论数智经济时代重要数据安全的法律保护

祝高峰

（桂林电子科技大学 法学院/知识产权学院，广西 桂林 541004）

引言

数智经济时代是数字经济更深层次的发展阶段，即数字经济与人工智能的深度结合应用时代，也可以概括为“数字经济+算法”的时代。伴随着算法的深度应用，数据洪流急剧涌向社会各个层面和领域，如何规制网络空间中的数据信息安全，特别是关键信息基础设施领域的重要数据安全，保障重要数据安全，是各国所面临的紧迫又亟待解决的问题。早期的关键基础设施更多地应当是指物理空间中的关键基础设施，但是随着网络空间的不断扩展和延伸，各国都更多的关注于关键信息基础设施领域的网络安全，这也使得关键基础设施和关键信息基础设施之间的边界变得越发模糊。在欧盟、澳大利亚、日本等国家，两者的概念经常互相交错使用。关键信息基础设施已经逐渐与关键基础设施的边界趋同。国际社会中，国家关键信息基础设施也通常用于泛指那些需要进行网络安全保障的国家关键基础设施[1]。“CI”（Critical Infrastructure，关键基础设施）一词在20世纪90年代之前不存在，对CIP（Critical Infrastructure Protection，关键基础设施保护）的最早定义出现在1997年。然后，从1997年到2003年，对CI部门的确定从8个扩大到13个部门加上5个关键资产（Key Assets），再次扩展到18个部门和关键资源（Key Resources），然后在2013年合并为16个CIKR（Critical Infrastructure and Key Resources）部门[2]。文章论述中如无特殊说明主要采用“关键信息基础设施”的表达，以便与我国《网络安全法》和《数据安全法》中的表达保持一致。

一、重要数据安全保护面临的困境

（一）重要数据相关基本问题未能厘清

重要数据术语界定散见于不同规定之中，但是都比较分散且无具体的说明。2017年4月，国家互联网信息办公室发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称《评估办法》），在《评估办法》第17条①《个人信息和重要数据出境安全评估办法（征求意见稿）》第17条中，将重要数据规定为：“重要数据，是指与国家安全、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。”中做了概括性的规定。2017年5月，全国信息安全标准化技术委员会组织起草了国家标准《信息安全技术数据出境安全评估指南（草案）》［以下简称《评估指南》（草案）］在征求意见稿中也做了基本的规定。在2017年8月，全国信息安全标准化技术委员会在《信息安全技术 数据出境安全评估指南（征求意见稿）》［以下简称《评估指南》（征求意见稿）］中对重要数据的规定②《信息安全技术数据出境安全评估指南（征求意见稿）》中3.5部分指出：“重要数据相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）”，经政府信息公开渠道合法公开的，不再属于重要数据。具体范围参照附录A重要数据识别指南部分内容。进行了例外的解释，《评估指南》（征求意见稿）虽然对重要数据进行了更进一步的规定，但是不论从《评估指南》（征求意见稿）中对重要数据的规定还是在《评估指南》（草案）、《评估办法》的规定中，都不能找到重要数据的明确界定，从《评估指南》（征求意见稿）中来看，目前有关重要数据规定对应的领域则主要体现在关键信息基础设施领域。重要数据应当主要是指关键信息基础设施领域的重要数据财产资源，其有别于个人信息资源，这就是《评估办法》里面为什么没有提及个人信息也是属于法律上的重要数据范围的原因，两者本质上具有不同的法律属性。

当下有关重要数据的范畴既包括了个人信息、隐私数据，又包括商业信息、经营管理数据信息等。一句话，重要数据的内容几乎囊括了数据信息的各个综合方面。如果重要数据的概念、内涵以及法律属性不能明确的界定，那么对重要数据的规制必然缺失法理基础。

（二）重要数据安全面临的挑战与危机

1.来自网络入侵的威胁

物理空间的基础设施与信息系统的融合程度不断加深，在全球化融合的态势下，重要数据安全在关键信息基础设施领域正受到前所未有的网络威胁，主要威胁来自网络恐怖主义、网络盗窃、网络间谍、网络黑客、高级持续性威胁（Advanced Persistent Threat，APT）等方面。2021年5月7日，美国最大输油管道运营商Colonial Pipeline表示，该公司遭到了网络攻击，BBC援引多个信源报道称，实施此次袭击的是名为“黑暗面”（Dark Side）的网络犯罪团伙，通过对目标系统植入恶意软件，劫持了科洛尼尔管道运输公司将近100GB的数据[3]。此次网络安全攻击，让美国的关键信息基础设施的脆弱性充分显现。然而此事不久后，又发生了针对关键信息基础设施领域重要数据安全进行攻击的网络事件。2021年7月21日，据美联社报道，全球最大石油公司沙特阿美的约1TB数据出现在暗网上。黑客表示，如果沙特阿美以加密货币支付5000万美元，就把数据删除。此前黑客组织ZeroX声称这些被盗取的数据时间跨度达27年，包括员工信息、项目规范和分析报告等[4]。

重要数据的安全对任何一国来说，其重要性都不言而喻，我国目前针对关键信息基础设施领域的重要数据安全保护能力仍较弱，面对重要数据安全来自互联网的非法入侵、恶意攻击等行为仍然缺乏必要和有效应对处理机制，重要数据安全的风险抵御能力较弱，整个关键信息基础设施领域的数据安全治理都相对缓慢，缺乏有效的法律保障机制，尤其在重要数据安全的监测预警机制、重要数据安全面临突发威胁应急响应机制、对重要数据的处置恢复能力等方面仍缺乏有效的法律制度保障。

2.网络产品自身存在的安全隐患

对于关键信息基础设施领域的网络产品目前实现完全自主可控仍不现实，我国重要领域的重要数据安全存在极大的隐患，尤其在涉及政府、能源、通信、海关、金融、交通、医疗等关键信息基础设施领域的网络产品仍主要依靠进口，网络产品自身安全性存在很大风险，必然也会危及到重要数据安全。网络产品的涵盖范围也比较广泛，既有硬件方面的产品，也有软件方面的产品，对于网络产品自身存在的安全隐患，如果全部做到监管、排查也是不现实的，但是对于关键信息基础设施领域的涉及重要数据安全的网络产品运行和应用，建立有效的重要数据安全检测、评估、监管等制度则是必要的。

3.重要数据具有极易遭受攻击的属性

重要数据安全不仅仅关系到政府、能源、通信、海关、金融、交通、医疗等关键信息基础设施领域的数据资源安全，由于这些行业和领域都与各国的国家安全，社会稳定紧密相连，因此，重要数据极易成为网络黑客和网络间谍的攻击目标。大数据时代，数据的“爬取”能力也越来越强，仅仅通过技术层面对重要数据安全提供完善的保护，显然是不够的，在注重技术保护的同时，更应当设立有效的法律保障制度，从技术和制度上“双管齐下”，才能为重要数据安全提供有效的保障。因此，针对重要数据安全极易受到威胁和攻击的属性，从法律层面规制重要数据安全不仅具有理论层面的意义，更具有现实的紧迫意义。

美国、欧盟等发达国家在网络信息安全保护方面仍处于主导地位，美国网络安全企业在技术创新方面的综合实力仍处于遥遥领先的位置。2018年，美国有353家网络安全企业上榜，约占据500强的71%，且在前10名中占据8个席位[5]。重要数据安全对各国的主权安全、政权安全、经济发展安全以及社会安全等方面都具有深刻的影响，各国都将不遗余力地保护本国的关键信息基础设施领域，维护本国的数据主权安全和重要数据安全。

二、重要数据安全法律保护的域外实践模式

国外对重要数据安全的法律保护并未有明确的规定，对与重要数据安全相关的关键信息基础设施领域则采取了相应的规定，这些规定主要体现在对整个关键基础设施信息系统的保护上、信息系统与物理设施同时进行保护以及保障信息技术安全上。

（一）美国对关键基础设施采取整体综合保护的模式

早在1996年，克林顿政府第13010号行政令中就已经对8类①关键基础设施主要包括电信、电力系统、天然气及石油的存储和运输、银行和金融、交通运输、供水系统、紧急服务（包括医疗，警察，消防，救援）、政府连续性等 8 类。张莉.美国保护关键基础设施法律分析及启示[EB/OL].http：//www.xinhuanet.com//world/2015-07/24/c＿128056543.htm，2015-07-24.关键基础设施定义了范围。2002年美国《国土安全法》（Homeland Security Act of 2002）将关键资源（Key Resources）定义为“对经济和政府的最低限度运行至关重要的公共或私人控制的资源”。有趣的是，这项法案并没有提供任何关键资源的具体例子，而是主要强调了理解关键资源的性质，包括风险、威胁和漏洞的重要性。在《国土安全法》颁布近一年后，美国总统提出了物理保护关键基础设施和关键资产的国家战略（National Strategy for the Physical Protection of Critical Infrastructures and Key Assets），该战略引入了“关键资产”的概念。关键资产被定义为“单个目标，其破坏不会危及重要系统，但可能造成局部灾难或严重损害我们国家的士气或信心”。“关键基础设施”“关键资源”和“关键资产”的概念包括物理、“硬”系统（如道路和高速公路），以及控制硬系统的“软”系统，因此，在解决不同利益相关者时，“关键”和非关键系统之间的区别是困难的[6]。

2013年奥巴马政府制定的《提高关键基础设施的网络安全》出台后，同时要求关键基础设施要具有恢复力的文件也随之出台。2014年第一个全面指导性文件“关键基础设施网络安全框架规范”出台[7]。2019年5月15日，美国总统特朗普签署《确保信息通信技术与服务供应链安全》行政令，要求禁止交易、使用可能对美国国家安全、外交政策和经济构成特殊威胁的外国信息技术和服务[8]。美国规定关键基础设施是指一旦丧失功能或遭到破坏，将对国家安全、经济安全、公共健康，对美国至关重要的实际或虚拟的系统和资产产生严重损害的设施。美国确定了10个②它们分别为：国土安全部门负责通信和信息技术、化工、关键制造、应急服务、水利、核反应堆及其材料和废弃物、商业设施等7个行业；国土安全部和联邦事务管理总局共同负责政府设施的安全保护；国土安全部和运输部共同负责运输系统；能源部负责能源行业；财政部负责金融服务行业；环境保护署负责水及污水处理系统；卫生与公众健康部负责医疗保健和公共卫生行业；国防部负责国防工业；农业农村部和卫生与公众健康部共同负责食品和农业。杨合庆.中华人民共和国网络安全法释义[M].北京：中国民主法制出版社，2017：89-91.联邦主管部门负责行业内的关键基础设施保护工作，通过此种部门分工负责的机制实现对关键信息基础设施的保护，不仅可以节省保护重要数据资源的成本，更加有利于实现重要数据的高效保护。

从美国对关键信息基础设施的立法保护中不难看出，美国对重要数据安全的保护，主要体现在其对整个关键基础设施信息系统的保护，而并未放在重要数据安全的保护规制上。美国定义的CI范围比其他国家要广，且会随着社会的发展而不断地进行调整。

（二）英国设立国家基础设施保护中心保护关键国家基础设施

在英国，CNI（Critical National Infrastructure，关键国家基础设施）由向国家提供不间断基本服务的关键元素组成。没有这些元素，基本服务就不能提供，英国将遭受严重的经济损害、巨大的社会破坏乃至严重的生命威胁[9]。其中有10个①它们分别是：通信（数字通信、固定语音通信、邮递、政府信息、无线通信）；应急服务（救护、消防和营救、海上急救、警察）；能源（电力、天然气、石油）；金融（资产管理、金融设施、投资银行、市场、小额银行）；食品（生产、进口、加工、配送、零售）；政府和公共服务（中央政府、地区政府、地方政府、议会和立法机关、司法、国家安全）；公共安全（化学、生物、辐射和核［CBRN］恐怖袭击；危及百姓生活的事件）；健康（医疗保健、公共卫生）；交通（航空、海运、铁路、公路）；水处理（饮用水、污水）。北京江南天安科技有限公司.英国关键信息基础设施保护概述[J].信息网络安全，2009（08）：33.领域被认为是在提供“基本服务”。CIIP（Critical Information Infrastructure Protection，关键信息基础设施保护）的保护责任主要由内政大臣承担。CPNI（Centre for the Protection of National Infrastructure，国家基础设施保护中心）建立于2007年2月1日，由NISCC（National Infrastructure Security Coordination Centre，国家基础设施安全协调中心）和NSAC（National Security Advice Centre，国家安全咨询中心）合并而来。其主要功能之一就是发挥政府机构在保护各CNI部门的工作中的协调作用。同时CPNI一直承担着保护英国CNI免受物理和电子攻击侵扰的责任。CPNI负责向构成了国家基础设施的企业和机构提供一体化（信息、人员和物理形式的结合）安全建议[10]。

英国将关键基础设施领域的行业、企业看成为一种“基本服务”，对重要数据安全的保护也主要是体现在其对物理设施的保护以及信息系统的保护上，也并未有对重要数据安全明确规定的法律。

（三）德国通过完善法律制度保护关键信息基础设施

德国联邦参议院于2015年7月10日，通过了新的《联邦信息技术安全法》，其中对能源、信息与通信、交通运输、卫生保健、供水、食品以及金融保险等行业中被认定为关键基础设施的运营者进行重点保护。该法案从受保护资产的可用性、完整性、保密性和可靠性的角度，强化信息技术安全局的职能，以应对信息技术系统面临的现实和未来的威胁。新的《联邦信息技术安全法》共有10个部分，堪称系统完备的关键信息基础设施保护制度体系。明确了联邦信息技术安全局作为国家信息安全主管机构，除了原有的保障联邦信息技术安全的职能外，它将作为个人、企业、行政机构、政界之间有关信息技术安全对话沟通的主要职能部门。同时也明确了关键基础设施的范围[11]。为了进一步提高网络信息安全，德国联邦政府于2020年12月16日通过了《信息技术安全法》的修订草案，隶属德国联邦内政部的联邦信息安全办公室的权限得到扩大，除能源、供水等关键基础设施运营商外，将有更多企业需履行风险报告义务，如国防工业和其他对国民经济具有特别重要意义的企业等[12]。

（四）日本采取维护信息系统安全的方式保障关键基础设施

2005年，日本国家信息安全中心制定并颁布了《关键基础设施信息安全措施行动计划》，其中对关键基础设施的概念作出了明确的界定，即由提供高度不可代替且对人民社会生活和经济活动不可或缺的服务的商业实体组成，如果其功能被暂停、削弱或根本无法运行，人们的社会生活和经济活动会遭受重大破坏。其中规定关键部门包括10类：电信、金融、民航、铁路、电力、燃气、政务、医疗、水利和物流。依照该行动计划，组成关键基础设施重要部分的基本信息系统统称为“关键信息系统”[13]。日本政府于2010年5月颁布《保护国家信息安全战略》，并再次强调现有的信息安全政策，确保物联网（IoT）设备安全、医疗和教育领域信息安全的必要性，并推广加密甚至“匿名”隐私保护技术的使用。2013年6月，日本发布首个《网络安全战略》，首次明确提出“在国外，针对交通信号设备和关键基础设施（如控制系统）的网络攻击，其复杂性和复杂程度都令人怀疑政府组织参与其中”。2014年，日本出台《网络安全基本法》，首次对“网络安全”一词进行法律界定，并明确规定了日本政府、地方当局、关键信息基础设施提供商、网络相关企业经营者、教育/研究机构等的相关职责[14]。从以上分析不难看出，日本主要是采取维护信息系统安全的方式保障关键基础设施安全。

三、重要数据安全法律保障制度构建

2019年5月，在2019中国国际大数据产业博览会上，2015年图灵奖获得者、世界著名密码技术与安全技术专家惠特菲尔德·迪菲说，数据量越大，安全保障的重要性就越大，有太多案例已经证明了这一点。5G、人工智能、大数据、移动互联网、物联网和云计算的协同融合，点燃了新的引擎，有数据安全才有数据未来[15]。由此可见，当下数据安全的重要性已不言而喻，数据安全中的个人信息安全和重要数据安全更是重中之重。

（一）理论层面

1.重要数据的界定

不论是《评估办法》对重要数据的一般性规定，还是2017年8月，全国信息安全标准化技术委员会在《评估指南》（征求意见稿）对重要数据的规定，都是更多地关注在重要数据的重要性层面上，在2017年8月，全国信息安全标准化技术委员会在《评估指南》（征求意见稿）中指出：“重要数据相关组织、机构和个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据（包括原始数据和衍生数据）”，经政府信息公开渠道合法公开的，不再属于重要数据。该条规定的重要数据应当满足以下条件：（1）重要数据的搜集地域范围限制在境内；（2）重要数据来源主体的广泛性；（3）不涉及国家秘密，同时也没有经过政府合法公开过的重要数据；（4）收集和产生的重要数据还要与国家利益和公共利益密切相关。与此对应的领域则主要体现在关键信息基础设施领域。重要数据应当主要是关键信息基础设施领域的重要数据财产资源，有别于个人信息资源，个人信息也是属于法律上的重要数据资源范畴，但与特指的重要数据概念不同。

文章将重要数据界定为：重要数据是指面向境内收集的不为一般公众所知悉的也未经合法公开的与国家利益或者社会公共利益紧密相关的重要数据信息资源，该重要数据一旦遭受窃取、泄露或者非法公开等将会给国家利益和社会公共利益造成重大损失，严重的会影响到国家安全。

2.重要数据的特征及法律属性厘定

重要数据具有重要的价值，重要数据作为数据资源的一部分，应当与数据、信息的特征，尤其是法律意义上的数据、信息特征具有同质性，即重要数据应满足数据、信息的法律特征。重要数据或者信息成为财产的理由主要包括以下方面：（1）重要数据信息资源的稀缺性，具有价值性；（2）重要数据信息资源的可控性，重要数据信息资源有具体的或者相对的管控人；（3）重要数据信息资源可以交易。主要存在关键信息基础设施领域的重要数据当然具有稀缺性及巨大的经济价值，同时不论是在官方机构掌控的重要数据，还是由企业、甚至是个人掌控下的重要数据，都是可以控制的，重要数据达到一定条件可以交易，因此，重要数据的本质属性具有财产性，重要数据安全则属于数据安全的一部分。

（二）制度层面

重要数据安全的法律保护，在有法理支撑的条件下，再对重要数据安全的法律保障制度进行构建则必事半功倍，重要数据安全法律保障机制的内容应当包括以下主要方面。

1.建立重要数据安全综合保障制度

（1）建立分类、分级的重要数据安全管理制度。梳理对标《国家安全法》《网络安全法》《评估办法》以及《评估指南》（征求意见稿）等法律法规要求，建立重要数据安全分类、分级保护，重要数据安全预警以及重要数据对外提供使用报告等制度，健全完善关键信息基础设施领域个人信息安全和重要数据数据安全生命周期安全管理制度；（2）完善重要数据识别标准体系。推动出台关键信息基础设施领域的《个人信息和重要数据安全标准体系建设指南》，加快完善关键信息基础设施领域的网络数据安全标准体系。尽快出台行业重要数据识别指南、网络重要数据安全防护等重点标准，遴选部分关键信息基础设施领域的企业或行业开展贯标试点，加快推动网络重要数据安全相关标准制定工作；（3）建立重要数据安全风险评估机制。出台重要数据安全合规性评估要点，针对物联网、人工智能、区块链等新技术新应用带来的重要数据安全问题，及时进行风险评估和监测，积极推动建立重要数据安全风险评估机制；（4）建立重要数据安全出境的监管审查制度。重要数据安全关系国家安全，重要数据所涵盖的数据信息价值巨大，重要数据一旦泄露将会导致严重后果，因此应建立重要数据安全出境的监管审查制度。

2.实施重要数据资源“清单式”管理制度

对关键信息基础设施领域开展分门别类的重要数据资源调研摸底，依据重要数据的敏感程度和泄露滥用可能造成的危害，制定关键信息基础设施领域重要数据安全保护目录，并选取重点企业开展试点应用。同时建立试点企业内部重要数据清单和重要数据分类、分级管理制度，对列入的重要数据实施重点保护。工作是艰辛复杂的，但是长效来看是值得的。明确关键基础实施领域重要数据安全的职能部门，设立重要数据安全管理责任部门和专职人员，承担相关领域重要数据安全管理工作，明确各关键信息基础设施领域内部有重要数据安全的日志记录、重要数据访问控制、重要数据加密、重要数据脱敏、重要数据容灾备份等重要数据安全的保护措施，组织开展重要部门重要数据安全岗位人员相关的法律法规培训、知识技能等培训，落实重要数据安全事件报告、调查追责、向社会公告等要求。

3.加强关键信息基础设施领域信息通信技术（ICT）供应链的监管

ICT供应链安全应从四个方面着手：针对关键软硬件产品开展安全审查，管控供应链网络安全风险；统筹推进开源代码安全检测工作，提升对ICT供应链安全威胁的检测能力；督促供应商营造安全的供应环境，强化对ICT供应链网络安全威胁的源头管控；引导用户企业加强安全管理，补齐ICT供应链管理短板[16]。以上措施同样也可以用于对重要数据安全的保护，统筹协调金融、电信、交通等行业主管部门，尽快启动针对关键软硬件产品的网络安全审查工作，对进入我国重要行业、领域的关键软硬件产品进行网络安全审查。尽快制定出台网络安全审查、评估配套方面的标准规范，加快推广实施ICT供应链重要数据安全风险管理指南、信息技术产品安全可控评价指标系列国家标准，为开展重要数据安全审查提供支撑。

四、结语

由于网络空间数据信息自由流动的原则以及数据跨境交易业已成为常态，结合互联网的特性，重要数据安全的保障在国际层面需要各国共同努力构建良好的网络空间治理环境，保障重要数据的保密性、可用性、可控性和完整性，各个国家应顺应时代潮流，在“领网”①“领网”是指国家基于网络信息技术和信息基础设施而架构起来的网络空间，国家对在“领网”内的信息数据享有主权权力和权利。祝高峰.大数据时代国家信息主权的确立及其立法建议[J].江西社会科学，2016，36（07）：194.的范围内勇担数据安全发展的责任，共迎重要数据安全面临的风险挑战，共同推进网络空间重要数据安全的治理，努力推动构建网络空间命运共同体。重要数据安全是一个多维度的问题，重要数据安全不仅关系到关键信息基础设施领域的数据安全，更会危及社会安全和国家安全，因此在明确数据主权的前提下，界定重要数据的概念，厘清重要数据的法律属性，构建重要数据安全的法律保障机制既是现实保护数据安全的要求，也是完善数据安全法律保障制度的要求。