對(duì)數(shù)據(jù)分類(lèi)分級(jí)，是開(kāi)展數(shù)據(jù)安全治理的起始點(diǎn)。目前，在我國(guó)網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)的法律法規(guī)中，數(shù)據(jù)分類(lèi)分級(jí)的要求多有體現(xiàn)，但基本上這些分類(lèi)分級(jí)的思路和方案均站在組織內(nèi)部的視角，目的是提升組織的數(shù)據(jù)安全管理能力和水平。本文將之稱(chēng)為“自下而上”的數(shù)據(jù)分類(lèi)分級(jí)。而《數(shù)據(jù)安全法》創(chuàng)造性地提出了“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)路徑，其第21條規(guī)定“國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度”，其重要意義可以與《網(wǎng)絡(luò)安全法》第21條的“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”做類(lèi)比。本文分析此項(xiàng)制度設(shè)計(jì)的背景和邏輯，以及其對(duì)數(shù)據(jù)主權(quán)國(guó)際競(jìng)爭(zhēng)加劇態(tài)勢(shì)下的重大影響和意義。

　　目次

　　一、現(xiàn)有數(shù)據(jù)分類(lèi)分級(jí)的保護(hù)路徑

　　二、《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)的制度設(shè)計(jì)

　　三、數(shù)據(jù)分類(lèi)分級(jí)的國(guó)際競(jìng)爭(zhēng)意義

　　四、結(jié)語(yǔ)

　　本文來(lái)源為《中國(guó)法律評(píng)論》2021年第5期專(zhuān)論（第71-78頁(yè)），原文10000余字，為閱讀方便，腳注從略。如需引用，可參閱原文。

　　在網(wǎng)絡(luò)安全領(lǐng)域，對(duì)數(shù)字資產(chǎn)（包括信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)等）的安全保護(hù)，起始于對(duì)數(shù)字資產(chǎn)的分類(lèi)分級(jí)。將數(shù)字資產(chǎn)劃分成不同的類(lèi)別和不同的級(jí)別，就能相應(yīng)地確定與類(lèi)別和級(jí)別匹配的安全保護(hù)水平和措施。在我國(guó)，分類(lèi)分級(jí)的思想最早貫徹于網(wǎng)絡(luò)和信息系統(tǒng)的安全治理工作之中。在《網(wǎng)絡(luò)安全法》生效之前，我國(guó)將“信息安全等級(jí)保護(hù)制度”作為國(guó)家信息安全保障體系中的“一項(xiàng)基本制度”。“信息安全等級(jí)保護(hù)制度”是指“對(duì)國(guó)家秘密信息、法人和其他組織及公民的專(zhuān)有信息以及公開(kāi)信息和存儲(chǔ)、傳輸、處理這些信息的信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù)，對(duì)信息系統(tǒng)中使用的信息安全產(chǎn)品實(shí)行按等級(jí)管理，對(duì)信息系統(tǒng)中發(fā)生的信息安全事件分等級(jí)響應(yīng)、處置。”

　　2017年《網(wǎng)絡(luò)安全法》開(kāi)始實(shí)施，其將網(wǎng)絡(luò)運(yùn)營(yíng)者劃分為一般的網(wǎng)絡(luò)運(yùn)營(yíng)者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者兩大類(lèi)。后者為“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等”，前者即是“網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者”中的非關(guān)鍵信息基礎(chǔ)設(shè)施的其他運(yùn)營(yíng)者。

　　同時(shí)對(duì)于所有的網(wǎng)絡(luò)運(yùn)營(yíng)者，《網(wǎng)絡(luò)安全法》將“信息安全等級(jí)保護(hù)制度”升級(jí)為“網(wǎng)絡(luò)安全等級(jí)保護(hù)制度”。該制度“根據(jù)等級(jí)保護(hù)對(duì)象在國(guó)家安全、經(jīng)濟(jì)建設(shè)、社會(huì)生活中的重要程度，以及一旦遭到破壞、喪失功能或者數(shù)據(jù)被篡改、泄露、丟失、損毀后，對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益的侵害程度等因素”，將其劃分為五個(gè)級(jí)別。不同級(jí)別的等級(jí)保護(hù)對(duì)象應(yīng)具備不同的基本安全保護(hù)能力。

　　相對(duì)于對(duì)網(wǎng)絡(luò)和信息系統(tǒng)的分類(lèi)分級(jí)，我國(guó)從安全保護(hù)角度對(duì)數(shù)據(jù)的分類(lèi)分級(jí)要求比較新。《網(wǎng)絡(luò)安全法》第21條規(guī)定，網(wǎng)絡(luò)運(yùn)營(yíng)者為“防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”應(yīng)當(dāng)履行的最基本的安全保護(hù)義務(wù)之一，即“采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施”。此后主管監(jiān)管部門(mén)發(fā)布的相關(guān)規(guī)定，對(duì)數(shù)據(jù)分類(lèi)分級(jí)也做出了要求。

　　2021年9月1日生效的《數(shù)據(jù)安全法》，對(duì)數(shù)據(jù)分類(lèi)分級(jí)作出了專(zhuān)門(mén)規(guī)定，提出：“國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類(lèi)分級(jí)保護(hù)。

　　國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。”全國(guó)人大常委會(huì)法制工作委員會(huì)對(duì)《數(shù)據(jù)安全法》的立法說(shuō)明中，將數(shù)據(jù)分類(lèi)分級(jí)管理制度作為國(guó)家數(shù)據(jù)安全管理制度和體系中的首要制度。

　　仔細(xì)分析《數(shù)據(jù)安全法》和《網(wǎng)絡(luò)安全法》中對(duì)數(shù)據(jù)分類(lèi)分級(jí)的規(guī)定，可以發(fā)現(xiàn)一個(gè)顯著的區(qū)別：《網(wǎng)絡(luò)安全法》中開(kāi)展數(shù)據(jù)分類(lèi)工作的主體是網(wǎng)絡(luò)運(yùn)營(yíng)者；在《數(shù)據(jù)安全法》中，數(shù)據(jù)分類(lèi)分級(jí)的主體卻是國(guó)家。本文認(rèn)為，數(shù)據(jù)分類(lèi)分級(jí)工作的主體不同，蘊(yùn)含著對(duì)數(shù)據(jù)安全保護(hù)思路和工作路徑的重大變化，凸顯了國(guó)家對(duì)數(shù)據(jù)作為基礎(chǔ)性戰(zhàn)略資源的認(rèn)識(shí)和管理思路的升級(jí)，更是服務(wù)于數(shù)據(jù)主權(quán)的國(guó)際競(jìng)爭(zhēng)。

　　本文的內(nèi)容安排如下：第一部分是對(duì)現(xiàn)有數(shù)據(jù)分類(lèi)分級(jí)保護(hù)路徑的梳理和分析；第二部分解析《數(shù)據(jù)安全法》數(shù)據(jù)分類(lèi)分級(jí)保護(hù)的制度設(shè)計(jì)，并對(duì)《數(shù)據(jù)安全法》中提出的重要數(shù)據(jù)和核心數(shù)據(jù)做出解構(gòu)和重構(gòu)；第三部分闡釋數(shù)據(jù)分類(lèi)分級(jí)安全管理制度在國(guó)際競(jìng)爭(zhēng)方面的重大意義；最后，本文嘗試對(duì)數(shù)據(jù)分類(lèi)分級(jí)工作落地實(shí)施提出建議。

　　現(xiàn)有數(shù)據(jù)分類(lèi)分級(jí)的保護(hù)路徑

　　無(wú)論是現(xiàn)行的法律、行政法規(guī)還是部門(mén)規(guī)章，都僅僅止步于提出數(shù)據(jù)分類(lèi)分級(jí)的要求，并沒(méi)有對(duì)如何分類(lèi)分級(jí)提出進(jìn)一步的方案。

　　例如在行政法規(guī)層面，國(guó)務(wù)院2018年3月發(fā)布的《科學(xué)數(shù)據(jù)管理辦法》第10條規(guī)定：“科學(xué)數(shù)據(jù)中心負(fù)責(zé)科學(xué)數(shù)據(jù)的分級(jí)分類(lèi)”；第20條規(guī)定“法人單位要對(duì)科學(xué)數(shù)據(jù)進(jìn)行分級(jí)分類(lèi)，明確科學(xué)數(shù)據(jù)的密級(jí)和保密期限、開(kāi)放條件、開(kāi)放對(duì)象和審核程序等”。

　　在部門(mén)規(guī)章或規(guī)范性文件層面，例如中國(guó)證券監(jiān)督管理委員會(huì)2019年6月實(shí)施的《證券基金經(jīng)營(yíng)機(jī)構(gòu)信息技術(shù)管理辦法》第30條規(guī)定：“證券基金經(jīng)營(yíng)機(jī)構(gòu)應(yīng)當(dāng)將經(jīng)營(yíng)及客戶(hù)數(shù)據(jù)按照重要性和敏感性進(jìn)行分類(lèi)分級(jí)，并根據(jù)不同類(lèi)別和級(jí)別作出差異化數(shù)據(jù)管理制度安排。”中國(guó)銀保監(jiān)會(huì)辦公廳2019年5月發(fā)布的《關(guān)于開(kāi)展銀行業(yè)和保險(xiǎn)業(yè)網(wǎng)絡(luò)安全專(zhuān)項(xiàng)治理工作的通知》規(guī)定：銀行業(yè)和保險(xiǎn)業(yè)機(jī)構(gòu)應(yīng)當(dāng)“強(qiáng)化客戶(hù)信息保護(hù)。要制定數(shù)據(jù)安全分類(lèi)分級(jí)標(biāo)準(zhǔn)，構(gòu)建覆蓋客戶(hù)信息全生命周期的保護(hù)體系，防范數(shù)據(jù)被竊取”。工業(yè)和信息化部辦公廳2019年6月印發(fā)的《電信和互聯(lián)網(wǎng)行業(yè)提升網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)能力專(zhuān)項(xiàng)行動(dòng)方案》規(guī)定，電信和互聯(lián)網(wǎng)行業(yè)應(yīng)“加快建立網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全事件通報(bào)處置、數(shù)據(jù)對(duì)外提供使用報(bào)告等制度”。

　　在國(guó)家部委發(fā)布的指引性文件，或者國(guó)家和行業(yè)標(biāo)準(zhǔn)層面，可以看到一些嘗試或方案。工業(yè)和信息化部2020年2月印發(fā)的《工業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南（試行）》中，提出了對(duì)工業(yè)數(shù)據(jù)的分類(lèi)和分級(jí)標(biāo)準(zhǔn)。該指南第5條提出：“工業(yè)企業(yè)結(jié)合生產(chǎn)制造模式、平臺(tái)企業(yè)結(jié)合服務(wù)運(yùn)營(yíng)模式，分析梳理業(yè)務(wù)流程和系統(tǒng)設(shè)備，考慮行業(yè)要求、業(yè)務(wù)規(guī)模、數(shù)據(jù)復(fù)雜程度等實(shí)際情況，對(duì)工業(yè)數(shù)據(jù)進(jìn)行分類(lèi)梳理和標(biāo)識(shí)，形成企業(yè)工業(yè)數(shù)據(jù)分類(lèi)清單。”

　　沿著第5條，該指南在第6條中給出了工業(yè)企業(yè)的數(shù)據(jù)分類(lèi)范例：“工業(yè)企業(yè)工業(yè)數(shù)據(jù)分類(lèi)維度包括但不限于研發(fā)數(shù)據(jù)域（研發(fā)設(shè)計(jì)數(shù)據(jù)、開(kāi)發(fā)測(cè)試數(shù)據(jù)等）、生產(chǎn)數(shù)據(jù)域（控制信息、工況狀態(tài)、工藝參數(shù)、系統(tǒng)日志等）、運(yùn)維數(shù)據(jù)域（物流數(shù)據(jù)、產(chǎn)品售后服務(wù)數(shù)據(jù)等）、管理數(shù)據(jù)域（系統(tǒng)設(shè)備資產(chǎn)信息、客戶(hù)與產(chǎn)品信息、產(chǎn)品供應(yīng)鏈數(shù)據(jù)、業(yè)務(wù)統(tǒng)計(jì)數(shù)據(jù)等）、外部數(shù)據(jù)域（與其他主體共享的數(shù)據(jù)等）。”至于數(shù)據(jù)分級(jí)，該指南根據(jù)數(shù)據(jù)發(fā)生“篡改、破壞、泄露或非法利用”后造成的危害——“可能對(duì)工業(yè)生產(chǎn)、經(jīng)濟(jì)效益等帶來(lái)的潛在影響”作為數(shù)據(jù)分級(jí)的標(biāo)準(zhǔn)，將數(shù)據(jù)分為三級(jí)。

　　同樣，證監(jiān)會(huì)于2018年9月正式公布實(shí)施《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》。該指引第6.4條要求：“本標(biāo)準(zhǔn)推薦的分類(lèi)分級(jí)方法，從業(yè)務(wù)條線(xiàn)出發(fā)，首先對(duì)業(yè)務(wù)細(xì)分，其次對(duì)數(shù)據(jù)細(xì)分，形成從總到分的樹(shù)形邏輯體系結(jié)構(gòu)，最后，對(duì)分類(lèi)后的數(shù)據(jù)確定級(jí)別；同時(shí)，推薦考慮確定數(shù)據(jù)形態(tài)……”具體來(lái)說(shuō)，數(shù)據(jù)分類(lèi)“依據(jù)自身業(yè)務(wù)特點(diǎn)對(duì)產(chǎn)生、采集、加工、使用或管理的數(shù)據(jù)進(jìn)行分類(lèi)”。數(shù)據(jù)分級(jí)“是以數(shù)據(jù)分類(lèi)為基礎(chǔ)，采用規(guī)范、明確的方法區(qū)分?jǐn)?shù)據(jù)的重要性和敏感度差異，并確定數(shù)據(jù)級(jí)別”。

　　秉持類(lèi)似思路的還有2020年2月中國(guó)人民銀行正式發(fā)布的《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》（JR/T0171—2020）。在這些嘗試或方案中，數(shù)據(jù)分類(lèi)采取的路徑主要是一種“實(shí)然”（“是什么就是什么”）路徑。此種路徑的基本思路是不改變企業(yè)實(shí)際如何組織生產(chǎn)的方式和流程，且客觀描述在這個(gè)方式和流程中所收集、產(chǎn)生出的數(shù)據(jù)類(lèi)型。在完成數(shù)據(jù)分類(lèi)的前提下，根據(jù)“后果”路徑，來(lái)對(duì)數(shù)據(jù)進(jìn)行分級(jí)。此種路徑的基本思路是根據(jù)某類(lèi)數(shù)據(jù)的安全屬性（完整性、保密性、可用性）遭到破壞后的影響對(duì)象、影響范圍、影響程度，對(duì)數(shù)據(jù)進(jìn)行定級(jí)。一般來(lái)說(shuō)，有分為三級(jí)的，也有分為四級(jí)的。本文將上述思路統(tǒng)稱(chēng)為“自下而上”的數(shù)據(jù)分類(lèi)分級(jí)。

　　目前部委指導(dǎo)性文件和標(biāo)準(zhǔn)所提出的數(shù)據(jù)分類(lèi)分級(jí)路徑，給企業(yè)內(nèi)部開(kāi)展數(shù)據(jù)治理提供了很好的思路。如果企業(yè)能按照上述路徑開(kāi)展分類(lèi)分級(jí)工作，就能夠?qū)ζ渌莆盏臄?shù)據(jù)建立管理目錄，并對(duì)目錄里面的數(shù)據(jù)進(jìn)行“差序有致”的管理，最終達(dá)到對(duì)數(shù)據(jù)資產(chǎn)的高效利用和有效保護(hù)。

　　正如《證券期貨業(yè)數(shù)據(jù)分類(lèi)分級(jí)指引》對(duì)數(shù)據(jù)分類(lèi)分級(jí)的闡釋?zhuān)骸皵?shù)據(jù)分類(lèi)是數(shù)據(jù)保護(hù)工作中的一個(gè)關(guān)鍵部分，是建立統(tǒng)一、準(zhǔn)確、完善的數(shù)據(jù)架構(gòu)的基礎(chǔ)，是實(shí)現(xiàn)集中化、專(zhuān)業(yè)化、標(biāo)準(zhǔn)化數(shù)據(jù)管理的基礎(chǔ)。行業(yè)機(jī)構(gòu)按照統(tǒng)一的數(shù)據(jù)分類(lèi)方法，依據(jù)自身業(yè)務(wù)特點(diǎn)對(duì)產(chǎn)生、采集、加工、使用或管理的數(shù)據(jù)進(jìn)行分類(lèi)，可以全面清晰地厘清數(shù)據(jù)資產(chǎn)，對(duì)數(shù)據(jù)資產(chǎn)實(shí)現(xiàn)規(guī)范化管理，并有利于數(shù)據(jù)的維護(hù)和擴(kuò)充。數(shù)據(jù)分類(lèi)為數(shù)據(jù)分級(jí)管理奠定基礎(chǔ)”，“數(shù)據(jù)分級(jí)有助于行業(yè)機(jī)構(gòu)根據(jù)數(shù)據(jù)不同級(jí)別，確定數(shù)據(jù)在其生命周期的各個(gè)環(huán)節(jié)應(yīng)采取的數(shù)據(jù)安全防護(hù)策略和管控措施，進(jìn)而提高機(jī)構(gòu)的數(shù)據(jù)管理和安全防護(hù)水平，確保數(shù)據(jù)的完整性、保密性和可用性”。

　　采取“自下而上”的數(shù)據(jù)分類(lèi)分級(jí)，本質(zhì)上是站在組織的內(nèi)部視角來(lái)看數(shù)據(jù)分類(lèi)分級(jí)，目的是防止組織的資產(chǎn)和權(quán)益因?yàn)閿?shù)據(jù)安全事件而受損。這種“自下而上”的數(shù)據(jù)分類(lèi)分級(jí)模式有三個(gè)問(wèn)題。第一個(gè)問(wèn)題是，對(duì)數(shù)據(jù)提供何種保護(hù)水平僅僅由組織自行決定。以個(gè)人信息保護(hù)為例，組織出于自身的利益保護(hù)，普遍會(huì)將個(gè)人信息賦予高水平的保護(hù)，但其主要考慮的是防止因個(gè)人信息保護(hù)不利而導(dǎo)致的企業(yè)名譽(yù)、監(jiān)管、司法等方面的風(fēng)險(xiǎn)，但對(duì)個(gè)人信息充分利用的考量（包括分析、與第三方共享、在生態(tài)內(nèi)流轉(zhuǎn)、向境外傳輸?shù)龋┦冀K占據(jù)優(yōu)先級(jí)。因此其對(duì)個(gè)人信息保護(hù)的水平并不一定達(dá)到組織外部的個(gè)人、社會(huì)、監(jiān)管部門(mén)所期待的水平。

　　第二個(gè)問(wèn)題是，很多情況下，掌握在企業(yè)手中的數(shù)據(jù)對(duì)國(guó)家、社會(huì)、個(gè)人的價(jià)值，要比對(duì)企業(yè)來(lái)說(shuō)價(jià)值更高；或者說(shuō)，一旦出現(xiàn)安全事件，對(duì)國(guó)家、社會(huì)、個(gè)人造成的危害可能比對(duì)企業(yè)利益的危害更大。例如劍橋分析事件中，F(xiàn)acebook疏于對(duì)第三方小程序的管理，導(dǎo)致8700萬(wàn)個(gè)人的數(shù)據(jù)被非法用于政治選舉目的，包括影響脫歐公投和美國(guó)總統(tǒng)大選等。

　　這就出現(xiàn)了一個(gè)所謂的“外部性”問(wèn)題。外部性又稱(chēng)為外溢效應(yīng)，指一個(gè)人或一群人的行動(dòng)和決策使另一個(gè)人或另一群人受損或受益的情況。顯然，目前站在組織內(nèi)部角度的“自下而上”的數(shù)據(jù)分類(lèi)分級(jí)，并不能很好地解決數(shù)據(jù)安全管理中的“外部性”問(wèn)題。因此，為了督促或監(jiān)督企業(yè)切實(shí)負(fù)起數(shù)據(jù)安全責(zé)任，同時(shí)對(duì)某些“外部性”很強(qiáng)的數(shù)據(jù)類(lèi)型給予更高水平的安全保護(hù)，就需要國(guó)家站在組織的外部，要求組織對(duì)具體的、特定的數(shù)據(jù)類(lèi)別，比其單純從自身角度出發(fā)所意愿供給的安全水平提供更高水平的保護(hù)。

　　“自下而上”的數(shù)據(jù)分類(lèi)分級(jí)的第三個(gè)問(wèn)題是，目前的部委指導(dǎo)性文件和標(biāo)準(zhǔn)所提出的數(shù)據(jù)分類(lèi)分級(jí)路徑，在單個(gè)行業(yè)、單個(gè)組織的內(nèi)部可以適用，但是對(duì)于面對(duì)不同行業(yè)的眾多組織的主管監(jiān)管部門(mén)來(lái)說(shuō)，不具備互操作性，即一個(gè)組織的數(shù)據(jù)分類(lèi)或數(shù)據(jù)分級(jí)，很可能與另外一個(gè)組織的數(shù)據(jù)分類(lèi)和數(shù)據(jù)分級(jí)截然不同。這種情況下，數(shù)據(jù)安全主管監(jiān)管機(jī)關(guān)很可能無(wú)法開(kāi)展統(tǒng)一的管理和監(jiān)督工作，更無(wú)法判斷組織對(duì)不同類(lèi)型和級(jí)別數(shù)據(jù)采取的安全保護(hù)措施，是否能夠充分維護(hù)個(gè)人合法權(quán)益、公共利益和國(guó)家利益。

　　《數(shù)據(jù)安全法》對(duì)數(shù)據(jù)分類(lèi)分級(jí)保護(hù)的制度設(shè)計(jì)

　　在上述背景下，《數(shù)據(jù)安全法》提出的由國(guó)家而非組織來(lái)實(shí)施數(shù)據(jù)分類(lèi)分級(jí)的制度設(shè)計(jì)（本文稱(chēng)之為“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)），就能得到很好的解釋。“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)，要求國(guó)家根據(jù)數(shù)據(jù)對(duì)國(guó)家、社會(huì)的價(jià)值（“數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度”）以及出現(xiàn)安全事件后造成的危害后果（“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度”），來(lái)開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)的工作。在分類(lèi)分級(jí)工作完成之后，即可以強(qiáng)制性地配適不同程度的安全保護(hù)規(guī)則，目的在于要求組織吸收或內(nèi)化“外部性”效應(yīng)。

　　實(shí)際上，這種“自上而下”分類(lèi)分級(jí)路徑在數(shù)據(jù)安全之外的領(lǐng)域并不鮮見(jiàn)。例如前文提到的對(duì)網(wǎng)絡(luò)和信息系統(tǒng)，區(qū)分為一般運(yùn)營(yíng)者和關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者這兩大類(lèi)。猶如國(guó)家對(duì)勞動(dòng)人口的身份管理，國(guó)家就“自上而下”地將勞動(dòng)人口劃分為公務(wù)員、事業(yè)單位人員、企業(yè)員工、務(wù)農(nóng)人員等。這樣一種站在全局視角下的相對(duì)整齊劃一的分類(lèi)，一直是國(guó)家統(tǒng)一管理的有效工具。

　　《數(shù)據(jù)安全法》實(shí)際上已經(jīng)“自上而下”地劃定了兩個(gè)主要的數(shù)據(jù)類(lèi)型：個(gè)人信息和重要數(shù)據(jù)。雖然《數(shù)據(jù)安全法》沒(méi)有界定“重要數(shù)據(jù)”這個(gè)概念，但對(duì)其做了豐富的規(guī)則設(shè)計(jì)。例如重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)（第27條）；重要數(shù)據(jù)的處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估；并向有關(guān)主管部門(mén)報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告（第30條）；關(guān)鍵信息基礎(chǔ)設(shè)施所收集和產(chǎn)生的重要數(shù)據(jù)的出境安全評(píng)估使用《網(wǎng)絡(luò)安全法》規(guī)定，其他數(shù)據(jù)處理者收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定（第31條）等。

　　而對(duì)個(gè)人信息的保護(hù)規(guī)則，《數(shù)據(jù)安全法》第53條規(guī)定，“開(kāi)展涉及個(gè)人信息的數(shù)據(jù)處理活動(dòng)，還應(yīng)當(dāng)遵守有關(guān)法律、行政法規(guī)的規(guī)定”，直接指向了《個(gè)人信息保護(hù)法》。由此，“作為數(shù)據(jù)領(lǐng)域的基礎(chǔ)性法律”的《數(shù)據(jù)安全法》初步完成了“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)中的數(shù)據(jù)分類(lèi)工作，并設(shè)計(jì)了不同類(lèi)別的數(shù)據(jù)的基本保護(hù)規(guī)則。相較于個(gè)人信息，重要數(shù)據(jù)這個(gè)概念極為新穎，因此下文將重點(diǎn)對(duì)其內(nèi)涵做出分析。

　　實(shí)際上，重要數(shù)據(jù)為《網(wǎng)絡(luò)安全法》首次提出，回顧“重要數(shù)據(jù)”的產(chǎn)生過(guò)程，可回溯到《網(wǎng)絡(luò)安全法（草案）》三讀與最終稿之間出現(xiàn)的一個(gè)微妙變化。三讀文本中使用的是“重要業(yè)務(wù)數(shù)據(jù)”，對(duì)此，可能存在兩種理解：一是認(rèn)為“業(yè)務(wù)數(shù)據(jù)”英文為“business data”，是組織機(jī)構(gòu)與外界發(fā)生業(yè)務(wù)交互（transactions）的記錄，不包括內(nèi)部運(yùn)營(yíng)數(shù)據(jù)，例如組織機(jī)構(gòu)人力資源管理方面的數(shù)據(jù)；二是認(rèn)為“業(yè)務(wù)數(shù)據(jù)”同時(shí)包括組織機(jī)構(gòu)“內(nèi)部運(yùn)作”和“外部業(yè)務(wù)交互”的數(shù)據(jù)。

　　如果最終“重要業(yè)務(wù)數(shù)據(jù)”的定義采用前者，則關(guān)鍵信息基礎(chǔ)設(shè)施里存在其他類(lèi)別的數(shù)據(jù)無(wú)需本地存儲(chǔ)；如果采用后者，則可認(rèn)為關(guān)鍵信息基礎(chǔ)設(shè)施里的所有數(shù)據(jù)都要本地存儲(chǔ)。在2016年11月7日通過(guò)的《網(wǎng)絡(luò)安全法》最終文本中，立法者刪除了“業(yè)務(wù)”兩字，體現(xiàn)了立法者最后時(shí)刻的考量和決斷。

　　在《網(wǎng)絡(luò)安全法》生效（2017年6月1日）之前，中央網(wǎng)信辦于2017年4月的《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見(jiàn)稿）》中第一次對(duì)重要數(shù)據(jù)做出界定。重要數(shù)據(jù)“是指與國(guó)家安全、經(jīng)濟(jì)發(fā)展，以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國(guó)家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南”。與其配套的國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（草案）》在附錄A中進(jìn)一步定義了重要數(shù)據(jù)。雖然上述規(guī)則和標(biāo)準(zhǔn)始終處于征求意見(jiàn)稿的狀態(tài)，但都明確了一點(diǎn)——重要數(shù)據(jù)的重要性，針對(duì)的是整體層面的利益保護(hù)，即保護(hù)國(guó)家安全、國(guó)計(jì)民生、公共利益。

　　因此，只要運(yùn)營(yíng)者的數(shù)據(jù)不涉及整體層面利益，就不屬于“重要數(shù)據(jù)”的范疇。例如，一家互聯(lián)網(wǎng)廣告公司的高層會(huì)議紀(jì)要，如果不涉及國(guó)家、公共利益，顯然不屬于“重要數(shù)據(jù)”的范疇，這樣的數(shù)據(jù)能夠自由出境；但是一家生產(chǎn)戰(zhàn)備物資的企業(yè)，其信息系統(tǒng)形成的進(jìn)出貨記錄、庫(kù)存水平等，可能就涉及國(guó)家安全事項(xiàng)，應(yīng)當(dāng)認(rèn)定其為“重要數(shù)據(jù)”，《網(wǎng)絡(luò)安全法》原則上要求境內(nèi)存儲(chǔ)。因此，從“重要業(yè)務(wù)數(shù)據(jù)”轉(zhuǎn)變?yōu)椤爸匾獢?shù)據(jù)”，說(shuō)明立法者摒棄業(yè)界熟悉的“個(gè)人數(shù)據(jù)、企業(yè)數(shù)據(jù)、國(guó)家數(shù)據(jù)”的分類(lèi)方法，進(jìn)而從數(shù)據(jù)所影響的價(jià)值著手。換句話(huà)說(shuō)，不論是個(gè)人數(shù)據(jù)還是企業(yè)數(shù)據(jù)，只要有可能危及整體層面的利益，也會(huì)被認(rèn)定為“重要數(shù)據(jù)”。因此，《網(wǎng)絡(luò)安全法》首提“重要數(shù)據(jù)”，標(biāo)志著“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)思路的雛形初現(xiàn)。

　　雖然上述規(guī)則和標(biāo)準(zhǔn)始終處于征求意見(jiàn)稿的狀態(tài)，但2021年8月國(guó)家互聯(lián)網(wǎng)信息辦公室、國(guó)家發(fā)展和改革委員會(huì)、工業(yè)和信息化部、公安部、交通運(yùn)輸部聯(lián)合頒布的《汽車(chē)數(shù)據(jù)安全管理若干規(guī)定（試行）》，沿著上述思路第一次對(duì)重要數(shù)據(jù)做出了具備法律效力的界定。其第3條規(guī)定：“重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的數(shù)據(jù)”，并在汽車(chē)領(lǐng)域?qū)χ匾獢?shù)據(jù)進(jìn)行了列舉。此外，由工信部發(fā)布并于2021年7月生效的《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南》，也將重要數(shù)據(jù)界定為“企業(yè)在運(yùn)營(yíng)中收集、產(chǎn)生、控制的不涉及國(guó)家秘密，但與國(guó)家安全、經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定，以及公共利益密切相關(guān)的數(shù)據(jù)，特別是與國(guó)家基礎(chǔ)通信網(wǎng)絡(luò)安全密切相關(guān)的數(shù)據(jù)”。

　　仔細(xì)分析上述在《數(shù)據(jù)安全法》文本發(fā)布之后出臺(tái)的關(guān)于重要數(shù)據(jù)的界定，可以發(fā)現(xiàn)重要數(shù)據(jù)并不是從組織內(nèi)部出發(fā)、基于業(yè)務(wù)的數(shù)據(jù)分類(lèi)，而是始終站在數(shù)據(jù)背后的重要價(jià)值的保護(hù)之上。在過(guò)去，“個(gè)人數(shù)據(jù)、企業(yè)數(shù)據(jù)、國(guó)家數(shù)據(jù)”的分類(lèi)存在一定的意義，因?yàn)閲?guó)家掌握的數(shù)據(jù)，往往才有可能影響到整體層面的利益。但在大數(shù)據(jù)時(shí)代，數(shù)據(jù)收集、匯聚、流轉(zhuǎn)等，大量地發(fā)生在公共部門(mén)之外，許多企業(yè)掌握著海量的數(shù)據(jù)資源。這些數(shù)據(jù)已經(jīng)具備了影響國(guó)家、公共利益的可能性。

　　例如，超大互聯(lián)網(wǎng)平臺(tái)所掌握的海量用戶(hù)信息，首先肯定是個(gè)人信息，同時(shí)也是企業(yè)擁有的數(shù)據(jù)，但是由于其規(guī)模和顆粒度均可比擬公安機(jī)關(guān)的國(guó)家人口基礎(chǔ)信息庫(kù)，準(zhǔn)確性甚至更勝一籌，因此對(duì)國(guó)家來(lái)說(shuō)，互聯(lián)網(wǎng)平臺(tái)所掌握的這樣規(guī)模的人口信息數(shù)據(jù)一旦泄露，很可能對(duì)國(guó)家安全造成嚴(yán)重危害。再如為金融、能源、交通、電信等重要行業(yè)中的大型企業(yè)提供網(wǎng)絡(luò)安全防護(hù)過(guò)程中產(chǎn)生的數(shù)據(jù)，包括系統(tǒng)架構(gòu)、安全防護(hù)計(jì)劃、策略、實(shí)施方案、漏洞等信息。這些數(shù)據(jù)雖然掌握在安全服務(wù)提供者手中，但這些數(shù)據(jù)一旦泄露，將大幅增加這些企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。因此從國(guó)家層面來(lái)說(shuō)，這些數(shù)據(jù)肯定屬于“重要數(shù)據(jù)”，哪怕這些數(shù)據(jù)掌握在企業(yè)手中。

　　綜上來(lái)說(shuō)，判定重要數(shù)據(jù)，應(yīng)放棄從“誰(shuí)掌握數(shù)據(jù)”來(lái)著手（即“自下而上”的數(shù)據(jù)分類(lèi)），而是從數(shù)據(jù)可能影響的價(jià)值、利益來(lái)判斷；而全面判斷數(shù)據(jù)可能影響的各種價(jià)值和利益，顯然需要超越組織內(nèi)部視角，需要國(guó)家“自上而下”地做出決斷。因此，由中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)負(fù)責(zé)建立的國(guó)家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制，將來(lái)把哪些類(lèi)型的數(shù)據(jù)納入重要數(shù)據(jù)目錄之中，持有或掌握這些數(shù)據(jù)的組織就需要按照國(guó)家規(guī)定，“對(duì)列入目錄的數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)”。

　　數(shù)據(jù)分類(lèi)分級(jí)的國(guó)際競(jìng)爭(zhēng)意義

　　前述圍繞著“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)和重要數(shù)據(jù)的分析顯示，由于數(shù)據(jù)安全保護(hù)存在顯著的“外部性”效應(yīng)，因此國(guó)家對(duì)數(shù)據(jù)安全保護(hù)具有獨(dú)立于組織、個(gè)人的利益，且該利益訴求在國(guó)際競(jìng)爭(zhēng)的壓力下越來(lái)越凸顯。

　　著名的《外交事務(wù)》雜志在2021年第3期發(fā)表了一篇在國(guó)內(nèi)廣為傳播的文章——《數(shù)據(jù)即是權(quán)力》。兩位作者直言：“與全球經(jīng)濟(jì)的其他要素相比，數(shù)據(jù)與權(quán)力更緊密地交織在一起。作為創(chuàng)新的一個(gè)日益必要的投入，國(guó)際貿(mào)易的一個(gè)迅速擴(kuò)大的元素，企業(yè)成功的一個(gè)重要因素，以及國(guó)家安全的一個(gè)重要層面，數(shù)據(jù)為所有擁有它的人提供了難以置信的優(yōu)勢(shì)。它也很容易被濫用。尋求反競(jìng)爭(zhēng)優(yōu)勢(shì)（anticompetitive advantages）的國(guó)家和公司試圖控制數(shù)據(jù)。那些希望破壞自由和隱私的人也是如此。”這段話(huà)非常清晰、全面地勾勒出數(shù)據(jù)安全保護(hù)對(duì)于國(guó)家間競(jìng)爭(zhēng)至關(guān)重要的意義。

　　美國(guó)占據(jù)技術(shù)先發(fā)優(yōu)勢(shì)，有著強(qiáng)大的產(chǎn)業(yè)基礎(chǔ)和服務(wù)貿(mào)易量。全球運(yùn)營(yíng)的美國(guó)企業(yè)成為美國(guó)數(shù)據(jù)立法的重要關(guān)切和杠桿因素，并據(jù)此實(shí)現(xiàn)管轄范圍的擴(kuò)張。美國(guó)數(shù)據(jù)主權(quán)戰(zhàn)略基本上圍繞著如何增強(qiáng)本國(guó)企業(yè)獲得和控制企業(yè)的能力。一直以來(lái)，歐盟互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展相對(duì)落后于美國(guó)和我國(guó)，產(chǎn)業(yè)能力、基礎(chǔ)設(shè)施、代表性企業(yè)相對(duì)有限，歐盟企業(yè)事實(shí)上處于數(shù)據(jù)弱勢(shì)地位，歐盟在數(shù)字經(jīng)濟(jì)中的份額也與其自身的經(jīng)濟(jì)體量存在較大差距。

　　但近年歐盟轉(zhuǎn)換了視角，以整個(gè)歐盟市場(chǎng)作為政策施力點(diǎn)，要求所有面向歐盟提供產(chǎn)品或服務(wù)的實(shí)體（無(wú)論是否在歐盟境內(nèi)有機(jī)構(gòu)存在）均應(yīng)當(dāng)接受歐盟的管轄，實(shí)現(xiàn)對(duì)掌握歐盟數(shù)據(jù)的跨國(guó)公司的有效規(guī)制。此外，歐盟高水平的數(shù)據(jù)保護(hù)規(guī)則極大地抬高了數(shù)據(jù)從歐盟流出的門(mén)檻，配合歐盟積極推動(dòng)的“單一數(shù)字市場(chǎng)”和“歐洲數(shù)據(jù)空間”，歐盟走出了符合自身利益發(fā)展的數(shù)據(jù)戰(zhàn)略，事實(shí)上擴(kuò)張了歐盟對(duì)全球網(wǎng)絡(luò)空間中數(shù)據(jù)的掌控能力。

　　從目前《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)安全法》等法律法規(guī)來(lái)看，我國(guó)并未提出系統(tǒng)性的符合國(guó)家主權(quán)、安全和發(fā)展利益的數(shù)據(jù)主權(quán)戰(zhàn)略，更多的還是應(yīng)對(duì)或?qū)姑罋W“擴(kuò)張式”的數(shù)據(jù)權(quán)力為主。例如，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》均有阻斷外國(guó)“長(zhǎng)臂”數(shù)據(jù)執(zhí)法跨境調(diào)取的條款。為應(yīng)對(duì)外國(guó)在出口管制、投資審查等領(lǐng)域中關(guān)于數(shù)據(jù)且針對(duì)我國(guó)的各種歧視性、限制性措施，《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》同樣有類(lèi)似的應(yīng)對(duì)性條款。在激烈的國(guó)際競(jìng)爭(zhēng)中，我國(guó)理應(yīng)配備法律工具來(lái)應(yīng)對(duì)來(lái)自外國(guó)的壓力，但在防守之余，我國(guó)可以在對(duì)外發(fā)展方面有所謀劃。

　　“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)和重要數(shù)據(jù)，雖然主要服務(wù)于境內(nèi)的數(shù)據(jù)安全管理工作需要，但其能在構(gòu)建我國(guó)“外向型”數(shù)據(jù)主權(quán)戰(zhàn)略之中發(fā)揮重要作用。本節(jié)提出三個(gè)方面的設(shè)想拋磚引玉。

　　其一，數(shù)據(jù)分類(lèi)分級(jí)本身不是最終目的，對(duì)不同類(lèi)別和級(jí)別的數(shù)據(jù)配適不同的安全保護(hù)規(guī)則，才是分類(lèi)分級(jí)的落腳點(diǎn)。因此，對(duì)于國(guó)家主權(quán)、安全和發(fā)展利益至關(guān)重要的數(shù)據(jù)，可以通過(guò)分類(lèi)分級(jí)和列入《數(shù)據(jù)安全法》提出的“重要數(shù)據(jù)目錄”中，輔以更高要求的安全保護(hù)規(guī)則，包括數(shù)據(jù)跨境流動(dòng)規(guī)則，以此實(shí)現(xiàn)對(duì)重要的數(shù)據(jù)要素的控制。

　　其二，在目前已經(jīng)開(kāi)展的自貿(mào)區(qū)試驗(yàn)中，出于實(shí)現(xiàn)更高水平的開(kāi)放和融合的目標(biāo)，賦予部分自貿(mào)試驗(yàn)區(qū)根據(jù)自身的產(chǎn)業(yè)結(jié)構(gòu)、主要的商貿(mào)目的地、技術(shù)合作對(duì)象等因素，動(dòng)態(tài)調(diào)整國(guó)家層面出臺(tái)的“重要數(shù)據(jù)目錄”的權(quán)力。通過(guò)便利的數(shù)據(jù)跨境規(guī)則，再發(fā)揮人才、資金等方面的優(yōu)勢(shì)因素，取得特色產(chǎn)業(yè)集中落地的效果。例如，北京和海南政治經(jīng)濟(jì)特點(diǎn)不同，北京的“兩區(qū)建設(shè)”24和海南“自貿(mào)島”建設(shè)完全可以因地制宜地實(shí)施不同的“重要數(shù)據(jù)目錄”。

　　其三，為服務(wù)我國(guó)“一帶一路”戰(zhàn)略的實(shí)施，我國(guó)可以基于“一帶一路”國(guó)家的實(shí)際情況，根據(jù)政治外交、商貿(mào)合作、人文交流等因素，制定面向不同國(guó)家的“重要數(shù)據(jù)目錄”，有針對(duì)性地調(diào)適數(shù)據(jù)出境的范圍寬窄和出境規(guī)則的松緊，以此取得對(duì)外合作的戰(zhàn)略目標(biāo)。

　　結(jié)語(yǔ)

　　《數(shù)據(jù)安全法》改變了我國(guó)數(shù)據(jù)分類(lèi)分級(jí)工作的基本范式。“自下而上”的數(shù)據(jù)安全治理已不能完全滿(mǎn)足數(shù)據(jù)種類(lèi)數(shù)據(jù)量、分析技術(shù)、商業(yè)模式等爆炸性發(fā)展所衍生的新安全風(fēng)險(xiǎn)。“自上而下”的數(shù)據(jù)分類(lèi)分級(jí)能夠使組織有效地吸收其數(shù)據(jù)處理行為所產(chǎn)生的負(fù)面外部性。在法律層面，我國(guó)已經(jīng)確立了個(gè)人信息和重要數(shù)據(jù)的基本分類(lèi)。任何處理數(shù)據(jù)的組織應(yīng)當(dāng)高度關(guān)注國(guó)家制定的“重要數(shù)據(jù)目錄”，相應(yīng)地調(diào)整組織內(nèi)部對(duì)數(shù)據(jù)分類(lèi)分級(jí)的實(shí)踐，并根據(jù)國(guó)家制定的個(gè)人信息和重要數(shù)據(jù)安全保護(hù)規(guī)則，更新組織所采用的安全保護(hù)措施。

　　從統(tǒng)籌安全和發(fā)展的角度來(lái)看，一方面，我國(guó)在開(kāi)展數(shù)據(jù)分類(lèi)分級(jí)工作和制定重要數(shù)據(jù)目錄，應(yīng)當(dāng)秉持科學(xué)、客觀、動(dòng)態(tài)的原則，避免將過(guò)多的數(shù)據(jù)納入重要數(shù)據(jù)的保護(hù)范圍之中。另一方面，為更好地參與到數(shù)據(jù)資源的國(guó)際競(jìng)爭(zhēng)之中，我國(guó)還可以靈活地使用數(shù)據(jù)分類(lèi)分級(jí)和重要數(shù)據(jù)目的等政策工具，實(shí)施因地制宜的數(shù)據(jù)流動(dòng)策略，使我國(guó)的主權(quán)、安全和發(fā)展利益最大化。