《重要数据识别指南(征求意见稿)》概览
作者:
蔡荣伟 杨杰
Ⅰ. 重要数据的立法沿革
《中华人民共和国网络安全法》(“网安法”)首次提出了“重要数据”的概念。网安法规定,“关键信息基础设施的运营者(“CIIO”)在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。”[1]然而,对“重要数据”的定义和范围一直有待明确。
与网安法相呼应,全国信息安全标准化技术委员会于2017年5月27日发布了《信息安全技术 数据出境安全评估指南(草案)》(“评估指南草案”)。其中附录A“重要数据识别指南”(“2017识别指南草案”)按照行业(领域)将重要数据划分为石油天然气、电力、通信、交通运输、金融、气象等28大类(包括“其他”),并明确了各行业(领域)重要数据的范围。但是,该评估指南草案最终并未生效。
2021年9月1日,《中华人民共和国数据安全法》(“数安法”)生效。其第三条第1款将“数据”定义为“任何以电子或者其他方式对信息的记录[2]”。并进一步规定了国家将建立数据分类分级保护制度,制定重要数据目录,对数据实行分类分级保护。各地区、各部门应当按照数据上述分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。[3]
为指导各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录,全国信息安全标准化技术委员会根据网信办的要求,于近日起草了《信息安全技术 重要数据识别指南(征求意见稿)》 (“2021识别指南草案”)。与2017识别指南草案不同,2021识别指南草案并未按照行业(领域)划分重要数据,而是通过明确识别重要数据的原则、流程及重要数据的特征来指导重要数据识别工作。
Ⅱ. 什么是重要数据?
2021识别指南草案将“重要数据”定义为“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。[4]”
值得注意的是,2021识别指南草案明确将国家秘密和个人信息排除在重要数据的范围之外,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。据2021识别指南草案的起草人左晓栋博士介绍,重要数据不包括个人信息,主要是考虑到国家已通过专门立法(如《个人信息保护法》)对个人信息进行保护,且对个人信息的监管颗粒度已经非常细致[5]。
Ⅲ. 重要数据识别的基本原则
2021识别指南草案第四条规定,识别重要数据应遵循以下六项基本原则:
1、聚焦安全影响
该原则强调,应当从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据。仅对某特定组织而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据。因此,在识别重要数据时,企业应着眼于相关数据对国家和社会公共安全的影响,而非对其自身的影响。
2、促进数据流动
该原则旨在保护数据安全的同时,促进数据的有序流动,从而使得数据得到更加充分的利用。
该原则强调,应当明确安全保护重点和监管对象,防止泛保护。使重要数据在满足安全保护要求前提下得到开发利用和安全有序流动,非重要的一般数据依法自由流动,充分释放数据价值。据左晓栋博士介绍,理解这一原则,要把握以下两点[6]:
(i) 重要数据也要流动,监管不是限制流动,但流动要有条件。重要数据在识别后,根据重要数据的流动要求有序流动;非重要的一般数据则依法自由流动,不应对其施加不必要的阻碍。
(ii) 相比于非重要的一般数据,重要数据一定是“少数派”。应抓住重点,明确界限,避免因重点不明,界限不清而处处设限,从而影响数据正常流动。
3、衔接既有规定
该原则强调,应当充分考虑地方已有管理要求和行业特色。地方、部门已经制定实施有关数据管理政策和标准规范的,在识别重要数据时应当与其紧密衔接。
4、综合考虑风险
该原则强调,应当根据数据的用途、面临的威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险。同时,应当从数据的保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性。因此,企业在识别重要数据时,应当根据其行业特征,从实际出发,综合考虑数据的重要性。
5、定量定性结合
该原则强调,应当以定性与定量相结合的方式识别重要数据,根据具体数据类型、特性不同采取定量或定性方法。有些数据是基于其内在属性被识别为重要数据,而有些数据则仅在达到一定数量后,才会由量变到质变,被识别为重要数据。
6、动态识别复查
该原则强调,应当定期复查重要数据识别结果,且在数据用途、共享方式、敏感性等发生变化时,对重要数据进行重新识别。可见,重要数据识别并非一劳永逸的,相关企业应持续关注相关数据,必要时进行重新评估。
Ⅳ. 重要数据的特征
2021识别指南草案规定,具备下列任一特征的数据可能被识别为重要数据[7]:
1、与经济运行相关
以下与经济运行相关的数据可能被认定为重要数据:
(i) 反映战略储备情况的数据(国家秘密除外),包括但不限于粮食储备数据、物资储备数据、能源储备数据、其他战略物资储备数据。
(ii) 支撑工业生产的数据,包括(1) CIIO在组织生产过程中涉及的控制信息、工况状态、工艺参数等数据;(2) CIIO在组织生产过程中涉及的研发设计、开发测试等数据;及(3)重要装备数据。
(iii) 支撑重点行业、领域运行的数据,包括关键信息基础设施运行涉及的核心业务运行数据、经济运行数据及供应链数据。
(iv) 统计相关数据中,反映国民经济运行总体情况、影响国家宏观调控能力的数据,包括但不限于:(1) 在统计结果公布前,除国家秘密以外的数据;及(2) 统计结果公布前后,统计调查中获取的原始数据。
2、与人口与健康相关
以下与人口与健康相关的数据可能被认定为重要数据:
(i) 非公开的人口普查相关数据,以及基因数据、遗传资源等反映人口情况的数据。
(ii) 涉及健康医疗的数据,如各类诊疗与健康管理信息及疫情管理相关信息。
(iii) 涉及食品药品情况的数据,如(1)国家战略安全的药品在药品审批过程中提交的药品实验数据; (2)《医疗器械分类规则》所定义的第二类、第三类医疗器械临床试验数据/报告;(3) 食品安全溯源标识信息;及(4)非公开的食品药品安全重大(紧急)事件信息。
3、与自然资源与环境相关
以下与自然资源相关的数据可能被认定为重要数据:
(i) 涉及地理信息的数据,包括(1)除国家秘密以外的所有地图数据;(2)特定导航数据;(3)特殊测绘数据;(4)重点目标地理信息;及(5)未公开的重点目标的地理信息。
(ii) 涉及水利情况的数据,包括除国家秘密外,未公开的水、旱情预报信息等。
(iii) 涉及地震情况的数据,包括除国家秘密外,未公开的地震预测结果及基础数据等。
(iv) 涉及气象情况的数据,包括特定气象观测数据、特定专项专业气象数据及未公开的气象预报数据。
(v) 涉及环保监测情况的数据,包括特定环保监测数据及环境影响数据。
(vi) 涉及特定海洋环境监测情况的数据。
4、与科学技术相关
涉及出口管制物项、特殊知识产权、重大发明发现及国家科技计划的数据属于重要数据。
5、与安全保护相关
以下与安全保护相关的数据可能被认定为重要数据:
(i) 可被犯罪分子、恐怖分子等利用,对物理目标或以物理手段发动攻击,危害国家安全、公共安全和公民生命安全的数据,包括重要场所与目标数据等。
(ii) 涉及网络安全,可被网络攻击者或恶意竞争者利用,以攻击网络系统或通过网络发起攻击的数据,包括关键信息基础设施运行维护数据等。
6、与应用服务相关
以下与应用服务相关的数据可能被认定为重要数据:
(i) 用户委托数据。在向用户提供服务的过程中,用户的重要数据转移到企业或其他组织的信息系统之中,仍属于重要数据。
(ii) 用户使用数据。在向政府部门、公共企事业单位用户或重点项目提供服务的过程中,所产生的与用户基本信息、使用情况等有关的数据。
7、与政务活动相关
国家机关在履行法定职责过程中产生的不宜公开的文件、资料、数据等(国家秘密除外),以及公民企业上报的不宜公开的文件、资料、数据属于重要数据。
8、其他
其他一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的非国家秘密信息,属于重要数据。
Ⅴ. 重要数据识别流程
重要数据的识别流程如下:
1、明确地方、部门重要数据识别规定
各地区、各部门应基于重要数据特征及本地区、本部门及相关行业、领域具体情况,明确本地区、本部门以及相关行业、领域重要数据的具体类别和详细特征,以指导本地区、本部门以及相关行业、领域开展重要数据识别工作。[8]
2、识别和描述本组织的重要数据
各类组织根据本地区、本部门制定的具体重要数据识别规定,按照以下流程识别本组织内部的重要数据[9]:
(i) 对本组织内部的数据资产进行盘点、梳理与分类,形成本组织数据资产清单。
(ii) 明确资产清单中各类数据的用途、面临的主要安全威胁,判断数据安全性(保密性、完整性、可用性等)遭破坏后可能对国家安全、公共利益造成的影响。
(iii) 根据所在地区、部门的具体规定,初步判定本组织数据资产中的重要数据。
(iv) 对初步识别出的重要数据进行审核。
(v) 根据2021识别指南草案提供的重要数据描述方法描述经审核确定的本组织重要数据,形成本组织重要数据目录。
3、报送本组织重要数据识别结果
各类组织在识别工作完成后,应向所在地区、部门和其他有关方面报送本组织内的重要数据识别结果。首次报送后,如重要数据在类型、用途、共享方式等方面发生变化,应当及时将变化情况重新报送。注意,各组织报送内容不包含数据本身[10]。
结语
即使2021识别指南草案为非强制性国家标准,并无法律效力,然而,一旦其正式公布实施,其必将成为相关机关制定重要数据目录的重要指南,也将为相关企业识别本企业内部重要数据提供重要参考。因此,建议企业积极学习2021识别指南草案,并为其正式公布做好准备。
[注]
[1] 《中华人民共和国网络安全法》第三十七条。
[2] 《中华人民共和国数据安全法》第三条。
[3] 《中华人民共和国数据安全法》第二十一条。
[4] 《信息安全技术 重要数据识别指南》第3.2条。
[5] 《<重要数据识别指南>(征求意见稿)解读(上)》,网址:https://mp.weixin.qq.com/s/MqmdsxcCASX9Sh2gAZlGJw。
[6] 《<重要数据识别指南>(征求意见稿)解读(中)》,网址:https://mp.weixin.qq.com/s/SpW74XwS25COzbVSf0OJmg。
[7] 《信息安全技术 重要数据识别指南》第五条。
[8] 《信息安全技术 重要数据识别指南》第6.1条。
[9] 《信息安全技术 重要数据识别指南》第6.2条。
[10] 《信息安全技术 重要数据识别指南》第6.3条。
The End
作者简介
蔡荣伟 律师
上海办公室 高级顾问
业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁
特色行业类别:能源与自然资源, 通讯与技术
杨杰
上海办公室 公司业务部
作者往期文章推荐
《处理员工个人信息的合法性基础和重要原则》
《人工智能技术出口管制问题》
《算法合规——解读<互联网信息服务算法推荐管理规定(征求意见稿)>》
《医疗领域网络安全相关问题简析》
《医疗数据出境法律风险解读》
《<健康医疗数据安全指南>亮点解读》
《开发区投资应注意的若干法律问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。