发布时间:2024-01-22 14:26:08被阅览数:407 次信息来源:《中国档案》
文/冯慧敏
数字经济时代,数据资源成为国家战略资源。科学高效的数据管理方式,既能够为开展数据安全保护工作打下坚实基础,又能够为挖掘数据要素经济价值工作提供有力支持。“十四五”规划中,建设大数据环境中的“数据分类分级保护制度”成为数据管理工作的重点。
数据是信息的一种表现形式,数据管理本质上仍然以管理数据所记录和反映的信息为核心。而档案管理,也以信息作为管理对象。这就使数据管理,尤其是数据分类分级管理与档案管理相兼容和协调,能够使数据分类分级框架延伸进入档案管理领域,实现数据安全管理工作的跨界协同,促进数据的流动。同时,档案管理部门在长期保存、质量管理、开放审核等方面的管理经验和规范基础,也能够反哺数据管理,为数据治理工作的开展提供约束规范参照。
现行规范与既有实践
数据分类是将具有共同属性或特征的数据归为一类,而数据分级是将分类后的数据按照一定价值识别标准划分保护级别。数据的分类分级,是确立适当的数据保护、流动规则的前提和依据,能够促使数据完整性、保密性和可用性目标的实现。通过对数据分类分级的法律规范、地方规定和行业标准进行梳理,能够从规范的角度一窥我国数据分类分级工作进展状况。
1.数据分类分级管理的现行规范
(1)法律规范与地方规定
在中央规范层面,我国数据主管单位以法律、人大常委会工作文件、国务院规范性文件等多种形式,在考量金融行业、通信行业、医疗行业以及跨行业等不同数据应用场景后,对数据分类分级工作进行了部署。以《中华人民共和国数据安全法》(以下简称《数据安全法》)第二十一条为例,该条提出了建立数据分类分级保护制度的要求,并将“重要程度”“危害程度”作为分类及分级的依据,将以数据分类分级为内容的数据安全制度的建设交由“数据安全工作协调机制”完成,提出了制定“重要数据目录”的路径。现行含有“数据分类分级”内容的中央法规,集中体现了我国的数据分类分级中央管理体系的特征:顶层设计与局部规划同时进行;率先在关键行业、重点领域展开;强调数据安全目标与数据要素价值的同时实现;重视实践与司法的良性互动。
中央法规以外,地方规范中的数据分类分级也层出不穷。以《上海市数据保护条例》为例,上海市以数据安全治理作为工作目标,以“建立重要数据目录管理机制”的方式实现对数据分类分级的保护,并将重要数据目录编制工作交由市政府办公厅和市网信办落实。中央与地方法规在分类分级制度方面的建设,都体现了以数据安全保护为核心,以重要数据目录管理为方法的思路,并且都强调了建设“工作协调机制”的重要性。
(2)行业标准
相较中央法规、地方法规,行业标准就如何分类分级做出了更加具体的规定,对档案工作开展具有更加直接的参考价值(如表1所示)。
表1 “数据分类分级”相关行业标准
现行行业标准在数据分类时,考量的主要因素有:①数据的性质。如《工业互联网数据安全保护要求》将工业互联网数据分为工业互联网设备数据、应用系统数据、知识库数据、企业数据、用户个人数据五大类。②数据处于的生命周期阶段。如《信息安全技术大数据安全管理指南》根据数据采集、储存、处理、分发、删除等不同数据产生利用阶段对数据进行分类。而现行行业标准有关数据级别的设置,则考量了以下因素:①数据安全问题的影响对象。②数据安全问题的影响范围。③数据安全问题的影响程度。
2.档案分类分级管理的现行规范
《中华人民共和国档案法》(以下简称《档案法》)第八条规定:“档案应当按照规定的分类分级制度管理,实行有序保存、有效利用、保护和服务的原则。”为做好档案信息系统安全等级保护工作,国家档案局曾于2013年发布《档案信息系统安全等级保护定级工作指南》,以受侵害客体、客体受侵害程度为参考标准,对档案信息系统类型进行划分。针对不同场景,行业标准也对档案分类分级管理作出建议性安排,如针对公务活动中产生的具有保存价值的电子文件,《电子文件归档与电子档案管理规范》提供了文书类、科技类、声像类等分类方案的参考执行标准。
总体上,现行档案相关法律及行业规范对档案分类分级的规定及建议体现如下特征:从形式上看,档案分类分级规范,尤其是行业标准的制定或出台,体现出对信息安全系统、网络系统等技术发展及相关规范推出的适应性。例如,上述《档案信息系统安全等级保护定级工作指南》即是为对接2008年公布的信息系统安全等级保护定级指南和定级要求而制定。从内容上看,档案分类分级标准注重档案保存价值的实现。无论是档案分类还是分级,都是为了通过对档案进行价值鉴定,确定不同的保管期限和密级,确保档案的长期安全。从落实上看,分类分级标准的制定和执行,由国家档案局自上而下开展,体现出“统一领导”的行政特征。
数据管理与档案管理的协同问题
大数据、云计算、人工智能等技术推动了档案的信息化建设。在《数据安全法》和《档案法》的规范与指导下,数据管理和档案管理的协同工作逐步开展。然而,数据与档案的分类分级工作仍在管理目标、工作逻辑、规范文本等方面,存在协调对接的问题。
1.管理目标差异:价值挖掘与长期保存
数据管理以及数据分类分级的目标,重点在于数据价值的开发与利用。档案管理的目标旨在长期、安全保存的坚实基础上,实现对档案信息的有效利用。管理目标的差异,使得海量基础数据的经济价值难以被档案规范所认可,而档案的遗产价值和情感价值难以为数据规范所接纳。并且,考虑到数据作为新型生产要素的基础性作用,各地数据管理部门在工作时,很难在数据的价值实现目标与档案的长期保存目标之间保持平衡,其往往更偏重于开展效益产出更加直接的数据管理与利用工作。
在不同的管理目标基础上,从管理维度的视角来看,数据管理更加注重管理的空间维度,即注重拓宽数据的纵深范围和横向边界,强调数据的即时性、基础性、海量性,以期利用多重技术工具充分开发数据价值,为上层决策提供高实效性的参考依据。而与此相比,档案管理更加注重延伸管理的时间维度,强调对少数有价值的档案文件进行长久的保存。
2.工作逻辑有别:差序有致与向上统一
数据治理,尤其是数据分类分级管理,在实践中体现出了差序有致的特征。现行中央与地方法律仅对数据分类分级提出了要求,行业标准则体现了明显的行业特征—即在充分尊重行业特性的前提下,客观描述数据生产利用的过程,并根据行业数据安全问题可能造成后果的严重程度,为分类分级设定具体的标准。但是,分类分级治理交由行业组织或企业主体完成,很可能会引发因市场主体趋利、标准设置过低,而造成的危害国家社会公共安全的风险外溢问题。同时,差序有致的行业标准虽然更加贴近生产特征,但也可能构筑数据跨行业、跨地区流动的壁垒。
而档案管理体现了向上统一的特征。从档案管理内容来看,档案分类分级管理注重“应然性”,强调通过一定形式对档案进行科学整理,以满足文件组织管理、档案价值鉴定、档案目录数据库的建设和实体档案的科学排架管理等需求。所以,档案管理工作更加注重发挥上级管理的统一指导作用。从法律规范角度来看,在高位阶的法律层面,档案法律规定种类广泛、内容涵盖档案工作全过程、具有较高专业性。从组织机构角度来看,在局馆分设的体制下,档案主管部门对档案管理工作实施了统筹规划,对档案馆工作进行了组织协调与统一指导。
3.法律衔接空白:规范互引、执行无据
为加强规范协调、节省立法资源,数据规范与档案规范存在引用对方规定作为补充的情况。即存在法规的“交叉引用”。但是,个别条款出现了因互引而造成的规范空白。例如,针对个人信息数据保护问题,《档案法》第二十八条第三款将保护个人信息的规定交由“有关法律、行政法规”完成。而《中华人民共和国个人信息保护法》第七十二条规定,档案管理活动中的个人信息处理有规定的,适用其规定。此种互引实际上导致有关个人信息数据的档案管理活动无法可依。
此外,法规层面还存在着因数据法规体系快速建设、完善,而凸显的配套档案管理规范缺失的问题。例如,《档案信息系统安全等级保护定级工作指南》的制定以信息系统安全等级保护定级指南和定级要求的制定为背景。然而,随着互联网技术的飞速发展,信息及数据安全问题由多发于信息系统,转向多发于网络环境。为解决网络数据安全问题,网络安全相关行业标准及时推出,为数据生产利用提供参照。然而,作为网络安全等级保护工作的重要一环,档案网络安全等级保护工作并未提上日程。这使得档案管理工作难以在适应新技术与新规范的环境中开展。
数据管理与档案管理的协同因应
数据与档案分类分级目标、逻辑和规范的衔接都最终落脚于数据与档案分类分级制度的建设。故而对数据与档案的协同管理,围绕分类分级制度的重塑与对接展开。
1.突出重点:衔接“重要数据”与“保存价值”的标准
《数据安全法》提出“制定重要数据目录,加强对重要数据的保护”。相关部门、行业标准以及学术研究等对“重要数据”的界定,基本体现了其“与国家安全、经济发展以及社会公共利益相关”的特征。《档案法》将归档范围划定为“对国家和社会具有保存价值”。两者有重合之处:都参考数据或档案所影响国家和社会的安全和经济利益的程度,设置保护与否、归档与否的标准。由于数据与档案之间存在互动联系,即部分重要数据最终通过归档进入档案馆,故而“重要数据”与“保存价值”可在标准设定上做一定程度上的协调处理。
协调的具体方法是设立考量档案管理需求的“重要数据目录”。“重要数据目录”事实上是数据最基本的分类,将与国家安全、经济发展和社会公共利益相关的重要数据与一般数据相区分,是数据分级的前提。“重要数据目录”的划定应由各部门和行业根据自身行业性质和发展情况需求制定。例如,《金融数据安全数据安全分级指南》在考量影响程度、数据特征之外,宜将“保存价值”纳入“重要数据”的标准之一,具体可为“重要数据的内容可包括......具有保存价值的数据:反映当下金融业发展特征与水平的”。另外,宜在法律的高度,确定档案部门参与重要数据目录制定及执行的地位,以便从源头落实重要数据保护与具有保存价值的档案保护的衔接。《档案法》配套下位法的制定,也应与数据管理法律、网络安全管理法律相承接,并充分考虑档案安全保存的连贯性和价值利用的高效性需求。
2.兼采优势:建设统一与差序的分类分级管理制度
与“重要数据”的条块化类别区分不同,分级制度涉及信息跨行业流动管理,需要建立统一的标准。立法层面,分级管理制度的设定标准在原则的指导下,基于对要素的考察,完成数据与档案分级体系构建。
参照数据分级行业标准以及《档案信息系统安全等级保护定级工作指南》,数据与档案管理级别设置的基本原则为:程度适当、过程覆盖、自主与强制相结合、动态调整。程度适当原则要求级别设置标准不宜过宽过窄,以增强可操作性、提高管理效率,不宜过高过低,以促进数据流动,减少数据利用负外部性。过程覆盖原则要求分级覆盖数据流动全流程,尤其是数据采集利用的前端环节与数据储存的归档环节。自主与强制相结合的原则要求将重要数据的中央划定强制性分级以及关注行业特征和地方特色的地方自主定级相结合。动态调整原则要求考量场景变化、时代发展、情势变更等因素,进行动态调整,以节省管理资源,实现精准管理。
数据与档案分级参考的关键要素包括影响对象、影响程度、影响范围。(1)影响对象。档案法律关注对国家和社会的保存价值,数据分级也将国家安全、经济发展和社会公共利益相关的数据安全纳入最重点的考量,故涉及国家与社会利益的数据,应受最高级别的保护。其次,行业发展状况涉及各类生产部门效益与安全,符合分级规律,亦作为影响对象要素之一。最后,公民、法人和其他社会组织的合法权益也应为分级要素之参考。(2)影响范围与程度。目前行业标准有3级划分(《工业数据分类分级指南》)、4级划分(《金融数据安全数据安全分级指南》《基础电信企业数据分类分级方法》)两种形态,基本为一般损害、严重损害和特别严重损害三类。
关于数据与档案分级的级别数量,行业标准有3级(《个人金融信息保护技术规范》)、4级(《基础电信企业数据分类分级方法》)、5级(《电信与互联网服务用户个人信息保护分级指南》)三种划分样式。根据《中华人民共和国档案法实施办法》(以下简称《档案法实施办法》),各级国家档案馆馆藏的永久保管档案分1、2、3级管理。但由于《档案法实施办法》以档案价值为管理指标,其3级管理体制缺乏价值发挥层面的精细化特征。笔者认为,从数据与档案管理的分级颗粒适当性出发,数据等级数量应确定为5级。
根据前述分级原则与参考要素的分析,可将数据与档案由低到高划分为1级(一般数据)、2级(敏感数据)、3级(具有一般保存价值的重要数据)、4级(具有特别保存价值的关键重要数据)、5级(具有极特别保存价值的国家核心数据)(如表2所示)。
表2 数据与档案等级划分参考要素矩阵
3.加强数据规范与档案法律的分类分级协调
在信息的长期保存与质量控制方面,档案管理部门具有丰富的管理经验和充分的法律基础。立法部门应积极吸纳档案部门参与数据安全领域法律法规制定,以便在数据治理中纳入档案视角。在规范细节上,立法部门应考虑到档案管理处于的数据周期后端位置,对档案法律法规进行及时的适应性更新,以对接迭代的技术管理法律和数据治理规范。规范落实上,应统筹考虑档案管理部门与数据管理部门之间的职能关系,推动国家档案局作为大数据发展部际联席会议成员单位,加强顶层设计对档案管理作用的重视,并在各级数据及档案管理组织中推动数据分类分级、质量管理、长期保存和跨域流动的沟通协调机制建设。
参考文献:
[1]商希雪,韩海庭.数据分类分级治理规范的体系化建构[J].电子政务,2022(10).
[2]刘越男.数据治理:大数据时代档案管理的新视角和新职能[J].档案学研究,2020(5).
[3]张华滨.对有关涉档案法律问题的思考[J].中国档案,2023(3).
[4]商希雪,韩海庭.数据分类分级治理规范的体系化建构[J].电子政务,2022(10).
[5]王玉珏,吴一诺.档案法律融入数据法律体系的内在逻辑、问题与路径[J].档案学研究,2022(3).
作者单位:对外经济贸易大学法学院
责任编辑:周拯民
