□要强化相关检察工作以降低数据安全风险,保障国家安全、社会稳定以及公民基本权益。不论是加大严惩窃取关键数据的相关犯罪的力度,还是强化落实网络运营者、数据处理者以及关键信息基础设施运营者的数据保护义务,厘清关键数据的内涵及范畴是相关主体单位合理、高效分配资源以保障数据安全的基础与前提。只有将关键数据与一般数据进行有效区分,各方主体才能实现对不同数据的区分式精准保护。

最高人民检察院印发《关于加强新时代检察机关网络法治工作的意见》(下称《意见》),围绕党的二十大关于健全网络综合治理体系的重要部署,结合检察履职实际,立足“四大检察”职能,对加强新时代检察机关网络法治工作提出具体要求。《意见》第4条强调,要深入贯彻落实网络安全法、数据安全法等法律,依法严惩窃取关键数据的相关犯罪,落实网络运营者、数据处理者以及关键信息基础设施运营者的数据保护义务。同时,加大对关键信息基础设施的司法保护力度。那么,其中的“关键数据”是否指关键信息基础设施中的数据类型呢?

笔者认为,数据保护不仅仅针对数据本身,更指向数据背后所体现的利益价值。结合网络安全法、数据安全法等法律对于信息网络以及数据的保护思路,在界定“关键数据”时可以主要参考重要性、危害性以及敏感性三个标准。

(资料图片)

“重要性”标准是指数据对于国家、社会以及公民个人的价值大小。数据在流通过程中是否显现出保障国家安全、促进经济发展以及保护公民基本权利等方面的功能性价值,是判断该类数据是否具有重要性的核心要点。由于不同数据往往体现出不同的价值,而且价值密度也存在差异。因此,具有上述功能性价值的数据属于符合“重要性”标准的数据类别。当数据的价值密度越高,数据的重要性就越强,而“关键数据”理应属于高度重要性的数据类别。比如,个人信息中的个人隐私因涉及公民私生活程度较高,因而较一般个人信息具有更高的人格价值;商业数据中的商业秘密因涉及企业经营与技术信息,因而较一般商业数据具有更高的经济财产价值。基于数据的重要性程度实际对标数据价值密度的大小,上述具有高密度人格价值、经济财产价值以及主权价值的数据都应当属于关键数据的类型,理应受到更加严格的保护。

“危害性”标准聚焦于数据遭受不当处理后可能造成的消极后果,而这一后果具体由危害对象以及危害程度来加以量化。具体而言:一是数据遭受不当处理可能造成危害的对象应当是国家安全、公共利益以及公民基本权益。二是数据遭受不当处理后的危害程度主要由损害权益的严重程度以及损害产生的概率大小两个因素决定。前者是指数据在遭受不当处理后造成前述权益损害的实际表现,包括一般损害与严重损害;后者是指数据遭受不当处理后造成前述权益损害的可能性大小,包括“可能产生”与“容易产生”。概言之,不是所有的数据在遭受不当处理后都必然导致权益损害的结果,不同类型的数据在此方面的表现可能会有所差异。“关键数据”理应属于在遭受不当处理后容易对国家、社会以及个人等相关的权益产生严重损害的数据类型。比如,以公民个人信息为例,生物识别数据由于具有唯一(直接)识别数据主体身份的特征,而且其中的DNA数据还可以间接指向与数据主体的亲属相关的私人信息,因此较纯粹的个人姓名(现实存在重名情况,因此不具有唯一识别性)而言,在被不当处理后更容易侵害数据主体的人格尊严和人身、财产权利,理应属于“关键数据”,应当受到重点保护。

“敏感性”标准具体表现为数据内容是否承载与国家安全、社会稳定以及人权保障等相关的权益以及承载权益的程度大小。如果某种数据承载了前述权益内容,那么属于对于国家、社会以及个人而言敏感的数据类型。进言之,基于国家安全指向国家主权统一、国家领土完整、经济健康发展、人民生活幸福等利益不受威胁和侵害;社会稳定指向社会状态处于动态有序的平衡状态;个人权益指向公民在该国法律上所拥有、为政府所保障的参与公共社会生活的权利与利益等。因此,当数据的内容与上述权益相关时,权益主体会对该数据的变化产生敏锐的反应。在此基础上,数据的敏感性大小则是由数据承载上述权益的程度来加以判定。比如,国家机密、商业秘密以及基因数据分别承载了高密度的国家安全、经济发展与商业利益、个人尊严及隐私权益等内容,因而这三类数据都属于关键数据。

综上,“关键数据”是指承载了高密度的与国家安全、社会稳定、公共利益、公民基本权益等相关内容的数据类型,包括商业、医疗、政务、金融、通信、计算机、个人信息等领域中,涉及国家安全、企事业单位稳定发展、公民私人生活的秘密数据以及其他与国家安全、经济发展、社会公共利益以及公民基本权益密切相关的数据。由于关键数据通常具有高密度的国家(数据)主权、经济财产价值或人格价值,因此在遭受不当处理后容易对国家与社会的稳定、公民的幸福与安全感产生重大威胁。

在明晰关键数据的内涵及范畴的基础之上,网络运营者、数据处理者以及关键信息基础设施运营者等主体可以针对此类数据履行较一般数据而言更加严格的数据保护义务。实践中,网络运营者与关键信息基础设施运营者决定着数据使用的“目的”与“方式”,而数据处理者则是按照网络运营者与关键信息基础设施运营者发出的指示开展具体的处理工作。基于此,以实践中网络运营者与关键信息基础设施运营者配合调取数据为例,相关主体针对关键数据可以从以下两个方面展开保护:

网络运营者与关键信息基础设施运营者对于关键数据的披露,要重点审核披露的“门槛”条件。比如,是否提供了充足的事实依据来证明获取此类数据的必要性与紧急性,包括数据与事项是否存在直接关联、是否属于无法从其他途径获取的情形、是否属于若不取得此类数据就无法开展工作的情形等。

数据处理者对于关键数据的收集、管理与运用,可以着重从数据加密以及身份验证登录这两个方面来强化数据保护。一是针对关键数据采取非对称加密的方式,以保障数据在传输与存储的过程中处于较为安全的状态,避免无关人员查阅此类数据造成数据泄露风险。二是在数据查询平台中对查询人员的身份信息设置水印,以防止查询人对关键数据进行复制传播。在此基础之上,还可进一步设置动态生物体征测试进行登录,包括指纹、虹膜、声纹特征识别检测等,要求数据处理者通过双重甚至多重检测登录的方式,从而最大限度降低该类数据被滥查滥用的风险。如若需要针对此类数据作增加、删除、传输等处理,数据处理者则应当要有上级领导的授权才可登录系统进行相关操作。

当前,流动的数据虽已成为促进经济社会发展、便利人们生产生活的原动力,但与此同时,新型的数据安全风险也由此显现。一方面,随着对大数据关联性挖掘与分析技术的广泛运用,公民个人隐私开始逐渐呈现透明化;另一方面,随着一些互联网平台敏感端口的逐量开放,越来越多的核心数据资产直接暴露在外,存在被入侵、攻击的风险。在此背景下,最高检印发《意见》,旨在强化相关检察工作以降低数据安全风险,保障国家安全、社会稳定以及公民基本权益。而不论是加大严惩窃取关键数据的相关犯罪的力度,还是强化落实网络运营者、数据处理者以及关键信息基础设施运营者的数据保护义务,厘清关键数据的内涵及范畴是相关主体单位合理、高效分配资源以保障数据安全的基础与前提。只有将关键数据与一般数据进行有效区分,各方主体才能实现对不同数据的区分式精准保护。

(作者单位:西南政法大学重庆市人文社科重点研究基地“诉讼法与司法改革研究中心”)