蓝纯杰：受保护数据的概念辨析

数据是新时代的石油，数据保护在当前得到了前所未有的重视。数据保护的前提是明确受保护数据的概念，现代意义上的数据概念已经不同于过往。现行立法中的数据概念较为抽象，总体而言受保护的数据可分为公共数据、企业数据与个人数据。其中，公共数据可分为涉及国家安全的数据与涉及公共利益的数据。企业数据为企业生产经营活动中产生和收集的数据，可根据具体行业进行类型化归纳。个人数据可分为普通个人数据、生物识别数据与敏感个人数据。对上述数据进行“概括+列举”式的分析，可帮助更好地明确受保护数据的概念。本文将对受保护数据的概念进行研究，尝试明确其内涵与外延，为数据处理的相关主体提供参考。

在计算机被广泛使用之前，“数据”一词在内涵和外延方面均较狭隘。进入数字时代后，“数据”的内涵和外延均得到了显著的扩充。英文单词“data”（数据）实际上是源于拉丁语的复数词，其单数形式为datum。[1] 根据《剑桥在线词典》的解释，数据是指“收集的信息，特别是事实或数字，供研究和考虑并用于帮助决策，或以电子形式提供的信息，可由计算机存储和使用”。[2] 然而，对于何为数据，现行法律规则在确定性方面可能存在不足。对此，可从类型方面进行补助思考。

现行立法中的数据概念

《数据安全法》第三条规定：“本法所称数据，是指任何以电子或者其他方式对信息的记录。”按照该条理解，数据是对信息的记录，记录的方式可以是电子方式，也可以是其他方式。《上海市数据条例》与《深圳经济特区数据条例》也采取了相同的规定。然而，这些规定更多是从宏观上保护数据，且重点在于保护国家层面和公共层面的数据安全，在条文的确定性方面则略显抽象。

与数据相关的一个核心概念是“信息”。数据与信息是形式与内容的表里关系，数据用来记录信息，而信息依赖数据来表达。[3]数据是对信息的记录，因此从数据法角度理解，信息是数据的下位概念，对信息的概念进行确定，可以帮助更好地理解数据概念。然而，现行国家层面立法对于何为“信息”，也没有明确规定。根据《个人信息保护》第四条规定，个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。综合上述条文得出的解释是：数据是对信息的记录，信息是各种信息。可见，基于体系解释的方法，依然难以明确得出数据的概念。

现行立法中的数据类型

当抽象—一般概念及其逻辑体系不足以支撑某生活现象或意义脉络的多样表现形态时，首先能够想到的补助思考形式就是“类型”。[4] 现行法律对于何为数据的规定或许并不详尽，但提供了分类依据。《数据安全法》即将数据处理活动损害的权益分为国家安全、公共利益或者公民、组织合法权益[5] 。地方性法规方面，《苏州市数据条例》与《吉林省大数据条例》都将数据分为公共数据、企业数据和个人数据。

综合上述法律规则，根据数据处理活动涉及的利益类型和涉及的不同主体，笔者认为可将数据分为公共数据、企业数据及个人数据三个基本类型。其中，公共数据主要涉及国家安全和公共利益，个人数据和企业数据主要涉及公民、组织的合法权益。下文将对不同类型的数据就其含义进行分别梳理。

公共数据为涉及国家安全和公共利益的数据。综合现行的各类法律条文内容来看，一些地方性法规对公共数据的界定更多聚焦于涉及公共利益的数据。对于涉及国家安全的公共数据的概念及其类型，可从《刑法》相关规则进行推导。

涉及公共利益的数据的概念及其类型

总体而言，涉及公共利益的数据为具有公共管理和服务的单位在履行其管理和服务职责中收集、产生和处理的数据。《厦门经济特区数据条例》将公共数据分为政务数据与公共服务数据。根据《上海市数据条例》，公共数据是指公共管理和服务机构在履行职责过程中“收集”和“产生”的数据。[6]根据《深圳经济特区数据条例》，公共数据是指公共管理和服务机构在履行职责过程中“收集”“产生”和“处理”的数据。[7] 从行为逻辑上来说，收集、产生了数据，随后必然涉及到处理。上述条例规定的“数据处理”，包括了收集、存储、使用、加工、传输、提供、公开（开放）等行为。[8]

公共管理机构，相对而言容易确定，一般为国家机关、事业单位以及经依法授权具有管理公共事务职能的组织。提供公共服务的机构则更难确定，对此，可以参考一些地方性法规的规定。例如，有的地方性法规列举了供水、供电、供气、公共交通等组织[9]；有的地方性法规列举了医疗、教育、供水、供电、供气、通信、文化旅游、体育、交通运输、环境保护等企业事业单位[10]；有的地方性法规列举了供水、供电、供气、公共交通等公共服务运营单位[11]。

一些行业规定对具体行业的公共数据类型进行了具体化规定。例如，规定监管数据包括了“数字、指标、报表、文字等各类信息”[12]；又如，规定自然资源领域数据中的地理信息数据包括了基础地理信息、遥感影像，自然资源调查监测数据包括了土地、矿产、森林、草原、水、湿地、海域海岛等；国土空间规划数据包括了总体规划、详细规划、专项规划等；自然资源管理数据包括了用途管制、资产管理、耕地保护、生态修复、开发利用、不动产登记等[13]。

涉及国家安全的数据的概念及其类型

国家安全是指“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力”[14]。在确定涉及国家安全的数据类型时，《刑法》相关条文可供参照。

《刑法》第二编“分则”部分第一章规定了“危害国家安全罪”。根据相关规定，国家机关、企事业单位和个人处理的数据如果构成国家秘密或者情报，可能构成为境外窃取、刺探、收买、非法提供国家秘密、情报罪，非法获取国家秘密罪，非法持有国家绝密、机密文件、资料、物品罪，故意泄露国家秘密罪，过失泄露国家秘密罪等危害国家安全类的犯罪。其中，与数据相关的两个概念为“国家秘密”与“情报”。“国家秘密”包括国家事务重大决策中的秘密事项、国防建设和武装力量活动中的秘密事项、外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项、国民经济和社会发展中的秘密事项、科学技术中的秘密事项、维护国家安全活动和追查刑事犯罪中的秘密事项、经国家保密行政管理部门确定的其他秘密事项，以及符合规定的政党秘密事项[15]；“情报”是指“关系国家安全和利益、尚未公开或者依照有关规定不应公开的事项”[16]。

进入大数据时代，数据的价值得到了很多企业的认可，越来越多的企业开始重视数据的保护和利用，数据逐渐成为一些企业的核心资产。企业数据的概念和类型，可见于一些地方性法规和行业规范之中。

企业数据的概念

在国家法律中难寻“企业数据”之概念。在地方性法规方面，根据《苏州市数据条例》，“企业数据”是指各类市场主体在生产经营活动中产生、收集的数据。[17]企业的活动主要为生产经营，该规定相应地从企业生产经营角度对“企业数据”进行概念界定。根据该规定，企业数据包括了生产经营中产生和收集的数据。同时，企业数据主要是各类市场主体在生产经营活动中采集、加工的不涉及个人信息和公共利益的数据[18]。

企业数据的类型

由于现代企业的业务领域已经被不断地细分，从行业角度去理解企业数据的类型，将能够得到更加具象的认知。从笔者检索的情况看，现有的行业规定涉及的企业数据包括汽车数据、科学数据、会计师事务所数据、工业和信息化数据等。这些行业规定对相关行业的生产和经营活动做出了更为具体的描述，能够方便我们更好地理解企业数据的内涵与外延，择其要端分述如下：

汽车数据

国家网信办、国家发改委、工信部、公安部、交通运输部2021年8月16日公布、自2021年10月1日起施行的《汽车数据安全管理若干规定》所规定的汽车数据，包括“汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据”[19]。

科学数据

国务院办公厅2018年3月17日印发的《科学数据管理办法》所规定的科学数据，是指“在自然科学、工程技术科学等领域，通过基础研究、应用研究、试验开发等产生的数据，以及通过观测监测、考察调查、检验检测等方式取得并用于科学研究活动的原始数据及其衍生数据”[20]。

会计师事务所数据

财政部、国家网信办2024年4月15日印发的《会计师事务所数据安全管理暂行办法》所规定的数据，是指“会计师事务所执行审计业务过程中，从外部获取和内部生成的任何以电子或者其他方式对信息的记录”[21]。

工业和信息化领域数据

工信部2022年12月8日印发的《工业和信息化领域数据安全管理办法（试行）》所规定的工业和信息化领域数据，包括了工业数据、电信数据和无线电数据等。该规定将上述数据所涉及的生产经营活动类型与数据进行了部分详述，其中，工业数据涉及的生产经营活动包括研发设计、生产制造、经营管理、运行维护、平台运营；无线电数据是指在开展无线电业务活动中产生和收集的无线电频率、台（站）等电波参数数据[22]。

早期数据保护多聚焦于个人信息或个人数据，基于时间的沉淀，对个人数据的规定相比企业数据更为详尽。数据是对信息的记录，个人数据则是对个人信息的记录。对“个人数据”概念的认识，可从《民法典》个人信息保护的相关规则入手。同时，域内外的一些规则也可供辅助参考。

个人数据的概念

目前关于个人数据概念的规定，主要见于《民法典》和《个人信息保护法》。根据《民法典》第一千零三十四条第一款，个人信息是“以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息”；根据《个人信息保护法》第四条，个人信息是“以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息”。

从上述规定来看，“个人信息”概念包括三个要素，即自然人、已识别或可识别的自然人、有关的各种信息。[23]其中，“自然人”要素需遵从《民法典》总则编相关规定，无需赘述；“已识别或可识别的自然人”要素主要围绕生物识别数据的确定；“有关的各种信息”则需要进行更多的类型化分析。

个人数据的类型

普通个人数据

《民法典》第一千零三十四条第二款所列举的个人信息类型，包括了自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。与上述信息相关的数据大多为普通个人数据，但对于生物识别数据需进行“可识别性”的检验分析。同时，《个人信息保护法》第二章区分普通个人信息与敏感个人信息，并规定了不 同的信息处理规则，这种区分便于我们理解普通个人数据与敏感个人数据。

生物识别数据

信息概念三要素中的第二个要素为“已识别或可识别的自然人”。个人信息的核心特征在于“可识别性”，如果个人信息不具有可识别性，则无对该信息处理行为进行规制的必要。因此，判断个人信息是否具有可识别性，具有非常重要的意义。对此，《深圳经济特区数据条例》第二条第（四）项规定可供参考。该项规定：“生物识别数据，是指对自然人的身体、生理、行为等生物特征进行处理而得出的能够识别自然人独特标识的个人数据，包括自然人的基因、指纹、声纹、掌纹、耳廓、 虹膜、面部识别特征等数据。”

域外法方面，2024年《美国隐私权法案》（American Privacy Rights Act，APRA）第二节“定义”第（2）项规定的“生物识别信息”包括了“指纹；声纹；虹膜或视网膜图像扫描；面部或手部绘图、集合图形、模板或步态等”。与《深圳经济特区数据条例》相比，该法案增加了“步态”，减少了“基因”。

敏感个人数据

敏感个人数据涉及敏感个人信息的处理。根据《个人信息保护法》第二十八条，敏感个人信息是指“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”，具体包括“生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹以及不满十四周岁未成年人的个人信息”。地方性法规方面，《深圳经济特区数据条例》强调，对敏感个人数据的滥用可能导致自然人受到歧视，且人身、财产安全受到严重危害。[24]