《中华人民共和国数据安全法(草案)》公开征求意见:数据分级分类正式入法
2020-08-13陈兴跃
陈兴跃
一、数据安全立法恰逢其时
人类社会已经迈入数字经济时代,数据在社会经济中的重要性越来越凸显。数据是新的生产要素,是国家基础性和战略性资源。数据安全问题影响国家发展与安全,关系公众利益,也与公民个人权益密切相关,需要在法律层面对数据的安全保护作出规范。
数据作为特殊的生产资料和市场要素,其价值体现需要经过数据的流动,即对数据的流转、分享、加工和使用,数据在流动的过程中被交易、加工和使用,数据价值由此得以体现,并且随着数据的加工和使用,数据价值将被不断挖掘和放大。
2020年6月28日,《中华人民共和国数据安全法(草案)》(以下简称“《数据安全法(草案)》”)初次提请十三届全国人大常委会第二十次会议审议。7月3日,《数据安全法(草案)》在中国人大网公布,公开征求意见。《数据安全法(草案)》中体现了维护数据安全和促进数据开发利用并重的立法思想,这也体现了对数据要素内在特性的科学认知。数据安全是数据产业健康发展前提和基本保障,既要避免过于僵化的“一管就死”,数据丧失了流动性就无法产生价值,也就无法发挥市场要素的作用,也要避免盲目的“一放就乱”,对数据不进行分级分类,缺失针对性的管理制度与技术手段而导致巨大的安全风险。在《数据安全法(草案)》中首次对数据的分级分类保护做出明确要求,这对于指导和落实数据安全保护工作具有重要意义。
二、如何实施数据分级分类
针对数据要素充分发挥价值必须要流动这一特性,需要在数据采集、数据传输、数据存储、数据处理(包括清洗、计算、分析、可视化等)、数据交换、数据销毁等数据全生命周期中关注并切实落实安全保障。数据的分级分类管理是实施数据全生命周期安全保护的重要基础。只有在科学、规范的分级分类管理基础上,才能够有效地平衡数据的安全要求与使用需求,才能够较好地实现数据的风险管理成本与利用效益的平衡,从而为数据产业的快速健康、可持续发展奠定坚实基础。
接下来,探讨数据分级分类的基本方法。
《数据安全法(草案)》第十九条明确了数据分级分类的基本标准:
① 数据在经济社会发展中的重要程度;
② 数据在遭到篡改、破坏、泄露或者非法获取、非法利用后造成的危害程度。
数据分类主要依据是根据“关系”,从业务角度出发,在组织(企事业单位、政府部门等)理清数据家底后,理解数据的本质、属性、权属及其相关关系,清晰了解各个数据是如何被使用的,明确哪些数据属于哪个业务范畴,也就是类别。数据分类是按照数据资产管理形式,对数据进行划分。数据分类常用的维度有:监管与合规、业务体系、功能单元、项目等。分类的覆盖范围需要与业务范畴相一致。分类的颗粒度要适合,不能太粗放而导致部分数据不能准确归类,因而达不到精细管理的要求,也不能过于细微而导致出现无数据可进行归类的情况,另外,分类还有考虑到业务的发展性,能够进行扩展或兼容未来的新数据。
数据分级主要依据是根据“特征”,是从数据安全、隐私保护和合规要求的角度进行分级。常用的数据分级方法有:根据数据使用过程中的敏感程度对数据进行分级,例如根据数据泄露或被破坏所造成的影响范围、影响对象、影响程度来进行划分;根据数据的关键性程度对数据进行分级,例如根据数据对业务的重要程度进行划分;根据数据的司法管辖要求对数据进行分级,依据国内外相关法律的要求进行划分,例如欧盟通用数据保护条例(GDPR,General Data Protection Regulation)对于任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均提出规范要求,我国对中国公民个人信息的跨境流动也做了规范要求。敏感程度不同的数据在内部使用时受到的保护策略不同,对外共享开放的程度也有差异。对于涉密数据,遵循国家相关法规标准进行分级和管理。
对数据分级要先梳理敏感数据域,在常见的梳理方法中,会将敏感数据域划分为公共敏感数据域(法律角度)、行业敏感数据域(行业规范角度)、组织敏感数据域(内部规范角度)。公共敏感数据域和行业敏感数据域的定义可参考相关法规和标准,对组织敏感数据域的梳理工作就需要依靠参与人员对业务系统的理解,如果已经具备了元数据(Metadata)管理的工作基础与能力,这将大幅度提升敏感数据域梳理工作的效率和准确性。
数据分级分类覆盖的数据范围包括:结构化数据(例如数据库)、非结构化数据(例如文档、电子邮件、图片、声音、影像等)、半结构化数据(例如日志文件、XML文档、JSON文档、Email等),在物理形态上包括电子化数据和非电子化数据。本文主要针对电子化数据。
数据分级分类工作的主要实施步骤:
1. 确定数据管理责任。
2. 创建数据分类清单。
3. 定义数据分级标准。
4. 评估数据安全风险。
5. 制定分级控制策略。
6. 建立数据分级目录。
7. 启动安全控制措施。
8. 持续监控和运营维护。
数据分级分类管理应当是一项持续性工作,可纳入数据及数据资产运营管理的范畴。随着数据量的增长、数据域的扩展,以及伴随着业务发展的数据使用场景和复杂度的增加,数据分级分类需按照业务发展需求和法规标准的要求进行适时调整。
需要特别指出的是,数据分级分类管理绝不只是为了满足合规需求,同时也是组织业务运营的要求。数据分级分类管理是提升组织自身信息化水平和业务运营能力的有效手段,契合组织业务特性的数据分类可以更好地将数据资产化,为组织业务发展提供精准、高效的数据能力支撑;同时数据分级明确了各个级别数据的使用范围、管理方式,以及不同级别的数据在不同场景采取何种安全策略,从而在数据安全角度为组织业务保驾护航。
三、结语
随着大数据技术的快速推广,并与云计算、物联网、5G等新技术融合发展,数据集中成为大趋势。数据集中伴随着安全风险的聚集,一方面,数据集中后数据本身的价值得到大幅度提升,不法分子有更大的潜在利益诱惑对数据进行泄露、盗取、篡改、破坏。
另一方面,对于集中的重要数据,如果由于管理制度不完善、技術手段薄弱、组织安全意识薄弱等内部因素而导致的数据泄露、损毁、丢失等事故,必将对关键系统与核心业务的稳定、安全运行产生巨大负面影响,并引发严重损失。而与国计民生、国家战略资源及核心能力等密切相关的数据资料或资产则关系到国家安全与发展。数据安全保护在个人生命财产与数字权益保护、社会组织机构网络安全保障、网络空间主权与国家安全这三个层面将扮演更重要的角色。
希望《中华人民共和国数据安全法》能顺利通过审议尽快颁布,大力强化全民数据安全保护意识,推动国家数据安全监管能力和企事业单位数据安全防护能力的提升,大幅减少个人信息、重要数据安全事件,为我国数字经济快速健康发展提供强有力的支撑!