劉金瑞

隨著信息技術(shù)與人類生產(chǎn)生活深度交匯融合，人類行為日益表現(xiàn)為網(wǎng)絡空間的數(shù)據(jù)流，數(shù)據(jù)呈現(xiàn)爆發(fā)式增長并且海量集聚，對人類社會產(chǎn)生了重大而深刻的影響，已經(jīng)成為國家基礎(chǔ)性戰(zhàn)略資源，〔1〕《國務院關(guān)于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》（國發(fā)〔2015〕50 號）。沒有數(shù)據(jù)安全就沒有國家安全。對此，立法機關(guān)及時制定《中華人民共和國數(shù)據(jù)安全法》（以下簡稱《數(shù)據(jù)安全法》），開啟了全球數(shù)據(jù)安全綜合立法的先河。該法確立了一系列維護國家數(shù)據(jù)安全的重要制度，包括數(shù)據(jù)分類分級保護制度，其中明確提出要加強對重要數(shù)據(jù)的保護。

這種重要數(shù)據(jù)不同于國家秘密，也不同于公開信息，而是介于二者之間的一類應該被管控的高風險數(shù)據(jù)，央視曾披露的某公司“數(shù)據(jù)買賣”案中向境外非法提供的我國高鐵數(shù)據(jù)就是典型例證?！?〕《焦點訪談：失算的數(shù)據(jù)買賣》，央視網(wǎng)，https://news.cctv.com/2022/04/13/ARTI4FaQrwUQQp4WbKJPC1Jn220413.shtml，2023 年9 月1 日訪問。對高風險數(shù)據(jù)進行重點管控并非我國獨創(chuàng)，而是很多國家的常見做法，盡管域外并沒有采用“重要數(shù)據(jù)”的概念。例如，美國2010 年以來建立了受控非密信息管理制度，〔3〕Executive Order 13556: Controlled Unclassified Information, Federal Register, Vol.75, No.216, November 9, 2010, pp.68675-68677.Controlled Unclassified Information (CUI), 32 C.F.R.Part 2002.將國家秘密之外的關(guān)鍵基礎(chǔ)設(shè)施、國防、金融等20 個大類125 個子類的敏感信息納入統(tǒng)一管理；2018 年8 月更新《外國投資風險審查現(xiàn)代化法》，〔4〕Foreign Investment Risk Review Modernization Act of 2018 (FIRRMA), Pub.L.No.115-232, 132 Stat.2173.將針對美國“敏感個人數(shù)據(jù)”商業(yè)的外國非控制性投資納入外資安全審查范圍，以避免這些數(shù)據(jù)被外國政府或主體獲取。無論是域外相關(guān)制度，還是我國專門立法，管控這種重要數(shù)據(jù)的主要理由就在于這些數(shù)據(jù)事關(guān)國家安全和公共利益。

從我國立法來看，重要數(shù)據(jù)概念最早出現(xiàn)在《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》）之中，該法規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施的重要數(shù)據(jù)的出境安全管理，此時重要數(shù)據(jù)主要是作為數(shù)據(jù)出境安全管理的對象。隨著數(shù)據(jù)安全風險成為國家安全的新挑戰(zhàn)，《數(shù)據(jù)安全法》將重要數(shù)據(jù)保護確立為一項獨立的國家數(shù)據(jù)安全管理制度，就重要數(shù)據(jù)的目錄管理、保護義務、風險評估、出境安全等提出了基本要求，重要數(shù)據(jù)保護已經(jīng)成為維護國家數(shù)據(jù)安全的核心制度。

保護重要數(shù)據(jù)的前提是確定重要數(shù)據(jù)的范圍。但什么是重要數(shù)據(jù)，如何認定重要數(shù)據(jù)，《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》并未給出明確規(guī)定，雖然近年來相關(guān)配套規(guī)定和國家標準對此進行了積極探索，但尚未形成統(tǒng)一協(xié)調(diào)的立法方案。目前《數(shù)據(jù)安全法》的配套行政法規(guī)《網(wǎng)絡數(shù)據(jù)安全管理條例》正在抓緊制定中，從國家網(wǎng)信辦2021 年11 月公布的該條例征求意見稿來看，相關(guān)條文對重要數(shù)據(jù)界定和認定的規(guī)定仍較為原則，難以滿足相關(guān)制度落地的迫切需要。

本文就是在此背景下，聚焦重要數(shù)據(jù)認定這一基礎(chǔ)性制度，厘清重要數(shù)據(jù)概念的界定，在梳理總結(jié)相關(guān)配套立法和國家標準探索經(jīng)驗的基礎(chǔ)上，提出完善我國重要數(shù)據(jù)認定制度的建議，以期能夠?qū)χ匾獢?shù)據(jù)認定和保護的配套立法提供有益參考。

一、重要數(shù)據(jù)認定是國家數(shù)據(jù)安全監(jiān)管的基礎(chǔ)

《數(shù)據(jù)安全法》第三章“數(shù)據(jù)安全制度”開篇在第21 條第1 款明確規(guī)定：“國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。”

可見，我國根據(jù)數(shù)據(jù)的重要程度和風險程度，對數(shù)據(jù)進行分類分級保護，將關(guān)系國家數(shù)據(jù)安全和公共利益的數(shù)據(jù)稱為“重要數(shù)據(jù)”，加強重要數(shù)據(jù)保護成為維護國家數(shù)據(jù)安全的關(guān)鍵所在。重要數(shù)據(jù)也成為《數(shù)據(jù)安全法》構(gòu)建國家數(shù)據(jù)安全管理制度的核心抓手，第四章就圍繞重要數(shù)據(jù)設(shè)定了多項“數(shù)據(jù)安全保護義務”。正因為重要數(shù)據(jù)是國家數(shù)據(jù)安全管理制度的基礎(chǔ)概念，明確重要數(shù)據(jù)范圍便成為國家數(shù)據(jù)安全監(jiān)管的基礎(chǔ)和起點，而這就需要盡快明確重要數(shù)據(jù)認定這一基礎(chǔ)性制度。

（一）重要數(shù)據(jù)認定的重要性和緊迫性

無論是從貫徹實施《數(shù)據(jù)安全法》的基本制度來看，還是從切實保障國家數(shù)據(jù)安全、促進數(shù)據(jù)開發(fā)利用的現(xiàn)實需要來看，明確重要數(shù)據(jù)認定制度都意義重大、迫在眉睫。

一是切實維護國家數(shù)據(jù)安全的必然要求。數(shù)據(jù)是國家基礎(chǔ)性戰(zhàn)略資源，數(shù)據(jù)安全風險已經(jīng)成為國家安全的新挑戰(zhàn)。為有效應對境內(nèi)外數(shù)據(jù)安全風險，《數(shù)據(jù)安全法》貫徹落實總體國家安全觀，加強國家數(shù)據(jù)安全工作的統(tǒng)籌協(xié)調(diào)，確立了數(shù)據(jù)分類分級保護、數(shù)據(jù)安全風險管理、數(shù)據(jù)安全應急處置和數(shù)據(jù)安全審查等國家數(shù)據(jù)安全管理基本制度。其中以數(shù)據(jù)分類分級為基礎(chǔ)，根據(jù)對國家安全、公共利益的影響，將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級，事關(guān)國家安全和公共利益的重要數(shù)據(jù)、核心數(shù)據(jù)及其處理活動，是這些基本制度重點關(guān)注的管控對象。而且明確由中央國家安全領(lǐng)導機構(gòu)建立的國家數(shù)據(jù)安全工作協(xié)調(diào)機制，負責統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，并加強對重要數(shù)據(jù)的保護，也充分體現(xiàn)了重要數(shù)據(jù)對國家數(shù)據(jù)安全的重要性。通過重要數(shù)據(jù)認定，可以明確重點保護和強化監(jiān)管范圍，有利于防范和應對數(shù)據(jù)這一非傳統(tǒng)領(lǐng)域的國家安全風險，切實維護國家主權(quán)、安全和發(fā)展利益。

二是落實數(shù)據(jù)安全保護義務的客觀需要。數(shù)字經(jīng)濟為人們生產(chǎn)生活帶來了極大便利，但同時各類數(shù)據(jù)的擁有主體多樣、處理活動復雜也帶來了嚴峻的數(shù)據(jù)安全風險。對此，《數(shù)據(jù)安全法》明確規(guī)定了一系列數(shù)據(jù)安全保護義務，尤其是根據(jù)數(shù)據(jù)風險程度設(shè)定了不同強度的保護義務，以切實維護國家安全、公共利益以及公民和組織的合法權(quán)益。其中對于事關(guān)國家安全和公共利益的重要數(shù)據(jù)，設(shè)定了特別保護義務，這包括重要數(shù)據(jù)處理者承擔的落實主體責任、定期風險評估、出境安全評估等義務，這些義務在《數(shù)據(jù)出境安全評估辦法》等配套法規(guī)中得到了進一步細化。這些特別保護義務的落地實施，需要數(shù)據(jù)處理者明確自身是否持有重要數(shù)據(jù)、持有哪些重要數(shù)據(jù)，而這離不開明確清晰的重要數(shù)據(jù)認定規(guī)則。通過重要數(shù)據(jù)認定，可以明確重要數(shù)據(jù)的保護范圍，落實重要數(shù)據(jù)處理者應盡的法定保護義務，有利于嚴格規(guī)范重要數(shù)據(jù)處理活動，切實加強重要數(shù)據(jù)安全保護，維護各方的合法權(quán)益。

三是促進數(shù)據(jù)要素價值釋放的重要舉措。數(shù)據(jù)已成為數(shù)字經(jīng)濟時代的基礎(chǔ)性資源和新型生產(chǎn)要素，〔5〕《中共中央、國務院關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見》（2022 年12 月2 日）。應該充分釋放數(shù)據(jù)要素價值，大力推動我國數(shù)字經(jīng)濟發(fā)展?！稊?shù)據(jù)安全法》統(tǒng)籌發(fā)展和安全，在規(guī)范數(shù)據(jù)處理活動的同時，第二章專章規(guī)定了支持促進數(shù)據(jù)安全與發(fā)展的措施，第五章就推動政務數(shù)據(jù)開放利用作出專門規(guī)定。不過其中有些規(guī)定的落地實施也必須考慮數(shù)據(jù)分類分級和重要數(shù)據(jù)保護制度。例如，第19 條規(guī)定了“國家建立健全數(shù)據(jù)交易管理制度，規(guī)范數(shù)據(jù)交易行為，培育數(shù)據(jù)交易市場”，但該條本身并不能明確何種數(shù)據(jù)可以交易。筆者認為，建立數(shù)據(jù)交易市場需要以數(shù)據(jù)分級分類為前提，考慮到重要數(shù)據(jù)事關(guān)國家安全和公共利益，原則上不應作為可以交易的數(shù)據(jù)。換言之，促進數(shù)據(jù)開發(fā)利用也必須以不危害國家安全和公共利益為基本前提，這就需要明確重點保護和強化監(jiān)管的重要數(shù)據(jù)的范圍。通過重要數(shù)據(jù)認定，可以明確數(shù)據(jù)開發(fā)利用的合法空間，有利于充分釋放數(shù)據(jù)要素價值，更好地服務我國經(jīng)濟社會發(fā)展。

作為國家數(shù)據(jù)安全監(jiān)管的基礎(chǔ)性制度，重要數(shù)據(jù)認定〔6〕我國國家標準往往將“重要數(shù)據(jù)認定”稱為“重要數(shù)據(jù)識別”，筆者認為無論是“識別”還是“認定”，都是強調(diào)從海量數(shù)據(jù)中挑出“重要數(shù)據(jù)”，只不過前者是技術(shù)層面的慣常用語，后者是法律層面的慣常用語，本文對二者不作區(qū)分，援引文獻時遵照其原本表述。制度主要是解決如何確定重要數(shù)據(jù)具體范圍的問題，而解決這一問題就要首先明確什么是重要數(shù)據(jù)。

（二）厘清重要數(shù)據(jù)概念的界定

《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》本身并未規(guī)定重要數(shù)據(jù)的定義，界定重要數(shù)據(jù)的任務留給了相關(guān)配套立法。在《數(shù)據(jù)安全法》出臺之前，對重要數(shù)據(jù)的界定，主要出現(xiàn)在《網(wǎng)絡安全法》數(shù)據(jù)出境安全管理配套規(guī)定草案之中。2017 年4 月，國家網(wǎng)信辦發(fā)布的《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》第17 條規(guī)定重要數(shù)據(jù)“是指與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國家有關(guān)標準和重要數(shù)據(jù)識別指南”。2017 年5 月公布的國家標準《信息安全技術(shù) 數(shù)據(jù)出境安全評估指南（草案）》，〔7〕本文引用的信息安全技術(shù)國家標準，首次引用時注明全稱，后續(xù)再引時為行文簡潔，省去名稱中的“信息安全技術(shù)”。將重要數(shù)據(jù)界定為“與國家安全、經(jīng)濟發(fā)展，以及社會公共利益密切相關(guān)的數(shù)據(jù)”，并嘗試在附錄《重要數(shù)據(jù)識別指南》中列出其具體范圍。為了強化數(shù)據(jù)安全監(jiān)管，國家網(wǎng)信辦2019 年5 月發(fā)布了《數(shù)據(jù)安全管理辦法（征求意見稿）》，將“重要數(shù)據(jù)”界定為“一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)，如未公開的政府信息，大面積人口、基因健康、地理、礦產(chǎn)資源等”，并且明確指出“重要數(shù)據(jù)一般不包括企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個人信息等”。

在《數(shù)據(jù)安全法》出臺之后，界定重要數(shù)據(jù)成為相關(guān)配套規(guī)定的首要任務。2021 年8 月，國家網(wǎng)信辦等五部門發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第3 條第6 款規(guī)定：“重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)?！?021 年11 月，國家網(wǎng)信辦發(fā)布的《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》（以下簡稱《條例（征求意見稿）》）第73 條規(guī)定“重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)”。2022 年7 月，國家網(wǎng)信辦發(fā)布的《數(shù)據(jù)出境安全評估辦法》第19 條將“重要數(shù)據(jù)”界定為“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用等，可能危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等的數(shù)據(jù)”?？偨Y(jié)來看，這些規(guī)定界定重要數(shù)據(jù)主要從數(shù)據(jù)被不法處理或利用所影響的對象入手，而影響對象的表述逐漸完善和清晰，從“國家安全、公共利益或者個人、組織合法權(quán)益”，到“國家安全、公共利益”，再到細化為“國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全”。從保護重要數(shù)據(jù)以維護國家數(shù)據(jù)安全的制度定位來看，將重要數(shù)據(jù)的影響對象限于國家安全和公共利益才能符合立法初衷，而考慮到公共利益的內(nèi)涵和外延較為寬泛，將公共利益細化為“經(jīng)濟運行、社會穩(wěn)定、公共健康和安全”確實較為妥當。

需要指出的是，有些配套規(guī)定和國家標準界定重要數(shù)據(jù)時，還考慮了數(shù)據(jù)對影響對象造成的影響程度。工信部2022 年12 月印發(fā)的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》，雖然并未明確給出重要數(shù)據(jù)的定義，但在第10 條從數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用造成的影響程度入手，明確了認定重要數(shù)據(jù)的基本條件：對政治、軍事、經(jīng)濟、生物等國家安全重點領(lǐng)域構(gòu)成“威脅或影響”即可，而對工業(yè)和信息化領(lǐng)域生產(chǎn)運行、公共利益、行業(yè)發(fā)展等方面則應“造成嚴重影響”的程度。《網(wǎng)絡數(shù)據(jù)分類分級要求（征求意見稿）》也有類似的規(guī)定，將危害程度分為“特別嚴重危害、嚴重危害和一般危害”，認為從數(shù)據(jù)遭到不法處理或利用的后果來看，可能對國家安全造成一般危害，對經(jīng)濟運行造成一般危害或嚴重危害，對社會穩(wěn)定、公共利益造成嚴重危害的，可以確定為重要數(shù)據(jù)。筆者認為，鑒于國家安全包括“經(jīng)濟安全”，對“公共利益”層面的“經(jīng)濟運行”，影響程度設(shè)定為“嚴重危害”較為妥當。

綜上，按照《數(shù)據(jù)安全法》數(shù)據(jù)分類分級保護的要求，總結(jié)目前相關(guān)配套規(guī)定和國家標準的表述，從數(shù)據(jù)的影響對象和影響程度出發(fā)，本文認為可以將“重要數(shù)據(jù)”界定為“特定領(lǐng)域、特定群體、特定區(qū)域或達到一定精度和規(guī)模，不涉及國家秘密，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接威脅國家安全或者嚴重危害經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)”。

二、我國重要數(shù)據(jù)認定制度的探索與現(xiàn)狀

重要數(shù)據(jù)認定制度主要是回答如何確定重要數(shù)據(jù)具體范圍的問題，這涉及由誰認定、怎樣認定等具體問題，對此我國相關(guān)配套規(guī)定和國家標準進行了積極探索，從嘗試列舉重要數(shù)據(jù)具體范圍到轉(zhuǎn)向規(guī)定重要數(shù)據(jù)認定規(guī)則，逐漸形成了一定的制度共識。

（一）前期嘗試：列舉具體范圍

在《數(shù)據(jù)安全法》出臺之前，《網(wǎng)絡安全法》只是在關(guān)鍵信息基礎(chǔ)設(shè)施保護制度中對重要數(shù)據(jù)出境管理作了原則規(guī)定，并沒有規(guī)定重要數(shù)據(jù)的認定主體和認定方式，當時草擬的數(shù)據(jù)出境管理配套規(guī)定如前所述僅給出了重要數(shù)據(jù)的定義，只有2017 年國家標準《數(shù)據(jù)出境安全評估指南（草案）》在附錄中納入了《重要數(shù)據(jù)識別指南》。該指南是國內(nèi)認定重要數(shù)據(jù)的最早嘗試，不僅列出了27個行業(yè)（領(lǐng)域）〔8〕這27 個行業(yè)（領(lǐng)域）包括：石油天然氣、煤炭、石化、電力、通信、電子信息、鋼鐵、有色金屬、裝備制造、化學工業(yè)、國防軍工、其他工業(yè)、地理信息、民用核設(shè)施、交通運輸、郵政快遞、水利、人口健康、金融、征信、食品藥品、統(tǒng)計、氣象、環(huán)境保護、廣播電視、海洋環(huán)境、電子商務。負責認定重要數(shù)據(jù)的主管部門，還根據(jù)標準給出的定義和行業(yè)（領(lǐng)域）主管部門相關(guān)規(guī)定，列出了這些行業(yè)（領(lǐng)域）重要數(shù)據(jù)的具體范圍。以“通信”行業(yè)為例，明確負責認定的主管部門是工信部，重要數(shù)據(jù)包括但不限于規(guī)劃建設(shè)類、運行維護類、安全保障類、無線電、統(tǒng)計分析類和其他等6類數(shù)據(jù)。此外，考慮到重要數(shù)據(jù)涉及范圍眾多，該指南還列出了其他行業(yè)（領(lǐng)域）判斷、識別重要數(shù)據(jù)的10 大考慮因素。但仔細來看，該指南的具體列舉明顯存在重要數(shù)據(jù)范圍泛化、列舉類型界限模糊、可操作性不強等問題。

正因如此，全國信息安全標準化技術(shù)委員會2019 年啟動了“重要數(shù)據(jù)識別指南”標準研究修訂工作，2020 年9 月版的國家標準《信息安全技術(shù) 重要數(shù)據(jù)識別指南（征求意見稿）》，已經(jīng)初步放棄了試圖全面列舉主要行業(yè)或領(lǐng)域重要數(shù)據(jù)具體范圍的做法，而是從8 個方面刻畫了“重要數(shù)據(jù)的特征”，以供各行業(yè)或領(lǐng)域主管部門具體認定參考。這8 個方面包括：與經(jīng)濟運行相關(guān)、與人口和健康相關(guān)、與自然資源和環(huán)境相關(guān)、與科學技術(shù)相關(guān)、與安全保護相關(guān)、與應用服務相關(guān)、與政務活動相關(guān)以及其他。但仔細來看，這8 個方面特征之下的子特征，有的還是延續(xù)了按行業(yè)或領(lǐng)域進行具體列舉的思路，例如，“與自然資源和環(huán)境相關(guān)”特征下的子特征“涉及地理信息”所提及的大部分重要數(shù)據(jù)與2017 年《重要數(shù)據(jù)識別指南》“地理信息”領(lǐng)域所列的重要數(shù)據(jù)基本一致。這說明2020 年該國家標準的起草還是沒有擺脫“具體列舉”思路的影響。

這種“具體列舉”的思路實際也影響了一些配套規(guī)定的制定。2021 年8 月發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第3 條除了界定重要數(shù)據(jù)外，還具體列出了汽車數(shù)據(jù)領(lǐng)域的重要數(shù)據(jù)，明確包括重要敏感區(qū)域的地理信息、人員流量、車輛流量等數(shù)據(jù)，車輛流量、物流等反映經(jīng)濟運行情況的數(shù)據(jù)，汽車充電網(wǎng)的運行數(shù)據(jù)，包含人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)，超過10 萬人的個人信息，以及作為“兜底”的其他可能危害國家安全、公共利益或者個人、組織合法權(quán)益的數(shù)據(jù)。暫不論該規(guī)定重要數(shù)據(jù)定義的問題，考慮到汽車數(shù)據(jù)既涉及汽車本身的技術(shù)數(shù)據(jù)，也涉及駕駛?cè)说认嚓P(guān)主體的數(shù)據(jù)和駕駛環(huán)境數(shù)據(jù)等，這種列舉確實不可避免地會存在遺漏，已列舉的一些數(shù)據(jù)如人臉信息等也不必然與國家安全和公共利益有關(guān)，可能不屬于重要數(shù)據(jù)。

2021 年11 月的《條例（征求意見稿）》第73 條除了規(guī)定重要數(shù)據(jù)定義外，還具體列舉了7 大類重要數(shù)據(jù)，其中包括未公開的政務數(shù)據(jù)、工作秘密、情報數(shù)據(jù)，出口管制數(shù)據(jù)，依法需要保護或者控制傳播的國家經(jīng)濟運行數(shù)據(jù)，工業(yè)、電信、能源、交通等重點行業(yè)和領(lǐng)域安全生產(chǎn)、運行的數(shù)據(jù)等。但這些具體列舉明顯存在問題：一是將某些領(lǐng)域的數(shù)據(jù)整個納入“重要數(shù)據(jù)”，并沒有考慮“重要”程度，比如工業(yè)、電信、能源、交通等“重點行業(yè)和領(lǐng)域安全生產(chǎn)、運行的數(shù)據(jù)”，使得重要數(shù)據(jù)寬泛化；二是所列舉的7 類數(shù)據(jù)在邏輯層次上并不一致，存在著大量交叉和重復；三是有些列出的具體數(shù)據(jù)類型，內(nèi)涵并不清晰，甚至有可能涉及構(gòu)成“國家秘密”，比如“未公開的政務數(shù)據(jù)、工作秘密、情報數(shù)據(jù)”，而《數(shù)據(jù)安全法》第53條明確排除了“涉及國家秘密的數(shù)據(jù)處理活動”，重要數(shù)據(jù)不應該包括“國家秘密”。

由上可知，鑒于重要數(shù)據(jù)所涉行業(yè)或領(lǐng)域的廣泛性和復雜性，不可能在配套立法中全面列舉出重要數(shù)據(jù)的具體范圍，認定重要數(shù)據(jù)的“具體列舉”路徑是行不通的。

（二）校正轉(zhuǎn)向：規(guī)定認定規(guī)則

《數(shù)據(jù)安全法》將重要數(shù)據(jù)保護作為維護國家數(shù)據(jù)安全的一項獨立的基礎(chǔ)制度，從數(shù)據(jù)分類分級保護角度提出了加強重要數(shù)據(jù)保護的基本要求，并對重要數(shù)據(jù)的認定主體和認定方式作出原則性規(guī)定：先由“國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄”，再由各地區(qū)、各部門“按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄”。這種先在國家層面確定“重要數(shù)據(jù)目錄”，再由各地方、各部門據(jù)此制定行業(yè)或領(lǐng)域“重要數(shù)據(jù)具體目錄”的規(guī)定，實際是初步規(guī)定了一種“自上而下”的重要數(shù)據(jù)認定規(guī)則。這說明《數(shù)據(jù)安全法》校正了重要數(shù)據(jù)認定的立法思路，放棄了之前并不可行的“具體列舉”，轉(zhuǎn)向規(guī)定重要數(shù)據(jù)認定規(guī)則。

《數(shù)據(jù)安全法》的校正轉(zhuǎn)向，指明了繼續(xù)探索和完善重要數(shù)據(jù)認定制度的正確方向。此后的行業(yè)配套規(guī)定和國家標準隨之開始將探索重點轉(zhuǎn)向規(guī)定重要數(shù)據(jù)認定規(guī)則?！稐l例（征求意見稿）》第27 條原則上規(guī)定，各地區(qū)、各部門按照“國家有關(guān)要求和標準”，組織數(shù)據(jù)處理者識別重要數(shù)據(jù)，組織制定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域重要數(shù)據(jù)目錄，并報國家網(wǎng)信部門，實際將重要數(shù)據(jù)認定細則留給國家標準去明確。2022 年4 月公布的《重要數(shù)據(jù)識別規(guī)則（征求意見稿）》，相較于前述2020 年9 月的版本，取消了對重要數(shù)據(jù)特征的描述，表面上看是“因為這些特征依然不可避免地涉及行業(yè)分類”，深層原因在于上文所述有些特征描述延續(xù)了“具體列舉”的思路而并不可行；其轉(zhuǎn)而從數(shù)據(jù)影響而非數(shù)據(jù)類型角度，列出了識別重要數(shù)據(jù)的19 項考慮因素，除了作為“兜底”的其他因素外，包括涉及“國家安全”的16 項因素，以及涉及“公共利益”的2 項因素，以供各地區(qū)、各部門制定重要數(shù)據(jù)具體目錄參考。標準起草人指出，該標準的定位不是“取代各部門的相關(guān)政策”，而是各地區(qū)、各部門基于標準提出的重要數(shù)據(jù)識別因素，根據(jù)具體情況制定本地區(qū)、本行業(yè)的重要數(shù)據(jù)識別標準規(guī)范。

其中，國家安全方面的考慮因素，基本按照總體國家安全觀涵蓋的16 個領(lǐng)域展開，描述了影響“政治、軍事、國土、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核、海外利益、太空、深海、極地、生物”〔9〕這就是總體國家安全觀涵蓋的16 個領(lǐng)域。參見《中共中央關(guān)于黨的百年奮斗重大成就和歷史經(jīng)驗的決議》，人民出版社2021 年版，第56 頁。等領(lǐng)域國家安全的識別因素，例如，影響“政治安全”的識別因素表述為“直接影響政權(quán)安全、政治制度、國家主權(quán)、意識形態(tài)安全，如用以實施社會動員的數(shù)據(jù)等屬于重要數(shù)據(jù)”；影響“網(wǎng)絡安全”的識別因素列成了2 項，影響“太空、深海、極地安全”的識別因素列為了1 項，此外還將影響“政務數(shù)據(jù)安全”的識別因素單獨列為了1 項，具體表述為“未公開的政務數(shù)據(jù)、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)，如未公開的統(tǒng)計數(shù)據(jù)等屬于重要數(shù)據(jù)”。公共利益方面的考慮因素又包括2 項識別因素，即影響“經(jīng)濟運行與社會穩(wěn)定”和“公共健康和安全”的識別因素。

行業(yè)配套規(guī)定以工信領(lǐng)域的探索為代表。2022 年12 月，工信部印發(fā)《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》（以下簡稱《辦法（試行）》），進一步細化了工信領(lǐng)域重要數(shù)據(jù)認定規(guī)則。一是“自上而下”明確了認定主體。工信部組織制定工業(yè)和信息化領(lǐng)域重要數(shù)據(jù)識別認定標準規(guī)范；地方行業(yè)監(jiān)管部門〔10〕該辦法規(guī)定的地方行業(yè)監(jiān)管部門，包括各省、自治區(qū)、直轄市及計劃單列市、新疆生產(chǎn)建設(shè)兵團工業(yè)和信息化主管部門，各省、自治區(qū)、直轄市通信管理局和無線電管理機構(gòu)，可以看出這里的地方行業(yè)監(jiān)管部門至少為副省級。組織開展本地區(qū)重要數(shù)據(jù)識別工作，確定本地區(qū)重要數(shù)據(jù)具體目錄并上報工信部；數(shù)據(jù)處理者按照相關(guān)標準規(guī)范識別重要數(shù)據(jù)，形成本單位的具體目錄。二是明確了認定條件。從數(shù)據(jù)影響對象和影響程度入手明確了重要數(shù)據(jù)的認定條件：威脅或影響政治、軍事、經(jīng)濟、生物等國家安全重點領(lǐng)域；對工信領(lǐng)域生產(chǎn)、運行和經(jīng)濟利益等造成嚴重影響；造成重大數(shù)據(jù)安全事件或生產(chǎn)安全事故，對公共利益或者個人、組織合法權(quán)益造成嚴重影響，社會負面影響大；引發(fā)的級聯(lián)效應明顯，影響范圍廣或者影響持續(xù)時間長，對行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成嚴重影響等。影響對象基本按照國家安全和公共利益兩大方面展開。三是明確了認定程序。數(shù)據(jù)處理者應當將本單位重要數(shù)據(jù)目錄向本地區(qū)行業(yè)監(jiān)管部門備案；〔11〕備案內(nèi)容包括但不限于數(shù)據(jù)來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況，不包括數(shù)據(jù)內(nèi)容本身。監(jiān)管部門應當在提交備案申請的20 個工作日內(nèi)完成審核工作，備案內(nèi)容符合要求的，予以備案，同時將備案情況報工信部；不予備案的應當及時反饋備案申請人并說明理由，備案申請人應當在收到反饋情況后的15 個工作日內(nèi)再次提交備案申請。

該辦法頒行之后，上海、江蘇等地通信管理局部署開展電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全專項行動，〔12〕上海市通信管理局2023 年2 月發(fā)布《關(guān)于開展“浦江護航”2023 年電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全專項行動的通知》，江蘇省通信管理局2023 年4 月發(fā)布《關(guān)于開展2023 年“數(shù)安護航”電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全專項行動的通知》。積極探索落實重要數(shù)據(jù)識別認定及目錄管理工作。根據(jù)公開披露的信息，上海和江蘇認定重要數(shù)據(jù)的探索試點，主要依據(jù)是正在制訂的通信行業(yè)標準《電信領(lǐng)域重要數(shù)據(jù)和核心數(shù)據(jù)識別指南》，該標準內(nèi)部試行版將電信領(lǐng)域數(shù)據(jù)分為網(wǎng)絡規(guī)劃運維數(shù)據(jù)、安全保障數(shù)據(jù)、經(jīng)濟運行與業(yè)務發(fā)展數(shù)據(jù)、關(guān)鍵技術(shù)成果數(shù)據(jù)和其他等5 類，每類數(shù)據(jù)又分為一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)三級。這5 類數(shù)據(jù)認定為重要數(shù)據(jù)的條件分別為：能夠反映重要網(wǎng)絡設(shè)施和信息系統(tǒng)規(guī)劃、建設(shè)、運維等總體發(fā)展情況的數(shù)據(jù)；能夠反映重要網(wǎng)絡設(shè)施和信息系統(tǒng)〔13〕判斷網(wǎng)絡規(guī)劃運維數(shù)據(jù)、安全保障數(shù)據(jù)是否屬于重要數(shù)據(jù)的基本標準為是否涉及重要網(wǎng)絡設(shè)施和信息系統(tǒng)。據(jù)披露，重要網(wǎng)絡設(shè)施和信息系統(tǒng)主要包括骨干網(wǎng)、衛(wèi)星通信網(wǎng)、域名解析系統(tǒng)，或者市值、用戶活躍度達到一定數(shù)量的數(shù)據(jù)處理者的三級以上網(wǎng)絡設(shè)施和信息系統(tǒng)（通信網(wǎng)絡定級，非公安等保定級）。參見孫鵬程、沈鑫瑤：《電信和互聯(lián)網(wǎng)行業(yè)重要數(shù)據(jù)識別探索》，載光明網(wǎng)，https://topics.gmw.cn/2023-05/18/content_36568904.htm，2023 年9 月1 日訪問。安全保障情況以及重大應急通信保障情況的數(shù)據(jù)；能夠反映我國電信/互聯(lián)網(wǎng)領(lǐng)域經(jīng)濟運行總體情況與核心業(yè)務發(fā)展情況的數(shù)據(jù)；能夠反映我國先進信息通信技術(shù)與產(chǎn)品發(fā)展水平的數(shù)據(jù)；收集和產(chǎn)生的達到一定數(shù)量或影響一定范圍的個人數(shù)據(jù)，其他一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的電信數(shù)據(jù)?！?4〕陶然彩：《“浦江護航”數(shù)據(jù)安全專項行動——電信和互聯(lián)網(wǎng)企業(yè)如何開展數(shù)據(jù)安全風險評估》，載“賽博研究院”微信公眾號，https://mp.weixin.qq.com/s/S5r285mxHqDR8rQSmLuVbg，2023 年9 月1 日訪問。

（三）基于探索共識制定共通規(guī)則

總結(jié)來看，對于重要數(shù)據(jù)認定，由于所涉行業(yè)或領(lǐng)域的廣泛性和復雜性，無論是配套行政規(guī)章，還是相關(guān)國家標準，都已經(jīng)放棄了之前嘗試列舉具體范圍的做法，開始轉(zhuǎn)向細化規(guī)定重要數(shù)據(jù)的認定規(guī)則。而圍繞認定主體和認定方式等問題，目前對認定規(guī)則的探索已經(jīng)形成了一定的共識：各行業(yè)各領(lǐng)域的重要數(shù)據(jù)認定，應由相應主管部門負責，需要制定相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)認定標準規(guī)范并據(jù)此開展認定工作；重要數(shù)據(jù)認定條件和標準的設(shè)定，應從數(shù)據(jù)對國家安全和公共利益兩大方面對象的影響入手，對經(jīng)濟運行、社會穩(wěn)定等公共利益的影響應當達到嚴重影響的程度；重要數(shù)據(jù)認定需要遵循一定的程序，為此工信部規(guī)定了“數(shù)據(jù)處理者提交備案、主管部門限期審核”的模式。

需要指出的是，這些共識目前只是反映在個別行業(yè)的配套規(guī)定和相關(guān)標準之中，尚未成為普遍適用的規(guī)則，很多行業(yè)或領(lǐng)域?qū)θ绾握J定重要數(shù)據(jù)仍然存在困惑和疑問。從已經(jīng)制定或正在制定的行業(yè)配套規(guī)定和相關(guān)標準來看，在重要數(shù)據(jù)認定的制度定位和具體方式上還存在一些值得注意的不同認識。例如，2023 年7 月發(fā)布的《中國人民銀行業(yè)務領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》，雖然將數(shù)據(jù)分為一般、重要、核心三級，但也同時提出了根據(jù)數(shù)據(jù)敏感性、可用性劃分層級的規(guī)定，其中將數(shù)據(jù)項敏感性從低至高進一步分為5 個層級，而數(shù)據(jù)層級劃分和重要數(shù)據(jù)認定是何種關(guān)系尚不明確。

本文認為，雖然不同行業(yè)或領(lǐng)域存在特殊性和復雜性，特定行業(yè)或領(lǐng)域的重要數(shù)據(jù)具體認定規(guī)則應按行業(yè)或領(lǐng)域單獨制定，但仍有必要在《網(wǎng)絡數(shù)據(jù)安全管理條例》等基本配套立法中明確重要數(shù)據(jù)認定的負責主體、基本條件和基本程序等中觀層面的共通規(guī)則，一方面可以有力指導各行業(yè)各領(lǐng)域就重要數(shù)據(jù)制定具體認定規(guī)則和開展認定工作，另一方面也有利于形成統(tǒng)一協(xié)調(diào)的重要數(shù)據(jù)認定和保護制度體系。

三、關(guān)于完善我國重要數(shù)據(jù)認定制度的建議

總結(jié)我國相關(guān)配套立法和國家標準的探索來看，鑒于重要數(shù)據(jù)所涉行業(yè)或領(lǐng)域的廣泛性和復雜性，立法不可能列舉出重要數(shù)據(jù)的具體范圍，但可以規(guī)定重要數(shù)據(jù)認定制度作為替代；雖然不同行業(yè)或領(lǐng)域認定重要數(shù)據(jù)的具體規(guī)則差異較大，但在領(lǐng)導體制、認定條件、認定程序方面具有一定的制度共識，存在提煉共通規(guī)則的可能。為構(gòu)建統(tǒng)一協(xié)調(diào)的重要數(shù)據(jù)保護制度體系，建議進一步完善我國重要數(shù)據(jù)認定制度，在《網(wǎng)絡數(shù)據(jù)安全管理條例》（以下簡稱《條例》）配套行政法規(guī)中對重要數(shù)據(jù)認定共通規(guī)則作出系統(tǒng)規(guī)定。具體而言包括以下幾個方面：

（一）構(gòu)建基于風險的認定規(guī)則體系

重要數(shù)據(jù)保護是數(shù)據(jù)分類分級保護制度的重要內(nèi)容，而數(shù)據(jù)分類分級的依據(jù)在于數(shù)據(jù)的重要性和風險性，目的在于對不同風險程度的數(shù)據(jù)匹配不同的保護要求，以有效管控數(shù)據(jù)安全風險，數(shù)據(jù)分類分級保護本身就是一種基于風險的規(guī)制方法。因此，重要數(shù)據(jù)保護也應當堅持基于風險的規(guī)制方法，構(gòu)建基于風險的重要數(shù)據(jù)認定規(guī)則體系。由于不可能實現(xiàn)絕對安全，基于風險的規(guī)制就應該接受一定風險的存在，這也是統(tǒng)籌發(fā)展和安全的應有之義。對重要數(shù)據(jù)認定而言，應該恪守重要數(shù)據(jù)重點保護和管控高風險數(shù)據(jù)的基線，避免重要數(shù)據(jù)認定的泛化，避免以安全之名不當阻礙數(shù)據(jù)的正常利用。

構(gòu)建基于風險的認定規(guī)則體系，就是按照基于風險的方法來設(shè)定重要數(shù)據(jù)認定的負責主體、條件標準、方式機制等一系列規(guī)則。由此可以得出主要規(guī)則設(shè)定的基本思路：

一是在負責主體上，應該依靠行業(yè)主管部門。數(shù)據(jù)安全風險來自數(shù)據(jù)的處理活動，數(shù)據(jù)處理活動又因不同行業(yè)不同領(lǐng)域而存在較大差異，因而行業(yè)主管部門對本行業(yè)本領(lǐng)域數(shù)據(jù)處理活動產(chǎn)生的風險最為熟悉，本行業(yè)本領(lǐng)域的重要數(shù)據(jù)理應由其負責認定?！稊?shù)據(jù)安全法》第6 條第1 款就明確規(guī)定：“各地區(qū)、各部門對本地區(qū)、本部門工作中收集和產(chǎn)生的數(shù)據(jù)及數(shù)據(jù)安全負責?！?/p>

二是在認定條件上，應該聚焦國家安全風險。從保護重要數(shù)據(jù)以管控國家數(shù)據(jù)安全風險的制度定位來看，認定條件應該強調(diào)數(shù)據(jù)對國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全造成的重大風險，僅影響個人、組織的數(shù)據(jù)不應認定為重要數(shù)據(jù)。

三是在認定方式上，應該進行充分的風險評估。應根據(jù)數(shù)據(jù)所在領(lǐng)域、具體用途、利用方式等，并考慮數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用后造成的影響，以定性和定量相結(jié)合的方式充分評估數(shù)據(jù)安全風險，據(jù)此判斷是否屬于重要數(shù)據(jù)。

四是在程序機制上，應該對認定結(jié)果進行動態(tài)管理?？紤]到數(shù)據(jù)的重要性可能隨著數(shù)據(jù)具體用途、利用方式等方面的變化而發(fā)生變化，為如實反映重要數(shù)據(jù)的實際情況，應該對重要數(shù)據(jù)認定結(jié)果引入適時調(diào)整程序和動態(tài)管理機制。

從這些主要規(guī)則設(shè)定的基本思路中也可以提煉出重要數(shù)據(jù)認定制度的基本原則，那就是依靠行業(yè)監(jiān)管、聚焦國家安全、基于風險評估以及實施動態(tài)管理。

（二）明確重要數(shù)據(jù)認定的領(lǐng)導體制

《條例（征求意見稿）》第27 條只是原則上規(guī)定，各地區(qū)、各部門按照“國家有關(guān)要求和標準”，組織數(shù)據(jù)處理者識別重要數(shù)據(jù)，組織制定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域重要數(shù)據(jù)目錄，并報國家網(wǎng)信部門；第29 條規(guī)定“重要數(shù)據(jù)的處理者，應當在識別其重要數(shù)據(jù)后的十五個工作日內(nèi)向設(shè)區(qū)的市級網(wǎng)信部門備案”，“依據(jù)部門職責分工，網(wǎng)信部門與有關(guān)部門共享備案信息”。這似乎原則上確立了以網(wǎng)信部門為中心的重要數(shù)據(jù)認定領(lǐng)導體制，但并沒有充分發(fā)揮行業(yè)或領(lǐng)域主管部門應有的監(jiān)管職能。

而根據(jù)《數(shù)據(jù)安全法》的規(guī)定，在重要數(shù)據(jù)認定和保護方面，國家數(shù)據(jù)安全工作協(xié)調(diào)機制負責統(tǒng)籌協(xié)調(diào)，各地區(qū)、各部門負責確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄，并對列入目錄的數(shù)據(jù)進行重點保護。上述規(guī)定顯然偏離了上位法的精神，更沒有達成細化上位法的目的。而且從工信等行業(yè)領(lǐng)域的實踐探索來看，由于行業(yè)領(lǐng)域的特殊性和復雜性，也是由行業(yè)或領(lǐng)域的主管部門負責重要數(shù)據(jù)的具體認定。

從落實《數(shù)據(jù)安全法》基本制度設(shè)計出發(fā)，本文認為《條例》應該從三方面細化明確重要數(shù)據(jù)認定的領(lǐng)導體制：一是明確各行業(yè)各領(lǐng)域的重要數(shù)據(jù)認定工作由相應的主管部門負責。工業(yè)、電信、交通、金融、自然資源、衛(wèi)生健康、教育、科技等主管部門負責制定本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)認定規(guī)則，〔15〕認定規(guī)則的形式包括但不限于行政規(guī)章、國家標準、行業(yè)標準、技術(shù)指南等。據(jù)此指導各地區(qū)開展本行業(yè)、本領(lǐng)域的具體認定工作，并基于各地認定結(jié)果，制定本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)具體目錄。

二是明確各地區(qū)的重要數(shù)據(jù)認定工作由各行業(yè)各領(lǐng)域的省級主管部門（以下簡稱省級行業(yè)主管部門）負責?？紤]到重要數(shù)據(jù)事關(guān)國家安全、公共利益，具體判定需要一定的專業(yè)性和工作力量，借鑒工信部《辦法（試行）》的經(jīng)驗，本文認為將地方認定工作負責主體設(shè)定為省級行業(yè)主管部門較為妥當。省級行業(yè)主管部門負責組織受管轄的數(shù)據(jù)處理者按照本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)認定規(guī)則開展認定工作，審核數(shù)據(jù)處理者報送的認定結(jié)果，確定本地區(qū)的重要數(shù)據(jù)具體目錄并上報相應的國家主管部門。

三是落實國家數(shù)據(jù)安全工作協(xié)調(diào)機制的統(tǒng)籌協(xié)調(diào)職能。明確各行業(yè)各領(lǐng)域主管部門制定的特定行業(yè)或領(lǐng)域的重要數(shù)據(jù)認定規(guī)則，應當報國家數(shù)據(jù)安全工作協(xié)調(diào)機制備案，各行業(yè)各領(lǐng)域主管部門應當根據(jù)通過備案的重要數(shù)據(jù)認定規(guī)則開展認定工作，形成特定行業(yè)或領(lǐng)域的重要數(shù)據(jù)具體目錄，并及時報送國家數(shù)據(jù)安全工作協(xié)調(diào)機制。

（三）細化重要數(shù)據(jù)認定的條件標準

雖然應按行業(yè)或領(lǐng)域單獨制定重要數(shù)據(jù)具體認定規(guī)則，但為貫徹《數(shù)據(jù)安全法》的統(tǒng)一要求，指導規(guī)范行業(yè)或領(lǐng)域具體認定規(guī)則的制定，仍有必要在《條例》中細化明確重要數(shù)據(jù)認定的基本條件和判斷標準。本文認為，這種基本認定條件和判斷標準應該基于重要數(shù)據(jù)的界定，從重要數(shù)據(jù)定義的核心要素適當展開而來，如此才可以反映重要數(shù)據(jù)保護的制度價值，為具體認定規(guī)則的制定提供統(tǒng)一指引。結(jié)合前述重要數(shù)據(jù)定義和行業(yè)探索經(jīng)驗，具體可以從重要數(shù)據(jù)的影響對象和影響程度兩方面進行細化。

一是細化重要數(shù)據(jù)的影響對象。從《數(shù)據(jù)安全法》的制度定位來看，影響對象應該限于國家安全和公共利益兩大方面，而排除單純個人、組織的合法權(quán)益。前者可以根據(jù)總體國家安全觀細化為“政治、軍事、國土、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核、海外利益、太空、深海、極地、生物”等16 個重點領(lǐng)域的國家安全；后者可以基于既有探索細化為“經(jīng)濟運行、社會穩(wěn)定、公共健康和安全”等3 塊重點內(nèi)容。二是細化重要數(shù)據(jù)的影響程度?？紤]到大數(shù)據(jù)時代下，數(shù)據(jù)聚合利用的可能，〔16〕劉金瑞：《數(shù)據(jù)安全范式革新及其立法展開》，載《環(huán)球法律評論》2021 年第1 期。幾乎所有數(shù)據(jù)都可能與國家安全、公共利益有關(guān)，應該從數(shù)據(jù)影響程度上作適當限定，以突出“重要”的應有之義，本文認為對于國家安全的影響可以限定為“直接威脅”，對公共利益的影響可以限定為“嚴重危害”。

由此，建議在《條例》中對重要數(shù)據(jù)認定的基本條件和判斷標準作如下規(guī)定：各行業(yè)、各領(lǐng)域主管部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H，制定重要數(shù)據(jù)認定規(guī)則，應當將一旦遭到篡改、破壞、泄露或者非法獲取、非法利用而造成下列危害后果的數(shù)據(jù)認定為重要數(shù)據(jù)：（1）對政治、軍事、國土、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核、海外利益、太空、深海、極地、生物等領(lǐng)域國家安全構(gòu)成直接威脅；（2）對經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等公共利益造成嚴重危害。對于其中的16 個國家安全重點領(lǐng)域和3 塊公共利益重點內(nèi)容之下的具體考慮因素，各行業(yè)、各領(lǐng)域的重要數(shù)據(jù)認定規(guī)則，結(jié)合本行業(yè)、本領(lǐng)域具體情況可作進一步細化。

（四）厘清重要數(shù)據(jù)認定的疑難界分

在重要數(shù)據(jù)具體認定中，如何界分重要數(shù)據(jù)與核心數(shù)據(jù)、個人信息的關(guān)系是亟須解決的疑難問題。前述重要數(shù)據(jù)的界定及其認定條件的細化，為解決這些難題提供了基本依據(jù)，在此基礎(chǔ)上本文對這些疑難界分作如下厘清。

對于核心數(shù)據(jù)和重要數(shù)據(jù)的關(guān)系，《數(shù)據(jù)安全法》第21 條第2 款規(guī)定“關(guān)系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等數(shù)據(jù)屬于國家核心數(shù)據(jù)，實行更加嚴格的管理制度”，這里的“更加嚴格”是相較于第1 款“重要數(shù)據(jù)”而言的，可見核心數(shù)據(jù)應該是比重要數(shù)據(jù)更重要的數(shù)據(jù)。筆者認為，從比較核心數(shù)據(jù)與重要數(shù)據(jù)的界定出發(fā)，可以從兩個方面來理解核心數(shù)據(jù)和重要數(shù)據(jù)的關(guān)系：一是核心數(shù)據(jù)從影響程度上看對國家安全的影響更大，即可能構(gòu)成對國家安全的“嚴重危害”；二是核心數(shù)據(jù)從影響對象上看會涉及更加重要的公共利益，即“經(jīng)濟運行”中的“國民經(jīng)濟命脈”、“社會穩(wěn)定”中的“重要民生”以及其他重大公共利益等?！毒W(wǎng)絡數(shù)據(jù)分類分級要求（征求意見稿）》就認為“核心數(shù)據(jù)”是“對領(lǐng)域、群體、區(qū)域具有較高覆蓋度或達到較高精度、較大規(guī)模、一定深度的重要數(shù)據(jù)，一旦被非法使用或共享，可能直接影響政治安全”，包括關(guān)系國家安全重點領(lǐng)域、國民經(jīng)濟命脈、重要民生和重大公共利益的數(shù)據(jù)等。建議《條例》借鑒這一表述，對核心數(shù)據(jù)的界定作出進一步細化。

對于個人信息和重要數(shù)據(jù)的關(guān)系，《條例（征求意見稿）》第26 條把“一百萬人以上個人信息”視為“重要數(shù)據(jù)”來管理，〔17〕《條例（征求意見稿）》第26 條規(guī)定：“數(shù)據(jù)處理者處理一百萬人以上個人信息的，還應當遵守本條例第四章對重要數(shù)據(jù)的處理者作出的規(guī)定。”《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》第3 條規(guī)定“涉及個人信息主體超過10 萬人的個人信息”屬于“重要數(shù)據(jù)”，而根據(jù)《數(shù)據(jù)出境安全評估辦法》第4 條，與“重要數(shù)據(jù)”一樣需要通過數(shù)據(jù)出境安全評估的情形，包括“處理100 萬人以上個人信息”或者“自上年1 月1 日起累計向境外提供10 萬人個人信息或者1 萬人敏感個人信息”的數(shù)據(jù)處理者向境外提供個人信息。這些不同規(guī)定說明目前對二者的關(guān)系，在認識上還存在困惑，在監(jiān)管上還未達成共識，有待進一步明確。

從重要數(shù)據(jù)的定義來看，由于重要數(shù)據(jù)的“重要”是指事關(guān)國家安全、公共利益，因此僅涉及私主體權(quán)益的組織或個人的數(shù)據(jù)包括個人信息在內(nèi)，一般不會構(gòu)成重要數(shù)據(jù)?！吨匾獢?shù)據(jù)識別規(guī)則（征求意見稿）》和《網(wǎng)絡數(shù)據(jù)分類分級要求（征求意見稿）》都明確指出“僅影響組織自身或公民個體的數(shù)據(jù)一般不作為重要數(shù)據(jù)”。但應當指出的是，達到一定規(guī)模的個人信息的集合通過搜索、比對、關(guān)聯(lián)等分析，可能會挖掘出數(shù)據(jù)集背后蘊含的敏感信息甚至國家秘密，筆者認為這種個人信息集合應該納入重要數(shù)據(jù)的范圍?！稐l例（征求意見稿）》將“一百萬人以上個人信息”視為“重要數(shù)據(jù)”來管理，就是考慮了數(shù)據(jù)集合的風險。但這種僅規(guī)定數(shù)據(jù)量的方式不足以充分界定個人信息數(shù)據(jù)集合的風險性，建議借鑒美國外資安全審查制度關(guān)于“敏感”個人數(shù)據(jù)的界定，〔18〕在美國外資安全審查制度中，敏感個人數(shù)據(jù)的“敏感”并不是強調(diào)個人權(quán)益的保護，而是強調(diào)對國家安全的威脅。詳見劉金瑞：《美國外資安全審查改革中的數(shù)據(jù)安全審查及其對我國的啟示》，載《中國信息安全》2021 年第7 期。對于作為重要數(shù)據(jù)的個人信息集合，在數(shù)據(jù)規(guī)模界定要素之外，同時界定個人信息集合的高風險性，比如涉及生物識別等可識別的敏感個人信息，或者涉及關(guān)系國家安全、公共安全的特定崗位人員?！?9〕前引〔16〕，劉金瑞文。換言之，筆者認為認定某些因聚合分析而影響國家安全、社會公共利益的重要數(shù)據(jù)，應采取定性與定量相結(jié)合的方式。綜上，本文建議將《條例（征求意見稿）》第26 條修改如下：“數(shù)據(jù)處理者處理一百萬人以上的可識別敏感個人信息，或者專門處理履行國家安全、公共安全職責的公務人員的個人信息，還應當遵守本條例第四章對重要數(shù)據(jù)的處理者作出的規(guī)定。”

（五）健全重要數(shù)據(jù)認定的程序機制

在前述重要數(shù)據(jù)認定領(lǐng)導體制的基礎(chǔ)上，借鑒工信部《辦法（試行）》的經(jīng)驗，本文認為《條例》應當從以下四個方面健全完善重要數(shù)據(jù)認定的程序機制。

一是明確數(shù)據(jù)處理者的重要數(shù)據(jù)目錄申報義務和程序。數(shù)據(jù)處理者應當定期梳理數(shù)據(jù)，按照法律、行政法規(guī)有關(guān)要求和本行業(yè)、本領(lǐng)域重要數(shù)據(jù)認定規(guī)則認定重要數(shù)據(jù)，形成本單位的重要數(shù)據(jù)具體目錄，并在目錄形成后的15 個工作日內(nèi)向省級行業(yè)主管部門申報備案，對于應申報而未申報的數(shù)據(jù)處理者應當承擔相應的法律責任。申報內(nèi)容包括但不限于數(shù)據(jù)來源、類別、級別、規(guī)模、載體、處理目的和方式、使用范圍、責任主體、對外共享、跨境傳輸、安全保護措施等基本情況，不包括數(shù)據(jù)內(nèi)容本身。

二是明確省級行業(yè)主管部門的重要數(shù)據(jù)目錄備案程序。收到數(shù)據(jù)處理者申報的重要數(shù)據(jù)目錄之后，省級行業(yè)主管部門應當在20 個工作日內(nèi)完成審核工作，符合法律、行政法規(guī)有關(guān)要求和本行業(yè)、本領(lǐng)域重要數(shù)據(jù)認定規(guī)則的，予以備案，同時將備案情況上報相應的國家主管部門；不予備案的應當及時反饋數(shù)據(jù)處理者并說明理由，如果屬于需要核實補充相關(guān)內(nèi)容的，數(shù)據(jù)處理者應當在收到反饋情況后的15 個工作日內(nèi)再次申報。

三是明確備案內(nèi)容發(fā)生重大變化時的備案變更程序。由于數(shù)據(jù)的重要性、使用方式等可能會發(fā)生變化，數(shù)據(jù)處理者的重要數(shù)據(jù)目錄也可能隨之發(fā)生改變，因此應該明確重要數(shù)據(jù)目錄備案的變更程序，施以動態(tài)管理?？梢砸?guī)定當某類重要數(shù)據(jù)規(guī)模（數(shù)據(jù)條目數(shù)量或者存儲總量等）變化30%以上，或者其他備案內(nèi)容發(fā)生重大變化時，數(shù)據(jù)處理者應當在發(fā)生變化的3 個月內(nèi)完成備案變更手續(xù)，具體程序要求可以和備案程序保持一致。

四是規(guī)定主管部門依職權(quán)認定重要數(shù)據(jù)的程序機制。無論是《條例（征求意見稿）》，還是工信部《辦法（試行）》，基本都是遵循了“數(shù)據(jù)處理者自行認定+主管部門審核備案”的思路，上述三點內(nèi)容也是延續(xù)了這一思路。但對于涉及國家安全、公共利益的重要數(shù)據(jù)而言，僅由數(shù)據(jù)處理者自行認定并報備，可能無法全面防范重要數(shù)據(jù)引發(fā)的國家數(shù)據(jù)安全風險，建議增加省級行業(yè)主管部門依職權(quán)認定的規(guī)定，作為依申報認定的必要補充。對于省級行業(yè)主管部門依職權(quán)認定重要數(shù)據(jù)的情形，鑒于數(shù)據(jù)處理者因數(shù)據(jù)納入重要數(shù)據(jù)保護范圍會承擔法律強制性義務和責任，此時應當考慮賦予數(shù)據(jù)處理者一定的救濟機制，比如可以將數(shù)據(jù)處理者不認可主管部門重要數(shù)據(jù)認定納入行政復議的范圍。