一���、引 言
2019 年 10 月�,黨的十九屆四中全會通過的《中共中央關(guān)于堅持和完善中國特色社會主義制度、推進國家治理體系和治理能力現(xiàn)代化若干重大問題的決定》首次將“數(shù)據(jù)”作為一類生產(chǎn)要素提出。2020 年 4 月,中共中央、國務(wù)院《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》(以下簡稱“《意見》”)發(fā)布,其中就包括“數(shù)據(jù)”要素的市場化���,數(shù)據(jù)作為土地、勞動力、資本���、技術(shù)之外第五大生產(chǎn)要素將在國民經(jīng)濟發(fā)展和體制運行中發(fā)揮新的巨大作用。在網(wǎng)絡(luò)信息時代下,數(shù)據(jù)不僅是信息自身所包含的具體內(nèi)容�����,通過數(shù)據(jù)呈現(xiàn)出來的應(yīng)用價值才是隱藏在數(shù)據(jù)內(nèi)容背后的真正“寶藏”����。要素市場化配置追求的是要素的自由流動和價格發(fā)現(xiàn)�,目標(biāo)是使有限的要素配置在最恰當(dāng)?shù)奈恢冒l(fā)揮出最優(yōu)效用。數(shù)據(jù)流動是數(shù)字經(jīng)濟的血液�����,而數(shù)字經(jīng)濟說到底是傳統(tǒng)社會經(jīng)濟在數(shù)字信息技術(shù)發(fā)展帶動下的產(chǎn)物����。數(shù)據(jù)成為新的生產(chǎn)要素,是數(shù)字時代社會轉(zhuǎn)型過程中生產(chǎn)模式和生產(chǎn)力升級變化的必然結(jié)果���。
然而,社會制度本質(zhì)上作為一套為了某種社會目的而共同活動所引起的社會關(guān)系���,由成文的法律法規(guī)、行業(yè)規(guī)則和不成文的道德習(xí)慣以及相應(yīng)的配套設(shè)施等組成�����,具有自身的內(nèi)部結(jié)構(gòu)和穩(wěn)定狀態(tài)��,其在由技術(shù)迭代引發(fā)的生產(chǎn)力躍進時通常無法靈活調(diào)整而呈現(xiàn)出整體滯后性�����。當(dāng)前階段,我國數(shù)字經(jīng)濟發(fā)展現(xiàn)狀和相應(yīng)的社會配套制度之間呈現(xiàn)出結(jié)構(gòu)上不相適應(yīng)�����、功能上無法協(xié)同等問題���,由此引發(fā)數(shù)字侵權(quán)�����、隱私泄露、不正當(dāng)競爭乃至涉及國家、網(wǎng)絡(luò)安全等方面的亂象迭出��。
《意見》以及“十四五”規(guī)劃綱要中均有關(guān)于“完善適用于大數(shù)據(jù)環(huán)境下的數(shù)據(jù)分類分級保護制度”的內(nèi)容�。2022 年 12 月,中共中央、國務(wù)院《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》(以下簡稱“《數(shù)據(jù)二十條》”)中提出要“建立公共數(shù)據(jù)�、企業(yè)數(shù)據(jù)����、個人數(shù)據(jù)的分類分級確權(quán)授權(quán)制度”����。黨的二十大報告中有“深化要素市場化改革”“強化數(shù)據(jù)安全保障體系建設(shè)”等要求。數(shù)字經(jīng)濟中實現(xiàn)對數(shù)據(jù)要素的有效利用���、充分挖掘數(shù)據(jù)要素的潛在市場價值,首要任務(wù)是明確數(shù)據(jù)要素的具體類型��,對不同等級的數(shù)據(jù)類型進行體系設(shè)定����,明確價值目標(biāo)、具體使用方式和限制等��,從而為保障數(shù)據(jù)安全�����、整頓數(shù)字經(jīng)濟市場�、促進新時代數(shù)字經(jīng)濟體制有序運行提供前提。
二�、當(dāng)前數(shù)據(jù)要素分類分級管理的模式分析
我國早在 2017 年 6 月開始實施的《網(wǎng)絡(luò)安全法》第 21 條明確規(guī)定:“國家實行網(wǎng)絡(luò)安全等級保護制度”“網(wǎng)絡(luò)運營者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級保護制度的要求采取數(shù)據(jù)分類�、重要數(shù)據(jù)備份和加密等措施”�;2021 年 9 月實施的《數(shù)據(jù)安全法》中有“國家建立數(shù)據(jù)分類分級保護制度”等規(guī)定;2021 年 11 月實施的《個人信息保護法》中也有關(guān)于“對個人信息實行分類管理”的規(guī)定等��。此外����,在具體的行業(yè)領(lǐng)域內(nèi)��,相繼由不同部門牽頭出臺了若干關(guān)于數(shù)據(jù)分類分級的規(guī)范性文件�,如中國人民銀行發(fā)布的《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》(以下簡稱“《金融指南》”)����、中國證監(jiān)會發(fā)布的《證券期貨業(yè)數(shù)據(jù)分類分級指引》(以下簡稱“《證券指引》”)、工信部發(fā)布的《工業(yè)數(shù)據(jù)分類分級指南》(以下簡稱“《工業(yè)指南》”)�����、國標(biāo)委發(fā)布的《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》(以下簡稱“《網(wǎng)安指引》”)《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》(以下簡稱“《醫(yī)療指南》”)����、《重要數(shù)據(jù)識別指南(征求意見稿)》(以下簡稱“《識別指南》”)等。
(一)數(shù)據(jù)要素的類型劃分及其依據(jù)
數(shù)據(jù)是信息載體。有學(xué)者指出,數(shù)據(jù)分類分級是“通過描述數(shù)據(jù)的多維度特征和內(nèi)容敏感程度,為制定數(shù)據(jù)資源的開放和共享策略提供支撐”�?����!邦愋汀笔菃蝹€具有相同或類似屬性的個體或元素的集合,類型化思維在學(xué)術(shù)研究和社會實踐中廣泛存在,是對某一具體事物由大化小、由整體細(xì)化為部分從而參與具體實施的必要環(huán)節(jié)�����。實際上���,與土地���、勞動力���、資本��、技術(shù)等概念一樣,“數(shù)據(jù)”一詞也是一個宏觀性概念�,是對所有領(lǐng)域�����、不同層次數(shù)據(jù)內(nèi)容的統(tǒng)稱。從不同的角度�����,可以對數(shù)據(jù)進行不同的劃分�����。
按照表現(xiàn)形式對數(shù)據(jù)進行劃分��,日常應(yīng)用中可以見到文字?jǐn)?shù)據(jù)、圖形數(shù)據(jù)����、圖像數(shù)據(jù)�、音頻數(shù)據(jù)��、視頻數(shù)據(jù)等不同的呈現(xiàn)形式����;按照數(shù)據(jù)的權(quán)益歸屬��,可以將數(shù)據(jù)劃分為個人數(shù)據(jù)��、企業(yè)或單位數(shù)據(jù)、國家數(shù)據(jù)等類型�;按照數(shù)據(jù)的行業(yè)屬性�����,可以將其劃分為行政數(shù)據(jù)、司法數(shù)據(jù)�、醫(yī)療數(shù)據(jù)���、工業(yè)數(shù)據(jù)����、金融數(shù)據(jù)����、地產(chǎn)數(shù)據(jù)、教育數(shù)據(jù)等�����;從計算機專業(yè)的角度����,可以將數(shù)據(jù)分為整型、浮點型�����、邏輯型��、字符型等�����,其中整型又包含字節(jié)型(Byte)、長整型(Long)���、短整型(Short)等����,浮點型包含單浮點型(Float)和雙浮點型(Double);按照數(shù)據(jù)的變動特性���,可分為靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)和準(zhǔn)靜態(tài)數(shù)據(jù)等等�。
同時��,對于以上根據(jù)不同數(shù)據(jù)的特征、從不同角度所作的類型劃分����,在具體領(lǐng)域或工作中又可根據(jù)實踐需要進一步細(xì)化�����,如:《金融指南》中將涉及金融業(yè)務(wù)的數(shù)據(jù)信息細(xì)分出股東數(shù)據(jù)信息、管理層數(shù)據(jù)信息、營銷服務(wù)標(biāo)簽數(shù)據(jù)信息、企業(yè)稅務(wù)數(shù)據(jù)信息等;《證券指引》中將證券期貨市場交易數(shù)據(jù)信息細(xì)分為證券市場交易數(shù)據(jù)信息�、期貨市場交易數(shù)據(jù)信息���、基金交易數(shù)據(jù)信息���、其他衍生品交易數(shù)據(jù)信息等��。
(二)數(shù)據(jù)要素分級保護的主要原則
數(shù)據(jù)安全問題的客觀評價離不開現(xiàn)實的技術(shù)檢測、分析與評估。所謂對要素數(shù)據(jù)的分級保護�����,是在對數(shù)據(jù)進行橫向分類的基礎(chǔ)上�,根據(jù)數(shù)據(jù)內(nèi)容的重要程度或遭受泄露、侵害后將出現(xiàn)的損害后果大小進行的保護性需求評估��,并按照一定的分級原則對分類后的組織數(shù)據(jù)進行定級����。同時��,作為生產(chǎn)要素的數(shù)據(jù)具有流通性����,因此對數(shù)據(jù)流通性的限制應(yīng)當(dāng)與數(shù)據(jù)類型和級別存在相關(guān)關(guān)系。數(shù)據(jù)要素分級的直接目的是對不同大、小類型的數(shù)據(jù)進行重要性程度分析����,從而設(shè)定相應(yīng)的流通限制����、進行針對性保護�����,其主要原則可總結(jié)如下:
1. 明確性原則
數(shù)據(jù)分級以實現(xiàn)有效保護為目標(biāo)�,本著明確的原則對不同數(shù)據(jù)進行等級劃分���,首要條件是應(yīng)當(dāng)保證分類明確而不模棱兩可��。不同數(shù)據(jù)應(yīng)當(dāng)按照明確的劃分標(biāo)準(zhǔn)進行分類���,對其確定專屬的名稱���,并保證每一等級數(shù)據(jù)都有清晰的外延��,避免類型混同;同時,確保上下等級數(shù)據(jù)間是嚴(yán)格的包含與被包含關(guān)系�,等級越高外延越大����、范圍越宏觀���,反之則越小�,最低等級的數(shù)據(jù)應(yīng)當(dāng)指向具體的業(yè)務(wù)內(nèi)容��。
2. 實用性原則
所謂實用性原則��,即要求數(shù)據(jù)分級工作應(yīng)當(dāng)以數(shù)據(jù)保護的實際需要,按照便捷����、有效的分級方式對不同類型數(shù)據(jù)設(shè)定級別�,它指向數(shù)據(jù)分級的實踐性�����。同時����,由于具體的工作���、業(yè)務(wù)差異�����,不同領(lǐng)域��、單位所關(guān)涉的數(shù)據(jù)內(nèi)容各有側(cè)重,呈現(xiàn)出明顯的行業(yè)屬性����。如《金融指南》《證券指引》《工業(yè)指南》等就是分別根據(jù)各自領(lǐng)域的業(yè)務(wù)特點和工作內(nèi)容��,具體設(shè)定的數(shù)據(jù)分級體系。
3. 合規(guī)性原則
現(xiàn)代意義的合規(guī)是在合法基礎(chǔ)之上要求更為具體的規(guī)范化模式���,前提是在保證不觸犯法律的框架下�����,追求一致的行業(yè)標(biāo)準(zhǔn)��,從而提高業(yè)務(wù)效率。當(dāng)前���,不同領(lǐng)域的行政部門牽頭出臺了各自行業(yè)的數(shù)據(jù)分級指導(dǎo)性文件,目的就是為各領(lǐng)域的行政管理和市場參與主體能夠按照統(tǒng)一的標(biāo)準(zhǔn)和要求,對各自運營過程中所經(jīng)手的數(shù)據(jù)進行分類分級,不僅確保數(shù)據(jù)分級工作的切實推進����,更要強調(diào)其作為新的行業(yè)規(guī)范在標(biāo)準(zhǔn)上的一致性和科學(xué)性���。
4. 開放性原則
數(shù)據(jù)分類分級是近年來基于數(shù)據(jù)安全管理的需要而提出的新要求����。一方面,當(dāng)前數(shù)據(jù)分類分級工作尚處于初步的探索階段�,對不同數(shù)據(jù)內(nèi)容的性質(zhì)�����、內(nèi)涵和潛在價值認(rèn)識并不充分;另一方面�����,隨著互聯(lián)網(wǎng)技術(shù)�、人工智能、數(shù)據(jù)技術(shù)的不斷迭代和升級�����,新的數(shù)據(jù)類型仍在出現(xiàn)��。在目前的客觀條件下,無法對所有數(shù)據(jù)徹底羅列,因此更為明智的選擇是保持一種開放的數(shù)據(jù)分級模式���,對新出現(xiàn)或重新認(rèn)識的數(shù)據(jù)根據(jù)實際需要逐步添加。
(三)當(dāng)前數(shù)據(jù)分類分級體系的缺陷性檢視
數(shù)據(jù)分類分級是數(shù)據(jù)安全治理的起點,而目前我國對數(shù)據(jù)安全治理的認(rèn)識和統(tǒng)籌正處于初始階段�����,從整體的分類模式��、分級體系到規(guī)范性文件本身的效力位階等方面�,尚存在諸多不足之處�����。
1. 缺乏橫向統(tǒng)一的數(shù)據(jù)分類分級安排
就目前階段來看����,我國數(shù)據(jù)分類分級工作開展的依據(jù)主要是《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》中對數(shù)據(jù)分類分級要求的綱領(lǐng)性條款��,其中《數(shù)據(jù)安全法》第 21 條第 3 款更是明確規(guī)定:“各地區(qū)����、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級保護制度����,確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄��,對列入目錄的數(shù)據(jù)進行重點保護�����。”循此內(nèi)容���,我國有關(guān)部門如中國人民銀行、工信部�、國標(biāo)委等便牽頭在本領(lǐng)域出臺了關(guān)涉數(shù)據(jù)分類分級工作的規(guī)范性文件�。
然而�����,這種由各部門根據(jù)各自業(yè)務(wù)需求制定的分級分類標(biāo)準(zhǔn)具有明顯的行業(yè)特征���。如:《金融指南》在對數(shù)據(jù)進行分級時遵循“數(shù)據(jù)資產(chǎn)梳理→安全定級準(zhǔn)備→安全級別判定→安全級別審核→安全級別批準(zhǔn)”的流程����,將數(shù)據(jù)安全影響程度區(qū)分為非常嚴(yán)重��、嚴(yán)重�、中等��、輕微四個等級��,在數(shù)據(jù)類別上則由五級體系構(gòu)成���,其中第五級指涉具體的業(yè)務(wù)數(shù)據(jù)�����;《證券指引》則是以業(yè)務(wù)線為參照,在業(yè)務(wù)分類分級之下確定數(shù)據(jù)分類分級。盡管不同行業(yè)依據(jù)各自的分級分類指南可在本領(lǐng)域內(nèi)實現(xiàn)一定程度的對標(biāo)����,但數(shù)據(jù)的分級分類作為一個整體的宏觀作業(yè)�����,無法在橫向上統(tǒng)一參照系�����。如:同樣是關(guān)涉客戶或投資人姓名����、性別�����、民族��、出生日期、聯(lián)系方式��、婚姻狀況等個人信息的數(shù)據(jù)內(nèi)容��,《金融指南》將其數(shù)據(jù)級別評定為三級�����;而《證券指引》則評定為四級,且具體的定級標(biāo)準(zhǔn)和級別內(nèi)涵也存在差異����。
即便部分地方政府嘗試在本區(qū)域范圍內(nèi)出臺統(tǒng)一��、規(guī)范的數(shù)據(jù)分類分級標(biāo)準(zhǔn),如 2019 年 11 月上海市經(jīng)濟和信息化委員會的《上海市公共數(shù)據(jù)開放分類分級指南(試行)》�、2021 年 7 月浙江省市場監(jiān)督管理局的《數(shù)字化改革公共數(shù)據(jù)分類分級指南》��、2022 年 4 月北京市市場監(jiān)督管理局的《政務(wù)數(shù)據(jù)分級與安全保護規(guī)范》、2023 年 6 月四川省依據(jù)《全國一體化政務(wù)大數(shù)據(jù)體系建設(shè)指南》制定的《政務(wù)數(shù)據(jù) 數(shù)據(jù)分類分級指南》等�。但一方面�,這些文件側(cè)重于政務(wù)管理���,主要是出于行政層面的方便����,而欠缺對市場生產(chǎn)�����、要素流通���、法律合規(guī)等方面的考量�;另一方面�����,在缺乏全國統(tǒng)一性數(shù)據(jù)要素市場化分類分級安排機制的前提下��,地方政府僅立足本區(qū)域與地區(qū)間的橫向溝通和協(xié)調(diào),其數(shù)據(jù)分類分級的具體標(biāo)準(zhǔn)偏差較大����,更容易造成數(shù)據(jù)市場混亂�����。
2. 在具體分類分級模式上仍不夠規(guī)范
在行業(yè)屬性的基礎(chǔ)上�����,數(shù)據(jù)分類分級還存在法益價值的衡量標(biāo)準(zhǔn),因此呈現(xiàn)出形式上的多樣性����。前已述及,實用性原則是當(dāng)前數(shù)據(jù)分類分級的重要導(dǎo)向。注重實用性價值的原因在于:一方面受我國目前數(shù)據(jù)分類分級工作的階段性限制、上層建筑的政策引領(lǐng)和底層實踐的具體嘗試同向進行��,而中間起著銜接作用的規(guī)范性制度文件并不成熟�����、嚴(yán)密�;另一方面���,由數(shù)據(jù)分類分級的試驗性工作反向檢驗政策性指南是否科學(xué)�、合理,便于以某一具體領(lǐng)域內(nèi)的數(shù)據(jù)分類分級實踐為模板�����,推廣拓展從而形成整個制度性框架��。
(1)程序機制操作性弱����。對數(shù)據(jù)進行分類分級本質(zhì)上是一種程序性操作����,需要詳細(xì)、明確的操作步驟,然而現(xiàn)有規(guī)范在具體的分類分級程序上卻顯得十分宏觀。如《證券指引》在業(yè)務(wù)細(xì)分步驟中確定管理主體時�����,要求“管理主體的確定宜適當(dāng)���,范圍過小可能導(dǎo)致對應(yīng)業(yè)務(wù)劃分顆粒度過細(xì)��,范圍過大可能導(dǎo)致對應(yīng)業(yè)務(wù)劃分顆粒度過粗”���,然而并未進一步明確具體范圍,導(dǎo)致對管理主體范圍大小難以實際把握。又如《網(wǎng)安指引》對識別的數(shù)據(jù)類別進行區(qū)分標(biāo)識時�,強調(diào)要從公共個人��、公共管理、信息傳播等不同維度進行���,但對公共個人、公共管理����、信息傳播等維度的確定卻僅作了原則性規(guī)定���,并未明確具體識別細(xì)節(jié)���。
(2)實體標(biāo)準(zhǔn)較為模糊�����。實用性和規(guī)范性通常呈負(fù)相關(guān)關(guān)系,實用要求靈活變通而不拘泥于刻板套路��,規(guī)范則要求因循制度規(guī)定及其內(nèi)在邏輯而避免過度游離��。如《金融指南》中關(guān)于安全影響評估的規(guī)定��,盡管將評估層面分為了保密性評估和可用性評估兩大類,但對于具體的評估標(biāo)準(zhǔn)皆無明確性規(guī)定��,無法通過確切的明文依據(jù)來判斷何為“可能造成”的各類損害及其嚴(yán)重程度�����。又如《工業(yè)指南》和《識別指南》��,前者全文包括總則在內(nèi)僅有 16 條�����,字?jǐn)?shù)不足 2000 字���;而后者則更為籠統(tǒng)��,主體內(nèi)容僅 3 頁���,根本無法對數(shù)據(jù)分類分級進行具體���、明細(xì)地規(guī)則劃分�。
(3)缺少應(yīng)用場景設(shè)定����。數(shù)字經(jīng)濟下作為生產(chǎn)要素的數(shù)據(jù)是流動的,實現(xiàn)數(shù)據(jù)流動的基礎(chǔ)條件是由數(shù)字市場中各領(lǐng)域和各行業(yè)的串���、并聯(lián)。因此���,對數(shù)據(jù)進行有效分類分級應(yīng)當(dāng)立足于具體的行業(yè)視角、應(yīng)用場景進行設(shè)定����。對此�����,盡管《證券指引》中以業(yè)務(wù)線嘗試對數(shù)據(jù)進行分類分級,如將“交易”業(yè)務(wù)細(xì)分為二級子類“交易管理”“結(jié)算管理”“機構(gòu)管理”等�,但由于忽視對具體應(yīng)用場景下的數(shù)據(jù)類型安排��,由此導(dǎo)致對數(shù)據(jù)的分類分級止于靜態(tài)分析,缺乏市場流通視角下對要素化數(shù)據(jù)的觀察聚焦�。
概言之,當(dāng)前關(guān)于數(shù)據(jù)分類分級的制度性文件在內(nèi)容上存在規(guī)定不細(xì)����、標(biāo)準(zhǔn)不嚴(yán)���、規(guī)范不清的問題���,盡管在宏觀指引上具有一定的方向性�、靈活性�����,但無法提供明確���、具體的依據(jù)和思路��。
3. 相關(guān)的規(guī)范性文件缺乏強制執(zhí)行力
根據(jù)是否具有強制執(zhí)行力,可以區(qū)分法律和一般的規(guī)范性文件。法律作為社會中各類關(guān)系的最高調(diào)節(jié)器,其維系判定結(jié)果和系統(tǒng)性目標(biāo)達成���、價值實現(xiàn)的主要保障就是其法律強力,這區(qū)別于一般的社會道德、行業(yè)準(zhǔn)則或團體章程����。此外��,對于規(guī)則制定的機構(gòu)、程序以及效力范圍等也可進行效力位階上的區(qū)分��。
(1)法律效力位階較低���。就我國目前關(guān)涉數(shù)據(jù)分類分級的規(guī)范性文件而言�,除了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》屬于由全國人大常委會通過的狹義上的法律性文件外,中國人民銀行����、證監(jiān)會、工信部���、國標(biāo)委等部門出臺的《金融指南》《證券指引》《工業(yè)指南》《網(wǎng)安指引》等���,以及部分地方政府出臺的地區(qū)數(shù)據(jù)分類分級指南皆屬于行業(yè)標(biāo)準(zhǔn)�、政務(wù)指引及業(yè)務(wù)指導(dǎo)性質(zhì)類文件�����,不具備法律上的強制力��。
(2)文件性質(zhì)定位軟化。從其名稱即可看出,指南、指引性文件側(cè)重于業(yè)務(wù)上的指導(dǎo)和技術(shù)性參考,而非一種硬性的工作要求或命令����,且在一定程度上具有試驗性��。誠然,這種指導(dǎo)建議式的運行模式與不成熟的外部客觀環(huán)境相契合,“摸著石頭過河”的探索過程必然具備各自不確定因素,經(jīng)驗的積累是日后出臺更為規(guī)范��、科學(xué)規(guī)則的必要前提���。然而��,從另一角度看�,由于強制執(zhí)行力的缺失���,文件在具體的落地實施上便無法保證實際效果和實施力度�����,從而也會折損規(guī)范����、執(zhí)行效果���。
(3)實際監(jiān)管機制缺失�����。線索、監(jiān)管�����、執(zhí)行三者通常是一體化關(guān)系���,即對于某類管理事項的實施���,必然存在特定的管理(監(jiān)管)主體����,通過監(jiān)管過程發(fā)現(xiàn)需要執(zhí)行的線索情報,進而推進對該事項的執(zhí)行�����。正是由于目前對數(shù)據(jù)分類分級僅處于嘗試階段���,且規(guī)范性文件法律效力位階低��、缺乏強制執(zhí)行力��,由此導(dǎo)致對數(shù)據(jù)分類分級具體工作開展的實際監(jiān)管缺位。同時�����,對數(shù)據(jù)分類分級實際開展效果監(jiān)管的不足���,又反過來反映���、加劇了相關(guān)規(guī)范性文件的制度軟化����。
三、數(shù)據(jù)要素的分級分類保護的必要性分析
數(shù)據(jù)分級分類只是一個業(yè)務(wù)規(guī)范和參考標(biāo)準(zhǔn)�,重點是實際業(yè)務(wù)中的管控����。換言之��,數(shù)據(jù)分類分級是為了在數(shù)據(jù)要素的市場流通和應(yīng)用過程中更好地管控數(shù)據(jù)�,有針對性地保護數(shù)據(jù)安全��,同時兼顧公共安全和市場效益�。在數(shù)字經(jīng)濟中�,數(shù)據(jù)要素的流通過程關(guān)涉不同的利益主體,由此決定了對數(shù)據(jù)要素進行分類分級保護的現(xiàn)實必要�。
(一)持有者權(quán)利:數(shù)據(jù)確權(quán)機制的構(gòu)建需求
在數(shù)據(jù)持有者層面�,數(shù)據(jù)權(quán)利方不僅包含原始數(shù)據(jù)的創(chuàng)造者���,還涉及數(shù)據(jù)在后續(xù)流轉(zhuǎn)過程中所歸屬的所有者或持有者��。
數(shù)據(jù)是反映客觀事物屬性的記錄�,是信息的具體表現(xiàn)��。原始數(shù)據(jù)創(chuàng)造伊始�����,存在一個確權(quán)的過程��。然而���,當(dāng)前數(shù)據(jù)確權(quán)機制還不完善�����,仍然處在傳統(tǒng)線下環(huán)境的授權(quán)模式中,無法適應(yīng)網(wǎng)絡(luò)形態(tài)下高速增長的數(shù)據(jù)量。數(shù)據(jù)在原始生成之后���,對于繼受取得,無論是買賣互易,還是贈與����、遺贈����、繼承等��,數(shù)據(jù)經(jīng)過合法方式從數(shù)據(jù)原始所有者到下一任繼受者�,繼受者即依法取得相應(yīng)的數(shù)據(jù)權(quán)利�����。然而��,對于流轉(zhuǎn)授權(quán)的確認(rèn),存在同數(shù)據(jù)生成階段的原始確權(quán)類似的問題,即傳統(tǒng)模式下的確權(quán)機制與數(shù)字確權(quán)的實際需求不相適應(yīng)。
數(shù)據(jù)生成伊始��,其創(chuàng)造者享有天然的法定權(quán)利���,如作為知識成果的數(shù)據(jù)內(nèi)容���,根據(jù)《著作權(quán)法》的規(guī)定:“中國公民����、法人或者非法人組織的作品��,不論是否發(fā)表��,依照本法享有著作權(quán)?!弊鳛閭€人信息的數(shù)據(jù)內(nèi)容�����,根據(jù)《個人信息保護法》的規(guī)定:“自然人的個人信息受法律保護,任何組織、個人不得侵害自然人的個人信息權(quán)益�����。”數(shù)據(jù)流轉(zhuǎn)發(fā)生權(quán)利轉(zhuǎn)讓后,法律層面并不缺乏制度上對相關(guān)權(quán)利方的認(rèn)定規(guī)則,關(guān)鍵在于如何從技術(shù)上實現(xiàn)切實可行的保護�?��!稊?shù)據(jù)二十條》中提出的數(shù)據(jù)產(chǎn)權(quán)結(jié)構(gòu)性分置����,以及在公共數(shù)據(jù)��、企業(yè)數(shù)據(jù)��、個人信息數(shù)據(jù)等方面的具體確權(quán)授權(quán),需要建立在對數(shù)據(jù)進行有效、合理分類分級的基礎(chǔ)上。與互聯(lián)網(wǎng)大數(shù)據(jù)的體量規(guī)模相比�,能夠參與數(shù)據(jù)權(quán)利保護工作的人力���、物力均有限�,這決定了數(shù)據(jù)確權(quán)應(yīng)當(dāng)具有針對性�,具體實施時應(yīng)以完善、合理的數(shù)據(jù)分類分級機制為先導(dǎo),按照數(shù)據(jù)的重要程度以及受損敏感度�����,對重要數(shù)據(jù)及時確權(quán)�����,設(shè)計最為嚴(yán)格、高效���、縝密的授權(quán)程序,依次確立不同等級數(shù)據(jù)的確權(quán)模式����,從而實現(xiàn)周延��、高效、體系化的數(shù)據(jù)授權(quán)��。
(二)數(shù)據(jù)傳播過程:數(shù)據(jù)交互的安全保護需求
在數(shù)據(jù)傳播過程中���,保障傳輸安全和數(shù)據(jù)不可篡改�����、刪除等尤為關(guān)鍵�。如果說在持有者層面數(shù)據(jù)是基于“點對點”式的存在形態(tài)的話�,那么在“點”與“點”之間需要一條“線”來連接,這條“線”便是數(shù)據(jù)信息的傳輸�。
數(shù)據(jù)傳輸過程的管控應(yīng)當(dāng)以技術(shù)為抓手����,從身份識別���、訪問權(quán)限���、傳輸途徑�、加密手段等方面����,對數(shù)據(jù)內(nèi)容的私密性、原始性�����、穩(wěn)定性保駕護航�,提升數(shù)據(jù)安全傳輸能力。就私密性而言�,數(shù)據(jù)應(yīng)當(dāng)僅對居于訪問權(quán)限的用戶開放��,而能有效阻隔其他非權(quán)限訪問者,從而防止數(shù)據(jù)信息泄露����;就原始性而言�����,數(shù)據(jù)在傳輸過程中應(yīng)當(dāng)保持內(nèi)容的原貌,保證傳輸前的數(shù)據(jù)內(nèi)容和傳輸后的內(nèi)容相一致,從而保證數(shù)據(jù)內(nèi)容可靠、真實而不被篡改�����;就穩(wěn)定性而言,應(yīng)當(dāng)提高數(shù)據(jù)傳輸硬件系統(tǒng)性能��,防止因客觀外部環(huán)境的影響而導(dǎo)致傳輸速度��、時間�、范圍等出現(xiàn)大幅波動���。例如�,2016 年歐盟《通用數(shù)據(jù)保護條例》(General Data Protection Regulation,GDPR)和 2018 年歐盟《非個人數(shù)據(jù)自由流動框架條例》(Free Flow of non-personal Data Regulation����,F(xiàn)FDR)分別對個人數(shù)據(jù)和非個人數(shù)據(jù)的流動、處理規(guī)則等作出了規(guī)定����,其中就包含相應(yīng)的技術(shù)要求��。
然而,就目前來看����,無論是添加水印����、設(shè)置密碼鎖等���,均有相應(yīng)的技術(shù)手段可以反向破解�����。相對而言����,“區(qū)塊鏈”技術(shù)似乎具有一定程度的安全性��,但也不是萬無一失���,且其技術(shù)成本和技術(shù)難度不是一般使用者可以匹配的���。因此���,一方面,研發(fā)具有絕對安全性和普適性的數(shù)據(jù)存儲和原始保持技術(shù)十分必要���;另一方面,在當(dāng)前現(xiàn)有的技術(shù)條件下�,鑒于不同保護技術(shù)的適用門檻�、成本等因素��,針對數(shù)據(jù)的不同重要�、敏感程度而進行區(qū)別化對待���,有助于充分利用技術(shù)資源���、實現(xiàn)保護力度的等價供給��。
(三)市場規(guī)則機制:要素流通的限度安排需求
數(shù)據(jù)要素的價值在于市場流通��。關(guān)于數(shù)據(jù)要素的市場規(guī)則機制構(gòu)建,通常在數(shù)據(jù)確權(quán)和穩(wěn)定傳輸之后的流轉(zhuǎn)過程中�,應(yīng)當(dāng)保證后續(xù)包括使用者����、所有者等在內(nèi)的各方利益相關(guān)人的法定數(shù)據(jù)權(quán)益不被侵犯����,此時對訪問者權(quán)限或數(shù)據(jù)公開范圍進行嚴(yán)格設(shè)定就成為必然。
然而�,數(shù)據(jù)內(nèi)容的開放性與流動性之間存在密切關(guān)聯(lián)�����。通常����,數(shù)據(jù)的開放程度越高��,能夠接觸到數(shù)據(jù)的用戶就越多,進而數(shù)據(jù)被傳輸��、擴散的可能性就大��;反之�����,則傳輸、擴散可能性越低�。加密技術(shù)�����、用戶認(rèn)證、身份識別等措施在發(fā)揮保護數(shù)據(jù)安全作用的同時��,也在一定程度上限制了數(shù)據(jù)要素的流通潛力����,從而壓縮了數(shù)據(jù)的市場價值效益。因此���,數(shù)據(jù)要素流通的市場規(guī)制機制構(gòu)建,重點在于如何尋求數(shù)據(jù)安全保護和市場流動之間的最佳平衡點���。
在數(shù)據(jù)使用管控過程中,應(yīng)該按照各類數(shù)據(jù)內(nèi)容的特性����、使用方式��、關(guān)涉主體等進行靈活安排。對于保護級別要求高的數(shù)據(jù)類型�,應(yīng)當(dāng)重在強調(diào)數(shù)據(jù)保護�;而對于保護級別要求低的數(shù)據(jù)類型�����,則應(yīng)在保證數(shù)據(jù)內(nèi)容安全的基礎(chǔ)上促進市場流通、循環(huán)��,進而創(chuàng)造價值�����。
(四)公共管理層面:秩序�����、效益和公民權(quán)利的均衡需求
在公共管理秩序上,應(yīng)當(dāng)按照數(shù)據(jù)類型和級別的設(shè)定進行有針對性監(jiān)管?!胺彩浅橄蟮暮陀篮愕恼x沒有使之成為法律的東西��,人間就不會有一種權(quán)力,能夠使之成為法律。”法律的生命在于實施���,然而就執(zhí)法而言,執(zhí)法隊伍和執(zhí)法力度是有限的,網(wǎng)絡(luò)時代下的數(shù)字工作又是一項宏大的統(tǒng)籌性安排���。對于數(shù)字使用情況的執(zhí)法監(jiān)督也要遵循有區(qū)別的針對性原則,在數(shù)據(jù)分類分級基礎(chǔ)上,按照數(shù)據(jù)內(nèi)容的類型安排和級別設(shè)定,進行靈活�、高效地規(guī)劃和系統(tǒng)性實施��,提高數(shù)據(jù)執(zhí)法的精準(zhǔn)度和社會效果。
《數(shù)據(jù)二十條》中就提出,要“合理降低市場主體獲取數(shù)據(jù)的門檻���,增強數(shù)據(jù)要素共享性、普惠性��,激勵創(chuàng)新創(chuàng)業(yè)創(chuàng)造”�����,“形成依法規(guī)范��、共同參與、各取所需、共享紅利的發(fā)展模式”����。政府作為公共秩序管理的統(tǒng)籌主體和市場經(jīng)濟的宏觀調(diào)控方�����,其實踐不僅要求國家層面的系統(tǒng)性政府?dāng)?shù)據(jù)分類分級治理架構(gòu)和領(lǐng)導(dǎo)機制,從而自上而下地解決政府?dāng)?shù)據(jù)開放分類分級問題,在遵循上位法的前提下為政府?dāng)?shù)據(jù)提供相應(yīng)的開放利用條件����,最大限度滿足公民信息需求���,保障公民對公共數(shù)據(jù)的知悉以及對個人數(shù)據(jù)使用�����、處分等合法權(quán)利還需要在數(shù)字經(jīng)濟環(huán)境下引導(dǎo)傳統(tǒng)行業(yè)向數(shù)字領(lǐng)域平穩(wěn)、有序轉(zhuǎn)型,充分挖掘數(shù)據(jù)的市場經(jīng)濟價值�,推動數(shù)據(jù)要素市場化配置��,在有效保障數(shù)據(jù)要素安全的同時不斷促進數(shù)字經(jīng)濟向前發(fā)展(見圖 1)。
四、數(shù)據(jù)要素分類分級管理機制的規(guī)范化展開
結(jié)合前文關(guān)于當(dāng)前數(shù)據(jù)分類分級現(xiàn)狀的分析,應(yīng)當(dāng)有針對性地對已有經(jīng)驗進行梳理����,從形成整體性的統(tǒng)一標(biāo)準(zhǔn)和具體規(guī)則入手���,明確數(shù)據(jù)要素分類分級的綱領(lǐng)性章程�����,通過流程規(guī)范化和責(zé)任具體化兩個方面共同推進數(shù)據(jù)分類分級工作的全面展開。
(一)數(shù)據(jù)要素分類分級管理的規(guī)范立法
法是由事物性質(zhì)產(chǎn)生出來的必然關(guān)系,而這種關(guān)系通常由私人關(guān)系和公共關(guān)系兩大類組成���。毫無疑問,數(shù)據(jù)要素從最初產(chǎn)生到后續(xù)的流轉(zhuǎn)、使用����,涉及私人和公共兩個層面的交叉組合。立法作為一個規(guī)模性國家行為���,其發(fā)動通常關(guān)涉“動機”和“法則”兩個因素。數(shù)據(jù)要素的安全及其使用形式的復(fù)雜性要求為立法者提供了充足的立法動機��,而目前的問題在于法律規(guī)則的統(tǒng)一性���、規(guī)范性和可執(zhí)行度��。
1. 立法模式:在充分論證����、考察的基礎(chǔ)上出臺規(guī)范性的法律文件
數(shù)據(jù)分級分類工作不是某一部門或個別領(lǐng)域的任務(wù)����,涉及全面的社會轉(zhuǎn)型、生產(chǎn)和行業(yè)管理模式的迭代升級���,是一個時代性命題,覆蓋面廣���。由于缺乏實踐經(jīng)驗,無法按照從上到下的方式一開始就進行命令式調(diào)度����。因此����,應(yīng)當(dāng)遵循由具體行業(yè)或業(yè)務(wù)的反向經(jīng)驗積累以推動法律出臺的思路�����,統(tǒng)籌各行業(yè)具體的業(yè)務(wù)內(nèi)容����、工作特點等不斷摸索�����。具體步驟包括:
(1)通過試驗探索最有效的數(shù)據(jù)分類分級模式����。試驗是經(jīng)驗積累的前提�,實際上前述《金融指南》《證券指引》《網(wǎng)絡(luò)指引》等規(guī)范性文件皆具有試驗性的實踐意義。由于《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》中對數(shù)據(jù)分類分級僅有概括性的規(guī)定��,對于如何進行數(shù)據(jù)分類分級并沒有具體展開����,因此《金融指南》《證券指引》《網(wǎng)絡(luò)指引》中的具體制度安排是獨創(chuàng)性的,但又因缺乏上位法的統(tǒng)一規(guī)范而各有差異���,在對具體領(lǐng)域里數(shù)據(jù)分類分級實踐的指導(dǎo)上顯得各行其是?�!稊?shù)據(jù)二十條》中就強調(diào)構(gòu)建數(shù)據(jù)基礎(chǔ)制度要“積極鼓勵試驗探索”“堅持頂層設(shè)計與基層探索結(jié)合”����,支持“有條件的行業(yè)、企業(yè)先行先試”等�����。
(2)通過調(diào)研的方式發(fā)現(xiàn)新的問題和可操作思路��。沒有調(diào)查就沒有發(fā)言權(quán)��,調(diào)查研究是解決問題的前提和發(fā)現(xiàn)矛盾的直接手段。數(shù)據(jù)分類分級的具體實踐中究竟存在哪些問題���,如何更有效�����、科學(xué)�、合理地進行類型����、等級劃分及其展開實施,部分通過制度試驗可以探明,而調(diào)研的過程則是對問題的深入剖析���、追蹤問題的來源和根本矛盾所在。
(3)時機成熟時由全國人大常委會出臺針對數(shù)據(jù)分類分級的專門法律�����。立法性決定是全國人大常委會立法工作的重要內(nèi)容����,國家的立法活動基于國家治理、社會約束和秩序規(guī)范的角度,是在充分必要性的前提下才予開展�。針對數(shù)據(jù)分類分級的法律出臺需要在試驗��、調(diào)研等前置手段基礎(chǔ)上形成草案文本,進一步經(jīng)過系統(tǒng)的合憲性、合法性和合理性論證,討論���、修改完善后表決通過。
2. 實體立法:統(tǒng)一標(biāo)準(zhǔn),實現(xiàn)法律標(biāo)準(zhǔn)��、業(yè)務(wù)標(biāo)準(zhǔn)和安全級別相協(xié)調(diào)
法律的有效實現(xiàn)需要精細(xì)化的內(nèi)容規(guī)范���,對于數(shù)據(jù)分類分級的指標(biāo)���、評估��、級別設(shè)定及層次劃分等�,應(yīng)當(dāng)作出具體的類型安排及等級認(rèn)定��,而不是僅確定一些籠統(tǒng)的原則或注意性事項,但同時要注意行業(yè)區(qū)分�。對此�,在實體立法上可按照“三大類 + 三大級”的思路予以展開��。
(1)橫向上實現(xiàn)行業(yè)整合�,建立數(shù)據(jù)類型和等級認(rèn)定的通用標(biāo)準(zhǔn)���。當(dāng)前數(shù)據(jù)分類分級最明顯的特征是基于實踐性導(dǎo)向下不同領(lǐng)域��、行業(yè)的指導(dǎo)獨立��,而在行業(yè)與行業(yè)之間實現(xiàn)橫向的標(biāo)準(zhǔn)對接����。這種行業(yè)間的壁壘性安排盡管是出于試驗期不同領(lǐng)域業(yè)務(wù)特征而作的臨時性安排�����,一定程度上能夠滿足實踐靈活性的要求�,但法律不是規(guī)定某一具體行業(yè)或業(yè)務(wù)的片面制度�,而是在適用中的法律應(yīng)當(dāng)是一種詳細(xì)且明晰的創(chuàng)設(shè)行為。因此,法律的發(fā)揮應(yīng)在對數(shù)據(jù)分類分級作出具體、明確的制度安排時���,也能對數(shù)字領(lǐng)域這一宏觀任務(wù)作出統(tǒng)一、上位的統(tǒng)籌性規(guī)劃。具體而言���,應(yīng)當(dāng)在專用術(shù)語上概括出能夠通用的名詞、名稱,如:《金融指南》主要針對的是金融機構(gòu)及其服務(wù)對象,其中的數(shù)據(jù)分類有金融機構(gòu)名稱�、金融類業(yè)務(wù)內(nèi)容���、金融服務(wù)類型等�;而《網(wǎng)絡(luò)指引》則側(cè)重于網(wǎng)絡(luò)管理���、服務(wù)者及其用戶的數(shù)據(jù)分類�����,包括用戶姓名、網(wǎng)絡(luò)服務(wù)或交易類型等���,統(tǒng)一標(biāo)準(zhǔn)時就可以取其上位概念個人姓名、單位名稱�、服務(wù)或交易類型等���,而不必具體到行業(yè)屬性����。同時�����,對數(shù)據(jù)分級也要進行統(tǒng)一定檔���,避免不同領(lǐng)域出現(xiàn)等級混亂��、交叉的現(xiàn)象。其中�,重點內(nèi)容在于明確“兩頭”�����,即禁止流通的國家重要數(shù)據(jù)和完全自由的公共開放數(shù)據(jù),“兩頭”之間即是有條件的限制流通數(shù)據(jù)類型�。
一方面���,重點領(lǐng)域的數(shù)據(jù)類型應(yīng)當(dāng)在法律文本中予以強調(diào)����,即所謂的國家“重要數(shù)據(jù)”�,如涉及國防�、經(jīng)濟、政治安全等的數(shù)據(jù)內(nèi)容�����。國家重要數(shù)據(jù)是數(shù)據(jù)分類分級制度催生的概念 �,在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等規(guī)范性文件中均有強調(diào)。無論什么領(lǐng)域或行業(yè)����,一旦涉及國家和社會安全的數(shù)據(jù)內(nèi)容���,都要作為各領(lǐng)域�����、行業(yè)的最重要�、敏感且保護級別最高的數(shù)據(jù)類型�。例如,美國《國家安全信息分類》(Classified National Security Information����,CNSI)就將關(guān)涉軍事秘密��、武器軍工、國防情報���、外交關(guān)系、核心科技等內(nèi)容的信息列為國家最高機密數(shù)據(jù)類型���。對于已經(jīng)確認(rèn)的重要數(shù)據(jù)類型,是不允許市場流通的�����,而僅能在國家相關(guān)機關(guān)內(nèi)部數(shù)據(jù)庫進行有條件保存��、傳輸、使用�����。
另一方面�,對于政府或企業(yè)需依法公開的數(shù)據(jù)、公共交通信息、公共資金使用情況�����、國家法律法規(guī)或其他涉及社會公眾利益應(yīng)當(dāng)公開的內(nèi)容等���,橫向立法上應(yīng)當(dāng)對這些數(shù)據(jù)類型進行明確規(guī)定����,允許自由流通,從而避免不合理的數(shù)據(jù)壟斷,激活數(shù)字市場中數(shù)據(jù)要素的流動活力���,同時保障公民對相關(guān)數(shù)據(jù)信息的知情權(quán)。
(2)縱向上考量各領(lǐng)域或行業(yè)業(yè)務(wù)的屬性差異,防止“一刀切”�。在橫向上明確數(shù)據(jù)大類以及宏觀等級標(biāo)準(zhǔn)的同時����,應(yīng)當(dāng)為具體行業(yè)或部門數(shù)據(jù)分類分級的實際操作留出自主裁量空間��,允許在法律所作出的數(shù)據(jù)類型和等級劃分之下��,根據(jù)不同行業(yè)的業(yè)務(wù)屬性和實際需求進一步細(xì)分,從而有利于實現(xiàn)業(yè)務(wù)標(biāo)準(zhǔn)和數(shù)據(jù)保護需求的良好對接�����。
其中�����,重點內(nèi)容在于確定國家重要數(shù)據(jù)和公共開放數(shù)據(jù)“兩頭”之間有限流通數(shù)據(jù)的具體類型及等級安排,主要考量依據(jù)是不同行業(yè)領(lǐng)域及其業(yè)務(wù)的屬性���、內(nèi)容差異。對此���,較為合理的方式是以行業(yè)為單位作為第一大類的分類集合,由此進一步縱向展開對數(shù)據(jù)的等級劃分�,在實體立法上可統(tǒng)一規(guī)定為三大等級:第一等級數(shù)據(jù)重要性程度最高�,受侵害后危害后果及其影響最大���,可將涉及公共或多數(shù)群體重大利益����、易引發(fā)區(qū)域性事件、嚴(yán)重擾亂數(shù)字市場秩序���、關(guān)涉?zhèn)€人重要信息或重要隱私權(quán)益等數(shù)據(jù)列為第一等級,對此等級數(shù)據(jù)的使用或轉(zhuǎn)讓應(yīng)當(dāng)實行審批或授權(quán)制����,對其市場流通進行嚴(yán)格把關(guān)�����;第二等級數(shù)據(jù)重要性程度中等����,受侵害后可能造成較大的危害后果����,可將涉及公共或多數(shù)群體較為重要利益以及對數(shù)字市場秩序具有較大關(guān)聯(lián)、涉及個人較為重要信息或隱私權(quán)益等數(shù)據(jù)列為第二等級,對此等級數(shù)據(jù)的使用或轉(zhuǎn)讓應(yīng)當(dāng)實施登記或備案制����,對其流通及時追蹤和記錄;第三等級數(shù)據(jù)重要性程度較低����,可將關(guān)涉?zhèn)€別單位或企業(yè)利益�����、易產(chǎn)生輕微違法事件、關(guān)涉?zhèn)€人一般數(shù)據(jù)信息等數(shù)據(jù)列為第三等級�����,對此等級數(shù)據(jù)則可僅作為企業(yè)數(shù)據(jù)合規(guī)的一部分�,允許企業(yè)進行自主安排,但在出現(xiàn)糾紛或違法事件后需要承擔(dān)相關(guān)法律或行業(yè)責(zé)任�����。
此外����,除了行業(yè)、業(yè)務(wù)差異外��,對于數(shù)據(jù)指涉主體或不同主體的數(shù)據(jù)也可以遵循多種價值取舍而有所區(qū)別����,如關(guān)涉兒童隱私、特殊群體數(shù)據(jù)等�,在上位法的規(guī)定范圍內(nèi)予以特殊保護����。
3. 程序立法:強化可行性�����,規(guī)范數(shù)據(jù)分類分級的具體流程和操作細(xì)節(jié)
通常而言,重要領(lǐng)域的法律法規(guī)不僅有明確的實體性規(guī)定,還在相應(yīng)的程序上進行詳細(xì)安排�����,如《刑事訴訟法》《民事訴訟法》《行政訴訟法》等���。有學(xué)者指出:“數(shù)據(jù)分類以‘屬性’為標(biāo)準(zhǔn)�,數(shù)據(jù)分級則以‘后果’為標(biāo)準(zhǔn)。”然而����,無論是屬性的確定還是結(jié)果的輸出����,都需要遵循特定的程序邏輯��。
(1)關(guān)于數(shù)據(jù)要素的準(zhǔn)確識別����。數(shù)據(jù)作為一種生產(chǎn)要素�����,具有特定的涵攝外延���,并不是一切網(wǎng)絡(luò)空間里的內(nèi)容都可作為生產(chǎn)要素的數(shù)據(jù)�����,如《證券指引》就明確劃定了文本適用的數(shù)據(jù)范圍,即“證券期貨行業(yè)經(jīng)營和管理活動中產(chǎn)生、采集����、加工��、使用或管理的網(wǎng)絡(luò)數(shù)據(jù)或非網(wǎng)絡(luò)數(shù)據(jù)”。然而,問題就在于如何發(fā)現(xiàn)和確認(rèn)各領(lǐng)域中真正具有生產(chǎn)價值、值得保護的數(shù)據(jù)�����,并進行類型劃分���。通常而言�����,橫向上在法律層面可以通過大類型的規(guī)定模式確定主要的數(shù)據(jù)類型����,而縱向上各領(lǐng)域在具體生產(chǎn)作業(yè)�、業(yè)務(wù)操作上盡可能涵蓋所有具有保護價值的數(shù)據(jù)內(nèi)容卻具有一定難度。因此,數(shù)據(jù)要素的識別同時也是一個業(yè)務(wù)識別����,即根據(jù)各行業(yè)�����、部門的工作經(jīng)驗并在法律規(guī)定的數(shù)據(jù)大類之下確定實際需要保護的數(shù)據(jù)內(nèi)容及其類型。
(2)關(guān)于數(shù)據(jù)要素的級別設(shè)定。數(shù)據(jù)要素級別設(shè)定是確定各數(shù)據(jù)類型重要程度、易受侵害敏感程度或受侵害后危害程度的過程����。然而�,數(shù)據(jù)的重要程度本質(zhì)上在于其所關(guān)涉的內(nèi)容����,數(shù)據(jù)本身作為字符或像素等基本因子的組合并不存在客觀上的差異��。換言之�����,數(shù)據(jù)的重要程度是基于客觀內(nèi)容上主觀判斷的結(jié)果。同時�,數(shù)據(jù)易受侵害程度或受侵害后的危害程度等也難以通過定量試驗加以衡量��,根本上也是一個經(jīng)驗判斷。質(zhì)言之�����,數(shù)據(jù)要素的級別設(shè)定是一個“經(jīng)驗 + 事實”的不精確劃定����,而工作的重點就在于在其本身并非定量特性上如何保障精確度最大化。因此����,數(shù)據(jù)要素的級別設(shè)定應(yīng)當(dāng)遵循價值衡量�、經(jīng)驗判斷��、類型對比以及反復(fù)檢驗的思路��,在確定數(shù)據(jù)類型集群的基礎(chǔ)上,盡可能精確地對比不同數(shù)據(jù)類型的需保護程度����,進而確定等級劃分����。
具體而言����,對數(shù)據(jù)要素的識別和級別設(shè)定需注重數(shù)據(jù)應(yīng)用的場景化、動態(tài)化觀察�。數(shù)字經(jīng)濟下數(shù)據(jù)本質(zhì)上是一個動態(tài)概念��,即“流通的數(shù)據(jù)”,數(shù)據(jù)只有流通起來才能參與市場循環(huán)從而創(chuàng)造經(jīng)濟價值�����。正因如此�,對數(shù)據(jù)的識別和認(rèn)定就無法脫離具體的應(yīng)用場景,同一內(nèi)容的數(shù)據(jù)在不同場景下所發(fā)揮的作用及其重要性程度會呈現(xiàn)出差異性���。例如:同樣是公民的個人信息,如果僅存儲在公民電腦中則只是一種靜態(tài)的原始數(shù)據(jù)�����,無法成為生產(chǎn)要素參與循環(huán)��;而互聯(lián)網(wǎng)企業(yè)在經(jīng)過公民許可后將其收集并在法律允許的范圍內(nèi)作為一種定向商業(yè)推廣的信息資源��,則便具有了市場價值。同時��,若該信息指向的當(dāng)事人身份或地位特殊�,則會又呈現(xiàn)出不同的敏感度和重要性。英國在對數(shù)據(jù)分類分級的實踐上就比較注重場景化分析���,在數(shù)據(jù)大類上分為商業(yè)、國防�、教育�、環(huán)境���、政府���、健康�、城鎮(zhèn)�����、交通等����,并按照級別設(shè)定“自上而下”地進一步進行場景化細(xì)分����。對數(shù)據(jù)要素的場景化、動態(tài)化識別又與具體行業(yè)���、業(yè)務(wù)等息息相關(guān),因此,兩者通常需相互結(jié)合�、并行不悖(見圖 2)����。
(二)數(shù)據(jù)要素分類分級管理的實施過程
數(shù)據(jù)分類分級管理是推動數(shù)據(jù)要素化發(fā)展工作的重要步驟�����,也是數(shù)據(jù)安全治理的重要抓手����。數(shù)據(jù)分類分級工作的實施需遵循嚴(yán)格���、規(guī)范的原則和路徑具體展開��。
1. 數(shù)據(jù)要素分類分級的實踐原則
(1)責(zé)任明確�。數(shù)據(jù)要素分類分級制度得到法律確認(rèn)后�,需要具體的執(zhí)行主體,而該執(zhí)行主體即對數(shù)據(jù)分類分級工作整體統(tǒng)籌并全權(quán)負(fù)責(zé)。責(zé)任主體的落實意味著數(shù)據(jù)類型的確認(rèn)、等級的劃分都有相應(yīng)的責(zé)任部門及其人員專門負(fù)責(zé)�,而不僅僅作為普遍性的工作指導(dǎo)方向、難以具體化�����。同時���,責(zé)任明確也是保證數(shù)據(jù)分類分級任務(wù)高質(zhì)量完成以及事后追責(zé)的必要前提。
(2)論證嚴(yán)格。當(dāng)前數(shù)據(jù)要素的分類分級作為一種嘗試性導(dǎo)向的機制安排����,無法從根本上保證制度構(gòu)建的科學(xué)性���、合理性�,必要的論證過程是提高制度設(shè)計完善度的前置性程序���。論證的目的主要有兩個方面:一是確保法律合規(guī)��;二是保證實踐方便��。而在這兩個過程中,既要尋求專家、管理者的專業(yè)性指導(dǎo)�����,還要重視具體業(yè)務(wù)線鏈上實務(wù)操作者的意見�����,從而保證專業(yè)標(biāo)準(zhǔn)和實踐標(biāo)準(zhǔn)的雙向契合���。
(3)機制聯(lián)動�。數(shù)據(jù)分類分級是一個動態(tài)的集群歸屬問題�,當(dāng)前面臨的數(shù)據(jù)亂象概括起來可以表述為:內(nèi)容混亂、類型交叉���、管理失范���。這主要是社會轉(zhuǎn)型下數(shù)據(jù)工作規(guī)劃落后于市場實踐����,“有形的手”跟不上“無形的手”而引發(fā)的規(guī)范性問題。體系性問題不是單一部門����、機構(gòu)能夠獨立解決的�����,要建立一套各領(lǐng)域協(xié)同、上下步調(diào)一致的聯(lián)動工作機制���,發(fā)動整體性的力量予以應(yīng)對。
(4)體系完整�。在具體的制度性規(guī)范上���,應(yīng)當(dāng)以法律實施為第一依據(jù)����。然而���,作為上位法的橫向規(guī)定�����,目的是為執(zhí)行主體在縱向?qū)嵤┥咸峁┙y(tǒng)一�����、明確的權(quán)威指引��,固然在保證宏觀指導(dǎo)性上也要提供具體��、細(xì)致的操作流程,但無法觸及具體的業(yè)務(wù)細(xì)節(jié)�。數(shù)據(jù)分類分級的體系性保障�,需要遵循在法律橫向規(guī)定的框架邏輯下實現(xiàn)各行業(yè)���、領(lǐng)域乃至各部門的規(guī)則疏通���、契合。
2. 數(shù)據(jù)要素分類分級的實施路徑
數(shù)據(jù)要素分類分級工作的實際推動�����,需要以行業(yè)需求為導(dǎo)向���,將其融入實際的業(yè)務(wù)操作中�,同時由于分級分類工作尚處于起始階段,反饋���、協(xié)調(diào)機制的構(gòu)建尤為必要。
(1)授權(quán)全國統(tǒng)一的數(shù)據(jù)合規(guī)單位負(fù)責(zé)整體統(tǒng)籌�。數(shù)據(jù)分類分級及其后續(xù)的使用管理是一項基于“數(shù)據(jù)”這一核心內(nèi)容的整體性工作��,如同行政管理一樣,盡管具體的行政管理任務(wù)包括民生��、政務(wù)����、教育、城建��、公安等不同方面�,但基于行政屬性而同屬于各級行政機關(guān)即政府統(tǒng)籌管轄�����。前文已述及�����,數(shù)據(jù)工作是新形勢下為適應(yīng)網(wǎng)絡(luò)數(shù)字經(jīng)濟轉(zhuǎn)型及社會生活發(fā)展而出現(xiàn)的新任務(wù)要求,需要實現(xiàn)不同領(lǐng)域、行業(yè)、機構(gòu)從線下到線上數(shù)據(jù)管理的多層次協(xié)調(diào)�����,已超越局部性安排所能統(tǒng)攝的業(yè)務(wù)范圍����。在具體安排上,由于數(shù)據(jù)分類分級隸屬于數(shù)據(jù)管理的總?cè)蝿?wù)和目標(biāo),且數(shù)據(jù)管理關(guān)涉網(wǎng)絡(luò)安全�、數(shù)據(jù)安全乃至國家安全����,同時數(shù)據(jù)作為生產(chǎn)要素參與市場循環(huán)亦關(guān)聯(lián)到國家經(jīng)濟部門�����,因此����,鑒于工作任務(wù)的綜合性�、交叉性,應(yīng)當(dāng)由各相關(guān)部門抽調(diào)專門人員組成獨立機構(gòu)——中央數(shù)據(jù)合規(guī)局,由國家行政機關(guān)下轄�����,實現(xiàn)全國范圍內(nèi)各領(lǐng)域���、地區(qū)���、行業(yè)數(shù)據(jù)分類分級的整體布局和規(guī)劃���。
(2)各地區(qū)�����、行業(yè)、單位根據(jù)實踐需求具體實施���。保證數(shù)據(jù)分級過程規(guī)范、合理�����,必須確定各業(yè)務(wù)單位負(fù)責(zé)數(shù)據(jù)分級工作的特定主體,明確工作流程和責(zé)任歸屬�,才能將數(shù)據(jù)分級機制落實到位�。一方面�����,在主體資格上�,各行業(yè)��、單位應(yīng)當(dāng)確定直接負(fù)責(zé)數(shù)據(jù)分級的工作部門���,并對數(shù)據(jù)分級工作承擔(dān)主體責(zé)任����,同時該專門部門應(yīng)當(dāng)與其他各業(yè)務(wù)部門保持?jǐn)?shù)據(jù)對接上的消息暢通和資源共享�����,確保數(shù)據(jù)在產(chǎn)生后的第一時間就能得到類型和保護級別上的確認(rèn),從而進行相應(yīng)的針對性保護��;另一方面�,在具體程序上,保證數(shù)據(jù)分級過程科學(xué)�����、嚴(yán)謹(jǐn)是首要標(biāo)準(zhǔn)��,數(shù)據(jù)分級應(yīng)當(dāng)經(jīng)過嚴(yán)格的評估�����、論證和試驗程序,而評估和論證指標(biāo)則包括關(guān)涉主體��、影響范圍���、敏感程度等不同因素�,嚴(yán)格按照各要素之間的主次以及要素之內(nèi)的性質(zhì)對比進行數(shù)據(jù)分級。
(2)各行業(yè)��、單位內(nèi)部數(shù)據(jù)分類分級的協(xié)調(diào)機制��。數(shù)據(jù)要素之所以產(chǎn)生價值����,主要原因是其在市場參與過程中的流動性特征����。數(shù)據(jù)作為一個名詞本身屬于靜止態(tài)描述,但作為要素參與市場循環(huán)和社會生產(chǎn)而言���,其生產(chǎn)價值在于數(shù)據(jù)流動��。由于數(shù)據(jù)作為一個概念描述�,具體參與生產(chǎn)的是各特定類型的數(shù)據(jù)����,而同樣的數(shù)據(jù)內(nèi)容在不同場合或應(yīng)用中所呈現(xiàn)出的作用、功能有時是不同的。因此���,對于數(shù)據(jù)分類分級工作的具體展開,應(yīng)當(dāng)與數(shù)據(jù)要素自身的流動性特征相適應(yīng)、配合���。在具體機制上,應(yīng)當(dāng)暢通數(shù)據(jù)轉(zhuǎn)換和溝通、反饋渠道,尤其是要關(guān)注同種數(shù)據(jù)在不同應(yīng)用場合下所表現(xiàn)出的敏感度、保護需求性���,以及不同數(shù)據(jù)在市場參與過程中或具體業(yè)務(wù)操作流程中的類型轉(zhuǎn)換,從而能夠及時在數(shù)據(jù)類型和等級設(shè)定上適時進行動態(tài)調(diào)整,避免機制僵化而與數(shù)據(jù)保護和生產(chǎn)實踐需求相脫節(jié)(見表 1)。
3. 注意性事項
數(shù)據(jù)保護是數(shù)據(jù)分類分級工作的重要目標(biāo)之一。但反過來講,數(shù)據(jù)分類分級關(guān)涉的不僅是數(shù)據(jù)可保護性問題�����,還會涉及數(shù)據(jù)自身的其他性質(zhì)��,如是否屬于個人隱私或商業(yè)秘密�����,以及數(shù)據(jù)的大小�����、辨識度和流動性程度等。因此��,法律層面上的數(shù)據(jù)分類分級只是一個立足于宏觀社會管理和法律機制構(gòu)建的角度進行的大類劃分����,以及關(guān)涉國家�����、社會安全等方面的等級設(shè)定�。而在各領(lǐng)域�����、行業(yè)��、地區(qū)的市場和制度實踐中,由于行業(yè)屬性、地區(qū)差異、經(jīng)營環(huán)境等因素,在秩序����、安全��、市場等維度之外,還應(yīng)結(jié)合數(shù)據(jù)來源、業(yè)務(wù)歸屬���、交易模式、流通渠道等業(yè)務(wù)細(xì)節(jié)有針對性實施。
(三)數(shù)據(jù)要素分類分級管理的責(zé)任承擔(dān)
數(shù)據(jù)分類分級制度的構(gòu)建目標(biāo)是要建成合規(guī)體制的一部分��,而非僅作為一種業(yè)務(wù)上的輔助性參考�����、指南而存在����,首要任務(wù)是落實主體責(zé)任�����,實現(xiàn)責(zé)任各方的義務(wù)分工,并探索具體可行的構(gòu)建模式和方法�。
1. 數(shù)據(jù)要素分類分級管理工作的責(zé)任主體
(1)行業(yè)自治��。在具體行業(yè)領(lǐng)域內(nèi)的數(shù)據(jù)分類分級,一方面作為總體性數(shù)據(jù)管理工作的下轄分支�����,另一方面也屬于特定行業(yè)內(nèi)部的具體任務(wù)��,具有雙重屬性�����。而作為行業(yè)內(nèi)部的工作任務(wù)之一,必然需要遵循行業(yè)規(guī)范�����,此時����,諸如行業(yè)協(xié)會、商業(yè)聯(lián)合組織等主體就應(yīng)作為行業(yè)內(nèi)部對本領(lǐng)域內(nèi)數(shù)據(jù)分類分級工作承擔(dān)相應(yīng)責(zé)任�����,發(fā)揮行業(yè)規(guī)范的內(nèi)部協(xié)調(diào)功能�����,實現(xiàn)數(shù)據(jù)分類分級與行業(yè)規(guī)范的高度契合���。
(2)企業(yè)合規(guī)�����。企業(yè)合規(guī)是西方商業(yè)領(lǐng)域近年來提出的一個概念,英文是“Corporate Compliance”����。從積極的層面來看�,企業(yè)合規(guī)是指“企業(yè)在經(jīng)營過程中要遵守法律和遵循規(guī)則��,并督促員工���、第二方以及其他商業(yè)合作伙伴依法依規(guī)進行經(jīng)營活動”��。毫無疑問,一旦法律確定數(shù)據(jù)分類分級的基本義務(wù)后���,企業(yè)作為直接接觸、管理數(shù)據(jù)的社會實體�,其合規(guī)工作理應(yīng)將其納入其中并作為重要環(huán)節(jié)予以把關(guān)�,具體可由數(shù)據(jù)合規(guī)政策和數(shù)據(jù)合規(guī)管理流程兩大部分組成�����。
(3)行政監(jiān)管���。無論是行業(yè)自治還是企業(yè)合規(guī)�����,均具有自主能動性特征,屬于行業(yè)或企業(yè)內(nèi)部自身的一種機制紓解���,很大程度上取決于行業(yè)或企業(yè)決策層的主觀意愿,如果缺乏外部硬性的強行機制保障實施���,則很難落實到位。因此��,作為執(zhí)法者����,在履行行政監(jiān)管的職責(zé)過程中����,應(yīng)當(dāng)著重對行業(yè)或企業(yè)數(shù)據(jù)分類分級工作的開展程度和實際效果進行監(jiān)督,并對違反法律要求或操作失范的企業(yè)進行處罰及引導(dǎo)����。
(4)司法處罰����。當(dāng)企業(yè)合規(guī)上升到司法層面�,較為嚴(yán)厲的就成了刑事合規(guī),即企業(yè)在合規(guī)過程中避免相關(guān)行為帶來刑事責(zé)任的一系列計劃或措施。企業(yè)刑事合規(guī)本質(zhì)上是一種企業(yè)業(yè)務(wù)刑事風(fēng)險預(yù)防策略��,側(cè)重于刑事司法領(lǐng)域的企業(yè)自我審查�、管理。企業(yè)在數(shù)據(jù)分級分類過程中的操作不當(dāng)而引發(fā)后續(xù)的刑事問題將面臨單位刑責(zé)。同時,除了刑事領(lǐng)域之外亦不乏關(guān)于數(shù)據(jù)的商業(yè)�、民事糾紛��,這些都需要經(jīng)過司法機關(guān)的司法審判才能最終定奪。
2. 模式構(gòu)建:法律責(zé)任和行業(yè)責(zé)任相統(tǒng)一
確定了責(zé)任主體之后,就要確定具體的責(zé)任承擔(dān)和分配模式����。數(shù)據(jù)合規(guī)具有道德規(guī)范與法律規(guī)范�、“軟法”和“硬法”兩個層次的倫理屬性��,行業(yè)規(guī)則側(cè)重于基于行業(yè)倫理道德而通過“軟法”的形式對行業(yè)內(nèi)部各主體進行彈性約束��,而狹義的法律則作為一種社會治理手段,是通過“硬法”的方式對數(shù)據(jù)分類分級工作進行強制性規(guī)范。
數(shù)據(jù)分類分級的責(zé)任模式應(yīng)當(dāng)將“硬法”和“軟法”結(jié)合起來,在上位法層次上通過法律的強制性規(guī)定予以剛性約束,而在行業(yè)領(lǐng)域內(nèi)同時發(fā)揮好行業(yè)規(guī)則的道德和業(yè)務(wù)約束。
(1)基于行業(yè)發(fā)展具體階段激發(fā)企業(yè)主動性���。行業(yè)自治作為我國市場經(jīng)濟運行過程中行業(yè)領(lǐng)域內(nèi)部的自我管理活動,必然要以國家法律為根本框架,行業(yè)規(guī)則的內(nèi)容不得與上位法相沖突�。企業(yè)合規(guī)以法律規(guī)范和行業(yè)規(guī)范為依據(jù)制定企業(yè)自身的合規(guī)計劃����,既不能違反法律的強行性規(guī)定�����,也需要遵循行業(yè)協(xié)會的規(guī)則以及行業(yè)道德要求���。行業(yè)秩序和企業(yè)運營是一個基于法律強制和行業(yè)約束下的自主能動過程��,其中,行業(yè)的整體發(fā)展?fàn)顩r和企業(yè)決策領(lǐng)導(dǎo)層的主觀意識至關(guān)重要。
對于微觀視角下某一具體行業(yè)領(lǐng)域而言�����,其產(chǎn)生和發(fā)展不是一個完全內(nèi)生的過程�,是社會整體背景和科技水平綜合作用的結(jié)果。在過去傳統(tǒng)經(jīng)濟環(huán)境下,數(shù)據(jù)不具有產(chǎn)生經(jīng)濟價值的客觀土壤��,僅僅作為一種靜態(tài)的表示符號而存在��。在網(wǎng)絡(luò)數(shù)字技術(shù)推動下����,數(shù)據(jù)因其流通而發(fā)揮出生產(chǎn)要素的作用�,不同數(shù)據(jù)因重要性程度、敏感度、利害關(guān)系性等原因而具有不同的保護需求。同時�����,行業(yè)的整體發(fā)展?fàn)顩r又會對數(shù)據(jù)分類分級的細(xì)節(jié)產(chǎn)生反作用�,即不同行業(yè)領(lǐng)域以及同一行業(yè)領(lǐng)域在不同發(fā)展階段對數(shù)據(jù)分類分級的實際需要不同,由此影響法律責(zé)任和行業(yè)責(zé)任的具體契合機制�����。
而對于特定企業(yè)的運營而言�,企業(yè)決策層尤其是執(zhí)掌人的價值理念和經(jīng)營方略會左右企業(yè)整體的發(fā)展方向�。將數(shù)據(jù)分類分級管理工作落到實處,必然要求得到企業(yè)領(lǐng)導(dǎo)層的支持和推動��。創(chuàng)新意識是企業(yè)家精神的核心內(nèi)容�����,數(shù)字經(jīng)濟和數(shù)據(jù)作為生產(chǎn)要素參與循環(huán)�,是傳統(tǒng)經(jīng)濟模式由線下到線上整體轉(zhuǎn)型的產(chǎn)物��,而數(shù)據(jù)分類分級管理正是順應(yīng)新的經(jīng)濟生產(chǎn)模式而出現(xiàn)的體制創(chuàng)新�����。保障數(shù)字經(jīng)濟和數(shù)據(jù)流通安全、實現(xiàn)高效針對性的管理��,必須區(qū)分不同數(shù)據(jù)類型�����、明確具體數(shù)據(jù)的實際保護需求�����,從而有的放矢、精準(zhǔn)配置相應(yīng)的行業(yè)責(zé)任����,因此應(yīng)當(dāng)將其列為到企業(yè)家的重點關(guān)注事項���。
(2)數(shù)據(jù)分類分級管理失范行為的追責(zé)機制�����。規(guī)范強制力是保障數(shù)據(jù)分類分級管理工作有效實施的外部手段���?����!败浄ā敝饕揽科髽I(yè)領(lǐng)導(dǎo)層的主觀意志推動���,其開展效果通常隨企業(yè)家意識所左右�,具有不穩(wěn)定性;而“硬法”的實施具備相應(yīng)的強制執(zhí)行力���,依據(jù)既成規(guī)定對于違反規(guī)則的失范行為進行嚴(yán)格追責(zé),通過反向懲戒來達到規(guī)范目的���。
當(dāng)行業(yè)或企業(yè)在其運行過程中出現(xiàn)故意或過失違反數(shù)據(jù)分類分級規(guī)則而造成危害后果的,負(fù)責(zé)市場監(jiān)督以及行政執(zhí)法的機關(guān)應(yīng)當(dāng)根據(jù)行為的性質(zhì)��、嚴(yán)重程度����、影響范圍等發(fā)動相應(yīng)的行政或移交司法程序,通過行政制裁或司法處罰使得相應(yīng)的違規(guī)違法事項得到法律層面的硬性規(guī)制�。
同時�����,法律責(zé)任的判定和承擔(dān)不是排除行業(yè)責(zé)任的依據(jù)和理由,法律責(zé)任和行業(yè)責(zé)任從根本上說是具體責(zé)任承擔(dān)的不同層級��。行業(yè)責(zé)任以業(yè)內(nèi)道德和包括企業(yè)規(guī)定在內(nèi)的非規(guī)范性法律文件為主要依據(jù)��,依靠行業(yè)和企業(yè)的內(nèi)部規(guī)定及非法律強制手段督促落實�,且存在討價還價的余地��;而法律責(zé)任一旦生成則意味著法律強制力的配套安排�����,違法者必須受到成文法的制裁���。法律標(biāo)準(zhǔn)是最低的道德標(biāo)準(zhǔn)���,在數(shù)據(jù)分類分級管理過程中���,法律責(zé)任和行業(yè)責(zé)任兩者并行統(tǒng)一��、不相排斥�����,共同配合發(fā)揮數(shù)據(jù)合規(guī)的責(zé)任追究功能。
3. 具體方法:企業(yè)合規(guī)和業(yè)務(wù)考核相銜接
企業(yè)生產(chǎn)決策是企業(yè)在國家規(guī)定的權(quán)限內(nèi)對企業(yè)的生產(chǎn)目標(biāo)、行動方案進行分析和選擇 ,企業(yè)生產(chǎn)目標(biāo)的執(zhí)行歸根結(jié)底需要落實到具體的業(yè)務(wù)上去�。數(shù)據(jù)分類分級成為企業(yè)合規(guī)的組成內(nèi)容之后����,其具體實現(xiàn)必然也需與企業(yè)的業(yè)務(wù)相結(jié)合�����,從而形成對是否違規(guī)���、如何違規(guī)����、違反規(guī)定的具體條款�����、違規(guī)程度等事項的具體判斷標(biāo)準(zhǔn)。
法律責(zé)任和行業(yè)責(zé)任的實現(xiàn)�����,對應(yīng)到市場經(jīng)濟實踐中分別為企業(yè)合規(guī)和業(yè)務(wù)考核兩個方面���。就法律責(zé)任而言��,判斷企業(yè)行為是否合法合規(guī)實際上就是考察合規(guī)計劃的執(zhí)行程度和執(zhí)行效果���。企業(yè)的實際運營偏離合規(guī)計劃過大�����,自然會出現(xiàn)偏離法律框架的違法行為�。一般而言�����,企業(yè)行為的法律契合度與合規(guī)計劃的完善程度成正比�。而就行業(yè)責(zé)任而言�����,行業(yè)和企業(yè)自身的發(fā)展在于市場口碑和主要業(yè)務(wù)的優(yōu)劣高低��。數(shù)據(jù)分類分級在法律和行業(yè)兩個層次的責(zé)任統(tǒng)一,需要具體為合規(guī)計劃和企業(yè)業(yè)務(wù)之間的良好銜接。
根據(jù)現(xiàn)代企業(yè)理論��,現(xiàn)行的企業(yè)考核機制主要包括績效��、基本工作��、企業(yè)激勵等不同部分���,而導(dǎo)向型企業(yè)內(nèi)部存在激勵機制效率低�����、激勵機制單一等問題��。同時,對于大多數(shù)國有企業(yè)來說�,企業(yè)業(yè)績包括經(jīng)濟效益和社會效益兩個方面��。數(shù)據(jù)分類分級及其上位的數(shù)據(jù)合規(guī)作為當(dāng)前市場經(jīng)濟中企業(yè)運營需要重點關(guān)注的新內(nèi)容,具有經(jīng)濟和社會的雙向戰(zhàn)略意義�����。因此����,在具體實施中,可將數(shù)據(jù)分類分級的機制安排�����、工作效率和完善程度等作為員工考核的指標(biāo)內(nèi)容�,從而提高業(yè)務(wù)實操中的可行性,將數(shù)據(jù)分類分級管理執(zhí)行到實處���。
然而,在此過程中需要注意企業(yè)責(zé)任與員工責(zé)任之間的關(guān)系和界限�。一方面��,企業(yè)合規(guī)計劃的具體落實需要依靠各業(yè)務(wù)流程中對數(shù)據(jù)分類分級管理要求的推進和執(zhí)行,而企業(yè)內(nèi)部業(yè)務(wù)的開展則必然需要由各責(zé)任人員和事項承擔(dān)者具體負(fù)責(zé)����。因此,員工在業(yè)務(wù)操作上對數(shù)據(jù)分類分級規(guī)范的遵守程度,直接影響企業(yè)在數(shù)據(jù)分類分級管理方面的合規(guī)程度�����。另一方面����,企業(yè)合規(guī)計劃的執(zhí)行程度對企業(yè)和員工的直接影響不同。根據(jù)企業(yè)合規(guī)計劃激勵理論,企業(yè)合規(guī)的作用機制是在企業(yè)合規(guī)計劃的具體執(zhí)行和企業(yè)法律責(zé)任之間建立一種正向促進關(guān)系,即若企業(yè)事先制定并實際執(zhí)行了合規(guī)計劃,則在發(fā)生非主觀故意違法行為時即可阻卻相應(yīng)的過失責(zé)任�����。反之����,則無法阻卻甚至成為一種加重處罰的事由,其中企業(yè)合規(guī)計劃的完善程度和執(zhí)行情況則影響責(zé)任阻卻的具體效果�����。因此��,企業(yè)合規(guī)直接影響企業(yè)對法律責(zé)任的實際承擔(dān)��。而對于員工個人而言��,除領(lǐng)導(dǎo)層對于企業(yè)決策、發(fā)展等具有決定權(quán)的管理者或直接責(zé)任人之外�,影響普通員工業(yè)績考核的主要是其對企業(yè)內(nèi)部所制定的業(yè)務(wù)指標(biāo)達成度��,通常包括業(yè)績量、業(yè)務(wù)效果���、業(yè)務(wù)質(zhì)量、客戶滿意度等內(nèi)容�����。
概言之����,企業(yè)是否合規(guī)與員工在數(shù)據(jù)分類分級具體業(yè)務(wù)上是否達標(biāo)之間不存在必然聯(lián)系���,員工以企業(yè)內(nèi)部規(guī)定為依據(jù)承擔(dān)個人業(yè)務(wù)責(zé)任����,而企業(yè)則是根據(jù)法律及相關(guān)行政規(guī)定、行業(yè)規(guī)范等承擔(dān)法律責(zé)任和行業(yè)責(zé)任。
五、結(jié) 語
數(shù)據(jù)要素市場化是發(fā)展數(shù)字經(jīng)濟的關(guān)鍵�����,而數(shù)據(jù)分類分級則是數(shù)據(jù)要素市場化配置的前提和基礎(chǔ)��。同時�,作為保障網(wǎng)絡(luò)安全的重要防護手段��,數(shù)據(jù)分類分級也是國家安全戰(zhàn)略的重要組成部分�。對數(shù)據(jù)按照特定標(biāo)準(zhǔn)和流程進行分級�,既符合上層建筑的宏觀管理需求,又是數(shù)字經(jīng)濟環(huán)境下資源配置的先決條件。只有在數(shù)據(jù)持有者權(quán)利、數(shù)據(jù)傳播�����、市場規(guī)則�����、公共管理等不同維度����,按照數(shù)據(jù)內(nèi)容的類型特征以及保護需求高低進行“上下分層”“行業(yè)聯(lián)動”的針對性管控設(shè)計����,才能構(gòu)建更為周延����、系統(tǒng)、完善的全過程保護機制��。
就數(shù)據(jù)要素分類分級管理的規(guī)則制定而言����,數(shù)據(jù)分類分級應(yīng)當(dāng)從橫、縱兩個向度進行合理安排���,既要考慮在法律宏觀層面的統(tǒng)一規(guī)范、發(fā)揮制度引領(lǐng)的作用���,同時也要注意不同行業(yè)領(lǐng)域、業(yè)務(wù)內(nèi)容的具體差異����,兼顧公共安全和市場效益�,允許法律框架下根據(jù)不同情形的合理細(xì)分��。在類型劃分上��,明確不同數(shù)據(jù)的表現(xiàn)形式、屬性特征�����,劃歸不同的數(shù)據(jù)集群;在級別設(shè)定上�,從實體和程序上完善定級機制�����,按照不同類型數(shù)據(jù)的重要程度、敏感程度等設(shè)定安全保護級別��。具體可遵循“三大類+三大級”的思路展開:首先����,明確“兩頭”�,即禁止流通的國家重要數(shù)據(jù)和完全自由的公共開放數(shù)據(jù);其次�����,“兩頭”之間即是有條件的限制流通數(shù)據(jù)類型���,按照重要性和敏感性程度將其劃分為三個等級�����,其市場流通性和重要�����、敏感性程度呈負(fù)相關(guān)關(guān)系,從第一等級數(shù)據(jù)到第三等級數(shù)據(jù)流通性逐漸增強�。
就數(shù)據(jù)要素分類分級管理的具體實施而言����,應(yīng)當(dāng)組建并授權(quán)全國統(tǒng)一的數(shù)據(jù)合規(guī)單位�,負(fù)責(zé)數(shù)據(jù)分類分級工作的整體統(tǒng)籌,且在既定規(guī)則范圍內(nèi)允許各地區(qū)��、行業(yè)����、單位根據(jù)各自實踐需求靈活調(diào)整、具體實施���。同時���,在具體機制上暢通數(shù)據(jù)轉(zhuǎn)換和溝通�、反饋渠道,從而確保能夠根據(jù)數(shù)字市場和數(shù)據(jù)性質(zhì)自身的客觀變化而在類型和級別設(shè)定上及時調(diào)整�,避免機制僵化���。在責(zé)任承擔(dān)方面�����,應(yīng)當(dāng)充分發(fā)揮行業(yè)組織、企業(yè)自身、行政部分和司法機關(guān)等各自的參與作用,在行業(yè)發(fā)展的不同階段激發(fā)企業(yè)家主觀能動性���,根據(jù)實際需求積極推動數(shù)據(jù)分類分級管理方面法律責(zé)任和行業(yè)責(zé)任的統(tǒng)一;在具體方法上,將企業(yè)合規(guī)計劃的執(zhí)行與企業(yè)員工的內(nèi)部考核相掛鉤,實現(xiàn)從法律法規(guī)對企業(yè)的外部強制到企業(yè)內(nèi)部規(guī)定對員工業(yè)績要求的有效轉(zhuǎn)換�����,從而促進數(shù)據(jù)要素分類分級管理工作的具體落實���。
來源:上海政法學(xué)院學(xué)報
(部分內(nèi)容來源網(wǎng)絡(luò)���,如有侵權(quán)請聯(lián)系刪除)
