《信息安全技术网络数据分类分级要求》(征求意见稿)要点解读

139 601

数据分类分级是数据安全保护最重要的基础性工作。数据处理者对数据进行分类和分级可更清晰地梳理数据资产,针对不同类型、不同级别的数据制定和采取不同的安全保护措施,从而实现数据安全保护与数据流通利用的平衡。

数据分类工作旨在对数据资产盘点梳理并进行标准化、专业化管理,将常见、稳定的属性或特征作为数据分类的依据,从而便于依照类别建立完善有序的数据架构,以实现高效准确的数据管理与使用。

数据分级工作则强调基于数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,通过定量与定性相结合,根据数据分级要素开展数据影响分析,从而为数据划分不同级别。数据处理者应针对不同级别的数据,制定对应的安全策略、确定适当的对外开放程度并在全生命周期采取不同的安全保护措施。

二、细化数据分类框架及方法

(一)按照行业领域进行分类

《分类分级要求》明确数据分类应先按照业务所属行业领域将数据分为不同行业领域数据,例如:工业数据、电信数据、金融数据等。对于数据处理者而言,其应当首先明确自身业务涉及的行业领域。

(二)根据业务属性做进一步分类

(三)应对法律法规或主管监管部门有专门管理要求的数据进行识别和分类

《分类分级要求》同时要求,数据处理者应当对法律法规或主管监管部门有专门管理要求的数据进行识别和分类,例如个人信息、敏感个人信息、测绘成果。这一做法有助于数据处理者落实法律法规的合规义务,例如:告知同意、单独同意、加密保护、境内存储、开展个人信息保护影响评估或数据出境评估等。

(四)可结合自身数据管理需要进行增补分类

考虑到数据分类在实践中落地的复杂性,《分类分级要求》同时提出如果存在行业领域数据分类规则未覆盖的数据类型,数据处理者可从组织经营角度,结合自身数据管理和使用要求对数据进行分类,这为数据处理者结合自身管理需求对数据进行创新分类留下了一定的灵活空间。

三、细化数据分级框架及方法

根据《数据安全法》的要求,《分类分级要求》将数据从高到低分为核心数据、重要数据、一般数据三个级别,并明确数据分级框架的核心考虑因素为:数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。数据分级的具体流程及要点如下:

(一)列举数据分级要素

在《分类分级指引》的基础上,《分类分级要求》进一步明确了影响数据分级的要素,并在附录B中详细说明了数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等九个关键要素的定义及示例,增强了分级工作的可落地性。在前述要素中,领域、群体、区域、重要性、安全风险属于定性要素,精度、规模、覆盖度属于定量要素,深度则通常作为衍生数据的分级要素。

(二)扩充影响对象考量范围

《分类分级指引》规定的数据分级考量影响对象主要包括国家安全、公共利益、个人合法权益以及组织合法权益,而《分类分级要求》则在此基础上增加了经济运行、社会稳定两类影响对象,并通过附录C对影响对象常见考虑因素进行了细化列举。数据处理者可依据附录C中列举的因素判断其处理的数据是否对某类对象产生影响。

(三)细化影响程度的判断基准

《分类分级要求》明确,对不同影响对象进行影响程度判断时,应当采取不同的基准:如果影响对象是组织或个人权益,则以本单位或本人的总体利益作为判断影响程度的基准;如果影响对象是国家安全、经济运行、社会稳定或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。附录D针对每一类影响对象均细化了特别严重危害、严重危害以及一般危害三个层次的影响程度的具体说明和示例。

(四)确定数据分级参考规则

《分类分级要求》通过矩阵图的方式明确了数据分级与影响对象、影响程度的关联关系,将数据按照级别从高到低分为核心数据、重要数据、一般数据三类。数据处理者在完成影响对象的识别和影响程度的评估后即可根据下表中的矩阵确定数据级别。

(五)明确综合确定数据级别的规则

《分类分级要求》在给出上述分级规则的基础上还给出了综合确定数据级别的流程和规则,例如:

需要说明的是,数据分类分级工作并非一劳永逸,数据处理者需要结合业务变化动态更新数据的分类分级情况。为此,附录F列举了常见的需要对数据分类分级进行动态更新的情形,例如:数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生显著变化;多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;发生数据安全事件,导致数据敏感性发生变化;因国家或行业主管部门要求,导致原定的数据级别不再适用等。

(六)提出行业分级规则

《分类分级要求》同时考虑到了各行业领域的特殊性,指出各行业各领域可以在遵循数据分级框架的基础上,结合结合行业领域数据分级要素识别、数据影响分析和综合确定级别等实践经验,制定本行业本领域数据分级规则。各行业各领域应当重点考虑明确本行业本领域重要数据目录或识别细则、核心数据目录建议以及一般数据范围等。

四、数据分类分级工作的实施流程

《分类分级要求》第8点给出了数据分类分级的实施流程建议,主要步骤包括:(1)数据资产梳理;(2)数据分类;(3)数据分级;(4)审核上报目录;(5)动态更新管理。具体实施流程请见下图:

五、结语

如您对本期《汉坤法律评述》内容有任何问题或建议,请与汉坤律师事务所以下人员联系:

THE END

我国出台首部统一规范各类市场主体登记管理的行政法规政策解读

云南掌上12348法律法规查询功能升级啦!澎湃号·政务澎湃新闻

我国的法律有哪些种类?

法律规定的分类

教育法律规范的分类

其它法规

汉英对照分类法律词汇(法理法制史宪法)法律英语

党内法规的定义与分类

中国法律法规下载2024安卓最新版手机app官方版免费安装下载

六方云解读:GB/T43697

《信息安全技术网络数据分类分级要求》(征求意见稿)要点解读

数据资源“入表”在即,企业更需守好数据合规与安全的闸门资产新浪财经

1.法律可以分为几大类我国的法律分类:四大部门,包括:刑事、民事、经济、行政。1、刑事方面:一类是实体法,即规定哪些行为是犯罪的,犯了什么罪,将要受到怎样的处罚。另一类是程序法,即规定办理刑事案件程序、步骤的法律。2、民事方面:一类是实体法;另一类是程序法,如民事诉讼法、仲裁条例等。3、经济方面:实体法主要有税法、产品质量法等https://www.64365.com/tuwen/gjzoj/
2.法律的分类有哪些?2.按照法律的形式分类:包括宪法、法律、行政法规、司法解释、部门规章等。3.按照法律的效力分类:包括强制性法律和非强制性法律。强制性法律是指必须遵守的法律,如刑法、民法等;非强制性法律是指可以自愿选择遵守的法律,如合同法、商标法等。4.按照法律的层级分类:包括宪法、法律、行政法规、部门规章等。宪法位于法律https://www.chinaacc.com/chujizhicheng/jhwd/zy20230522155853.shtml
3.垃圾分类有哪些法律法规对于垃圾分类,我国有关部门出台了包括《固体废物污染环境防治法》在内的一系列法律法规,具体的条文包括:县级以上地方人民政府应当加快建立分类投放、分类收集、分类运输、分类处理的生活垃圾管理系统,实现生活垃圾分类制度有效覆盖。法律依据:《中华人民共和国固体废物污染环境防治法》第四十三条 县级以上地方人民政府应当加快https://www.findlaw.cn/wenda/q_39987560.html
4.法律的分类有哪些律师普法法律的分类有哪些 普法内容 对法律种类的划分,可以从不同角度,有不同的划分方法。如: 从法律的文字表现形式方面划分,一可分为成文法和不成文法; 从法律的适用范围方面划分,可分为普通法和特别法; 从法律制定的主体方面划分,可分为国际法和国内法; 从法律的内容方面划分,可分为实体法和程序法;等等。 对于们https://www.110ask.com/tuwen/12520075828264825192.html
5.法规的分类及分级法规的分类及分级是一个涉及法律体系结构的重要问题。以下将从不同角度对法规进行分类,并简要介绍其分级: 一、法规的分类 根据制定机关和法律效力,法规可分为宪法、法律、行政法规、地方性法规等。宪法是国家的根本大法,具有最高的法律效力;法律是由全国人民代表大会及其常务委员会制定的规范性文件;行政法规是由国务院https://ailegal.baidu.com/legalarticle/qadetail?id=f1c1f226ffed3a001012