数字经济时代,数据资源成为国家战略资源。科学高效的数据管理方式,既能够为开展数据安全保护工作打下坚实基础,又能够为挖掘数据要素经济价值工作提供有力支持。“十四五”规划中,建设大数据环境中的“数据分类分级保护制度”成为数据管理工作的重点。
数据是信息的一种表现形式,数据管理本质上仍然以管理数据所记录和反映的信息为核心。而档案管理,也以信息作为管理对象。这就使数据管理,尤其是数据分类分级管理与档案管理相兼容和协调,能够使数据分类分级框架延伸进入档案管理领域,实现数据安全管理工作的跨界协同,促进数据的流动。同时,档案管理部门在长期保存、质量管理、开放审核等方面的管理经验和规范基础,也能够反哺数据管理,为数据治理工作的开展提供约束规范参照。
现行规范与既有实践
数据分类是将具有共同属性或特征的数据归为一类,而数据分级是将分类后的数据按照一定价值识别标准划分保护级别。数据的分类分级,是确立适当的数据保护、流动规则的前提和依据,能够促使数据完整性、保密性和可用性目标的实现。通过对数据分类分级的法律规范、地方规定和行业标准进行梳理,能够从规范的角度一窥我国数据分类分级工作进展状况。
1.数据分类分级管理的现行规范
(1)法律规范与地方规定
在中央规范层面,我国数据主管单位以法律、人大常委会工作文件、国务院规范性文件等多种形式,在考量金融行业、通信行业、医疗行业以及跨行业等不同数据应用场景后,对数据分类分级工作进行了部署。以《中华人民共和国数据安全法》(以下简称《数据安全法》)第二十一条为例,该条提出了建立数据分类分级保护制度的要求,并将“重要程度”“危害程度”作为分类及分级的依据,将以数据分类分级为内容的数据安全制度的建设交由“数据安全工作协调机制”完成,提出了制定“重要数据目录”的路径。现行含有“数据分类分级”内容的中央法规,集中体现了我国的数据分类分级中央管理体系的特征:顶层设计与局部规划同时进行;率先在关键行业、重点领域展开;强调数据安全目标与数据要素价值的同时实现;重视实践与司法的良性互动。
中央法规以外,地方规范中的数据分类分级也层出不穷。以《上海市数据保护条例》为例,上海市以数据安全治理作为工作目标,以“建立重要数据目录管理机制”的方式实现对数据分类分级的保护,并将重要数据目录编制工作交由市政府办公厅和市网信办落实。中央与地方法规在分类分级制度方面的建设,都体现了以数据安全保护为核心,以重要数据目录管理为方法的思路,并且都强调了建设“工作协调机制”的重要性。
(2)行业标准
相较中央法规、地方法规,行业标准就如何分类分级做出了更加具体的规定,对档案工作开展具有更加直接的参考价值(如表1所示)。
现行行业标准在数据分类时,考量的主要因素有:①数据的性质。如《工业互联网数据安全保护要求》将工业互联网数据分为工业互联网设备数据、应用系统数据、知识库数据、企业数据、用户个人数据五大类。②数据处于的生命周期阶段。如《信息安全技术大数据安全管理指南》根据数据采集、储存、处理、分发、删除等不同数据产生利用阶段对数据进行分类。而现行行业标准有关数据级别的设置,则考量了以下因素:①数据安全问题的影响对象。②数据安全问题的影响范围。③数据安全问题的影响程度。
2.档案分类分级管理的现行规范
《中华人民共和国档案法》(以下简称《档案法》)第八条规定:“档案应当按照规定的分类分级制度管理,实行有序保存、有效利用、保护和服务的原则。”为做好档案信息系统安全等级保护工作,国家档案局曾于2013年发布《档案信息系统安全等级保护定级工作指南》,以受侵害客体、客体受侵害程度为参考标准,对档案信息系统类型进行划分。针对不同场景,行业标准也对档案分类分级管理作出建议性安排,如针对公务活动中产生的具有保存价值的电子文件,《电子文件归档与电子档案管理规范》提供了文书类、科技类、声像类等分类方案的参考执行标准。
数据管理与档案管理的协同问题
大数据、云计算、人工智能等技术推动了档案的信息化建设。在《数据安全法》和《档案法》的规范与指导下,数据管理和档案管理的协同工作逐步开展。然而,数据与档案的分类分级工作仍在管理目标、工作逻辑、规范文本等方面,存在协调对接的问题。
1.管理目标差异:价值挖掘与长期保存
数据管理以及数据分类分级的目标,重点在于数据价值的开发与利用。档案管理的目标旨在长期、安全保存的坚实基础上,实现对档案信息的有效利用。管理目标的差异,使得海量基础数据的经济价值难以被档案规范所认可,而档案的遗产价值和情感价值难以为数据规范所接纳。并且,考虑到数据作为新型生产要素的基础性作用,各地数据管理部门在工作时,很难在数据的价值实现目标与档案的长期保存目标之间保持平衡,其往往更偏重于开展效益产出更加直接的数据管理与利用工作。
2.工作逻辑有别:差序有致与向上统一
数据治理,尤其是数据分类分级管理,在实践中体现出了差序有致的特征。现行中央与地方法律仅对数据分类分级提出了要求,行业标准则体现了明显的行业特征—即在充分尊重行业特性的前提下,客观描述数据生产利用的过程,并根据行业数据安全问题可能造成后果的严重程度,为分类分级设定具体的标准。但是,分类分级治理交由行业组织或企业主体完成,很可能会引发因市场主体趋利、标准设置过低,而造成的危害国家社会公共安全的风险外溢问题。同时,差序有致的行业标准虽然更加贴近生产特征,但也可能构筑数据跨行业、跨地区流动的壁垒。
而档案管理体现了向上统一的特征。从档案管理内容来看,档案分类分级管理注重“应然性”,强调通过一定形式对档案进行科学整理,以满足文件组织管理、档案价值鉴定、档案目录数据库的建设和实体档案的科学排架管理等需求。所以,档案管理工作更加注重发挥上级管理的统一指导作用。从法律规范角度来看,在高位阶的法律层面,档案法律规定种类广泛、内容涵盖档案工作全过程、具有较高专业性。从组织机构角度来看,在局馆分设的体制下,档案主管部门对档案管理工作实施了统筹规划,对档案馆工作进行了组织协调与统一指导。
3.法律衔接空白:规范互引、执行无据
为加强规范协调、节省立法资源,数据规范与档案规范存在引用对方规定作为补充的情况。即存在法规的“交叉引用”。但是,个别条款出现了因互引而造成的规范空白。例如,针对个人信息数据保护问题,《档案法》第二十八条第三款将保护个人信息的规定交由“有关法律、行政法规”完成。而《中华人民共和国个人信息保护法》第七十二条规定,档案管理活动中的个人信息处理有规定的,适用其规定。此种互引实际上导致有关个人信息数据的档案管理活动无法可依。
数据管理与档案管理的协同因应
数据与档案分类分级目标、逻辑和规范的衔接都最终落脚于数据与档案分类分级制度的建设。故而对数据与档案的协同管理,围绕分类分级制度的重塑与对接展开。
1.突出重点:衔接“重要数据”与“保存价值”的标准
2.兼采优势:建设统一与差序的分类分级管理制度
与“重要数据”的条块化类别区分不同,分级制度涉及信息跨行业流动管理,需要建立统一的标准。立法层面,分级管理制度的设定标准在原则的指导下,基于对要素的考察,完成数据与档案分级体系构建。
关于数据与档案分级的级别数量,行业标准有3级(《个人金融信息保护技术规范》)、4级(《基础电信企业数据分类分级方法》)、5级(《电信与互联网服务用户个人信息保护分级指南》)三种划分样式。根据《中华人民共和国档案法实施办法》(以下简称《档案法实施办法》),各级国家档案馆馆藏的永久保管档案分1、2、3级管理。但由于《档案法实施办法》以档案价值为管理指标,其3级管理体制缺乏价值发挥层面的精细化特征。笔者认为,从数据与档案管理的分级颗粒适当性出发,数据等级数量应确定为5级。
根据前述分级原则与参考要素的分析,可将数据与档案由低到高划分为1级(一般数据)、2级(敏感数据)、3级(具有一般保存价值的重要数据)、4级(具有特别保存价值的关键重要数据)、5级(具有极特别保存价值的国家核心数据)(如表2所示)。
表2数据与档案等级划分参考要素矩阵
3.加强数据规范与档案法律的分类分级协调
在信息的长期保存与质量控制方面,档案管理部门具有丰富的管理经验和充分的法律基础。立法部门应积极吸纳档案部门参与数据安全领域法律法规制定,以便在数据治理中纳入档案视角。在规范细节上,立法部门应考虑到档案管理处于的数据周期后端位置,对档案法律法规进行及时的适应性更新,以对接迭代的技术管理法律和数据治理规范。规范落实上,应统筹考虑档案管理部门与数据管理部门之间的职能关系,推动国家档案局作为大数据发展部际联席会议成员单位,加强顶层设计对档案管理作用的重视,并在各级数据及档案管理组织中推动数据分类分级、质量管理、长期保存和跨域流动的沟通协调机制建设。
参考文献:
[1]商希雪,韩海庭.数据分类分级治理规范的体系化建构[J].电子政务,2022(10).
[2]刘越男.数据治理:大数据时代档案管理的新视角和新职能[J].档案学研究,2020(5).
[3]张华滨.对有关涉档案法律问题的思考[J].中国档案,2023(3).
[4]商希雪,韩海庭.数据分类分级治理规范的体系化建构[J].电子政务,2022(10).
[5]王玉珏,吴一诺.档案法律融入数据法律体系的内在逻辑、问题与路径[J].档案学研究,2022(3).