规定重要数据处理者的安全保护义务

对重要数据匹配特别的保护要求和措施，是切实维护国家数据安全的关键所在。首先，明确重要数据处理者范围以及重要数据安全保护原则。借鉴欧盟《一般数据保护条例》和我国《民法典》关于个人数据/信息处理的定义，建议将“重要数据的处理”界定为“包括重要数据的收集、存储、使用、加工、传输、提供、公开等”。这样就能将重要数据保护要求贯穿重要数据的整个生命周期。鉴于数字经济数据安全风险的动态性，应该规定重要数据安全保护原则，作为处理者是否尽到安全保护义务的衡量基线。一是规定最小化数据风险原则，根据数据利用场景在确保正常利用情况下应该最小化数据泄露风险；二是规定保护措施成比例原则，借鉴欧盟《网络与信息系统安全指令》和《一般数据保护条例》的相关规定，明确应当采取适当的和成比例的技术和组织措施来管理数据安全风险，这些措施应当确保一定程度的安全并且对于所面临的风险是适当的。

其次，制定与重要数据处理者安全保护义务相配套的、具有可操作性的国家标准。建议结合数据分类分级标准，根据安全风险的等级，制定贯穿数据生命周期不同阶段的具体安全措施，数据处理者可以根据自身情况作出相应选择。制定专门的数据安全风险管理指南，对识别潜在风险、评估分析风险、发展替代方案、决定和执行、监测监督以及风险交流等予以指引。在标准实施方面，要注意区分政府部门和私营部门，对于政府部门要以强制性要求为主，对于私营部门要允许一定的自主性，比如应该统一政府部门重要数据分类分级标准，而私营部门在保证保护水平下可以对数据分类有一定自主空间，当然政府部门可以通过合同机制等将某些标准扩展适用到私营部门。

再次，规定重要数据处理者定期风险评估制度。风险评估是风险管控的基础和关键，是处理者安全保护义务的重要内容。应该明确处理者开展重要数据风险评估的年度频次、实施主体、费用承担、结果处理。如果评估工作由安全测评服务机构承担，考虑到重要数据事关国家安全、公共安全，还应该规定测评服务机构许可准入制度，规范这些服务机构的资质条件、评估流程、评估标准、保密义务、评估结果运用等。为了减少相关企业负担，重要数据风险评估应该与相关评估制度相衔接，避免重复评测。