《資料安全法》第二十一條【資料分類分級保護】 解讀與合規實踐探究

資料安全發表於2023-05-12
《中華人民共和國資料安全法》


第二十一條:


國家建立資料分類分級保護制度,根據資料在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對資料實行分類分級保護。國家資料安全工作協調機制統籌協調有關部門制定重要資料目錄,加強對重要資料的保護。


關係國家安全、國民經濟命脈、重要民生、重大公共利益等資料屬於國家核心資料,實行更加嚴格的管理制度。


各地區、各部門應當按照資料分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要資料具體目錄,對列入目錄的資料進行重點保護。



合規解讀


關鍵詞 /KEYWORDS

中央 地方 分類 分級 制度

危害 目錄 轉化 後果 保護


  • 核心目的: 建設中央和地方兩個層面的資料分類分級制度。


  • 中央層面: 建立資料分類分級保護制度,統籌加強對重要資料和核心資料的保護。中央層面的國家資料安全工作協調機制負責統籌協調,實現由中央國家安全機構透過國家資料安全工作協調有關地區、部門制定重要資料目錄工作,確保推動重要資料統一認定標準的建立。

  • 地方層面:

1. 各地區、各部門建立重要資料具體目錄,將需要重點保護的資料列入目錄中;

2. 各地區、各部門承擔確定本地區、本部門的重要資料目錄職責;

3.各地區、各部門負責重要資料和核心資料的具體實施。


  • “中央層面”與“地方層面”的關聯: 自上而下原則(中央層面建立資料分類分級保護制度,負責統籌協調各地區、各部門制定重要資料目錄工作,確保統一認定標準建立)

  • 資料分類

1. 目的:方便資料的查閱、識別、管理、保護和使用;

2. 前置條件:根據資料的屬性或特徵等開展;

3. 法律界定:《資料安全法》將資料分為一般資料和重要資料、《個人資訊保護法》界定敏感個人資訊、《網路資料安全管理條例(徵求意見稿)》專章規定“個人資訊保護”和“重要資料安全”

4. 雙軌化路徑:將資料從總體上看,我國分為“個人資訊”和“重要資料”,規制模式採取個人資訊與重要資料保護體系雙軌化模式;

5. 總分原則:從資料分類法益保護的角度來看,我國資料分類遵循總分原則,先按歸屬主體、影響物件、影響範圍、影響程度對資料進行類別劃分,再透過對業務和資料進行細分。


  • 資料分級

1. 目的:便於根據資料的不同安全等級採取相匹配的保護措施;

2. 前置條件:基於資料的重要程度和發生危害時的影響程度等進行開展;

3. 總體要求:根據資料的敏感程度、資料洩露、破壞後,對國家安全、社會秩序、公共利益以及公民、法人和其他組織的合法權益的危害程度,將其確定不同安全等級;

4. 細化要點:基於資料使用行為的危害性進行劃分、基於資料自身的關鍵性程度及對於業務的影響進行定級、基於資料所適用的司法管轄區進行劃分等。


  • 據分類”與“資料分級”關聯性:

1. 監管角度:資料分級是監管要求內的一種資料分類;

2. 安全形度:資料分類是為了方便資料保護的一種分級;

3. 目標角度:資料分類與資料分級均承擔保障資料安全的目標。


  • 我國資料分類分級領域現狀: 我國在資料分類分級領域已形成國家法律、部門規章、標準規範三類政策檔案共同構建的制度規範雛形,特別在技術標準與行業規範中具備較為體系化的資料分類分級要求,但法規層面尚未得以完整落實;


  • “合規義務”轉化為“特殊義務”: 基於資料分類分級保護制度的建立,可將資料處理者的合規義務向資料處理者履行自身的特殊義務進行轉化,從而實現對資料的針對性管理;


  • “重要資料”後果先知:

1. 危害國家安全、國防利益等;

2. 損害國家財產、社會公共利益和個人合法利益;

3. 影響國家預防和打擊經濟與軍事間諜、政治滲透、有組織規範等;

4. 影響行政機關依法調查處理違法、瀆職或涉嫌違法、瀆職行為;

5. 干擾政府部門依法開展監督、管理、檢查、審計等行政活動,妨礙政府部門履行職責;

6. 危害國家關鍵基礎設施、關鍵資訊基礎設施、政府系統資訊系統安全;

7. 影響或危害國家經濟秩序和金融安全;

8. 可分析出國家秘密或敏感資訊;

9. 影響或危害國家政治、國土、軍事、經濟、文化、社會、科技、資訊、生態、資源、核設施等國家安全事項等。


  • 不同國家資料分類方法:

1. 歐盟:個人資料和非個人資料;

2. 澳大利亞:一般資料、敏感資料;

3. 印度:一般資料、敏感資料、關鍵資料;

4. 美國: 敏感資料、非敏感資料。



實施指南


關鍵詞 /KEYWORDS

政策 演化 標準 實施

重要資料  共性 領域


本條強調了中央層面要建立資料分類分級保護制度統籌加強對重要資料和核心資料的保護。地方層面建立重要資料具體目錄將需要重點保護的資料列入目錄中,並承擔相應責任。同時,從危害影響角度明確了資料在經濟社會發展中的重要程度,對資料實行分類分級保護。因此,結合我國當前資料分類分級法律法規現狀及資料二十條要求,在本文在實施指南側主要探究以下問題:


  • 以資料分類分級為基礎應重點開展哪些工作?

  • 當前我國關於資料分類分級政策上有哪些演化?

  • 透過指南洞察如何進行重要資料識別?

  • 確定資料分類與資料分級的共性目標?


一、政策演化:基於資料分類分級的政策演變


本文從我國已 頒佈 的資料分類分級政策文字為出發點,以其文字內容為出發點,量化其演化趨勢。


  • 政策發展起步階段(2001~2009年)

    資料分類分級政策最早政策檔案由《重慶市人民政府關於印發重慶市電子商務發展綱要和數字重慶地理資訊系統發展綱要的通知》,提出資料安全、資料共享等理念,標誌我國資料分類分級政策發展步入起步期。


  • 政策發展調整期(2010~2014年)

    以政策發展規律及資料治理為時代背景,資料分類分級政策數量釋出較少,但各級政府已開始探索資料分類分級政策發展儲備理論、技術、人才等。


  • 政策發展加速期(2015年~至今)

    資料分類分級政策數量呈上漲趨勢,逐步向更多領域擴充套件實施,如國家“十三五”、“十四五”規劃、《資料安全法》、《網路資料安全管理條例(徵求意見稿)》、《重要資料識別指南(徵求意見稿)》等,標誌資料分類分級工作越發受到相關部門重視。同時,也符合我國高質量發展的大原則。當前我國資料分類分級政策涉及的應用領域具體如下:


政  務
政務資料、公共資料、海關資料等
安  全
風險隱患資訊資料、安全生產基本資訊資料等
醫  療
健康醫療資料、醫療保障資料、醫保資料等
金  融
證劵期貨業資料等
跨  境
跨境資料、出境資料、跨境電商資料等;
工  業
工業資料、工業網際網路資料、智慧網際網路汽車資料等
財  稅
審計業務電子資料、稅務資料等
徵  信
公共信用資料、信用資訊記錄資料等
電  信
電信、網際網路行業資料等
自然資源
基礎空間資料、國土資源資料、其他自然資源資料等
交  通
交通運輸資料、交通行業資料、民航資料等
商  業
消費資訊資料、電子商務資料、企業基礎資料等
科  學
科學資料、交通運輸科學資料等
···
···

         

二、標準實施側:以“資料二十條”強調的資料環節為導向、以資料分類分級基礎,對標準實施方向性進行探究


  • 以“資料二十條”內涵為導向、以資料分類分級為基礎的標準編制推演。 “資料二十條”核心內涵在於以盤活資料經濟價值為核心的權屬關係確立上,在權屬關係上“資料二十條”體現出淡化所有權、強調使用權、聚焦資料使用權流動。同時,在制度架構上,體現出三權分置(即:資料資源持有權、資料加工使用權、資料產品經營權)。因此,需要結合“資料二十條”內涵認識把握資料的基本規律(即:產權、流通、交易、使用、分配、治理、安全等),透過基本規律找尋不同規律點的共性要點內容,透過資料基本規律可看出,圍繞在各環節的共性要點在於“確權”、 “定價”、“可信” 、“管理”方向上。

  • 結合推演邏輯,推理標準制定方向。 在融合“資料二十條”找尋的共性中,不能摒棄掉之前已形成資料分類分級基礎沉澱,應以國家 頒佈 相關標準(如:《資料安全法》第21、25、27、30、31條;《網路安全法》第27、37條 ;《重要資料識別指南(徵求意見稿)》對重要資料的分類;《網路安全等級保護定級指南》第4.2條;《網路安全標準實踐指南——網路資料分類分級指引》等)為基礎,去疊加融合“資料二十條”共性要點,透過上述的推演,建議在此處可首先融合“管理”與“確權”(即:《資料分類分級管理要求》、《資料分類分級確權要求》),因為,“管理”層面之前的標準更多強調對資料的共性管理,當基於資料分類分級時,就應更多強調對特性的管理;確權層面一直缺少可助推國家建立合理標準的可行指引。因此,基於當前國家標準現狀在 “管理”、“確權”將成為下一步的可能方向點。

  • 基於確定的標準方向,構思融合方法。

    1. 《資料分類分級管理要求》。之前對資料的管理,主要強調對資料的共性管理,當以資料分類分級為基礎時,就應圍繞資料分類、資料分級強調對特性的管理,具有層次結構。如:資料分類劃分的行業,哪些為關基行業、哪些為非關基行業、哪些為與國家經濟命脈相關行業等,對不同的分類應實行不同的對資料管理要求(如:在組織結構、人員能力、戰略規劃、資料技術、資料流動、資料脫敏、資料加密等進行逐層考慮);


    2. 《資料分類分級確權要求》。從資料流動性的角度來看,越高別的資料反倒在確權上越變得容易(即:越高別的資料流動條件越多,牽扯外延關聯越少)。因此,基於資料分類分級的確權應是一種逆向思維模式,並按照三大類(即:公共資料、企業資料、個人資料)進行劃分,這三類都可進行獨立推演及制定要求,並運用產權分置執行機制、結合洛克財產權勞動論賦予的生命力及相關法律標準進行展開。


三、重要資料識別側:以《重要資料識別指南(徵求意見稿)》核心思想為出發點,量化重要資料識別核心要點


《重要資料識別指南(徵求意見稿)》(以下簡稱“此指南”)量化的維度並不是對國家安全系統進行分類,而是更多的關注在可能產生的影響角度進行的描述與細分。此指南從聚焦安全影響、突出保護重點、銜接既有規定、綜合考慮風險、定量定性結合、以及動態識別複評為六大核心原則。具體如下:


  • 如何理解重要資料定義? 此指南定義:以電子方式存在的,一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能危害國家安全、公共利益的資料。

    關鍵詞 /KEYWORDS:電子方式  危害  安全

    實際可以透過兩個維度進行重要資料定義詮釋: 一是什麼為資料、二是在界定的資料中如何尋找重要資料。

    1.  什麼是資料? 透過此指南定義前半句可以看出(即:以電子方式存在的),只要以電子方式存在的即為資料,但這裡的資料實際即包含了一般資料、重要資料,也包含了核心資料等,實際是一個比較寬泛的範圍,這就衍生出如何界定重要資料。

    2.  如何在資料中界定重要資料? 這裡可對應到本文在思想側所提到 “更多關注可能產生的影響” 角度。再回到此指南定的後半句(即:一旦遭到篡改、破壞、洩露或者非法獲取、非法利用,可能危害國家安全、公共利益的資料)。在資料中尋找重要資料需要觀察資料重要程度、資料關聯因素、資料影響範圍、定性及定量等。(注:資料是否為國家關鍵資訊基礎設施資料、資料是否與國家關鍵基礎設施進行關聯、資料天生是否與國家安全相關(即:天生影響因子數就很高,並與國家安全、社會穩定、公共健康、經濟執行等強相關)、資料透過量變是否達到質變(即:天生影響因子數並不高,單獨存在並非為重要資料,但持續的單獨資料進行積累匯聚,當資料達到一定量級發生洩漏、破壞後會影響到國家安全、社會穩定時可能變為重要資料))。


  • 如何識別重要資料? 文基於此指南從資料流動側、安全風險影響側進行回答。


  • 1.   重要資料是否可以進行資料流動(資料流動側)?從釋放資料價值角度進行考量,本文認為無論是什麼樣的資料都需要進行資料流動(即:資料流動是釋放資料價值的必要手段),只不過不同等級資料流動的方式不同,有些可以是“無序”的資料流動、有些需要是“有序”的資料流動。相對一般資料來講,重要資料就需要建立在有序流動的基礎上進行釋放資料價值,安全能力防護上需要滿足高安全防護能力等級(如:等保2.0的3級以上標準),引入資料分類分級保護制度,透過對資料的分級明確安全保護重點,使資料分級和資料流動進行關聯。因此,資料是在高安全防護等級標準中進行有序流動的資料,根據對映的國家安全影響情況可納入重要資料範疇。


  • 2.  重要資料遭受破壞會造成哪些影響(安全風險影響側)? 重要資料安全影響側要 規避本位思考侷限性 ,更多上升到國家安全層面(即:組織自身的重要或敏感資料不屬於此指南的重要資料;重要資料要從國家安全、經濟執行、社會穩定、公共健康影響範圍角度進行識別)。此指南對如下相關場景包含的重要資料進行舉例:戰略物資產能、儲備量;反映關鍵資訊基礎設施網路安全方案、系統配置資訊、核心軟硬體設計資訊、系統拓撲、應急預案等情況的資料;描述出口管制物項的設計原理、工藝流程、製作方法等的資訊以及原始碼、積體電路布圖、技術方案、重要引數、實驗資料、檢測報告;反映重點安保單位、重要生產企業、國家重要資產(如鐵路、輸油管道)的施工圖、內部結構、安防等情況的資料,以及未公開的專用公路、未公開的機場等的資訊;未公開的水情資訊、水文觀測資料、氣象觀測資料、環保監測資料;以及描述與國防、國家安全相關的智慧財產權的資料等。


四、實施目標側:以“安全保護”為資料分類分級的共性目標

從資料分類與資料分級的概念角度出發,資料分級主要是針對適用於安全保障目標場景中以及對應監管保護標準,資料分級實際是支撐監管體系下的一種資料分類。資料分類實際是為了資料的保護進行的資料分級。以安全保護為目標的資料分類與資料分級就變成從屬關係,因此,資料分類與資料分級規範體系均擔負保障資料安全的目標。具體目標如下:


  • 資料流動安全目標;

  • 資料隱私保護目標;

  • 公共資料授權目標;

  • 資料權屬保護目標;

  • 資料安全可信目標;

  • 資料針對性管理目標;

    ……



總 結


本文以《資料安全法》第二十一條 要求為出發點,整體按照合規解讀、實施指南、法律關聯三個方面進行展開,在合規解讀側,從本條對映出的核心目的、中央與地方職責、中央與地方的關係、資料分類、資料分級、分類與分級的關係、我國資料分類分級現狀、合規義務轉化、重要資料、國外現狀角度進行探究與分析;在實施指南側,從政策的演化、標準的實施方向、重要資料識別、分類與分級的共性目標進行探究分析;並在法律關聯側將我國當前的法律法規、標準、指南與本條有對映關係的條款進行量化。




法律關聯


  • 本條與《網路安全法》第21、31、37條進行關聯;

  • 本條與《網路 安全 等級保護基本要求》強調的等級保護物件受到侵害後對客體造成的 損害程度進行關聯——即: 一般 損害、嚴重損害、特別嚴重損害;

  • 本條與《網路安全標準實踐指南——網路數 據分類分級指引》強調的資料遭到篡改、破壞後所造成的不同危害程度進行關聯——即: 嚴重影響、輕微影響、重大負面影響、輕微受損等;

  • 本條與《基於電信企業資料分類分級辦法》進行關聯;

  • 本條與《關鍵資訊基礎設施安全保護條例》強調的某些運營和管理關係到國家安全、國計民生、公共利益的網路設施和資訊系統屬於關鍵資訊基礎設施運營者進行關聯;

  • 本條與《網路資料安全管理條例(徵求意見稿)》第5、9、26條進行關聯;

  • 本條與《汽車資料安全管理若干規定(試行)》第3條進行關聯;

  • 本條與《資料出境安全評估辦法》強調的資料資源規模、範圍、種類、敏感程度、風險要點進行關聯

  • 本條與《資訊保安技術 資料分類分級規則(徵求意見稿)》進行關聯;

  • 本條與《證券期貨業資料安全風險防控 資料分類分級指引》進行關聯;

  • 本條與《證券期貨業資料分類分級指引》進行關聯;

  • 本條與《資訊保安技術 健康醫療資料安全指南》進行關聯;

  • 本條與《科學資料安全分類分級指南》進行關聯;

  • 本條與《網際網路資料中心技術及分級分類標準》進行關聯;

  • 本條與《資訊保安技術 個人資訊保安規範》進行關聯;

  • 本條與《國民經濟行業分類》進行關聯;

  • 本條與《資訊保安技術 公共及商用服務資訊系統 個人資訊保護指南》進行關聯;

  • 本條與《資訊科技 大資料 資料分類指南》進行關聯;

  • 本條與《公共信用資訊分類與編碼規範》進行關聯;

  • 本條與《資訊保安技術 網路安全事件分類分級指南》進行關聯;

  • 本條與《資訊保安技術 資訊保安事件分類分級指南》進行關聯;

  • 本條與《資訊保安技術 網路安全漏洞分類分級指南》進行關聯;

  • 本條與《資訊保安技術 重要資料識別指南》進行關聯;

  • 本條與《資訊保安技術 公共資料開放安全要求》進行關聯;


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69973247/viewspace-2951799/,如需轉載,請註明出處,否則將追究法律責任。

相關文章