對數(shù)據(jù)分類分級，是開展數(shù)據(jù)安全治理的起始點(diǎn)。目前，在我國網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)的法律法規(guī)中，數(shù)據(jù)分類分級的要求多有體現(xiàn)，但基本上這些分類分級的思路和方案均站在組織內(nèi)部的視角，目的是提升組織的數(shù)據(jù)安全管理能力和水平。本文將之稱為“自下而上”的數(shù)據(jù)分類分級。而《數(shù)據(jù)安全法》創(chuàng)造性地提出了“自上而下”的數(shù)據(jù)分類分級路徑，其第21條規(guī)定“國家建立數(shù)據(jù)分類分級保護(hù)制度”，其重要意義可以與《網(wǎng)絡(luò)安全法》第21條的“國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度”做類比。本文分析此項(xiàng)制度設(shè)計的背景和邏輯，以及其對數(shù)據(jù)主權(quán)國際競爭加劇態(tài)勢下的重大影響和意義。

　　目次

　　一、現(xiàn)有數(shù)據(jù)分類分級的保護(hù)路徑

　　二、《數(shù)據(jù)安全法》對數(shù)據(jù)分類分級保護(hù)的制度設(shè)計

　　三、數(shù)據(jù)分類分級的國際競爭意義

　　四、結(jié)語

　　本文來源為《中國法律評論》2021年第5期專論（第71-78頁），原文10000余字，為閱讀方便，腳注從略。如需引用，可參閱原文。

　　在網(wǎng)絡(luò)安全領(lǐng)域，對數(shù)字資產(chǎn)（包括信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)等）的安全保護(hù)，起始于對數(shù)字資產(chǎn)的分類分級。將數(shù)字資產(chǎn)劃分成不同的類別和不同的級別，就能相應(yīng)地確定與類別和級別匹配的安全保護(hù)水平和措施。在我國，分類分級的思想最早貫徹于網(wǎng)絡(luò)和信息系統(tǒng)的安全治理工作之中。在《網(wǎng)絡(luò)安全法》生效之前，我國將“信息安全等級保護(hù)制度”作為國家信息安全保障體系中的“一項(xiàng)基本制度”?！靶畔踩燃壉Ｗo(hù)制度”是指“對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實(shí)行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置?！?/p>

　　2017年《網(wǎng)絡(luò)安全法》開始實(shí)施，其將網(wǎng)絡(luò)運(yùn)營者劃分為一般的網(wǎng)絡(luò)運(yùn)營者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者兩大類。后者為“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等”，前者即是“網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者”中的非關(guān)鍵信息基礎(chǔ)設(shè)施的其他運(yùn)營者。

　　同時對于所有的網(wǎng)絡(luò)運(yùn)營者，《網(wǎng)絡(luò)安全法》將“信息安全等級保護(hù)制度”升級為“網(wǎng)絡(luò)安全等級保護(hù)制度”。該制度“根據(jù)等級保護(hù)對象在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，以及一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素”，將其劃分為五個級別。不同級別的等級保護(hù)對象應(yīng)具備不同的基本安全保護(hù)能力。

　　相對于對網(wǎng)絡(luò)和信息系統(tǒng)的分類分級，我國從安全保護(hù)角度對數(shù)據(jù)的分類分級要求比較新?！毒W(wǎng)絡(luò)安全法》第21條規(guī)定，網(wǎng)絡(luò)運(yùn)營者為“防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”應(yīng)當(dāng)履行的最基本的安全保護(hù)義務(wù)之一，即“采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施”。此后主管監(jiān)管部門發(fā)布的相關(guān)規(guī)定，對數(shù)據(jù)分類分級也做出了要求。

　　2021年9月1日生效的《數(shù)據(jù)安全法》，對數(shù)據(jù)分類分級作出了專門規(guī)定，提出：“國家建立數(shù)據(jù)分類分級保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實(shí)行分類分級保護(hù)。

　　國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強(qiáng)對重要數(shù)據(jù)的保護(hù)。關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度?！比珖舜蟪Ｎ瘯ㄖ乒ぷ魑瘑T會對《數(shù)據(jù)安全法》的立法說明中，將數(shù)據(jù)分類分級管理制度作為國家數(shù)據(jù)安全管理制度和體系中的首要制度。

　　仔細(xì)分析《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》中對數(shù)據(jù)分類分級的規(guī)定，可以發(fā)現(xiàn)一個顯著的區(qū)別：《網(wǎng)絡(luò)安全法》中開展數(shù)據(jù)分類工作的主體是網(wǎng)絡(luò)運(yùn)營者；在《數(shù)據(jù)安全法》中，數(shù)據(jù)分類分級的主體卻是國家。本文認(rèn)為，數(shù)據(jù)分類分級工作的主體不同，蘊(yùn)含著對數(shù)據(jù)安全保護(hù)思路和工作路徑的重大變化，凸顯了國家對數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源的認(rèn)識和管理思路的升級，更是服務(wù)于數(shù)據(jù)主權(quán)的國際競爭。

　　本文的內(nèi)容安排如下：第一部分是對現(xiàn)有數(shù)據(jù)分類分級保護(hù)路徑的梳理和分析；第二部分解析《數(shù)據(jù)安全法》數(shù)據(jù)分類分級保護(hù)的制度設(shè)計，并對《數(shù)據(jù)安全法》中提出的重要數(shù)據(jù)和核心數(shù)據(jù)做出解構(gòu)和重構(gòu)；第三部分闡釋數(shù)據(jù)分類分級安全管理制度在國際競爭方面的重大意義；最后，本文嘗試對數(shù)據(jù)分類分級工作落地實(shí)施提出建議。

　　現(xiàn)有數(shù)據(jù)分類分級的保護(hù)路徑

　　無論是現(xiàn)行的法律、行政法規(guī)還是部門規(guī)章，都僅僅止步于提出數(shù)據(jù)分類分級的要求，并沒有對如何分類分級提出進(jìn)一步的方案。

　　例如在行政法規(guī)層面，國務(wù)院2018年3月發(fā)布的《科學(xué)數(shù)據(jù)管理辦法》第10條規(guī)定：“科學(xué)數(shù)據(jù)中心負(fù)責(zé)科學(xué)數(shù)據(jù)的分級分類”；第20條規(guī)定“法人單位要對科學(xué)數(shù)據(jù)進(jìn)行分級分類，明確科學(xué)數(shù)據(jù)的密級和保密期限、開放條件、開放對象和審核程序等”。

　　在部門規(guī)章或規(guī)范性文件層面，例如中國證券監(jiān)督管理委員會2019年6月實(shí)施的《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》第30條規(guī)定：“證券基金經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)將經(jīng)營及客戶數(shù)據(jù)按照重要性和敏感性進(jìn)行分類分級，并根據(jù)不同類別和級別作出差異化數(shù)據(jù)管理制度安排?！敝袊y保監(jiān)會辦公廳2019年5月發(fā)布的《關(guān)于開展銀行業(yè)和保險業(yè)網(wǎng)絡(luò)安全專項(xiàng)治理工作的通知》規(guī)定：銀行業(yè)和保險業(yè)機(jī)構(gòu)應(yīng)當(dāng)“強(qiáng)化客戶信息保護(hù)。要制定數(shù)據(jù)安全分類分級標(biāo)準(zhǔn)，構(gòu)建覆蓋客戶信息全生命周期的保護(hù)體系，防范數(shù)據(jù)被竊取”。工業(yè)和信息化部辦公廳2019年6月印發(fā)的《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專項(xiàng)行動方案》規(guī)定，電信和互聯(lián)網(wǎng)行業(yè)應(yīng)“加快建立網(wǎng)絡(luò)數(shù)據(jù)分類分級保護(hù)、數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全事件通報處置、數(shù)據(jù)對外提供使用報告等制度”。

　　在國家部委發(fā)布的指引性文件，或者國家和行業(yè)標(biāo)準(zhǔn)層面，可以看到一些嘗試或方案。工業(yè)和信息化部2020年2月印發(fā)的《工業(yè)數(shù)據(jù)分類分級指南（試行）》中，提出了對工業(yè)數(shù)據(jù)的分類和分級標(biāo)準(zhǔn)。該指南第5條提出：“工業(yè)企業(yè)結(jié)合生產(chǎn)制造模式、平臺企業(yè)結(jié)合服務(wù)運(yùn)營模式，分析梳理業(yè)務(wù)流程和系統(tǒng)設(shè)備，考慮行業(yè)要求、業(yè)務(wù)規(guī)模、數(shù)據(jù)復(fù)雜程度等實(shí)際情況，對工業(yè)數(shù)據(jù)進(jìn)行分類梳理和標(biāo)識，形成企業(yè)工業(yè)數(shù)據(jù)分類清單。”

　　沿著第5條，該指南在第6條中給出了工業(yè)企業(yè)的數(shù)據(jù)分類范例：“工業(yè)企業(yè)工業(yè)數(shù)據(jù)分類維度包括但不限于研發(fā)數(shù)據(jù)域（研發(fā)設(shè)計數(shù)據(jù)、開發(fā)測試數(shù)據(jù)等）、生產(chǎn)數(shù)據(jù)域（控制信息、工況狀態(tài)、工藝參數(shù)、系統(tǒng)日志等）、運(yùn)維數(shù)據(jù)域（物流數(shù)據(jù)、產(chǎn)品售后服務(wù)數(shù)據(jù)等）、管理數(shù)據(jù)域（系統(tǒng)設(shè)備資產(chǎn)信息、客戶與產(chǎn)品信息、產(chǎn)品供應(yīng)鏈數(shù)據(jù)、業(yè)務(wù)統(tǒng)計數(shù)據(jù)等）、外部數(shù)據(jù)域（與其他主體共享的數(shù)據(jù)等）?！敝劣跀?shù)據(jù)分級，該指南根據(jù)數(shù)據(jù)發(fā)生“篡改、破壞、泄露或非法利用”后造成的危害——“可能對工業(yè)生產(chǎn)、經(jīng)濟(jì)效益等帶來的潛在影響”作為數(shù)據(jù)分級的標(biāo)準(zhǔn)，將數(shù)據(jù)分為三級。

　　同樣，證監(jiān)會于2018年9月正式公布實(shí)施《證券期貨業(yè)數(shù)據(jù)分類分級指引》。該指引第6.4條要求：“本標(biāo)準(zhǔn)推薦的分類分級方法，從業(yè)務(wù)條線出發(fā)，首先對業(yè)務(wù)細(xì)分，其次對數(shù)據(jù)細(xì)分，形成從總到分的樹形邏輯體系結(jié)構(gòu)，最后，對分類后的數(shù)據(jù)確定級別；同時，推薦考慮確定數(shù)據(jù)形態(tài)……”具體來說，數(shù)據(jù)分類“依據(jù)自身業(yè)務(wù)特點(diǎn)對產(chǎn)生、采集、加工、使用或管理的數(shù)據(jù)進(jìn)行分類”。數(shù)據(jù)分級“是以數(shù)據(jù)分類為基礎(chǔ)，采用規(guī)范、明確的方法區(qū)分?jǐn)?shù)據(jù)的重要性和敏感度差異，并確定數(shù)據(jù)級別”。

　　秉持類似思路的還有2020年2月中國人民銀行正式發(fā)布的《個人金融信息保護(hù)技術(shù)規(guī)范》（JR/T0171—2020）。在這些嘗試或方案中，數(shù)據(jù)分類采取的路徑主要是一種“實(shí)然”（“是什么就是什么”）路徑。此種路徑的基本思路是不改變企業(yè)實(shí)際如何組織生產(chǎn)的方式和流程，且客觀描述在這個方式和流程中所收集、產(chǎn)生出的數(shù)據(jù)類型。在完成數(shù)據(jù)分類的前提下，根據(jù)“后果”路徑，來對數(shù)據(jù)進(jìn)行分級。此種路徑的基本思路是根據(jù)某類數(shù)據(jù)的安全屬性（完整性、保密性、可用性）遭到破壞后的影響對象、影響范圍、影響程度，對數(shù)據(jù)進(jìn)行定級。一般來說，有分為三級的，也有分為四級的。本文將上述思路統(tǒng)稱為“自下而上”的數(shù)據(jù)分類分級。

　　目前部委指導(dǎo)性文件和標(biāo)準(zhǔn)所提出的數(shù)據(jù)分類分級路徑，給企業(yè)內(nèi)部開展數(shù)據(jù)治理提供了很好的思路。如果企業(yè)能按照上述路徑開展分類分級工作，就能夠?qū)ζ渌莆盏臄?shù)據(jù)建立管理目錄，并對目錄里面的數(shù)據(jù)進(jìn)行“差序有致”的管理，最終達(dá)到對數(shù)據(jù)資產(chǎn)的高效利用和有效保護(hù)。

　　正如《證券期貨業(yè)數(shù)據(jù)分類分級指引》對數(shù)據(jù)分類分級的闡釋：“數(shù)據(jù)分類是數(shù)據(jù)保護(hù)工作中的一個關(guān)鍵部分，是建立統(tǒng)一、準(zhǔn)確、完善的數(shù)據(jù)架構(gòu)的基礎(chǔ)，是實(shí)現(xiàn)集中化、專業(yè)化、標(biāo)準(zhǔn)化數(shù)據(jù)管理的基礎(chǔ)。行業(yè)機(jī)構(gòu)按照統(tǒng)一的數(shù)據(jù)分類方法，依據(jù)自身業(yè)務(wù)特點(diǎn)對產(chǎn)生、采集、加工、使用或管理的數(shù)據(jù)進(jìn)行分類，可以全面清晰地厘清數(shù)據(jù)資產(chǎn)，對數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)規(guī)范化管理，并有利于數(shù)據(jù)的維護(hù)和擴(kuò)充。數(shù)據(jù)分類為數(shù)據(jù)分級管理奠定基礎(chǔ)”，“數(shù)據(jù)分級有助于行業(yè)機(jī)構(gòu)根據(jù)數(shù)據(jù)不同級別，確定數(shù)據(jù)在其生命周期的各個環(huán)節(jié)應(yīng)采取的數(shù)據(jù)安全防護(hù)策略和管控措施，進(jìn)而提高機(jī)構(gòu)的數(shù)據(jù)管理和安全防護(hù)水平，確保數(shù)據(jù)的完整性、保密性和可用性”。

　　采取“自下而上”的數(shù)據(jù)分類分級，本質(zhì)上是站在組織的內(nèi)部視角來看數(shù)據(jù)分類分級，目的是防止組織的資產(chǎn)和權(quán)益因?yàn)閿?shù)據(jù)安全事件而受損。這種“自下而上”的數(shù)據(jù)分類分級模式有三個問題。第一個問題是，對數(shù)據(jù)提供何種保護(hù)水平僅僅由組織自行決定。以個人信息保護(hù)為例，組織出于自身的利益保護(hù)，普遍會將個人信息賦予高水平的保護(hù)，但其主要考慮的是防止因個人信息保護(hù)不利而導(dǎo)致的企業(yè)名譽(yù)、監(jiān)管、司法等方面的風(fēng)險，但對個人信息充分利用的考量（包括分析、與第三方共享、在生態(tài)內(nèi)流轉(zhuǎn)、向境外傳輸?shù)龋┦冀K占據(jù)優(yōu)先級。因此其對個人信息保護(hù)的水平并不一定達(dá)到組織外部的個人、社會、監(jiān)管部門所期待的水平。

　　第二個問題是，很多情況下，掌握在企業(yè)手中的數(shù)據(jù)對國家、社會、個人的價值，要比對企業(yè)來說價值更高；或者說，一旦出現(xiàn)安全事件，對國家、社會、個人造成的危害可能比對企業(yè)利益的危害更大。例如劍橋分析事件中，F(xiàn)acebook疏于對第三方小程序的管理，導(dǎo)致8700萬個人的數(shù)據(jù)被非法用于政治選舉目的，包括影響脫歐公投和美國總統(tǒng)大選等。

　　這就出現(xiàn)了一個所謂的“外部性”問題。外部性又稱為外溢效應(yīng)，指一個人或一群人的行動和決策使另一個人或另一群人受損或受益的情況。顯然，目前站在組織內(nèi)部角度的“自下而上”的數(shù)據(jù)分類分級，并不能很好地解決數(shù)據(jù)安全管理中的“外部性”問題。因此，為了督促或監(jiān)督企業(yè)切實(shí)負(fù)起數(shù)據(jù)安全責(zé)任，同時對某些“外部性”很強(qiáng)的數(shù)據(jù)類型給予更高水平的安全保護(hù)，就需要國家站在組織的外部，要求組織對具體的、特定的數(shù)據(jù)類別，比其單純從自身角度出發(fā)所意愿供給的安全水平提供更高水平的保護(hù)。

　　“自下而上”的數(shù)據(jù)分類分級的第三個問題是，目前的部委指導(dǎo)性文件和標(biāo)準(zhǔn)所提出的數(shù)據(jù)分類分級路徑，在單個行業(yè)、單個組織的內(nèi)部可以適用，但是對于面對不同行業(yè)的眾多組織的主管監(jiān)管部門來說，不具備互操作性，即一個組織的數(shù)據(jù)分類或數(shù)據(jù)分級，很可能與另外一個組織的數(shù)據(jù)分類和數(shù)據(jù)分級截然不同。這種情況下，數(shù)據(jù)安全主管監(jiān)管機(jī)關(guān)很可能無法開展統(tǒng)一的管理和監(jiān)督工作，更無法判斷組織對不同類型和級別數(shù)據(jù)采取的安全保護(hù)措施，是否能夠充分維護(hù)個人合法權(quán)益、公共利益和國家利益。

　　《數(shù)據(jù)安全法》對數(shù)據(jù)分類分級保護(hù)的制度設(shè)計

　　在上述背景下，《數(shù)據(jù)安全法》提出的由國家而非組織來實(shí)施數(shù)據(jù)分類分級的制度設(shè)計（本文稱之為“自上而下”的數(shù)據(jù)分類分級），就能得到很好的解釋?！白陨隙隆钡臄?shù)據(jù)分類分級，要求國家根據(jù)數(shù)據(jù)對國家、社會的價值（“數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度”）以及出現(xiàn)安全事件后造成的危害后果（“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度”），來開展數(shù)據(jù)分類分級的工作。在分類分級工作完成之后，即可以強(qiáng)制性地配適不同程度的安全保護(hù)規(guī)則，目的在于要求組織吸收或內(nèi)化“外部性”效應(yīng)。

　　實(shí)際上，這種“自上而下”分類分級路徑在數(shù)據(jù)安全之外的領(lǐng)域并不鮮見。例如前文提到的對網(wǎng)絡(luò)和信息系統(tǒng)，區(qū)分為一般運(yùn)營者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者這兩大類。猶如國家對勞動人口的身份管理，國家就“自上而下”地將勞動人口劃分為公務(wù)員、事業(yè)單位人員、企業(yè)員工、務(wù)農(nóng)人員等。這樣一種站在全局視角下的相對整齊劃一的分類，一直是國家統(tǒng)一管理的有效工具。

　　《數(shù)據(jù)安全法》實(shí)際上已經(jīng)“自上而下”地劃定了兩個主要的數(shù)據(jù)類型：個人信息和重要數(shù)據(jù)。雖然《數(shù)據(jù)安全法》沒有界定“重要數(shù)據(jù)”這個概念，但對其做了豐富的規(guī)則設(shè)計。例如重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)（第27條）；重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對其數(shù)據(jù)處理活動定期開展風(fēng)險評估；并向有關(guān)主管部門報送風(fēng)險評估報告（第30條）；關(guān)鍵信息基礎(chǔ)設(shè)施所收集和產(chǎn)生的重要數(shù)據(jù)的出境安全評估使用《網(wǎng)絡(luò)安全法》規(guī)定，其他數(shù)據(jù)處理者收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定（第31條）等。

　　而對個人信息的保護(hù)規(guī)則，《數(shù)據(jù)安全法》第53條規(guī)定，“開展涉及個人信息的數(shù)據(jù)處理活動，還應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定”，直接指向了《個人信息保護(hù)法》。由此，“作為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律”的《數(shù)據(jù)安全法》初步完成了“自上而下”的數(shù)據(jù)分類分級中的數(shù)據(jù)分類工作，并設(shè)計了不同類別的數(shù)據(jù)的基本保護(hù)規(guī)則。相較于個人信息，重要數(shù)據(jù)這個概念極為新穎，因此下文將重點(diǎn)對其內(nèi)涵做出分析。

　　實(shí)際上，重要數(shù)據(jù)為《網(wǎng)絡(luò)安全法》首次提出，回顧“重要數(shù)據(jù)”的產(chǎn)生過程，可回溯到《網(wǎng)絡(luò)安全法（草案）》三讀與最終稿之間出現(xiàn)的一個微妙變化。三讀文本中使用的是“重要業(yè)務(wù)數(shù)據(jù)”，對此，可能存在兩種理解：一是認(rèn)為“業(yè)務(wù)數(shù)據(jù)”英文為“business data”，是組織機(jī)構(gòu)與外界發(fā)生業(yè)務(wù)交互（transactions）的記錄，不包括內(nèi)部運(yùn)營數(shù)據(jù)，例如組織機(jī)構(gòu)人力資源管理方面的數(shù)據(jù)；二是認(rèn)為“業(yè)務(wù)數(shù)據(jù)”同時包括組織機(jī)構(gòu)“內(nèi)部運(yùn)作”和“外部業(yè)務(wù)交互”的數(shù)據(jù)。

　　如果最終“重要業(yè)務(wù)數(shù)據(jù)”的定義采用前者，則關(guān)鍵信息基礎(chǔ)設(shè)施里存在其他類別的數(shù)據(jù)無需本地存儲；如果采用后者，則可認(rèn)為關(guān)鍵信息基礎(chǔ)設(shè)施里的所有數(shù)據(jù)都要本地存儲。在2016年11月7日通過的《網(wǎng)絡(luò)安全法》最終文本中，立法者刪除了“業(yè)務(wù)”兩字，體現(xiàn)了立法者最后時刻的考量和決斷。

　　在《網(wǎng)絡(luò)安全法》生效（2017年6月1日）之前，中央網(wǎng)信辦于2017年4月的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》中第一次對重要數(shù)據(jù)做出界定。重要數(shù)據(jù)“是指與國家安全、經(jīng)濟(jì)發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識別指南”。與其配套的國家標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（草案）》在附錄A中進(jìn)一步定義了重要數(shù)據(jù)。雖然上述規(guī)則和標(biāo)準(zhǔn)始終處于征求意見稿的狀態(tài)，但都明確了一點(diǎn)——重要數(shù)據(jù)的重要性，針對的是整體層面的利益保護(hù)，即保護(hù)國家安全、國計民生、公共利益。

　　因此，只要運(yùn)營者的數(shù)據(jù)不涉及整體層面利益，就不屬于“重要數(shù)據(jù)”的范疇。例如，一家互聯(lián)網(wǎng)廣告公司的高層會議紀(jì)要，如果不涉及國家、公共利益，顯然不屬于“重要數(shù)據(jù)”的范疇，這樣的數(shù)據(jù)能夠自由出境；但是一家生產(chǎn)戰(zhàn)備物資的企業(yè)，其信息系統(tǒng)形成的進(jìn)出貨記錄、庫存水平等，可能就涉及國家安全事項(xiàng)，應(yīng)當(dāng)認(rèn)定其為“重要數(shù)據(jù)”，《網(wǎng)絡(luò)安全法》原則上要求境內(nèi)存儲。因此，從“重要業(yè)務(wù)數(shù)據(jù)”轉(zhuǎn)變?yōu)椤爸匾獢?shù)據(jù)”，說明立法者摒棄業(yè)界熟悉的“個人數(shù)據(jù)、企業(yè)數(shù)據(jù)、國家數(shù)據(jù)”的分類方法，進(jìn)而從數(shù)據(jù)所影響的價值著手。換句話說，不論是個人數(shù)據(jù)還是企業(yè)數(shù)據(jù)，只要有可能危及整體層面的利益，也會被認(rèn)定為“重要數(shù)據(jù)”。因此，《網(wǎng)絡(luò)安全法》首提“重要數(shù)據(jù)”，標(biāo)志著“自上而下”的數(shù)據(jù)分類分級思路的雛形初現(xiàn)。

　　雖然上述規(guī)則和標(biāo)準(zhǔn)始終處于征求意見稿的狀態(tài)，但2021年8月國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、交通運(yùn)輸部聯(lián)合頒布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，沿著上述思路第一次對重要數(shù)據(jù)做出了具備法律效力的界定。其第3條規(guī)定：“重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)”，并在汽車領(lǐng)域?qū)χ匾獢?shù)據(jù)進(jìn)行了列舉。此外，由工信部發(fā)布并于2021年7月生效的《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識別指南》，也將重要數(shù)據(jù)界定為“企業(yè)在運(yùn)營中收集、產(chǎn)生、控制的不涉及國家秘密，但與國家安全、經(jīng)濟(jì)發(fā)展、社會穩(wěn)定，以及公共利益密切相關(guān)的數(shù)據(jù)，特別是與國家基礎(chǔ)通信網(wǎng)絡(luò)安全密切相關(guān)的數(shù)據(jù)”。

　　仔細(xì)分析上述在《數(shù)據(jù)安全法》文本發(fā)布之后出臺的關(guān)于重要數(shù)據(jù)的界定，可以發(fā)現(xiàn)重要數(shù)據(jù)并不是從組織內(nèi)部出發(fā)、基于業(yè)務(wù)的數(shù)據(jù)分類，而是始終站在數(shù)據(jù)背后的重要價值的保護(hù)之上。在過去，“個人數(shù)據(jù)、企業(yè)數(shù)據(jù)、國家數(shù)據(jù)”的分類存在一定的意義，因?yàn)閲艺莆盏臄?shù)據(jù)，往往才有可能影響到整體層面的利益。但在大數(shù)據(jù)時代，數(shù)據(jù)收集、匯聚、流轉(zhuǎn)等，大量地發(fā)生在公共部門之外，許多企業(yè)掌握著海量的數(shù)據(jù)資源。這些數(shù)據(jù)已經(jīng)具備了影響國家、公共利益的可能性。

　　例如，超大互聯(lián)網(wǎng)平臺所掌握的海量用戶信息，首先肯定是個人信息，同時也是企業(yè)擁有的數(shù)據(jù)，但是由于其規(guī)模和顆粒度均可比擬公安機(jī)關(guān)的國家人口基礎(chǔ)信息庫，準(zhǔn)確性甚至更勝一籌，因此對國家來說，互聯(lián)網(wǎng)平臺所掌握的這樣規(guī)模的人口信息數(shù)據(jù)一旦泄露，很可能對國家安全造成嚴(yán)重危害。再如為金融、能源、交通、電信等重要行業(yè)中的大型企業(yè)提供網(wǎng)絡(luò)安全防護(hù)過程中產(chǎn)生的數(shù)據(jù)，包括系統(tǒng)架構(gòu)、安全防護(hù)計劃、策略、實(shí)施方案、漏洞等信息。這些數(shù)據(jù)雖然掌握在安全服務(wù)提供者手中，但這些數(shù)據(jù)一旦泄露，將大幅增加這些企業(yè)的網(wǎng)絡(luò)安全風(fēng)險。因此從國家層面來說，這些數(shù)據(jù)肯定屬于“重要數(shù)據(jù)”，哪怕這些數(shù)據(jù)掌握在企業(yè)手中。

　　綜上來說，判定重要數(shù)據(jù)，應(yīng)放棄從“誰掌握數(shù)據(jù)”來著手（即“自下而上”的數(shù)據(jù)分類），而是從數(shù)據(jù)可能影響的價值、利益來判斷；而全面判斷數(shù)據(jù)可能影響的各種價值和利益，顯然需要超越組織內(nèi)部視角，需要國家“自上而下”地做出決斷。因此，由中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)建立的國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制，將來把哪些類型的數(shù)據(jù)納入重要數(shù)據(jù)目錄之中，持有或掌握這些數(shù)據(jù)的組織就需要按照國家規(guī)定，“對列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)”。

　　數(shù)據(jù)分類分級的國際競爭意義

　　前述圍繞著“自上而下”的數(shù)據(jù)分類分級和重要數(shù)據(jù)的分析顯示，由于數(shù)據(jù)安全保護(hù)存在顯著的“外部性”效應(yīng)，因此國家對數(shù)據(jù)安全保護(hù)具有獨(dú)立于組織、個人的利益，且該利益訴求在國際競爭的壓力下越來越凸顯。

　　著名的《外交事務(wù)》雜志在2021年第3期發(fā)表了一篇在國內(nèi)廣為傳播的文章——《數(shù)據(jù)即是權(quán)力》。兩位作者直言：“與全球經(jīng)濟(jì)的其他要素相比，數(shù)據(jù)與權(quán)力更緊密地交織在一起。作為創(chuàng)新的一個日益必要的投入，國際貿(mào)易的一個迅速擴(kuò)大的元素，企業(yè)成功的一個重要因素，以及國家安全的一個重要層面，數(shù)據(jù)為所有擁有它的人提供了難以置信的優(yōu)勢。它也很容易被濫用。尋求反競爭優(yōu)勢（anticompetitive advantages）的國家和公司試圖控制數(shù)據(jù)。那些希望破壞自由和隱私的人也是如此?！边@段話非常清晰、全面地勾勒出數(shù)據(jù)安全保護(hù)對于國家間競爭至關(guān)重要的意義。

　　美國占據(jù)技術(shù)先發(fā)優(yōu)勢，有著強(qiáng)大的產(chǎn)業(yè)基礎(chǔ)和服務(wù)貿(mào)易量。全球運(yùn)營的美國企業(yè)成為美國數(shù)據(jù)立法的重要關(guān)切和杠桿因素，并據(jù)此實(shí)現(xiàn)管轄范圍的擴(kuò)張。美國數(shù)據(jù)主權(quán)戰(zhàn)略基本上圍繞著如何增強(qiáng)本國企業(yè)獲得和控制企業(yè)的能力。一直以來，歐盟互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展相對落后于美國和我國，產(chǎn)業(yè)能力、基礎(chǔ)設(shè)施、代表性企業(yè)相對有限，歐盟企業(yè)事實(shí)上處于數(shù)據(jù)弱勢地位，歐盟在數(shù)字經(jīng)濟(jì)中的份額也與其自身的經(jīng)濟(jì)體量存在較大差距。

　　但近年歐盟轉(zhuǎn)換了視角，以整個歐盟市場作為政策施力點(diǎn)，要求所有面向歐盟提供產(chǎn)品或服務(wù)的實(shí)體（無論是否在歐盟境內(nèi)有機(jī)構(gòu)存在）均應(yīng)當(dāng)接受歐盟的管轄，實(shí)現(xiàn)對掌握歐盟數(shù)據(jù)的跨國公司的有效規(guī)制。此外，歐盟高水平的數(shù)據(jù)保護(hù)規(guī)則極大地抬高了數(shù)據(jù)從歐盟流出的門檻，配合歐盟積極推動的“單一數(shù)字市場”和“歐洲數(shù)據(jù)空間”，歐盟走出了符合自身利益發(fā)展的數(shù)據(jù)戰(zhàn)略，事實(shí)上擴(kuò)張了歐盟對全球網(wǎng)絡(luò)空間中數(shù)據(jù)的掌控能力。

　　從目前《數(shù)據(jù)安全法》《個人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等法律法規(guī)來看，我國并未提出系統(tǒng)性的符合國家主權(quán)、安全和發(fā)展利益的數(shù)據(jù)主權(quán)戰(zhàn)略，更多的還是應(yīng)對或?qū)姑罋W“擴(kuò)張式”的數(shù)據(jù)權(quán)力為主。例如，《數(shù)據(jù)安全法》《個人信息保護(hù)法》均有阻斷外國“長臂”數(shù)據(jù)執(zhí)法跨境調(diào)取的條款。為應(yīng)對外國在出口管制、投資審查等領(lǐng)域中關(guān)于數(shù)據(jù)且針對我國的各種歧視性、限制性措施，《數(shù)據(jù)安全法》《個人信息保護(hù)法》同樣有類似的應(yīng)對性條款。在激烈的國際競爭中，我國理應(yīng)配備法律工具來應(yīng)對來自外國的壓力，但在防守之余，我國可以在對外發(fā)展方面有所謀劃。

　　“自上而下”的數(shù)據(jù)分類分級和重要數(shù)據(jù)，雖然主要服務(wù)于境內(nèi)的數(shù)據(jù)安全管理工作需要，但其能在構(gòu)建我國“外向型”數(shù)據(jù)主權(quán)戰(zhàn)略之中發(fā)揮重要作用。本節(jié)提出三個方面的設(shè)想拋磚引玉。

　　其一，數(shù)據(jù)分類分級本身不是最終目的，對不同類別和級別的數(shù)據(jù)配適不同的安全保護(hù)規(guī)則，才是分類分級的落腳點(diǎn)。因此，對于國家主權(quán)、安全和發(fā)展利益至關(guān)重要的數(shù)據(jù)，可以通過分類分級和列入《數(shù)據(jù)安全法》提出的“重要數(shù)據(jù)目錄”中，輔以更高要求的安全保護(hù)規(guī)則，包括數(shù)據(jù)跨境流動規(guī)則，以此實(shí)現(xiàn)對重要的數(shù)據(jù)要素的控制。

　　其二，在目前已經(jīng)開展的自貿(mào)區(qū)試驗(yàn)中，出于實(shí)現(xiàn)更高水平的開放和融合的目標(biāo)，賦予部分自貿(mào)試驗(yàn)區(qū)根據(jù)自身的產(chǎn)業(yè)結(jié)構(gòu)、主要的商貿(mào)目的地、技術(shù)合作對象等因素，動態(tài)調(diào)整國家層面出臺的“重要數(shù)據(jù)目錄”的權(quán)力。通過便利的數(shù)據(jù)跨境規(guī)則，再發(fā)揮人才、資金等方面的優(yōu)勢因素，取得特色產(chǎn)業(yè)集中落地的效果。例如，北京和海南政治經(jīng)濟(jì)特點(diǎn)不同，北京的“兩區(qū)建設(shè)”24和海南“自貿(mào)島”建設(shè)完全可以因地制宜地實(shí)施不同的“重要數(shù)據(jù)目錄”。

　　其三，為服務(wù)我國“一帶一路”戰(zhàn)略的實(shí)施，我國可以基于“一帶一路”國家的實(shí)際情況，根據(jù)政治外交、商貿(mào)合作、人文交流等因素，制定面向不同國家的“重要數(shù)據(jù)目錄”，有針對性地調(diào)適數(shù)據(jù)出境的范圍寬窄和出境規(guī)則的松緊，以此取得對外合作的戰(zhàn)略目標(biāo)。

　　結(jié)語

　　《數(shù)據(jù)安全法》改變了我國數(shù)據(jù)分類分級工作的基本范式。“自下而上”的數(shù)據(jù)安全治理已不能完全滿足數(shù)據(jù)種類數(shù)據(jù)量、分析技術(shù)、商業(yè)模式等爆炸性發(fā)展所衍生的新安全風(fēng)險?！白陨隙隆钡臄?shù)據(jù)分類分級能夠使組織有效地吸收其數(shù)據(jù)處理行為所產(chǎn)生的負(fù)面外部性。在法律層面，我國已經(jīng)確立了個人信息和重要數(shù)據(jù)的基本分類。任何處理數(shù)據(jù)的組織應(yīng)當(dāng)高度關(guān)注國家制定的“重要數(shù)據(jù)目錄”，相應(yīng)地調(diào)整組織內(nèi)部對數(shù)據(jù)分類分級的實(shí)踐，并根據(jù)國家制定的個人信息和重要數(shù)據(jù)安全保護(hù)規(guī)則，更新組織所采用的安全保護(hù)措施。

　　從統(tǒng)籌安全和發(fā)展的角度來看，一方面，我國在開展數(shù)據(jù)分類分級工作和制定重要數(shù)據(jù)目錄，應(yīng)當(dāng)秉持科學(xué)、客觀、動態(tài)的原則，避免將過多的數(shù)據(jù)納入重要數(shù)據(jù)的保護(hù)范圍之中。另一方面，為更好地參與到數(shù)據(jù)資源的國際競爭之中，我國還可以靈活地使用數(shù)據(jù)分類分級和重要數(shù)據(jù)目的等政策工具，實(shí)施因地制宜的數(shù)據(jù)流動策略，使我國的主權(quán)、安全和發(fā)展利益最大化。