数据分级分类方法及实践研究

2022-08-14张琼丽

技术与市场 2022年8期

关键词：分级分类数据安全分级

张琼丽，陈翼

(1.国家知识产权局专利局专利审查协作四川中心，四川成都 610000； 2.四川省计算机研究院，四川成都 610041)

0 引言

2021年9月1日起，《中华人民共和国数据安全法》(以下简称《数据安全法》)正式实施，数据安全法的出台是对当前数据安全内外部形势的积极回应，是护航数字经济发展的重要举措，开创了新时代数据安全治理的新局面[1]。

当下，面对大数据的洪流，数据安全问题如何应对，国家数据安全制度怎样布局，不仅关涉国家安全、公共安全、个人安全，也关系我国在全球新一轮信息技术变革中如何实现从跟跑、并跑到领跑的转变。

《数据安全法》中明确要求，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。一般地，将数据分为一般数据、重要数据和核心数据，不同级别的数据采取不同的保护措施。对个人信息和重要数据进行重点保护，对核心数据实行严格保护[2]。

为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定，规范网络数据处理活动，保护个人、组织在网络空间的合法权益，维护国家安全和公共利益，2021年11月，中央网信办起草《网络数据安全管理条例(征求意见稿)》，条例要求国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施[3]。

各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

数据处理者对所处理数据的安全负责，履行数据安全保护义务，接受政府和社会监督，承担社会责任；应当按照有关法律、行政法规的规定和国家标准的强制性要求，建立完善数据安全管理制度和技术保护机制。

国家推动公共数据开放、共享，促进数据开发利用，并依法对公共数据实施监督管理。

综上可知，数据分级分类是构建国家网络安全体系的重要抓手。在实际应用中，一方面要求推进数据共享，另一方面需要加强数据安全建设，因此，对数据分级分类而言，需要在安全和共享之间进行平衡，利用技术手段和管理制度，确保数据安全共享和利用。

1 数据分级分类的相关法规和规范

2020年2月工信部印发《工业数据分级分类指南(试行)》，将工业数据分为3个安全级别。2020年9月中国人民银行发布的JR/T0197-2020《金融数据安全数据安全分级指南》，给出了数据安全定级原则，将金融数据划分为5级。2020年12月工信部发布了YD/T3813-2020《基础电信企业数据分级分类方法》，规定了基础电信企业数据分类分级原则以及数据分类工作流程和方法[4]。

《数据安全法》明确提出在网络安全等级保护制度的基础上进行数据安全保护。等级保护2.0中根据对象的重要程度、受侵害的客体和对客体的侵害程度划分为5级，具体如表1所示。

表1 等级保护定级要素与等级的关系

等级保护的设计理念是对受保护的信息系统进行评估，从受到攻击以后的损失角度，尤其是对国计民生以及国家安全的危害程度，对现有的重要信息系统和关键基础设施进行评级，按照不同的等级进行保护。一般5级系统则属于涉密系统，需要纳入涉密系统的保护范畴。

在《数据安全法》出台之前，我国在关键领域已开展数据分级分类的探索和实践，数据分级分类已经具备较好的理论和实践基础，后续随着《数据安全法》的颁布实施，政府和各行业需要根据自身业务特点，制定符合自身发展需求的数据分级分类计数标准和管理规范。

2 数据分类分级的需求与解决思路

数据分类是把相同属性或特征的数据归集在一起，形成不同的类别，方便人们通过类别来对数据进行的查询、识别、管理、保护和使用。数据分类更多是从业务角度或数据管理的角度出发的，例如行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等，根据这些维度，将具有相同属性或特征的数据按照一定的原则和方法进行归类[5]。

数据分级是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度，按照一定的原则和方法进行定义。数据分级本质上就是数据敏感维度的数据分类。

2.1 数据分级分类的原则

科学性原则：应按照数据多维度特征和逻辑关联进行科学系统化的分类，且分类规则相对稳定，不宜经常变更。

适用性原则：不应设置无意义的类目或级别，分类分级结果应符合普遍认知。

灵活性原则：支持各部门在归集和共享数据前，应按照业务所需完成数据分类分级工作，分类之间不允许重复和交叉；同一级次分类的维度要统一，颗粒度要一致。

2.2 数据分类的方法

为帮助目标对象建立一套适用、科学的分类体系，需要对所有数据进行评估，如数据的价值、敏感数据的风险等主要包括以下内容。

关键性：数据对于目标对象的日常运营和业务的重要程度。

可用性：是否能够及时获取和访问所需数据，所访问的数据是否可靠。

敏感性：如果数据被泄露，对业务的潜在影响是什么。

完整性：数据在存储或传输过程中有无丢失或被篡改的情况，对业务的影响有多大。

合规性：按照法律法规和监管要求或行业标准数据需要存档或保留。

在对组织数据进行充分摸底后，根据数据管理和使用的要求，从业务出发进行类别的划分，根据政务数字化应用场景分为经济调节数据、市场监管数据、公共服务数据、社会管理数据、生态环境保护数据等；根据数据来源分为政府部门数据、企业法人数据、人口数据等。根据共享属性分为无条件共享数据、有条件共享数据、不予共享数据等。不同的组织、不同的业务场景，数据的分类方式就不同，为满足企业不同的业务需要，可能需要建立多套数据分类体系[6]。

从数据影响对象角度而言，可分为国家安全、公共利益、个人合法权益和组织合法权益，其描述如表2所示。从实践角度而言，影响国家安全的数据及系统一般属于涉密信息系统；影响公共利益一般属于党政机关提供的互联网服务的重要信息系统；影响个人合法权益的数据一般属于个人身份信息、信用信息等；影响组织合法权益的数据则一般属于企业商业秘密以及相关舆情数据等。