关键词:数据分类;数据分级;数据治理;个人信息
DOI:10.16582/j.cnki.dzzw.2022.10.006
一、数据分类分级研究现状与实践发展
随着数据安全上升到国家安全与国家战略层面,数据的分类分级已经成为数据处理者开展数据安全治理的必选措施。[1]数据分类分级体系为数据应用的各项场景提供了管理设计参照与合规操作坐标,例如,数据的分类分级体系在维护数据主权的前提下为促进数据的跨境流动提供了基础与保障。[2]
二、数据分类分级的权益保护基础与规范治理挑战
(一)数据分类的双层治理轨道:重要数据与个人信息
数据分类是将具有共同属性或特征的数据归为一类,当前我国法律规范体系对数据主要分为两类:个人信息与重要数据。未来更加细化的规范构建需要承接《网络安全法》《数据安全法》《个人信息保护法》中的原则性规定,制订实施细则以提供配套的安全保护与权益划分规则。在理论支撑上,学理层面应厘清上述两类数据背后的法益基础与保护目标,以此为数据分类规范工作提供明确的指导。
⒈重要数据与个人信息规范的法益保护基础
⒉数据分类规范标准的界限模糊
(二)数据分级规范的结果导向思路:风险预防
⒈数据分级规范的法益保护基础
⒉数据分级规范的划分标准模糊与落实难题
当前,规范层面较多关于数据分类分级定性的原则和规定,但具体的划分标准尚不清晰,难以切实指导企业的合规实践。出于立法层级的考量,《网络安全法》《数据安全法》等高层级法律只对数据分类分级问题做了宏观的原则性规定,部门规章一般会细化法律的规定,同时结合所主管行业的特点提出落实策略,但其适用领域依然较为宽泛,也难以直接指导企业的合规工作。相对而言,国家标准应当尽可能具体且明确,但目前仍存在一定的差距。以2021年12月全国信安标委发布的《网络安全标准实践指南——网络数据分类分级指引》为例,虽然该指南对数据遭到篡改、破坏后所造成的不同危害程度做了列表说明,但说明语言为“严重影响”“轻微影响”“重大负面影响”“轻微受损”等模糊的定性描述,难以现实指导企业的适用参照。在电子通信行业中,2020年12月9日实施的行业标准《基础电信企业数据分类分级办法》,其标准的明确性和可执行性显著提高,但目前尚未覆盖到其他关键行业领域和重点类型企业。因此,明确分级标准是目前数据分级规范建设的重要工作内容。
三、数据分类与分级的规范定位及保护侧重
从《民法典》《个人信息保护法》《数据安全法》《网络数据安全管理条例》《数据出境安全评估办法》的规范定位和规制思路来看,我国规范体系已将网络安全分为个人信息保护与数据安全保护两条规制线路,在权益保护层面上也可理解为是信息权利与信息安全的区分。[26]在体系关系上,网络安全是总纲领和总路线,个人信息主要关乎民生、产业等私主体活动领域,数据安全则主要涉及国家安全、公共制度与社会经济发展领域。尽管两者存在一定的交叉,但规范方向与规制思路仍然为互相独立的二元轨道。由此,基于调整对象、调整方法与调整目标,数据的分类与分级为数据主体间的法律关系提供了核心参照,进而决定数据治理规范的整体体系构建。
(一)分类与分级共同的规范目标:安全保障
首先,从概念定义上来区分,数据分类是根据数据的属性或特征,按照一定的原则和方法进行区分和归类,以便于管理和使用数据。[27]而数据分级是基于数据的重要程度和发生危害时的影响程度,区分出适用不同保护等级的保护对象,以便按照不同等级进行保护和监管。
其次,在规范层面上区分,最先颁布的《网络安全法》只提出了分类,第21条第4款规定要采取数据分类、重要数据备份和加密等措施,但未提出分级。之后颁布的《数据安全法》第二十一条及其配套性落实文件《网络数据安全管理条例(征求意见稿)》第五条完整提出了分类且分级的规制思路。最新颁布的《个人信息保护法》第51条第2款规定要对个人信息实行分类管理,仅提了分类未提及分级。可以看出,分类又分级的规制思路并非立法进程的“前沿认知”,数据的保护或治理是否适用分类或分级,或者两者均适用,仅是出于特定规范文件的利益保护目标与规范适用场景。
最后,从分类和分级各自的概念定义出发,并结合具体规范文件的制定目的,从保障数据安全角度来说,数据分类本质上是为了数据的保护分级,就这一层面来说,国际数据管理协会(DataManagementInternational,DAMA)发布的《DAMA数据管理知识体系指南》(DataManagementBodyofKnowledge,DMBOK)也表达了“分级实质是一种分类方式”的共识看法。[28]
(二)分类规范对于数据权益的侧重保护:价值开发
(三)数据分类与分级的规范侧重设置
四、数据分类分级规范体系的效力协同
关于具体的协同共治工作,在对数据进行分类的基础上考虑数据分级因素,最终确定数据安全视域下不同数据的具体保护策略。由此,数据分类分级规范体系实现“横向到边,纵向到底”的治理协同机制,以此为制定数据分类分级目录、技术保护标准和数据控制者的管理方案提供明确的统一指引。其中,重要数据与个人信息是两个主要且关键的数据分类,有其各自的保护目标与分级角度,是规范建设工作面向的两个相对独立的数据治理规范轨道,亦是企业、国家机关等组织的两个重要的合规体系。
(一)个人信息与重要数据的动态关系定位
(二)明确重要数据的识别特征与行业标准的适用方式
(三)深化个人信息分级的保护路径
(四)数据分类分级规范的协同机制
五、结语
作者:商希雪、韩海庭
公司地址:江苏省苏州市苏州工业园区星湖街328号创意产业园6栋602室