2021年9月1日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行,数据安全保护被国家提升到了重要高度。习近平总书记强调:“要切实保障国家数据安全。要加强关键信息基础设施安全保护,强化国家关键数据资源保护能力,增强数据安全预警和溯源能力。”《数据安全法》从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放多个方面对数据的保护与利用进行了总体布局和战略规划,从而有效规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。

一、《数据安全法》是国家整体安全观的重要组成

《国家安全法》第25条明确提出“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。《国家安全法》的描述明确了《数据安全法》并不仅是《网络安全法》的配套法律,是与《网络安全法》、《国家保密法》等一样作为国家整体安全观的组成部分。《网络安全法》关注网络空间与网络数据的保护,《数据安全法》与之相比更多关注数据本身的安全,包括国家重要数据的安全可控和数据驱动应用的安全管控,《数据安全法》不仅关注网络数据,还会关注更广范围的数据,关注数据权属关系、数据驱动带来的安全威胁等数据安全广义内涵,包括大家关注的个人隐私等非网络数据安全。《数据安全法》与《网络安全法》将在未来的国家网络空间安全产业发展中各有侧重,互相补充,共同构筑网络空间环境下的网络空间和数据安全。

二、数据分类分级是实施数据安全保护措施的前提条件

《数据安全法》第二十一条明确“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”因此,“重要数据”与数据分类分级保护制度息息相关。针对数据如何进行分类分级,如何制定重要数据目录,没有进一步提及。

“重要数据”的定义和范围清晰后,针对不同重要数据开展相对应的安全保护措施是下一步研究的重点。数据分类分级是实施数据安全保护措施的基础,是真正提出落地数据安全保护技术要求的基础。

三、“重要数据”的定义与范围

《网络安全法》中第一次提出了“重要数据”,而且不止一次。“重要数据”直接关系到等级保护与数据跨境传输两大制度,不可谓不重要,但在《网络安全法》却缺少相应的定义。

在《数据安全法》明确要求“加强对重要数据的保护”,提出重要数据目录的制定,给出了“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据”的定义,但没有对“重要数据”进行定义明确

2019年5月28日,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》中,明确给出“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”

2018 年 9 月,中央网络安全和信息化委员会办公室与工业和信息化部开展“个人信息和重要数据安全专项调查”,在中国互联网协会与之配合的《专项调查问题列表与答复》中将重要数据界定为:不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:

(1)地理、自然资源、重要物资储备等数据;

(2)基因、生物特征、 疾病等数据;

(3)宏观统计等重要经济数据;

(4)网络信息系统的缺陷、漏洞、防范措施等数据;

(5)人群导航位置、大型设备目标位置和移动数据;

(6)法律法规规定的其他重要数据。

2017年5月,信标委征求意见的《信息安全技术数据出境安全评估指南(征求意见稿)》(“评估指南”)中,将重要数据定义为:“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。”并且将政府信息公开渠道合法公开的数据,排除出重要数据的范围。评估指南还以附录的形式,列了非常详细的重要数据识别指南。

综上可得,“重要数据”在现行法律体系中地位重要,多次提及。尤其目前网络安全与数据安全领域,需要对“重要数据”采取增强措施,地位凸显。然而“重要数据”的正式定义始终没有明确。

四、“重要数据”的5点思考

1.重要数据是非涉密数据

通过调研与分析,可得重要数据是非涉密数据。因此,重要数据首先排除是国家秘密。

2.重要数据是属于数据分级范畴

重要数据这个概念因为数据分类分级保护制度而来,重要数据应该是“数据分级”的一个重要概念,而不把它归在“数据分类”范畴。在《数据安全法》中一起出现的还包括核心数据,“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”

3.重要数据目录制定要从各部门各行业着手

《数据安全法》提出重要数据目录要国家数据安全工作协调机制统筹协调有关部门制定。而数据本身具有和业务强耦合的特点,因此数据分类分级和重要数据目录必然要从具体部门和行业从下而上细化。国家数据安全工作协调机制统筹协调,制定管理办法和实施方案,明确重要数据目录制定工作任务和方法,由具体部门与行业落实。

4.关键信息基础设施运营的重要数据是重要数据的一方面

《数据安全法》第三十一条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。

首先,明确了关键信息基础设施是重要数据来源。其次,针对重要数据出境提出明确管理要求,包括《网络安全法》中的针对关基的数据出境评估和其他数据处理者重要数据出境安全管理办法。

5.个人数据、敏感个人数据和重要数据的关系

《网络安全法》第三十七条指出关基运营者境内产生的个人信息和重要数据应当在境内存储。

《个人信息保护法》第四条明确给了个人信息的定义:“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。”

个人数据和个人敏感数据在《深圳特区数据条例》中有明确定义,个人数据其含义与个人信息相同,并包括敏感个人数据。重要数据和个人数据、敏感个人数据没有明确关系。

个人数据,是指载有可识别特定自然人信息的数据,不包括匿名化处理后的数据。

敏感个人数据,是指一旦泄露、非法提供或者滥用,可能导致自然人受到歧视或者人身、财产安全受到严重危害的个人数据,具体范围依照法律、行政法规的规定确定。

从以上的描述中可见,重要数据应该作为非个人数据的另外一个维度对待。

声明:本文来自路云天网络安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。