2024年3月21日,全國網絡安全標準化技術委員會(以下簡稱“網安標委”)發布《GB/T 43697-2024 數據安全技術 數據分類分級規則》(以下簡稱“《數據分類分級規則》”)。《數據分類分級規則》作為網安標委發布的首份數據安全技術標準,涵蓋了數據分類分級、重要數據和國家核心數據識別等重要內容。
本文對《數據分類分級規則》作出解讀,梳理、總結了數據分類分級的原則、流程和方法論,探討企業可能面臨的現實困境,并結合我們的既往經驗提出企業識別重要數據的“六步法”,以期為企業開展數據分類分級和重要數據識別工作提供參考。
《數據分類分級規則》基本延續了網安標委于2022年09月14日發布的《信息安全技術 網絡數據分類分級要求(征求意見稿)》(以下簡稱“《網絡數據分類分級要求》”)的內容,同時將“重要數據識別指南”作為規范性附錄G納入體系,形成了包含數據分類分級、重要數據識別和國家核心數據識別的完整體系。
《數據分類分級規則》“適用于行業領域主管(監管)部門參考制定本行業本領域的數據分類分級標準規范,也適用于各地區、各部門開展數據分類分級工作,同時為數據處理者進行數據分類分級提供參考。”
《數據分類分級規則》作為普適性規則,既包含了數據分類分級的原則、框架、方法和流程,還提供了“重要數據識別指南”,行業領域主管(監管)部門可以在《數據分類分級規則》的基礎上制定本行業本領域細分的數據分類分級標準,并參照重要數據識別指南制定本行業領域的重要數據目錄,而數據處理者現階段可以先行參照《數據分類分級規則》開展數據分類分級工作和重要數據識別工作,并在行業領域主管(監管)部門發布細分規則或重要數據目錄后,及時銜接加以適用。
與《網絡數據分類分級要求》相比,《數據分類分級規則》添加了“敏感個人信息”和“公共數據”兩個術語概念。“敏感個人信息”銜接了《個人信息保護法》對敏感個人信息的定義,提示企業敏感個人信息保護作為立法、執法和司法關注的重點領域,應在內部分類分級的基礎上加強敏感個人信息保護工作;針對“公共數據”概念的明確,則是對數據要素行動與公共數據利用浪潮的回應,在創新公共數據管理新模式的進程中,推動落實公共數據分類分級要求,降低公共數據授權確權和流通交易障礙,釋放公共數據價值。
《數據分類分級規則》明確了科學實用、邊界清晰、就高從嚴、點面結合和動態更新等五項數據分類分級原則,行業領域主管(監管)部門應按照數據所屬行業領域進行分類分級管理,并遵循數據分類分級原則制定細分規則,企業也應根據該等原則落實數據分類分級和重要數據識別管理工作。
《數據分類分級規則》提供了開展數據分類的框架和方法。各行業各領域主管(監管)部門以及數據處理者均可以按照先行業領域分類,再業務屬性分類的方式進行。
各行業各領域主管(監管)部門應對本行業本領域的數據進行整體識別,明確所處行業領域,如工業、電信、金融等,再根據本行業本領域業務屬性如業務領域、責任部門、描述對象等進行細化分類,如工業領域數據按照部門職責可以進一步分成原材料、裝備制造、消費品、電子信息制造、軟件和信息技術服務等類別。對于數據處理者而言,則首先應明確自身業務涉及的行業領域,并按照各行業各領域主管(監管)部門的細分規則,根據數據管理和使用需求,結合已有數據分類基礎,靈活選擇業務屬性將數據細化分類。
此外,對于涉及法律法規有專門管理要求的數據類別(如個人信息、汽車數據等),應按照有關規定或標準對個人信息、敏感個人信息、汽車數據等進行識別和分類。
《數據分類分級規則》提供了數據分級的基本框架和思路,一般將數據從高到低分為核心、重要、一般三個級別,并通過“重要數據識別指南(規范性)”和“一般數據分級參考(資料性)”等附錄作出了更詳細的說明。
《數據分類分級規則》確定了數據分級的方法:
- 第一,確定數據分級的對象,如數據項、數據集、衍生數據、跨行業領域數據等;
- 第二,識別數據分級要素,如數據的領域、群體、區域、精度、規模、深度等;
- 第三,開展數據影響分析,結合數據分級要素識別情況,分析數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,可能影響的對象和影響程度;
- 第四,識別核心數據、重要數據和一般數據,綜合確定數據級別。
區別于《網絡數據分類分級要求》,《數據分類分級規則》區分了各行業各領域主管(監管)部門和數據處理者兩個角色,分別給出了數據分類分級流程。
針對各行業各領域主管(監管)部門,應該在遵循國家有關規定要求的基礎上,制定本行業本領域的數據分類分級標準規范,重點明確行業數據分類細則,分析行業領域數據分級要素,確定重要數據和一般數據范圍,建議核心數據范圍。此外,各行業各領域主管(監管)部門還應該組織并指導本行業本領域數據處理者開展具體的數據分類分級工作。
針對數據處理者,應該開展數據資產梳理,制定內部數據分類分級細則并切實開展數據分類分級工作,對其中重要數據、核心數據等按照相關法律法規或各行業各領域主管(監管)部門要求進行報送,并在后續工作進程中持續動態更新。
(一)確定衍生數據分級的“深度”要素,適應AI浪潮下的安全挑戰
根據《數據分類分級規則》第6.3條,影響數據分級的要素一般包括數據的領域、群體、區域、精度、規模、深度、覆蓋度、重要性等,其中“深度”通常作為衍生數據的分級要素,是指“通過數據統計、關聯、挖掘或融合等加工處理,對數據描述對象的隱含信息或多維度細節信息的刻畫程度。”
《數據分類分級規則》確定了衍生數據分級的“深度”要素,一方面是綜合考慮了當下人工智能(AI)技術和算法技術蓬勃發展的浪潮,提示各行業各領域主管(監管)部門指導開展數據分類分級工作過程中,應充分考慮AI和算法技術浪潮帶來的數據安全挑戰;另一方面也提示企業注意在開展數據分類分級工作過程中,審慎確定衍生數據的類別和級別,匹配深度合成、算法推薦以及生成式人工智能等方面數據處理的監管要求和合規義務。
《數據安全法》第二十一條提出數據分類分級制度,要求各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄。然而,由于《重要數據識別規則》未發布、重要數據識別因素難以界定等原因,各地區或部門頒布重要數據目錄的進程較為緩慢。
本次《數據分類分級規則》的頒布,一方面包含了附錄G“重要數據識別指南(規范性)”,作為正式文件,指導各行業各領域主管(監管)部門并同數據處理者開展重要數據識別工作,另一方面,《數據分類分級規則》重申了各行業各領域主管(監管)部門確定重要數據,頒布重要數據目錄的責任。可以預見,各行業各領域主管(監管)部門將陸續頒布重要數據目錄,并進一步指導和組織企業開展重要數據識別和管理工作。
《數據安全法》第二十一條提出國家核心數據的概念,但與重要數據類似,尚缺乏具體識別指引。本次《數據分類分級規則》明確了“核心數據”的概念,即“對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的,一旦被非法使或共享,可能直接影響政治安全的重要數據”,并給出了核心數據級別確定規則。根據該定義,核心數據將作為重要數據的子集。
根據《數據分類分級規則》,各行業各領域主管(監管)部門應該分析并確定哪些數據屬于重要數據,并頒布重要數據目錄。與重要數據的識別相區分,對于核心數據,各行業各領域主管(監管)部門可以明確本行業本領域核心數據識別細則,對哪些數據屬于核心數據提出建議,但無法直接認定。
《數據分類分級規則》對一般數據分級提供了靈活的適用方式,在確定重要數據和核心數據的基礎上,企業可以根據自身業務實踐情況,根據數據的類型、規模等選擇將一般數據劃分為2-4級。不過,《數據分類分級規則》對特定類型數據如個人信息、公共數據等進行了最低級別限制,如在4級框架下,敏感個人信息不應該低于4級,禁止開放/共享的公共數據不得低于4級,企業則可以在既有規則框架內根據業務實際情況或變動動態調整。
三、現實困境:行業領域主管(監管)與數據安全工作主管的交叉領域
《數據分類分級規則》規定了數據分類分級的原則、框架、方法和流程,其中不乏亮點和創新,并給出了“重要數據識別指南”,為企業開展重要數據識別工作揭開面紗。然而,正如《數據分類分級規則》提出的工作思路,“通過該規則指導行業領域主管(監管)部門制定本行業本領域的數據分類分級規范、開展相應工作”。結合我們的觀察,以重要數據為例,網信作為數據安全工作主管(監管)部門,與各具體行業領域主管(監管)部門,現階段其針對重要數據處理者的監管將可能存在交叉領域,并構成相關企業履行合規義務的現實困境。
具體而言,根據《數據出境安全評估辦法》,企業如向境外傳輸重要數據,需向網信部門申報數據出境安全評估。與此同時,針對特殊類型數據(人遺、出口管制物項、測繪、金融等)的跨境傳輸,亦有相應行業領域的監管要求,企業據此將面臨行業領域主管(監管)部門及數據安全工作主管部門的雙重監管困境。
以人類遺傳資源信息出境為例,根據《人類遺傳資源管理條例》第二十八條,將人類遺傳資源信息向外國組織、個人及其設立或者實際控制的機構提供或者開放使用,應通過衛健委[1]安全審查,或需要向衛健委提交備案并提交信息備份。由于人類遺傳資源信息還可能構成重要數據,進而可能還面臨向網信部門申報安全評估的義務。根據我們的了解,在基因行業開展人類遺傳資源信息出境業務或國際合作項目的企業,對于衛健委的出境審查/備案程序已相對熟悉,但是否以及如何申報數據出境安全評估則為企業帶來額外成本及不確定性。就人類遺傳資源信息是否構成重要數據,以及是否需申報安全評估,網信部門往往要求企業應先行尋求行業領域主管部門(例如衛健委)的意見。
除人類遺傳資源信息出境外,其他交叉領域,例如出口管制物項相關的數據出境、測繪數據、金融數據出境等,都可能面臨類似的雙重監管困境。考慮到重要數據識別及管控存在較強的行業屬性,結合網信部門的意見,可供參考的破題思路為:以行業監管作為抓手,履行本行業關于出境的法定義務通常是必選項,關于是否需向網信辦申報出境安全評估,則需積極尋求行業主管部門的意見。
此外,數據正是在跨地域、跨行業、跨場景的流轉、匯總和分析中方能釋放更大的價值,這就對目前《數據分類分級規則》提及的行業、領域監管縱向確定分類方式和重要數據目錄的思路提出了后續落地的挑戰,例如電信行業的數據用于個人征信部分的數據分類以及重要數據識別問題如何通過目前的縱向架構解決?此問題仍待進一步觀察。
四、合規指引:數據分類分級與重要數據識別“六步法”
數據分類分級保護是企業在《數據安全法》項下的基礎性工作,針對一般數據,《數據分類分級規則》為企業留出了足夠的自決空間,針對核心數據,認定條件極高且需由行業領域主管(監管)部門提出建議后由國家有關部門評估確定[2]。據此,重要數據識別和認定是企業順利開展數據分類分級的重要條件,同時也是企業履行重要數據安全管理法定義務的前提[3]。
對于數據處理者而言,關于企業所處理數據的重要數據識別責任,一直不甚清晰,一曰主動識別論,即企業有主動識別重要數據的責任,即使行業領域的重要數據目錄尚未發布,亦應當按照重要數據的一般識別規則進行識別;一曰被動識別論,只有所在行業領域的重要數據目錄清晰后,企業才具有識別重要數據(含國家核心數據)的義務。支持被動識別論的一方,最有利的依據當然是最近發布的《促進和規范數據跨境流動規定》,其規定“未被相關部門、地區告知或者公開發布為重要數據的,數據處理者不需要作為重要數據申報數據出境安全評估”。
對于重要數據標準尚不清晰的行業領域,《促進和規范數據跨境流動規定》免除數據處理者在數據跨境流動中的安全評估申報義務,并不當然能得出一般性結論,即:重要數據的識別義務是被動識別。首先,重要數據處理者的法律責任,比數據跨境合規的單一維度要廣闊的多,《促進和規范數據跨境流動規定》并未免除重要數據處理者的其他法律義務;其次,即使某一主管(監管)部門發布了某一具體行業領域的重要數據清單,也會存在需要個案裁量的空間,仍需要數據處理者要依照企業數據資源的實際狀況進行判斷。基于此,我們認為,數據處理者重要數據識別的行動義務,并不因為《促進和規范數據跨境流動規定》的規定而免除,數據處理者應當主動履行數據分類分級和重要數據的行動義務,但如果因該行業領域的重要數據目錄尚未發布或已發布但不清晰而導致數據處理者無法識別的,并不因此承擔相應的法律后果。
實踐層面,上海通管局于2023年2月發布官方通報,探索工信領域監管側識別、認定重要數據并形成重要數據目錄的路徑[4],工信部、央行等主管部門亦在去年陸續開展重要數據識別和報送試點工作。前述認定實踐尚處于試點階段,目前仍有相當部分行業主管部門尚未開展此等試點工作,且即使開展,亦僅少數企業可深度參與至此等由監管主導的重要數據識別工作中。
結合前述《數據分類分級規則》及我們幫助企業在重要數據識別與合規工作的經驗,建議現階段企業可按照如下“六步法”開展自身數據資產盤點與重要數據識別工作:
第一步 數據資產盤點及數據分類
重要數據識別的最終目標是實現國家安全管控與企業數據資產分類分級管理的銜接。建議企業對自身數據處理活動按業務場景或按實體/部門等開展調查,以對所掌握的數據資產進行盤點和梳理,形成數據資產清單。考慮到《數據分類分級規則》及現有規定對于重要數據的識別均強調行業特性和領域特性,故此階段還宜對數據資產清單進行分類,尤其是對行業和領域進行分類。此外,企業并非需對數據處理活動所涉及的全部數據負責,一般應對作為Data Owner的部分負責,故還需考慮數據處理關系。
合規提示:
- 數據資產盤點:如企業所涉及的實體/部門/業務場景較多,可考慮優先開展高風險實體/場景(例如業務場景涉及數據跨境,或客戶涉及CIIO、政府部門等)作為開展“六步法”的Pilot,待形成較為成熟的方法論后,再推廣至其他實體/部門/業務場景。
- 數據分類:可參考《數據分類分級規則》第5條所提供的分類方法,按照先行業領域(工業、電信、金融、能源、交通運輸、自然資源、衛生健康、教育、科學等)分類、再業務屬性(業務領域、責任部門、描述對象、環節流程、數據主體、內容主題、數據用途、數據處理、數據來源)分類的思路進行分類,并就法律法規明確規定的數據類別(例如個人信息)按照相關規定進行分類。重點關注隸屬行業領域主管(監管)維度的數據。
第二步 檢索行業規定/目錄,如有則直接認定
企業開展數據資產梳理及數據分類后,可對其中隸屬行業領域主管(監管)維度的數據資產開展行業規定、目錄(以下稱“行業規則”)的檢索和匹配,并參照如下原則處理:
1)如本行業已出臺行業規則并明確列舉本行業重要數據類型或已出臺重要數據目錄,則可直接予以認定;針對某行業已出臺行業規則明確重要數據類型,且企業已掌握但未被明確作為“重要數據”列入此等行業規則的數據資產,可暫時不認定為重要數據;
2)如本行業尚未出臺重要數據具體規定/目錄,則進入第三步“梳理本行業關鍵要素”。
合規提示:
截止本文發布之日,除作為“監管先行”的汽車行業在《汽車數據安全管理若干規定(試行)》(以下簡稱“《若干規定》”)第三條第六款[5]對汽車領域所涉及的重要數據類型進行了列舉;以及電信、工信等重要敏感行業已公開或內部形成本行業的重要數據識別規則/指南外,大部分行業尚未公開發布的本行業重要數據目錄。
第三步 如無行業規則,則梳理本行業關鍵要素
如經檢索無本行業的相應行業規則,則企業可通過“原則要素+定性定量要素”作為方法論,梳理本行業數據處理活動中與國家安全、經濟運行、社會秩序、公共利益(如危害公共健康和安全)等的敏感要素,為第四步“形成企業內部重要數據目錄”作準備。
1)原則要素:結合《數據分類分級規則》第6.5條規定,梳理本行業可能涉及的影響國家安全、經濟運行、社會穩定、公共健康和安全的要素。例如是否屬于國家秘密相關的數據(非密數據);是否屬于與國家安全(經濟安全、科技安全、網絡安全、人工智能安全等)相關的數據;是否屬于與行業發展安全相關的數據;是否屬于與出口管制物項相關的數據等。
2)特定要素(“定性”+“定量”):以本行業專業人士的視角(如果是法務或合規部門主導工作,可通過對業務部門同事進行訪談等形式,與業務部門共同確定哪些領域、哪些群體、哪些區域、何等重要程度、多高精度、多大規模和覆蓋度、多少深度的數據可考慮構成重要數據):
- “定性關鍵要素”:包括“領域”“群體”“區域”“重要性”,例如農業需考慮糧食安全領域,基因行業需考慮科技倫理領域以及特定群體的基因安全等,自然資源行業需考慮敏感區域的測繪數據泄露后可能遭至的境外勢力軍事打擊等,數據在經濟社會發展中的重要程度等;
- “定量關鍵要素”:包括“精度”“規模”“覆蓋度”等,例如,多大精度(例如超過一定精度的地圖數據)、多大規模和覆蓋度(例如覆蓋面積超過全國多少省市的無人機影像數據)即考慮構成重要數據,以避免因“泛保護”而阻礙企業正常業務的開展。
- “衍生數據關鍵要素”:包括“深度”,例如進行數據統計、關聯、挖掘或融合等加工后導致敏感程度上升。
合規提示:
針對大部分行業的企業,現階段無本行業規則并不代表企業可對所掌握的高敏感數據一直持“觀望”狀態,尤其是未來一旦被認定為重要數據,由于會受到數據本地化、出境安全評估、備案上報等合規要求的約束,將可能導致企業面臨業務模式的劇變,進而導致更多的成本投入。目前,《數據分類分級規則》已經出臺,各行業加快重要數據識別和監管已是大勢所趨,建議企業在現階段(尤其是針對高敏感數據且涉及出境等處理活動)即開展重要數據識別工作的部署和梳理,以合理成本平穩地度過重要數據監管的陣痛期。
第四步 形成企業內部重要數據識別指南
通過對本行業涉及重要數據關鍵要素的梳理,企業可據此形成內部的重要數據識別指南,該指南中的原則性內容可參照《數據分類分級規則》進行起草。而針對企業所處行業的特定內容,一方面可直接列入第二步所檢索的行業規則規定的數據類型(如有),另一方面可通過前述第三步所梳理的關鍵要素進行細化,盡可能在企業內部設定相對明確的重要數據識別標準。
合規提示:
企業的數據處理活動是一個長期動態的過程,未來可能涉及業務屬性、數據類型、規模、處理方式、政策環境等的調整,建議企業先形成內部可長效適用的重要數據識別指南,再對照自身所掌握的數據資產,形成企業內部的重要數據資產清單,并隨自身數據處理活動及監管環境的調整而不斷更新。
第五步 形成企業內部重要數據資產清單,履行法定義務
形成企業內部重要數據識別指南后,企業即可就目前所掌握的數據資產形成企業內部重要數據資產清單,并據此確保企業對該部分數據資產的處理遵循重要數據處理者的合規要求,例如通過數據打標、嵌入企業數據安全管理流程、引入數據分類分級自動化工具等方式,確保該部分數據資產的安全合規處理。例如,針對重要數據處理者,應設置數據安全負責人及管理機構[6];重要數據備份及加密[7];就重要數據處理活動開展風險評估并向主管部門報送風險評估報告[8];申報數據出境安全評估[9];開展重要數據目錄備案等義務[10]。
第六步 持續觀察監管態勢,動態調整目錄及清單
重要數據合規并非一蹴而就的工作。建議企業緊密觀察本行業的重要數據目錄出臺情況,靈活調整自身重要數據識別指南及重要數據資產清單,積極參與行業主管部門的重要數據認定試點等,提前做好業務模式的安排(例如是否涉及出境),依法履行處理重要數據的合規義務,確保業務合規平穩運行。
浙公網安備 33010502006954號 
