引言
2024年3月21日,全国网络安全标准化技术委员会(原全国信息安全标准化技术委员会)发布《数据安全技术 数据分类分级规则》报批稿(正式标准编号为GB/T 43697-2024)(以下简称“《规则》”)。此次发布的《规则》是全国网络安全标准化技术委员会更名后,正式发布的第一部以“数据安全技术”命名的国家标准。《规则》有效衔接了《中华人民共和国数据安全法》(以下简称“《数据安全法》”)的原则性规定,提供了数据分类分级的统一通用规则,同时延续和更新了此前发布的《信息安全技术 重要数据识别指南》(征求意见稿)(以下简称“《重要数据识别指南》”)关于重要数据的相关规定,正式确定重要数据的识别标准,即将结束长期以来重要数据识别“无法可依”的局面。《规则》的发布既回应了社会各行各业的期待,也是实现国务院办公厅《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》(国办发〔2024〕9号)提出的“健全数据跨境流动规则,科学界定重要数据的范围”目标的重要举措。该国家标准将于2024年10月1日正式实施。
一、我国数据分类分级和重要数据立法现状
(一)《数据安全法》的原则性规定
国家“十四五”规划明确提出要建立健全数据要素市场规则和完善适用于大数据环境下的数据分类分级保护制度。2021年9月1日实施的《数据安全法》第二十一条明确规定国家建立数据分类分级保护制度,对数据实行分类分级保护。《数据安全法》在法律层面确立了数据划分为“国家核心数据”、“重要数据”以及“一般数据”并实行不同程度的管理、保护制度这一基本原则。同年11月1日实施的《中华人民共和国个人信息保护法》也在其第五条中指出个人信息处理者应对个人信息实行分类管理。
《数据安全法》等法律虽规定了数据分类分级保护的原则,但并未就数据分类和分级方法提供具体的落地指导,也未明确定义何为“国家核心数据”“重要数据”;配套的行政法规、部门规章和国家标准等也迟迟未能正式出台,数据处理者在实际工作开展过程中缺乏相对有效的明确指导。
(二)各行业分类分级标准
随着《数据安全法》等上位法的颁布和推进,各个行业领域的数据分类分级相关标准规范的制定也快马加鞭进入快车道。以金融领域为例,三项数据分类分级相关的标准《金融数据安全 数据安全分级指南》(JR/T0197-2020)《证券期货业数据分类分级指引》(JR/T 0158-2018)《个人金融信息保护技术规范》(JR/T0171-2020),分别从金融业数据、证券期货业数据和个人金融信息的维度对金融数据分类分级做出了规定。电信、工业、医疗健康、智能网联车、政务等行业和领域也纷纷制定了相应的数据分类分级相关标准或政策,以规范行业发展、指引数据合规实践的落地。
在地方层面,各地也根据数据分类分级实践情况积极探索相应的规范治理规则和模式。2016年,贵州省质量技术监督局发布《政府数据 数据分类分级指南》(DB52/T1123-2016),从主题、行业和服务三个维度对政府数据进行分类,作为贵州省政府数据分类和分级的顶层标准。除贵州省外,浙江省、上海市、山东省青岛市等也曾发布《数字化改革 公共数据分类分级指南》(DB33/T 2351-2021)《上海市公共数据开放分级分类指南(试行)》《青岛市公共数据分类分级指南》等标准或文件,指导当地的政府与公共数据分类分级。
由于国家统一的数据分类分级标准和相应实施细则长期缺位,各行业、各地方的数据分类分级标准往往呈现较为明显的区别:不同行业的业务类型、业务范围、数据处理活动特征差别明显,导致不同行业间的分类分级标准存在一定差异;各地方的数据分类分级侧重点和产业发展着力点有所区别,致使数据分类分级的地方性文件也呈现出一定的地方特色。由于各行业、各地区数据分类分级标准之间存在衔接适用的问题,数据处理者在实际开展分类分级工作过程中会面临诸多困惑,数据分类分级保护机制的整体落地具备一定的挑战。
本次《规则》的发布,一方面落实了《数据安全法》等上位法所规定的原则,在理论上与现行法律法规相衔接,完善了数据分类分级制度体系;另一方面,有助于解决因缺乏国家统一的数据分类分级指导性规则而导致相关国家数据安全制度、数据分类分级保护要求难以整体落地的问题,具有重要的意义。
二、数据分级分类的框架与规则
就具体内容而言,《规则》包含“数据分类分级规范标准”和“重要数据识别标准”两大重要组成部分。《规则》提供了数据分类分级的原则、框架、方法、规则和流程,并在其前身《信息安全技术 网络数据分类分级要求》(征求意见稿)(以下简称“《网络数据分类分级要求》”)的基础上提供了重要数据识别指南,指引数据处理者在行业领域主管部门的引导下进一步准确识别和划分核心数据、重要数据和一般数据,妥善落实数据分级分类保护工作。
(一)分类分级基本原则
根据《规则》第4条,数据处理者应遵循如下五项基本原则对数据进行分类分级:
1. 科学实用原则:从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
2. 边界清晰原则:数据分级的各级别应边界清晰,对不同级别的数据采取相应的保护措施。
3. 就高从严原则:采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。
4. 点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。
5. 动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
《规则》发布前的各类政策文件和国家标准,仅有部分文件对数据分类分级原则做出了相应的规定,多数文件规定了合法合规、可执行性、就高从严、时效性、差异性和客观性原则,少数标准和文件还提出了自主性、合理性、关联叠加效应原则。此次《规则》在完全吸收《网络数据分类分级要求》中发布的五项基本原则的基础上,对不同行业领域的数据分类分级原则进行了一定的统合和增减,为行业领域主管部门和数据处理者明确了工作方向。
(二)数据分类规则
根据《规则》第5条,数据分类的框架为先按照行业领域分类、再根据业务属性分类的思路进行,并提出个人信息等法律法规有专门管理要求的数据类别应按照有关规定和标准进行识别和分类,其中:
• 行业领域包括:工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等;
• 业务属性包括:业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等。
《规则》在提供分类框架和分类方法的基础上,在其附录A中就描述对象和数据主体两个业务属性的分类提供了如下示例:
数据类别 | 类别定义 | 示例 |
用户数据 | 在开展业务服务过程中从个人用户或组织用户收集的数据,以及在业务服务过程中产生的归属于用户的数据 | 如个人信息、组织用户信息(如组织基本信息、组织账号信息、组织信用信息等) |
业务数据 | 在业务的研发、生产、运营过程中收集和产生的非用户类数据 | 参考业务所属的行业数据分类分级,结合自身业务特点进行细分,如产品数据、合同协议等 |
经营管理数据 | 数据处理者在单位经营和内部管理过程中收集和产生的数据 | 如经营战略、财务数据、并购融资信息、人力资源数据、市场营销数据等 |
系统运维数据 | 网络和信息系统运行维护、日志记录及网络安全数据 | 如网络设备和信息系统的配置数据、日志数据、安全监测数据、安全漏洞数据、安全事件数据等 |
表1 基于描述对象的数据分类参考示例
数据分类 | 类别定义 | 示例 |
公共数据 | 各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位,在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据 | 如政务数据,在供水、供电、供气等公共服务运营过程中收集和产生的数据等 |
组织数据 | 组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据 | 如不涉及个人信息和公共利益的业务数据、经营管理数据、系统运维数据等 |
个人信息 | 以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息 | 如个人身份信息、个人生物识别信息、个人财产信息、个人通信信息、个人位置信息、个人健康生理信息等 |
表2 基于数据主体的数据分类参考示例
其中,表1完全吸收了《网络数据分类分级要求》所作的描述对象方面的示例,采用面分类法,从行业内组织经营维度,将用户数据和经营中的其他数据进行区分,再依据生产经营的各个环节对其他数据进行分类。
表2提供的分类参考示例则与中共中央、国务院发布的《关于构建数据基础制度 更好发挥数据要素作用的意见》(以下简称“数据二十条”)规定相衔接,明确参照“数据二十条”将数据分为公共数据、企业/组织数据和个人信息数据的基本分类,同时结合了《信息安全技术 个人信息安全规范》(GB/T 35273-2020)(以下简称“《个人信息安全规范》”)对个人信息所作的定义和示例,并在《规则》附录B中就个人信息提供了更为细致的分类示例。
根据上述分类框架,《规则》提供了行业领域数据分类的具体步骤和方法,数据分类工作主要涉及以下四个阶段:
1. 明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。
2. 细化业务分类:对本行业本领域业务进行细化分类,包括:
a) 结合部门职责分工,明确行业领域或业务条线的分类;
b) 按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类。
3. 业务属性分类:选择合适的业务属性,对关键业务的数据进行细化分类。
4. 确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则,例如:
a) 可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则;
b) 对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。
由于不同行业领域的自身特性,主管部门应结合本行业领域具体的数据管理和使用需求,以及已经具备的数据分类基础,灵活指导本行业的数据分类工作,使得数据处理者能够将所掌握的数据科学分类至合适的数据大类与子类中。
(三)数据分级规则
根据《规则》第6条,数据分级的基本框架为根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家运行、经济运行、社会秩序、公共利益、组织权益、个人权益等不同影响对象所造成影响的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。
根据《规则》,数据分级工作主要包括如下四个步骤:
1. 确定分级对象:确定数据项、数据集、衍生数据、跨行业领域数据等待分级数据。
2. 分级要素识别:识别数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等识别要素(具体请参见《规则》附录C)。
3. 影响分析:分析数据一旦遭到风险可能影响的对象和影响程度(具体请参见《规则》附录D、附录E及附录F)。
4. 综合确定级别:结合上述分析综合确定数据级别。
《规则》在其第6.5条中,指出了结合上述分级要素形成的如下规则表:
影响对象 | 影响程度 | ||
特别严重危害 | 严重危害 | 一般危害 | |
国家安全 | 核心数据 | 核心数据 | 重要数据 |
经济运行 | 核心数据 | 重要数据 | 一般数据 |
社会秩序 | 核心数据 | 重要数据 | 一般数据 |
公共利益 | 核心数据 | 重要数据 | 一般数据 |
组织权益 个人权益 | 一般数据 | 一般数据 | 一般数据 |
注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响。 | |||
表3 数据级别确定规则表
根据上表,影响对象的确定对于数据级别的明确有非常显著的作用。对于关系到国家安全的数据,不论其造成的影响程度如何,一律属于重要数据或核心数据,需要采取更为全面的保护措施、受到更为严格的监管。如果数据仅影响到组织或个人,则其重要性显著下降。对于关系到经济、社会秩序和公共利益的数据,其重要性则依据其影响程度而定。在此基础上,可总结出核心数据、重要数据、一般数据的的级别确定情况:
级别 | 核心数据 | 重要数据 | 一般数据 |
识别标准 | 1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成特别严重危害(如直接影响政治安全)或严重危害(如关系其他国家安全重点领域); 2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成特别严重危害(如关系国民经济命脉); 3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序 造成特别严重危害(如关系重要民生); 4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益 造成特别严重危害(如关系重大公共利益); 5) 对领域、群体、区域具有较高覆盖度,直接影响政治安全的重要数据; 6) 达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据; 7) 经有关部门评估确定的核心数据。 | 1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对国家安全造成一般危害; 2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对经济运行造成严重危害; 3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对社会秩序造成严重危害(如影响社会稳定); 4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,直接对公共利益造成严重危害(如危害公共健康和安全); 5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域; 6) 数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全; 7) 经行业领域主管(监管)部门评估确定的重要数据。 | 未识别为核心数据、重要数据的其他数据 |
表4 核心数据、重要数据与一般数据的级别确定
从上表中不难看出,《规则》中“核心数据”的定义既延续了上位法《数据安全法》第二十一条中“关系国家安全、国民经济命脉、重要民生、重大公共利益”对国家核心数据的识别标准,又充分吸收了《网络数据分类分级要求》和各地方发布的数据分类分级标准规范中¹ “较高覆盖度、较高精度、较大规模、一定深度”等识别要素,定义更为明确和完善。
“重要数据”的定义同样延续了《数据安全法》第二十一条中“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”的原则性规定;新增的“特定领域、特定群体、特定区域或达到一定精度和规模”识别要素一方面与核心数据的定义相衔接,另一方面也吸收和借鉴了《重要数据识别指南》《工业和信息化领域数据安全管理办法(试行)》等文件对于特定敏感行业领域和群体的列示性规定,将相关要求进行浓缩和归纳。
在一般数据的分级方面,此前各个行业领域的政策文件和国家标准对数据分级的规定不一,汇总如下表:
标准 | 分级标准 | 分级 级别 数量 |
《金融数据安全 数据安全分级指南》(JR/T 0197-2020) | 数据安全遭破坏后的影响对象和影响程度 | 5级 |
《基础电信企业数据分类分级方法》(YD/T 3813-2020) | 数据对象的重要敏感程度 | 4级 |
《车联网信息服务 数据安全技术要求》(YD/T 3751-2020) | 车联网信息服务数据敏感性 | 2级 |
《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020) | 数据重要程度、风险级别可能造成的损害和影响 | 5级 |
《证券期货业数据分类分级指引》(JR/T 0158—2018) | 影响对象、影响程度、影响范围 | 4级 |
表5 各行业领域标准数据分级的级别数量对比
本次《规则》则在其附录H中为“一般数据”的分级提供了4级、3级、2级的灵活分级框架参考,并提供了敏感个人信息、禁止开放/共享的公共数据、组织内部员工个人信息等特定类型一般数据在不同级别框架下的最低参考级别。
《规则》同时按照数据加工程度不同,将数据分为原始数据、脱敏数据、标签数据、统计数据、融合数据,其中脱敏数据、标签数据、统计数据、融合数据均属于衍生数据。根据《规则》中的分级参考,衍生数据的级别需要数据处理者根据实际处理情况确定。脱敏数据因去标识化等处理,数据的敏感性和重要性降低,其数据级别一般较原始数据降低;标签数据、统计数据、融合数据则需要综合数据处理后的相应结果,再次根据分级要素、影响对象和影响程度进行影响分析,进行数据定级,其级别可比原始数据级别降低或升高。
《规则》所建立的“核心数据+重要数据+一般数据(2级至4级)”的分级规则体系,以及关于不同类型衍生数据的分级说明与指引,有助于各行业领域主管部门和数据处理者根据行业领域的特性、具体业务流程和数据的差异性,灵活确定具体的分级规则,并据此制定相应的数据保护措施。
(四)重要数据识别准则
《规则》的另一大亮点是以附录的形式正式发布了规范性质的重要数据识别指南。本次国家标准发布之前,各行业领域主管部门和数据处理者主要参考《数据出境安全评估办法》《网络数据安全管理条例》(征求意见稿)《重要数据识别指南》等文件自主识别重要数据,但这类文件或仅作原则性规定,或未正式生效,导致有效的重要数据识别准则始终缺位。
国家互联网信息办公室于2024年3月22日正式发布并自公布之日起实施的《促进和规范数据跨境流动规定》,在其第二条中规定了“数据处理者应当按照相关规定识别、申报重要数据。未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”,即明确了行业主管及监管相关部门、各地区应发布重要数据的识别规则,并按要求指导数据处理者开展重要数据的识别和申报工作。(相关解读可参考团队文章《流动与安全并重:《促进和规范数据跨境流动规定》来了,企业应当如何应对?》;《从源头到结果,从内部到外部:重要数据处理安全要求全景解析》)
在重要数据的识别因素方面,此前发布的《重要数据识别指南》列举了14项因素,本次《规则》在附录G中将重要数据识别指南所列识别因素则增加至18项,具体对比如下:
《重要数据识别指南》(征求意见稿) | 《规则》 |
a)反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据; b)支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据; c)反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据; d)关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据; e)可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据; f)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据; g)可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据; h)反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据; i)国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据; j)关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据; k)关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据; 1)在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息; m)未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据; n)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 具备以上因素之一的,是重要数据。 | a)直接影响领土安全和国家统一,或反映国家自然资源基础情况,如未公开的领陆、领水、领空数据; b)可被其他国家或组织利用发起对我国的军事打击,或反映我国战略储备、应急动员、作战等能力,如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据; c)直接影响市场经济秩序,如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据; d)反映我国语言文字、历史、风俗习惯、民族价值观念等特质,如记录历史文化遗产的数据; e)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可被恐怖分子、犯罪分子利用实施破坏,如描述重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防情况的数据; f)关系我国科技实力、影响我国国际竞争力,或关系出口管制物项,如反映国家科技创新重大成果,或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据,以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据; g)反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况,可被利用实施对关键信息基础设施的网络攻击,如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据; h)涉及未公开的攻击方法、攻击工具制作方法或攻击辅助信息,可被用来对重点目标发起供应链攻击、社会工程学攻击等网络攻击,如政府、军工单位等敏感客户清单,以及涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数据; i)反映自然环境、生产生活环境基础情况,或可被利用造成环境安全事件,如未公开的与土壤、气象观测、环保监测有关的数据; j)反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况,如未公开的描述水文观测结果、耕地面积或质量变化情况的数据; k)反映核材料、核设施、核活动情况,或可被利用造成核破坏或其他核安全事件,如涉及核电站设计图、核电站运行情况的数据; l)关系海外能源资源安全、海上战略通道安全、海外公民和法人安全,或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施,如描述国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据; m)关系我国在太空、深海、极地等战略新疆域的现实或潜在利益,如未公开的涉及对太空、深海、极地进行科学考察、开发利用的数据,以及影响人员在上述领域安全进出的数据; n)反映生物技术研究、开发和应用情况,反映族群特征、遗传信息,关系重大突发传染病、动植物疫情,关系生物实验室安全,或可能被利用制造生物武器、实施生物恐怖袭击,关系外来物种入侵和生物多样性,如重要生物资源数据、微生物耐药基础研究数据; o)反映全局性或重点领域经济运行、金融活动状况,关系产业竞争力,可造成公共安全事故或影响公民生命安全,可引发群体性活动或影响群体情感与认知,如未公开的统计数据、重点企业商业秘密; p)反映国家或地区群体健康生理状况,关系疾病传播与防治,关系食品药品安全,如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据; q)其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全的数据; r)其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。 具备以上因素之一的数据,可被识别为重要数据。 |
表6 重要数据识别指南内容对比
由此可见,在具体内容方面,《规则》在整合《重要数据识别指南》规定的基础上,新增或重点补充了多处重要数据识别因素。补足完善的内容一方面是对我国近年来数据保护实践的归纳总结,另一方面也是为防范诸如涉疆法案等利用数据破坏我国国际合作、影响我国在战略新领域开拓等事件所采取的举措,与我国《数据安全法》《数据出境安全评估办法》和《促进和规范数据跨境流动规定》等法律法规对重要数据跨境流动所作出的规定要求相衔接。
三、《规则》发布的意义与数据分类分级工作开展建议
(一)提供完整规则框架,引导数据处理者建立并完善数据分类分级管理体系
数据分类分级是组织内部数据安全合规处理的基础保障,也是数据安全治理和科学管理的主要措施。结合此次发布的《规则》,数据处理者可以参照如下流程与方式开展内部数据分类分级工作。
数据资产梳理
数据处理者可以首先以盘点的方式划定待开展分类分级工作的数据资源范围,通过技术工具,对结构化和非结构化数据资产进行全量的扫描识别,明确各类数据所涉及的行业领域、所对应的数据处理场景、所涉及的系统、所存储的数据库,以及数据处理的具体方式及结果,并划定原始数据与各类衍生数据的边界,为分类分级工作的实施做好充分准备。
制订内部规则
对于涉及单一行业领域的数据处理者,应根据行业领域主管部门已制定的行业数据分类分级规则指南,结合数据资产梳理情况,确立内部识别核心数据和重要数据的流程,并根据自身的数据掌握情况和管理体系形成适用于本组织的一般数据的分类分级规则。对于尚未形成针对性数据分类分级标准的行业,数据处理者可在《规则》的基础上探索形成自身的分类分级框架体系,并主动与行业领域主管部门开展必要的沟通。
对于业务涉及多个行业领域的数据处理者,则可以在参考《规则》的基础上,分别按照各个行业领域的行业规范设定分类分级规则。在此情况下,所处理的同一类型的数据在不同行业领域内可能被确定为不同的数据级别,这需要数据处理者完成内部的协调,实现科学管理。
在实践中,数据处理者可参考《规则》的附录H和各行业领域制订的数据分类行业标准或指南文件,选择合适的定级框架体系对各行业领域的一般数据进行管理,并将核心数据和重要数据定义为更高级别,形成最高可至6级的数据定级体系。
此外,对于已经建立内部商业数据保密体系的部分数据处理者,可通过构建数据映射表的方式,将原有的数据保密体系和建设中的数据分类分级规则进行关联映射,方便内部人员理解且合理开展分类分级工作,并进一步对工作成果加以开发利用。
实施数据分类
数据处理者应根据《规则》提供的分类维度,结合自身业务情况,对数据进行大类和子类的划分,并对不同子类进行定义说明,将所含具体数据字段的情况进行列举。在此工作方式下,数据处理者处理的全量原始数据和衍生数据均可以被划入具体的子类中。
实施数据分级
开展数据分级工作时,数据处理者可以根据加工对分级要素、影响对象、影响程度的影响,首先对原始数据进行数据分级,再基于对原始数据的处理活动对通过不同加工方式形成的衍生数据进行定级。
在分类分级结果形成后,数据处理者可根据《规则》并参考《金融数据安全 数据安全分级指南》附录A等文本的格式,形成组织内部的数据分类分级清单(以下为示例,仅供参考)以管理数据分类分级结果:
数据分类分级情况及说明 | ||||||||
一级子类 | 二级子类 | 定义说明 | 三级子类 | 定义说明 | 四级子类 | 所含字段 | 数据安全级别 | 备注 |
业务数据 | 合约协议 | 指合同或协议所包含的所有属性数据 | 合同通用信息 | 指合同以及商业银行法所规定的、各种特定业务通用的基本属性 | 合同信息 | 合同编号、合同名称、合同种类、合同状态、合同金额、币种等 | 2级 | 一般数据 |
存款业务信息 | 指存款业务所涵盖的相关属性数据 | 基本信息 | 贷款类型、贷款用途、保证金金额等 | 2级 | 一般数据 | |||
计息信息 | 存款业务种类、期限类型等 | 2级 | 一般数据 | |||||
… | … | … | … | … | … | … | ||
账户信息 | 账户相关数据 | / | / | 介质信息 | 介质号码、卡种类等 | 3级 | 一般数据 | |
… | … | … | … | … | … | … | ||
… | … | … | … | … | … | … | … | |
用户数据 | … | … | … | … | … | … | … | … |
经营管理数据 | … | … | … | … | … | … | … | … |
系统运维数据 | … | … | … | … | … | … | … | … |
表7 数据分类分级清单示例
在实际数据分级管理工作中,基于数据项(数据库表某一列字段等)将组织内全部的数据以数据字段维度进行管理的难度较大,操作性较低。目前各类组织较为常见的方式是以数据集(由多个数据记录组成的集合,如数据库表、数据文件等)而非数据项为单位进行数据分级的实操管理,从而在保障安全的前提下提升管理工作的便捷性。
在数据集的分级方面,数据处理者可采用《规则》中的原则性建议,依据“就高不就低”的从严定级原则,参考所含数据项的级别对数据集进行定级,并按照数据集的级别确定安全管控措施。
例如,在总体为5级(核心数据设定为5级,重要数据设定为4级,一般数据分为1级、2级、3级进行管理)的数据分级框架下,某一数据集中同时含有级别为1级、2级、3级的一般数据,且该数据集中不含核心数据和重要数据,则此数据集的级别可首先预设为3级。但同时,需要判断上述不同级别的数据在该数据集中形成的规模以及可能基于所含有数据形成的衍生数据的影响,从而视情况将数据集的级别调整为4级或5级进行安全管理。
审核上报目录
数据处理者应根据行业主管监管部门和各地区的要求,落实核心数据和重要数据的记录和报送工作。
此外,数据处理者应根据分类分级结果,在组织内部的数据管理系统、数据库管理平台中将数据的类别、级别进行标识,方便对数据处理行为进行管理和审核。对于业务涉及多个行业领域的数据处理者,则应根据不同业务系统、数据库对应的行业领域情况,对数据的类别、级别等分别进行标识,避免出现矛盾情形。
动态更新管理
数据处理者可参考《规则》附录J,在业务应用场景、数据处理方式和规模发生变化、发生数据安全事件导致数据敏感性发生变化等情形出现时,对数据分类分级的规则和结果进行更新。并在开展内部数据安全审计和个人保护影响评估等工作的过程中,对数据分类分级工作成果进行评估和相应处置。
需要注意的是,分类分级规则的形成和清单的建立仅仅是分类分级管理的先导工作,数据处理者在形成规则和清单的基础上,应进一步制订数据分类分级保护的内部制度,并要求各部门人员根据制度要求对数据进行安全管理。
在分类分级工作规范开展方面,数据处理者可基于已形成的组织内分类分级规则和结果清单制定《数据分类分级管理制度》,明确组织内部不同部门及各岗位人员在数据分类分级识别、记录、维护、更新、报送等方面的职责分工,书面确认分类分级工作的实施流程和细则要求。
而在数据配套安全措施实施方面,数据处理者可在前述工作的基础上,制订《数据分类分级安全保护策略》,在数据访问、存储、对外提供、共享、前端展示等处理环节中采用与其级别、类别相适应的安全控制措施,提升数据处理活动的合规性。对于核心数据、重要数据的安全管理工作,还应参考《信息安全技术 重要数据处理安全要求》(征求意见稿)等文件的正式发布版本严格开展。
(二)明确主管部门的关键作用,加速行业数据标准化管理与数据资源整合
由于不同行业所开展的经营活动性质存在差别,不同行业数据处理者处理活动的典型场景、数据类别、敏感程度等存在较大差别,数据处理者依据统一的《规则》完全自主开展数据分类分级工作仍具备较高难度。因此,行业领域主管机构的组织和引导工作则尤为重要。主管部门需要将分类分级的规则根据行业特性进行明确细化,所提供的不应仅是原则性的要求。
在《规则》提供的框架和附录G的基础上,各行业领域的主管部门可结合本行业现行的数据处理活动情况,制定行业数据分类分级标准规范:
• 根据数据的分级要素,明确本行业领域核心数据和重要数据识别的具体细则,明确所涉及的范围,形成本行业领域核心数据、重要数据的推荐性目录,为行业内数据处理者提供划分依据说明;
• 制定本行业领域数据处理者对自身核心数据、重要数据目录的报送和管理要求,明确未按规定开展工作的后果;
• 发布可落地的指南性文件,组织引导本行业本领域的数据分类分级工作,为数据处理者提供必要的支持和指导,引导数据处理者完成有效自查、管理和报送。
结合本次发布的《规则》,各行业领域主管部门亦能够以数据为切入点,加快本行业的数据标准化治理工作,形成行业数据目录资源清单,推动本行业信息化、标准化发展,串联打通行业上下游产业链,从而借助行业内的数据合作提升全行业的生产经营效率。
(三)衔接数据要素价值释放制度,进一步夯实数据要素流通交易的机制基础
本次规则的发布,也与“数据二十条”和《“数据要素×”三年行动计划(2024—2026年)》等数据要素统一市场建设方面的国家政策进行了有效联动,数据处理者在《规则》指引下开展数据分类分级工作有助于其结合自身掌握的数据资源,释放数据要素价值。
数据处理者可在基于已开展分类分级工作的成果,根据《规则》以数据主体为角度的方法对数据进行分类,以呼应“数据二十条”提出的“建立公共数据、企业数据、个人数据的分类分级确权授权制度”要求,并结合数据分级结果明晰组织内部的数据资源结构,从而进一步开展数据资源确权、数据资源入表、数据产品的形成与交易等一系列工作。
数据处理者可以在根据《规则》形成的数据分类分级清单的基础上进一步判断不同类别级别的数据是否由自身“合法拥有或控制”、“是否会给企业带来经济效益”,更为清晰的界定数据生产、流通、使用过程中各方享有的数据资源持有权、数据加工使用权、数据产品经营权等合法权利,并结合分类分级成果对原始数据进行价值复用与充分利用,推动组织内部的数据资本化等数据要素价值释放进程。
行业主管部门后续也有望结合行业数据分类分级标准,发布数据流通方面的行业标准及指南文件,推荐本行业符合流通要求的数据按照类别、级别流通的工作模式,以及不同类别、级别数据流通时应遵循的安全规则。此举既可以提升行业内组织开展数据分类分级工作的积极性,又能够实现有序拓展数据要素应用场景的广度和深度,基于可开发利用的数据资源打造典型的数据应用场景和流通体系,充分发挥数据要素的“乘数效应”。
结 语
本次《规则》的发布,与国家“十四五”规划和《数据安全法》所提出的“建立数据分类分级保护制度”的相关要求相呼应,其作为通用性的数据分类分级指导框架,有助于各行业领域主管部门在此基础上制定和更新数据分类分级制度和实施指南,为数据处理者在内部建立和完善数据数据分类分级制度、针对不同类别和级别的数据采取对应的数据保护技术和管理措施提供指导。《规则》中正式发布的重要数据识别指南也将与《促进和规范数据跨境流动规定》一同帮助数据处理者识别重要数据,妥善进行数据跨境流动,避免合规风险。
开展数据分类分级工作本身不是目的,而是应当据此合理配置数据安全管理资源,作为前置程序有序推进各行业各领域的数据治理工作。对在不同行业、不同业务场景下的差异化数据进行系统的梳理,形成标准化、体系化的数据结构,将有助于推进数据分类分级确权授权使用和市场化流通交易,形成符合数字经济发展规律的数据要素市场。
各行业领域的数据处理者需要结合自身所处行业、业务场景等因素,密切关注配套行业标准和文件的出台,并根据《规则》和所处行业的要求建立内部的数据分类分级管理制度,在提升组织数据处理活动安全合规能力、加强对不同类别级别数据安全保护的同时,促进数字经济生态的建设发展,释放自身掌握的数据要素价值,实现数据有序流动。
————————————
1 例如《中国(天津)自由贸易试验区企业数据分类分级标准规范》《中国(上海)自由贸易试验区临港新片区数据跨境流动分类分级管理办法》。
(本文作者:环球律师事务所 孟洁、钱星辰、黎耀琦)
文章来源:CCIA数据安全工作委员会