摘要: 《信息安全技术重要数据识别规则》(征求意见稿)明确重要数据的概念、特征、分级分类标准等,引发新一轮探讨,如何平衡重要数据安全、流通和维护的关系,实现高效监管、保障多方利益等成为当下数据安全维护和监管较为棘手的问题。目前我国关于重要数据的识别规范存在漏洞且法律监管体系较为分散,需以政府、数据行业和数据管理者三方为主体,从重要数据识别和监管的现状、存在问题出发,在统一立法体系、完善政府识别与监管模式、健全行业相关规定三方面寻求解决路径,以标准化重要数据识别和监管步骤。
Abstract:
The “Rules for the Identification of Important Data in Information Security Technology” (draft for soliciting opinions) clarifies the concept, characteristics, classification standards, and other aspects of important data, triggering a new round of exploration. How to balance the relationship between important data security, circulation, and maintenance, achieve efficient supervision, and protect the interests of multiple parties has become a challenging issue in current data security maintenance and supervision. At present, there are loopholes in the identification regulations for important data in China and the legal regulatory system is relatively scattered. It is necessary to take the government, data industry, and data managers as the main body, starting from the current situation and existing problems of important data identification and regulation, and seek solutions in three aspects: unified legislative system, improved government identification and regulation model, and sound industry related regulations, in order to standardize the steps of important data identification and regulation.
1. 引言
随着信息技术和人类生产生活交汇融合不断深入,全球数据呈现爆发增长、海量聚集的特点 [1] 。国家也逐步提升对数据识别和监管的关注度。《网络安全法》第37条1首次以法律文件的形式明确重要数据的概念,但对重要数据的相关属性并未做出详细规定。2019年,《数据安全管理办法》的出台确立了实行数据分级管理、风险评估等数据安全基本制度。2022年,代表国家标准的《信息安全技术重要数据识别规则》(征求意见稿)公布(以下简称《识别规则》),不仅提出重要数据的详细定义,指明重要数据的特征,还从国家立法角度对重要数据进行分级分类,为我国重要数据保护工作奠定了重要理论基础。
2. 重要数据识别与监管现状分析
2.1. 重要数据识别的概念和意义
根据《识别规则》,重要数据的识别即由数据的处理人采取人工划分或利用编码分类的形式对其是否属于重要数据进行认定。分析这一定义可得,重要数据的识别主体主要为数据的安全管理负责人或者组织,在实践中以政府部门相关人员、行业组织的对应人员以及数据处理者三方主体为代表。而目前的识别方式主要包括人工识别以及算法编程识别两种,相比之下,人工识别的效率较低,大规模使用算法编程的方式更符合当前数据时代发展的趋势。以互联网企业进行数据识别为例,对用户在互联网活动轨迹进行有目的的分析就是数据识别行为。这是通过算法实现的一种明确的简单操作列表,最终得出用户的使用偏好等内容 [2] ,便于互联网企业为用户提供针对性服务。
随着编程技术的不断发展,各行各业涌现出独特的重要数据识别算法,这极大提升企业识别数据的效率,降低人工识别出错率,有助于构建数据识别体系。以上海观安信息技术股份有限公司研发出品的观智重要数据发现产品为例,这一产品利用人工智能技术以及算法编排技术,能够精准识别重要数据的特性,为后续分级分类奠定基础,并且还能自动生成重要数据报表,提高数据识别的科技性和稳定性。
由此可见,重要数据识别作为数据处理的前端步骤,能够有效过滤非重要数据,精准实现数据分级分类,为重要数据的监管奠定基础,有效避免数据处理人员主观因素识别干预,最大程度保证重要数据搜集整理的客观性。
2.2. 重要数据识别与监管立法概况
数字经济的普及促进国家数据规制进程,世界各国对此予以高度重视,例如美国不仅实施受控非密信息保护制度,并且通过颁布总统行政令和发布相关规则,设置了一整套严密的受控非密信息管理制度。相比之下,我国在法律层面对重要数据作出的保护性规定尚处于初步发展阶段。《网络安全法》最先在法律层面上提出了“重要数据”的概念,指出要对重要数据进行备份、存储。而《数据安全法》的出台则从法律层面进一步完善了对重要数据的管理和保护。另外,《识别规则》的出台细化了重要数据的概念、识别原则、识别流程等内容,具有一定参考价值。还有一些行业协会组织或者主管部门也出台了本行业的重要数据管理规定,使得重要数据保护于法有据。
综上所述,目前我国尚未出台专门的重要数据立法,有关重要数据的法律法规,分散在各个法律文件、行政法规、规章中,并且以法规、规章为主,法律层面主要包括《网络安全法》和《数据安全法》,相对大篇幅地规定广义的数据安全维护、处理和监管,对于重要数据没有规定详细的操作规范。根据《数据安全法》的相关规定,国家安全机构主要负责对数据进行统筹方面的工作,相关行业协会和有关地区部门负责本行业、地区的数据安全工作,国家安全机关、公安部门在必要时负责数据相关工作。总之,我国重要数据立法尚未体系化。
3. 重要数据识别与监管存在的问题
3.1. 重要数据识别与监管立法存在的问题
尽管《数据安全法》、《网络安全法》等法律法规的出台一定程度改善重要数据无法可依、无规可依的局面,我国重要数据监管体制仍存在诸多缺陷。首先,缺乏统一的重要数据立法。虽然《数据安全法》和《网络安全法》概括性地规定重要数据的立法特征,但是其主要着眼点仍在“安全”二字,而重要数据识别和监管属于宏观的概念,仅仅靠“安全”这一分支难以实现对其安全和价值的维护。并且,重要数据的监管从宏观层面包括发展和保护两方面问题,前者侧重于社会层面,后者侧重于个人或者是企业、国家、社会层面,而我国现有的立法,尚未明确二者的界限和区别,这也进一步引发另一困境,当某一重要数据处于保护和发展二者的边缘地带时该如何处理。
其次,由于法律层面的缺失,各地区制定了诸多有关数据安全保护的法规,但是大多数地方的数据安全管理政策仍处于空白状态,严重影响数据安全治理效果和数字化建设进程 [3] 。因而,各地方需要根据本地区的重要数据安全管理现状以及管理需要,以各地区实际为准,吸收以《网络安全法》和《数据安全法》为代表的数据安全管理法律的成熟规定,提炼出适应地方发展需要的重要数据管理规定,并将其上升为地方法规,以增强重要数据安全管理和监管力度,维护地区重要数据安全。
最后,目前关于数据安全的立法位阶普遍较低,地方法规的缺失对数据安全维护产生较大负面影响,是故对重要数据安全管理进行地方立法仍需经过复杂的立法程序 [4] 。综上所述,法律的滞后性导致目前我国关于重要数据的法律法规数量稀少且难成体系,对重要数据进行识别和监管依赖地方立法或是行业规定进行明确要求。
3.2. 重要数据的监管机制问题分析
重要数据的监管可谓是保障数据安全的重头戏,目前我国数据监管模式主要分为政府监管、行业自律监管和数据处理者自我监管。政府监管以国家多头监管为特征,行业监管主要通过公布行业准则的方式进行,而数据处理者的自我监管仍处于初步实行阶段,主要表现为数据安全评估等。因而,我国关于重要数据监管的体系虽已初步形成,仍存在诸多缺陷。首先,政府监管定位模糊,重要数据监管的立法体系不完善导致政府在进行重要数据监管时缺乏有效的法律法规规制,容易出现政府强势监管的状态,遏制数据市场自我调控的活跃度和创造力。相比之下,政府监管处于辅助地位更为可取,相应地要进一步明确政府的角色定位和任务。
其次,数据行业的自律监管有待加强。理论上我国行业自律体系不断增强,但是实践存在诸多问题,其中较为突出的是行业自律的行政色彩较为浓厚,缺乏独立性,发挥的作用微乎其微,难以挑起行业数据监管的大梁。行业自律监管对于市场秩序的稳定有着不可替代的价值,我国的行业协会主要充当协会成员利益的维护者、行业的自我管理的职责承担者和与政府对接的中间方。多角色交叉的定位有利于平衡各方利益,更全面地维护数据各方的权益。不过与政府对接这一环节不免存在沦为政府附庸的可能性,政府若采取强势监管模式,那行业协会只能作为传达者,难以真正发挥其自身监管的价值。
最后,数据处理者的自我监管存在不足,虽然《识别规则》的公布使得重要数据的监管具有完整、详实的规定,但作为参考标准,其不具有国家强制力,市场主体完全可以依照自己的意愿选择是否遵守《识别规则》相关要求,仅仅具有参考价值的文件难以真正规范趋利主体的数据处理行为。另外,数据处理者进行自我监管,不仅需要负责监管自身数据处理,还要承担与政府、行业的衔接工作,构建联系紧密的重要数据监管机制,实现高效的重要数据监管。综上所述,重要数据监管的三方主体仍需进一步完善监管机制。
4. 重要数据识别与监管机制完善对策
4.1. 统一重要数据识别与监管立法体系
如前所述,重要数据的识别与监管分为数据发展和保护两方面,二者相辅相成,在进行重要数据识别和监管时,要尽量使这两方面维持平衡、相互促进。统一的立法体系不仅能够兼顾这两方面,还能够进一步完善重要数据识别与监管的方式。首先,统一的重要数据立法能够以法条表明立法者的立场,对于适法者而言也是一种参照。构建统一的重要数据立法有助于合理避免法律条文之间出现冲突,也为查找相应的法律条文提供便利。并且,现阶段的重要数据立法涉及内容单一,难以覆盖重要数据处理的全部方面,统一的重要数据立法既能覆盖重要数据识别和监管的框架式内容,还能对各领域的数据识别和监管进行细节性规定。
其次,在制定法律时要采取统一和分类相结合、政府监管和市场监管相结合的模式,即以重要数据目录为参照,在宏观层面上对数据统一监管,微观上进行分类监管。简而言之,就是在统一的立法模式下,先对重要数据的识别和监管等处理过程进行总则性规定,引领重要数据处理的大方向,接着再在各个单行法律的指导下对重要数据目录中的具体领域进行监管,以此实现对不同重要数据的管理。另外,在设置政府监管部门时,要设置统一的重要数据监管协调部门,同时充分调动各地区、各行业对重要数据的监管作用,实现分级分类管理重要数据的宏观构思。
再者,要摒弃政府强势监管的模式,实行以政府监管为主导,辅之以行业监管和数据处理者自我监管等多元化数据市场主体监管的模式,三方主体协调统一,最大程度发挥监管作用。采取这种监管模式能够有效发挥政府作为“看得见的手”和市场主体“看不见的手”的联动作用,防止理性的市场主体在追求自身利益的过程中忽视对公共利益的保障,同时也能更好把握行业核心,降低外来资本恶意干涉的风险。另外,也能更好发挥市场价值,利用市场对重要数据处理发展的敏锐度,对处理行为进行效益最大化的监管。此外,数据处理者也要进行自我反思,以提升自身对重要数据法律体系的理论理解深度和实践操作可行性。
最后,要力求实现重要数据识别路径和监管制度协调统一发展。为规范有效地识别重要数据,需落实以下几点:第一,在政府体系中设立专门的数据识别技术部门,根据《识别规则》对重要数据进行分级分类,对应具体大类和细致数据小类,建立专门的重要数据库,并及时更新数据库的识别和加密系统,以实现精准识别定性与高密监管保护。第二,加快《识别规则》从国家标准到正式法律法规的入法进程,实现其从提供参考到规范约束的性能转换,以国家强制力为后盾,约束政府、行业组织、重要数据处理者的行为,保证重要数据的识别效率和监管力度。第三,建立系统的重要数据识别描述格式,在对重要数据进行统计录入系统时,准确记录数据的基本情况、相应责任主体、数据的应用范围以及安全评估系数等内容,落实数据识别登记的一体化流程。
4.2. 完善政府重要数据识别与监管模式
由于政府在重要数据识别与监管过程中处于主导地位,并且公共部门比其他任何部门都面临更多的安全事件和数据泄露风险 [5] ,完善政府的重要数据处理规定可谓大势所趋。首先,要明确政府保障重要数据安全的主旨。为此政府部门必须全面审查其数据以确定数据敏感程度,加强内部人员管理并进行数据安全培训,充分利用成熟的分析技术检测行为异常的员工,以应对政府部门的内部威胁 [6] 。简而言之,政府在宏观层面上进行引领性监管前提是确保自身监管的纯粹度和可信度。随着网络时代的不断深入,网络漏洞对重要数据安全的威胁逐渐显现,因而政府部门在对重要数据进行监管时,要预先拟定入侵者最有可能侵犯的重要数据的目录,并对目录中的数据实行再监管,以便在网络犯罪分子入侵重要数据存储系统时及时处理,最大限度维护重要数据安全和相关数据权益。
其次,要明确宏观层面监管的协调部门。当前,各个重要数据领域的监管部门并不完全一致,负责网络和数据管理工作的机构数量较多,为实现统一而又分散的整体布局,需要注重各机构的在监管体系中的职能安排。我国各级网信部门应当是网络、数据产业的宏观层面的监管部门,其主要职责是宏观把控涉及网络的产业,从根本上制定数据产业的发展方向,保障重要数据发展的大方向,防止出现偏离发展路径的问题。需注意,网信部门的职责只在于进行宏观层面的监管,具体的监管工作则派发给其他部门进行。这也要求网信部门在进行宏观规划时要与具体负责部门进行沟通,咨询重要数据领域的专家、政府部门的意见,酌情参考数据主体的处理建议,从实际出发进行重要数据识别与监管工作。
最后,明确微观监管机构。为贯彻落实宏观和微观相结合的重要数据管理模式,实现既统一又分散的监管体制,应当构建以各级大数据管理局为核心的监管体制,实现对重要数据领域的微观监管。重要数据处理过程的监管主要由大数据管理局进行,其余部门则与其配合,共同进行各领域的监管工作。并且在层级上这些部门要与管理局处于相同的行政级别,即不存在上下级的层级关系。此外,部门与大数据管理局之间的合作主要体现在资源共享等方面,并且仅限于微观层面。当部门对重要数据监管不具有行政效力,仍需听取大数据监管局的意见和回复,必要时大数据监管局有权直接接管该事项。
4.3. 健全行业重要数据识别与监管规定
重要数据辐射领域广泛,除了法律法规这一层面,各行业组织也针对本领域制定一系列数据识别和监管处理标准,可见,行业组织在重要数据处理过程中发挥着不可替代的作用,有必要对其进一步完善优化,以适应重要数据的发展趋势。第一,要适当增强行业组织在重要数据处理过程中的话语权。目前行业组织的行政化色彩较为浓重,因而从长远而言“去行政化”是提升其独立自主性的必由之路,不过依据我国历史经验和重要数据的发展特点,行政化在诸多方面发挥着积极作用,例如具有可观的抵御风险的能力、能够迅速适应数据市场发展需要等。现阶段排在首位的应是提升行业组织的话语权。行业组织在重要数据的处理全程中是接触实践层面最多的一方,其积累了大量的实践经验。因而激励行业自律组织主动提供立法、司法方面的意见能够为政策发展奠定关键基础。为充分实现这一目标,要适度扩大行业自律组织建言献策的路径,在政府监管部门中开设专门的路径收取行业组织的建议,并完善反馈机制,构建互通有序的沟通机制。
第二,进一步促进行业准则体系化进程。目前我国与重要数据相关的行业准则散落在各项行业准则文件中,由于我国数据产业仍处于快速发展阶段,相应的行业准需要不断调整以适应数据产业的发展状态。不过,行业自律准则本身具备优势,主要体现在专业知识、实践经验和专业人才的充足等方面,而这些因素与重要数据的高效管理息息相关。因而,制定专门的重要数据行业准则实属大势所趋,能够有效规范重要数据行业的行为、控制行业风险。
综上所述,行业自律管理在重要数据识别和监管的管理过程中占据重要地位,完善的行业自律准则不仅有利于发展重要数据产业,也有助于行业组织本身获得相应效益。此外,还需完善数据处理者有关重要数据识别与监管的规定,通过采取明示数据保护官的职责并且强化其独立性的方式提升数据处理者的综合素质。
5. 结语
互联网时代的发展促进了数据共享时代的逐步深入,现阶段数据发展一方面带来新的效益,另一方面也对重要数据的保护带来全新挑战。目前重要数据的识别和流通主要依靠网络平台完成,而近几年网络犯罪案件的频频爆出,对重要数据的安全监管提出更高的要求。目前,我国关于重要数据的规定尚不成熟,相关法律法规较为分散、难成体系,这使重要数据的安全监管难以做到全面、高效,仅依靠《网络安全法》、《数据安全法》以及《识别规则》对重要数据相关问题进行规制难以令数据处理者信服,也无法有效管理数据市场。法律法规体系的缺失从根源上导致重要数据的安全维护和监管工作难以得到有效保障。
同时,我国重要数据体系的发展现状较为缓慢,数据交易和流通仍处于探索阶段,这导致重要数据法律体系的发展受现实制约。并且重要数据的安全保护和数据流通、交易之间本身也存在一定矛盾,如何在保证数据正常流通的情况下保护数据安全,如何合理平衡二者之间的关系,这都需要法律法规的支撑以及政府、行业组织和数据处理者的互相配合。此外,在监管领域仍需以政府监管为主导,如前所述,要构建以政府监管为主导,行业组织和数据处理者自我监管为辅的监管体系。平衡政府与市场之间的监管力度关系,兼顾数据安全保护和数据正常流通,通过多方共同努力维护重要数据安全和重要数据权益。
NOTES
1《网络安全法》第37条:“关键信息基础实施的运营者在中华人民共和国境内运营中收集和产生的个人信息及重要数据应当在境内存储”。