行特殊管控可能造成執法資源的浪費，在成本效益上不經濟。此外，將無損害作為一個獨立的評價指標，可能造成數據等級評價結果的重復或堆疊，缺少區分性 (見表1)，因此無損害不應單獨作為一個損害程度的評價指標。其次，需要考慮是否將輕微損害和特別嚴重損害納入影響程度的評價指標。 《數據安全法》是網絡數據安全的基礎性法律，必然需要與治安管理處罰法、刑法等法律法規協調和銜接，尤其是在法律責任的適用上，這一點從其在法律責任部分的引致條款即可看出，因此數據等級評估中考慮的法益損害很大程度上也是其他相關法律在適用法律責任時考慮的法益損害，治安管理處罰法和刑法中均包含對受侵害客體造成特別嚴重損害的評價，因此保留 “特別嚴重損害”的評價較為必要。輕微損害作為單獨的損害程度評價指標并無必要，若損害程度較為輕微則不宜納入數據評級，若損害程度趨于一般損害則可以結合實際適當參照一般損害的評價，一方面能夠增加數據評級的靈活性，減少不必要的程序冗雜，另一方面可以通過向上兼容實現對數據更好的保護。此外，采取一般損害、嚴重損害、特別嚴重損害的影響程度評價指標亦能夠與信息安全等級保護制度和網絡安全等級保護制度中的影響程度評價指標銜接 (見表2、表3)，實現信息、網絡、數據安全保護體系的系統協調構建。因此，影響程度應區分為一般損害、嚴重損害、特別嚴重損害三類。

第三，數據等級數量的確定。數據分級的顆粒度不宜太粗，缺乏精細化，無法發揮數據分類分級制度的實效，也不宜太細，缺乏可操作性，使得各級別之間差異并不明顯，徒增分級的成本和復雜性。部分學者提出應將數據等級劃分為三級[23-24]，但或是未兼顧到國家核心數據這一最高數據等級的分類，或是需要將其中一個數據等級進行細分，實質上為超過三級的數據分級。考慮到數據等級數量的劃分在精確度和操作性上的平衡，以及數據安全等級保護制度與信息安全等級保護制度和網絡安全等級保護制度的銜接，宜將數據等級的數量確定為五級。

3 統一數據分類分級標準體系的構建：以重要數據識別為核心

數據分類分級標準是數據分類分級保護制度實施的前提，應明確重要數據的界定與識別標準，并構建科學統一的數據分類分級標準體系。

3.1 重要數據的界定與識別

就目前對重要數據的討論而言，確認重要數據關乎社會秩序、公共利益和國家安全已無疑義，但對于重要數據是否包含國家秘密、是否包含企業生產經營和內部管理信息、個人信息等問題仍存爭議，應當對上述問題進行厘清，并探究重要數據的具體識別方法。

首先，重要數據不應當包含國家秘密。多數業內實務工作者和學者傾向于將國家秘密排除在重要數據范圍之外[25]，從最新的各行業數據分類分級文件來看，重要數據的內涵也不再包括國家秘密。2021年8月國家互聯網信息辦公室最新發布的 《汽車數據安全管理若干規定 (試行)》中，將重要數據的劃分涵蓋了軍事管理區、國防科工等涉及國家秘密單位以及縣級以上黨政機關等重要敏感區域的地理、人流、車流數據，由此給重要數據內涵的界定帶來困惑。對此，應當區分直接包含國家秘密和可能涉及國家秘密兩個概念，軍工單位和黨政機關等區域的人流車流數據并不直接包含國家秘密，對這些數據進行流動、聚合和分析后則可能涉密。國家秘密屬于特定軍政人員在特定范圍和特定時間內知悉的國家重要信息，并不納入公共數據流通的范圍，應依據 《保守國家秘密法》及其實施指南等專門性的法律法規進行管控， 《數據安全法》中亦使用引致條款對涉及國家秘密的數據進行了區別處理。

其次，重要數據一般不包含企業生產經營和內部管理信息、個人信息。將以上信息納入重要數據范圍將面臨兩個問題：第一，在政府層面，企業生產經營和內部管理信息、個人信息的數量眾多，均納入重要數據范圍并采取重點保護，可能帶來巨大的執法成本。第二，在企業和市場層面，如果以上信息納入重要數據范圍，將使企業背負巨大的合規壓力，市場中數據流通利用成本大大增加，極有可能限制數據的流通利用、阻礙數字經濟的發展。但應當注意的是，部分企業生產經營和內部管理信息、個人信息可能納入重要數據甚至國家核心數據的范圍，例如涉及國家核心技術的企業專利和商業秘密、國家重要軍政人員的個人信息等，將其納入重要數據并不是出于個人權益或企業權益的考慮，而是出于對公共利益和國家安全的考量。

在重要數據的識別上，可以采取定性和定量結合的方式。定性識別主要通過評估數據的重要程度及損壞后可能對社會秩序、公共利益和國家安全造成的影響程度來確定是否落入重要數據的范圍[26]。定量識別主要考慮到大量數據聚合分析后可能產生的數據流通性風險，例如我國的 《網絡安全審查法 (征求意見稿) (2021)》以及美國的 《外國投資風險審查現代化法》均將超過一定數量的數據跨境流動或處理納入審查范圍。采取定性和定量結合的方式進行重要數據的識別，能夠兼顧對數據自身安全風險和數據流動性安全風險的防范，發揮重要數據管控的實效。

此外，應當明確重要數據是一個數據類別而非數據級別。從 《網絡安全法》對個人信息和重要數據規定的相應安全保護要求來看，其是將個人信息和重要數據作為兩個數據類別，個人信息可以因重要性和風險程度的不同再分為不同的安全等級，重要數據同樣可以根據重要性和風險程度再分為不同的數據安全等級。國家核心數據作為 《數據安全法》中新提出的數據類別，其相較于重要數據實施更為嚴格的管理制度，數據等級明顯位于重要數據之上，宜作為一個最高數據級別看待。

3.2 五級數據分級體系的構建

根據前文所述的數據分級基本邏輯和方法，可將數據由低到高分為一級數據 (一般數據)、二級數據 (敏感數據)、三級數據 (一般重要數據)、四級數據 (關鍵重要數據)、五級數據 (國家核心數據)共五個等級。

第五級數據為國家核心數據，國家核心數據不直接包含國家秘密，但其包含的數據經流動、聚合、分析后極有可能涉及國家秘密，從而遭受損壞后可能對國家安全造成特別嚴重的損害。 《數據安全法》中規定違反國家核心數據管理制度可能涉及刑事責任， 《保守國家秘密法》中同樣規定了違反保密法規定的可能涉及刑事責任。可見，對國家核心數據管理制度的違反可能涉及對國家秘密所代表法益的侵害，將國家核心數據劃入最高保護等級較為適宜。

重要數據是一個特殊的數據類別而非特定的數據等級，其根據數據的重要性和風險程度可以再劃分為不同的數據等級。根據重要數據損壞后可能危害國家安全的識別標準，第三級、第四級、第五級數據均符合要求，由于第五級數據屬于國家核心數據，處于單獨的數據類別，因此第三、第四級數據應劃入重要數據的范圍。由此，第四級數據為關鍵重要數據，主要特征在于損壞后可能對國家安全造成嚴重損害，或者形成特別惡劣的群體性事件，對社會秩序、公共利益造成特別嚴重的損害，但該類數據并不因流動、聚合、分析而涉及國家秘密，因此劃定為僅次于國家核心數據的第四級數據。第三級數據為一般重要數據，介于重要數據和非重要數據的分界，不僅包含自身遭受損壞后可能危及社會秩序、公共利益和國家安全的數據，還包含大量一級、二級數據流動、匯聚、分析后可能對社會秩序及公共利益和國家安全造成危害的數據集。目前正在制定的 《信息安全技術 關鍵信息基礎設施安全防護能力評價方法》將關鍵信息基礎設施的安全防護能力由低到高分為一至三級，由于處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求，恰好形成了關鍵信息基礎設施安全保護等級與本數據分級標準下第三至五級數據安全保護等級之間的對應，能夠更好地實現數據分類分級制度與關鍵信息設施制度、網絡安全等級保護制度的銜接。

第二級數據為敏感數據，第一級數據為一般數據。第二級數據既包括個人敏感數據也包括法人和其他組織的敏感數據，之所以將對公民、法人和其他組織的合法權益造成嚴重損害和特別嚴重損害的數據等級均劃分為第二級，主要考慮到重要數據劃分的審慎性，由于公民、法人和其他組織等私主體的受損害程度和受損害范圍易于確定和控制，因此宜在同一等級中結合實際采取從輕或從重的管控措施，而不宜納入重要數據的管控范圍。第一級數據在所有等級數據中所受的流動性限制最少，最便于進行交易流通和發揮數據價值。

4 數據分類分級保護的基本框架：以重要數據管控為核心

對不同等級數據采取差異化管控措施，這是數據分類分級保護制度效用發揮的關鍵。應明確數據管控措施差異化適配的基本原則，以重要數據的管控為核心，妥善處理不同等級數據的流通利用和安全保障需求，構建數據分類分級保護的基本框架。

4.1 數據等級與管控措施的差異化適配

數據分類分級保護制度的目的在于確保不同重要性和風險等級的數據能夠得到適當程度的保護。GDPR提出，在考慮所持有數據的本質屬性、最先進的安全保護措施以及實施成本的前提下，個人信息控制者應采取與其面臨的安全風險相稱的技術和管理措施。 《歐盟網絡與信息系統安全指令》提出，網絡運營者應采取與所面臨風險 “相稱”或 “等比例”的安全措施。美國則在立法中對網絡數據保護措施采用 “合理性標準 (reasonableness)”的表述[27]。我國在擬定不同等級數據管控措施時，同樣可以借鑒相似理念，避免對保護措施作出過于細致、具體的規定，而是作出原則性和引導性規定，以包容技術進步和社會經濟發展的空間[28]。較低級別的數據如第一級、第二級數據等可以優先考慮流通利用和市場化需求，較高級別的數據如第三級以上的重要數據則需主要考慮數據安全的需求。對于較低級別數據的流通宜采取 “合規即流通”的管控模式，滿足既定的數據安全相關合規要求后即可對數據進行流通處理，發揮市場決定性作用，促進數據價值的激發和數字經濟的發展。對于較高級別數據的流通宜采取 “專項審批”的管控模式，對重要數據進行處理時需報相關主管部門提前進行審核并開展風險評估，以保障社會秩序和國家安全。對于國家核心數據的管控，需要參照 《數據安全法》中的一般規定和重要數據的管控制度，在重要數據的 “重點保護”之上采取 “更加嚴格”的管控制度，對國家核心數據的流通處理進行嚴格限制，對數據的處理進行動態和實時監管，并建立記錄溯源和應急處置措施，以確保國家安全。對于非電子化數據的管控，由于其不存在依托網絡流動而產生的風險，可以結合 《數據安全法》中的一般規定和 《檔案法》及其實施條例等檔案資料管理的相關法律法規，采取相應的管控措施。

4.2 重要數據管控的具體方案

重要數據的管控包括對第三級、第四級數據的總體管控，第五級數據作為最高級別的國家核心數據，在總體管控上采取 “更加嚴格”的管控制度，此處主要論述重要數據總體管控制度的具體方案。目前而言，除了遵循一般數據的管控措施外，重要數據管控的增強措施主要見于 《網絡安全法》和 《數據安全法》，包括重要數據備份、重要數據本地化存儲、重要數據跨境流通的安全評估要求、重要數據的目錄制定和重點保護要求、重要數據處理的數據安全負責人和管理機構要求、重要數據定期風險評估要求等。已有的相關規定提供了重要數據管控的基本要求，但仍可以從以下方面進一步落實和完善重要數據的管控制度。

首先，應當統籌重要數據的傳統數據安全風險和新型數據安全風險。不僅需要關注數據采集、傳輸、存儲、訪問、刪除等傳統的數據風險管控環節，還需要重視對數據加工、匯聚融合、數據披露、數據轉讓、數據委托處理和數據共享等涉及數據流動、聚合和分析環節的管控，兼顧防范傳統數據安全風險和新型數據安全風險。在數據采集和存儲環節，應當對重要數據進行標記，以為后續的重要數據管控提供基礎。以分離式標記方法對重要數據建立映射關系，在重要數據的分析場景中進行數據的訪問控制和加密，以嵌入式標記方法將重要數據的標識融入原始數據中，對重要數據的流通進行審計和追溯[29]。在重要數據的流通利用環節，應當遵循 “專項審批”的管控模式，對涉及的關鍵環節可能產生的風險進行評估報告和審批，并采取相應的應對措施，確保重要數據流通利用的安全。

其次，應當對重要數據風險評估制度和重要數據出境安全評估制度等實施規則進行細化。在重要數據處理活動的風險評估方面，可以參考 《汽車數據安全管理若干規定 (試行)》中的相關規定，風險評估報告應包括處理的重要數據的種類、數量、范圍、保存地點與期限、使用方式、開展數據處理活動情況、面臨的數據安全風險及其應對措施等，重要數據處理者應嚴格按照風險評估中明確的各項指標開展重要數據處理活動。在重要數據出境安全評估方面，應由國家網信部門會同國務院有關部門組織安全評估，著重報告出境數據的情況、境外數據接受者的情況和數據在境外處理的情況，以安全為導向，經由國家間自由貿易協定實現數據共享[30]。在重要數據定期安全管理情況評估和風險評估制度方面，應明確評估的頻率、內容、主體和相關責任，可借助數據等級評級中專業的測評機構進行評估，根據風險評估結果進行自我糾察，并及時上報有關主管部門。

最后，應當在網絡安全等級保護制度的基礎上開展重要數據的管控，注意網絡安全等級保護與數據安全等級保護間的制度銜接，為確保重要數據處理活動的安全，應匹配與重要數據級別相當的網絡信息系統，并重視網絡信息系統的運維和緊急情況的處置能力，建立和完善重要數據安全應急處置機制，妥善應對重要數據處理過程中發生的數據安全事件，防止危害的擴大，及時消除事件造成的后果。

5 結語

數據分類分級保護制度的目的在于對不同重要性和風險等級的數據實施差異化管控措施，以應對日益勃興的數字經濟下數據要素所面臨的多元化流通處理需求和復雜的數據安全風險，其重要性不言而喻。但在實施細則尚不明晰、配套制度相對匱乏的情況下，制度的落實難言順利，制度的成效亦無法保障。因此，需梳理數據分類分級保護制度的實施邏輯，明確其制度需求，在借鑒信息和網絡安全保護等級制度及相關實踐經驗的基礎上明確數據分類分級的基本理念和關鍵要素，建立統一的數據分類分級標準體系，構建數據分類分級保護框架，以促進制度的具體落實，發揮制度的應有實效，真正實現數據安全保障和數據開發利用的平衡。