设为首页收藏本站
开启辅助访问
2000字简版 您所在的位置:网站首页 网络数据分类分级管理 2000字简版

2000字简版

2024-04-18 11:49| 来源: 网络整理| 查看: 265

作者:梁灯,首发于“创投法律顾问”公众号

问题:

1、为什么要关注数据分类分级?

2、“重要数据”是类别概念还是级别概念?

3、“个人信息”是类别概念还是级别概念?

4、是否需要统一的分类分级框架?如需,框架是如何的?

先说结论:

1、数据分类分级直接目的在于数据管理,深层次目的在于数据的利用和流通。

2、“重要数据”是级别概念,在《网络数据安全管理条例(征求意见稿)》(2021年11月14日发布,下称《条例》)以及《网络安全标准实践指南——网络数据分类分级指引》(TC260-PG-20212A)(2021年12月31日发布,下称《指引》)发布前可能尚存争议,但目前基本定调了。

3、“个人信息”是类别概念。

4、应该有一个统一的分类分级框架。

关于第3、4点的分析如下:

就第3点问题而言:

《条例》只规定了分级原则(第五条第一款),但未明确分类标准,且在此基础上把属于级别概念的“重要数据”与“个人信息”并列规定,要求对该两类数据进行重点保护。这让人产生怀疑:《条例》对“个人信息”没有定级,但与“重要数据”并列,难道“个人信息”的级别与“重要数据”相同?

回答这个问题要回到《数据安全法》的第二十一条第一款。该款的完整表述是:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”从文义理解,“实行分类分级保护”是“根据数据……重要程度”和“根据……危害程度”进行。由此可见,分类分级保护的本质为“分程度”保护:其一是按类型“分程度”,即数据分类;其二是同类型的“分程度”,即数据分级。同类型“分程度”的分级容易理解,有疑问的可能是如何因类型不同而程度不同?其实从《数据安全法》和《个人信息保护法》的分别立法模式即可窥见其中端倪。从两部法律对数据和个人信息的定义来看,个人信息属于数据的一种特殊类型,因涉及个人对其个人信息的自主决定权,需专门立法对其进行特别保护。因此从数据处理规则和数据保护维度看,《个人信息保护法》是《数据安全法》的特别法。《数据安全法》第五十三条第二款规定:“在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。”此处规定的“法律”即包含《个人信息保护法》。据此,《数据安全法》至少从保护程度上至少区分出两种类型数据:个人信息数据和非个人信息数据。对于非个人信息数据的进一步分类,依数据生产者、加工者或控制者的不同再区分为公共数据(含政务数据)和不同行业数据。

综上,两个要点:其一,数据分类也是“分程度”的其二,个人信息是一种特殊的数据类型

就第4点问题而言:

在数据分级上,《指引》与《条例》的是一致的。但在分类上,《指引》放弃了其在征求意见稿中采取的统一性原则,提出了“分类多维原则”,即按照公民个人维度将数据分为个人信息和非个人信息,按照公共管理维度将数据分为公共数据与社会数据,按照信息传播维度将数据分为公共传播信息和非公共传播信息,按照行业领域维度将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等,按照组织经营维度将数据分为参考示例,分为用户数据、业务数据、经营管理数据、系统运行和安全数据。

多维的分类,看似更具操作性,但削弱了规范功能,在平行的多维分类框架中,数据的类型不同影响“程度”也被消弭,这与《数据安全法》的立法初衷背道而驰。因此,如果说多维分类是务实的做法,我认为多维分类的“维”也不应该是一个平面的,而应该是分层的,数据分类分级制度的规范性文件至少应给出第一层次的分类原则。至于如何确定第一层分类的标准,可以从数据生产者、数据加工者、数据控制者(非GDPR的控制者,指在数据利用和流通环节,既非数据生产者,也非数据加工者的数据流通提供方)的角度进行划分(详见我于去年11月完成的1.8万字论文:《流通视角下的数据分类分级——以金融数据为例》,因尚未公开发表,可能需有缘者方可见)。

因此,我提出的一个统一的数据分类分级框架如下:

关于框架说明:与《条例》和《指引》不同,我把核心数据归为重要数据,因《数据安全法》规定了若干重要数据管理制度,而对核心数据未仅规定“实行更加严格的管理制度”,举轻以明重,《数据安全法》规定的重要数据规则理应适用于核心数据,所以上述框架把核心数据归为特殊的重要数据。

声明

1、本文系“创投法律顾问”梁灯律师原创。本文仅为作者个人观点,不代表作者所任职机构的立场。

2、其他媒体、网站或刊物如需转载,须事前获得作者授权。

3、获得授权的转载须严格遵守以下规范:须在文章首部显著位置注明作者“梁灯”及出处“创投法律顾问”公众号两项信息,且不得改动本文原标题进行转载。

4、本文不能视为正式法律意见。



【本文地址】

公司简介

联系我们

今日新闻

    推荐新闻

    专题文章
      CopyRight 2018-2019 实验室设备网 版权所有