国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
合规解读
关键词/KEYWORDS
中央地方分类分级制度
危害目录转化后果保护
核心目的:建设中央和地方两个层面的数据分类分级制度。
中央层面:建立数据分类分级保护制度,统筹加强对重要数据和核心数据的保护。中央层面的国家数据安全工作协调机制负责统筹协调,实现由中央国家安全机构通过国家数据安全工作协调有关地区、部门制定重要数据目录工作,确保推动重要数据统一认定标准的建立。
地方层面:
1.各地区、各部门建立重要数据具体目录,将需要重点保护的数据列入目录中;
2.各地区、各部门承担确定本地区、本部门的重要数据目录职责;
3.各地区、各部门负责重要数据和核心数据的具体实施。
“中央层面”与“地方层面”的关联:自上而下原则(中央层面建立数据分类分级保护制度,负责统筹协调各地区、各部门制定重要数据目录工作,确保统一认定标准建立)
数据分类
1.目的:方便数据的查阅、识别、管理、保护和使用;
2.前置条件:根据数据的属性或特征等开展;
3.法律界定:《数据安全法》将数据分为一般数据和重要数据、《个人信息保护法》界定敏感个人信息、《网络数据安全管理条例(征求意见稿)》专章规定“个人信息保护”和“重要数据安全”;
4.双轨化路径:将数据从总体上看,我国分为“个人信息”和“重要数据”,规制模式采取个人信息与重要数据保护体系双轨化模式;
5.总分原则:从数据分类法益保护的角度来看,我国数据分类遵循总分原则,先按归属主体、影响对象、影响范围、影响程度对数据进行类别划分,再通过对业务和数据进行细分。
数据分级
1.目的:便于根据数据的不同安全等级采取相匹配的保护措施;
2.前置条件:基于数据的重要程度和发生危害时的影响程度等进行开展;
3.总体要求:根据数据的敏感程度、数据泄露、破坏后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度,将其确定不同安全等级;
4.细化要点:基于数据使用行为的危害性进行划分、基于数据自身的关键性程度及对于业务的影响进行定级、基于数据所适用的司法管辖区进行划分等。
“数据分类”与“数据分级”关联性:
1.监管角度:数据分级是监管要求内的一种数据分类;
2.安全角度:数据分类是为了方便数据保护的一种分级;
3.目标角度:数据分类与数据分级均承担保障数据安全的目标。
我国数据分类分级领域现状:我国在数据分类分级领域已形成国家法律、部门规章、标准规范三类政策文件共同构建的制度规范雏形,特别在技术标准与行业规范中具备较为体系化的数据分类分级要求,但法规层面尚未得以完整落实;
“合规义务”转化为“特殊义务”:基于数据分类分级保护制度的建立,可将数据处理者的合规义务向数据处理者履行自身的特殊义务进行转化,从而实现对数据的针对性管理;
“重要数据”后果先知:
1.危害国家安全、国防利益等;
2.损害国家财产、社会公共利益和个人合法利益;
3.影响国家预防和打击经济与军事间谍、政治渗透、有组织规范等;
4.影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为;
5.干扰政府部门依法开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责;
6.危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全;
7.影响或危害国家经济秩序和金融安全;
8.可分析出国家秘密或敏感信息;
9.影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等国家安全事项等。
不同国家数据分类方法:
1.欧盟:个人数据和非个人数据;
2.澳大利亚:一般数据、敏感数据;
3.印度:一般数据、敏感数据、关键数据;
4.美国:敏感数据、非敏感数据。
实施指南
政策演化标准实施
重要数据共性领域
本条强调了中央层面要建立数据分类分级保护制度统筹加强对重要数据和核心数据的保护。地方层面建立重要数据具体目录将需要重点保护的数据列入目录中,并承担相应责任。同时,从危害影响角度明确了数据在经济社会发展中的重要程度,对数据实行分类分级保护。因此,结合我国当前数据分类分级法律法规现状及数据二十条要求,在本文在实施指南侧主要探究以下问题:
以数据分类分级为基础应重点开展哪些工作?
当前我国关于数据分类分级政策上有哪些演化?
通过指南洞察如何进行重要数据识别?
确定数据分类与数据分级的共性目标?
一、政策演化:基于数据分类分级的政策演变
本文从我国已出台的数据分类分级政策文本为出发点,以其文本内容为出发点,量化其演化趋势。
政策发展起步阶段(2001~2009年)
数据分类分级政策最早政策文件由《重庆市人民政府关于印发重庆市电子商务发展纲要和数字重庆地理信息系统发展纲要的通知》,提出数据安全、数据共享等理念,标志我国数据分类分级政策发展步入起步期。
政策发展调整期(2010~2014年)
以政策发展规律及数据治理为时代背景,数据分类分级政策数量发布较少,但各级政府已开始探索数据分类分级政策发展储备理论、技术、人才等。
政策发展加速期(2015年~至今)
政务政务数据、公共数据、海关数据等安全风险隐患信息数据、安全生产基本信息数据等医疗健康医疗数据、医疗保障数据、医保数据等金融证劵期货业数据等跨境跨境数据、出境数据、跨境电商数据等;工业工业数据、工业互联网数据、智能互联网汽车数据等财税审计业务电子数据、税务数据等征信公共信用数据、信用信息记录数据等电信电信、互联网行业数据等自然资源基础空间数据、国土资源数据、其他自然资源数据等交通交通运输数据、交通行业数据、民航数据等商业消费信息数据、电子商务数据、企业基础数据等科学科学数据、交通运输科学数据等······
二、标准实施侧:以“数据二十条”强调的数据环节为导向、以数据分类分级基础,对标准实施方向性进行探究
以“数据二十条”内涵为导向、以数据分类分级为基础的标准编制推演。“数据二十条”核心内涵在于以盘活数据经济价值为核心的权属关系确立上,在权属关系上“数据二十条”体现出淡化所有权、强调使用权、聚焦数据使用权流动。同时,在制度架构上,体现出三权分置(即:数据资源持有权、数据加工使用权、数据产品经营权)。因此,需要结合“数据二十条”内涵认识把握数据的基本规律(即:产权、流通、交易、使用、分配、治理、安全等),通过基本规律找寻不同规律点的共性要点内容,通过数据基本规律可看出,围绕在各环节的共性要点在于“确权”、“定价”、“可信”、“管理”方向上。
基于确定的标准方向,构思融合方法。
三、重要数据识别侧:以《重要数据识别指南(征求意见稿)》核心思想为出发点,量化重要数据识别核心要点
如何理解重要数据定义?此指南定义:以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
关键词/KEYWORDS:电子方式危害安全
实际可以通过两个维度进行重要数据定义诠释:一是什么为数据、二是在界定的数据中如何寻找重要数据。
1.什么是数据?通过此指南定义前半句可以看出(即:以电子方式存在的),只要以电子方式存在的即为数据,但这里的数据实际即包含了一般数据、重要数据,也包含了核心数据等,实际是一个比较宽泛的范围,这就衍生出如何界定重要数据。
如何识别重要数据?本文基于此指南从数据流动侧、安全风险影响侧进行回答。
1.重要数据是否可以进行数据流动(数据流动侧)?从释放数据价值角度进行考量,本文认为无论是什么样的数据都需要进行数据流动(即:数据流动是释放数据价值的必要手段),只不过不同等级数据流动的方式不同,有些可以是“无序”的数据流动、有些需要是“有序”的数据流动。相对一般数据来讲,重要数据就需要建立在有序流动的基础上进行释放数据价值,安全能力防护上需要满足高安全防护能力等级(如:等保2.0的3级以上标准),引入数据分类分级保护制度,通过对数据的分级明确安全保护重点,使数据分级和数据流动进行关联。因此,数据是在高安全防护等级标准中进行有序流动的数据,根据映射的国家安全影响情况可纳入重要数据范畴。
四、实施目标侧:以“安全保护”为数据分类分级的共性目标
从数据分类与数据分级的概念角度出发,数据分级主要是针对适用于安全保障目标场景中以及对应监管保护标准,数据分级实际是支撑监管体系下的一种数据分类。数据分类实际是为了数据的保护进行的数据分级。以安全保护为目标的数据分类与数据分级就变成从属关系,因此,数据分类与数据分级规范体系均担负保障数据安全的目标。具体目标如下:
数据流动安全目标;
数据隐私保护目标;
数据权属保护目标;
数据安全可信目标;
数据针对性管理目标;
……
总结
本文以《数据安全法》第二十一条要求为出发点,整体按照合规解读、实施指南、法律关联三个方面进行展开,在合规解读侧,从本条映射出的核心目的、中央与地方职责、中央与地方的关系、数据分类、数据分级、分类与分级的关系、我国数据分类分级现状、合规义务转化、重要数据、国外现状角度进行探究与分析;在实施指南侧,从政策的演化、标准的实施方向、重要数据识别、分类与分级的共性目标进行探究分析;并在法律关联侧将我国当前的法律法规、标准、指南与本条有映射关系的条款进行量化。
法律关联
本条与《网络安全法》第21、31、37条进行关联;
本条与《网络安全等级保护基本要求》强调的等级保护对象受到侵害后对客体造成的损害程度进行关联——即:一般损害、严重损害、特别严重损害;
本条与《网络安全标准实践指南——网络数据分类分级指引》强调的数据遭到篡改、破坏后所造成的不同危害程度进行关联——即:严重影响、轻微影响、重大负面影响、轻微受损等;
本条与《基于电信企业数据分类分级办法》进行关联;
本条与《关键信息基础设施安全保护条例》强调的某些运营和管理关系到国家安全、国计民生、公共利益的网络设施和信息系统属于关键信息基础设施运营者进行关联;
本条与《网络数据安全管理条例(征求意见稿)》第5、9、26条进行关联;
本条与《汽车数据安全管理若干规定(试行)》第3条进行关联;
本条与《数据出境安全评估办法》强调的数据资源规模、范围、种类、敏感程度、风险要点进行关联
本条与《信息安全技术数据分类分级规则(征求意见稿)》进行关联;
本条与《证券期货业数据安全风险防控数据分类分级指引》进行关联;
本条与《证券期货业数据分类分级指引》进行关联;
本条与《信息安全技术健康医疗数据安全指南》进行关联;
本条与《科学数据安全分类分级指南》进行关联;
本条与《互联网数据中心技术及分级分类标准》进行关联;
本条与《信息安全技术个人信息安全规范》进行关联;
本条与《国民经济行业分类》进行关联;
本条与《信息安全技术公共及商用服务信息系统个人信息保护指南》进行关联;
本条与《信息技术大数据数据分类指南》进行关联;
本条与《公共信用信息分类与编码规范》进行关联;
本条与《信息安全技术网络安全事件分类分级指南》进行关联;
本条与《信息安全技术信息安全事件分类分级指南》进行关联;
本条与《信息安全技术网络安全漏洞分类分级指南》进行关联;