如何对数据进行分级分类保护

侯利阳　贺斯迈

数据安全机制的确立，最终要通过多个部门法的链接和共治来实现（图/视觉中国）

立法回眸：数据安全保护大起底

我国对于数据安全的关注由来已久。早在《数据安全法（草案）》（以下简称“《草案》”）草拟之前，数据安全的保护就存在于一系列的法律法规之中。其中，最早的要数1994年颁布的《计算机信息系统安全保护条例》。当时没有数据这个概念，该条例使用的还是信息安全保护的措辞。在后续的发展中，信息保护的实践操作被大大加强，并逐步演化出分级保护的理念。这其中最为重要的就是2007年公安部颁布的《信息安全等级保护管理办法》。该办法按照信息系统损害后的社会后果差异将信息安全分为五级：损害个人利益（第一级）、损害社会利益（第二级）、损害国家安全（第三级）、严重损害社会利益（第四级）、严重损害国家利益（第五级）。基于这种分级保护的思路，我国在2008年建立了信息安全保护的国家标准，此即《信息安全技术、信息系统安全等级保护基本要求》，针对不同的保护等级从技术层面设置了详细的保护要求，包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求以及工业控制系统安全扩展要求等。至此，我国的数据分级保护体系开始全面地建立起来。

在《草案》发布之前，我国的数据保护基本上只遵循分级保护的思路。比如，2016年颁布的《网络安全法》采用的依然是分级保护的提法。但分级保护只是设置了数据保护的框架，数据占有主体依然不明确哪些数据应当给予什么级别的保护，这给数据的市场运营造成了很多困扰。因此，单单从数据分级的角度构建数据安全体制尚不足以充分保障数据的安全。虽然《网络安全法》中也涉及了一些数据分类保护的内容，但没有将之作为原则进行确立。此次《草案》明确构建了数据分级分类保护的原则，并且对数据保护提出了极高的要求——由中央国家安全领导机构制定具体规定，由地方政府、行业主管部门、公安机关等制定重要数据保护目录，最终由数据占有主体执行。此外，《草案》还提出建立国家级别的数据安全风险评估、报告、信息共享、监测预警机制，数据安全应急处置机制，数据安全审查制度等配套性机制。

数据分级保护与分类保护是数据保护的两大维度，二者相辅相成。数据分级侧重于划定数据所具有的某种后果性标准，并构建相应的技术保护体系;数据分类是把具有共同属性或特征的数据归并在一起，通过其类别的属性或特征将之纳入不同的分级保护体系之中。两者从不同的角度明确数据安全的责任和边界，确定责任主体的具体义务。可以说，《草案》回应了我国目前对于数据保护的现实需求，弥补了数据保护的短板。但是，《草案》虽然确立数据分类保护的原则，却并未真正构建分类保护的实操性规则，这有待后续配套性法规的出台，否则只能是无本之木。

在《草案》出台之前，我国已经有一些法律文件对数据的分级分类进行了初步规定。这其中最为重要的是工信部在2020年初颁布的《工业数据分类分级指南（试行）》（以下简称“《分类分级指南》”）。《分类分级指南》仅仅规制工业企业和平台企业的数据安全，为二者的所控数据设置了分类要求。工业企业数据被分为研发数据、生产数据、运维数据、管理数据、外部数据等。平台企业数据被分为平台运营数据和企业管理数据。此外，《分类分级指南》根据不同类别工业数据遭篡改、破坏、泄露或非法利用后可能对工业生产、经济效益等带来的潜在影响，将工业数据分为一级、二级、三级等三个级别（一级最低、三级最高）。《分类分级指南》为我们今后依据《草案》建构数据分级分类保护制度提供了参考样板。但《分类分级指南》至少存在三个问题。其一，《分类分级指南》中的数据安全分级与《信息安全等级保护管理办法》存在对接上的困难，前者分为三级，而后者则分为五级。其二，《分类分级指南》虽然构建了数据分级分类保护的标准，但未建立二者之间的联动机制;换言之，何种数据应当给予什么级别的保护依然模糊。其三，从条文规定来看，《草案》确立了三种特殊的数据分类：重要数据（第19条）、国家安全数据（第22条）、属于管制物项的数据（第23条）。但这些分类在《分类分级指南》中并没有得到体现。因此，《分类分级指南》中无法直接作为《草案》的配套性规定，依然需要我们在《草案》正式颁布之后重新思考这些问题。

他山之石：域外数据分类分级规则考

数据分级分类的具体规则主要涉及实际操作方面的内容，因此其他国家的相关经验对我们具有重要的参考意义。国际层面对数据保护的代表性法域主要为欧盟和美国。欧盟以GDPR为代表，建立了以保护用户基本权利为核心的数据安全体系，对数据占有主体施加了较为严格的规范性义务。而美国选择赋予市场更大的自由，以市场自主调节与高度监管的方式构建数据安全体系。我国目前对于数据保护的态度更接近于美国，因此本文主要参考美国的相关制度。美国对于数据安全保护的重要制度是受控非密信息的管理制度。

美国的受控非密信息保护制度从强制统一标识入手，将原有的几十种标识方式逐项做了统一，按需将各部门的不同标识（如“工作秘密”“内部信息”“敏感信息”“私有信息”“商业秘密”等）作出一体化规定。其中，对我国借鉴意义最大的部分是其构建的分级分类保护制度。该制度将受控非密信息分为二十大类。这二十大类主要按照行业进行区分，诸如隐私、专利、移民、金融、商业信息、税收、交通等。这些大类又被细分为124子类，每个类别都有对应的子类别。比如，隐私被细分为合同使用、死亡记录、一般隐私信息、遗传信息、健康信息等子类别。每个子类均有详细的定义、各自的强制分类标识、所对应的分级保护标准以及相应的法律责任。

头脑风暴：《草案》所涉分级分类问题的建设性方案

与美国的相关操作相比，目前《草案》中关于分级分类保护的问题主要有四：缺乏统一的分级体系、缺乏细致的分类体系、缺乏分级与分类的联通机制、缺乏相应具体法律责任。鉴此，我们应当首先借鉴美国受控非密信息保护制度的相关经验，建立强制统一标识制度、统一的登记备案系统和执行机构、统一的分级保护制度。其次，建立统一的数据分类制度。目前对于数据分类保护规制最多的行业主要是金融业，其基本的分类路径是按照影响对象、影响范围、影响程度对数据进行大类别划分，再通过对业务和数据细分，形成从总到分的整体性逻辑体系。对此，我们可以结合政府機构、重点行业和主管部门的意见，建立以行业为标准、以业务为导向、符合我国基本国情的核心数据类型，并在核心类型的概念基础上向外辐射，确保数据类别与安全防护需求基本一致。

此外，数据的分级分类保护还需要规定相应法律责任的保障机制。数据安全机制的确立，以及安全保护目的的实现，最终要通过多个部门法的链接和共治来实现。尤其是在当前数据权属不清、争议频发的市场现状下，最大化释放数据产能，要求我们必须建立起严格的问责机制，落实义务人。落实法律责任是个系统性的工程，需要我们在民法、竞争法、行政法、刑法等多个层面构建责任体系。比如，行政法可以要求就特定数据依规依法开放、依照比例原则保护数据权益人的数据权利和数据被收集行为;民法可从契约保护的角度为数据的基本活动构建多场景的保护机制等。