- 数据分析
- 数据治理
- 产品解决方案
- 行业解决方案
- 案例
- 数据资产入表
- 赋能中心
- 伙伴
- 关于
时间:2024-03-21来源:你的温柔有多柔浏览数:16次
2019 年 10 月,党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》首次将“数据”作为一类生产要素提出。2020 年 4 月,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称“《意见》”)发布,其中就包括“数据”要素的市场化,数据作为土地、劳动力、资本、技术之外第五大生产要素将在国民经济发展和体制运行中发挥新的巨大作用。在网络信息时代下,数据不仅是信息自身所包含的具体内容,通过数据呈现出来的应用价值才是隐藏在数据内容背后的真正“宝藏”。要素市场化配置追求的是要素的自由流动和价格发现,目标是使有限的要素配置在最恰当的位置发挥出最优效用。数据流动是数字经济的血液,而数字经济说到底是传统社会经济在数字信息技术发展带动下的产物。数据成为新的生产要素,是数字时代社会转型过程中生产模式和生产力升级变化的必然结果。
然而,社会制度本质上作为一套为了某种社会目的而共同活动所引起的社会关系,由成文的法律法规、行业规则和不成文的道德习惯以及相应的配套设施等组成,具有自身的内部结构和稳定状态,其在由技术迭代引发的生产力跃进时通常无法灵活调整而呈现出整体滞后性。当前阶段,我国数字经济发展现状和相应的社会配套制度之间呈现出结构上不相适应、功能上无法协同等问题,由此引发数字侵权、隐私泄露、不正当竞争乃至涉及国家、网络安全等方面的乱象迭出。
《意见》以及“十四五”规划纲要中均有关于“完善适用于大数据环境下的数据分类分级保护制度”的内容。2022 年 12 月,中共中央、国务院《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“《数据二十条》”)中提出要“建立公共数据、企业数据、个人数据的分类分级确权授权制度”。党的二十大报告中有“深化要素市场化改革”“强化数据安全保障体系建设”等要求。数字经济中实现对数据要素的有效利用、充分挖掘数据要素的潜在市场价值,首要任务是明确数据要素的具体类型,对不同等级的数据类型进行体系设定,明确价值目标、具体使用方式和限制等,从而为保障数据安全、整顿数字经济市场、促进新时代数字经济体制有序运行提供前提。
我国早在 2017 年 6 月开始实施的《网络安全法》第 21 条明确规定:“国家实行网络安全等级保护制度”“网络运营者应当按照网络安全等级保护制度的要求采取数据分类、重要数据备份和加密等措施”;2021 年 9 月实施的《数据安全法》中有“国家建立数据分类分级保护制度”等规定;2021 年 11 月实施的《个人信息保护法》中也有关于“对个人信息实行分类管理”的规定等。此外,在具体的行业领域内,相继由不同部门牵头出台了若干关于数据分类分级的规范性文件,如中国人民银行发布的《金融数据安全 数据安全分级指南》(以下简称“《金融指南》”)、中国证监会发布的《证券期货业数据分类分级指引》(以下简称“《证券指引》”)、工信部发布的《工业数据分类分级指南》(以下简称“《工业指南》”)、国标委发布的《网络安全标准实践指南——网络数据分类分级指引》(以下简称“《网安指引》”)《信息安全技术健康医疗数据安全指南》(以下简称“《医疗指南》”)、《重要数据识别指南(征求意见稿)》(以下简称“《识别指南》”)等。
数据是信息载体。有学者指出,数据分类分级是“通过描述数据的多维度特征和内容敏感程度,为制定数据资源的开放和共享策略提供支撑”。“类型”是单个具有相同或类似属性的个体或元素的集合,类型化思维在学术研究和社会实践中广泛存在,是对某一具体事物由大化小、由整体细化为部分从而参与具体实施的必要环节。实际上,与土地、劳动力、资本、技术等概念一样,“数据”一词也是一个宏观性概念,是对所有领域、不同层次数据内容的统称。从不同的角度,可以对数据进行不同的划分。
按照表现形式对数据进行划分,日常应用中可以见到文字数据、图形数据、图像数据、音频数据、视频数据等不同的呈现形式;按照数据的权益归属,可以将数据划分为个人数据、企业或单位数据、国家数据等类型;按照数据的行业属性,可以将其划分为行政数据、司法数据、医疗数据、工业数据、金融数据、地产数据、教育数据等;从计算机专业的角度,可以将数据分为整型、浮点型、逻辑型、字符型等,其中整型又包含字节型(Byte)、长整型(Long)、短整型(Short)等,浮点型包含单浮点型(Float)和双浮点型(Double);按照数据的变动特性,可分为静态数据、动态数据和准静态数据等等。
同时,对于以上根据不同数据的特征、从不同角度所作的类型划分,在具体领域或工作中又可根据实践需要进一步细化,如:《金融指南》中将涉及金融业务的数据信息细分出股东数据信息、管理层数据信息、营销服务标签数据信息、企业税务数据信息等;《证券指引》中将证券期货市场交易数据信息细分为证券市场交易数据信息、期货市场交易数据信息、基金交易数据信息、其他衍生品交易数据信息等。
数据安全问题的客观评价离不开现实的技术检测、分析与评估。所谓对要素数据的分级保护,是在对数据进行横向分类的基础上,根据数据内容的重要程度或遭受泄露、侵害后将出现的损害后果大小进行的保护性需求评估,并按照一定的分级原则对分类后的组织数据进行定级。同时,作为生产要素的数据具有流通性,因此对数据流通性的限制应当与数据类型和级别存在相关关系。数据要素分级的直接目的是对不同大、小类型的数据进行重要性程度分析,从而设定相应的流通限制、进行针对性保护,其主要原则可总结如下:
数据分级以实现有效保护为目标,本着明确的原则对不同数据进行等级划分,首要条件是应当保证分类明确而不模棱两可。不同数据应当按照明确的划分标准进行分类,对其确定专属的名称,并保证每一等级数据都有清晰的外延,避免类型混同;同时,确保上下等级数据间是严格的包含与被包含关系,等级越高外延越大、范围越宏观,反之则越小,最低等级的数据应当指向具体的业务内容。
所谓实用性原则,即要求数据分级工作应当以数据保护的实际需要,按照便捷、有效的分级方式对不同类型数据设定级别,它指向数据分级的实践性。同时,由于具体的工作、业务差异,不同领域、单位所关涉的数据内容各有侧重,呈现出明显的行业属性。如《金融指南》《证券指引》《工业指南》等就是分别根据各自领域的业务特点和工作内容,具体设定的数据分级体系。
现代意义的合规是在合法基础之上要求更为具体的规范化模式,前提是在保证不触犯法律的框架下,追求一致的行业标准,从而提高业务效率。当前,不同领域的行政部门牵头出台了各自行业的数据分级指导性文件,目的就是为各领域的行政管理和市场参与主体能够按照统一的标准和要求,对各自运营过程中所经手的数据进行分类分级,不仅确保数据分级工作的切实推进,更要强调其作为新的行业规范在标准上的一致性和科学性。
数据分类分级是近年来基于数据安全管理的需要而提出的新要求。一方面,当前数据分类分级工作尚处于初步的探索阶段,对不同数据内容的性质、内涵和潜在价值认识并不充分;另一方面,随着互联网技术、人工智能、数据技术的不断迭代和升级,新的数据类型仍在出现。在目前的客观条件下,无法对所有数据彻底罗列,因此更为明智的选择是保持一种开放的数据分级模式,对新出现或重新认识的数据根据实际需要逐步添加。
数据分类分级是数据安全治理的起点,而目前我国对数据安全治理的认识和统筹正处于初始阶段,从整体的分类模式、分级体系到规范性文件本身的效力位阶等方面,尚存在诸多不足之处。
就目前阶段来看,我国数据分类分级工作开展的依据主要是《网络安全法》《数据安全法》中对数据分类分级要求的纲领性条款,其中《数据安全法》第 21 条第 3 款更是明确规定:“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”循此内容,我国有关部门如中国人民银行、工信部、国标委等便牵头在本领域出台了关涉数据分类分级工作的规范性文件。
然而,这种由各部门根据各自业务需求制定的分级分类标准具有明显的行业特征。如:《金融指南》在对数据进行分级时遵循“数据资产梳理→安全定级准备→安全级别判定→安全级别审核→安全级别批准”的流程,将数据安全影响程度区分为非常严重、严重、中等、轻微四个等级,在数据类别上则由五级体系构成,其中第五级指涉具体的业务数据;《证券指引》则是以业务线为参照,在业务分类分级之下确定数据分类分级。尽管不同行业依据各自的分级分类指南可在本领域内实现一定程度的对标,但数据的分级分类作为一个整体的宏观作业,无法在横向上统一参照系。如:同样是关涉客户或投资人姓名、性别、民族、出生日期、联系方式、婚姻状况等个人信息的数据内容,《金融指南》将其数据级别评定为三级;而《证券指引》则评定为四级,且具体的定级标准和级别内涵也存在差异。
即便部分地方政府尝试在本区域范围内出台统一、规范的数据分类分级标准,如 2019 年 11 月上海市经济和信息化委员会的《上海市公共数据开放分类分级指南(试行)》、2021 年 7 月浙江省市场监督管理局的《数字化改革公共数据分类分级指南》、2022 年 4 月北京市市场监督管理局的《政务数据分级与安全保护规范》、2023 年 6 月四川省依据《全国一体化政务大数据体系建设指南》制定的《政务数据 数据分类分级指南》等。但一方面,这些文件侧重于政务管理,主要是出于行政层面的方便,而欠缺对市场生产、要素流通、法律合规等方面的考量;另一方面,在缺乏全国统一性数据要素市场化分类分级安排机制的前提下,地方政府仅立足本区域与地区间的横向沟通和协调,其数据分类分级的具体标准偏差较大,更容易造成数据市场混乱。
在行业属性的基础上,数据分类分级还存在法益价值的衡量标准,因此呈现出形式上的多样性。前已述及,实用性原则是当前数据分类分级的重要导向。注重实用性价值的原因在于:一方面受我国目前数据分类分级工作的阶段性限制、上层建筑的政策引领和底层实践的具体尝试同向进行,而中间起着衔接作用的规范性制度文件并不成熟、严密;另一方面,由数据分类分级的试验性工作反向检验政策性指南是否科学、合理,便于以某一具体领域内的数据分类分级实践为模板,推广拓展从而形成整个制度性框架。
(1)程序机制操作性弱。对数据进行分类分级本质上是一种程序性操作,需要详细、明确的操作步骤,然而现有规范在具体的分类分级程序上却显得十分宏观。如《证券指引》在业务细分步骤中确定管理主体时,要求“管理主体的确定宜适当,范围过小可能导致对应业务划分颗粒度过细,范围过大可能导致对应业务划分颗粒度过粗”,然而并未进一步明确具体范围,导致对管理主体范围大小难以实际把握。又如《网安指引》对识别的数据类别进行区分标识时,强调要从公共个人、公共管理、信息传播等不同维度进行,但对公共个人、公共管理、信息传播等维度的确定却仅作了原则性规定,并未明确具体识别细节。
(2)实体标准较为模糊。实用性和规范性通常呈负相关关系,实用要求灵活变通而不拘泥于刻板套路,规范则要求因循制度规定及其内在逻辑而避免过度游离。如《金融指南》中关于安全影响评估的规定,尽管将评估层面分为了保密性评估和可用性评估两大类,但对于具体的评估标准皆无明确性规定,无法通过确切的明文依据来判断何为“可能造成”的各类损害及其严重程度。又如《工业指南》和《识别指南》,前者全文包括总则在内仅有 16 条,字数不足 2000 字;而后者则更为笼统,主体内容仅 3 页,根本无法对数据分类分级进行具体、明细地规则划分。
(3)缺少应用场景设定。数字经济下作为生产要素的数据是流动的,实现数据流动的基础条件是由数字市场中各领域和各行业的串、并联。因此,对数据进行有效分类分级应当立足于具体的行业视角、应用场景进行设定。对此,尽管《证券指引》中以业务线尝试对数据进行分类分级,如将“交易”业务细分为二级子类“交易管理”“结算管理”“机构管理”等,但由于忽视对具体应用场景下的数据类型安排,由此导致对数据的分类分级止于静态分析,缺乏市场流通视角下对要素化数据的观察聚焦。
概言之,当前关于数据分类分级的制度性文件在内容上存在规定不细、标准不严、规范不清的问题,尽管在宏观指引上具有一定的方向性、灵活性,但无法提供明确、具体的依据和思路。
根据是否具有强制执行力,可以区分法律和一般的规范性文件。法律作为社会中各类关系的最高调节器,其维系判定结果和系统性目标达成、价值实现的主要保障就是其法律强力,这区别于一般的社会道德、行业准则或团体章程。此外,对于规则制定的机构、程序以及效力范围等也可进行效力位阶上的区分。
(1)法律效力位阶较低。就我国目前关涉数据分类分级的规范性文件而言,除了《网络安全法》《数据安全法》《个人信息保护法》属于由全国人大常委会通过的狭义上的法律性文件外,中国人民银行、证监会、工信部、国标委等部门出台的《金融指南》《证券指引》《工业指南》《网安指引》等,以及部分地方政府出台的地区数据分类分级指南皆属于行业标准、政务指引及业务指导性质类文件,不具备法律上的强制力。
(2)文件性质定位软化。从其名称即可看出,指南、指引性文件侧重于业务上的指导和技术性参考,而非一种硬性的工作要求或命令,且在一定程度上具有试验性。诚然,这种指导建议式的运行模式与不成熟的外部客观环境相契合,“摸着石头过河”的探索过程必然具备各自不确定因素,经验的积累是日后出台更为规范、科学规则的必要前提。然而,从另一角度看,由于强制执行力的缺失,文件在具体的落地实施上便无法保证实际效果和实施力度,从而也会折损规范、执行效果。
(3)实际监管机制缺失。线索、监管、执行三者通常是一体化关系,即对于某类管理事项的实施,必然存在特定的管理(监管)主体,通过监管过程发现需要执行的线索情报,进而推进对该事项的执行。正是由于目前对数据分类分级仅处于尝试阶段,且规范性文件法律效力位阶低、缺乏强制执行力,由此导致对数据分类分级具体工作开展的实际监管缺位。同时,对数据分类分级实际开展效果监管的不足,又反过来反映、加剧了相关规范性文件的制度软化。
数据分级分类只是一个业务规范和参考标准,重点是实际业务中的管控。换言之,数据分类分级是为了在数据要素的市场流通和应用过程中更好地管控数据,有针对性地保护数据安全,同时兼顾公共安全和市场效益。在数字经济中,数据要素的流通过程关涉不同的利益主体,由此决定了对数据要素进行分类分级保护的现实必要。
在数据持有者层面,数据权利方不仅包含原始数据的创造者,还涉及数据在后续流转过程中所归属的所有者或持有者。
数据是反映客观事物属性的记录,是信息的具体表现。原始数据创造伊始,存在一个确权的过程。然而,当前数据确权机制还不完善,仍然处在传统线下环境的授权模式中,无法适应网络形态下高速增长的数据量。数据在原始生成之后,对于继受取得,无论是买卖互易,还是赠与、遗赠、继承等,数据经过合法方式从数据原始所有者到下一任继受者,继受者即依法取得相应的数据权利。然而,对于流转授权的确认,存在同数据生成阶段的原始确权类似的问题,即传统模式下的确权机制与数字确权的实际需求不相适应。
数据生成伊始,其创造者享有天然的法定权利,如作为知识成果的数据内容,根据《著作权法》的规定:“中国公民、法人或者非法人组织的作品,不论是否发表,依照本法享有著作权。”作为个人信息的数据内容,根据《个人信息保护法》的规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”数据流转发生权利转让后,法律层面并不缺乏制度上对相关权利方的认定规则,关键在于如何从技术上实现切实可行的保护。《数据二十条》中提出的数据产权结构性分置,以及在公共数据、企业数据、个人信息数据等方面的具体确权授权,需要建立在对数据进行有效、合理分类分级的基础上。与互联网大数据的体量规模相比,能够参与数据权利保护工作的人力、物力均有限,这决定了数据确权应当具有针对性,具体实施时应以完善、合理的数据分类分级机制为先导,按照数据的重要程度以及受损敏感度,对重要数据及时确权,设计最为严格、高效、缜密的授权程序,依次确立不同等级数据的确权模式,从而实现周延、高效、体系化的数据授权。
在数据传播过程中,保障传输安全和数据不可篡改、删除等尤为关键。如果说在持有者层面数据是基于“点对点”式的存在形态的话,那么在“点”与“点”之间需要一条“线”来连接,这条“线”便是数据信息的传输。
数据传输过程的管控应当以技术为抓手,从身份识别、访问权限、传输途径、加密手段等方面,对数据内容的私密性、原始性、稳定性保驾护航,提升数据安全传输能力。就私密性而言,数据应当仅对居于访问权限的用户开放,而能有效阻隔其他非权限访问者,从而防止数据信息泄露;就原始性而言,数据在传输过程中应当保持内容的原貌,保证传输前的数据内容和传输后的内容相一致,从而保证数据内容可靠、真实而不被篡改;就稳定性而言,应当提高数据传输硬件系统性能,防止因客观外部环境的影响而导致传输速度、时间、范围等出现大幅波动。例如,2016 年欧盟《通用数据保护条例》(General Data Protection Regulation,GDPR)和 2018 年欧盟《非个人数据自由流动框架条例》(Free Flow of non-personal Data Regulation,FFDR)分别对个人数据和非个人数据的流动、处理规则等作出了规定,其中就包含相应的技术要求。
然而,就目前来看,无论是添加水印、设置密码锁等,均有相应的技术手段可以反向破解。相对而言,“区块链”技术似乎具有一定程度的安全性,但也不是万无一失,且其技术成本和技术难度不是一般使用者可以匹配的。因此,一方面,研发具有绝对安全性和普适性的数据存储和原始保持技术十分必要;另一方面,在当前现有的技术条件下,鉴于不同保护技术的适用门槛、成本等因素,针对数据的不同重要、敏感程度而进行区别化对待,有助于充分利用技术资源、实现保护力度的等价供给。
数据要素的价值在于市场流通。关于数据要素的市场规则机制构建,通常在数据确权和稳定传输之后的流转过程中,应当保证后续包括使用者、所有者等在内的各方利益相关人的法定数据权益不被侵犯,此时对访问者权限或数据公开范围进行严格设定就成为必然。
然而,数据内容的开放性与流动性之间存在密切关联。通常,数据的开放程度越高,能够接触到数据的用户就越多,进而数据被传输、扩散的可能性就大;反之,则传输、扩散可能性越低。加密技术、用户认证、身份识别等措施在发挥保护数据安全作用的同时,也在一定程度上限制了数据要素的流通潜力,从而压缩了数据的市场价值效益。因此,数据要素流通的市场规制机制构建,重点在于如何寻求数据安全保护和市场流动之间的最佳平衡点。
在数据使用管控过程中,应该按照各类数据内容的特性、使用方式、关涉主体等进行灵活安排。对于保护级别要求高的数据类型,应当重在强调数据保护;而对于保护级别要求低的数据类型,则应在保证数据内容安全的基础上促进市场流通、循环,进而创造价值。
在公共管理秩序上,应当按照数据类型和级别的设定进行有针对性监管。“凡是抽象的和永恒的正义没有使之成为法律的东西,人间就不会有一种权力,能够使之成为法律。”法律的生命在于实施,然而就执法而言,执法队伍和执法力度是有限的,网络时代下的数字工作又是一项宏大的统筹性安排。对于数字使用情况的执法监督也要遵循有区别的针对性原则,在数据分类分级基础上,按照数据内容的类型安排和级别设定,进行灵活、高效地规划和系统性实施,提高数据执法的精准度和社会效果。
《数据二十条》中就提出,要“合理降低市场主体获取数据的门槛,增强数据要素共享性、普惠性,激励创新创业创造”,“形成依法规范、共同参与、各取所需、共享红利的发展模式”。政府作为公共秩序管理的统筹主体和市场经济的宏观调控方,其实践不仅要求国家层面的系统性政府数据分类分级治理架构和领导机制,从而自上而下地解决政府数据开放分类分级问题,在遵循上位法的前提下为政府数据提供相应的开放利用条件,最大限度满足公民信息需求,保障公民对公共数据的知悉以及对个人数据使用、处分等合法权利还需要在数字经济环境下引导传统行业向数字领域平稳、有序转型,充分挖掘数据的市场经济价值,推动数据要素市场化配置,在有效保障数据要素安全的同时不断促进数字经济向前发展(见图 1)。
结合前文关于当前数据分类分级现状的分析,应当有针对性地对已有经验进行梳理,从形成整体性的统一标准和具体规则入手,明确数据要素分类分级的纲领性章程,通过流程规范化和责任具体化两个方面共同推进数据分类分级工作的全面展开。
法是由事物性质产生出来的必然关系,而这种关系通常由私人关系和公共关系两大类组成。毫无疑问,数据要素从最初产生到后续的流转、使用,涉及私人和公共两个层面的交叉组合。立法作为一个规模性国家行为,其发动通常关涉“动机”和“法则”两个因素。数据要素的安全及其使用形式的复杂性要求为立法者提供了充足的立法动机,而目前的问题在于法律规则的统一性、规范性和可执行度。
数据分级分类工作不是某一部门或个别领域的任务,涉及全面的社会转型、生产和行业管理模式的迭代升级,是一个时代性命题,覆盖面广。由于缺乏实践经验,无法按照从上到下的方式一开始就进行命令式调度。因此,应当遵循由具体行业或业务的反向经验积累以推动法律出台的思路,统筹各行业具体的业务内容、工作特点等不断摸索。具体步骤包括:
(1)通过试验探索最有效的数据分类分级模式。试验是经验积累的前提,实际上前述《金融指南》《证券指引》《网络指引》等规范性文件皆具有试验性的实践意义。由于《网络安全法》《数据安全法》中对数据分类分级仅有概括性的规定,对于如何进行数据分类分级并没有具体展开,因此《金融指南》《证券指引》《网络指引》中的具体制度安排是独创性的,但又因缺乏上位法的统一规范而各有差异,在对具体领域里数据分类分级实践的指导上显得各行其是。《数据二十条》中就强调构建数据基础制度要“积极鼓励试验探索”“坚持顶层设计与基层探索结合”,支持“有条件的行业、企业先行先试”等。
(2)通过调研的方式发现新的问题和可操作思路。没有调查就没有发言权,调查研究是解决问题的前提和发现矛盾的直接手段。数据分类分级的具体实践中究竟存在哪些问题,如何更有效、科学、合理地进行类型、等级划分及其展开实施,部分通过制度试验可以探明,而调研的过程则是对问题的深入剖析、追踪问题的来源和根本矛盾所在。
(3)时机成熟时由全国人大常委会出台针对数据分类分级的专门法律。立法性决定是全国人大常委会立法工作的重要内容,国家的立法活动基于国家治理、社会约束和秩序规范的角度,是在充分必要性的前提下才予开展。针对数据分类分级的法律出台需要在试验、调研等前置手段基础上形成草案文本,进一步经过系统的合宪性、合法性和合理性论证,讨论、修改完善后表决通过。
法律的有效实现需要精细化的内容规范,对于数据分类分级的指标、评估、级别设定及层次划分等,应当作出具体的类型安排及等级认定,而不是仅确定一些笼统的原则或注意性事项,但同时要注意行业区分。对此,在实体立法上可按照“三大类 + 三大级”的思路予以展开。
(1)横向上实现行业整合,建立数据类型和等级认定的通用标准。当前数据分类分级最明显的特征是基于实践性导向下不同领域、行业的指导独立,而在行业与行业之间实现横向的标准对接。这种行业间的壁垒性安排尽管是出于试验期不同领域业务特征而作的临时性安排,一定程度上能够满足实践灵活性的要求,但法律不是规定某一具体行业或业务的片面制度,而是在适用中的法律应当是一种详细且明晰的创设行为。因此,法律的发挥应在对数据分类分级作出具体、明确的制度安排时,也能对数字领域这一宏观任务作出统一、上位的统筹性规划。具体而言,应当在专用术语上概括出能够通用的名词、名称,如:《金融指南》主要针对的是金融机构及其服务对象,其中的数据分类有金融机构名称、金融类业务内容、金融服务类型等;而《网络指引》则侧重于网络管理、服务者及其用户的数据分类,包括用户姓名、网络服务或交易类型等,统一标准时就可以取其上位概念个人姓名、单位名称、服务或交易类型等,而不必具体到行业属性。同时,对数据分级也要进行统一定档,避免不同领域出现等级混乱、交叉的现象。其中,重点内容在于明确“两头”,即禁止流通的国家重要数据和完全自由的公共开放数据,“两头”之间即是有条件的限制流通数据类型。
一方面,重点领域的数据类型应当在法律文本中予以强调,即所谓的国家“重要数据”,如涉及国防、经济、政治安全等的数据内容。国家重要数据是数据分类分级制度催生的概念 ,在《网络安全法》《数据安全法》等规范性文件中均有强调。无论什么领域或行业,一旦涉及国家和社会安全的数据内容,都要作为各领域、行业的最重要、敏感且保护级别最高的数据类型。例如,美国《国家安全信息分类》(Classified National Security Information,CNSI)就将关涉军事秘密、武器军工、国防情报、外交关系、核心科技等内容的信息列为国家最高机密数据类型。对于已经确认的重要数据类型,是不允许市场流通的,而仅能在国家相关机关内部数据库进行有条件保存、传输、使用。
另一方面,对于政府或企业需依法公开的数据、公共交通信息、公共资金使用情况、国家法律法规或其他涉及社会公众利益应当公开的内容等,横向立法上应当对这些数据类型进行明确规定,允许自由流通,从而避免不合理的数据垄断,激活数字市场中数据要素的流动活力,同时保障公民对相关数据信息的知情权。
(2)纵向上考量各领域或行业业务的属性差异,防止“一刀切”。在横向上明确数据大类以及宏观等级标准的同时,应当为具体行业或部门数据分类分级的实际操作留出自主裁量空间,允许在法律所作出的数据类型和等级划分之下,根据不同行业的业务属性和实际需求进一步细分,从而有利于实现业务标准和数据保护需求的良好对接。
其中,重点内容在于确定国家重要数据和公共开放数据“两头”之间有限流通数据的具体类型及等级安排,主要考量依据是不同行业领域及其业务的属性、内容差异。对此,较为合理的方式是以行业为单位作为第一大类的分类集合,由此进一步纵向展开对数据的等级划分,在实体立法上可统一规定为三大等级:第一等级数据重要性程度最高,受侵害后危害后果及其影响最大,可将涉及公共或多数群体重大利益、易引发区域性事件、严重扰乱数字市场秩序、关涉个人重要信息或重要隐私权益等数据列为第一等级,对此等级数据的使用或转让应当实行审批或授权制,对其市场流通进行严格把关;第二等级数据重要性程度中等,受侵害后可能造成较大的危害后果,可将涉及公共或多数群体较为重要利益以及对数字市场秩序具有较大关联、涉及个人较为重要信息或隐私权益等数据列为第二等级,对此等级数据的使用或转让应当实施登记或备案制,对其流通及时追踪和记录;第三等级数据重要性程度较低,可将关涉个别单位或企业利益、易产生轻微违法事件、关涉个人一般数据信息等数据列为第三等级,对此等级数据则可仅作为企业数据合规的一部分,允许企业进行自主安排,但在出现纠纷或违法事件后需要承担相关法律或行业责任。
此外,除了行业、业务差异外,对于数据指涉主体或不同主体的数据也可以遵循多种价值取舍而有所区别,如关涉儿童隐私、特殊群体数据等,在上位法的规定范围内予以特殊保护。
通常而言,重要领域的法律法规不仅有明确的实体性规定,还在相应的程序上进行详细安排,如《刑事诉讼法》《民事诉讼法》《行政诉讼法》等。有学者指出:“数据分类以‘属性’为标准,数据分级则以‘后果’为标准。”然而,无论是属性的确定还是结果的输出,都需要遵循特定的程序逻辑。
(1)关于数据要素的准确识别。数据作为一种生产要素,具有特定的涵摄外延,并不是一切网络空间里的内容都可作为生产要素的数据,如《证券指引》就明确划定了文本适用的数据范围,即“证券期货行业经营和管理活动中产生、采集、加工、使用或管理的网络数据或非网络数据”。然而,问题就在于如何发现和确认各领域中真正具有生产价值、值得保护的数据,并进行类型划分。通常而言,横向上在法律层面可以通过大类型的规定模式确定主要的数据类型,而纵向上各领域在具体生产作业、业务操作上尽可能涵盖所有具有保护价值的数据内容却具有一定难度。因此,数据要素的识别同时也是一个业务识别,即根据各行业、部门的工作经验并在法律规定的数据大类之下确定实际需要保护的数据内容及其类型。
(2)关于数据要素的级别设定。数据要素级别设定是确定各数据类型重要程度、易受侵害敏感程度或受侵害后危害程度的过程。然而,数据的重要程度本质上在于其所关涉的内容,数据本身作为字符或像素等基本因子的组合并不存在客观上的差异。换言之,数据的重要程度是基于客观内容上主观判断的结果。同时,数据易受侵害程度或受侵害后的危害程度等也难以通过定量试验加以衡量,根本上也是一个经验判断。质言之,数据要素的级别设定是一个“经验 + 事实”的不精确划定,而工作的重点就在于在其本身并非定量特性上如何保障精确度最大化。因此,数据要素的级别设定应当遵循价值衡量、经验判断、类型对比以及反复检验的思路,在确定数据类型集群的基础上,尽可能精确地对比不同数据类型的需保护程度,进而确定等级划分。
具体而言,对数据要素的识别和级别设定需注重数据应用的场景化、动态化观察。数字经济下数据本质上是一个动态概念,即“流通的数据”,数据只有流通起来才能参与市场循环从而创造经济价值。正因如此,对数据的识别和认定就无法脱离具体的应用场景,同一内容的数据在不同场景下所发挥的作用及其重要性程度会呈现出差异性。例如:同样是公民的个人信息,如果仅存储在公民电脑中则只是一种静态的原始数据,无法成为生产要素参与循环;而互联网企业在经过公民许可后将其收集并在法律允许的范围内作为一种定向商业推广的信息资源,则便具有了市场价值。同时,若该信息指向的当事人身份或地位特殊,则会又呈现出不同的敏感度和重要性。英国在对数据分类分级的实践上就比较注重场景化分析,在数据大类上分为商业、国防、教育、环境、政府、健康、城镇、交通等,并按照级别设定“自上而下”地进一步进行场景化细分。对数据要素的场景化、动态化识别又与具体行业、业务等息息相关,因此,两者通常需相互结合、并行不悖(见图 2)。
数据分类分级管理是推动数据要素化发展工作的重要步骤,也是数据安全治理的重要抓手。数据分类分级工作的实施需遵循严格、规范的原则和路径具体展开。
(1)责任明确。数据要素分类分级制度得到法律确认后,需要具体的执行主体,而该执行主体即对数据分类分级工作整体统筹并全权负责。责任主体的落实意味着数据类型的确认、等级的划分都有相应的责任部门及其人员专门负责,而不仅仅作为普遍性的工作指导方向、难以具体化。同时,责任明确也是保证数据分类分级任务高质量完成以及事后追责的必要前提。
(2)论证严格。当前数据要素的分类分级作为一种尝试性导向的机制安排,无法从根本上保证制度构建的科学性、合理性,必要的论证过程是提高制度设计完善度的前置性程序。论证的目的主要有两个方面:一是确保法律合规;二是保证实践方便。而在这两个过程中,既要寻求专家、管理者的专业性指导,还要重视具体业务线链上实务操作者的意见,从而保证专业标准和实践标准的双向契合。
(3)机制联动。数据分类分级是一个动态的集群归属问题,当前面临的数据乱象概括起来可以表述为:内容混乱、类型交叉、管理失范。这主要是社会转型下数据工作规划落后于市场实践,“有形的手”跟不上“无形的手”而引发的规范性问题。体系性问题不是单一部门、机构能够独立解决的,要建立一套各领域协同、上下步调一致的联动工作机制,发动整体性的力量予以应对。
(4)体系完整。在具体的制度性规范上,应当以法律实施为第一依据。然而,作为上位法的横向规定,目的是为执行主体在纵向实施上提供统一、明确的权威指引,固然在保证宏观指导性上也要提供具体、细致的操作流程,但无法触及具体的业务细节。数据分类分级的体系性保障,需要遵循在法律横向规定的框架逻辑下实现各行业、领域乃至各部门的规则疏通、契合。
数据要素分类分级工作的实际推动,需要以行业需求为导向,将其融入实际的业务操作中,同时由于分级分类工作尚处于起始阶段,反馈、协调机制的构建尤为必要。
(1)授权全国统一的数据合规单位负责整体统筹。数据分类分级及其后续的使用管理是一项基于“数据”这一核心内容的整体性工作,如同行政管理一样,尽管具体的行政管理任务包括民生、政务、教育、城建、公安等不同方面,但基于行政属性而同属于各级行政机关即政府统筹管辖。前文已述及,数据工作是新形势下为适应网络数字经济转型及社会生活发展而出现的新任务要求,需要实现不同领域、行业、机构从线下到线上数据管理的多层次协调,已超越局部性安排所能统摄的业务范围。在具体安排上,由于数据分类分级隶属于数据管理的总任务和目标,且数据管理关涉网络安全、数据安全乃至国家安全,同时数据作为生产要素参与市场循环亦关联到国家经济部门,因此,鉴于工作任务的综合性、交叉性,应当由各相关部门抽调专门人员组成独立机构——中央数据合规局,由国家行政机关下辖,实现全国范围内各领域、地区、行业数据分类分级的整体布局和规划。
(2)各地区、行业、单位根据实践需求具体实施。保证数据分级过程规范、合理,必须确定各业务单位负责数据分级工作的特定主体,明确工作流程和责任归属,才能将数据分级机制落实到位。一方面,在主体资格上,各行业、单位应当确定直接负责数据分级的工作部门,并对数据分级工作承担主体责任,同时该专门部门应当与其他各业务部门保持数据对接上的消息畅通和资源共享,确保数据在产生后的第一时间就能得到类型和保护级别上的确认,从而进行相应的针对性保护;另一方面,在具体程序上,保证数据分级过程科学、严谨是首要标准,数据分级应当经过严格的评估、论证和试验程序,而评估和论证指标则包括关涉主体、影响范围、敏感程度等不同因素,严格按照各要素之间的主次以及要素之内的性质对比进行数据分级。
(2)各行业、单位内部数据分类分级的协调机制。数据要素之所以产生价值,主要原因是其在市场参与过程中的流动性特征。数据作为一个名词本身属于静止态描述,但作为要素参与市场循环和社会生产而言,其生产价值在于数据流动。由于数据作为一个概念描述,具体参与生产的是各特定类型的数据,而同样的数据内容在不同场合或应用中所呈现出的作用、功能有时是不同的。因此,对于数据分类分级工作的具体展开,应当与数据要素自身的流动性特征相适应、配合。在具体机制上,应当畅通数据转换和沟通、反馈渠道,尤其是要关注同种数据在不同应用场合下所表现出的敏感度、保护需求性,以及不同数据在市场参与过程中或具体业务操作流程中的类型转换,从而能够及时在数据类型和等级设定上适时进行动态调整,避免机制僵化而与数据保护和生产实践需求相脱节(见表 1)。
数据保护是数据分类分级工作的重要目标之一。但反过来讲,数据分类分级关涉的不仅是数据可保护性问题,还会涉及数据自身的其他性质,如是否属于个人隐私或商业秘密,以及数据的大小、辨识度和流动性程度等。因此,法律层面上的数据分类分级只是一个立足于宏观社会管理和法律机制构建的角度进行的大类划分,以及关涉国家、社会安全等方面的等级设定。而在各领域、行业、地区的市场和制度实践中,由于行业属性、地区差异、经营环境等因素,在秩序、安全、市场等维度之外,还应结合数据来源、业务归属、交易模式、流通渠道等业务细节有针对性实施。
数据分类分级制度的构建目标是要建成合规体制的一部分,而非仅作为一种业务上的辅助性参考、指南而存在,首要任务是落实主体责任,实现责任各方的义务分工,并探索具体可行的构建模式和方法。
(1)行业自治。在具体行业领域内的数据分类分级,一方面作为总体性数据管理工作的下辖分支,另一方面也属于特定行业内部的具体任务,具有双重属性。而作为行业内部的工作任务之一,必然需要遵循行业规范,此时,诸如行业协会、商业联合组织等主体就应作为行业内部对本领域内数据分类分级工作承担相应责任,发挥行业规范的内部协调功能,实现数据分类分级与行业规范的高度契合。
(2)企业合规。企业合规是西方商业领域近年来提出的一个概念,英文是“Corporate Compliance”。从积极的层面来看,企业合规是指“企业在经营过程中要遵守法律和遵循规则,并督促员工、第二方以及其他商业合作伙伴依法依规进行经营活动”。毫无疑问,一旦法律确定数据分类分级的基本义务后,企业作为直接接触、管理数据的社会实体,其合规工作理应将其纳入其中并作为重要环节予以把关,具体可由数据合规政策和数据合规管理流程两大部分组成。
(3)行政监管。无论是行业自治还是企业合规,均具有自主能动性特征,属于行业或企业内部自身的一种机制纾解,很大程度上取决于行业或企业决策层的主观意愿,如果缺乏外部硬性的强行机制保障实施,则很难落实到位。因此,作为执法者,在履行行政监管的职责过程中,应当着重对行业或企业数据分类分级工作的开展程度和实际效果进行监督,并对违反法律要求或操作失范的企业进行处罚及引导。
(4)司法处罚。当企业合规上升到司法层面,较为严厉的就成了刑事合规,即企业在合规过程中避免相关行为带来刑事责任的一系列计划或措施。企业刑事合规本质上是一种企业业务刑事风险预防策略,侧重于刑事司法领域的企业自我审查、管理。企业在数据分级分类过程中的操作不当而引发后续的刑事问题将面临单位刑责。同时,除了刑事领域之外亦不乏关于数据的商业、民事纠纷,这些都需要经过司法机关的司法审判才能最终定夺。
确定了责任主体之后,就要确定具体的责任承担和分配模式。数据合规具有道德规范与法律规范、“软法”和“硬法”两个层次的伦理属性,行业规则侧重于基于行业伦理道德而通过“软法”的形式对行业内部各主体进行弹性约束,而狭义的法律则作为一种社会治理手段,是通过“硬法”的方式对数据分类分级工作进行强制性规范。
数据分类分级的责任模式应当将“硬法”和“软法”结合起来,在上位法层次上通过法律的强制性规定予以刚性约束,而在行业领域内同时发挥好行业规则的道德和业务约束。
(1)基于行业发展具体阶段激发企业主动性。行业自治作为我国市场经济运行过程中行业领域内部的自我管理活动,必然要以国家法律为根本框架,行业规则的内容不得与上位法相冲突。企业合规以法律规范和行业规范为依据制定企业自身的合规计划,既不能违反法律的强行性规定,也需要遵循行业协会的规则以及行业道德要求。行业秩序和企业运营是一个基于法律强制和行业约束下的自主能动过程,其中,行业的整体发展状况和企业决策领导层的主观意识至关重要。
对于微观视角下某一具体行业领域而言,其产生和发展不是一个完全内生的过程,是社会整体背景和科技水平综合作用的结果。在过去传统经济环境下,数据不具有产生经济价值的客观土壤,仅仅作为一种静态的表示符号而存在。在网络数字技术推动下,数据因其流通而发挥出生产要素的作用,不同数据因重要性程度、敏感度、利害关系性等原因而具有不同的保护需求。同时,行业的整体发展状况又会对数据分类分级的细节产生反作用,即不同行业领域以及同一行业领域在不同发展阶段对数据分类分级的实际需要不同,由此影响法律责任和行业责任的具体契合机制。
而对于特定企业的运营而言,企业决策层尤其是执掌人的价值理念和经营方略会左右企业整体的发展方向。将数据分类分级管理工作落到实处,必然要求得到企业领导层的支持和推动。创新意识是企业家精神的核心内容,数字经济和数据作为生产要素参与循环,是传统经济模式由线下到线上整体转型的产物,而数据分类分级管理正是顺应新的经济生产模式而出现的体制创新。保障数字经济和数据流通安全、实现高效针对性的管理,必须区分不同数据类型、明确具体数据的实际保护需求,从而有的放矢、精准配置相应的行业责任,因此应当将其列为到企业家的重点关注事项。
(2)数据分类分级管理失范行为的追责机制。规范强制力是保障数据分类分级管理工作有效实施的外部手段。“软法”主要依靠企业领导层的主观意志推动,其开展效果通常随企业家意识所左右,具有不稳定性;而“硬法”的实施具备相应的强制执行力,依据既成规定对于违反规则的失范行为进行严格追责,通过反向惩戒来达到规范目的。
当行业或企业在其运行过程中出现故意或过失违反数据分类分级规则而造成危害后果的,负责市场监督以及行政执法的机关应当根据行为的性质、严重程度、影响范围等发动相应的行政或移交司法程序,通过行政制裁或司法处罚使得相应的违规违法事项得到法律层面的硬性规制。
同时,法律责任的判定和承担不是排除行业责任的依据和理由,法律责任和行业责任从根本上说是具体责任承担的不同层级。行业责任以业内道德和包括企业规定在内的非规范性法律文件为主要依据,依靠行业和企业的内部规定及非法律强制手段督促落实,且存在讨价还价的余地;而法律责任一旦生成则意味着法律强制力的配套安排,违法者必须受到成文法的制裁。法律标准是最低的道德标准,在数据分类分级管理过程中,法律责任和行业责任两者并行统一、不相排斥,共同配合发挥数据合规的责任追究功能。
企业生产决策是企业在国家规定的权限内对企业的生产目标、行动方案进行分析和选择 ,企业生产目标的执行归根结底需要落实到具体的业务上去。数据分类分级成为企业合规的组成内容之后,其具体实现必然也需与企业的业务相结合,从而形成对是否违规、如何违规、违反规定的具体条款、违规程度等事项的具体判断标准。
法律责任和行业责任的实现,对应到市场经济实践中分别为企业合规和业务考核两个方面。就法律责任而言,判断企业行为是否合法合规实际上就是考察合规计划的执行程度和执行效果。企业的实际运营偏离合规计划过大,自然会出现偏离法律框架的违法行为。一般而言,企业行为的法律契合度与合规计划的完善程度成正比。而就行业责任而言,行业和企业自身的发展在于市场口碑和主要业务的优劣高低。数据分类分级在法律和行业两个层次的责任统一,需要具体为合规计划和企业业务之间的良好衔接。
根据现代企业理论,现行的企业考核机制主要包括绩效、基本工作、企业激励等不同部分,而导向型企业内部存在激励机制效率低、激励机制单一等问题。同时,对于大多数国有企业来说,企业业绩包括经济效益和社会效益两个方面。数据分类分级及其上位的数据合规作为当前市场经济中企业运营需要重点关注的新内容,具有经济和社会的双向战略意义。因此,在具体实施中,可将数据分类分级的机制安排、工作效率和完善程度等作为员工考核的指标内容,从而提高业务实操中的可行性,将数据分类分级管理执行到实处。
然而,在此过程中需要注意企业责任与员工责任之间的关系和界限。一方面,企业合规计划的具体落实需要依靠各业务流程中对数据分类分级管理要求的推进和执行,而企业内部业务的开展则必然需要由各责任人员和事项承担者具体负责。因此,员工在业务操作上对数据分类分级规范的遵守程度,直接影响企业在数据分类分级管理方面的合规程度。另一方面,企业合规计划的执行程度对企业和员工的直接影响不同。根据企业合规计划激励理论,企业合规的作用机制是在企业合规计划的具体执行和企业法律责任之间建立一种正向促进关系,即若企业事先制定并实际执行了合规计划,则在发生非主观故意违法行为时即可阻却相应的过失责任。反之,则无法阻却甚至成为一种加重处罚的事由,其中企业合规计划的完善程度和执行情况则影响责任阻却的具体效果。因此,企业合规直接影响企业对法律责任的实际承担。而对于员工个人而言,除领导层对于企业决策、发展等具有决定权的管理者或直接责任人之外,影响普通员工业绩考核的主要是其对企业内部所制定的业务指标达成度,通常包括业绩量、业务效果、业务质量、客户满意度等内容。
概言之,企业是否合规与员工在数据分类分级具体业务上是否达标之间不存在必然联系,员工以企业内部规定为依据承担个人业务责任,而企业则是根据法律及相关行政规定、行业规范等承担法律责任和行业责任。
数据要素市场化是发展数字经济的关键,而数据分类分级则是数据要素市场化配置的前提和基础。同时,作为保障网络安全的重要防护手段,数据分类分级也是国家安全战略的重要组成部分。对数据按照特定标准和流程进行分级,既符合上层建筑的宏观管理需求,又是数字经济环境下资源配置的先决条件。只有在数据持有者权利、数据传播、市场规则、公共管理等不同维度,按照数据内容的类型特征以及保护需求高低进行“上下分层”“行业联动”的针对性管控设计,才能构建更为周延、系统、完善的全过程保护机制。
就数据要素分类分级管理的规则制定而言,数据分类分级应当从横、纵两个向度进行合理安排,既要考虑在法律宏观层面的统一规范、发挥制度引领的作用,同时也要注意不同行业领域、业务内容的具体差异,兼顾公共安全和市场效益,允许法律框架下根据不同情形的合理细分。在类型划分上,明确不同数据的表现形式、属性特征,划归不同的数据集群;在级别设定上,从实体和程序上完善定级机制,按照不同类型数据的重要程度、敏感程度等设定安全保护级别。具体可遵循“三大类+三大级”的思路展开:首先,明确“两头”,即禁止流通的国家重要数据和完全自由的公共开放数据;其次,“两头”之间即是有条件的限制流通数据类型,按照重要性和敏感性程度将其划分为三个等级,其市场流通性和重要、敏感性程度呈负相关关系,从第一等级数据到第三等级数据流通性逐渐增强。
就数据要素分类分级管理的具体实施而言,应当组建并授权全国统一的数据合规单位,负责数据分类分级工作的整体统筹,且在既定规则范围内允许各地区、行业、单位根据各自实践需求灵活调整、具体实施。同时,在具体机制上畅通数据转换和沟通、反馈渠道,从而确保能够根据数字市场和数据性质自身的客观变化而在类型和级别设定上及时调整,避免机制僵化。在责任承担方面,应当充分发挥行业组织、企业自身、行政部分和司法机关等各自的参与作用,在行业发展的不同阶段激发企业家主观能动性,根据实际需求积极推动数据分类分级管理方面法律责任和行业责任的统一;在具体方法上,将企业合规计划的执行与企业员工的内部考核相挂钩,实现从法律法规对企业的外部强制到企业内部规定对员工业绩要求的有效转换,从而促进数据要素分类分级管理工作的具体落实。
来源:上海政法学院学报
