网络数据规范和保护动态｜MHP君悦评论

2021年11月14日，国家互联网信息办公室（“网信办”）首次公布了《网络数据安全管理条例（征求意见稿）》（以下简称“《网络数据条例征求意见稿》”）并向社会公开征求意见。《网络数据条例征求意见稿》意在规范网络数据处理活动。为此，《网络数据条例征求意见稿》在《数据安全法》的基础上对“网络数据”进行了定义，网络数据（简称数据）是指任何以电子方式对信息的记录，较《数据安全法》下的“数据”含义狭窄[1]。尽管名为《网络数据安全管理条例》，事实上《网络数据条例征求意见稿》还适用于个人信息，与网络数据并列，还专列第三章“个人信息保护”。

《网络数据安全管理条例》还未正式出台，但网络数据的规范和保护工作已经紧锣密鼓展开了。全国信息安全标准化技术委员会（National Information Security Standardization Technical Committee）秘书处于2021年12月发布了《网络安全标准实践指南 – 网络数据分类分级指引》（TC260-PG-20212A）（以下简称“《网络数据分类分级指引》”）。全国信息安全标准化技术委员会于2022年1月13日公布了国家标准《信息安全技术  重要数据识别指南》征求意见稿（以下简称“《识别指南征求意见稿》”），向社会广泛征求意见。这两份文件都与网络数据紧密相关，值得我们关注。

网络数据分类分级指引

一、背景

《数据安全法》第21条规定：国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。数据分类分级保护制度旨在保障国家安全、公共利益、个人和组织的合法权益。据此，《网络数据分类分级指引》提供了网络数据分类分级的原则、框架和方法，可用于数据处理者开展数据分类分级工作，也可为主管监管部门进行数据分类分级管理提供参考。

二、聚焦网络数据、兼顾个人信息

《网络数据分类分级指引》聚焦于网络数据的分类分级。所谓“网络数据”，是指任何以电子方式对信息的记录。这一定义与《网络数据条例征求意见稿》中“网络数据”的定义一致。除非上下文另有说明，本文中的“数据”皆指网络数据。《网络数据分类分级指引》在网络数据定义基础上，对“重要数据”、“核心数据”、“一般数据”、“个人信息”、“公共数据”、“公共传播信息”、“组织数据”和“衍生数据”均作出了定义，并通过注解的方式，进一步界定相关术语定义的范围。

三、数据与个人信息的分类

1、数据分类

简单地说，数据的分类是指通过多种视角和维度将数据分为不同类别，按类别对数据进行管理和使用。《网络数据分类分级指引》介绍了常见的数据分类维度，包括但不限于：

（1）公民个人维度

（2）公共管理维度

（3）信息传播维度

（4）行业领域维度

（5）组织经营维度

据此，数据大致可以分为以下类别：

2、个人信息分类

《网络数据分类分级指引》同时规定了个人信息的识别和分类。其中，有关个人信息识别，可以通过分析特定自然人与信息之间的关系来判定某一信息是否属于个人信息：一是可识别特定自然人，即从信息到个人，依据信息本身的特殊性可识别出特定自然人（包括直接标识信息、准标识信息）；一是与特定自然人关联，即从个人到信息，如已知特定自然人，由特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、网页浏览记录等），可识别为个人信息。

按照涉及的自然人特征，个人信息可以分为个人基本资料、个人身份信息、个人生物识别信息等16个类别[2]。

除此之外，《网络数据分类分级指引》还对公共数据和公共传播信息进行了识别和分类。

四、数据与个人信息的分级

1、数据分级

总体而言，数据分级，是指根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，将数据从低到高分成一般数据、重要数据、核心数据共三个级别。不同的级别对应不同的保护要求。

按照《数据安全法》，国家各部门、各行业将出台核心数据目录和重要数据目录，因此《网络数据分类分级指引》不对核心数据和重要数据进行识别和划分，而是着重于一般数据的识别和划分。

《网络数据分类分级指引》对一般数据的分级主要从数据安全的角度，考虑影响对象和影响程度两个要素进行分级，其中，影响对象包括国家安全、公共利益、个人合法权益、组织合法权益四个对象，而影响程度则是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后，所造成的危害影响大小。危害程度从低到高可分为轻微危害、一般危害、严重危害。《网络数据分类分级指引》据此将一般数据从低到高分为1级、2级、3级和4级共四个级别。

2、个人信息分级

个人信息的分级相对简单，按照《个人信息保护法》分为一般个人信息和敏感个人信息。敏感个人信息可以定为一般数据4级。在对个人信息进行分级的时候，首先要做的是判断是否属于敏感个人信息。《网络数据分类分级指引》介绍了敏感个人信息判定的基本原则，但与之相比，其附录B.2列出来可能属于敏感个人信息参考示例，更具有参考价值。有意思的是，《网络数据分类分级指引》附录B.3还介绍了私密个人信息的识别参考。不同于敏感个人信息，私密个人信息强调的个人信息中不愿为他人知晓的个人隐私信息。

五、分类分级保护

遵循《数据安全法》，依据核心数据、重要数据、个人信息、公共数据等安全要求以及行业领域的数据分类分级保护要求，按照核心数据严格保护、重要数据重点保护、个人信息安全合规和一般数据分级保护的思路，对数据实施全流程分类分级管理和保护。

重要数据识别指南

从《网络安全法》提出加强重要数据保护至今，国家对重要数据的保护愈加重视。《数据安全法》要求对数据实行分级分类保护，包括国家数据安全工作协调机制统筹协调有关部门制定重要数据目录以及各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录。《网络安全审查办法》将重要数据的保护风险作为网络安全审查评估的风险因素。重要数据的跨境传输也受到严格监管，《数据出境安全评估办法（征求意见稿）》要求重要数据出境必须通过国家网信部门组织的安全评估。

然而，重要数据的定义、范围和识别方法没有定论。《网络数据条例征求意见稿》首次对重要数据进行了定义。《网络数据条例征求意见稿》不仅定义了重要数据，而且将重要数据的重点保护作为其立法的核心任务之一。为了解决重要数据安全管理的适用对象和适用范围问题，全国信息安全标准化技术委员会公布了《识别指南征求意见稿》，向社会广泛征求意见。

《识别指南征求意见稿》将识别指南界定为推荐性国标，但考虑到其主要目标就是为各部门、各行业制定本部门、本行业的重要数据目录提供指导，其影响将是巨大的。

一、《网络数据条例征求意见稿》下的重要数据的定义和范围

《网络数据条例征求意见稿》第73条规定，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的网络数据，包括以下数据：

（1）未公开的政务数据、工作秘密、情报数据和执法司法数据；

（2）出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据；

（3）国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等；

（4）工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据；

（5）达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据；

（6）国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据；

（7）其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

可以看出，重要数据涵盖范围极其广泛，最后的兜底条款会将更可能多的数据纳入到重要数据，使之受到更加严格的监管。《数据安全法》要求制定重要数据目录。在重要数据目录出台之前，明确重要数据的特征和梳理重要数据的识别过程和方法，将为重要数据目录的制定提供有力支撑。

二、《识别指南征求意见稿》下的重要数据定义和范围

《识别指南征求意见稿》将重要数据定义为以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。这一定义与《网络数据征求意见稿》定义的重要数据基本一致。但《识别指南征求意见稿》特别明确，重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。之所以有这样的例外情形，是因为《识别指南征求意见稿》认为重要数据主要涉及国家安全和公共利益，其范围应当尽可能小，不包括企业生产经营和内部管理信息、个人信息等，而国家秘密已有专门立法予以规范和保护，亦不在重要数据范围之内。但同样从国家安全和公共利益角度衡量，海量的个人信息形成的统计数据、衍生数据仍有可能属于重要数据。

三、识别重要数据的基本原则

《识别指南征求意见稿》提出的识别重要数据的基本原则包括聚焦安全影响、综合考虑风险、定量定性结合以及动态识别复评等。识别基本原则是非常笼统的，但其中也涉及到一些比较有实用性的参考要点，包括：

重要数据的“重要性”是对于国家安全、宏观经济运行、社会稳定、公共健康和安全而言的，对于组织或企业自身而言重要的或敏感的数据并不属于重要数据，例如，企业的内部管理相关数据。但是，此处的“企业”似乎并不能任意解释，因为许多大型国企或企业因其所处行业的特殊性、在经济中的特殊地位等因素，导致其内部管理相关数据仍然符合重要数据的特征，从而需要按照重要数据加以监管和保护。

重要数据需要动态识别，即随着数据用途、共享方式、重要性等发生变化，重要数据可能成为非重要数据，因此需要定期复查重要数据的识别结果。

四、重要数据的识别因素

《识别指南征求意见稿》罗列了十四项识别因素，具备任一识别因素即是重要数据。

这些识别因素中，部分与《网络数据条例征求意见稿》罗列的重要数据种类类似，如未公开的政务数据、工作秘密、情报数据和执法司法数据；其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。另有部分识别因素与《网络数据条例征求意见稿》罗列的重要数据种类相同，但具体表述不尽相同，可能导致识别的重要数据的范围有所差异。但总体而言，《识别指南征求意见稿》识别因素比之与《网络数据条例征求意见稿》罗列的重要数据种类更加广泛。例如：

• 反映国家战略储备、应急动员能力的数据、可能被其他国家或组织利用发起对我国的军事打击的数据；

• 反映群体健康生理状况、族群特征、遗传信息等的基础数据（包括人类遗传资源信息、基因测序原始数据等）；

在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息，如军工企业较长一段时间内的用车信息。

五、简评

从《网络数据条例征求意见稿》到《识别指南征求意见稿》，我们可以看到重要数据最大特点就是范围广泛。无论是《网络数据条例征求意见稿》罗列的重要数据类别，还是《识别指南征求意见稿》规定的各项识别因素，都将众多数据纳入到重要数据，尤其是各自的兜底性的条款，更是大大拓展了重要数据的范围。这意味着企业在日常经营中涉及到重要数据的可能性大大增加，需要满足更高的数据合规和保护要求。

[1] 《数据安全法》第3条规定：本法所称数据，是指任何以电子或者其他方式对信息的记录。

[2] 详见《网络数据分类分级指引》第5.2.2条以及附录B.1。