数安条例百问9、10、11、12：关于重要数据

小贝案语

11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款

第五条国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。

国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。

各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

解读

“重要数据”是国家数据分类分级保护制度中的其中一个级别。可以从以下几个角度，认识重要数据的内涵。

重要数据的“重要性”是指相于国家安全而言重要，重要数据并不等于“重要的数据”。只对组织自身而言重要或敏感的数据不属于重要数据，如企业的内部管理相关数据。考虑到《保守国家秘密法》已经对国家秘密信息保护作出了规定，故重要数据不包括国家秘密信息。

重要数据是有时效的。一旦被标识为重要数据，是否便永远重要呢？这涉及到一个机构是否永远要承担重要数据的保护义务。在国家秘密信息保护制度中，“秘密级”信息保密期限为10年，“机密级”信息保密期限为20年，“绝密级”信息保密期限为30年。因此，原则上重要数据的“重要性”时效不超过10年，但不排除有长期“重要”的数据，典型如某些地理信息数据。

重要数据分布较广。一些人关心，除了政府机构、重点行业外，企业是否轻易拥有重要数据？的确，重要数据一定分布在政府部门、重点行业企业，具有相应资质的公共服务机构、科研机构、行业组织等。但随着移动互联网应用渗透到人们生产生活的各个方面，以及物联网、云计算、人工智能等技术的快速发展，有相当一部分重要数据被互联网企业、产品和服务提供商所掌握。这意味着，有较多企业需要履行《条例》对重要数据处理者提出的安全保护义务。

重要数据的安全威胁涉及到多个方面，保护需求不仅仅是保密性。多数时候，重要数据的安全保护需求体现为保密性，目的是防止敏感数据未经授权披露，与之相关的数据安全管理制度如数据出境安全评估制度等。但也有些数据，其本身就是为了公开发布，以便为公众所知悉，但数据的真实性、准确性十分重要。例如天气预报信息、疫情信息、自然灾害信息等。这些数据对国家安全的影响是显而易见的，但是否将这些公开数据作为重要数据呢？至少目前现有的重要数据保护制度主要还是保护数据的保密性。这意味着，重要数据保护制度的设计是一个长期的过程，随着时间的发展，人们对重要数据的认识将不断深化。

重要数据不是中国特有的概念。一些外国机构提出，个人信息保护是全球共识，各国都是围绕个人信息建立保护制度，但只有中国还提出了“重要数据”的概念。他们因此而质疑中国的做法不是国际惯例。但事实上，除了个人信息外，在国外可以找到大量非个人信息受到保护或严格管控的例子。例如，海关、港口等敏感场所禁止拍照，视频资料被严格管控。而且，是不是除了对个人信息出境实施管理外，在国外其他数据都是不受限制地自由流动的呢？显然也不是。美国有出口管制制度，国际上有对华限制出口的“瓦森纳安排”，其出口管制物项显然是被限制流通的某种数据与知识。此类例子不胜枚举，只是国外并没有统一提出“重要数据”的概念而已。

重要数据的识别需要有科学的标准。《条例》给出了重要数据的定义，但这只是一种定性描述，还不足以准确标识重要数据。2020年，全国信息安全标准化技术委员会立项制定国家标准《重要数据识别指南》，目前已经形成征求意见稿。征求意见稿的内容与《条例》对重要数据的定义在文字表述上不完全相同，但内在是一致的。

对应条款

重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。包括以下数据：

1.未公开的政务数据、工作秘密、情报数据和执法司法数据；

2.出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据；

3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等；

4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据；

5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据；

6.国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据；

7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

解读

2020年8月20日，国家互联网信息办等五部委印发《汽车数据安全管理若干规定（试行）》。文件中提出，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据，包括涉及个人信息主体超过10万人的个人信息。

上述规定被很多人认为，网信办官方已经明确，批量个人信息属于重要数据的一部分。在此认识下，一些人认为《条例》在附则中给出的重要数据定义也隐含了个人信息。特别是，《条例》第二十六条提出，数据处理者处理一百万人以上个人信息的，还应当遵守本条例第四章对重要数据的处理者作出的规定。这被一些人作为新的证据，证明批量个人信息已被作为重要数据。

可以肯定的是，以上认识属于误读。《条例》并没有任何这样的表述，从“附则”中的定义也不可能读出这样的结论。

即，批量个人信息也是个人信息，其固然重要，但不是《条例》所定义的重要数据，只是批量个人信息需要遵守某些对重要数据的保护要求而已。如果仅以某种重要性来认定重要数据，那么国家秘密信息更应该成为重要数据。

我国已经制定实施了《个人信息保护法》，对个人信息保护的监管颗粒度已经非常细，例如个人信息处理行为原则上要征得个人同意甚至是单独同意，这些本来就不是重要数据所具备的。就保护数据自身和维护个人信息主体合法权益而言，个人信息保护制度已经足够。没有必要通过个人信息保护制度、重要数据保护制度对个人信息进行重复管理。

实践中，掌握批量个人信息的机构很多。如果这些机构都因此而被认定掌握了重要数据，那么也将带来极高的监管成本和企业合规成本。

当然，《汽车数据安全管理若干规定（试行）》将批量个人信息作为重要数据也是事实。这只能说，对个人信息同重要数据关系的认识，是一个不断深化的过程。