11月14日,国家网信办发布《网络数据安全管理条例(征求意见稿)》(下称“征求意见稿”),该征求意见稿共计9章75条,以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法为依据,明确建立数据分类分级保护制度,并进一步细化了以大型互联网平台运营者为代表的数据处理者对重要数据和核心数据的保护要求,以及相关的网络安全审查情形,其征求意见的截止时间为2021年12月13日。

本文将聚焦条例征求意见稿中第四章“重要数据安全”部分相关要求,分享重要数据如何识别、数据分类分级管理的建议,以供企业参考。

一、条例征求意见稿明确了“重要数据”定义

征求意见稿提出,国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。

其中,国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。

此前在《数据安全法》第三章第二十一条中,原则性规定了数据分类分级的依据为:在经济社会发展中的重要程度和遭到篡改、泄露等情形时的危害程度。其中,“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据”被列为国家核心数据,但对于“重要数据”的范畴,数据安全法并未做出具体界定,因此条例征求意见稿在《网络安全法》《数据安全法》的基础上对其进行细化和进一步明确。

条例征求意见稿指出,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括未公开的政务数据、工作秘密、情报数据和执法司法数据;密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;国家基础设施、关键信息基础设施建设运行及其安全数据以及其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据等七大类。

二、“重要数据安全”相关规定重点提炼

条例征求意见稿总则第六条主要提出两点要求,其一,数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。其二,数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。

结合第二章“一般规定”与第四章“重要数据安全”具体来看,在数据安全技术层面,条例征求意见稿提到,数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护。

此外,条例征求意见稿特别提出,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。数据处理者还应当使用密码对重要数据和核心数据进行保护。

在履行数据安全保护义务接受监督层面,条例针对重要数据提出,各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。重要数据的处理者应当明确数据安全负责人,成立数据安全管理机构,并在识别重要数据后向相应的网信部门备案。此外还应当制定数据安全培训计划,组织开展每年一次的内部数据安全培训、数据安全评估等活动。

整体来看,条例征求意见稿体现出了国家当前趋严的数据安全监管思路,象征着一个数据安全强监管的时代正在到来。

三、建议和思考

在大家此前的固有认知中,重要数据通常掌握在工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域,集中于比如政府部门、重点行业企业、公共服务机构以及科研机构等单位。

但事实上,随着云计算、物联网、大数据等新兴互联网技术的发展,一些提供社会基础服务的互联网企业,如天气预报、地图导航等各类产品和服务的提供商可能也掌握着与国家安全密切相关的重要数据。因此,作为重要数据的处理者,企事业单位相关管理者也需要站在一个更多维的角度审视数据安全建设方案,以更立体的数据安全合规治理思路响应监管要求,完善数据安全管理制度和技术保护机制,在安全合规的基础上,保证数据有序流动,让数据持续创造价值。

笔者将基于数安行在数据安全领域的积累和实践,带来几点关于数据安全建设与治理的可行性建议。

一、众所周知,数据分类分级是数据使用、管理、保护和安全防护的基础,当然,也是当前数据安全防护中的难点和关键。一方面,数据分类分级是合规刚需,另一方面,分类分级将辅助企业建立重要数据资产目录清单,同时有利于相对应的动态防护体系的建立。因此企业应该建立严格的数据分类分级保护制度,构建对敏感数据资产的全类型识别及准确分类能力,梳理企业的敏感资产分布,制定重要数据目录,对数据实行分类分级保护,根据数据的重要程度制定不同的访问控制策略。

二、数据流动才能创造价值,应在数据运营流动的过程中进行安全防护,掌握敏感数据在收集、存储、使用、加工、传输、提供、公开等数据处理的各个环节的动向,才能及时捕捉、追溯并处置风险行为。企业应对敏感数据进行全流程自动标注跟踪,对用户使用敏感数据也进行标注跟踪,对异常应用敏感数据探测回传监控,使得敏感数据的状态变化及流转轨迹可以追溯,以便实时感知敏感数据的扩散及违规滥用风险。

三、数据运营过程中各个环节、各种数据角色操作的数据特点和重要程度有很大差异,因此安全防护不能“一刀切”,需要针对不同环境、数据角色及风险用户要采取不同的防护措施,加强风险监测,防止因为防护过重或者不灵活导致的业务流程中断等风险。采用包括零信任的安全沙箱、动态的存储隔离、流动数据的微隔离防护、敏感内容感知加密等等技术方式,实现基于用户角色和风险变化的自适应防护策略。

四、基于AI的方式对数据进行深度的识别,对于个人隐私、商业数据、政务数据的本体特征、行业特征、合规特征等不同的角度,结合着人工智能进行数据安全的风险建模,对于数据进行深度的识别和梳理,以数据为核心的主视角挖掘各种风险,对数据进行详细的梳理,对用户的私有数据进行自动的分类研判,精准发现数据安全事件,智能识别异常数据风险。

五、遵从数据分类分级保护制度,建立完善数据安全管理制度,包括建立数据安全应急处置机制,制定安全管理策略,定期开展风险评估,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。

(本文作者:北京数安行科技有限公司 郭灵)

声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。