《中華人民共和國數(shù)據(jù)安全法》第二十一條明確規(guī)定����,“國家建立數(shù)據(jù)分類分級保護制度”���。2022年1月�,國務院辦公廳印發(fā)《要素市場化配置綜合改革試點總體方案》提出�,探索建立數(shù)據(jù)要素流通規(guī)則,要探索“原始數(shù)據(jù)不出域����、數(shù)據(jù)可用不可見”的交易范式,在保護個人隱私和確保數(shù)據(jù)安全的前提下�����,分級分類�����、分步有序推動部分領(lǐng)域數(shù)據(jù)流通應用�;要強化網(wǎng)絡安全等級保護����,推動完善數(shù)據(jù)分級分類安全保護制度��。
2021年底���,全國信息安全標準化技術(shù)委員會發(fā)布《網(wǎng)絡安全標準實踐指南——網(wǎng)絡數(shù)據(jù)分類分級指引》(以下簡稱《指引》),明確了網(wǎng)絡數(shù)據(jù)分類分級的原則����、框架和方法,用于指導數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作��。
當前���,已有不少部門���、地方政府出臺了相關(guān)領(lǐng)域、行業(yè)數(shù)據(jù)分類分級保護規(guī)定����。比如,今年2月1日起�����,根據(jù)《江蘇省公共數(shù)據(jù)管理辦法》,江蘇對公共數(shù)據(jù)將依法實行分類分級保護�����。上海��、浙江�����、福建��、重慶等地也出臺了公共數(shù)據(jù)開放分級分類試行指南�����。此外�,中國人民銀行于2020年9月發(fā)布《金融數(shù)據(jù)安全數(shù)據(jù)安全分級指南》;工業(yè)和信息化部于2021年9月發(fā)布《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法(試行)(征求意見稿)》�����,在第二章專門規(guī)定“數(shù)據(jù)分類分級管理”��。
近兩年來�����,“數(shù)據(jù)分類分級保護”已成為數(shù)據(jù)安全領(lǐng)域的高頻詞�����。數(shù)據(jù)分類分級保護對數(shù)據(jù)安全有何影響��?企業(yè)如何才能讓數(shù)據(jù)分類分級合規(guī)有序落地����?近日,民主與法制社記者就此采訪了相關(guān)專家學者�����。
開展數(shù)據(jù)安全治理的基礎(chǔ)
數(shù)據(jù)安全法第三章“數(shù)據(jù)安全制度”部分規(guī)定�,國家建立數(shù)據(jù)分類分級保護制度、數(shù)據(jù)安全審查制度�����、數(shù)據(jù)安全應急處置機制等�。上海大學法學院大數(shù)據(jù)與人工智能法治研究中心執(zhí)行主任陳吉棟認為,數(shù)據(jù)分類分級保護制度是開展數(shù)據(jù)安全治理的基礎(chǔ)�����,也是促進數(shù)據(jù)充分利用、有序流動和安全共享的重要前提���。
陳吉棟表示��,從數(shù)字經(jīng)濟發(fā)展角度看�����,數(shù)據(jù)的流通利用是實現(xiàn)數(shù)據(jù)資源價值的必然路徑���,由此才能形成數(shù)字經(jīng)濟?��!皬碗s多樣的業(yè)務場景����,使工業(yè)數(shù)據(jù)呈現(xiàn)出時序�����、非時序���、結(jié)構(gòu)化��、非結(jié)構(gòu)化等多種形式�����,這些數(shù)據(jù)在承載信息�、應用領(lǐng)域�����、重要程度等方面各不相同��?����?梢哉f�,數(shù)據(jù)流通路徑復雜,且涉及主體多樣���?��!?/span>
陳吉棟進一步解釋���,具體來講,工業(yè)數(shù)據(jù)在企業(yè)內(nèi)部研發(fā)����、生產(chǎn)、運營維護��、管理等環(huán)節(jié)之間互通��,在上下游企業(yè)間�、平臺間流轉(zhuǎn),涉及設備廠商��、工業(yè)企業(yè)����、平臺企業(yè)、服務商等相關(guān)方�。因此,在數(shù)據(jù)流向跟蹤����、風險定位、責任追溯等方面,數(shù)據(jù)管理者面臨著不小的壓力�。
數(shù)據(jù)流通包括數(shù)據(jù)的開放、共享�����、互換�、交易。因為數(shù)據(jù)的形態(tài)種類繁多�,數(shù)據(jù)的價值各不相同����,所以只有通過合理安排不同數(shù)據(jù)的流通方式和規(guī)則,為數(shù)據(jù)開發(fā)利用主體提供開展合規(guī)數(shù)據(jù)流通的行動依據(jù)���,對數(shù)據(jù)進行分類分級���,才能最大限度地釋放數(shù)據(jù)的價值。
中央財經(jīng)大學法學院副教授劉權(quán)表示�����,對數(shù)據(jù)進行科學合理分類分級���,有利于保障數(shù)據(jù)要素有序自由流動��,實現(xiàn)數(shù)據(jù)要素市場有效配置����,發(fā)展壯大數(shù)字經(jīng)濟。
“不同類型和級別的數(shù)據(jù)在不同場景下����,安全級別不同,安全防護措施也應當不同�����。數(shù)據(jù)分類分級的目的是為了保護數(shù)據(jù)安全�,不同類型和級別的數(shù)據(jù)應采取不同的保護措施。對數(shù)據(jù)進行分類分級����,有利于更好地保護數(shù)據(jù)?!眲?quán)說。
陳吉棟以數(shù)據(jù)交易為例稱����,數(shù)據(jù)交易應當在充分衡量數(shù)據(jù)安全級別基礎(chǔ)上進行。只有充分考慮數(shù)據(jù)本身的復雜性、多樣性及其可能的影響范圍和影響程度��,并結(jié)合不同行業(yè)數(shù)據(jù)安全管理現(xiàn)狀及其在具體業(yè)務層面的數(shù)據(jù)安全分級指南����,才能依法有序進行合規(guī)的數(shù)據(jù)交易實踐。
數(shù)據(jù)分類分級保護的標準
數(shù)據(jù)安全法第二十一條對數(shù)據(jù)分類分級提出了具體要求�。劉權(quán)表示,該條提出了數(shù)據(jù)分類分級的兩大標準:一是根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度進行分類分級���;二是根據(jù)一旦遭到篡改����、破壞���、泄露或者非法獲取、非法利用���,對國家安全����、公共利益或者個人����、組織合法權(quán)益造成的危害程度分類分級�����。簡而言之�����,我國根據(jù)數(shù)據(jù)“重要程度”和受侵犯后的“危害程度”����,對數(shù)據(jù)進行分類分級��。
陳吉棟認為�,目前,我國數(shù)據(jù)分類分級主要按照數(shù)據(jù)分類管理���、分級保護的思路�,遵循自上而下的路徑����,優(yōu)先遵循國家、行業(yè)的數(shù)據(jù)分類要求���。在此基礎(chǔ)之上�,數(shù)據(jù)處理者還可按照組織經(jīng)營維度進行數(shù)據(jù)分類,包括用戶數(shù)據(jù)����、業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)���、系統(tǒng)運行和安全數(shù)據(jù)等�����。
陳吉棟表示���,依照數(shù)據(jù)安全法第二十一條的規(guī)定,根據(jù)對國家���、社會的經(jīng)濟價值以及出現(xiàn)安全事件后造成的危害程度,將數(shù)據(jù)分為一般數(shù)據(jù)�����、重要數(shù)據(jù)�、國家核心數(shù)據(jù)�����,并由此對其適配不同程度的安全保護規(guī)則�。
數(shù)據(jù)安全法第二十一條還規(guī)定���,各地區(qū)�、各部門應當按照數(shù)據(jù)分類分級保護制度����,確定本地區(qū)、本部門以及相關(guān)行業(yè)��、領(lǐng)域的重要數(shù)據(jù)具體目錄�,對列入目錄的數(shù)據(jù)進行重點保護。劉權(quán)認為�,由于數(shù)據(jù)種類繁多,不同地區(qū)����、行業(yè)的數(shù)據(jù)差別大,所以我國并沒有在國家層面對所有數(shù)據(jù)進行統(tǒng)一分類分級�。
給數(shù)據(jù)分類分級具體要遵循什么樣的標準?全國信息安全標準化技術(shù)委員會發(fā)布的《指引》明確�,數(shù)據(jù)分類分級應按照數(shù)據(jù)分類管理�����、分級保護思路��,依據(jù)合法合規(guī)�����、分類多維����、分級明確��、就高從嚴����、動態(tài)調(diào)整等多項原則進行劃分。
陳吉棟表示���,在數(shù)據(jù)分類上,《指引》從國家�����、行業(yè)、組織等多種維度進行劃分�,同時把一定主動權(quán)給予數(shù)據(jù)處理者,建議再做進一步細分�,并給出了具體參考。例如《指引》從公民個人維度劃分����,按照數(shù)據(jù)是否可識別自然人或與自然人關(guān)聯(lián),將數(shù)據(jù)分為個人信息和非個人信息�����。如果個人信息通過去標識化等處理后�,達到無法識別特定自然人且不能復原的匿名化效果,那么處理后的信息不再屬于個人信息����,這與《中華人民共和國個人信息保護法》第四條的規(guī)定一致。
劉權(quán)表示���,《指引》主要從數(shù)據(jù)安全保護角度出發(fā)��,從影響對象�����、影響程度這兩個要素進行分級��。影響對象是指�,數(shù)據(jù)一旦遭到篡改、破壞���、泄露或者非法獲取�、非法利用后受到危害影響的對象���,包括國家安全�、公共利益��、個人合法權(quán)益�����、組織合法權(quán)益�����。影響程度是指�����,數(shù)據(jù)一旦遭到篡改��、破壞���、泄露或者非法獲取�����、非法利用后�����,所造成的危害影響大小�����。危害程度從低到高可分為輕微危害�、一般危害��、嚴重危害�。數(shù)據(jù)從低到高可分成一般數(shù)據(jù)、重要數(shù)據(jù)��、核心數(shù)據(jù)三個級別。
陳吉棟說�����,我國采取的數(shù)據(jù)分類分級保護的邏輯和路徑�,本質(zhì)上是以國家和公共利益為視角,始終站在數(shù)據(jù)背后的重要價值保護之上�����?����!皵?shù)據(jù)天然具備不同屬性和特征�����,也必然存在不同的管理主體�����。出于不同的管理目的����、基于不同的數(shù)據(jù)屬性或特征對數(shù)據(jù)采用不同的分類分級方法��,便于數(shù)據(jù)治理���,有利于促進數(shù)據(jù)利用和流通?���!?/span>
企業(yè)如何給數(shù)據(jù)分類分級
近兩年��,數(shù)據(jù)合規(guī)問題成為企業(yè)重點關(guān)注的合規(guī)問題之一���。在數(shù)據(jù)分類分級背景下�����,企業(yè)具體應如何給數(shù)據(jù)定級分類�����?
劉權(quán)認為���,數(shù)據(jù)定級的具體步驟包括四個方面:一是按照國家和行業(yè)領(lǐng)域的核心數(shù)據(jù)目錄、重要數(shù)據(jù)目錄���,依次判定是不是核心數(shù)據(jù)�����、重要數(shù)據(jù)����,如是,則按照就高從嚴原則定為核心數(shù)據(jù)級��、重要數(shù)據(jù)級�,其他定為一般數(shù)據(jù)。二是國家和行業(yè)核心數(shù)據(jù)�、重要數(shù)據(jù)目錄不明確時,可參考核心數(shù)據(jù)���、重要數(shù)據(jù)認定的規(guī)定或標準�,分析數(shù)據(jù)一旦遭到篡改�����、破壞�����、泄露或者非法獲取、非法利用的危害對象和危害程度���,參照數(shù)據(jù)安全基本分級規(guī)則進行基本定級����,確定核心數(shù)據(jù)�、重要數(shù)據(jù)和一般數(shù)據(jù)級別。三是按照一般數(shù)據(jù)分級規(guī)則或者所屬行業(yè)共識的數(shù)據(jù)分級規(guī)則對一般數(shù)據(jù)定級�,確定一般數(shù)據(jù)細分級別�����。四是如果數(shù)據(jù)屬于個人信息���,還應識別敏感個人信息�、一般個人信息����,具體可參考《指引》中對個人信息定級的規(guī)定。
在數(shù)據(jù)分類流程上����,《指引》規(guī)定數(shù)據(jù)處理者進行數(shù)據(jù)分類時����,應優(yōu)先遵循國家����、行業(yè)的數(shù)據(jù)分類要求,如果所在行業(yè)沒有行業(yè)數(shù)據(jù)分類規(guī)則��,也可從組織經(jīng)營維度進行數(shù)據(jù)分類���,并給出常見的數(shù)據(jù)分類維度��,包括公民個人維度�、公共管理維度���、信息傳播維度����、組織經(jīng)營維度�、行業(yè)領(lǐng)域維度。
陳吉棟表示����,企業(yè)應嚴格按照國家重要數(shù)據(jù)目錄和本地區(qū)��、行業(yè)監(jiān)管部門制定的重要數(shù)據(jù)具體目錄對重要數(shù)據(jù)加強保護�����。對重要數(shù)據(jù)以外的其他數(shù)據(jù)��,亦需自主進行分類分級并給予相應程度的保護�����。企業(yè)可以參考既有數(shù)據(jù)分類分級法律法規(guī)等�,根據(jù)數(shù)據(jù)安全法等規(guī)定和所屬行業(yè)的數(shù)據(jù)分類分級要求����,結(jié)合企業(yè)自身實際情況�,開展適合自身的、行之有效的數(shù)據(jù)分類分級�。
劉權(quán)表示,由于數(shù)據(jù)的類型級別可能因時間變化�、政策變化、安全事件發(fā)生����、不同業(yè)務場景的敏感性變化或相關(guān)行業(yè)規(guī)則不同而發(fā)生改變��,所以數(shù)據(jù)處理者需要對數(shù)據(jù)分類分級進行定期審核并及時調(diào)整���。
文章來源:數(shù)字經(jīng)濟與法制
0531-67800866