隨著信息技術和人類生產生活交匯融合，通過網絡收集、存儲、傳輸、處理和產生的各種電子數據迅猛增長、海量聚集并成為重要的市場經濟要素，對經濟發展、社會治理、人民生活都產生了重大而深刻的影響。2016年11月頒布的《網絡安全法》建立了網絡數據安全相關制度，2019年5月《數據安全管理辦法》草案公開征求意見，2020年7月《數據安全法》草案公開征求意見，數據安全已經成為網絡安全乃至國家安全法制體系中的核心內容之一。在即將構建形成的數據安全和個人信息保護體系下，應當更加具體地回應網絡數據利用和保護的正當需求，通過配套條例和規章健全數據分級分類規則，完善網絡數據安全立法。

一、確立網絡數據安全分級分類的基本思路

傳統網絡數據安全側重于靜態保護，主要是防止網絡數據泄露、竊取、篡改、毀損，維護網絡數據的完整性、保密性和可用性。新一代網絡數據安全處于數字經濟繁榮發展和全面數字化轉型的新時代，需要適應動態保護的需求，確保數據在各類場景下收集、利用、流轉、開放、共享等不同行為時的安全與自由。場景差異會形成不同的正當價值和安全風險，分級分類保護應當成為網絡數據安全立法的基本思路。

數據分級分類最初是網絡運營者對數據資產進行一致性、標準化管理的方法，隨后成為網絡數據安全風險管理的技術方案。根據《網絡安全法》第21條的規定，網絡運營者應當采取數據分類、重要數據備份和加密等措施。《數據安全法（征求意見稿）》第19條提出：國家對數據實行分級分類保護。由此可見，數據分級分類的主體由“網絡運營者”轉變為“國家”，國家對數據進行分級分類的方法不僅包括制定重要數據目錄，更需要結合典型的數據應用場景制定配套的網絡數據安全法規。只有在數據安全配套法規中確立基本的數據分級分類規則，才能為制定數據分級分類目錄、技術標準和企業數據安全管理實踐提供更加明確的統一指引。

從聯系的角度而言，數據分級分類也可以稱之為數據分類保護，這是因為數據分級也是對數據進行分類的一種表現形式。從區分的角度而言，數據分級是對數據分類之后采取的安全等級規則。國家在數據安全立法中，應當根據數據對國家安全、公共利益或者公民、組織的不同意義和可能的損害后果，對不同類別的數據分別采取嚴格保護、內容監管、鼓勵流動、強制公開等不同管理方法的數據利用規則，并對不同級別的數據分別采取不同授權和責任模式的數據處理規則。

數據分類是對數據應用過程中涉及的數據進行分類，按照來源可以需要區分為公共數據、組織數據和個人數據，按照數據的公開程度可以區分為網絡公開數據、有限公開數據和秘密保護數據，它們在法律中應當具有不同的安全與發展規則。結合不同的應用場景，還可以對這些數據做進一步分類。例如，我國《憲法》第40條建立了嚴格的私人通信保護制度，主要規范對象是電信運營商和國家機關，但是現代的互聯網通信工具和交流平臺形成了通信內容容易被轉發，私人通信聯絡和公共信息傳播界限不清的問題，不利于建立與數據類型相適應的安全保護秩序。所以，有必要在互聯網通信場景下區分私人通信和公共信息，便于網絡運營者和用戶明確其所處網絡社交場景的私人屬性或者公共屬性，從而按照分類管理的思路建立私人通信嚴格保密、公共信息有序管理的網絡數據安全規范。

數據分級處理規則主要適用于個人數據，包括不同類型的個人數據存在安全等級差異，以及同一類個人數據在不同場景下的安全等級差異。根據《個人信息安全規范》，個人數據可以劃分為一般數據、敏感數據和高度敏感數據三類。其中，收集一般個人信息，應向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規則，并獲得個人信息主體的授權同意；收集個人敏感信息前，應征得個人信息主體的明示同意，并應確保個人信息主體的明示同意是其在完全知情的基礎上自主給出的、具體的、清晰明確的意愿表示。此外，個人生物識別信息屬于高度敏感數據，收集個人生物識別信息前，應單獨向個人信息主體告知收集、使用個人生物識別信息的目的、方式和范圍，以及存儲時間等規則，并征得個人信息主體的明示同意。對于這些推薦性國家標準中的管理性規范，需要通過立法程序轉化為相應的法律規則。

二、引導公共屬性數據相互共享和對外開放

公共屬性的數據也被稱之為公共利益數據，是由政府部門或者網絡運營企業收集、存儲，但屬于社會中各類人力資源、財產資源共同參與創造的，可以在政府和企業之間相互共享，也可以基于公共利益目的對外開放。公共屬性數據的共享與開放包括企業對政務數據的使用（G2B）、政府機構對企業數據的使用(B2G)、政府不同部門之間的數據共享（G2G）。

G2B數據在國內外已經形成普遍共識的政務數據開放趨勢。例如，國家地理信息數據可以為旅游或者交通產品開發提供基礎，司法機關的裁判數據可以為企業合規和法律研究提供幫助。G2G數據的共享主要是政府內部數據平臺建設和數據融合能力的建設問題，它可以提高政府內部管理的一體化水平，同時也可以為單一市場中運營的企業減輕重復報送數據的成本。B2G方向的數據開放與共享屬于一個近年來才意識到重要性問題，由于涉及到網絡運營企業商業秘密、企業數據私有財產保護、個人信息安全保護義務等價值沖突，是需要數據安全法規進行協調的重要領域。

數字經濟的發展使得網絡運營企業積累了大量的數據，充分利用其中具有公共屬性的數據，有助于完善城鄉規劃、道路交通、民生保障、生態環境、社會安全、自然災害、公共健康等社會管理和公共事務，幫助政府建立基于實證數據的公共決策方向。例如，道路交通導航地圖運營商的數據可以為早晚高峰的交通擁堵治理提供支撐，醫院治療疾病的數據可以為公共健康防治提供決策依據，匯總的、匿名的社交媒體數據可以為傳染病防控措施及其效果提供信息參考。

嚴格保護個人數據安全的歐洲，也在長期推進企業與政府部門之間的數據共享。2018年4月，歐洲委員會通信網絡內容與技術執行署就發布了《歐洲數據經濟中的私營部門數據共享指南》，提出了B2G數據共享的模型和基本原則。歐盟委員會在2020年2月發布的《歐洲數據戰略》明確了B2G數據共享的重要性，歐盟B2G數據共享高級別專家組也在同一時間發布了《邁向基于公共利益的企業對政府數據共享的歐洲戰略》（Towards a European Strategy on Business-to-Government Data Sharing for the Public Interest），不僅總結了B2G數據共享存在的現實問題，還從法律、技術、管理等多個維度提出了可能的解決方案。

我國數字經濟的發展也形成了大量掌握在企業手中的公共屬性數據，在制定數據安全法規過程中，需要按照數據場景化管理的思路，區分政府調取企業數據、企業向政府共享數據兩種類型。對于政府調取企業數據，需要在內容上劃定政府調取網絡運營企業數據的范圍，在程序上確定政府調取數據的方法，在責任上明確政府的安全保障責任，在外部監督上建立備案審查和權利救濟機制。對于企業向政府共享數據，主要是按照平等協商的機制實現，注重提高數據共享技術的安全性和數據利用的有效性，同時要避免損害他人合法權益。企業與政府之間無論是調取還是共享數據，政府都應當考慮企業數據的質量和處理成本，為企業提供公共屬性數據作出必要的經濟補償，或者向企業提供數據反饋等其他合理的對價。

企業掌握的公共利益數據可以為個人和組織提供信息獲取服務，同時可以為各類研究人員、公共機構、中小企業、初創企業參與科技創新和數字經濟發展提供便利。對于與公共利益有關的數據，政府應當按照法定的程序向社會或者特定申請人公開其獲得的企業數據。但是，政府從企業獲取的數據一般不得超出法定使用目的范圍，特別是要避免行政權力對數據自由競爭市場的不正當干預。

三、推動企業數據安全有序的利用與流轉

企業數據是企業通過合法形式取得的具有完全權屬、有限權屬、無權屬的各類數據。企業對于無權屬的他人數據只能按照約定目的和方式進行管理和使用，對于處理大量他人數據的網絡運營者應當依法建立數據安全體系，為他人提供數據收集、存儲、加工、分析、傳輸等服務的企業，應當通過向主管部門備案、建立相互隔離的數據安全環境等措施。對于完全權屬和有限權屬的數據，企業可以在權利范圍內進行交易、共享和開放。

企業可以通過買賣、互換、許可使用等方式交易其合法取得且有相應處置權利的數據。隨著數據價值的上升，數據被國家列為與土地、勞動力、資本、技術等相并列的生產要素，在國內外市場中誕生了行紀、中介和代理等多種類型的數據交易中間商。《數據安全（征求意見稿）》第30條規定：從事數據交易中介服務的機構在提供交易中介服務時，應當要求數據提供方說明數據來源，審核交易雙方的身份，并留存審核、交易記錄。然而，何種數據可以進行交易，數據可以如何進行交易，數據交易中如何保障安全，需要相關配套規定進一步細化規則。在《民法典》確認數據財產權的基礎上，尚需要進一步明確數據財產權的分配規則，特別是明確物聯網等共同創建數據的權利歸屬和權利行使規則，并對數據交易合同的相關法律適用規則予以規范。此外，需要明確數據交易參與方的職責和監管制度，促進形成一批專業能力強、運營規范、抗風險能力強的數據交易中間服務機構。

企業數據共享是以無償形式為他人利用自身數據提供便利的一種方式，企業除了向政府共享數據外，還可以向其他企業共享其數據，包括在同一生態內的不同企業、不同生態內的不同企業之間進行數據共享，甚至是同一企業的不同部門。在不同企業之間進行數據共享有利于提升數據平臺的服務能力、減少數據重復收集的成本，特別是大量匯聚第三方應用、第三方商店的平臺存在大量數據共享行為，但是接受數據共享的處理者可能引發不確定性數據泄露或者濫用的風險。一方面，我們應當鼓勵數據安全管理能力強的平臺企業向他人共享數據，不僅可以減少數據鴻溝，還可以避免中小企業數據安全管理能力不足引發的風險。另一方面，不同主體之間開展數據共享需要明確各自的安全管理職責，并按照過錯原則承擔相應的法律責任。

互聯網的本質是數據流動，打破數據壟斷和避免數據孤島是企業數據開放的主要目標。企業數據開放的對象包括企業自主擁有的、具有數據基礎設施地位的數據，也包括在企業平臺上展示的網絡公開數據。對于具有數據基礎設施地位的數據或者數據設施，應當要求企業按照透明、公平、合理、非歧視原則提供必要的開放利用條件。對于網絡公開數據，企業應當建立公平、自由的訪問規則，避免采取不合理的訪問限制措施。與此同時，數據爬蟲技術改變了網絡公開數據獲取的傳統規則，一方面要支持符合行業慣例的數據獲取行為，從而為數據產業的發展提供必要的法律環境；另一方面，應當為企業采取“Robot協議”等措施保障其系統正常運行提供必要的強制性保障。

四、確保新技術對個人數據利用的安全

信息技術的創新發展提高了個人數據的利用效率和方式，出現了用戶畫像、個性化推薦、自動化決策、深度偽造、人臉識別等提升個人數據利用風險的新技術，也出現了差分隱私、多方計算等減少個人數據利用風險的新技術。在數據安全配套法規中，應當引導網絡運營者采取有利于個人數據安全利用的新技術，通過技術手段實現安全和發展的雙重目標，有效避免個人數據利用過程中出現的安全風險。對于各類挖掘個人數據潛在價值的新技術，應當進行數據安全風險評估，并在相關法規中建立場景化的數據利用規則。

人臉識別是國內外輿論廣泛關注的個人數據使用技術，對于何種場景可以利用，人臉生物信息如何存儲，如何保障此類高度敏感數據的安全，需要建立配套的法律規則。缺乏人臉等個人生物識別信息的安全規則容易引發輿論的恐慌，安全可控的法律規則不僅可以增強消費者對新技術的信心，還可以為新技術的部署提供穩定的指引和預期。

用戶畫像、個性化推薦都是基于用戶的個人信息和網絡使用行為所形成的數據融合和算法應用，其可能提高信息的獲取效率，但是也可能導致個人被標簽化或者隱私泄露，故而應當為這類行為提供“選擇-退出”的功能，避免對個人強迫提供技術服務。

自動化決策和深度偽造對于個人的權益往往會產生直接的影響，甚至在某些情況下會嚴重影響社會公共秩序。對于自動化決策，應當提高此類算法的透明度和可解釋性，避免算法黑箱風險。對于深度偽造等信息聚合技術，應當通過標記等規則避免數據濫用行為。

目前，《歐洲數據戰略》已經明確提出了一系列數據安全與利用的配套立法計劃，美國聯邦和各地方也在出臺一系列數據利用的補充法律制度。我國在《網絡安全法》已經頒布施行，《數據安全法》和《個人信息保護法》處于起草中的背景之下，還需要同時啟動網絡數據安全相關配套法規的立法儲備工作，構建法律、行政法規和規章銜接配套的網絡安全、數據安全和個人信息保護的法律協調體系。在行政法規層面進行網絡數據安全管理制度的立法儲備工作中，應當著力細化《網絡安全法》《數據安全法》和《個人信息保護法》中的相關規則，吸收《數據安全管理辦法（征求意見稿）》和國內外數據安全法治最新進展的經驗，按照數據分級分類管理的思路，科學劃分數據的應用場景，通過一般規則和場景規則相結合的模式建立具有可操作性的配套法律制度。（作者：劉云，清華大學法學院助理研究員）