2021年结束了,年底回忆了一下这一年来自己做了些什么,印象最深的应该就是数据安全这个词。2021可以看做是我国数据安全真正意义上的元年,从目前的法律法规和监管要求来看,主要包括数据分类分级、重要数据、数据生命周期安全以及数据跨境几个领域,个人信息保护除了重要数据外,其他三个领域都是包含的关系。当然,数据大类还包括一般数据、核心数据,本文仅对当前的重要数据识别问题做一个简要分析,暂不讨论其他数据类别,文末会简要进行说明其之间的区别。由于当前国家还未正式给出定义(大多标准都是征求意见稿阶段),这里只是个人的一些想法,仅供参考。
2017年《中华人民共和国网络安全法》(以下简称“《网安法》”)第三十七条首次提出了“重要数据”的概念。随后,全国信息安全标准化技术委员会发布《信息安全技术 数据出境安全评估指南(草案)》(以下简称“《出境指南》”)中的附录A“重要数据识别指南”按照行业领域对重要数据进行了划分,但是该指南最终并未生效。2019年,《数据安全管理办法(征求意见稿)》(以下简称“《数安办法》”)依据《网安法》的要求,界定了“重要数据”的范围并制定相关数据安全保护工作规范。2020年,《网络安全审查办法》将“重要数据被窃取、泄露、毁损的风险”纳入对网络安全审查重点评估的“采购网络产品和服务可能带来的国家安全风险”中进行规制。
2021年《中华人民共和国数据安全法》(以下简称“《数安法》”)出台,虽然也未对重要数据的概念进行界定,但是在《网安法》的基础上提出了国家建立数据分类分级保护制度,各地区、各部门确定重要数据具体目录,并强调对列入的数据进行重点保护。
随后出台的《信息安全技术 重要数据识别指南(征求意见稿)》(以下简称“《识别指南》”),对重要数据的定义及范围、识别原则、识别流程进行了明确规定。
2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(以下简称“《条例》”),对我国的网络数据安全与个人信息保护进行了细化和补充。2022年1月7日,根据全国信息安全标准化技术委员会秘书处的工作安排,标准起草组对《重要数据识别指南》(征求意见稿)作了修改。本次修改后,标准内容发生重大变化,并披露了修改思路(来自公众号:小贝说安全)。本次修改取消了对重要数据的“特征”说明,因为这些特征依然不可避免地涉及行业分类,对各地方、各部门制定部门、本行业以及本系统、本领域的重要数据识别细则带来了不必要的约束。标准编制组进一步调研了全球其他国家在网络安全、数据安全领域制定类似标准的情况,并选择了美国制定的《国家安全系统识别指南》作为参照。重要数据的立法发展动态详见图1。
图1 重要数据的立法历程
回顾重要数据概念的演进过程,也可以窥见我国对重要数据不断深入的理解和重视。2017年,《出境指南》将“重要数据”定义为“与国家安全、经济发展以及公共利益密切相关的数据”,此后《数安办法》《识别指南》等规定将影响分析这一要素直接加入定义之中,明确了重要数据认定的主要标准之一是对于可能造成的损害结果。《条例》延续了这一立法思路,将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”在适用主体上,2017年的《出境指南》将涉及的主体限定为“组织、机构和个人”,而《条例》删除了这一限制,扩大了适用主体范围。这与当前施行的网络安全等级保护制度基本一致。
1.2017年4月《个人信息和重要数据出境安全评估办法(征求意见稿)》对重要数据定义如下:
重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。
2.2017年5月,在信标委征求意见的《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南》”)中,将重要数据定义为:
相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。
并且将政府信息公开渠道合法公开的数据,排除在重要数据的范围之外。《评估指南》还以附录的形式,列了非常详细的重要数据识别指南。
重要数据:与国家安全、经济发展,以及社会公共利益密切相关的数据。
3.2018年9月,中央网络安全和信息化委员会办公室、工业和信息化部开展“个人信息和重要数据安全专项调查”,在中国互联网协会的《专项调查问题列表与答复》中,重要数据是指:
不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:
(1)地理、自然资源、重要物资储备等数据;
(2)基因、生物特征、疾病等数据;
(3)宏观统计等重要经济数据;
(4)网络信息系统的缺陷、漏洞、防范措施等数据;
(5)人群导航位置、大型设备目标位置和移动数据;
(6)法律法规规定的其他重要数据。
较之于《评估指南》中事无巨细的27大类,答复只分了6大类,缩小了重要数据的范围。但《答复》并非正式的法律文件,不具有法律效力,只是提供了未来重要数据划定范围的一个趋势。
4.2019年5月28日,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》中,明确定义:
重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。
5.2020年9月23日,《重要数据识别指南(征求意见稿)》发布。该标准由全国信息安全标准化技术委员会提出并归口,《指南》提出了重要数据的特征,并明确从国家的角度对重要数据进行分类,主要为我国数据安全防护工作提供重要支撑。其对重要数据的定义如下:
一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。(《中华人民共和国保守国家密码法》 第二条)
其中明确说明国家秘密和个人信息不属于重要数据,单基于海量个人信息形成的统计数据、衍生数据可能属于重要数据,那么这个海量是多少?根据《条例》第二十六条:
数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。
可以初步判定,这个海量可以看成是一百万起步的个人信息数据集或衍生数据集。
有关《重要数据识别指南(征求意见稿)》我之前有写过简要的解读,这里直接复制一下,便于查看。
(1)重要数据识别原则
识别重要数据的基本原则包括:聚焦安全影响、促进数据流动、衔接既有规定、综合考虑风险、定量定性结合、动态识别复查。
图2 重要数据的6项识别原则
图3 重要数据特征分为8大类
(2)重要数据特征分类
经济运行相关:粮食、物资、能源储备数据;工控、研发、重要装备数据;核心业务数据(CI)、供应链数据、统计结果(公布前)、原始统计数据。
人口健康相关:医疗健康、诊疗与简况管理信息、疫情管理信息、药品实验数据、医疗器械实验数据、食品药品安全数据(含重大事件信息)。
自然资源相关:地图数据、导航数据、特殊测绘数据、重点目标地理信息;未公开重点目标地理信息、水情信息、水利工程信息、地震预报信息、地震灾害信息、气象观测信息;环保检测数据、环境影响数据、海底地形、海洋水文、海洋气象、领海内温盐、水声、底质、潮汐实测数据。
科学技术相关:国家出口管制清单物品的详细资料,国防、国安相关特殊知识产权,重大发明发现、国家科技计划。
安全保护相关:
重要场所与目标的施工图、内部结构等数据,安保装备详细信息、安保部署数据,危化品数据;关基网络安全防护信息、规划建设信息、运行维护数据;未公开漏洞与关基重大事件信息,应急通信数据;网络安全重大发现和研究成果、无线电数据。
应用服务相关:
用户委托数据、用户使用数据。
政务活动相关:
国家机关产生的数据,公民企业上报数据。
(3)重要数据识别流程
梳理数据资产—判断安全影响—识别重要数据—审核重要数据—形成目录。
图4 重要数据识别流程
最后是重要数据的记录和描述方法
6.2020年9月,《金融数据安全数据安全分级指南》实施,5级数据特征如下:
重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。
表2 数据安全定级规则参考表
此外,还在附录中对重要数据进行了解释,同时在附录C给出了重要数据定义:
重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。
附录C 重要数据定义
重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成以下后果:
——危害国家安全、国防利益,破坏国际关系。
——损害国家财产、社会公共利益和个人合法利益。
——影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等。
——影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为。
——干扰政府部门依法开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责。 ——危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全。
——影响或危害国家经济秩序和金融安全。
——可分析出国家秘密或敏感信息。
——影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其他国家安全事项。 (部分定义略)
不过《数据安全分级指南》只是行业推荐性标准,目前并不具备权威性,只能作为参考。而且,根据2022年《重要数据识别指南》(征求意见稿)的最新修改来看,重要数据特征很大可能将被去除,这样一来,《数据安全分级指南》的参考价值将失去意义。
7.2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》,对重要数据定义如下:
指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
同样的,这里《条例》对重要数据定义了“特征”,这与最新的《识别指南》冲突,不排除后续会对《条例》进行修改的可能。
《数安法》提出国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。《条例》延续了《数安法》的数据分级分类保护制度,并在此基础上依照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据三类。《条例》根据《数安法》的要求,明确不同级别的数据采取不同标准的保护措施,对个人信息和重要数据进行重点保护,对核心数据实行严格保护。根据《条例》第七十四条,“涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。”因此,核心数据应当适用与重要数据不同且更为严格的保护措施,这里不再展开讨论。(这里的核心数据与企业平常所说的业务核心数据是不同的概念)
重要数据是否包含个人信息
个人信息和重要数据的关系是一个被持续关注的话题。2019年《数安办法》没有将企业生产经营和内部管理信息、个人信息纳入到重要数据范围内。2020年出台的《识别指南》也是类似的做法,但是同时又提出基于海量个人信息形成的统计数据、衍生数据还是可能会属于重要数据。因此可以理解为,个人信息本身并不是重要数据,但基于海量个人信息的数据集、部分特定的个人信息(重要人物个人信息)可能被认定为重要数据。从这一角度而言,重要数据与个人信息并非完全无关。虽然《条例》将“个人信息”与“重要数据”分别专章规定实行重点保护,但是《条例》第二十六条规定了二者存在交叉时的适用规则。数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。因此,如果处理一百万以上个人信息,数据处理者在遵守个人信息保护规则以外,还应当对其加以与重要数据相同的保护措施并履行相应义务。
重要数据这个概念,现在说法不一,有的说是中国特有的概念,也有说国外早就有类似的概念。不过,从目前国外媒体的关注来看,个人更倾向前者的观点。查找了国外一些主要的数据保护规定,都没有相关定义(包括Wiki),而且外媒的各类报道中都是用important data这个词来表述重要数据,这在wiki以及各咨询公司都没有过类似定义解释。国外定义的所谓“重要数据”和我国法律法规中所说的“重要数据”概念还存在一定差异。
图5 外媒关于《数安法》的报道
汇总一下国内现有的关于重要数据定义,见下表所示:
法律法规名称 | 重要数据定义 |
《个人信息和重要数据出境安全评估办法(征求意见稿)》 | 是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。 |
《数据出境安全评估指南(征求意见稿)》 | 相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据。(与国家安全、经济发展,以及社会公共利益密切相关的数据。) |
《专项调查问题列表与答复》 | 不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括: (1)地理、自然资源、重要物资储备等数据; (2)基因、生物特征、疾病等数据; (3)宏观统计等重要经济数据; (4)网络信息系统的缺陷、漏洞、防范措施等数据; (5)人群导航位置、大型设备目标位置和移动数据; (6)法律法规规定的其他重要数据。 |
《数据安全管理办法(征求意见稿)》 | 是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。 |
《重要数据识别指南(征求意见稿)》 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 |
《金融数据安全 数据安全分级指南》 | 重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成以下后果(见上文)。 |
《网络数据安全管理条例(征求意见稿)》 | 指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(见上文) |
根据《识别指南》最新修订方向,那么可以将特征从定义中排除,剩下值得我们参考的就只有《个人信息和重要数据出境安全评估办法(征求意见稿)》《数据出境安全评估指南(征求意见稿)》《数据安全管理办法(征求意见稿)》和《重要数据识别指南(征求意见稿)》。首先,其定义均以数据遭受破坏(篡改、破坏、泄露)后,对不同客体造成的影响程度。与等级保护制度相识,包括国家安全、社会稳定和公共利益、组织机构和个人(这里没使用公民,是考虑非中国公民在我国境内产生的个人信息数据也应被保护)的利益。其次,明确表示国家秘密、个人信息(非海量数据集、一般个人)不属于重要数据。最后,国家对重要数据不做特征限定,由各行业各地方制定行业性或区域性的识别方法。这不代表重要数据就完全摒除特征限定,可能在个别行业和地区根据特定因素自行定义。
因此,根据现有定义标准,可以归纳出,重要数据的定义大概是这样:
一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共秩序和利益的数据。(注:重要数据不包括国家秘密、核心数据和个人信息)
最后,重要数据识别工作并非仅由监管部门或企业单独负责,这应该是一项自上而下,而后自下而上的工作,即国家和行业监管部门负责明确定义,给定识别方法,各企业自行识别后上报监管审核,列入重要数据目录。