陈兵 郭光坤:数据分类分级制度的定位与定则

——以 《数据安全法》 为中心的展开
选择字号:   本文共阅读 112 次 更新时间:2024-12-23 19:21

进入专题: 数据安全法   数据分类分级制度  

陈兵(南开大学)   郭光坤  

 

摘 要:数据分类分级是数据要素市场化配置的前提和基础,是数据要素公平有序、安全有效流通的重要保障。我国《数据安全法》第21条规定的数据分类分级保护制度尚存在法律定位模糊与实施规则不清的问题,在一定程度上阻碍了数据要素的市场化配置。《数据安全法》第21条虽然建立了数据分级制度,但是目前仅为原则性规定,尚未构建数据分类的具体规则和操作标准。由于存在数据分类分级制定主体授权宽泛的现实问题,致使在实践中依托《数据安全法》第二章数据安全与发展的相关规范来支撑和实现数据保护与流动间动态平衡目标的可操作性不强。鉴于此,建议依据数据所具有的可共享性、复用性、多归属性、高度动态性以及使用加权属性等特征,统筹数据的发展和安全,运用场景化、动态化的方法,做好数据的分类分级及其制度实施。以市场化和法治化的方式推动有效市场和有为政府的更好结合,以负面清单制度的施行,探索完善数据分类分级保护与交易活动的实施,搭建起数据分类与分级的贯通机制,推进全国统一数据要素市场的培育、建设及发展。

关键词:统筹发展和安全;数据安全法;数据分类分级;数据要素市场化

 

数据分类分级是数据分类(Data Classification)与数据分级(Data Grade)的合称,数据分类指根据数据的属性特征划分成一定的种类,使得纷繁芜杂的数据按照某种规律形成系列集合;数据分级则按照一定的原则、标准、规律划分成层次有序的级别,不同级别数据在数据处理行为中将遵循对应级别的规则。数据分类分级是实现维护数据安全、促进数据发展的基础,更是数据界定清、流通畅、效用高的先决条件。2021年9月1日,《中华人民共和国数据安全法》(简称《数据安全法》)正式实施,第21条明确规定“国家建立数据分类分级保护制度”。然而,在理论上与实践中如何正确理解与准确实施数据分类分级制度,尤其是如何在文本上阐述《数据安全法》第21条的相关规定,尚未达成共识,在一定程度上导致了数据分类分级制度难以有效实施。鉴于此,讨论数据分类分级的法治定位与定则,以期推动统筹发展和安全下数据分类分级的建设与发展十分必要。

一、问题提出

近年来,互联网、大数据、云计算、人工智能、区块链等技术加速创新,日益融入经济社会发展各领域全过程,数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正在成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。发展数字经济意义重大,这是把握新一轮科技革命和产业变革新机遇的战略选择。

当前,人类经济社会形态正从工业经济向数字经济迈进,数字经济已成为后疫情时代下世界各国经济恢复、重塑竞争格局的关键点。数据要素的溢出效应已渗透到生产、分配、流通和消费的各个环节之中,深刻变革着传统的土地、劳动、资本、技术等要素在数字经济场景下的生产效率与市场贡献。数据已成为数字经济场景下各类市场主体开展创新与竞争的核心要素。

数据要素市场化体制机制的探索建设与因应完善已成为我国社会主义市场经济体制改革的关键一环。2021年12月12日,国务院印发《“十四五”数字经济发展规划》,明确指出到2025年初步建立数据要素市场体系,数据要素市场化建设成效显现,数据确权、定价、交易有序开展。同年12月21日,国务院办公厅印发《要素市场化配置综合改革试点总体方案》(简称《改革方案》),进一步指出探索建立数据流通规则,建立健全与要素市场化配置综合改革试点相配套的法律法规与政策机制。

由此可见,我国数字经济已转向深化应用、规范发展、普惠共享的新阶段,但是仍面临一些问题和挑战,在理论与实践上对数据要素的产权制度、流通制度、分配制度等准备还不充分,体制机制还有待健全。数据流通规则是数据要素市场化的核心内容之一,此次《改革方案》亦是明确指出需要“探索建立数据要素流通规则”,在保护个人隐私和确保数据安全的前提下,分级分类、分步有序推动部分领域数据流通应用。基于国家开展数据要素市场化配置综合改革的顶层设计与数据要素在数字经济中发挥动能的基本机理,数据只有在流通中才能释放要素价值。数据要素市场化配置的关键,亦是通过发挥市场在资源配置中的决定性作用,充分使数据要素在市场上公平有序安全高效流通,充分激活数据动能,赋能我国数字经济不断做强做优做大。

数据分类分级是数据要素市场化配置改革的先决条件和制度基础。然而,由于相关制度不完善,对于不同类型、不同级别的数据应当如何流通无法达成共识,导致了实践中产生激烈的矛盾与冲突。故此,如何认识数据分类分级制度的法治定位与定则,已成为探索建立数据要素流通规则重要基点与实现路径。基于此,有必要从我国现有数据分类分级制度的一般理论和实践出发,以问题为导向,将数据分类分级制度基础理论的阐释与具体规则的设计与现行与数据密切相关的法律与政策放在一起予以理解,尝试提出相关解决方案和下一步研究与实践的方向。

二、我国数据分类分级制度的理论检视

有关数据分类分级制度的讨论在法学界引起了热烈反响。当前,对于数据分类分级研究呈现出较强的部门法区分态势,私法领域学者重点讨论数据在私法上的法律定位、权属关系、保护路径,公法领域学者则重点讨论政府数据的开放及治理等问题。既有研究多以部门法为视角、以主体为区分,对个人数据(信息)、企业数据、政府数据进行类型化研究,个人数据权利涉及自然人的人格权(益)与财产权平衡,既需要对自然人数据提供防御性保护,也不能无限度扩张个人数据权益而妨害了数据的流动与利用,理论上认识到个人数据在承载个人私益的同时还具有多重功能聚拢与所涉多元利益的交汇性。对企业数据来讲,学界重点讨论了其权益类型及财产权化路径,应根据数据类型区别分别配置不同类型的权利(益)。政府(务)数据同样蕴含着多元利益,有观点提出可以将政务数据区分为原始数据和衍生数据,以公民利益为基准进行反向确权,亦有观点主张政府数据应归国家所有。有研究进一步提出以“数据相关行为”为基准设计动态权属制度,结合个人、企业、政府等数据主体对于数据权益的需求,以精细化、差异化、场景化科学合理对数据权益进行分配。

在具体部门法下讨论数据问题时,学界已充分认识到须在分类分级原则下讨论不同类型不同级别数据对具体问题的影响。譬如,有学者从国家安全视野出发认为数据分类分级是开展数据安全治理的起始点,对统筹国家安全保护和数据国际竞争具有重大意义。在刑法视角下,数据分类分级将成为犯罪形态的区分基准,应根据数据安全法益性质及其所受侵害,对数据犯罪进行罪质界定和罪量评价。还有学者提出在刑事司法领域应根据其特殊性、原则性要求及方法论对该领域数据分类分级的具体制度进行展开构建。

作为新兴生产要素的数据使包括学界在内的社会各界从理论上深刻认识到不同类型数据荷载着不同类型权利(益),数据类型化存在着多维度视角,具有高度动态性,须根据场景化原则进行具体研判。在此基础上《数据安全法》第21条规定了数据分类分级保护制度,但囿于该法制定与实施时间较短,系统性研究较少,相关讨论有待深入。有学者提出关于数据分类分级存在的主要问题有:缺乏细致的分类体系;缺乏统一的分级体系;缺乏分级与分类的联通机制等。同时,有观点从技术实践出发,发现当前数据分类分级标准规范较为欠缺,各行业实践经验不足,《数据安全法》第21条的落实仍存在较大困难。

综上,自《数据安全法》颁布实施后,学界与实务界已深刻认识到数据分类分级对各行业、各领域、各地区统筹数据安全与发展的重大影响与深远意义,目前亟须对数据分类分级制度的法治定位与定则进行系统性研究。

三、我国构造数据分类分级制度面临的挑战

数据分类分级是数字经济发展与数据安全治理的前提与基石,然而,囿于数字数据技术快速发展变革与法律制度天然滞后性之抵牾,如何认识与开展数据分类分级仍莫衷一是,阻碍了数据流通与利用。具体而言,当前存在两大核心难点问题:一是数据分类分级法治定位模糊,二是数据分类分级实施规则不清。

(一)数据分类分级制度的定位需进一步厘清

《数据安全法》第21条规定“国家建立数据分类分级保护制度”,然而,该制度在法律体系上的定位还有待进一步厘清,一定程度上导致现行立法定位不清,使制度仍停留在立法文本上,未能有效回应实践需求。

1.数据分类分级制度不应局限于数据安全制度

数据是任何以电子或者其他方式记录的信息,信息分级保护在我国早有实践。2007年6月公安部等四部委印发《信息安全等级保护管理办法》,第7条规定对信息系统分等级实行安全保护,根据受到破坏后的严重程度分为5级。可见,在数据安全制度中实施分类分级保护是一以贯之的实践方式。现行《数据安全法》法律体系与立法技术检视,第21条定位于第三章“数据安全制度”,而非定位于第一章“总则”,表明立法限于数据安全制度实施分类分级保护。

基于我国体系化立法习惯,法律总则与分则之间呈现分工合作、统辖遵从的关系,总则统摄分则各章节内容,规定一部法律的基本原则、主体与行为制度,总则是立法的指导思想,对各分则具有强大的适用效能;分则是在总则规定的基本原则下围绕某一种具体制度、权利义务关系进行规定,各分则之间可能具有一定联系,但不具有统辖、遵从的关系。故此,现将数据分类分级置于《数据安全法》分则第三章中,该章主要规定数据安全保护规则,仅是对总则中保障数据安全原则的具体落实,其规定的数据分类分级条款难以对后续章节条款规定的数据行为起到规范指引作用,至少很难产生统摄约束的效果。

进一步讲,《数据安全法》作为我国数据治理领域的基本法,其在总则中规定该法是为了规范数据处理行为,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。其第二章专章规定“数据安全与发展”,第13条规定:国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展。明确了该法将保障数据安全与促进数据发展并重。然而,位于第三章的数据分类分级保护制度虽然与第二章紧密相连,但是其制度规范的核心、范围、重点均不同,由此可见,规定在第三章中的数据分类分级规则,从现有立法体例的设计上讲是难以在法律适用层面融入数据开发利用与发展中的,这在一定程度上模糊甚至限制了数据分类分级规定在数据法治体系中的基本原则的定位。

目前,在实践中重点关注的数据权属、数据处理、数据流通等数据法领域问题,均需以分类分级为基准进行展开,特别是在今年全国政协召开的“推动数字经济持续健康发展”专题协商会上,多位委员关注数据要素流通交易问题,提及分类分级管理数据流通与安全,做好数据产权制度安排。其中,有委员建议,将数据产权作为一种单独的民事权利进行立法,分离数据所有权、控制权、使用权、收益权等权利。事实上,关于数据产权法律制度的研究,之前法学界早已展开。譬如,关于数据属性,既有研究根据数据主客体进行分类,分别讨论数据的人格权、财产权、国家主权等法律性质及其权益构造等。又如,有学者提出可基于“动态兼容性权益”权属构造,以“数据相关行为”为动态基准将数据分为原始数据、衍生数据、派生数据,以此实现配置不同类型数据上的不同主体权益。亦有学者主张将数据相关权利(益)以“政府数据权力+企业数据权益+个人数据权利”的结构模式进行三维配置以展开数据流通利用。然而,囿于数据要素治理涉及“多行多市”,跨地区跨部门,其系统性、整体性及一体化治理是关键,需要找到治理的最大公约数。

综上,目前从数据基本法的构造上看,数据分类分级是贯穿于数据全领域、全周期、多维度的重要原则,而不仅限于数据安全制度。诚然,数据安全保护需要以分类分级作为基本准则,而数据的收集、存储、使用、加工、传输、提供、公开等数据行为均需要在分类分级的基准下展开。只有结合具体场景类型与行为方式准确分类分级,才能实现数据的界定清、流通畅、效用高。现行《数据安全法》仅将数据分类分级规定于“数据安全制度”的分则中,框定了数据发展的安全底线,但难以规范数据流通及处理等数据行为。

同时,国家在数据资源顶层发展规划中亦重视数据分类分级,2016年12月,国务院印发《“十三五”国家信息化规划》提出“推动数据资源分类分级管理”;2021年12月,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》进一步提出“建立数据分类分级管理制度”。应站在统筹发展和安全的高度上认真考量数据分类分级对于数据要素市场化配置的意义,以此建立健全在保障数据安全基础上,规范数据处理行为、促进数据开发利用的数据法治体系。

2.数据分类分级制度应上升为数据法律体系及实践要求的基本原则

数据分类分级能否成为数据法律体系的原则之一,是理论上面临的重大困境。《数据安全法》对数据分类分级的法治定位仍然有待商榷,目前置于第三章“数据安全制度”下难以发挥对数据行为的规范引导作用。实践中我国已有诸多省、市地区制定了数据相关的地方性法规、规章等,但各地关于数据分类分级是否应定位为数据法律原则或仅涉及数据安全管理规则并不一致。

根据表1对我国已有数据分类分级地方立法实践梳理,体现出各地区对数据分类分级定位差异,呈现出三类视角:

第一类,立足数据安全视角规定分类分级保护制度。相关规定要求涉及公共数据主管部门根据数据安全、个人信息保护、数据应用等因素,制定具体分类分级保护制度,开展相应安全风险测评等。

第二类,立足数字经济发展视角规定分类分级管理制度。相关规定着重规范数据流通与使用等规则,譬如《广东省数字经济促进条例》聚焦数据相关行为,加强产业数据分类分级管理,以此推动发展数据驱动的生产经营模式。

第三类,立足公共数据开放视角规定分类分级开放规则。相关规定要求所涉及公共数据有关部门根据省、市具体情况制定各系统、各地区公共数据分类分级开放细则,定期进行动态调整,推动公共数据共享与开放。

通过对地方立法梳理与归纳可见,数据分类分级实际上对数据安全保护、流通利用、共享开放等诸多领域规则具有统摄指导作用,在地方立法实践中均有体现。《数据安全法》作为我国数据领域基础性法律,是各部门、各地区制定实施数据安全与发展规范的上位法,是制定数据相关法律法规的基准。在下位法制定中,数据分类分级应用已呈现出扩张趋势,已然从数据安全保护扩张到数据开发利用等领域,仅限于数据安全制度已难以满足数据发展实际需要。

数据分类分级的法律定位与《数据安全法》立法历程高度相关。该法在起草时定位为我国数据领域基础性法律,重点是确立数据安全保护管理的各项基本制度。在此意义上,数据分类分级作为数据安全制度的基本原则,就具有成为数据发展基本原则的可能性与必要性,伴随着数字经济发展,立法上也深刻认识到需要发挥数据的基础性资源作用和创新引擎作用。

故此,确有必要从领域法学视角考虑数据分类分级在数据法律体系上的定位。领域法学是一种以问题为导向的法律思维,注重对法律现象进行类型化研究,在实践上为深化改革和推动法治建设解决具体问题,在重点领域“有的放矢”。《数据安全法》是我国数据领域的基础性法律,坚持发展和安全并重的原则,不仅注重数据安全治理,同样注重数据开发利用。尽管数据分类分级由于立法考量规定在数据安全制度中,但已经显现出在数据治理体系中的基础性地位,亟须廓清数据分类分级的法治定位,以此科学合理完善数据法律体系的原则与规则。

(二)数据分类分级原则的具体实施规则有待澄清

若无法科学合理有效依法对数据进行分类分级,则数据产权界分、流通利用、安全保护等都难以落地实施。法律规则及其逻辑结构映射的是规制手段及规则构成要素之间的关系。法律规则应当明确规范对象、行为及结果之间的法律关系。《数据安全法》第21条虽然明确国家建立数据分类分级保护制度,并将数据划分为核心数据、重要数据与“通用数据”,但对于三类数据的分类分级标准、制定实施主体等相关规定存在一定模糊性,造成理解与适用困惑。

1.数据分类分级的法律概念需要明晰

分类与分级具有不同语意与内涵。数据分类强调根据数据属性特征划分成一定的种类,形成有规律的系列集合;数据分级则是按照一定的原则、标准、规律划分成层次有序的级别,不同级别数据在数据处理行为中将遵循相应级别的规则。在理论研究与实践操作中应区分数据分类与数据分级之间的关系。

《数据安全法》第21条第1款中规定“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用(以下简称遭到侵害),对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。该规定与《信息安全等级保护管理办法》第7条信息系统分级保护制度具有相似性,以此为参照,可将《数据安全法》第21条规定划分等级比较(见表2)。通过类比可见,《数据安全法》第21条规定是根据数据重要程度及遭到侵害后的危险程度进行划分,根据其影响范围广度、危害情节深度区分不同级别制度实施管理,是一种纵向分级保护制度。

基于此,《数据安全法》目前只建立起数据分级体系,而尚未建立数据分类体系,这一缺漏需要在实施中进行填补。界定法律概念是特定法律制度设计、实施的核心,提出明确统一的法律概念,是相关领域顶层设计完工、制度架构基本完善的标志。数据分类概念在立法中未能确立的重要原因是数据要素具有复用性、共享性、瞬时性、多归属性等特点,所涉及主体和权益关系具有多元性和复杂性等特征,导致理论上对数据分类具有多维度、多框架、多类型等表现。就立法技术而言,难以选择单一维度、单一框架进行数据分类。故此,现行立法以开放视角留下立法接口,需要以行政法规、规章或地方性法规等引致规范对此进行细化,以完善数据分类分级的立法周延性。

2.数据分类分级的制定程序亟待完善

《数据安全法》第21条第3款规定了数据分类分级保护制度的实施程序,要求“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”,但该规定具有高度抽象性,数据制定主体授权宽泛,致使实施中面临可操作性不强的问题。

首先,《数据安全法》第6条第1款规定了“各地区、各部门”承担本地区、本部门的数据治理及安全职责。我国治理体系存在着纵横交错的结构,既具有自上而下治理主体间的纵向层级关系,还具有同一层级不同治理主体之间的横向并列关系。故该授权在落实层面还不够清晰。

其次,基于我国国家治理体系现况和《中华人民共和国宪法》及相关法律,“各地区”通常指代各省(自治区/直辖市)、市(设区的市/自治州)、县(自治县/县级市)、乡(镇)等行政区域;各部门”含义则更加广泛,可指代各级政府部门、各级人大、政协、法院、检察院等部门。数据分类分级在制定与实施主体上呈现出“块块管理”与“条条管理”交织不清的特征,将导致分类和分级难以标准化,不利于数据要素市场化配置。

最后,横向各地区数据分类分级差异化大,相关规定各行其是,难以实现标准化、系统化,置于国家统一大市场场景下,阻碍数据要素在地区间流通。纵向各部门“多龙治水”,实施分类分级过程中可能出现“标准竞合”,即针对同一数据,不同部门基于不同管理职责制定不同标准,从而导致同一数据根据不同部门的标准定为不同类型或级别的问题,增加数据要素流通的制度成本。

综上,《数据安全法》关于数据分类分级程序规定尚不完善,易导致区域间与部门间的数据治理冲突,产生难以推进数据分类分级的标准化、系统化建设等问题。故此,亟须完善数据分类分级制定程序,在落实区域与部门数据治理责任的基础上,推动数据要素市场化配置,培育高质量数据要素市场形成。

四、统筹发展和安全下数据分类分级的基本构设

当前,数据分类分级原则在法治体系中的定位模糊与实施规则不清已成为阻碍数据要素市场化配置流通的现实制度难题。基于此,当前亟须明晰数据分类分级原则的法治定位,厘清该原则的法治理路,在此基础上完善其实施规则,进而优化与完善统筹发展和安全下数据要素市场化的法治体系。

(一)明晰数据分类分级原则的法治定位

1.从统筹发展和安全高度明晰数据分类分级原则的重要意义

首先,国家顶层设计高度重视数据要素的重要作用。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》(简称《十四五规划》)指明打造数字经济新优势的指导思路是要充分发挥海量数据和丰富应用场景优势,促进数字技术与实体经济深度融合。《“十四五”数字经济发展规划》进一步指出数字经济是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。

其次,要从国家经济发展部署的战略高度和国际竞争的历史方位,深刻认识统筹数据安全与发展的重要性。数据安全是数据要素驱动数字经济健康发展的底线与支撑,数据发展是实现国家经济在国际竞争中获得优势地位的目标与保障,二者是充分释放数据要素价值、推动数字经济健康发展的车之两轮、鸟之两翼。数据要素实现价值的基本路径是数据生成汇集后进行流动,在安全保护基础上在不同主体间流通,所需主体基于数据应用提升生产效率。数据要素市场化配置是实现数据要素公平有序安全高效流通的必然要求。

最后,明确分类分级是统筹数据安全与发展的基本原则之一。在法治轨道上推进数据要素市场化配置是实现统筹发展和安全的最优选择,健全的数据要素市场化则需满足“产权清、权责明、流转畅、保护好”等基本要求,数据要素市场化配置的法治化正是为了解决当前数据要素市场体制机制不健全的问题。对于数据要素市场而言,需清晰认识到市场应发挥资源配置的决定性作用,但无法发挥全部作用,譬如,数据产权的界定与配置只能在法治体系内予以明晰。目前数据要素市场失灵现象凸显,数据的不正当爬取、非法垄断等反竞争行为频发,应由国家介入调控规制。因此,为实现科学审慎精准规制,就必须根据不同类型、不同级别的数据特征,明晰与之配位的数据权属及权责体系、构建数据流通规则、完善数据安全保护体系。

基于此,可以清晰认识到数据分类分级是数据要素市场化发展的基本条件,亦是构建数据安全体系的基准要件。同时,数据安全是数据要素市场化流通的基础和前提,而数据发展是数据安全所要实现的目标和价值。故此,应立足于统筹数据安全与发展的全局视角,应将数据分类分级上升为数据法治体系的基本原则,以分类分级为原则统摄完善数据开发利用和产业发展体系、健全数据安全体系。

2.从数据要素属性特征审视数据分类分级原则的现实需求

分类分级能够成为数据法律体系原则之一的关键原因是数据具有多样性的属性特征,故此,科学合理分类分级是优化数据法治体系的现实要求。这体现在两方面:

一方面,数据种类具有广泛性,从而导致了数据属性差异性。从数据内容审视,包括但不限于个人信息、政务、能源、交通、水利、金融、科技、教育、文化、卫生、农业、工业、气象、海洋等多种类型,涵盖个人、企业、政府等多主体,涉及从人文到自然领域全覆盖。同时,不同类型数据的属性存在较大差异,譬如个人信息具有强烈的人格权益属性;企业数据则具有浓厚的财产权益属性;政务数据、自然数据等具有较强的公共和国家主权属性,直接关系国家利益和国家安全。

另一方面,数据归属存在交叉性。数据在不同场景下会产生不同归属的情形。譬如,疫情期间健康码关乎用户个人行踪轨迹等个人敏感信息数据,在被相关互联网企业及电信运营商收集汇总后成为企业数据,政府为实现防控管理职能收集成为政府数据。此时,同一用户的行踪轨迹数据同时具有个人数据、企业数据、政府数据的特征,在不同场景下存在不同归属。

基于此,从数据要素属性特征审视可清晰认识到分类分级是统筹数据安全与发展的现实需求。由于数据多样性的属性特征,导致不同类型、不同级别的数据所荷载的权益存在较大差别,须以差异化原则构建起与之配位的权属及权责关系、流通规则与安全体系,只有对数据进行分类分级才能够实现在数据全领域、全周期、多场景、多维度下的科学精准治理。

法律原则是对该领域法律要旨的凝练,是法律规则的基础和本源,具有统摄法律核心内容的效果,能够反映事物本然之理,具有高度的价值共识,能够成为该领域法律规则的逻辑起点。因此,从国家战略发展高度可以清晰认识到需要统筹好数据安全与发展,《数据安全法》已从顶层设计上构建起数据安全体系,但将数据分类分级局限于数据安全制度,一定程度上限缩了其适用范围,应将数据分类分级上升为数据法治体系的基本原则,以此统摄建立健全数据安全与发展的法治体系。

(二)阐明数据分类分级原则的法治理路

如何科学合理进行数据分类分级是推动全球数字经济发展及其良法善治所面临的共同难题,通过比对数字经济在主要国家和地区的做法,尤其是欧美在数据治理方面的制度建设及实践,有助于全面客观审视数据分类分级在实践中的痛点与难点,从而立足我国国情和实践需要,坚持在社会主义市场经济制度及法治轨道上有针对性地明确我国数据分类分级的法治举措。

欧盟在数字治理规则方面的创新探索,一直受到全球广泛关注,其致力于构建在全球有领先优势的数字统一大市场。2016年欧盟通过《通用数据保护条例》(General Data Protection Regulation, 简称GDPR),系统性规定了个人数据的基本权利、流动规则、处理规则等制度;2018年欧盟通过的《非个人数据自由流动框架条例》(Free Flow of non-personal Data Regulation, 简称FFDR)原则性规定了非个人数据流动规则,旨在保障非个人数据在欧盟区域内自由流动,以加速区域数字经济发展。GDPR与FFDR以数据主体是否为个人进行区分,将数据类型以二分法形式划分为个人数据与非个人数据,两条例均对数据流通规则进行了基本规定,希冀以此构建欧盟统一数字市场基本规则,保证数据要素在统一市场内自由流通。

然而,欧盟的数据二分法在实践中遭遇了困境,对此分类方法也进行了反思。由于数据归属交叉性特征,导致部分数据以个人数据与非个人数据混合形式出现,难以将二者进行分离,又由于二分法下两类数据处理与流通遵循不同规则,在制度上导致了数据处理者可能发生冲突行为。基于欧盟实践,理论上认识到以静态类型区分数据不可避免会出现无法适应实践的情形,应以动态监管方式满足数据发展与保护的需要。有鉴于此,应结合数据全领域、全周期、多场景、多维度进行动态精准分类分级,确立不同领域、不同时期、不同场景、不同维度下数据的具体内容、权益类型、流通规则与安全体系。

美国数字经济发展始终走在世界前列,2020年美国数字经济规模持续保持世界第一,达13.6万亿美元,占全球的41.7%,美国数字经济高速发展与其包容审慎监管密不可分。美国尚未就数据要素的权属关系等进行立法,但其针对国家信息安全进行了专门立法。奥巴马政府时期,一方面,针对涉及美国国家安全信息,2009年12月颁布第13526号行政命令《国家安全信息分类》(Classified National Security Information, 简称CNSI),根据涉密及可能造成的危害分为最高机密(Top Secret)、机密(Secret)、秘密(Confidential),包括(1)军事计划、武器系统或行动;(2)外国政府信息;(3)情报活动(包括秘密行动);(4)美国对外关系或活动;(5)与国家安全有关的科学、技术或经济事项;(6)美国政府的核材料或核设施保障计划;(7)与国家安全有关的系统、装置、基础设施、项目、计划或保护服务的漏洞或能力;(8)开发、生产或使用大规模毁灭性武器等八类。CNSI是以管制信息内容进行分类,以信息遭到侵害的危险程度进行分级。

另一方面,针对不在上述类型,但需要控制的信息,2010年11月颁布第13556号行政命令《受控非密信息》(Controlled Unclassified Information, 简称CUI),规定由行政部门负责制定并发布政策指令,建立统一的“受控非密”信息类别及子类别,提供“受控非密”信息保护、传播、标志以及解除管控的政策及程序。现今已规定了关键基础设施、国防、出口管制、金融、移民、情报、国际协议、执法、法律、自然和文化资源、北约、原子能、专利、隐私、采购、商业秘密、重要临时信息、统计、税务、运输等20个大类及各类别项下共计124个子类别。

相比欧盟对数字经济监管较为激进的立法态度,美国对数字经济监管始终持包容审慎的态度,但其仍然基于国家安全考量制定了CNSI和CUI制度,对可能会造成国家安全损害的信息持强监管态度,根据是否涉及国家秘密与是否可能危害国家安全将信息分为了涉及国家秘密需要严格管控的国家安全信息,不涉及国家秘密但需要管理保护的受控非密信息,以及除CNSI和CUI管制范围外的一般信息。

对比欧盟和美国在数据分类分级上的制度及实践可见,首先,在微观操作层面,由于数据的多样性、瞬时性、非排他性等属性特征,静态单一维度划分数据类型将导致实践中对数据类型识别困难,难以实现数据合规处理,造成立法与实践的割裂。其次,在中观政策层面,过于激进的强监管态度并不利于区域内数字经济发展,在一定程度上可能致使数字企业创新受阻。最后,在宏观价值层面,国家安全与社会公益是数据的基石与底线,对于关系社会公共利益、个人或组织合法权益等数据需要进行有序保护,对于直接关系到国家安全的数据采取严格管制,除此之外的数据则允许市场进行配置。

基于此,在我国社会主义市场经济及法治体系下数据分类分级原则的理路构建应明确《数据安全法》在确立数据分类分级原则上的基础性地位。对数据分类分级原则的法治理念构造应注重三个方面。

首先,体现法律价值上的多元利益共存。以保障数据安全为底线基石,促进数据开发利用为效率目标,注重保护个人、组织的合法权益,坚决维护国家主权、安全和发展利益。

其次,在法律识别适用上引入场景化、动态化治理方法。具体而言,数据分类分级应结合具体应用场景,根据特定场景下数据的功能与属性,判断其荷载的权益类型,配置对应的权属关系,实施对应的流通规则,健全对应的安全体系。

最后,在具体法律的实施上统筹好数据安全与发展。既要以核心数据、重要数据与通用数据的分级基准落实数据安全制度,又要做好数据要素市场化配置,保障数据要素有序流通,以安全保障发展,以发展促进安全。同时,由于数据具有显著动态性特征,分类分级应根据数据行为发生时的数据功能属性及重要程度进行区分,对相应数据行为的规制也应遵循行为发生时的相关政策法规要求。

(三)完善数据分类分级原则的具体实施规则

2022年4月10日,《中共中央国务院关于加快建设全国统一大市场的意见》指出,当前要“统筹发展和安全,充分发挥法治的引领、规范、保障作用,加快建立全国统一的市场制度规则”,针对数据要素进一步指出要加快培育要素市场,建立健全数据安全保护交易流通等基础制度和标准,推动数据资源开发利用。

数字市场秩序与数据要素流通需要通过有效基础设施设计,以确保数据要素市场生产流通的安全和秩序。当前亟须完善数据分类分级具体实施规则,为数据产权界分、流通利用、安全保护等做好顶层设计,以此为着力点深入推进数据要素市场化配置改革,使数据要素的生产、分配、流通、消费等各个环节更加畅通。故此,需要从数据要素法律制度着眼,坚持以问题为导向,着力解决数据要素市场培育的基础性问题。这一过程必须坚持市场化、法治化原则,推动有效市场和有为政府更好结合。

1.以负面清单制度推进数据分级体系的设计与实施

《数据安全法》已构建起以核心数据、重要数据和“通用数据”为界分的三级数据安全保护体系,该分级范式可进而成为统筹数据安全与发展的基准,数据要素市场化配置亦可根据三级体系展开,以此实现数据安全与发展间的贯通,一体推进数据安全保护与数据开发利用。

首先,探索在数据分级上实施负面清单制度。党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定》指出:“全面实施市场准入负面清单制度”,《十四五规划》细化为:“实施全国统一的市场准入负面清单制度,破除清单之外隐性准入壁垒”。在负面清单模式下,政府管制的范围和具体事项清楚明白地予以列举,除清单以外的事项,政府没有任何权力,以任何理由、形式阻碍或限制经营者从事合法的经营活动。

其次,为核心数据与重要数据分别设置负面清单。核心数据因直接关系到国家安全、国民经济命脉、重要民生、重大公共利益等,将采取严格管理制度,原则上禁止在市场上流动,可附严格条件后限制性流动;重要数据涉及个人、组织合法权益以及公共利益,采取重要保护制度,对于需要管制的重要数据应纳入负面清单,列举清楚管制数据的范围和具体事项,采取原则上限制性流动标准。与此同时,定期根据国内外数据动态发展情势,适时调整核心数据、重要数据目录,优化数据要素负面清单制度。

最后,除负面清单外的数据要素允许市场进行自由配置。除负面清单外的数据要素允许市场主体在合法合规的路径上自由流通,厘清政府与市场的边界,以此培育数据要素市场良好环境,激发数据要素市场主体活力。

2.以多元共治理路探索数据分类体系构建

纵观国内外关于数据类型化理论与实践的探索,尚未有理想的方案能一劳永逸解决该问题,这与数据的可共享性、复用性、多归属性、高度动态性、瞬时性、使用加权等特征密切相关。故此,须清醒认识到数据多元主体之多元利益并存的基本认知,贯彻落实统筹数据安全与发展的基本原则,以多元共治理路逐步探索数据分类体系的构建及实施。

首先,充分发挥有效市场作用。数据要素市场仍应坚持让市场对资源配置起决定性作用。以负面清单为基本制度,结合数据分级体系,将各类型数据中应属于核心数据与重要数据范围内的数据纳入负面清单进行管理,清单之外的数据要素则允许市场自由流通。

其次,更好发挥有为政府作用。《数据安全法》规定了各地区与各部门应当对地区和部门工作中产生的数据安全负责,同时授予了领域主管部门对本行业、本领域的数据安全监管职责。有关领域与行业主管的国家部委与省级人民政府应当制定相关领域、行业与地区的数据分类目录及负面清单。有关部门应当根据数据动态变化实时调整清单。同时,国家网信部门负责统筹协调数据安全和监管工作,可由国家网信办牵头成立数据治理省部级联席会议,在加快建设全国统一大市场背景下,推进全国统一数据要素市场培育、建设及发展。

最后,规范引导行业组织参与治理。相关行业组织可依法制定本行业数据分类分级标准,建立数据安全规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据要素开发利用能力。同时,建立行业组织与政府部门联系机制,让行业组织及时反馈对数据要素负面清单管理的意见和建议,实现数据安全与发展的多元共治,共同推进数字经济健康发展。

结语

当前,国家加快培育数据要素市场,加快推进全国统一大市场建设。然而,数据分类分级这一数据法律领域基础制度仍存在诸多理论与制度上的盲点与堵点,成为了数据要素市场化配置改革的难点与痛点,迟滞了数据要素的价值释放与数字创新。为此,亟须从领域法学的多维视角探究数据分类分级的法治挑战与因应进路。从《数据安全法》立法体系进行审视,现行法上的数据分类分级限于数据安全制度,难以推进至数据开发利用,同时存在管制主体规定不清、授权宽泛等问题,难以推进分类分级的标准化、系统化建设,造成了数据要素市场化配置的制度障碍。

由于数据要素的可共享性、复用性、多归属性、高度动态性、瞬时性、使用加权属性等特征,使得数据要素在实现生产要素化和配置市场化过程中必然需要结合具体场景,根据不同场景下数据的属性与功能,为其配位相应的权属机制、流通规则、保护及救济体系。故此,数据分类分级应是贯穿于数据全周期,开展数据处理行为、保障数据安全、促进数据开发利用等全领域的基本原则。同时,以负面清单制度为抓手,探索当前加快建设全国统一大市场背景下数据要素市场的培育与完善。至于数据分类分级的具体实施方案如何完善,是全球数字经济发展中所面临的共同难题,我国仍需在当前分级保护体系基础上不断探索。

    进入专题: 数据安全法   数据分类分级制度  

本文责编:SuperAdmin
发信站:爱思想(https://www.aisixiang.com)
栏目: 学术 > 法学 > 经济法学
本文链接:https://www.aisixiang.com/data/158060.html
文章来源:本文转自《中国特色社会主义研究》2022年第3期,转载请注明原始出处,并遵守该处的版权规定。

爱思想(aisixiang.com)网站为公益纯学术网站,旨在推动学术繁荣、塑造社会精神。
凡本网首发及经作者授权但非首发的所有作品,版权归作者本人所有。网络转载请注明作者、出处并保持完整,纸媒转载请经本网或作者本人书面授权。
凡本网注明“来源:XXX(非爱思想网)”的作品,均转载自其它媒体,转载目的在于分享信息、助推思想传播,并不代表本网赞同其观点和对其真实性负责。若作者或版权人不愿被使用,请来函指出,本网即予改正。
Powered by aisixiang.com Copyright © 2024 by aisixiang.com All Rights Reserved 爱思想 京ICP备12007865号-1 京公网安备11010602120014号.
工业和信息化部备案管理系统