数据保护基本条例(重要数据应重点保护)(1)

数据保护基本条例(重要数据应重点保护)(2)

专访为节选内容更多详情请扫码阅读

人物简介

左晓栋

博士,现任中国科学技术大学公共事务学院、网络空间安全学院教授,原中国信息安全研究院副院长。工作于我国网络安全统筹协调部门,是国家重大网络安全政策法规的核心起草专家。目前,兼任国务院学位委员会“网络空间安全”学科评议组成员、国家数字贸易专家工作组成员、国家网络安全应急专家组成员、外交部网络外交专家咨询委员会委员等学术职务。是国务院行政法规《网络数据安全管理条例(征求意见稿)》专家组组长。

数据跨境流通快速增长,对于满足海内外机构的跨境需求,服务于海内外量化投资资管机构,具有现实且重大意义。那么,什么样的数据是重要数据?如何建立重要数据目录?如何做好数据安全风险防范与评估?对此,南都专访了中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋。在左晓栋看来,数据进一步分类分级是大趋势,《数据安全法》明确提出国家建立数据分类分级保护制度,其中关键的级别就是重要数据的保护。目前左晓栋牵头起草的中华人民共和国国家标准《信息安全技术 重要数据识别指南》,已在全国信息安全标准化委员会官网上向社会公开征求意见。

A

数据进一步分类分级是大趋势

在日前深圳数据交易公司牵头、数库科技承办的数据沙龙上,众多专家围绕“跨境数据新趋势,量化投资应用与合规”主题,研讨跨境数据带来的机遇与挑战,探讨如何更好提升跨境数据要素流通,打造国际化数据开放合规市场。

在演讲中,国务院行政法规《网络数据安全管理条例(征求意见稿)》专家组组长左晓栋分享自己对于数据规范与国家要求的见解。在他看来,数据进一步分类分级是大趋势,《数据安全法》明确提出国家建立数据分类分级保护制度,其中关键的级别就是重要数据的保护。目前左晓栋牵头起草的中华人民共和国国家标准《信息安全技术 重要数据识别指南》,已在全国信息安全标准化委员会官网上向社会公开征求意见。在数据跨境流动层面,国家正在建立数据跨境流动的安全管理制度,其中的一项重要工作是要对数据出境进行安全评估。

南都:《数据安全法》《个人信息保护法》等法律法规实施,推动国内数据安全体系建设。数据安全监管一个重要方面就是对重要数据的识别。那么,什么样的数据是重要数据?如何建立重要数据的目录?

左晓栋:2017年6月1日起施行的《网络安全法》第三十七条确立了重要数据出境评估制度。为了落实这一制度,需要明确重要数据的概念。为此,2019年,全国信息安全标准化技术委员会下达了相关研究项目,并在2020年对国家标准《信息安全技术 重要数据识别指南》进行立项。

2021年9月1日起施行的《数据安全法》提出数据分类分级制度,并要求制定重要数据目录。由此,《信息安全技术 重要数据识别指南》的迫切性进一步凸显。根据目前的研究,重要数据被定义为“特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全”。

下一步,地方、行业需基于国家标准和有关规定,制定地方或行业的重要数据标准、规范,组织开展本地区、本行业、本领域重要数据的识别。各类组织识别出本组织的重要数据后,按规定编制目录,并上报地方政府或行业主管部门,再由各地方或各行业上报国家,最终形成国家层面的重要数据目录。需要注意的是,重要数据目录不包括数据本身。

B

重要数据应当进行重点保护,这是立法重点

南都:2021年10月29日,国家网信办发布《数据出境安全评估办法(征求意见稿)》,2021年11月14日发布《网络数据安全管理条例(征求意见稿)》,提到重要数据安全有关要求。您是《网络数据安全管理条例》专家组组长,能否详细谈谈重要数据安全保护具体标准与要求是什么?尤其是网络数据安全,应如何管理?

左晓栋:重要数据应当进行重点保护,这是立法的重点。《数据安全法》《网络数据安全管理条例(征求意见稿)》都提出了相应制度,而且后者还专门设了“重要数据安全”章。但仅有这些制度规定还不够,需要通过标准规范予以细化。

为此,全国信息安全标准化技术委员会今年提出制定国家标准《重要数据处理安全要求》的需求,目前正在按程序遴选标准起草单位。制定这个标准,要同时体现数据安全的四个方面,并有所侧重:

一是环境安全,即数据所在的网络与系统的安全;二是资产安全,即数据自身的安全;三是行为安全,即数据处理的合规性;四是生产要素安全,即解决数据流通中的确权、开发利用、运营等问题。

同时,还要体现与一般性数据的安全区别,也有四个方面:在安全保护的强度上,要严格于普通数据;在管理制度上,要严格于普通数据;在合规要求上,法律法规有明确要求;在配合监管上,重要数据处理者有特定的法律义务。重要数据安全标准不能从数据安全基础写起,而是要突出以上这些方面。

C

谨慎梳理重要数据

南都:在实际操作过程中,我们如何评估数据安全,包括风险评估、合规评估、能力评估、出境评估等,如何开展数据安全评估?

左晓栋:数据安全评估是一个重要议题。人们很容易从网络安全评估的角度看待数据安全评估。这里面有很大的不同。从防攻击、防渗透、防篡改等角度来看,以前的网络安全评估已经涵盖了对数据安全的评估。换句话说,数据安全评估应当首先进行网络安全评估。但这只是其中一个方面。正如前面谈到的,我们对数据安全的需求是多维度的,已经超出了网络安全范畴,故还需对企业处理数据的合规性进行评估。即使一个企业没有遭受数据窃取,但如果这个企业自身违法收集、滥用用户个人信息呢?这显然需要进行评估。

此外,企业在开展很多数据处理活动前,由于可能涉及向企业控制范围外甚至不同法域(跨境)的第三方传输数据,或处理的数据很特殊(例如敏感个人信息),此时也需要进行评估。如认为风险过大,则有可能要停止数据处理活动。这也是常见的一种数据安全评估。至于数据出境安全评估,这是政府部门的监管手段,倒不是企业自身实施的行为。但是,不论哪一种评估,都应当规范实施。有的已经形成标准,如个人信息保护影响评估,更多的标准正在制定中。

南都:《数据安全法》提出国家建立数据分类分级保护制度,数据分为一般数据、重要数据、核心数据。在数据分类分级方面,有哪些需要重点关注?政府、企业应该怎么操作,防范可能出现的风险?

左晓栋:重要数据、核心数据关系国家安全,因此国家要进行重点保护,并对安全保护情况进行监管。这要求各类组织认真对待重要数据识别问题,经识别一旦发现有重要数据,就需要履行重要数据的安全保护义务。而且这种保护义务是贯穿于数据的生命周期的,包括数据的收集、存储、处理、传输、公开、共享、使用、销毁等环节。

事实上,《重要数据处理安全要求》将全部涵盖这些环节。所有组织都要确立这样一种意识,即使你处于商业领域,没有涉密信息,也不意味着你同国家安全没有关系,不意味着你自己的数据想怎么处理就怎么处理,一定要首先贯彻数据分类分级理念,谨慎梳理重要数据。

出品:南都大数据研究院 数字政府研究中心

统筹:邹莹 研究员:袁炯贤

,