解码《数据安全法(草案)》(二):数据分级分类制度

来源:数据治理苑

文章摘要
7月2日,中国人大网发布《数据安全法(草案)》(以下简称《草案》),共七章五十一条,包括:总则(立法主旨、适用范围、基本原则和价值理念、主管机关及责任主体)、数据安全与发展(大数据战略、数据开发技术和

7月2日,中国人大网发布《数据安全法(草案)》(以下简称《草案》),共七章五十一条,包括:总则(立法主旨、适用范围、基本原则和价值理念、主管机关及责任主体)、数据安全与发展(大数据战略、数据开发技术和数据安全标准体系建设、数据安全检测评估和认证、数据交易管理制度、相关教育和培训及人才培养)、数据安全制度(数据分级分类保护及风险评估、数据安全应急处置机制和数据安全审查制度)、数据安全保护义务(全流程数据安全管理制度、重要数据处理者的安全保护义务、数据安全事件的告知和报告义务;组织、个人、从事数据交易中介服务机构、在线数据处理等经营者的数据安全义务;公安机关等国家公权机关依法调取数据、境外机构调取数据的法定要求)、政务数据安全与开放(电子政务建设;依法收集和使用的原则;政务数据公开所应遵守的基本原则)、法律责任及附则等。《草案》的公布,以法律的形式强化数据安全保护,确立了个人、组织、相关经营者以及有关国家机关的数据安全保护义务和职责,对于完善我国数据安全治理体系建设和提升国家数据安全保障能力具有重要意义。
《草案》第三章明确了数据安全制度的具体内容,包括:数据分级分类制度,数据安全风险评估、报告、信息共享、监测预警机制,数据安全应急处置机制、数据安全审查制度、属于管制物项的数据出口管制制度等。其中,数据分级分类制度是最大的亮点。
在《大数据产业发展规划(2016-2020年)》中,已经将分类分级作为数据管理要点。数据的分级分类制度是构建整个数据安全管理机制的前提和基础。从顺序上看,数据先分类再分级,即在数据分类的基础上按照重要程度和危害程度再分级,以实现不同级别匹配相应的数据安全保障措施。以工业数据为例,工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。在分类基础上,再根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据进行分级。应该说,对数据进行数据分级分类管理,可以对不同类别和不同级别的数据采取不同的安全和保护措施,将安全保护措施和监管力量聚焦到重要数据,以最大限度地释放数据红利。如果不加区分的采取一刀切的监管措施,必然会阻滞数据的合理使用,也不利于数字经济的健康发展。重要数据的保护强度显然高于其他级别的数据。重要数据的确定、范围划分和监管,也是大家最关注的核心问题。
在《草案》公布之前,《数据安全管理办法(征求意见稿)》以及《数据出境安全评估指南(征求意见稿)》都曾经尝试对什么是“重要数据”进行相应的界定和列举,但都没有清晰明确的分级分类标准(见表1)。前者给出了“重要数据”的定义,并列举哪些不是重要数据;后者则在附录A中列举了人口健康、金融、征信、交通运输、邮政快递、地理信息、国防军工、化学工业、有色金融、装备制造等27个门类的重要数据名录和主管部门,并附加了兜底性规定,授权行业(领域)主管部门可根据行业(领域)发展、评估实践,判断是否存在其它重要数据并及时更新指南。
《草案》对数据的分级分类制度做了框架性规定。第19条,按照重要程度(数据在经济社会发展中的重要程度)和危害程度(一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度)作为分类分级的原则性标准。在此基础上,《草案》提出各地区、各部门有权确定本地区和本部门、本行业的“重要数据保护目录”。
2019年网信办公布的《数据安全管理办法(征求意见稿)》已经确立个人信息和重要数据保护的基本框架。此次《草案》第19条第2款首次提出各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。也就是说,将重要数据目录认定权力下放到地方和部门。这与《数据出境安全评估指南(征求意见稿)》授予行业主管机关确定重要数据名录的思路有明显差异。
如果重要数据的目录认定权下放到各个地方,容易出现某一类数据各地方认定的类别并不一致的问题,即不同地方的重要数据范围可能存在很大差别。事实上,重要数据目录的认定属于中央事权事项,不宜下放到地方,还是采用由各个行业主管部门根据行业特点制定并实时更新重要数据名录的方式,可能更符合我国现阶段数据产业发展的实际需求。
表1:“重要数据”概念比较

数据安全管理办法(征求意见稿)

第38条

网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。

重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

数据出境安全评估指南(征求意见稿)

第3.5条

重要数据,是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。

具体范围见附录A。

经政府信息公开渠道合法公开的,不再属于重要数据。

数据安全法(草案)

第19条第1款

国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。


关于数据的分级分类制度,我国已经出台了相应的法律规范和行业标准。例如,国务院《科学数据管理办法》(2018),由科学数据中心负责科学数据的分级分类、加工整理和分析挖掘。工业和信息化部办公厅《工业数据分类分级指南(试行)》(2020),根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别。中国人民银行发布《个人金融信息保护技术规范》(2020),根据信息遭到未经授权的查看或未经授权的变更后所产生的影响和危害,将个人金融信息按敏感程度从高到低分为C3、C2、C1三个类别。应该说,数据分级分类管理已在一些重点行业和领域进行了有益的尝试。

技术驱动法律,专业成就未来