数安条例百问7、8：关于数据分类分级保护制度和管理

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

解读
数据分类分级保护是我国数据安全的重要制度，由《数据安全法》第二十一条确定。法律规定，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。
  
《数据安全法》在2021年9月1日实施以来，各方面对数据分类分级保护制度的内容非常关心。为了落实法律要求、推动数据安全重要制度的落地，《条例》第五条对数据分类分级保护制度作了展开。
  
一、关于分级
  
《条例》规定，数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。这意味着，国家将数据分为三级，分别为一般数据、重要数据和核心数据。分级的依据是数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，分级的目的是指导对不同级别的数据采取不同的保护措施。
  
《条例》在“附则”中对重要数据和核心数据作了定义。此前，作为上位法的《数据安全法》已经在第二十一条给出了核心数据定义（但没有给出重要数据定义），《条例》对核心数据的定义与《数据安全法》相一致。
  
二、关于分类
  
《条例》没有给出明确的数据分类。
  
那么，如何理解既然要求“国家建立数据分类分级保护制度”，而《条例》又没有给出数据分类呢？
  
这需要追溯数据分类和分级的目的。分级是为了厘清保护重点，不同级别的数据需要实施不同的保护，国家的监管力度也不一样。《条例》将数据分为三级，并对重要数据提出保护要求，便体现了这一思路。
  
分类则是人类认识世界、分辨客观事物的一种思维活动和基本方法，也是管理客观事物的前提条件。当数据成为一种高价值资源后，自然出现了对数据的分类管理需求。但需要注意，由于数据分类是同管理需求密切相关的，所以分类可以有很多不同的维度。即与数据分级关注对国家安全、公共利益或者个人、组织合法权益的影响，因而有确定性的级别不同（即使级别可以有多个，但分级的维度是唯一的），数据分类方法则可以有多套，这与具体的管理目标相关。
  
在实践中，管理目标本身可以有很多种，因而必然导致数据分类方法各异。例如从个人信息保护角度，可以分为个人信息和非个人信息；从数据开发利用和规范使用的角度，可以分为公共数据和非公共数据；从行业监管角度，可以按行业进行分类，例如电信、交通、能源、金融等。即使在国家层面上，也很难将管理目标确定为唯一的一种或几种，这导致在法律法规中很难明确一种或几种数据分类方法。
  
特别是，在一个关于安全的法律法规中，主要关注点是对不同级别数据提出不同的保护要求，而不同类别的数据并不必然带来不同的保护要求，很多时候和安全并没有必然关系。
  
以上原因，导致《条例》最终并没有对数据分类作出规定。
  
更准确地说，数据分类是数据治理的前提条件，是一种数据治理的方法和思路，不代表着在顶层进行统一分类或分级。《数据安全法》和《条例》提出数据分类分级保护制度的初衷，是要求在数据治理中，对数据进行分类管理和分级保护。这是一种方法学，与其说《数据安全法》和《条例》对数据划分了类别和级别，不如说它们是要求在数据治理中贯彻分类分级方法学。分类方法不统一也没必要统一，各行业和各组织根据具体情况自行确定，分级则可以在国家确定的几个基本级别下，根据需要作进一步细分。
  
三、关于保护
  
《条例》虽然分别列出了“个人信息保护”和“重要数据安全”两章，但就保护制度的完整性而言，两者有很大不同。
  
个人信息保护制度主要通过《个人信息保护法》建立，《条例》只是补充。而《数据安全法》并未对重要数据安全作出体系性规定，只是略有提及，完整的重要数据保护制度最终是通过《条例》建立的。当然，这也解释了为什么《条例》中大量条款针对的是重要数据保护。
  
至于一般数据保护，《条例》除了在第二章作出“一般规定”（适用于《条例》实施范围内的所有数据处理者）外，没有提出特别要求。
  
而对核心数据保护，《条例》也没有提出特别要求。那么，既然核心数据需要更加严格的保护，则保护要求到哪里查询呢？这将在今后通过另外的文件规定。《条例》的“附则”指出，核心数据保护按照国家有关规定执行。
  
目前，社会上有一种疑问：《条例》没有提出数据分类，只是把数据分为一般、重要、核心三级，但又在第五条提出“国家对个人信息和重要数据进行重点保护”，那么“个人信息”算什么？它是类别还是级别？它是重要数据的一种吗？这是个应该深入思考的问题，很有可能需要《条例》今后作澄清。

  
对应条款
第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

解读
数据分类分级有宏观、中观、微观之分。

宏观如前所述，国家层面的数据分类方法可以不统一，法律法规中可以不作具体类别规定，分级方法则按一般数据、重要数据、核心数据实施。
  
中观指行业管理层面。各个行业可以根据具体的行业监管需求，自行对数据进行分类。例如交通行业可以在公路、铁路、民航等类别下进一步划分更细的类别，这完全与行业管理目标有关。至于分级，各个行业可以在一般数据、重要数据、核心数据下作进一步细分。但无论如何细分，都应该满足法律法规对不同级别数据的基本要求。
  
可以举出很多“中观”的分类分级例子。例如，2018年9月，证监会印发《证券期货业数据分类分级指引》；2020年2月，工业和信息化部印发《工业数据分类分级指南（试行）》；2020年9月，金融行业标准《金融数据安全 数据安全分级指南》正式实施。除此之外，我国很多部门印发的数据安全或数据管理文件中，也多次涉及全行业内的数据分级或分类要求，如《关于规范卫星导航定位基准站数据密级划分和管理的通知》《重要地理信息数据管理》《科学数据管理办法》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《气象探测资料汇交管理办法》等。需要指出，由于《条例》刚刚征求意见，各行业已有的分级要求如未按“一般、重要、核心”作基本分级的，应当作必要修改，以便与《条例》保持一致。
  
微观指组织层面。这是网络安全防护体系中的一种数据保护措施，不是制度安排。在网络安全建设中，“数据分类分级”指网络运营者应当对其拥有的数据形成明确的分类清单，并根据敏感程度对数据进行分级，分别采取不同的保护手段。此类要求已存在几十年之久，业内大量的“数据分类分级解决方案”也均属于此范畴。因此，这一层面的“数据分类分级”不是政府部门的监管制度，也很难产生统一的标准，实施分类分级的主体往往是各个组织自身。
  
2017年6月1日实施的《网络安全法》第二十一条要求，网络运营者应当采取数据分类、重要数据备份和加密等措施。由此可见，数据分类不过是若干种数据保护手段之一，且由于数据的多样化，国家并没有为网络运营者制定数据分类标准。此后，为了落实《网络安全法》，一些行业主管部门陆续提出了本系统、本行业的数据分类分级要求，但依然属于组织层面的安全防护措施，并不是以“国家”或“部门”作为主体对数据进行分类分级。例如，2019年6月1日实施的《证券基金经营机构信息技术管理办法》第三十条规定，证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级，并根据不同类别和级别作出差异化数据管理制度安排。
  
可以这样理解，《条例》第五条提到的“分类分级要求”指贯彻分类方法学要求和对一般数据、重要数据、核心数据的分级要求。“进行分类分级管理”指中观和微观的数据分类分级保护措施。

【下期预告】
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？

  总编辑|小贝