關於《數據安全法》的理解和認識

筆者按：《數據安全法（草案）》已經正式開始公開徵求意見了。前一篇文章關注《數據安全法》的立法思路：對《數據安全法》的理解和認識|立法思路。

本篇文章將關注《數據安全法》第十九條提出的數據分級分類的要求。在公號君看來，《數據安全法》提出的這條規定，具有重大的意義。本篇文章結合此前開展的一個課題研究【數據安全管理視角下的數據分類研究：研究報告全文】，來探討《數據安全法》第十九條的重大創新。

先擺出來《數據安全法》第十九條：

第十九條國家根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權益造成的危害程度，對數據實行分級分類保護。

各地區、各部門應當按照國家有關規定，確定本地區、本部門、本行業重要數據保護目錄，對列入目錄的數據進行重點保護。

一、國家層面開展數據分級分類工作

要特別注意到第十九條第一款中規定的數據分級分類的主體——國家。而在《數據安全法》之前，我國現有的法律法規也有數據分級分類的規定，但是分級分類的主體絕大多數是規範對象自身，而非國家。以下舉例說明：

1、國務院2018年3月17日發布的《科學數據管理辦法》第十條規定：

「科學數據中心是促進科學數據開放共享的重要載體，由主管部門委託有條件的法人單位建立，主要職責是：（一）承擔相關領域科學數據的整合匯交工作；（二）負責科學數據的分級分類、加工整理和分析挖掘；（三）保障科學數據安全，依法依規推動科學數據開放共享；（四）加強國內外科學數據方面交流與合作」。

《科學數據管理辦法》第二十條規定：「法人單位要對科學數據進行分級分類，明確科學數據的密級和保密期限、開放條件、開放對象和審核程序等，按要求公布科學數據開放目錄，通過在線下載、離線共享或定製服務等方式向社會開放共享」。

2、中國證券監督管理委員會2019年6月1日實施的《證券基金經營機構信息技術管理辦法》（第152號令）第三十條規定：

「證券基金經營機構應當將經營及客戶數據按照重要性和敏感性進行分類分級，並根據不同類別和級別作出差異化數據管理制度安排」。

從上述規定可以看到，要求規範對象本身開展數據分類分級（本文稱之為自下而上的路徑），與國家自己開展數據分級分類工作（本文稱之為自上而下的路徑），會有這本質的區別。

二、自下而上路徑的展開和根本目的

相對於法律層面（主要是行政法規和部門規章）止步於提出數據分類分級要求，近兩年一些部門在其發布的工作性文件中，提出了數據分類分級的具體標準。以下舉例說明：

工業和信息化部2020年2月印發的《工業數據分類分級指南(試行)》中，提出了對工業數據的分類和分級標準。

第五條規定：「工業企業結合生產製造模式、平臺企業結合服務運營模式，分析梳理業務流程和系統設備，考慮行業要求、業務規模、數據複雜程度等實際情況，對工業數據進行分類梳理和標識，形成企業工業數據分類清單」。

第六條中給出了工業企業的數據分類範例：「工業企業工業數據分類維度包括但不限於研發數據域（研發設計數據、開發測試數據等）、生產數據域（控制信息、工況狀態、工藝參數、系統日誌等）、運維數據域（物流數據、產品售後服務數據等）、管理數據域（系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據等）、外部數據域（與其他主體共享的數據等）」。

第七條給出了平臺工業企業的數據分類範例：「平臺企業工業數據分類維度包括但不限於平臺運營數據域（物聯採集數據、知識庫模型庫數據、研發數據等）和企業管理數據域（客戶數據、業務合作數據、人事財務數據等）」。

可以看出，《工業數據分類分級指南(試行)》遵循了前面所說的「自下而上的路徑」，但其更進一步，提出了「自下而上的路徑」可資採取的方法。

從第五、六、七條來看，這是一種所謂的「實然路徑」——此種路徑的基本思路是不改變企業實際如何組織生產的方式和流程（用大白話說就是：「是什麼就是什麼」），且客觀描述在這個方式和流程中所收集、產生出的數據類型。

此種「實然路徑」的另一例證是證監會於2018年9月27日正式公布實施《證券期貨業數據分類分級指引》（JR/T0158—2018）。在這個標準中，數據分類的方法是：

《證券期貨業數據分類分級指引》6.4要求：「本標準推薦的分類分級方法，從業務條線出發，首先對業務細分，其次對數據細分，形成從總到分的樹形邏輯體系結構，最後，對分類後的數據確定級別；同時，推薦考慮確定數據形態」。

從上面的研究可以看出，無論是法律還是部門規章，往往僅僅止步於提出數據分類分級的要求，並沒有對如何分類分級提出進一步的方案。近年來，特別是2019年以來，在國家部委發布的指引性文件，或者國家和行業標準層面，可以看到一些嘗試或方案。

在這些嘗試或方案中，數據分類採取的路徑主要是一種所謂的「實然路徑」。此種路徑的基本思路是不改變企業實際如何組織生產的方式和流程（用大白話說就是：「是什麼就是什麼」），且客觀描述在這個方式和流程中所收集、產生出的數據類型。

在完成數據分類的前提下，根據「後果」路徑，來對數據進行分級。此種路徑的基本思路是根據某類數據的安全屬性（完整性、保密性、可用性）遭到破壞後的影響對象、影響範圍、影響程度，對數據進行定級。一般來說，有分為三級的，也有分為四級的。

觀察目前部委指導性文件和標準所提出的數據分類分級路徑，給規範對象內部開展數據治理提供了很好的思路。規範對象如果能按照上述路徑開展分類分級工作，能夠對其所掌握的數據建立管理目錄，並對目錄裡面的數據進行「差序有致」的管理。

總的來說，「實然路徑」的數據分類，和「後果」路徑的數據分級，是站在規範對象的視角來看。但是，如果由規範對象自主開展數據分類分級工作，其第一訴求往往是防止自身權益因為數據安全事件而導致損害。

三、自下而上路徑不足以支撐國家監管

目前，數據的重要程度越來越高，掌握在企業手中的數據，其對國家、社會、個人的價值，要比對企業來說，價值更高或者說一旦出現安全事件，對國家、社會、個人造成的危害，可能比對企業利益的危害更大。例如劍橋分析事件中，Facebook疏於對第三方的管理，導致大量個人數據被用於政治目的，包括影響脫歐公投和美國總統大選等。

這就出現了一個所謂的「外部性」問題。外部性又稱為溢出效應、外部影響、外差效應或外部效應、外部經濟，指一個人或一群人的行動和決策使另一個人或一群人受損或受益的情況。然而，目前的「實然」路徑的數據分類，和「後果」路徑的數據分級，並不能很好地解決數據安全管理中的「外部性問題」。

因此為了督促或監督企業切實負起數據安全責任，同時對某些「外部性」很強的數據給與更高水平的安全保護，就需要國家站在企業外部，要求企業對具體的、特定的數據類別，提供更高水平的保護。為了達到這個目的，目前的「實然」路徑的數據分類，和「後果」路徑的數據分級難以達成。

另一方面的原因是，目前的部委指導性文件和標準所提出的數據分類分級路徑，在單個組織內部可以適用，但是對面對眾多組織的監管部門來說，不具備互操作性，即一個組織的數據分類或數據分級，很可能與另外一組織的數據分類和數據分級截然不同。這種情況下，數據安全監管機關無法開展統一的管理和監督工作，更無法判斷其所維護的國家和公共利益、個人合法權益是否得到充分的保護。

換句話說，完全依賴規範對象的自我管理的「自下而上」的路徑，難以服務於監管層面的工作開展。從國家層面，或者站在國家角度，組織或開展數據安全管理工作來說，在「自下而上」路徑的基礎上，還需要「自上而下」的路徑。

在公號君看來，「自下而上」的數據分類分級路徑有助於企業自我開展數據安全工作，但不足以支撐國家開展數據安全管理和監督工作的需要。例如，國家對勞動人口的身份管理，國家就「自上而下」劃分為公務員、事業單位人員、企業員工、務農人員等。這樣一種相對整齊劃一的分類，有助於統一管理，這實際上就是本文所謂的「自上而下的路徑」。

四、「自上而下的路徑」的展開

此前公號君提出的數據分類思路，正是「自上而下的路徑」的展開。如下圖：

在這項研究中，公號君提出，數據安全監管存在兩個基本命題：第一是為什麼要保護，其中「為什麼要保護」——即保護的價值，「為什麼要保護」同時決定了「如何保護」——即具體的安全責任內容；第二是誰來保護——即誰的保護責任。

因此，從設計、落實數據安全監管的角度來對數據進行分類，可以遵循這兩個維度：

數據處理活動（包括收集、使用等）的主體存在哪些？公權力要保護的價值是什麼？

在這兩個維度的指引下，就能清晰地確定：

哪些主體的數據處理活動，可能對哪些價值造成危害；根據造成危害的風險，相應地設計數據安全管理的要求。

具體的例子如下：

註：在實例一、實例二中列舉的數據類別，例如外國政府信息、智慧財產權、商業秘密等，就是所謂的「自下而上」路徑的數據分類方法；而國家安全信息、企業專有數據等，是所謂的「自上而下的路徑」。

沿著這個思路，此前公號君提出的數據分類框架如下，摘錄如下：

數據安全的基本要求存在兩個層次：

一是「傳統的數據安全」：保障數據作為資產的安全，即保障數據完整性、保密性、可用性。【即第一層安全保護的價值】

二是「新的數據安全」：管控數據處理過程中對外部可能造成的危害。【即第二層安全保護的價值】第二個層次「新的數據安全」中的外部又可以分解為：

個人安全——即數據處理行為危害到個人安全，包括人身、財產、名譽等合法權益。此方面為個人信息保護法律管控的主要內容。

組織安全——即數據處理行為危害到其他組織的合法利益，包括智慧財產權、商業秘密，以及其他競爭和名譽等方面的利益。例如企業非法爬取其他企業的數據。企業非法竊取其他企業的商業秘密。企業非法使用其他企業的智慧財產權（比如商標、專利等）。此方面可總結為，數據處理行為不得侵害其他組織的專有數據，具體包括兩方面：企事業專有數據和政黨社團專有數據。企事業專有數據（proprietary data）可定義為：企事業所持有的可能影響其競爭優勢的數據。

公共安全、公共利益、公共秩序——即數據處理行為危害到公共安全、公共利益、公共秩序。例如企業公開發布統計信息影響行政管理、經濟秩序。

國家主權、安全、發展利益——即數據處理行為危害到「國家在政治、經濟、國防、外交等領域的安全和利益」。例如企業通過數據聚合分析，推論出國家秘密，進而影響國防、國際關係等。

總結起來，數據安全的目標如下表所示：

結合國標31167中的「敏感信息」，以及《國家網絡安全事件應急預案》中的「重要敏感信息」的定義，公號君進一步將「個人信息、企事業專有數據、政黨社團專有數據、重要數據」，統稱為「敏感信息」或「重要敏感信息」，並得到了如下的數據分類框架：

五、對《數據安全法》第十九條的理解

《數據安全法》第十九條正是提出了「自上而下的路徑」。該條要求國家根據所保護價值（「國家安全、公共利益或者公民、組織合法權益」），以及對所保護價值的危害後果（「一旦遭到篡改、破壞、洩露或者非法獲取、非法利用」......「造成的危害程度」），來開展數據分級分類的工作。

總的看來，筆者此前提出的數據分類思路，和《數據安全法》第十九條的思路非常契合。

而且從《數據安全法》的全文，以及正在制定的《個人信息保護法》來看，從數據安全監管的角度，國家對數據的分類思路已經呼之欲出：

1、數據——指任何以電子或者非電子形式對信息的記錄。

2、個人信息

3、重要數據

對這三類數據，《網絡安全法》、《數據安全法》、《個人信息保護法》提出了配套的安全保護要求。限於篇幅原因，本文對這部分就不展開了。【註：對於《數據安全法》中提出的「政務數據」這個類別，公號君認為是從「自下而上」路徑提出的。】

以上是公號君對《數據安全法》提出的數據分級分類要求的認識，供大家批評指正。