从《数据安全法》到“重要数据”的思考

一、《数据安全法》是国家整体安全观的重要组成

《国家安全法》第25条明确提出“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。《国家安全法》的描述明确了《数据安全法》并不仅是《网络安全法》的配套法律，是与《网络安全法》、《国家保密法》等一样作为国家整体安全观的组成部分。《网络安全法》关注网络空间与网络数据的保护，《数据安全法》与之相比更多关注数据本身的安全，包括国家重要数据的安全可控和数据驱动应用的安全管控，《数据安全法》不仅关注网络数据，还会关注更广范围的数据，关注数据权属关系、数据驱动带来的安全威胁等数据安全广义内涵，包括大家关注的个人隐私等非网络数据安全。《数据安全法》与《网络安全法》将在未来的国家网络空间安全产业发展中各有侧重，互相补充，共同构筑网络空间环境下的网络空间和数据安全。

二、数据分类分级是实施数据安全保护措施的前提条件

《数据安全法》第二十一条明确“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”因此，“重要数据”与数据分类分级保护制度息息相关。针对数据如何进行分类分级，如何制定重要数据目录，没有进一步提及。

“重要数据”的定义和范围清晰后，针对不同重要数据开展相对应的安全保护措施是下一步研究的重点。数据分类分级是实施数据安全保护措施的基础，是真正提出落地数据安全保护技术要求的基础。

三、“重要数据”的定义与范围

在《网络安全法》中第一次提出了“重要数据”，而且不止一次。“重要数据”直接关系到等级保护与数据跨境传输两大制度，不可谓不重要，但在《网络安全法》却缺少相应的定义。

在《数据安全法》明确要求“加强对重要数据的保护”，提出重要数据目录的制定，给出了“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据”的定义，但没有对“重要数据”进行定义明确。

2019年5月28日，国家互联网信息办公室发布的《数据安全管理办法（征求意见稿）》中，明确给出“重要数据，是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据，如未公开的政府信息，大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”

2018 年 9 月，中央网络安全和信息化委员会办公室与工业和信息化部开展“个人信息和重要数据安全专项调查”，在中国互联网协会与之配合的《专项调查问题列表与答复》中将重要数据界定为：不涉及国家秘密，但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据，包括：

（1）地理、自然资源、重要物资储备等数据；

（2）基因、生物特征、疾病等数据；

（3）宏观统计等重要经济数据；

（4）网络信息系统的缺陷、漏洞、防范措施等数据；

（5）人群导航位置、大型设备目标位置和移动数据；

（6）法律法规规定的其他重要数据。

2017年5月，信标委征求意见的《信息安全技术数据出境安全评估指南（征求意见稿）》（“评估指南”）中，将重要数据定义为：“相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）。”并且将政府信息公开渠道合法公开的数据，排除出重要数据的范围。评估指南还以附录的形式，列了非常详细的重要数据识别指南。

综上可得，“重要数据”在现行法律体系中地位重要，多次提及。尤其目前网络安全与数据安全领域，需要对“重要数据”采取增强措施，地位凸显。然而“重要数据”的正式定义始终没有明确。

四、“重要数据”的5点思考