2019年10月,党的十九届四中全会通过的《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》首次将“数据”作为一类生产要素提出。2020年4月,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》(以下简称“《意见》”)发布,其中就包括“数据”要素的市场化,数据作为土地、劳动力、资本、技术之外第五大生产要素将在国民经济发展和体制运行中发挥新的巨大作用。在网络信息时代下,数据不仅是信息自身所包含的具体内容,通过数据呈现出来的应用价值才是隐藏在数据内容背后的真正“宝藏”。要素市场化配置追求的是要素的自由流动和价格发现,目标是使有限的要素配置在最恰当的位置发挥出最优效用。数据流动是数字经济的血液,而数字经济说到底是传统社会经济在数字信息技术发展带动下的产物。数据成为新的生产要素,是数字时代社会转型过程中生产模式和生产力升级变化的必然结果。
然而,社会制度本质上作为一套为了某种社会目的而共同活动所引起的社会关系,由成文的法律法规、行业规则和不成文的道德习惯以及相应的配套设施等组成,具有自身的内部结构和稳定状态,其在由技术迭代引发的生产力跃进时通常无法灵活调整而呈现出整体滞后性。当前阶段,我国数字经济发展现状和相应的社会配套制度之间呈现出结构上不相适应、功能上无法协同等问题,由此引发数字侵权、隐私泄露、不正当竞争乃至涉及国家、网络安全等方面的乱象迭出。
二、当前数据要素分类分级管理的模式分析
我国早在2017年6月开始实施的《网络安全法》第21条明确规定:“国家实行网络安全等级保护制度”“网络运营者应当按照网络安全等级保护制度的要求采取数据分类、重要数据备份和加密等措施”;2021年9月实施的《数据安全法》中有“国家建立数据分类分级保护制度”等规定;2021年11月实施的《个人信息保护法》中也有关于“对个人信息实行分类管理”的规定等。此外,在具体的行业领域内,相继由不同部门牵头出台了若干关于数据分类分级的规范性文件,如中国人民银行发布的《金融数据安全数据安全分级指南》(以下简称“《金融指南》”)、中国证监会发布的《证券期货业数据分类分级指引》(以下简称“《证券指引》”)、工信部发布的《工业数据分类分级指南》(以下简称“《工业指南》”)、国标委发布的《网络安全标准实践指南——网络数据分类分级指引》(以下简称“《网安指引》”)《信息安全技术健康医疗数据安全指南》(以下简称“《医疗指南》”)、《重要数据识别指南(征求意见稿)》(以下简称“《识别指南》”)等。
(一)数据要素的类型划分及其依据
数据是信息载体。有学者指出,数据分类分级是“通过描述数据的多维度特征和内容敏感程度,为制定数据资源的开放和共享策略提供支撑”。“类型”是单个具有相同或类似属性的个体或元素的集合,类型化思维在学术研究和社会实践中广泛存在,是对某一具体事物由大化小、由整体细化为部分从而参与具体实施的必要环节。实际上,与土地、劳动力、资本、技术等概念一样,“数据”一词也是一个宏观性概念,是对所有领域、不同层次数据内容的统称。从不同的角度,可以对数据进行不同的划分。
按照表现形式对数据进行划分,日常应用中可以见到文字数据、图形数据、图像数据、音频数据、视频数据等不同的呈现形式;按照数据的权益归属,可以将数据划分为个人数据、企业或单位数据、国家数据等类型;按照数据的行业属性,可以将其划分为行政数据、司法数据、医疗数据、工业数据、金融数据、地产数据、教育数据等;从计算机专业的角度,可以将数据分为整型、浮点型、逻辑型、字符型等,其中整型又包含字节型(Byte)、长整型(Long)、短整型(Short)等,浮点型包含单浮点型(Float)和双浮点型(Double);按照数据的变动特性,可分为静态数据、动态数据和准静态数据等等。
同时,对于以上根据不同数据的特征、从不同角度所作的类型划分,在具体领域或工作中又可根据实践需要进一步细化,如:《金融指南》中将涉及金融业务的数据信息细分出股东数据信息、管理层数据信息、营销服务标签数据信息、企业税务数据信息等;《证券指引》中将证券期货市场交易数据信息细分为证券市场交易数据信息、期货市场交易数据信息、基金交易数据信息、其他衍生品交易数据信息等。
(二)数据要素分级保护的主要原则
1.明确性原则
数据分级以实现有效保护为目标,本着明确的原则对不同数据进行等级划分,首要条件是应当保证分类明确而不模棱两可。不同数据应当按照明确的划分标准进行分类,对其确定专属的名称,并保证每一等级数据都有清晰的外延,避免类型混同;同时,确保上下等级数据间是严格的包含与被包含关系,等级越高外延越大、范围越宏观,反之则越小,最低等级的数据应当指向具体的业务内容。
2.实用性原则
所谓实用性原则,即要求数据分级工作应当以数据保护的实际需要,按照便捷、有效的分级方式对不同类型数据设定级别,它指向数据分级的实践性。同时,由于具体的工作、业务差异,不同领域、单位所关涉的数据内容各有侧重,呈现出明显的行业属性。如《金融指南》《证券指引》《工业指南》等就是分别根据各自领域的业务特点和工作内容,具体设定的数据分级体系。
3.合规性原则
现代意义的合规是在合法基础之上要求更为具体的规范化模式,前提是在保证不触犯法律的框架下,追求一致的行业标准,从而提高业务效率。当前,不同领域的行政部门牵头出台了各自行业的数据分级指导性文件,目的就是为各领域的行政管理和市场参与主体能够按照统一的标准和要求,对各自运营过程中所经手的数据进行分类分级,不仅确保数据分级工作的切实推进,更要强调其作为新的行业规范在标准上的一致性和科学性。
4.开放性原则
数据分类分级是近年来基于数据安全管理的需要而提出的新要求。一方面,当前数据分类分级工作尚处于初步的探索阶段,对不同数据内容的性质、内涵和潜在价值认识并不充分;另一方面,随着互联网技术、人工智能、数据技术的不断迭代和升级,新的数据类型仍在出现。在目前的客观条件下,无法对所有数据彻底罗列,因此更为明智的选择是保持一种开放的数据分级模式,对新出现或重新认识的数据根据实际需要逐步添加。
(三)当前数据分类分级体系的缺陷性检视
数据分类分级是数据安全治理的起点,而目前我国对数据安全治理的认识和统筹正处于初始阶段,从整体的分类模式、分级体系到规范性文件本身的效力位阶等方面,尚存在诸多不足之处。
1.缺乏横向统一的数据分类分级安排
然而,这种由各部门根据各自业务需求制定的分级分类标准具有明显的行业特征。如:《金融指南》在对数据进行分级时遵循“数据资产梳理→安全定级准备→安全级别判定→安全级别审核→安全级别批准”的流程,将数据安全影响程度区分为非常严重、严重、中等、轻微四个等级,在数据类别上则由五级体系构成,其中第五级指涉具体的业务数据;《证券指引》则是以业务线为参照,在业务分类分级之下确定数据分类分级。尽管不同行业依据各自的分级分类指南可在本领域内实现一定程度的对标,但数据的分级分类作为一个整体的宏观作业,无法在横向上统一参照系。如:同样是关涉客户或投资人姓名、性别、民族、出生日期、联系方式、婚姻状况等个人信息的数据内容,《金融指南》将其数据级别评定为三级;而《证券指引》则评定为四级,且具体的定级标准和级别内涵也存在差异。
即便部分地方政府尝试在本区域范围内出台统一、规范的数据分类分级标准,如2019年11月上海市经济和信息化委员会的《上海市公共数据开放分类分级指南(试行)》、2021年7月浙江省市场监督管理局的《数字化改革公共数据分类分级指南》、2022年4月北京市市场监督管理局的《政务数据分级与安全保护规范》、2023年6月四川省依据《全国一体化政务大数据体系建设指南》制定的《政务数据数据分类分级指南》等。但一方面,这些文件侧重于政务管理,主要是出于行政层面的方便,而欠缺对市场生产、要素流通、法律合规等方面的考量;另一方面,在缺乏全国统一性数据要素市场化分类分级安排机制的前提下,地方政府仅立足本区域与地区间的横向沟通和协调,其数据分类分级的具体标准偏差较大,更容易造成数据市场混乱。
2.在具体分类分级模式上仍不够规范
在行业属性的基础上,数据分类分级还存在法益价值的衡量标准,因此呈现出形式上的多样性。前已述及,实用性原则是当前数据分类分级的重要导向。注重实用性价值的原因在于:一方面受我国目前数据分类分级工作的阶段性限制、上层建筑的政策引领和底层实践的具体尝试同向进行,而中间起着衔接作用的规范性制度文件并不成熟、严密;另一方面,由数据分类分级的试验性工作反向检验政策性指南是否科学、合理,便于以某一具体领域内的数据分类分级实践为模板,推广拓展从而形成整个制度性框架。
(1)程序机制操作性弱。对数据进行分类分级本质上是一种程序性操作,需要详细、明确的操作步骤,然而现有规范在具体的分类分级程序上却显得十分宏观。如《证券指引》在业务细分步骤中确定管理主体时,要求“管理主体的确定宜适当,范围过小可能导致对应业务划分颗粒度过细,范围过大可能导致对应业务划分颗粒度过粗”,然而并未进一步明确具体范围,导致对管理主体范围大小难以实际把握。又如《网安指引》对识别的数据类别进行区分标识时,强调要从公共个人、公共管理、信息传播等不同维度进行,但对公共个人、公共管理、信息传播等维度的确定却仅作了原则性规定,并未明确具体识别细节。
(3)缺少应用场景设定。数字经济下作为生产要素的数据是流动的,实现数据流动的基础条件是由数字市场中各领域和各行业的串、并联。因此,对数据进行有效分类分级应当立足于具体的行业视角、应用场景进行设定。对此,尽管《证券指引》中以业务线尝试对数据进行分类分级,如将“交易”业务细分为二级子类“交易管理”“结算管理”“机构管理”等,但由于忽视对具体应用场景下的数据类型安排,由此导致对数据的分类分级止于静态分析,缺乏市场流通视角下对要素化数据的观察聚焦。
概言之,当前关于数据分类分级的制度性文件在内容上存在规定不细、标准不严、规范不清的问题,尽管在宏观指引上具有一定的方向性、灵活性,但无法提供明确、具体的依据和思路。
根据是否具有强制执行力,可以区分法律和一般的规范性文件。法律作为社会中各类关系的最高调节器,其维系判定结果和系统性目标达成、价值实现的主要保障就是其法律强力,这区别于一般的社会道德、行业准则或团体章程。此外,对于规则制定的机构、程序以及效力范围等也可进行效力位阶上的区分。
(1)法律效力位阶较低。就我国目前关涉数据分类分级的规范性文件而言,除了《网络安全法》《数据安全法》《个人信息保护法》属于由全国人大常委会通过的狭义上的法律性文件外,中国人民银行、证监会、工信部、国标委等部门出台的《金融指南》《证券指引》《工业指南》《网安指引》等,以及部分地方政府出台的地区数据分类分级指南皆属于行业标准、政务指引及业务指导性质类文件,不具备法律上的强制力。
(2)文件性质定位软化。从其名称即可看出,指南、指引性文件侧重于业务上的指导和技术性参考,而非一种硬性的工作要求或命令,且在一定程度上具有试验性。诚然,这种指导建议式的运行模式与不成熟的外部客观环境相契合,“摸着石头过河”的探索过程必然具备各自不确定因素,经验的积累是日后出台更为规范、科学规则的必要前提。然而,从另一角度看,由于强制执行力的缺失,文件在具体的落地实施上便无法保证实际效果和实施力度,从而也会折损规范、执行效果。
三、数据要素的分级分类保护的必要性分析
数据分级分类只是一个业务规范和参考标准,重点是实际业务中的管控。换言之,数据分类分级是为了在数据要素的市场流通和应用过程中更好地管控数据,有针对性地保护数据安全,同时兼顾公共安全和市场效益。在数字经济中,数据要素的流通过程关涉不同的利益主体,由此决定了对数据要素进行分类分级保护的现实必要。
(一)持有者权利:数据确权机制的构建需求
在数据持有者层面,数据权利方不仅包含原始数据的创造者,还涉及数据在后续流转过程中所归属的所有者或持有者。
(二)数据传播过程:数据交互的安全保护需求
在数据传播过程中,保障传输安全和数据不可篡改、删除等尤为关键。如果说在持有者层面数据是基于“点对点”式的存在形态的话,那么在“点”与“点”之间需要一条“线”来连接,这条“线”便是数据信息的传输。
然而,就目前来看,无论是添加水印、设置密码锁等,均有相应的技术手段可以反向破解。相对而言,“区块链”技术似乎具有一定程度的安全性,但也不是万无一失,且其技术成本和技术难度不是一般使用者可以匹配的。因此,一方面,研发具有绝对安全性和普适性的数据存储和原始保持技术十分必要;另一方面,在当前现有的技术条件下,鉴于不同保护技术的适用门槛、成本等因素,针对数据的不同重要、敏感程度而进行区别化对待,有助于充分利用技术资源、实现保护力度的等价供给。
(三)市场规则机制:要素流通的限度安排需求
然而,数据内容的开放性与流动性之间存在密切关联。通常,数据的开放程度越高,能够接触到数据的用户就越多,进而数据被传输、扩散的可能性就大;反之,则传输、扩散可能性越低。加密技术、用户认证、身份识别等措施在发挥保护数据安全作用的同时,也在一定程度上限制了数据要素的流通潜力,从而压缩了数据的市场价值效益。因此,数据要素流通的市场规制机制构建,重点在于如何寻求数据安全保护和市场流动之间的最佳平衡点。
在数据使用管控过程中,应该按照各类数据内容的特性、使用方式、关涉主体等进行灵活安排。对于保护级别要求高的数据类型,应当重在强调数据保护;而对于保护级别要求低的数据类型,则应在保证数据内容安全的基础上促进市场流通、循环,进而创造价值。
(四)公共管理层面:秩序、效益和公民权利的均衡需求
在公共管理秩序上,应当按照数据类型和级别的设定进行有针对性监管。“凡是抽象的和永恒的正义没有使之成为法律的东西,人间就不会有一种权力,能够使之成为法律。”法律的生命在于实施,然而就执法而言,执法队伍和执法力度是有限的,网络时代下的数字工作又是一项宏大的统筹性安排。对于数字使用情况的执法监督也要遵循有区别的针对性原则,在数据分类分级基础上,按照数据内容的类型安排和级别设定,进行灵活、高效地规划和系统性实施,提高数据执法的精准度和社会效果。
《数据二十条》中就提出,要“合理降低市场主体获取数据的门槛,增强数据要素共享性、普惠性,激励创新创业创造”,“形成依法规范、共同参与、各取所需、共享红利的发展模式”。政府作为公共秩序管理的统筹主体和市场经济的宏观调控方,其实践不仅要求国家层面的系统性政府数据分类分级治理架构和领导机制,从而自上而下地解决政府数据开放分类分级问题,在遵循上位法的前提下为政府数据提供相应的开放利用条件,最大限度满足公民信息需求,保障公民对公共数据的知悉以及对个人数据使用、处分等合法权利还需要在数字经济环境下引导传统行业向数字领域平稳、有序转型,充分挖掘数据的市场经济价值,推动数据要素市场化配置,在有效保障数据要素安全的同时不断促进数字经济向前发展(见图1)。
四、数据要素分类分级管理机制的规范化展开
结合前文关于当前数据分类分级现状的分析,应当有针对性地对已有经验进行梳理,从形成整体性的统一标准和具体规则入手,明确数据要素分类分级的纲领性章程,通过流程规范化和责任具体化两个方面共同推进数据分类分级工作的全面展开。
(一)数据要素分类分级管理的规范立法
法是由事物性质产生出来的必然关系,而这种关系通常由私人关系和公共关系两大类组成。毫无疑问,数据要素从最初产生到后续的流转、使用,涉及私人和公共两个层面的交叉组合。立法作为一个规模性国家行为,其发动通常关涉“动机”和“法则”两个因素。数据要素的安全及其使用形式的复杂性要求为立法者提供了充足的立法动机,而目前的问题在于法律规则的统一性、规范性和可执行度。
1.立法模式:在充分论证、考察的基础上出台规范性的法律文件
数据分级分类工作不是某一部门或个别领域的任务,涉及全面的社会转型、生产和行业管理模式的迭代升级,是一个时代性命题,覆盖面广。由于缺乏实践经验,无法按照从上到下的方式一开始就进行命令式调度。因此,应当遵循由具体行业或业务的反向经验积累以推动法律出台的思路,统筹各行业具体的业务内容、工作特点等不断摸索。具体步骤包括:
(1)通过试验探索最有效的数据分类分级模式。试验是经验积累的前提,实际上前述《金融指南》《证券指引》《网络指引》等规范性文件皆具有试验性的实践意义。由于《网络安全法》《数据安全法》中对数据分类分级仅有概括性的规定,对于如何进行数据分类分级并没有具体展开,因此《金融指南》《证券指引》《网络指引》中的具体制度安排是独创性的,但又因缺乏上位法的统一规范而各有差异,在对具体领域里数据分类分级实践的指导上显得各行其是。《数据二十条》中就强调构建数据基础制度要“积极鼓励试验探索”“坚持顶层设计与基层探索结合”,支持“有条件的行业、企业先行先试”等。
(3)时机成熟时由全国人大常委会出台针对数据分类分级的专门法律。立法性决定是全国人大常委会立法工作的重要内容,国家的立法活动基于国家治理、社会约束和秩序规范的角度,是在充分必要性的前提下才予开展。针对数据分类分级的法律出台需要在试验、调研等前置手段基础上形成草案文本,进一步经过系统的合宪性、合法性和合理性论证,讨论、修改完善后表决通过。
2.实体立法:统一标准,实现法律标准、业务标准和安全级别相协调
法律的有效实现需要精细化的内容规范,对于数据分类分级的指标、评估、级别设定及层次划分等,应当作出具体的类型安排及等级认定,而不是仅确定一些笼统的原则或注意性事项,但同时要注意行业区分。对此,在实体立法上可按照“三大类+三大级”的思路予以展开。
(2)纵向上考量各领域或行业业务的属性差异,防止“一刀切”。在横向上明确数据大类以及宏观等级标准的同时,应当为具体行业或部门数据分类分级的实际操作留出自主裁量空间,允许在法律所作出的数据类型和等级划分之下,根据不同行业的业务属性和实际需求进一步细分,从而有利于实现业务标准和数据保护需求的良好对接。
此外,除了行业、业务差异外,对于数据指涉主体或不同主体的数据也可以遵循多种价值取舍而有所区别,如关涉儿童隐私、特殊群体数据等,在上位法的规定范围内予以特殊保护。
3.程序立法:强化可行性,规范数据分类分级的具体流程和操作细节
通常而言,重要领域的法律法规不仅有明确的实体性规定,还在相应的程序上进行详细安排,如《刑事诉讼法》《民事诉讼法》《行政诉讼法》等。有学者指出:“数据分类以‘属性’为标准,数据分级则以‘后果’为标准。”然而,无论是属性的确定还是结果的输出,都需要遵循特定的程序逻辑。
(1)关于数据要素的准确识别。数据作为一种生产要素,具有特定的涵摄外延,并不是一切网络空间里的内容都可作为生产要素的数据,如《证券指引》就明确划定了文本适用的数据范围,即“证券期货行业经营和管理活动中产生、采集、加工、使用或管理的网络数据或非网络数据”。然而,问题就在于如何发现和确认各领域中真正具有生产价值、值得保护的数据,并进行类型划分。通常而言,横向上在法律层面可以通过大类型的规定模式确定主要的数据类型,而纵向上各领域在具体生产作业、业务操作上尽可能涵盖所有具有保护价值的数据内容却具有一定难度。因此,数据要素的识别同时也是一个业务识别,即根据各行业、部门的工作经验并在法律规定的数据大类之下确定实际需要保护的数据内容及其类型。
(2)关于数据要素的级别设定。数据要素级别设定是确定各数据类型重要程度、易受侵害敏感程度或受侵害后危害程度的过程。然而,数据的重要程度本质上在于其所关涉的内容,数据本身作为字符或像素等基本因子的组合并不存在客观上的差异。换言之,数据的重要程度是基于客观内容上主观判断的结果。同时,数据易受侵害程度或受侵害后的危害程度等也难以通过定量试验加以衡量,根本上也是一个经验判断。质言之,数据要素的级别设定是一个“经验+事实”的不精确划定,而工作的重点就在于在其本身并非定量特性上如何保障精确度最大化。因此,数据要素的级别设定应当遵循价值衡量、经验判断、类型对比以及反复检验的思路,在确定数据类型集群的基础上,尽可能精确地对比不同数据类型的需保护程度,进而确定等级划分。
(二)数据要素分类分级管理的实施过程
数据分类分级管理是推动数据要素化发展工作的重要步骤,也是数据安全治理的重要抓手。数据分类分级工作的实施需遵循严格、规范的原则和路径具体展开。
1.数据要素分类分级的实践原则
(1)责任明确。数据要素分类分级制度得到法律确认后,需要具体的执行主体,而该执行主体即对数据分类分级工作整体统筹并全权负责。责任主体的落实意味着数据类型的确认、等级的划分都有相应的责任部门及其人员专门负责,而不仅仅作为普遍性的工作指导方向、难以具体化。同时,责任明确也是保证数据分类分级任务高质量完成以及事后追责的必要前提。
(2)论证严格。当前数据要素的分类分级作为一种尝试性导向的机制安排,无法从根本上保证制度构建的科学性、合理性,必要的论证过程是提高制度设计完善度的前置性程序。论证的目的主要有两个方面:一是确保法律合规;二是保证实践方便。而在这两个过程中,既要寻求专家、管理者的专业性指导,还要重视具体业务线链上实务操作者的意见,从而保证专业标准和实践标准的双向契合。
(3)机制联动。数据分类分级是一个动态的集群归属问题,当前面临的数据乱象概括起来可以表述为:内容混乱、类型交叉、管理失范。这主要是社会转型下数据工作规划落后于市场实践,“有形的手”跟不上“无形的手”而引发的规范性问题。体系性问题不是单一部门、机构能够独立解决的,要建立一套各领域协同、上下步调一致的联动工作机制,发动整体性的力量予以应对。
(4)体系完整。在具体的制度性规范上,应当以法律实施为第一依据。然而,作为上位法的横向规定,目的是为执行主体在纵向实施上提供统一、明确的权威指引,固然在保证宏观指导性上也要提供具体、细致的操作流程,但无法触及具体的业务细节。数据分类分级的体系性保障,需要遵循在法律横向规定的框架逻辑下实现各行业、领域乃至各部门的规则疏通、契合。
2.数据要素分类分级的实施路径
数据要素分类分级工作的实际推动,需要以行业需求为导向,将其融入实际的业务操作中,同时由于分级分类工作尚处于起始阶段,反馈、协调机制的构建尤为必要。
3.注意性事项
(三)数据要素分类分级管理的责任承担
数据分类分级制度的构建目标是要建成合规体制的一部分,而非仅作为一种业务上的辅助性参考、指南而存在,首要任务是落实主体责任,实现责任各方的义务分工,并探索具体可行的构建模式和方法。
1.数据要素分类分级管理工作的责任主体
(1)行业自治。在具体行业领域内的数据分类分级,一方面作为总体性数据管理工作的下辖分支,另一方面也属于特定行业内部的具体任务,具有双重属性。而作为行业内部的工作任务之一,必然需要遵循行业规范,此时,诸如行业协会、商业联合组织等主体就应作为行业内部对本领域内数据分类分级工作承担相应责任,发挥行业规范的内部协调功能,实现数据分类分级与行业规范的高度契合。
(2)企业合规。企业合规是西方商业领域近年来提出的一个概念,英文是“CorporateCompliance”。从积极的层面来看,企业合规是指“企业在经营过程中要遵守法律和遵循规则,并督促员工、第二方以及其他商业合作伙伴依法依规进行经营活动”。毫无疑问,一旦法律确定数据分类分级的基本义务后,企业作为直接接触、管理数据的社会实体,其合规工作理应将其纳入其中并作为重要环节予以把关,具体可由数据合规政策和数据合规管理流程两大部分组成。
(3)行政监管。无论是行业自治还是企业合规,均具有自主能动性特征,属于行业或企业内部自身的一种机制纾解,很大程度上取决于行业或企业决策层的主观意愿,如果缺乏外部硬性的强行机制保障实施,则很难落实到位。因此,作为执法者,在履行行政监管的职责过程中,应当着重对行业或企业数据分类分级工作的开展程度和实际效果进行监督,并对违反法律要求或操作失范的企业进行处罚及引导。
2.模式构建:法律责任和行业责任相统一
确定了责任主体之后,就要确定具体的责任承担和分配模式。数据合规具有道德规范与法律规范、“软法”和“硬法”两个层次的伦理属性,行业规则侧重于基于行业伦理道德而通过“软法”的形式对行业内部各主体进行弹性约束,而狭义的法律则作为一种社会治理手段,是通过“硬法”的方式对数据分类分级工作进行强制性规范。
数据分类分级的责任模式应当将“硬法”和“软法”结合起来,在上位法层次上通过法律的强制性规定予以刚性约束,而在行业领域内同时发挥好行业规则的道德和业务约束。
(1)基于行业发展具体阶段激发企业主动性。行业自治作为我国市场经济运行过程中行业领域内部的自我管理活动,必然要以国家法律为根本框架,行业规则的内容不得与上位法相冲突。企业合规以法律规范和行业规范为依据制定企业自身的合规计划,既不能违反法律的强行性规定,也需要遵循行业协会的规则以及行业道德要求。行业秩序和企业运营是一个基于法律强制和行业约束下的自主能动过程,其中,行业的整体发展状况和企业决策领导层的主观意识至关重要。
对于微观视角下某一具体行业领域而言,其产生和发展不是一个完全内生的过程,是社会整体背景和科技水平综合作用的结果。在过去传统经济环境下,数据不具有产生经济价值的客观土壤,仅仅作为一种静态的表示符号而存在。在网络数字技术推动下,数据因其流通而发挥出生产要素的作用,不同数据因重要性程度、敏感度、利害关系性等原因而具有不同的保护需求。同时,行业的整体发展状况又会对数据分类分级的细节产生反作用,即不同行业领域以及同一行业领域在不同发展阶段对数据分类分级的实际需要不同,由此影响法律责任和行业责任的具体契合机制。
(2)数据分类分级管理失范行为的追责机制。规范强制力是保障数据分类分级管理工作有效实施的外部手段。“软法”主要依靠企业领导层的主观意志推动,其开展效果通常随企业家意识所左右,具有不稳定性;而“硬法”的实施具备相应的强制执行力,依据既成规定对于违反规则的失范行为进行严格追责,通过反向惩戒来达到规范目的。
当行业或企业在其运行过程中出现故意或过失违反数据分类分级规则而造成危害后果的,负责市场监督以及行政执法的机关应当根据行为的性质、严重程度、影响范围等发动相应的行政或移交司法程序,通过行政制裁或司法处罚使得相应的违规违法事项得到法律层面的硬性规制。
同时,法律责任的判定和承担不是排除行业责任的依据和理由,法律责任和行业责任从根本上说是具体责任承担的不同层级。行业责任以业内道德和包括企业规定在内的非规范性法律文件为主要依据,依靠行业和企业的内部规定及非法律强制手段督促落实,且存在讨价还价的余地;而法律责任一旦生成则意味着法律强制力的配套安排,违法者必须受到成文法的制裁。法律标准是最低的道德标准,在数据分类分级管理过程中,法律责任和行业责任两者并行统一、不相排斥,共同配合发挥数据合规的责任追究功能。
3.具体方法:企业合规和业务考核相衔接
企业生产决策是企业在国家规定的权限内对企业的生产目标、行动方案进行分析和选择,企业生产目标的执行归根结底需要落实到具体的业务上去。数据分类分级成为企业合规的组成内容之后,其具体实现必然也需与企业的业务相结合,从而形成对是否违规、如何违规、违反规定的具体条款、违规程度等事项的具体判断标准。
法律责任和行业责任的实现,对应到市场经济实践中分别为企业合规和业务考核两个方面。就法律责任而言,判断企业行为是否合法合规实际上就是考察合规计划的执行程度和执行效果。企业的实际运营偏离合规计划过大,自然会出现偏离法律框架的违法行为。一般而言,企业行为的法律契合度与合规计划的完善程度成正比。而就行业责任而言,行业和企业自身的发展在于市场口碑和主要业务的优劣高低。数据分类分级在法律和行业两个层次的责任统一,需要具体为合规计划和企业业务之间的良好衔接。
然而,在此过程中需要注意企业责任与员工责任之间的关系和界限。一方面,企业合规计划的具体落实需要依靠各业务流程中对数据分类分级管理要求的推进和执行,而企业内部业务的开展则必然需要由各责任人员和事项承担者具体负责。因此,员工在业务操作上对数据分类分级规范的遵守程度,直接影响企业在数据分类分级管理方面的合规程度。另一方面,企业合规计划的执行程度对企业和员工的直接影响不同。根据企业合规计划激励理论,企业合规的作用机制是在企业合规计划的具体执行和企业法律责任之间建立一种正向促进关系,即若企业事先制定并实际执行了合规计划,则在发生非主观故意违法行为时即可阻却相应的过失责任。反之,则无法阻却甚至成为一种加重处罚的事由,其中企业合规计划的完善程度和执行情况则影响责任阻却的具体效果。因此,企业合规直接影响企业对法律责任的实际承担。而对于员工个人而言,除领导层对于企业决策、发展等具有决定权的管理者或直接责任人之外,影响普通员工业绩考核的主要是其对企业内部所制定的业务指标达成度,通常包括业绩量、业务效果、业务质量、客户满意度等内容。
五、结语
数据要素市场化是发展数字经济的关键,而数据分类分级则是数据要素市场化配置的前提和基础。同时,作为保障网络安全的重要防护手段,数据分类分级也是国家安全战略的重要组成部分。对数据按照特定标准和流程进行分级,既符合上层建筑的宏观管理需求,又是数字经济环境下资源配置的先决条件。只有在数据持有者权利、数据传播、市场规则、公共管理等不同维度,按照数据内容的类型特征以及保护需求高低进行“上下分层”“行业联动”的针对性管控设计,才能构建更为周延、系统、完善的全过程保护机制。
↓↓了解更多资讯,请识别下方二维码↓↓
国脉集团是数据资产化先锋企业,主要提供培训、咨询和产品设计服务。为数据资源拥有者提供专业、规范、合规的全流程资产化服务,提升机构数据管理服务能力,实现数据资源价值最大化。运用最先进的培训理念方法和平台工具提供高绩效培训服务。研发“一头一体两翼”企业数据资产化咨询服务方法论,提升数据资产化战略设计、就绪度评估与咨询、入表和产品化全流程咨询服务。基于战略思维和实操需求研发“易”系列产品,并与数源方合作研发系列数据产品。
主要课程包括数据资产入表、数据经纪人、公共数据运营和政府CDO、数据精品等精品课程。