2021年结束了,年底回忆了一下这一年来自己做了些什么,印象最深的应该就是数据安全这个词。2021可以看做是我国数据安全真正意义上的元年,从目前的法律法规和监管要求来看,主要包括数据分类分级、重要数据、数据生命周期安全以及数据跨境几个领域,个人信息保护除了重要数据外,其他三个领域都是包含的关系。当然,数据大类还包括一般数据、核心数据,本文仅对当前的重要数据识别问题做一个简要分析,暂不讨论其他数据类别,文末会简要进行说明其之间的区别。由于当前国家还未正式给出定义(大多标准都是征求意见稿阶段),这里只是个人的一些想法,仅供参考。
一、重要数据的提出
2021年《中华人民共和国数据安全法》(以下简称“《数安法》”)出台,虽然也未对重要数据的概念进行界定,但是在《网安法》的基础上提出了国家建立数据分类分级保护制度,各地区、各部门确定重要数据具体目录,并强调对列入的数据进行重点保护。
随后出台的《信息安全技术重要数据识别指南(征求意见稿)》(以下简称“《识别指南》”),对重要数据的定义及范围、识别原则、识别流程进行了明确规定。
2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(以下简称“《条例》”),对我国的网络数据安全与个人信息保护进行了细化和补充。2022年1月7日,根据全国信息安全标准化技术委员会秘书处的工作安排,标准起草组对《重要数据识别指南》(征求意见稿)作了修改。本次修改后,标准内容发生重大变化,并披露了修改思路(来自公众号:小贝说安全)。本次修改取消了对重要数据的“特征”说明,因为这些特征依然不可避免地涉及行业分类,对各地方、各部门制定部门、本行业以及本系统、本领域的重要数据识别细则带来了不必要的约束。标准编制组进一步调研了全球其他国家在网络安全、数据安全领域制定类似标准的情况,并选择了美国制定的《国家安全系统识别指南》作为参照。重要数据的立法发展动态详见图1。
二、重要数据的定义
1.2017年4月《个人信息和重要数据出境安全评估办法(征求意见稿)》对重要数据定义如下:
2.2017年5月,在信标委征求意见的《信息安全技术数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南》”)中,将重要数据定义为:
并且将政府信息公开渠道合法公开的数据,排除在重要数据的范围之外。《评估指南》还以附录的形式,列了非常详细的重要数据识别指南。
3.2018年9月,中央网络安全和信息化委员会办公室、工业和信息化部开展“个人信息和重要数据安全专项调查”,在中国互联网协会的《专项调查问题列表与答复》中,重要数据是指:
不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:
(1)地理、自然资源、重要物资储备等数据;
(2)基因、生物特征、疾病等数据;
(3)宏观统计等重要经济数据;
(4)网络信息系统的缺陷、漏洞、防范措施等数据;
(5)人群导航位置、大型设备目标位置和移动数据;
(6)法律法规规定的其他重要数据。
较之于《评估指南》中事无巨细的27大类,答复只分了6大类,缩小了重要数据的范围。但《答复》并非正式的法律文件,不具有法律效力,只是提供了未来重要数据划定范围的一个趋势。
4.2019年5月28日,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》中,明确定义:
重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
5.2020年9月23日,《重要数据识别指南(征求意见稿)》发布。该标准由全国信息安全标准化技术委员会提出并归口,《指南》提出了重要数据的特征,并明确从国家的角度对重要数据进行分类,主要为我国数据安全防护工作提供重要支撑。其对重要数据的定义如下:
一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
其中明确说明国家秘密和个人信息不属于重要数据,单基于海量个人信息形成的统计数据、衍生数据可能属于重要数据,那么这个海量是多少?根据《条例》第二十六条:
数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。
可以初步判定,这个海量可以看成是一百万起步的个人信息数据集或衍生数据集。
有关《重要数据识别指南(征求意见稿)》我之前有写过简要的解读,这里直接复制一下,便于查看。
(1)重要数据识别原则
识别重要数据的基本原则包括:聚焦安全影响、促进数据流动、衔接既有规定、综合考虑风险、定量定性结合、动态识别复查。
(2)重要数据特征分类
重要场所与目标的施工图、内部结构等数据,安保装备详细信息、安保部署数据,危化品数据;关基网络安全防护信息、规划建设信息、运行维护数据;未公开漏洞与关基重大事件信息,应急通信数据;网络安全重大发现和研究成果、无线电数据。
用户委托数据、用户使用数据。
国家机关产生的数据,公民企业上报数据。
(3)重要数据识别流程
梳理数据资产—判断安全影响—识别重要数据—审核重要数据—形成目录。
最后是重要数据的记录和描述方法
6.2020年9月,《金融数据安全数据安全分级指南》实施,5级数据特征如下:
重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。
表2数据安全定级规则参考表
此外,还在附录中对重要数据进行了解释,同时在附录C给出了重要数据定义:
附录C重要数据定义
——危害国家安全、国防利益,破坏国际关系。
——损害国家财产、社会公共利益和个人合法利益。
——影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等。
——影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为。
——干扰政府部门依法开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责。——危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全。
——影响或危害国家经济秩序和金融安全。
——可分析出国家秘密或敏感信息。
——影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其他国家安全事项。(部分定义略)
不过《数据安全分级指南》只是行业推荐性标准,目前并不具备权威性,只能作为参考。而且,根据2022年《重要数据识别指南》(征求意见稿)的最新修改来看,重要数据特征很大可能将被去除,这样一来,《数据安全分级指南》的参考价值将失去意义。
7.2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》,对重要数据定义如下:
指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
同样的,这里《条例》对重要数据定义了“特征”,这与最新的《识别指南》冲突,不排除后续会对《条例》进行修改的可能。
三、重要数据与核心数据的关系
《数安法》提出国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。《条例》延续了《数安法》的数据分级分类保护制度,并在此基础上依照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据三类。《条例》根据《数安法》的要求,明确不同级别的数据采取不同标准的保护措施,对个人信息和重要数据进行重点保护,对核心数据实行严格保护。根据《条例》第七十四条,“涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。”因此,核心数据应当适用与重要数据不同且更为严格的保护措施,这里不再展开讨论。(这里的核心数据与企业平常所说的业务核心数据是不同的概念)
重要数据是否包含个人信息
四、总结
汇总一下国内现有的关于重要数据定义,见下表所示:
法律法规名称
重要数据定义
《个人信息和重要数据出境安全评估办法(征求意见稿)》
《数据出境安全评估指南(征求意见稿)》
《专项调查问题列表与答复》
《数据安全管理办法(征求意见稿)》
是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
《重要数据识别指南(征求意见稿)》
《金融数据安全数据安全分级指南》
《网络数据安全管理条例(征求意见稿)》
指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(见上文)
根据《识别指南》最新修订方向,那么可以将特征从定义中排除,剩下值得我们参考的就只有《个人信息和重要数据出境安全评估办法(征求意见稿)》《数据出境安全评估指南(征求意见稿)》《数据安全管理办法(征求意见稿)》和《重要数据识别指南(征求意见稿)》。首先,其定义均以数据遭受破坏(篡改、破坏、泄露)后,对不同客体造成的影响程度。与等级保护制度相识,包括国家安全、社会稳定和公共利益、组织机构和个人(这里没使用公民,是考虑非中国公民在我国境内产生的个人信息数据也应被保护)的利益。其次,明确表示国家秘密、个人信息(非海量数据集、一般个人)不属于重要数据。最后,国家对重要数据不做特征限定,由各行业各地方制定行业性或区域性的识别方法。这不代表重要数据就完全摒除特征限定,可能在个别行业和地区根据特定因素自行定义。
因此,根据现有定义标准,可以归纳出,重要数据的定义大概是这样:
一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共秩序和利益的数据。(注:重要数据不包括国家秘密、核心数据和个人信息)
最后,重要数据识别工作并非仅由监管部门或企业单独负责,这应该是一项自上而下,而后自下而上的工作,即国家和行业监管部门负责明确定义,给定识别方法,各企业自行识别后上报监管审核,列入重要数据目录。