觀點 健全數(shù)據(jù)分級分類規(guī)則完善網(wǎng)絡數(shù)據(jù)安全立法

觀點|健全數(shù)據(jù)分級分類規(guī)則，完善網(wǎng)絡數(shù)據(jù)安全立法清華大學法學院助理研究員

劉云隨著信息技術和人類生產(chǎn)生活交匯融合，通過網(wǎng)絡收集、存儲、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)迅猛增長、海量聚集并成為重要的市場經(jīng)濟要素，對經(jīng)濟發(fā)展、社會治理、人民生活都產(chǎn)生了重大而深刻的影響。2016年11月頒布的《網(wǎng)絡安全法》建立了網(wǎng)絡數(shù)據(jù)安全相關制度，2019年5月《數(shù)據(jù)安全管理辦法》草案公開征求意見，2020年7月《數(shù)據(jù)安全法》草案公開征求意見，數(shù)據(jù)安全已經(jīng)成為網(wǎng)絡安全乃至國家安全法制體系中的核心內容之一。在即將構建形成的數(shù)據(jù)安全和個人信息保護體系下，應當更加具體地回應網(wǎng)絡數(shù)據(jù)利用和保護的正當需求，通過配套條例和規(guī)章健全數(shù)據(jù)分級分類規(guī)則，完善網(wǎng)絡數(shù)據(jù)安全立法。一、確立網(wǎng)絡數(shù)據(jù)安全分級分類的基本思路傳統(tǒng)網(wǎng)絡數(shù)據(jù)安全側重于靜態(tài)保護，主要是防止網(wǎng)絡數(shù)據(jù)泄露、竊取、篡改、毀損，維護網(wǎng)絡數(shù)據(jù)的完整性、保密性和可用性。新一代網(wǎng)絡數(shù)據(jù)安全處于數(shù)字經(jīng)濟繁榮發(fā)展和全面數(shù)字化轉型的新時代，需要適應動態(tài)保護的需求，確保數(shù)據(jù)在各類場景下收集、利用、流轉、開放、共享等不同行為時的安全與自由。場景差異會形成不同的正當價值和安全風險，分級分類保護應當成為網(wǎng)絡數(shù)據(jù)安全立法的基本思路。數(shù)據(jù)分級分類最初是網(wǎng)絡運營者對數(shù)據(jù)資產(chǎn)進行一致性、標準化管理的方法，隨后成為網(wǎng)絡數(shù)據(jù)安全風險管理的技術方案。根據(jù)《網(wǎng)絡安全法》第21條的規(guī)定，網(wǎng)絡運營者應當采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施?！稊?shù)據(jù)安全法（征求意見稿）》第19條提出：國家對數(shù)據(jù)實行分級分類保護。由此可見，數(shù)據(jù)分級分類的主體由“網(wǎng)絡運營者”轉變?yōu)椤皣摇?，國家對?shù)據(jù)進行分級分類的方法不僅包括制定重要數(shù)據(jù)目錄，更需要結合典型的數(shù)據(jù)應用場景制定配套的網(wǎng)絡數(shù)據(jù)安全法規(guī)。只有在數(shù)據(jù)安全配套法規(guī)中確立基本的數(shù)據(jù)分級分類規(guī)則，才能為制定數(shù)據(jù)分級分類目錄、技術標準和企業(yè)數(shù)據(jù)安全管理實踐提供更加明確的統(tǒng)一指引。從聯(lián)系的角度而言，數(shù)據(jù)分級分類也可以稱之為數(shù)據(jù)分類保護，這是因為數(shù)據(jù)分級也是對數(shù)據(jù)進行分類的一種表現(xiàn)形式。從區(qū)分的角度而言，數(shù)據(jù)分級是對數(shù)據(jù)分類之后采取的安全等級規(guī)則。國家在數(shù)據(jù)安全立法中，應當根據(jù)數(shù)據(jù)對國家安全、公共利益或者公民、組織的不同意義和可能的損害后果，對不同類別的數(shù)據(jù)分別采取嚴格保護、內容監(jiān)管、鼓勵流動、強制公開等不同管理方法的數(shù)據(jù)利用規(guī)則，并對不同級別的數(shù)據(jù)分別采取不同授權和責任模式的數(shù)據(jù)處理規(guī)則。數(shù)據(jù)分類是對數(shù)據(jù)應用過程中涉及的數(shù)據(jù)進行分類，按照可以區(qū)分為公共數(shù)據(jù)、組織數(shù)據(jù)和個人數(shù)據(jù)，按照數(shù)據(jù)的公開程度可以區(qū)分為網(wǎng)絡公開數(shù)據(jù)、有限公開數(shù)據(jù)和秘密保護數(shù)據(jù)，它們在法律中應當具有不同的安全與發(fā)展規(guī)則。結合不同的應用場景，還可以對這些數(shù)據(jù)做進一步分類。例如，我國《憲法》第40條建立了嚴格的私人通信保護制度，主要規(guī)范對象是電信運營商和國家機關，但是現(xiàn)代的互聯(lián)網(wǎng)通信工具和交流平臺形成了通信內容容易被轉發(fā)，私人通信聯(lián)絡和公共信息傳播界限不清的問題，不利于建立與數(shù)據(jù)類型相適應的安全保護秩序。所以，有必要在互聯(lián)網(wǎng)通信場景下區(qū)分私人通信和公共信息，便于網(wǎng)絡運營者和用戶明確其所處網(wǎng)絡社交場景的私人屬性或者公共屬性，從而按照分類管理的思路建立私人通信嚴格保密、公共信息有序管理的網(wǎng)絡數(shù)據(jù)安全規(guī)范。數(shù)據(jù)分級處理規(guī)則主要適用于個人數(shù)據(jù)，包括不同類型的個人數(shù)據(jù)存在安全等級差異，以及同一類個人數(shù)據(jù)在不同場景下的安全等級差異。根據(jù)《個人信息安全規(guī)范》，個人數(shù)據(jù)可以劃分為一般數(shù)據(jù)、敏感數(shù)據(jù)和高度敏感數(shù)據(jù)三類。其中，收集一般個人信息，應向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則，并獲得個人信息主體的授權同意；收集個人敏感信息前，應征得個人信息主體的明示同意，并應確保個人信息主體的明示同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意愿表示。此外，個人生物識別信息屬于高度敏感數(shù)據(jù)，收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意。對于這些推薦性國家標準中的管理性規(guī)范，需要通過立法程序轉化為相應的法律規(guī)則。二、引導公共屬性數(shù)據(jù)相互共享和對外開放公共屬性的數(shù)據(jù)也被稱之為公共利益數(shù)據(jù)，是由政府部門或者網(wǎng)絡運營企業(yè)收集、存儲，但屬于社會中各類人力資源、財產(chǎn)資源共同參與創(chuàng)造的數(shù)據(jù)，可以在政府和企業(yè)之間相互共享，也可以基于公共利益目的對外開放。公共屬性數(shù)據(jù)的共享與開放包括企業(yè)對政務數(shù)據(jù)的使用（G2B）、政府機構對企業(yè)數(shù)據(jù)的使用(B2G)、政府不同部門之間的數(shù)據(jù)共享（G2G）。G2B數(shù)據(jù)在國內外已經(jīng)形成普遍共識的政務數(shù)據(jù)開放趨勢。例如，國家地理信息數(shù)據(jù)可以為旅游或者交通產(chǎn)品開發(fā)提供基礎，司法機關的裁判數(shù)據(jù)可以為企業(yè)合規(guī)和法律研究提供幫助。G2G數(shù)據(jù)的共享主要是政府內部數(shù)據(jù)平臺建設和數(shù)據(jù)融合能力的建設問題，它可以提高政府內部管理的一體化水平，同時也可以為單一市場中運營的企業(yè)減輕重復報送數(shù)據(jù)的成本。B2G方向的數(shù)據(jù)開放與共享屬于一個近年來才意識到重要性問題，由于涉及到網(wǎng)絡運營企業(yè)商業(yè)秘密、企業(yè)數(shù)據(jù)私有財產(chǎn)保護、個人信息安全保護義務等價值沖突，是需要數(shù)據(jù)安全法規(guī)進行協(xié)調的重要領域。數(shù)字經(jīng)濟的發(fā)展使得網(wǎng)絡運營企業(yè)積累了大量的數(shù)據(jù)，充分利用其中具有公共屬性的數(shù)據(jù)，有助于完善城鄉(xiāng)規(guī)劃、道路交通、民生保障、生態(tài)環(huán)境、社會安全、自然災害、公共健康等社會管理和公共事務，幫助政府建立基于實證數(shù)據(jù)的公共決策方向。例如，道路交通導航地圖運營商的數(shù)據(jù)可以為早晚高峰的交通擁堵治理提供支撐，醫(yī)院治療疾病的數(shù)據(jù)可以為公共健康防治提供決策依據(jù)，匯總的、匿名的社交媒體數(shù)據(jù)可以為傳染病防控措施及其效果提供信息參考。嚴格保護個人數(shù)據(jù)安全的歐洲，也在長期推進企業(yè)與政府部門之間的數(shù)據(jù)共享。2018年4月，歐洲委員會通信網(wǎng)絡內容與技術執(zhí)行署就發(fā)布了《歐洲數(shù)據(jù)經(jīng)濟中的私營部門數(shù)據(jù)共享指南》，提出了B2G數(shù)據(jù)共享的模型和基本原則。歐盟委員會在2020年2月發(fā)布的《歐洲數(shù)據(jù)戰(zhàn)略》明確了B2G數(shù)據(jù)共享的重要性，歐盟B2G數(shù)據(jù)共享高級別專家組也在同一時間發(fā)布了《邁向基于公共利益的企業(yè)對政府數(shù)據(jù)共享的歐洲戰(zhàn)略》（TowardsaEuropeanStrategyonBusiness-to-GovernmentDataSharingforthePublicInterest），不僅總結了B2G數(shù)據(jù)共享存在的現(xiàn)實問題，還從法律、技術、管理等多個維度提出了可能的解決方案。我國數(shù)字經(jīng)濟的發(fā)展也形成了大量掌握在企業(yè)手中的公共屬性數(shù)據(jù)，在制定數(shù)據(jù)安全法規(guī)過程中，需要按照數(shù)據(jù)場景化管理的思路，區(qū)分政府調取企業(yè)數(shù)據(jù)、企業(yè)向政府共享數(shù)據(jù)兩種類型。對于政府調取企業(yè)數(shù)據(jù)，需要在內容上劃定政府調取網(wǎng)絡運營企業(yè)數(shù)據(jù)的范圍，在程序上確定政府調取數(shù)據(jù)的方法，在責任上明確政府的安全保障責任，在外部監(jiān)督上建立備案審查和權利救濟機制。對于企業(yè)向政府共享數(shù)據(jù)，主要是按照平等協(xié)商的機制實現(xiàn)，注重提高數(shù)據(jù)共享技術的安全性和數(shù)據(jù)利用的有效性，同時要避免損害他人合法權益。企業(yè)與政府之間無論是調取還是共享數(shù)據(jù)，政府都應當考慮企業(yè)數(shù)據(jù)的質量和處理成本，為企業(yè)提供公共屬性數(shù)據(jù)作出必要的經(jīng)濟補償，或者向企業(yè)提供數(shù)據(jù)反饋等其他合理的對價。企業(yè)掌握的公共利益數(shù)據(jù)可以為個人和組織提供信息獲取服務，同時可以為各類研究人員、公共機構、中小企業(yè)、初創(chuàng)企業(yè)參與科技創(chuàng)新和數(shù)字經(jīng)濟發(fā)展提供便利。對于與公共利益有關的數(shù)據(jù)，政府應當按照法定的程序向社會或者特定申請人公開其獲得的企業(yè)數(shù)據(jù)。但是，政府從企業(yè)獲取的數(shù)據(jù)一般不得超出法定使用目的范圍，特別是要避免行政權力對數(shù)據(jù)自由競爭市場的不正當干預。三、推動企業(yè)數(shù)據(jù)安全有序的利用與流轉企業(yè)數(shù)據(jù)是企業(yè)通過合法形式取得的具有完全權屬、有限權屬、無權屬的各類數(shù)據(jù)。企業(yè)對于無權屬的他人數(shù)據(jù)只能按照約定目的和方式進行管理和使用，對于處理大量他人數(shù)據(jù)的網(wǎng)絡運營者應當依法建立數(shù)據(jù)安全體系，為他人提供數(shù)據(jù)收集、存儲、加工、分析、傳輸?shù)确盏钠髽I(yè)，應當通過向主管部門備案、建立相互隔離的數(shù)據(jù)安全環(huán)境等措施。對于完全權屬和有限權屬的數(shù)據(jù)，企業(yè)可以在權利范圍內進行交易、共享和開放。企業(yè)可以通過買賣、互換、許可使用等方式交易其合法取得且有相應處置權利的數(shù)據(jù)。隨著數(shù)據(jù)價值的上升，數(shù)據(jù)被國家列為與土地、勞動力、資本、技術等相并列的生產(chǎn)要素，在國內外市場中誕生了行紀、中介和代理等多種類型的數(shù)據(jù)交易中間商?！稊?shù)據(jù)安全（征求意見稿）》第30條規(guī)定：從事數(shù)據(jù)交易中介服務的機構在提供交易中介服務時，應當要求數(shù)據(jù)提供方說明數(shù)據(jù)，審核交易雙方的身份，并留存審核、交易記錄。然而，何種數(shù)據(jù)可以進行交易，數(shù)據(jù)可以如何進行交易，數(shù)據(jù)交易中如何保障安全，需要相關配套規(guī)定進一步細化規(guī)則。在《民法典》確認數(shù)據(jù)財產(chǎn)權的基礎上，尚需要進一步明確數(shù)據(jù)財產(chǎn)權的分配規(guī)則，特別是明確物聯(lián)網(wǎng)等共同創(chuàng)建數(shù)據(jù)的權利歸屬和權利行使規(guī)則，并對數(shù)據(jù)交易合同的相關法律適用規(guī)則予以規(guī)范。此外，需要明確數(shù)據(jù)交易參與方的職責和監(jiān)管制度，促進形成一批專業(yè)能力強、運營規(guī)范、抗風險能力強的數(shù)據(jù)交易中間服務機構。企業(yè)數(shù)據(jù)共享是以無償形式為他人利用自身數(shù)據(jù)提供便利的一種方式，企業(yè)除了向政府共享數(shù)據(jù)外，還可以向其他企業(yè)共享其數(shù)據(jù)，包括在同一生態(tài)內的不同企業(yè)、不同生態(tài)內的不同企業(yè)之間進行數(shù)據(jù)共享，甚至是同一企業(yè)的不同部門。在不同企業(yè)之間進行數(shù)據(jù)共享有利于提升數(shù)據(jù)平臺的服務能力、減少數(shù)據(jù)重復收集的成本，特別是大量匯聚第三方應用、第三方商店的平臺存在大量數(shù)據(jù)共享行為，但是接受數(shù)據(jù)共享的處理者可能引發(fā)不確定性數(shù)據(jù)泄露或者濫用的風險。一方面，我們應當鼓勵數(shù)據(jù)安全管理能力強的平臺企業(yè)向他人共享數(shù)據(jù)，不僅可以縮小數(shù)據(jù)鴻溝，還可以避免中小企業(yè)數(shù)據(jù)安全管理能力不足引發(fā)的風險。另一方面，不同主體之間開展數(shù)據(jù)共享需要明確各自的安全管理職責，并按照過錯原則承擔相應的法律責任?；ヂ?lián)網(wǎng)的本質是數(shù)據(jù)流動，打破數(shù)據(jù)壟斷和避免數(shù)據(jù)孤島是企業(yè)數(shù)據(jù)開放的主要目標。企業(yè)數(shù)據(jù)開放的對象包括企業(yè)自主擁有的、具有數(shù)據(jù)基礎設施地位的數(shù)據(jù)，也包括在企業(yè)平臺上展示的網(wǎng)絡公開數(shù)據(jù)。對于具有數(shù)據(jù)基礎設施地位的數(shù)據(jù)或者數(shù)據(jù)設施，應當要求企業(yè)按照透明、公平、合理、非歧視原則提供必要的開放利用條件。對于網(wǎng)絡公開數(shù)據(jù)，企業(yè)應當建立公平、自由的訪問規(guī)則，避免采取不合理的訪問限制措施。與此同時，數(shù)據(jù)爬蟲技術改變了網(wǎng)絡公開數(shù)據(jù)獲取的傳統(tǒng)規(guī)則，一方面要支持符合行業(yè)慣例的數(shù)據(jù)獲取行為，從而為數(shù)據(jù)產(chǎn)業(yè)的發(fā)展提供必要的法律環(huán)境；另一方面，應當為企業(yè)采取“Robot協(xié)議”等措施保障其系統(tǒng)正常運行提供必要的強制性保障。四、確保新技術對個人數(shù)據(jù)利用的安全信息技術的創(chuàng)新發(fā)展優(yōu)化了個人數(shù)據(jù)的利用效率和方式，出現(xiàn)了用戶畫像、個性化推薦、自動化決策、深度偽造、人臉識別等提升個人數(shù)據(jù)利用風險的新技術，也出現(xiàn)了差分隱私、多方計算等減少個人數(shù)據(jù)利用風險的新技術。在數(shù)據(jù)安全配套法規(guī)中，應當引導網(wǎng)絡運營者采取有利于個人數(shù)據(jù)安全利用的新技術，通過技術手段實現(xiàn)安全和發(fā)展的雙重目標，有效避免個人數(shù)據(jù)利用過程中出現(xiàn)的安全風險。對于各類挖掘個人數(shù)據(jù)潛在價值的新技術，應當進行數(shù)據(jù)安全風險評估，并在相關法規(guī)中建立場景化的數(shù)據(jù)利用規(guī)則。人臉識別是國內外輿論廣泛關注的個人數(shù)據(jù)使用技術，對于何種場景可以利用，人臉生物信息如何存儲，如何保障此類高度敏感數(shù)據(jù)的安全，需要建立配套的法律規(guī)則。缺乏人臉等個人生物識別信息的安全規(guī)則容易引發(fā)輿論的恐慌，安全可控的法律規(guī)則不僅可以增強消費者對新技術的信心，還可以為新技術的部署提供穩(wěn)定的指引和預期。用戶畫像、個性化推薦都是基于用戶的個人信息和網(wǎng)絡使用行為所形成的數(shù)據(jù)融合和算法應用，其可能提高信息的獲取效率，但是也可能導致個人被標簽化或者隱私泄露，故而應當為這類行為提供“選擇-退出”的功能，避免對個人強迫提供技術服務。自動化決策和深度偽造對于個人的權益往往會產(chǎn)生直接的影響，甚至在某些情況下會嚴重影響社會公共秩序。對于自動化決策，應當提高此類算法的透明度和可解釋性，避免算法黑箱風險。對于深度偽造等信息聚合技術，應當通過標記等規(guī)則避免數(shù)據(jù)濫用行為。目前，《歐洲數(shù)據(jù)戰(zhàn)略》已經(jīng)明確提出了一系列數(shù)據(jù)安全與利用的配套立法計劃，美國聯(lián)邦和各地方也在出臺一系列數(shù)據(jù)利用的補充法律制度。我國在《網(wǎng)絡安