本报简介数据分类分级的科学构造
数据分类分级的科学构造
——兼谈《信息安全技术 网络数据分类分级要求(征求意见稿)》
9月14日,全国信息安全标准化技术委员会秘书处发布《信息安全技术 网络数据分类分级要求》(征求意见稿),进一步细化和落实《中华人民共和国数据安全法》第二十一条的数据分类分级要求,阐明数据分类分级的基本原则、数据分类分级框架和方法以及数据分类分级实施流程等,为数据处理者开展数据分类分级工作提供指导,意见反馈截止时间为2022年11月13日。
数据分类分级的意义及缘由
近年来,我国在多部法律法规政策文件中强调数据分类分级相关工作的重要性。2020年3月印发的《中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见》提出,“推动完善适用于大数据环境下的数据分类分级安全保护制度,加强政务数据、企业商业秘密和个人数据的保护。”《中华人民共和国网络安全法》第二十一条规定,网络运营者应当采取数据分类、重要数据备份和加密等措施。《数据安全法》第二十一条规定,“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。”《中华人民共和国个人信息保护法》第五十一条将个人信息分类管理规定为个人信息处理者需采取的基本安全保护措施。2021年11月,国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》第五条规定:“国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。”可见,数据分类分级是数据安全保护中十分重要的基础性工作。数据处理者对数据进行分类和分级可更清晰地梳理数据资产,从而实现数据安全保护与数据流通利用的平衡。数据分类工作旨在对数据资产盘点梳理并进行标准化、专业化管理,将常见、稳定的属性或特征作为数据分类的依据,从而便于依照类别建立完善有序的数据架构,以实现高效准确的数据管理与使用。数据分级工作则强调基于数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,通过定量与定性相结合,根据数据分级要素开展数据影响分析,从而为数据划分不同级别。数据处理者应针对不同级别的数据,制定对应的安全策略、确定适当的对外开放程度并在全生命周期采取不同的安全保护措施。
从监管角度看,数据分类分级制度,进一步落实管理网络安全法、数据安全法、个人信息保护法等法律法规的规定,有利于推动数据开放共享、提升数据资源的价值。从企业治理角度看,实施数据分类分级制度,有利于企业对重要数据、敏感程度高的数据采取不同的管控和保护措施,建立、完善数据风险管理内部流程。作为数据处理者,企业履行个人信息保护、数据收集与使用、数据出境、重要数据等各类数据合规义务,有必要做好数据分类分级工作。按照相关法规,未履行数据分类分级义务的企业可能受到信用惩戒、公开曝光、没收违法所得、罚款、暂停营业、停业整顿、关闭网站、吊销业务许可证或者吊销营业执照等行政处罚;构成犯罪的,依法追究刑事责任。
实施数据分类分级的路径
强化顶层设计,进一步构建数据安全管理体系。数据安全作为促进数据开发利用和产业发展的基础支撑,是推动以数据为关键要素的数字经济高质量发展的基石。构建数据安全管理体系需厘清如下思路:首先,需要明确数据安全法、网络安全法、个人信息保护法以及《信息安全技术 网络安全等级保护基本要求》之间的关系。即在保证网络安全前提下,构建企业内部安全体系时,特别是涉及关键信息基础设施时,必须遵从《信息安全技术-网络安全等级保护基本要求》相关规范。在关联性基础之上,相关单位需要结合具体场景、行业特性、数据属性等,综合判断自身业务特点应参照哪一部或哪几部法律法规。其次,数据安全管理体系建设需要明确“技术”与“管理”并重思路,把“技术”作为“管理”的延续,即基于数据全生命周期构建数据安全指标,借助丰富的数据安全监测手段以及快速响应机制等,逐一落实数据安全管理目标。
平衡安全与发展,释放数据资产价值。随着时代的发展,数字化进程的加速,我们越来越依赖数据,而数据越来越多,处理越来越复杂,越来越广泛无序的处理给数据安全造成了威胁。因此,数据安全治理不仅要保护好数据,还要兼顾到利用的合法性,平衡好数据的安全与利用。数据安全治理包含“治”和“理”两个层面,应该先“理”后“治”,即“理”出数据安全需要治理的地方,然后通过管理到技术、技术到工具的方式去“治”。具体来说,首先要明确组织治理的目标,这个目标取决于利益相关方对风险的容忍程度、外部合规要求与内部经营策略。然后,根据目标制定出治理策略。治理策略不仅要包括数据安全能力建设维度,还包括各个数据处理环节(收集、存储、使用、加工、传输、提供、公开等)与业务场景维度(需求、开发、测试、运维、响应、访问等)。最后,将策略转化为系统化的程序、措施应用到业务中相关环节,这个过程不仅包括组织建设的完善、制度流程的优化、技术工具的升级、人员能力的提升,还包括流程调整、数据处理场景改变等。
构建数据标准体系,完善数据安全监管。《国家标准化发展纲要》指出,“标准是经济活动和社会发展的技术支撑,是国家基础性制度的重要方面。标准化在推进国家治理体系和治理能力现代化中发挥着基础性、引领性作用。”同样,数据治理工作也迫切需要加强标准化工作,数据治理标准化工作是破除管理困境、提高数据质量、释放数据价值的关键所在,一系列的政策、法律、愿景、规划需要转化为制度和标准才利于落地见效。夯实数据治理标准化发展基础,一方面需要完善数据治理标准体系,健全标准实施机制,不断完善数据治理标准体系,保证各类数据标准间支撑、配合、协调,响应数据治理各类需求。强化数据标准的统一管理、协同推进、监督检查。另一方面要加快数据标准研制工作,提高标准供给能力。加快数据安全、数据交易、数据价值评估等领域的标准研制工作,推动团体标准和企业标准的自我声明,加强国际标准的研制和主导能力,为数据治理工作提供全面支撑。
(作者单位分别为湖北国森律师事务所、西北政法大学枫桥经验与社会治理研究院。本文为2022年度法治湖北建设研究重点课题“街道综合执法中心能力建设研究”的阶段性成果)