地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
浅析重要数据的识别与保护
注:为便于上下文表述,本文所涉相关文件简称与全称汇总如下
2017年6月1日生效的《网络安全法》针对关键信息基础设施运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据,提出了应当在境内存储的法定要求[1]。这是“重要数据”在法律层面的首次亮相。
2021年9月1日生效的《数据安全法》提出了数据分类分级保护制度,将重要数据目录的制定和对重要数据的重点保护作为了一项法定义务[2]。
但是,《网络安全法》和《数据安全法》均未对“重要数据”作出明确定义。
什么是重要数据?为什么要识别重要数据?重要数据的识别有哪些关注点?重要数据对于数据处理者而言意味着怎样的义务和责任?这篇文章中笔者就来浅析探讨关于重要数据的一些问题。
一、什么是“重要数据”? 前文提到,关于重要数据,《网络安全法》和《数据安全法》都未给予明确定义和范围,但既然和重要数据相关的特定事项已经上升到了法定义务的高度,那就必须辨识出重要数据,否则相关法定义务的承担主体将无所适从。 在《网络安全法》最先从法律层面提出对关键信息基础设施运营者的相关重要数据应在境内存储以及向境外提供时应进行安全评估的法定要求后,为配合该法定要求的落地实现,全国信息安全标准化技术委员会在《网络安全法》生效的同一年发布了《2017数据出境评估指南征求意见稿》,其“附录A(规范性附录)重要数据识别指南”对重要数据进行了相应定义,并划分了27个行业/领域的重要数据的范围(即石油天然气、煤炭、石化、电力、通信等26个具体行业/领域以及第27项“其他”)。虽然《2017数据出境评估指南征求意见稿》最终并未生效实施,但它开启了对重要数据的定义探索和范围界定,后续一系列法律、法规、规定、标准的草案稿和生效稿,都尝试着对重要数据进行定义和规范。 无论怎样定义,重要数据都离不开对“国家安全”的影响,也因此,“重要数据”的定义探索和范围界定,都应上升到国家安全的高度,强调国家安全属性。 “重要数据”至今尚未统一定义。自《2022识别指南征求意见稿》征求社会意见以来,标准编制组对该标准又进行了一次较大改动,拟将该标准更名为“重要数据识别规则”[3],并将“重要数据”的定义被修改为“特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”[4]。 二、识别“重要数据”的重要意义 (一)维护国家安全的意义 国家数据安全是国家安全的重要组成部分。在数字经济时代,在数据上升为关键生产要素的今天,在网络空间和数据安全已成为国与国博弈的重要阵地的当下,国家数据安全的重要性不言而喻。“重要数据监管是国家数据安全分类分级制度的核心,也是国家数据安全工作的重点”[5],把重要数据识别出来并加以重点保护,是确保国家数据安全的必然举措,对维护国家安全具有重要意义。 (二)促进数据流通的意义 数据已成为与土地、劳动力、资本、技术并重的生产要素,要释放生产要素的价值,就需要建立健全要素市场运行机制。“重要数据”的识别并非要阻碍数据的流通,正相反,把“重要数据”识别出来,那么一般数据就能更自由充分的流通,而重要数据也能在重点保护的规制下更合规有序的流通。规则定好了,数据分类分级和识别保护做好了,数据流通的参与者就明晰了哪些可为、哪些不可为、应该怎样为,从这个角度而言,“重要数据”的识别能促进数据的流通,发挥生产要素的价值。 (三)明晰责任边界的意义 我国具有相当庞大的数据规模,要提高数据作为生产要素的效能,又要保障数据的安全合规,数据分类分级制度起到了重要的基石作用,而重要数据的识别又是数据分类分级制度的核心。网络安全审查、数据跨境、网络数据处理要求、网络数据安全管理等,无不提出了对重要数据的监管要求,在落地实现这些法定义务前,相关数据处理者必须先确认自身是否有重要数据、有怎么的重要数据、是否可能在特定条件下一般数据将转化为重要数据。落实好这些,才能更明晰自身所掌握的不同数据的责任义务边界,才能更清楚对不同数据进行处理所可能承担相应的法律后果,才能更有底气去面对数据经济时代。 对重要数据加以识别并予以重点保护,还有许多其他方面的实践意义,不再一一分析赘述。 三、“重要数据”的识别和重点保护 (一)重要数据的识别原则和因素 经比对《2022识别指南征求意见稿》(2022年1月7日稿)与《信息安全技术 重要数据识别规则(征求意见稿)》(2022年3月16日稿)[6],关于识别重要数据的基本原则在释明内容方面有所调整,但所遵循的六项基本原则保持不变,即[7]: 除重要数据识别的基本原则外,《信息安全技术 重要数据识别规则(征求意见稿)》(2022年3月16日稿)对重要数据的识别因素亦作出调整修订,由原先的14项增至19项,将“具备以上因素之一的,是重要数据”修改为“具备以上因素之一的,可考虑是重要数据”。 需特别提示的是,本次对标准的改动主要为了与政策文件相衔接,而非征求社会意见的结果[8]。 (二)重要数据目录的编制流程 重要数据目录的编制,先“自上而下”,后“自下而上”。 《数据安全法》第二十一条规定,“……国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。……各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。 《2021网络数据条例征求意见稿》第二十七条规定,“各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”。 关于先“自上而下”,即先由国家层面总体安排,制定重要数据的国家标准和有关规定。《2022识别指南征求意见稿》标准编制工作组在编制说明中指出,该标准给出了识别重要数据的基本原则、考虑因素、流程以及重要数据描述格式,为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考,为重要数据安全保护工作提供支撑,也可供各类组织在识别本组织重要数据时参考。随后,各地区、各部门以及相关行业、领域再基于国家标准和有关规定,制定本地区、本部门、本行业领域的重要数据识别标准、规范,并组织本地区、本部门、本行业领域开展重要数据识别工作。本地区、本部门、本行业领域的各类组织(数据处理者)据此识别出本组织的重要数据。关于后“自下而上”,即各类组织识别出本组织的重要数据后上报各地方、各部门,由各地区、各部门组织制定本地区、本部门以及相关行业、领域重要数据目录,最终报国家主管部门形成国家层面的重要数据目录。 (三)重要数据的重点保护 虽然重要数据的定义、识别的基本原则、识别时需要考量的因素尚未最终确定统一,但基于重要数据的重要性,对于重要数据加以重点保护的相关要求已在有关文件中有所体现。 2018年7月1日起实施的国家标准《大数据服务安全能力要求》,采用专门条款“5.6.2 重要数据保护”规定了大数据服务提供者就重要数据保护应满足的一般要求和增强要求。因近年来数据合规法律法规不断推陈出新、修订完善,故该标准亦启动了修改程序,于今年2月25日完成征求意见稿,其后向社会广泛征求意见。新标准征求意见稿中,重要数据保护不再作为专门条款进行规定,而是在“组织与职责”、“人员管理”、“培训管理”、“数据获取”、“数据标识”、“存储架构”、“数据展示”、“大数据分析”、“跨组织提供”、“数据发布”、“在线访问”、“数据删除”、“介质管理”、“数据安全风险识别”、“区域边界防护”、“计算环境防护”、“数据操作防护”、“数据接口防护”、“数据处理监测”、“系统运行监测”、“安全事件处置”、“事件归因分析”[9]这些细化环节中对重要数据提出了特别保护要求,将对于重要数据的重点保护要求贯穿于全流程数据安全管理当中,涵盖数据的存储、使用、加工、传输、提供、公开、删除等数据生命周期的所有环节。 《2021网络数据条例征求意见稿》第四章“重要数据安全”,专章规定了重要数据处理者的相关义务和责任。今年3月6日,全国信息安全标准化技术委员会秘书处发布《关于发布2022年度网络安全国家标准需求的通知》,所附“2022年网络安全国家标准需求清单”的第1项,就是《信息安全技术 重要数据处理安全要求》,主要内容为“本标准拟明确数据处理者在重要数据全流程处理过程中的保护要求,重点针对存储、使用环节提出专门要求”,拟解决问题为“支撑《数据安全法》第二十一条对重要数据进行重点保护的要求”。 此外,《数据安全法》对于重要数据的处理者,也提出了更高的合规要求,包括第27条规定的“应当明确数据安全负责人和管理机构,落实数据安全保护责任”,第30条要求的“对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告”以及第31条规定的“重要数据出境”管理要求等。在各地人大常委颁布的“数据条例”中,也大多明确提出了上述关于“人员机构”、“风险评估”以及“出境管理”方面的合规要求。我们注意到,在《深圳经济特区数据条例》中,还额外要求数据处理者对重要数据采取“去标识化或者匿名化处理”以及“加密存储、授权访问或者其他更加严格的安全保护措施”等。 基于不同的数据处理场景,也会衍生出一些针对“重要数据”保护的特定合规要求和责任。 如《关保条例》第18条规定,关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时,运营者具有“向保护工作部门、公安机关报告”的法定义务,如发生重要数据泄露的,保护工作部门还“应当在收到报告后,及时向国家网信部门、国务院公安部门报告” 。 在数据出境方面,对于重要数据的出境合规相较一般数据而言也有更高的要求。国家互联网信息办公室于2021年10月发布的《2021数据出境评估办法征求意见稿》中有关“重要数据”出境的合规要求包括: 综上可见,重要数据的重点保护是法定义务,各类组织均应予以高度重视,应提前在制度上、管理上、技术上做好相应准备。 四、关于“重要数据”几个问题的理解 (一)“重要数据”等于“重要的数据”吗? “重要数据”不等于“重要的数据”。例如,企业的专有技术、商业秘密是企业赖以生存的重要的数据,但如果这些重要的数据被泄露、篡改、损毁的后果没有上升到可能对国家安全、经济运行、社会稳定、公共安全造成直接危害的程度,那么这些重要的数据就不是法定要求给予重点保护的“重要数据”,该数据处理者也就无需承担“重要数据”处理者的重点保护义务。反之,如果该企业的专有技术、商业秘密被泄露、篡改、损毁的后果可能达到直接危害国家安全、经济运行、社会稳定、公共安全的程度,那么这些对企业而言“重要的数据”,同时也属于法定“重要数据”的范畴。即,重要数据识别时,侧重于从后果的角度考量。 (二)一般数据会在特定情形下成为重要数据吗? 前文说到,将对于国家安全、经济运行、社会稳定等影响后果作为识别重要数据的基本原则,在一系列文件中(无论是草案稿还是终稿)已经达成共识。通常情形下,企业内部经营管理信息例如商业秘密、经营数据、员工信息等,对于企业而言可能是重要的数据,但其被篡改、破坏、泄露的影响一般上升不到对国家安全造成危害的高度,因此不作为重要信息进行规制合乎逻辑。但是,必须清楚地意识到,企业内部经营管理信息在满足特定条件时,就可能成为重要数据。例如,货运公司对旗下运输车辆通过定位的方式进行管理,是正常的企业经营管理行为,其所收集的数据为企业协调货运订单业务和对货运人员进行管理提供了数据支撑。但如果该货运公司承接的是与国家重要矿产资源相关的货运服务,那么其所收集的车辆运输批次、频率、货运量等信息,就可能上升到重要数据的层面,因为这些信息可能上升到国家安全的高度。 (三)经识别不存在重要数据就无需在运营中关注“重要数据”吗? 前文说到识别重要数据的基本原则,其中有一项为“动态识别复评”,即“随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复查重要数据的识别结果”[10]。我们可以发现,一些互联网企业,初创时所涉及的数据远远达不到“重要数据”的标准,但随着企业数据规模的飞速增长、数据精密度的不断提升,可能在同一年里,该等数据已由一般数据转化为重要数据。《2021网络数据条例征求意见稿》第二十六条规定,“数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定”,从该条规定背后的逻辑可以推出,当数据规模达到一定的数量级,企业所处理的数据分级就有可能发生重大变化。此时,如果再沿用对于一般数据的保护措施,那么就是违法了对重要数据重点保护的法定义务。 五、结语 关于网络安全与数据合规,重要数据的重点保护是必须予以高度关注的法定义务。因为上升到国家安全的高度,因为涉及各地方、各部门、各行各业千差万别的具体情况,因为重要数据目录的编制涉及“自上而下”和“自下而上”的流程,所以能够充分理解重要数据相关标准制定的难度,也希望能够早日实现重要数据识别与重点保护的有据可依、有章可循。
注:[1] 《中华人民共和国网络安全法》第三十七条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定 ”。
[2] 《中华人民共和国数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。……各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护”。
[3] 参见《国标<重要数据识别指南>又有重大修改了》https://mp.weixin.qq.com/s/KD1UtgdUcarUDtiw3VS31A
[4] 参见《中国科大左晓栋:重要数据应当重点保护,需通过标准规范细化》,https://c.m.163.com/news/a/H87MTKN705129QAF.html
[5] 参见《国标<重要数据识别指南>又有重大修改了》https://mp.weixin.qq.com/s/KD1UtgdUcarUDtiw3VS31A
[6] 参见《国标<重要数据识别指南>又有重大修改了》https://mp.weixin.qq.com/s/KD1UtgdUcarUDtiw3VS31A
[7] 参见《信息安全技术 重要数据识别规则(征求意见稿)》(2022年3月16日稿)第4条。
[8] 参见《国标<重要数据识别指南>又有重大修改了》https://mp.weixin.qq.com/s/KD1UtgdUcarUDtiw3VS31A
[9] 参见GB/T 35274-XXXX《信息安全技术 大数据服务安全能力要求(征求意见稿)》(该稿完成日期:2022年2月25日)第5.2.1、5.2.3、5.2.4、6.1.1、6.1.2、6.2.1、6.3.3、6.4.2、6.6.2、6.7.1、6.7.2、6.8.1、6.8.2、7.1.1、7.2.1、7.2.2、7.2.3、7.2.4、7.3.1、7.3.2、7.4.2、7.4.3条。
[10] 参见《信息安全技术 重要数据识别规则(征求意见稿)》(2022年3月16日稿)第4条f)项。