《信息安全技术网络数据分类分级要求》(征求意见稿)要点解读

598 872

数据分类分级是数据安全保护最重要的基础性工作。数据处理者对数据进行分类和分级可更清晰地梳理数据资产,针对不同类型、不同级别的数据制定和采取不同的安全保护措施,从而实现数据安全保护与数据流通利用的平衡。

数据分类工作旨在对数据资产盘点梳理并进行标准化、专业化管理,将常见、稳定的属性或特征作为数据分类的依据,从而便于依照类别建立完善有序的数据架构,以实现高效准确的数据管理与使用。

数据分级工作则强调基于数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,通过定量与定性相结合,根据数据分级要素开展数据影响分析,从而为数据划分不同级别。数据处理者应针对不同级别的数据,制定对应的安全策略、确定适当的对外开放程度并在全生命周期采取不同的安全保护措施。

二、细化数据分类框架及方法

(一)按照行业领域进行分类

《分类分级要求》明确数据分类应先按照业务所属行业领域将数据分为不同行业领域数据,例如:工业数据、电信数据、金融数据等。对于数据处理者而言,其应当首先明确自身业务涉及的行业领域。

(二)根据业务属性做进一步分类

(三)应对法律法规或主管监管部门有专门管理要求的数据进行识别和分类

《分类分级要求》同时要求,数据处理者应当对法律法规或主管监管部门有专门管理要求的数据进行识别和分类,例如个人信息、敏感个人信息、测绘成果。这一做法有助于数据处理者落实法律法规的合规义务,例如:告知同意、单独同意、加密保护、境内存储、开展个人信息保护影响评估或数据出境评估等。

(四)可结合自身数据管理需要进行增补分类

考虑到数据分类在实践中落地的复杂性,《分类分级要求》同时提出如果存在行业领域数据分类规则未覆盖的数据类型,数据处理者可从组织经营角度,结合自身数据管理和使用要求对数据进行分类,这为数据处理者结合自身管理需求对数据进行创新分类留下了一定的灵活空间。

三、细化数据分级框架及方法

根据《数据安全法》的要求,《分类分级要求》将数据从高到低分为核心数据、重要数据、一般数据三个级别,并明确数据分级框架的核心考虑因素为:数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。数据分级的具体流程及要点如下:

(一)列举数据分级要素

在《分类分级指引》的基础上,《分类分级要求》进一步明确了影响数据分级的要素,并在附录B中详细说明了数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等九个关键要素的定义及示例,增强了分级工作的可落地性。在前述要素中,领域、群体、区域、重要性、安全风险属于定性要素,精度、规模、覆盖度属于定量要素,深度则通常作为衍生数据的分级要素。

(二)扩充影响对象考量范围

《分类分级指引》规定的数据分级考量影响对象主要包括国家安全、公共利益、个人合法权益以及组织合法权益,而《分类分级要求》则在此基础上增加了经济运行、社会稳定两类影响对象,并通过附录C对影响对象常见考虑因素进行了细化列举。数据处理者可依据附录C中列举的因素判断其处理的数据是否对某类对象产生影响。

(三)细化影响程度的判断基准

《分类分级要求》明确,对不同影响对象进行影响程度判断时,应当采取不同的基准:如果影响对象是组织或个人权益,则以本单位或本人的总体利益作为判断影响程度的基准;如果影响对象是国家安全、经济运行、社会稳定或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。附录D针对每一类影响对象均细化了特别严重危害、严重危害以及一般危害三个层次的影响程度的具体说明和示例。

(四)确定数据分级参考规则

《分类分级要求》通过矩阵图的方式明确了数据分级与影响对象、影响程度的关联关系,将数据按照级别从高到低分为核心数据、重要数据、一般数据三类。数据处理者在完成影响对象的识别和影响程度的评估后即可根据下表中的矩阵确定数据级别。

(五)明确综合确定数据级别的规则

《分类分级要求》在给出上述分级规则的基础上还给出了综合确定数据级别的流程和规则,例如:

需要说明的是,数据分类分级工作并非一劳永逸,数据处理者需要结合业务变化动态更新数据的分类分级情况。为此,附录F列举了常见的需要对数据分类分级进行动态更新的情形,例如:数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生显著变化;多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;发生数据安全事件,导致数据敏感性发生变化;因国家或行业主管部门要求,导致原定的数据级别不再适用等。

(六)提出行业分级规则

《分类分级要求》同时考虑到了各行业领域的特殊性,指出各行业各领域可以在遵循数据分级框架的基础上,结合结合行业领域数据分级要素识别、数据影响分析和综合确定级别等实践经验,制定本行业本领域数据分级规则。各行业各领域应当重点考虑明确本行业本领域重要数据目录或识别细则、核心数据目录建议以及一般数据范围等。

四、数据分类分级工作的实施流程

《分类分级要求》第8点给出了数据分类分级的实施流程建议,主要步骤包括:(1)数据资产梳理;(2)数据分类;(3)数据分级;(4)审核上报目录;(5)动态更新管理。具体实施流程请见下图:

五、结语

如您对本期《汉坤法律评述》内容有任何问题或建议,请与汉坤律师事务所以下人员联系:

THE END

中国的法律有哪些分类?

《信息安全技术网络数据分类分级要求》(征求意见稿)要点解读

突发公共事件的分类分级

逾期分级别:网贷等级分类程度分级,一文详解

干货分享数据分类分级在医疗行业(综合医院)实践中的思考总结信息安全

信息安全事态事件法律法规方面脆弱性报告及表单分类分级方法示例

六方云解读:GB/T43697

解读央行版数据安全法规:细化数据分级,有望促进数据开发利用

《工业和信息化领域数据安全管理办法(试行)》法律适用及主要合规义务

洪延青:国家安全视野中的数据分类分级保护

中国法律体系类别分级示意图

郑曦:刑事司法中的数据安全保护问题研究

中国网络安全数据安全和个人信息保护法概览

1.我国法律有哪些?谁是老大?法律有广义和狭义之分。狭义的法律专指由全国人民代表大会及其常委会制定的规范性文件。地位仅次于宪法。依据制定机关的不同可分为两大类:基本法律,由全国人民代表大会制定,如民法典、刑法等;《行政处罚法》是1996年3月17日第八届全国人民代表大会第四次会议通过的,所以,《行政处罚法》是基本法律。基本法律以外的其https://zhuanlan.zhihu.com/p/384837870
2.中国特色社会主义法律体系中国宪法在中国特色社会主义法律体系中具有最高的法律效力,一切法律、行政法规、地方性法规的制定都必须以宪法为依据,遵循宪法的基本原则,不得与宪法相抵触。 法律是中国特色社会主义法律体系的主干。中国宪法规定,全国人大及其常委会行使国家立法权。全国人大及其常委会制定的法律,是中国特色社会主义法律体系的主干,解决的是https://www.gov.cn/zwgk/2011-10/27/content_1979526.htm
3.法律一共分为几类法律一共可以分为多个类别,这些类别从不同的角度和层面对法律进行划分。以下是一些主要的法律分类方式: 一、从法律的文字表现形式方面划分,可分为成文法和不成文法。 成文法是指经过立法程序制定,以条文形式颁https://lvlin.baidu.com/question/211842052666292805.html
4.国家标准《数据分类分级规则》解析与多行业标准及实践分享系列我国多部法律规定了数据分类分级的要求,2017年发布的《网络安全法》提出网络运营者应当采取数据分类的安全保护措施,2021年发布的《数据安全法》确立了数据安全管理制度。 《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法https://blog.csdn.net/yyri/article/details/137565144
5.数据分类分级管理系统依据行业分类分级标准、法律法规,进行智能数据识别、分类分级、数据编目、目录管理和分析,构建符合流通和监管要求的智能数据分类分级管理系统。 咨询我们 产品优势 遵循标准 贯彻国家法规政策和行业标准,内嵌行业标准和规则万余项,减少人工配置工作量。 智能识别 https://cecloud.com/product/7037723730927161344.html
6.现在有多少部法律?2024年9月20日,中国人大网公布最新版的法律目录:现行有效法律目录(303件),并且包含了各部法律的颁布和修订时间。每天学点法律知识编辑推送,供普法学习参考: 点击名称阅读法律全文·收藏分享随时学习查询 现行有效法律目录(303件) (截至2024年9月13日十四届全国人大常委会第十一次会议https://mp.weixin.qq.com/s?__biz=MzUzMjU3OTE2OQ==&mid=2247547504&idx=1&sn=90e740978eb2f324105b8861733ceae9&chksm=fb6e4f5add8823626678cb340cec00e593724d6773812fccfa3072f9856e1c2f1b34359d8c45&scene=27
7.工业和信息化领域应用数据分类分级密码技术!《工业和信息化领域第七条 工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。 地方行业监管部门分别组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区重要数据和https://www.shangyexinzhi.com/article/5792391.html
8.分级资管产品的异化与正名——评析《资管新规》第二十一条一、分级资管产品的定义、运作逻辑和法律定性 (一)分级资管产品的定义 分级资管产品,又称结构化产品,兴起于20世纪90年代的美国,以瑞士、德国市场尤为发达。[1]在我国,自2013年3月《证券公司债务融资工具管理暂行规定(征求意见稿)》公布以后,多家券商通过集合资产管理渠道发行了多个不同特征的结构化产品,分级资管产品https://www.finlaw.pku.edu.cn/jrfy/gk/2018_jrfy/jrfnzd97j/270916.htm
9.一文解读数据安全法规在解读数据安全法规之前,首先要讲清楚的问题就是“什么样的数据需要考虑安全问题?不同数据的安全要求有何不同?”。这里引用一幅摘自网络的数据分类图来说明。这幅图中将数据从大的范围分为两部分:个人数据与商业数据,再细分为不同类别。针对不同类别数据,各有其对应的法律法规保护。 https://www.51cto.com/article/744822.html
10.一文速览中国低空经济法律监管体系作为上述条例的实施细则,《民用无人驾驶航空器运行安全管理规则》(下称《无人航空器运行管理规则》)规定,民用无人驾驶航空器的运行应按照运行场景、运行风险等进行分级分类管理。以“运营安全评估”确定的具体运行场景风险大小为依据(通常考量整机重量、航空器动能、飞行高度、飞行速度、应急措施等因素),民用无人驾驶航空https://www.iyiou.com/analysis/202408141074821
11.国家网信办:拟建立数据分类分级保护制度,互联网平台需经第三方各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 第六条数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。 数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。http://nhyygl.com/newsinfo/2249040.html
12.企业上市过程中的网络与数据合规法律问题金杜律师事务所根据《数据安全法》,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。 实践中,由于各行各业的数据采集和处理活动存在不同,在具体落实上述数据分类分级保护要https://www.kwm.com/cn/zh/insights/latest-thinking/network-and-data-compliance-issues-during-ipo.html
13.中国法律体系类别分级示意图.pdf中国法律体系类别分级示意图法律具有仅次于宪法的效力高于行政法规地方性法规规章行政法规的效力次于宪法和法律高于地方法规行政规章地方性法规的效力高于本级和下级地方政府规章部门规章之间部门规章与地方政府规章之间具有同等效力在各自的权限范围内施行地方性法规与部门规章之间对同一事项的规定不一致不能确定如何适用时由https://max.book118.com/html/2021/1006/5120042343004022.shtm
14.基金的分类标准和分类介绍基金的分类标准和分类介绍 构成基金的要素有多种,因此可以依据不同的标准对基金进行分类。 (一)根据法律形式分类 根据法律形式可以将基金分为契约型基金、公司型基金等。 不同的国家(地区)具有不同的法律环境,基金能够采用的法律形式也会有所不 同。目前我国公募证券投资https://www.gaodun.com/jijin/1000868.html