關鍵詞 /KEYWORDS
中央 地方 分類 分級 制度
1. 各地區、各部門建立重要數據具體目錄,將需要重點保護的數據列入目錄中;
2. 各地區、各部門承擔確定本地區、本部門的重要數據目錄職責;
3.各地區、各部門負責重要數據和核心數據的具體實施。
1. 目的:方便數據的查閱、識別、管理、保護和使用;
2. 前置條件:根據數據的屬性或特征等開展;
3. 法律界定:《數據安全法》將數據分為一般數據和重要數據、《個人信息保護法》界定敏感個人信息、《網絡數據安全管理條例(征求意見稿)》專章規定“個人信息保護”和“重要數據安全”;
4. 雙軌化路徑:將數據從總體上看,我國分為“個人信息”和“重要數據”,規制模式采取個人信息與重要數據保護體系雙軌化模式;
5. 總分原則:從數據分類法益保護的角度來看,我國數據分類遵循總分原則,先按歸屬主體、影響對象、影響范圍、影響程度對數據進行類別劃分,再通過對業務和數據進行細分。
1. 目的:便于根據數據的不同安全等級采取相匹配的保護措施;
2. 前置條件:基于數據的重要程度和發生危害時的影響程度等進行開展;
3. 總體要求:根據數據的敏感程度、數據泄露、破壞后,對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,將其確定不同安全等級;
4. 細化要點:基于數據使用行為的危害性進行劃分、基于數據自身的關鍵性程度及對于業務的影響進行定級、基于數據所適用的司法管轄區進行劃分等。
1. 監管角度:數據分級是監管要求內的一種數據分類;
2. 安全角度:數據分類是為了方便數據保護的一種分級;
3. 目標角度:數據分類與數據分級均承擔保障數據安全的目標。
1. 危害國家安全、國防利益等;
2. 損害國家財產、社會公共利益和個人合法利益;
3. 影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織規范等;
4. 影響行政機關依法調查處理違法、瀆職或涉嫌違法、瀆職行為;
5. 干擾政府部門依法開展監督、管理、檢查、審計等行政活動,妨礙政府部門履行職責;
6. 危害國家關鍵基礎設施、關鍵信息基礎設施、政府系統信息系統安全;
7. 影響或危害國家經濟秩序和金融安全;
8. 可分析出國家秘密或敏感信息;
9. 影響或危害國家政治、國土、軍事、經濟、文化、社會、科技、信息、生態、資源、核設施等國家安全事項等。
1. 歐盟:個人數據和非個人數據;
2. 澳大利亞:一般數據、敏感數據;
3. 印度:一般數據、敏感數據、關鍵數據;
4. 美國:敏感數據、非敏感數據。
本條強調了中央層面要建立數據分類分級保護制度統籌加強對重要數據和核心數據的保護。地方層面建立重要數據具體目錄將需要重點保護的數據列入目錄中,并承擔相應責任。同時,從危害影響角度明確了數據在經濟社會發展中的重要程度,對數據實行分類分級保護。因此,結合我國當前數據分類分級法律法規現狀及數據二十條要求,在本文在實施指南側主要探究以下問題:
以數據分類分級為基礎應重點開展哪些工作?
當前我國關于數據分類分級政策上有哪些演化?
通過指南洞察如何進行重要數據識別?
確定數據分類與數據分級的共性目標?
一、政策演化:基于數據分類分級的政策演變
本文從我國已出臺的數據分類分級政策文本為出發點,以其文本內容為出發點,量化其演化趨勢。
二、標準實施側:以“數據二十條”強調的數據環節為導向、以數據分類分級基礎,對標準實施方向性進行探究
以“數據二十條”內涵為導向、以數據分類分級為基礎的標準編制推演。“數據二十條”核心內涵在于以盤活數據經濟價值為核心的權屬關系確立上,在權屬關系上“數據二十條”體現出淡化所有權、強調使用權、聚焦數據使用權流動。同時,在制度架構上,體現出三權分置(即:數據資源持有權、數據加工使用權、數據產品經營權)。因此,需要結合“數據二十條”內涵認識把握數據的基本規律(即:產權、流通、交易、使用、分配、治理、安全等),通過基本規律找尋不同規律點的共性要點內容,通過數據基本規律可看出,圍繞在各環節的共性要點在于“確權”、 “定價”、“可信” 、“管理”方向上。
結合推演邏輯,推理標準制定方向。在融合“數據二十條”找尋的共性中,不能摒棄掉之前已形成數據分類分級基礎沉淀,應以國家出臺相關標準(如:《數據安全法》第21、25、27、30、31條;《網絡安全法》第27、37條 ;《重要數據識別指南(征求意見稿)》對重要數據的分類;《網絡安全等級保護定級指南》第4.2條;《網絡安全標準實踐指南——網絡數據分類分級指引》等)為基礎,去疊加融合“數據二十條”共性要點,通過上述的推演,建議在此處可首先融合“管理”與“確權”(即:《數據分類分級管理要求》、《數據分類分級確權要求》),因為,“管理”層面之前的標準更多強調對數據的共性管理,當基于數據分類分級時,就應更多強調對特性的管理;確權層面一直缺少可助推國家建立合理標準的可行指引。因此,基于當前國家標準現狀在 “管理”、“確權”將成為下一步的可能方向點。
基于確定的標準方向,構思融合方法。
1. 《數據分類分級管理要求》。之前對數據的管理,主要強調對數據的共性管理,當以數據分類分級為基礎時,就應圍繞數據分類、數據分級強調對特性的管理,具有層次結構。如:數據分類劃分的行業,哪些為關基行業、哪些為非關基行業、哪些為與國家經濟命脈相關行業等,對不同的分類應實行不同的對數據管理要求(如:在組織結構、人員能力、戰略規劃、數據技術、數據流動、數據脫敏、數據加密等進行逐層考慮);
2. 《數據分類分級確權要求》。從數據流動性的角度來看,越高級別的數據反倒在確權上越變得容易(即:越高級別的數據流動條件越多,牽扯外延關聯越少)。因此,基于數據分類分級的確權應是一種逆向思維模式,并按照三大類(即:公共數據、企業數據、個人數據)進行劃分,這三類都可進行獨立推演及制定要求,并運用產權分置運行機制、結合洛克財產權勞動論賦予的生命力及相關法律標準進行展開。
三、重要數據識別側:以《重要數據識別指南(征求意見稿)》核心思想為出發點,量化重要數據識別核心要點
《重要數據識別指南(征求意見稿)》(以下簡稱“此指南”)量化的維度并不是對國家安全系統進行分類,而是更多的關注在可能產生的影響角度進行的描述與細分。此指南從聚焦安全影響、突出保護重點、銜接既有規定、綜合考慮風險、定量定性結合、以及動態識別復評為六大核心原則。具體如下:
如何理解重要數據定義?此指南定義:以電子方式存在的,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。
關鍵詞 /KEYWORDS:電子方式 危害 安全
實際可以通過兩個維度進行重要數據定義詮釋:一是什么為數據、二是在界定的數據中如何尋找重要數據。
1. 什么是數據?通過此指南定義前半句可以看出(即:以電子方式存在的),只要以電子方式存在的即為數據,但這里的數據實際即包含了一般數據、重要數據,也包含了核心數據等,實際是一個比較寬泛的范圍,這就衍生出如何界定重要數據。
2. 如何在數據中界定重要數據?這里可對應到本文在思想側所提到“更多關注可能產生的影響”角度。再回到此指南定的后半句(即:一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據)。在數據中尋找重要數據需要觀察數據重要程度、數據關聯因素、數據影響范圍、定性及定量等。(注:數據是否為國家關鍵信息基礎設施數據、數據是否與國家關鍵基礎設施進行關聯、數據天生是否與國家安全相關(即:天生影響因子數就很高,并與國家安全、社會穩定、公共健康、經濟運行等強相關)、數據通過量變是否達到質變(即:天生影響因子數并不高,單獨存在并非為重要數據,但持續的單獨數據進行積累匯聚,當數據達到一定量級發生泄漏、破壞后會影響到國家安全、社會穩定時可能變為重要數據))。
1. 重要數據是否可以進行數據流動(數據流動側)?從釋放數據價值角度進行考量,本文認為無論是什么樣的數據都需要進行數據流動(即:數據流動是釋放數據價值的必要手段),只不過不同等級數據流動的方式不同,有些可以是“無序”的數據流動、有些需要是“有序”的數據流動。相對一般數據來講,重要數據就需要建立在有序流動的基礎上進行釋放數據價值,安全能力防護上需要滿足高安全防護能力等級(如:等保2.0的3級以上標準),引入數據分類分級保護制度,通過對數據的分級明確安全保護重點,使數據分級和數據流動進行關聯。因此,數據是在高安全防護等級標準中進行有序流動的數據,根據映射的國家安全影響情況可納入重要數據范疇。
2. 重要數據遭受破壞會造成哪些影響(安全風險影響側)?重要數據安全影響側要規避本位思考局限性,更多上升到國家安全層面(即:組織自身的重要或敏感數據不屬于此指南的重要數據;重要數據要從國家安全、經濟運行、社會穩定、公共健康影響范圍角度進行識別)。此指南對如下相關場景包含的重要數據進行舉例:戰略物資產能、儲備量;反映關鍵信息基礎設施網絡安全方案、系統配置信息、核心軟硬件設計信息、系統拓撲、應急預案等情況的數據;描述出口管制物項的設計原理、工藝流程、制作方法等的信息以及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告;反映重點安保單位、重要生產企業、國家重要資產(如鐵路、輸油管道)的施工圖、內部結構、安防等情況的數據,以及未公開的專用公路、未公開的機場等的信息;未公開的水情信息、水文觀測數據、氣象觀測數據、環保監測數據;以及描述與國防、國家安全相關的知識產權的數據等。
四、實施目標側:以“安全保護”為數據分類分級的共性目標從數據分類與數據分級的概念角度出發,數據分級主要是針對適用于安全保障目標場景中以及對應監管保護標準,數據分級實際是支撐監管體系下的一種數據分類。數據分類實際是為了數據的保護進行的數據分級。以安全保護為目標的數據分類與數據分級就變成從屬關系,因此,數據分類與數據分級規范體系均擔負保障數據安全的目標。具體目標如下:
數據流動安全目標;
數據隱私保護目標;
公共數據授權目標;
數據權屬保護目標;
數據安全可信目標;
數據針對性管理目標;
……
本文以《數據安全法》第二十一條 要求為出發點,整體按照合規解讀、實施指南、法律關聯三個方面進行展開,在合規解讀側,從本條映射出的核心目的、中央與地方職責、中央與地方的關系、數據分類、數據分級、分類與分級的關系、我國數據分類分級現狀、合規義務轉化、重要數據、國外現狀角度進行探究與分析;在實施指南側,從政策的演化、標準的實施方向、重要數據識別、分類與分級的共性目標進行探究分析;并在法律關聯側將我國當前的法律法規、標準、指南與本條有映射關系的條款進行量化。
本條與《網絡安全法》第21、31、37條進行關聯;
本條與《網絡安全等級保護基本要求》強調的等級保護對象受到侵害后對客體造成的損害程度進行關聯——即:一般損害、嚴重損害、特別嚴重損害;
本條與《網絡安全標準實踐指南——網絡數據分類分級指引》強調的數據遭到篡改、破壞后所造成的不同危害程度進行關聯——即:嚴重影響、輕微影響、重大負面影響、輕微受損等;
本條與《基于電信企業數據分類分級辦法》進行關聯;
本條與《關鍵信息基礎設施安全保護條例》強調的某些運營和管理關系到國家安全、國計民生、公共利益的網絡設施和信息系統屬于關鍵信息基礎設施運營者進行關聯;
本條與《網絡數據安全管理條例(征求意見稿)》第5、9、26條進行關聯;
本條與《汽車數據安全管理若干規定(試行)》第3條進行關聯;
本條與《數據出境安全評估辦法》強調的數據資源規模、范圍、種類、敏感程度、風險要點進行關聯
本條與《信息安全技術 數據分類分級規則(征求意見稿)》進行關聯;
本條與《證券期貨業數據安全風險防控 數據分類分級指引》進行關聯;
本條與《證券期貨業數據分類分級指引》進行關聯;
本條與《信息安全技術 健康醫療數據安全指南》進行關聯;
本條與《科學數據安全分類分級指南》進行關聯;
本條與《互聯網數據中心技術及分級分類標準》進行關聯;
本條與《信息安全技術 個人信息安全規范》進行關聯;
本條與《國民經濟行業分類》進行關聯;
本條與《信息安全技術 公共及商用服務信息系統 個人信息保護指南》進行關聯;
本條與《信息技術 大數據 數據分類指南》進行關聯;
本條與《公共信用信息分類與編碼規范》進行關聯;
本條與《信息安全技術 網絡安全事件分類分級指南》進行關聯;
本條與《信息安全技術 信息安全事件分類分級指南》進行關聯;
本條與《信息安全技術 網絡安全漏洞分類分級指南》進行關聯;
本條與《信息安全技術 重要數據識別指南》進行關聯;
本條與《信息安全技術 公共數據開放安全要求》進行關聯;
浙公網安備 33010502006954號 
