地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
数据分类分级基本规则探究
一、前言
2020年3月,中共中央国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,首次将“数据”纳入生产要素之一,并将之与土地、劳动力、资本、技术并列为先进生产力五大要素。
随着大数据时代的日益发展,我国数据整体规模已经达到一个非常惊人的数字。在第四届数字中国建设峰会主论坛上发布的《国家数据资源调查报告(2020)》显示[注1]:
2019年,我国数据产量总规模为3.9ZB,已占全球数据总产量(42ZB)的9.3%
截至2020年年底,我国各级地方政府共上线142个数据开放平台,共开放有效数据集98558个,省级开放平台达到20个。
2019年,我国行业机构数据产量达到3ZB,占全国数据总产量的76.9%,个人数据产量占比为23.1%。近三年,行业机构数据产量占比逐年提升。
面对如此巨大的数据规模,如何在确保数据从收集到删除的全生命周期内高效应用的同时,全面保障数据安全和合规,成为了数据处理主体的核心命题。在数据合规体系中,对数据处理主体获得、产生以及衍生的数据进行分类和分级管理,是不可或缺的合规要素之一。
二、数据分类分级沿革
(一)地方标准
政务数据,是我国体量较大、应用较早、数据安全级别很高的数据类别。截至2020年年底,国家政务服务平台已经陆续接入地方政府500多万项政务服务事项和1.1万项便民服务应用。从用户规模看,截至2020年12月,全国一体化政务服务平台实名用户数达到8.1亿[注2]。政府部门在数据分类分级体系建立方面可谓高瞻远瞩。
早在2016年开始,贵州省质量技术监督局发布《政府数据分类分级指南》(DB 52/T1123-2016),作为贵州省政府数据进行数据分类和分级顶层标准,用于指导政府部门对于数据价值的开发利用以及数据开放和共享的策略制定,可谓国内数据分类分级标准制定的“先驱者”。
其后,内蒙古自治区、北京、上海、重庆、浙江等地,在2021年《数据安全法》颁布前后,陆续发布了有关政务数据、公共数据分类分级的地方标准,为各地政府部门的数据合规,乃至企业的数据分类分级策略给出了更多维度、更多细节的有益指引和参考。
(二)行业标准
如上文数据所显,全国数据总量中,行业机构的数据产量占比较大,且随着趋逐年递增之势。部分信息化程度起点较高、数据沉淀量较大的行业,在有关部门的指导下,也较早地开始尝试建立有关数据分类分级的行业标准。
中国证券监督管理委员会早在2018年9月就发布《证券期货业数据分类分级指引》,结合行业特点提出一种从业务到数据逐级划分的数据分类分级方法,同时提供数据分类分级管理的相关建议,为后续的法律制度和以及各行业数据分类分级体系的建立,提供了有益的参考。
2020年期间,各行业领域的数据分类分级标准建立更是迎来了“爆发增长”,如工信部办公厅发布的《《工业数据分类分级指南》(工信厅信发〔2020〕6号)、国家市监总局及国标委联合发布的《信息技术 大数据 数据分类指南》(GB/T 38667-2020)(以下简称“《大数据指南》”)、中国人民银行发布的《金融数据安全 数据安全分级指南》(JR/T 0197-2020)(以下简称“《金融数据指南》”)以及国家质检总局和国标委联合发布的《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)(以下简称“《医疗数据指南》”)等等。而《数据安全法》颁布后,电信、汽车等行业相关部门也紧跟立法脚步,陆续发布了其行业领域数据分类分级的标准指导文件,可谓百家争鸣,各显神通。
2021年12月,全国信息安标准化技术委员会发布《网络安全标准实践指南—网络数据分类分级指引》(以下简称“《网络数据指引》”),在立法和政策标准基础上,给出了较为完整的网络数据分类级原则、框架和方法,可谓数据分类分级指导性文件的集大成者。
(三)立法标准
1.《网络安全法》
《网络安全法》于2016年的颁布和实施,从某一层面讲,是数据合规体系建设的“发令枪”和纲领性文件。作为数据立法“三驾马车”(另两部为“《个人信息保护法》”以及“《数据安全法》”)之首,《网络安全法》早已通过法律的形式,在第21条规定中明确将“数据分类”作为网络安全保护法定义务之一。但可能是由于体系和表述上的原因,2016年的《网络安全法》并未提及数据“分级”的概念,也未对数据分类分级的标准或原则进行具化规定。
2.《数据安全法》
2021年6月,《数据安全法》颁布,同年9月1日正式生效实施。无独有偶,《数据安全法》同样是在第21条以“数据安全”的角度,再次具体确立了“数据分类分级保护制度”及其基本原则,包括:
(1)数据的分类分级保护策略,应当参考两个方面实行,包括:
① 数据经济社会发展中的重要程度,以及
② 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,而对国家安全、公共利益或者个人、组织合法权益造成的危害程度
(2) 加强对重要数据的保护。其中:
① 国家数据安全工作协调机制统筹协调有关部门制定重要数据目录;
② 各地区、各部门应当确定本地区、本部门以及相关行业、领域的重要数据具体目录
③ 对列入目录的数据进行重点保护。
(3)定义了“国家核心数据”为:关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。并对“国家核心数据”实行(相较重要数据)更加严格的管理制度。
至此,《数据安全法》在法律层面确立了数据分类分级管理划分“国家核心数据”、“重要数据”以及“一般数据”的核心原则。相关部门、行业数据也均会遵照这一原则来制定和实施具体的分类分级规则或标准。
三、数据分类分级要点
(一)数据分类要点
1.数据分类的目的
首先,数据分类是开展数据管理的基础。
所谓“大数据”,除了体量巨大外,也包括其类别的庞杂。如果我们的数据处于“剪不断、理还乱”的“混沌”状态,谈数据合规管理无异于“空中楼阁”。如同整理家务或办公文件一般,我们要对生产、管理、经营等过程中收集和产生的大体量、多类别的混杂数据进行有效管理,就需要先了解我们所控制或持有哪些数据,然后按照一定方法,以及自己所需的颗粒度等标准,将原本“杂乱”的数据进行“区块化”分层分区并贴上相应标签,以便在数据进行管理、使用时能够高效、准确的调用所需类别下的具体数据内容。
其次,数据分类管理是数据分级保护的前提。
对数据的分级保护实施,应当以充分了解所持数据为前提。而充分有效了解数据,则以良好的数据分类实践为前提。数据处理者对数据使用和管理前,应当首先对照自身的业务需求和技术能力,也可同时参照行业或国家推荐的相关标准对数据进行分类和标签化,从而确保业务过程中的各项数据处理环节更为高效准确,同时保障分级保护的措施真正落到实处。
2.数据分类维度的考量因素
确定与数据处理者相适应的数据分类维度,是数据分类最为核心的步骤。数据处理者可以通过面分法、线分法以及相结合的混合分类方法“打包”数据,但并不限定于选取单一维度进行分类,数据处理者可以选择在多种不同维度下建立不同场景中数据管理所需颗粒度的数据集,为后续管理和安全保护工作的实施提供便利。国家及行业出台的相关标准,为数据处理者确定数据分类维度提出了良好的实践参考。
《网络数据指引》以面分法为主,将数据按照公民个人维度、公共管理维度、信息传播维度、行业领域维度以及组织经营维度等五个维度指导分类。对于面分维度的数据,还可以分别以线分法进行具化分类,如将个人信息按照自然人特征进行分类,如身份信息、健康信息、财产信息等;对于行业领域维度的数据,存在行业(如工业、金融、医疗、汽车等)出台的相关指导标准的,可参照该标准进行细分,没有行业标准的,可以在组织经营维度下细分为用户数据、业务数据、经营管理数据、系统运行和安全数据等。
而《大数据指南》则是从技术选型、业务应用和安全隐私保护三个视角提出了不同的分类维度,在根据每一维度的分类要素、数据类别和使用场景给出具体的分类方法,指导大数据处理者进行有效的数据分类。
这里要注意的是,目前出台的不同业态下的数据分类标准,仍属于指导性框架或良好实践的参考,而非强制性适用,数据处理者仍然应当以满足《网络安全法》、《数据安全法》及《个人信息保护法》等法律法规的要求为出发点,以数据管理和保护的实际效果为考量,建立符合合规要求和自身需求的数据分类方法。
(二)数据分级要点
1.数据分级的就高原则
在完成数据分类后,数据处理者应当遵循数据分级的基本原则,制定个性化的数据分级保护策略。数据分级的基本原则中有一项十分重要的原则,称为“就高原则”,是指在分类后的数据集中包含不同级别数据,且无法精细化管控时,应当按照其中级别最高的要求实施定级和保护。这一原则是数据处理者在对数据进行定级分级,确保数据安全所必须要遵循的方向。
2.数据分级规则框架
如前文所述,《数据安全法》按照数据的重要程度,以及一旦遭到破坏或非法行为导致损害的危害程度两个方面,将数据从高至低分级为国家核心数据、重要数据以及一般数据(即泛指非归入前两类数据的其他数据)。
在此基础上,《网络数据指引》从数据安全保护的角度,进一步具化以危害的影响对象和影响程度两个要素指导分级。影响对象,包括国家安全、公共利益、个人合法权益以及组织合法权益四个维度;影响程度,则从低到高分为无危害、轻微危害、一般危害以及严重危害四个级别。
以下为《网络数据指引》示例:
而在其他行业性数据分级标准中,也会就影响程度更为精细分为4类或5类,如在《金融数据指南》中的分级方法和《网络数据指引》完全一致,从高到低分为严重损害、一般损害、轻微损害及无损害4个类别;而《医疗数据指南》则要求在不同类别和不同场景下,从“完全公开”到“极小范围+严格限制条件”的可用范围,实施更为细致的5级分级标准,等等。
3. 数据分级之国家核心数据和重要数据
《数据安全法》明确规定应当对各地区、部门以及相关行业、领域的重要数据制定相应的具体目录,要求数据处理者对目录内数据进行重点保护。
目前,专门针对国家核心数据的相关文件和目录尚在制定过程中,但根据国家核心数据的定义来看,一些有关重要数据保护的文件和目录,已经涵盖了一部分国家核心数据的内容,在专门性文件和目录出台前,可以作为数据处理者基础分级实施的重要参考标准。
有关重要数据的完整识别指导文件早在2017年就已出现。2017年8月发布的《信息安全技术数据出境安全评估指南》(征求意见稿)中的附录A《重要数据识别指南》,首次就不同行业的重要数据识别给出了十分完整且具体的指导意见。虽然遗憾的是,该指南至今未更新和正式版本,但也为不同行业领域的企业如何识别重要数据提供了十分有益的参考。
2021年,工信部制定并公示了《基础电信企业重要数据识别指南》(YD/T 3867-2021)(以下简称“《电信重要数据指南》”),明确了基础电信企业重要数据的定义、识别规则、识别方法和重要数据安全保护实施指导,并给出了基础电信企业重要数据示例,适用于持有基础电信业务经营许可证的企业在生产经营和管理活动中产生、采集、加工、使用或管理的数据,为基础电信企业重要数据安全管理工作提供指导。
2022年1月,国家市场监督管理总局和国家标准化管理委员会公布 《信息安全技术 重要数据识别指南》(征求意见稿)(以下简称“《重要数据指南》”),为数据处理者识别其掌握的重要数据,特别是为各地区、各部门制定自身及相关行业、领域的重要数据具体目录提供重要参考。值得一提的是,《重要数据指南》在对“重要数据”进行定义时,明确将国家秘密和个人信息排除在外,但该文件同时明确,基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
可以预见的是,随着数据安全要求的日益强化,具化到相关地区、部门以及行业的重要数据目录和指南文件将在不久的将来接踵而至,为数据处理者实施数据分级保护提供更为明确的指导和参照。
4.数据分级之个人信息
如前文所提,《重要数据指南》将“个人信息”和“重要数据”进行了明确切割,因此,数据处理者应有必要对个人信息进行单独分类并制定实施“专属”的分级保护策略。
《个人信息保护法》是个人信息保护的专属法律,也是“个人信息”数据分级首要遵循的规则。除了对于个人信息的一般性保护要求外,《个人信息保护法》将“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,定义为“敏感个人信息”,并规定了更为严格的保护义务要求。因此,个人信息的分级标准至少应照此实施。
对于个人信息的分级保护,可以参考《网络数据指引》提供的标准,将个人信息数据中的“敏感个人信息”进行具化分类后直接定为4级(严重危害),而对其他一般个人信息,则依据影响程度确定保护级别。同时,在具体行业领域存在关于个人信息数据的分级标准要求时,企业也可参照行业标准实施更为贴合企业应用场景和合规要求的分级保护策略。
另外值得关注的一个问题是,我国《民法典》规定了自然人的“隐私权”,包括自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息;同时规定,个人信息中的私密信息,适用有关隐私权的规定。据此,依据数据分级影响程度的标准来看,“私密信息”遭到破坏和非法行为导致对数据主体的危害程度较之“敏感个人信息”显然更为严重,因此,在数据分类分级实施中,数据处理者可以考虑为“私密信息”数据设定个人信息分类中最高级别的保护策略。
四、结语
以上是笔者对于数据合规中有关数据分类分级要求的简要梳理,在此基础上,数据处理者对于数据分类分级的落地实施,尚需要结合法律规范、实践标准以及技术工具等来充分实现。由于数据的动态变化,数据应用的不断迭新,法律规范的日益完善等,数据处理者的合规实践可谓任重道远。如何在数据合规和数据权益竞争的双重压力下负重致远,是摆在每个企业面前的长期课题。笔者数据合规团队将继续提供更多有益的文章和服务内容,持续陪伴您企业发展壮大的道路上砥砺前行。
注1:报告和数据来源:人民邮电报
注2:数据来源:人民邮电报