从立法价值取向出发理解《网络安全法》中的"重要数据"
在《网络安全法》中,出现了两次“重要数据”:一是第21条关于网络安全等级保护制度中,“(四)采取数据分类、重要数据备份和加密等措施”;二是第37条“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”
两处“重要数据”中,经常引起大家争论的是第37条,第21条关于“重要数据”的提法似乎相对容易被大家所接受。为什么这两处“重要数据”的“热度”不一样?两者存在不同吗?如果有不同,他们又分别有何含义?在此和大家分享一点个人粗浅的看法。
一、对第37条“重要数据”的理解
关于第37条的“重要数据”,《网络安全法(草案)》三读与最终稿之间出现个微妙的变化。
三读文本中使用“重要业务数据”。对此,可能存在两种理解:一是认为“业务数据”英文为business data,是组织机构与外界发生业务交互(transactions)的记录,不包括内部运营数据,例如组织机构人力资源管理方面的数据;二是认为“业务数据”同时包括组织机构“内部运作”和“外部业务交互”的数据。如果最终“重要业务数据”的定义采用前者,则关键信息基础设施里存在其他类别的数据无需本地存储;如果采用后者,则可认为关键信息基础设施里的所有数据都要本地存储。
在2016年11月7日人大通过的《网络安全法》中,删除了“业务”两字,体现了立法者最后时刻的考量。在我个人看来,重要数据的重要性,针对的是整体层面的利益保护,即保护国家安全、国计民生、公共利益。因此,只要运营者的数据不涉及整体层面利益,不属于“重要数据”的范畴。例如,一家互联网广告公司的高层会议纪要,如果不涉及国家、公共利益,显然不属于“重要数据”的范畴,这样的数据能够自由出境。但是一家生产战备物资的企业,其信息系统形成的进出货记录、库存水平等,可能就涉及国家安全事项,应当认定其为“重要数据”,《网络安全法》原则上要求境内存储。
从“重要业务数据”转变为“重要数据”,说明立法摒弃我们熟悉的“个人数据、企业数据、国家数据”的分类方法,进而从数据所影响的价值着手。换句话说,不论是个人数据或是企业数据,只要有可能危及整体层面的利益,也会被认定为“重要数据”。
在过去,“个人数据、企业数据、国家数据”的分类存在一定的意义,因为国家掌握的数据,往往才有可能影响到整体层面的利益。但在大数据时代,数据收集、汇聚、流转等,大量地发生在公共部门之外,许多企业掌握着海量的数据资源。这些数据,已经具备了影响国家、公共利益的可能性。
如【评《网络安全法》对数据安全保护之得与失】一文中举的例子,阿里巴巴掌握的海量用户信息,首先肯定是个人信息,同时也是企业拥有的数据,但是由于其规模和颗粒度均可比拟公安机关的国家人口基础信息库(注:国家人口基础信息库是作为涉密系统来建设和管理),准确性甚至更胜一筹。对国家来说,这样规模的人口基础数据一旦泄露,很可能对国家安全造成严重危害。
再如为金融、能源、交通、电信等重要行业中的大型企业提供网络安全防护过程中产生的数据,包括系统架构、安全防护计划、策略、实施方案、漏洞等信息。这些数据虽然掌握在安全服务提供者手中,但这些数据一旦泄露,将大幅增加这些企业面临的网络安全风险。因此这些数据,从国家层面来说,肯定属于“重要数据”,哪怕这些数据掌握在企业手中。
综上来说,判定重要数据,要求我们放弃从“谁掌握数据”来着手, 而是从数据可能影响的价值、利益来判断。
除《网络安全法》之外,国家层面的一些文件,也在这个意义上使用类似于第37条的“重要数据”:
国务院办公厅《关于促进和规范健康医疗大数据应用发展的指导意见》 | |
推进健康医疗行业治理大数据应用 | 加强深化医药卫生体制改革评估监测,加强居民健康状况等重要数据精准统计和预测评价,有力支撑健康中国建设规划和决策。 |
国务院办公厅《关于运用大数据加强对市场主体服务和监管的若干意见》 | |
加强网络和信息安全保护 | 落实国家信息安全等级保护制度要求,加强对涉及国家安全重要数据的管理,加强对大数据相关技术、设备和服务提供商的风险评估和安全管理。 |
国家互联网信息办公室《国家网络空间安全战略》 | |
保护关键信息基础设施 | 采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。 |
如果要给出一个概括的话,重要数据应是指:在开展业务活动中产生的不涉及国家秘密,但一旦泄露、删除、篡改或滥用将会对国家安全、公共利益造成严重不利影响的数据。
二、对第21条“重要数据”的理解
对《网络安全法》第21条提到的“重要数据”,我个人认为,除了上述第37条的含义之外,还应包括另一层意思——网络运营者自己认定的重要数据,即对其自身来说,敏感度高的数据,比如自己的知识产权、商业秘密等;这些数据可能无关国家、公共利益,但从网络运营者的角度来说,同样应具有保护的优先级。
在国家层面的文件中,同时提到“重要数据备份”和“重要数据”的有:
国务院《促进大数据发展行动纲要》 | |
统筹规划大数据基础设施建设。 | 结合国家政务信息化工程建设规划,统筹政务数据资源和社会数据资源,布局国家大数据平台、数据中心等基础设施。加快完善国家人口基础信息库、法人单位信息资源库、自然资源和空间地理基础信息库等基础信息资源和健康、就业、社保、能源、信用、统计、质量、国土、农业、城乡建设、企业登记监管等重要领域信息资源,加强与社会大数据的汇聚整合和关联分析。推动国民经济动员大数据应用。加强军民信息资源共享。充分利用现有企业、政府等数据资源和平台设施,注重对现有数据中心及服务器资源的改造和利用,建设绿色环保、低成本、高效率、基于云计算的大数据基础设施和区域性、行业性数据汇聚平台,避免盲目建设和重复投资。加强对互联网重要数据资源的备份及保护。 |
网络和大数据安全保障工程 | 大数据安全保障体系建设。明确数据采集、传输、存储、使用、开放等各环节保障网络安全的范围边界、责任主体和具体要求,建设完善金融、能源、交通、电信、统计、广电、公共安全、公共事业等重要数据资源和信息系统的安全保密防护体系。 |
国务院办公厅《关于印发“互联网+政务服务”技术体系建设指南的通知》 | |
“平台保障技术”中的“安全保障” | 要做好定期的本地多种方式的重要数据备份和异地的远程数据备份。 |
“平台保障技术”中的“安全保障” | 加强平台中各类公共信息、个人隐私等重要数据的安全防护,建立数据安全规范。在系统后台对每类数据的安全属性进行必要的定义和设置,详细规定数据的开放范围和开放力度,并严格执行相应的权限管理。 |
三、《网络安全法》的立法价值取向——保护个人和国家
上述对“重要数据”理解,背后更深层次的原因,来自于《网络安全法》的立法价值取向。在《网络安全法》通过之际的新闻发布会上,全国人大法工委向外界表明:“制定网络安全法是落实国家总体安全观的重要举措”。
纵观《国家安全法》和《网络安全法》,主要保护的对象是整体层面(包括国家和社会)的安全利益和个人层面的安全利益。两部法律共同价值取向是:
一、个人是弱者,需要法律保护。
二、公共利益和国家安全,是公共产品(public goods),自然人、企业都不会主动提供,因此只能靠组织公权力集体产出这样的公共产品,而法律就是组织公权力的一种清晰、稳定的形式,所以需要法律来保护公共利益和国家安全。
三、纯粹单个企业或组织的安全利益,无需国家直接运用公权力出面保护,现有的刑法、民商法等已经提供了足够的法律手段。例如,仅仅对一家企业重要的数据,比如进出货记录,专利,商业并购记录,会议纪要等,如果不涉及公共利益和国家安全,为什么要政府公权力去评估这些数据流出去,会对企业的商业秘密,知识产权造成什么样的风险?显然,这样做不仅没必要,而且还会吃力不讨好。企业也会觉得政府管得太宽、太多,干涉企业的经营自由。政府也会觉得无从下手,因为在“什么数据对企业来说最重要”这个问题上,企业一定会比政府有发言权,判断也更为准确。
从上述价值取向出发,可以得出,第21条中的“重要数据备份和加密”,第一个层面是国家公权力督促网络运营者对与其自身利益至关重要的数据,要采取额外的保护手段。第二个层面是,国家公权力还要求网络运营者对涉及到国家安全、公共利益的数据采取更进一步的保护手段。
而对第37条中的“个人信息和重要数据”强制境内存储,则是国家公权力为保护公民个人合法权益、国家安全和公共利益的直接举措,对关键信息基础设施的运营者经营自由(自由传输、存储数据)的一种直接限制。
以上和大家分享、探讨。