标准工作历程:
2020年3月,形成标准草案第一稿,开展标准申报。
2020年5月,获得立项。
2020年10月,形成标准草案第二稿和第三稿。
2020年11月,形成标准草案第四稿。
2022年1月7日,形成正式征求意见稿。
1. 为什么要制定《信息安全技术 重要数据识别指南》
(1)《网络安全法》在法律层面首次提出“重要数据”的概念
2017年6月1日起实施的《网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
(2)《数据安全法》从三个层面对“重要数据”做出规定
从数据安全制度层面规定:国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。(《数据安全法》第二十一条第一、三款)
从数据安全保护义务层面规定:重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。(《数据安全法》第二十七条第二款、第三十条、第三十一条)
从法律责任层面规定了违反《数据安全法》向境外提供重要数据的法律责任。(《数据安全法》第六章)
(3)《网络数据安全管理条例(征求意见稿)》细化对“重要数据”的相关规定
《网络数据安全管理条例(征求意见稿)》从总则、一般规定、个人信息保护、数据跨境安全管理、监督管理、法律责任等层面共计32次提到重要数据。
专设第四章“重要数据安全”,从数据安全管理机构职责和责任人要求、重要数据处理者备案内容、数据安全培训计划、采购安全可信的网络产品和服务、数据安全评估开展要求及报告内容、上报主管部门等细化重要数据的相关规定。
另外,也提到数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。数据处理者应当使用密码对重要数据和核心数据进行保护。(《网络数据安全管理条例(征求意见稿)》第九条第二款、第三款)
然而,重要数据的定义、范围和识别方法没有定论,对重要数据的识别方法和途径尚未形成实践指引。2021年11月14日,国家互联网信息办公室对《网络数据安全管理条例》公开征求意见,提出了重要数据的定义,并设立了一系列重要数据安全监管制度。这意味着,我国正在通过立法建立重要数据安全监管制度,重要数据处理者应履行一系列法定义务。因此,识别出什么是“重要数据”,成为我国数据安全工作中急迫需要解决的问题。
2. 什么是重要数据
《网络数据安全管理条例(征求意见稿)》和国家标准《信息安全技术 重要数据识别指南》(征求意见稿)(以下简称《指南》)将重要数据定义为以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。值得注意的是,《指南》明确重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据不包括个人信息,主要是考虑到国家已通过专门立法对个人信息进行保护,且对个人信息的监管颗粒度已经非常细致。
3. 如何识别重要数据
首先,遵循识别重要数据的基本原则;其次,梳理重要数据的识别因素,具备以下表格中任一重要数据识别要素的都是重要数据;最后,落实重要数据的描述。
根据《网络数据安全管理条例(征求意见稿)》要求,各地区、各部门将制定自己的重要数据识别细则,因此,《指南》必须通过原则性的、流程的方式,不能通过穷举的方式深入到各地区、各部门的具体数据类别之中。目前,《指南》对重要数据识别取消了对重要数据的“特征”说明,因为这些特征依然不可避免地涉及行业分类,对各地方、各部门制定部门、本行业以及本系统、本领域的重要数据识别细则带来了不必要的约束。《指南》吸收国内外重要数据安全保护经验,参考 NIST SP 800-60《将信息和信息系统映射到安全类别的指南》、NIST SP 800-171《保护非联邦系统和机构的受控非密信息》等国外指南,重点借鉴了美国国家标准和技术研究院(NIST)在2003年与国防部联合制定并颁布的 NIST SP800-59《国家安全系统识别指南》。美国《国家安全系统识别指南》不是通过对国家安全系统进行细致分类,而是从其可能产生的影响角度描述其重要特征。
4. 总结
《指南》给出了识别重要数据的基本原则、考虑因素、流程以及重要数据描述格式。首先,《指南》能够为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考,为重要数据安全保护工作提供支撑,也可供各类组织在识别本组织重要数据时参考。其次,《指南》将为我国数据安全保护特别是重要数据安全管理工作提供基本依据,有助于防范数据安全重大风险、完善我国网络安全顶层设计,具有重大社会效益。最后,有助于数据出境安全评估制度的科学实施,从而便利数据跨境流动、促进国际贸易,有利于经济发展与国际合作。
作者:吉大正元 数据安全事业部 胡俊