金桥法谈 | 网络数据合规指南——数据的分类分级
The following article is from 互联网与数据合规研究笔记 Author 沈姝迪
陈苏 合伙人
广东金桥百信律师事务所
沈姝迪 律师
广东金桥百信律师事务所
导言
《中华人民共和国数据安全法》(以下简称“《数据安全法》”)是我国继《中华人民共和国网络安全法》之后,在数据安全领域又一基础性法律,对于国家数据安全治理具有举足轻重的意义。其中,《数据安全法》第二十一条首次从国家的层面提出对数据实行分类分级保护制度,要求有关部门制定重要数据目录以及明确“国家核心数据”的定义。数据分类分级工作是数据安全治理的首要步骤和基础,同时也是当前数据安全治理工作的重点和难点。
1
如何理解数据分类分级
在《数据安全法》以及《网络数据安全管理条例》(征求意见稿)中仅提出了数据分类分级制度,并没有对数据分类分级进行明确定义,那到底什么是数据的分类和分级呢?或许我们可以从一些国家标准、实践指南等相关文件中寻找答案。
数据分类
在《信息技术—大数据—数据分类指南》(GB/T 38667-2020)中,对“大数据分类”进行了定义:大数据分类,即根据大数据的属性或特征,将其按一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序的过程。
在《网络安全标准实践指南—网络数据分类分级指南》中,具体列举了几种常见的数据分类维度,例如:按照数据是否具有公共传播属性可以将数据分为公共传播信息和非公共传播信息,按照数据是否可识别自然人或与自然人关联可以将数据分为个人信息或非个人信息等。
我们可从上述文件的描述梳理归纳出数据分类的定义:
数据分类是依据数据的属性、特征或者内容等,按照一定的原则和方法进行区分和归类,并建立起具有一定标准和排列顺序的分类体系的过程。
由于数据本身可能存在多种属性或者特征,同时,数据管理者出于不同的分类目的会制定不同的分类方式。这就决定了数据分类不可能存在唯一的分类方式,而数据也不可能都仅归于唯一的类别。
数据分类
《数据安全法》第二十一条
国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
《网络数据安全管理条例》(征求意见稿)第五条
按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采用不同的保护措施。
根据上述规定对数据分级的描述,可见
数据分级就是依据影响对象和影响程度将数据划分为不同等级并予以相应级别的保护。
区别于数据分类的是,数据分级具有相对统一、稳定的方式和标准,等级界限相对明确,一般来说单个数据最后的定级只会存在唯一的结果。
2
数据分类分级的意义
数据分类的主要目的是便于数据处理者对数据的管理和使用,而数据分级更多是站在国家数据安全的高度,便于数据安全管理部门对数据安全的保护和管控。
从数据安全管理的层面来说,不论是分类还是分级,目的都只有一个,就是针对不同的数据实施不同等级的保护措施。
3
如何进行数据分类分级
分类分级的原则
01
合法合规原则
数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。
02
分类多维原则
数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。
03
分级明确原则
数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。
04
就高从严原则
数据分级时采用就高不就低的原则进行定级。
05
动态调整原则
数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。
* 上下滑动查看原则具体含义
数据分类分级的框架
01
分类框架
数据分类具有多种视角和维度,其主要目的是便于数据管理和使用,以下列举几种常见的数据分类维度:
针对上述每个分类维度下的数据类别,都可以再根据一定的原则和方法做进一步的细分。数据处理者应制定清晰明确的分类规则,将数据按照既定规则加以区分归类,对不同类别的数据进行标识。
02
分级框架
按照《数据安全法》的规定,根据数据的影响对象和影响程度,将数据分为国家核心数据、重要数据、一般数据三级。
在《网络安全标准实践指南—网络数据分类分级指引》中,依据上述确定的分级基础框架,又进一步将一般数据分为了4个等级数据:
各级别数据与影响对象、影响程度的对应关系如下表:
基本级别 | 影响对象 | ||||
国家安全 | 公共利益 | 个人合法权益 | 组织合法权益 | ||
核心数据 | 一般危害或严重危害 | 严重危害 | -- | -- | |
重要数据 | 轻微危害 | 一般危害或轻微危害 | -- | -- | |
一般数据 | 1级数据 | 无危害 | 无危害 | 无危害 | 无危害 |
2级数据 | 无危害 | 无危害 | 轻微危害 | 轻微危害 | |
3级数据 | 无危害 | 无危害 | 一般危害 | 一般危害 | |
4级数据 | 无危害 | 无危害 | 严重危害 | 严重危害 |
各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,采取较一般数据更严格的保护措施。
个人信息的分类分级
个人信息数据作为大数据时代的重要组成部分,在个人信息处理和应用中数据处理者更应该注重其分类分级管理,根据分类分级的结果予以个人信息全面的保护。
01
个人信息分类
依据信息涉及自然人的特征,可进行以下分类:
个人信息类别 | 典型示例和说明 | |
个人基本资料 | 自然人基本情况信息 【如个人姓名、生日、年龄、性别、民族、国籍、籍贯、婚姻状况、家庭关系、住址、个人电话号码、电子邮件地址、兴趣爱好等】 | |
个人身份信息 | 个人身份标识和证明信息 【如身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证、港澳通行证等证件号码、证件有效期、证件照片或影印件等证件信息】 | |
个人生物识别信息 | 个人生物特征识别原始信息和比对信息 【如人脸、指纹、步态、声纹、基因、虹膜、笔迹、掌纹、耳廓、眼纹等生物识别信息】 | |
网络身份标识信息 | 可直接标识网络或通信用户身份的信息及账户相关资料信息(金融账户除外) 【如用户账号、用户 ID、即时通信账号、网络社交用户账号、头像、昵称、IP 地址、个性签名等】 | |
个人健康生理信息 | 健康状况信息 | 与个人身体健康状况相关的一般信息 【如体重、身高、体温、肺活量、血压、血型等】 |
个人医疗信息 | 个人因生病医治等产生的相关记录 【如病症、住院志、医嘱单、检验报告、体检报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史、吸烟史等】 | |
个人教育工作信息 | 个人教育信息 | 个人受教育和培训情况相关信息 【如学历、学位、教育经历(如入学日期、毕业日期、学校、院系、专业等)、成绩单、资质证书、培训记录等】 |
个人工作信息 | 个人求职和工作情况相关信息 【如个人职业、职位、 职称、工作单位、工作地点、工作经历、工资、工作表现、简历等】 | |
个人财产信息 | 金融账户信息 | 金融账户及账户相关信息 【如银行卡号、支付账号、银行卡磁道数据(或芯片等效信息)、银行卡有效 期、证券账户、基金账户、保险账户、公积金账户、 公积金联名账号、账户开立时间、开户机构、账户余额、支付标记信息等】 |
个人交易信息 | 交易过程中产生的交易信息和消费记录 【如交易订单、交易金额、支付记录、透支记录、交易状态、交易日志、交易凭证、账单,证券委托、成交、持仓信息,保单信息、理赔信息等】 | |
个人资产信息 | 个人实体和虚拟财产信息 【如个人收入状况、房产信息、存款信息、车辆信息、纳税额、公积金缴存明细(含余额、基数、缴纳公司、公积金中心、状态等)、银行流水、虚拟财产(虚拟货币、虚拟交易、 游戏类兑换码等)、个人社保与医保存缴金额等】 | |
个人借贷信息 | 个人在借贷过程中产生的信息 【如个人借款信息、还款信息、欠款信息、信贷记录、征信信息、担保情况等】 | |
身份鉴别信息 | 用于身份鉴别的数据 【如账户登录密码、银行卡密码、支付密码、账户查询密码、交易密码、银行卡有效期、银行卡片验证码(CVN 和 CVN2)、USBKEY、 动态口令、U盾(网银、手机银行密保工具信息)、 短信验证码、密码提示问题答案、手机客服密码、个人数字证书、随机令牌等】 | |
个人通信信息 | 通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容(如文字、图片、音频、视频、文件等),及描述个人通信的元数据(如通话时长)等 | |
联系人信息 | 描述个人与关联方关系的信息 【如通讯录、好友列表、群列表、电子邮件地址列表、家庭关系、工作关 系、社交关系等】 | |
个人上网记录 | 个人操作记录 | 个人在业务服务过程中的操作记录和行为数据 【如网页浏览记录、软件使用记录、点击记录、Cookie、 发布的社交信息、点击记录、收藏列表、搜索记录、服务使用时间、下载记录、访问时间(含登录时间、退出时间)等】 |
业务行为数据 | 用户使用某业务的行为记录 【如游戏业务:用户游戏登录时间、最近充值时间、累计充值额度、用户通 关记录)等】 | |
个人设备信息 | 可变更的唯一设备识别码 | Android ID、IDFA、IDFV、OAID 等 |
不可变更的唯一设备识别码 | IMEI、IMSI、MEID、设备 MAC 地址、硬件序列号、 ICCID 等 | |
应用软件列表 | 终端上安装的应用程序列表,如每款应用软件的名称、版本等 | |
个人位置信息 | 粗略位置信息 | 仅能定位到行政区、县级等的位置信息,如地区代码、城市代码等 |
精确位置信息 | 能具体定位到个人的地理位置数据 【如行踪轨迹、 经纬度、住宿信息、小区代码、基站号、基站经纬度 坐标等】 | |
个人标签信息 | 基于个人上网记录等各类个人信息加工产生的用于对个人用户分类分析的描述信息【如 App 偏好、关系标签、终端偏好、内容偏好等标签信息】 | |
个人运用信息 | 步数、步频、运动时长、运动距离、运动方式、运动 心率等 | |
其他个人信息 | 性取向、婚史、宗教信仰、未公开的违法犯罪记录等 |
* 上下滑动查看具体分类及其说明
02
个人信息定级
个人信息等级划分
根据《中华人民共和国个人信息保护法》要求,按照个人信息一旦泄露或者非法使用,对个人合法权益造成的危害程度,可以将个人信息分为一般个人信息和敏感个人信息。
1
一般个人信息:一旦泄露或非法使用,对自然人个人信息权益造成轻微或一般影响,不易导致自然人的人格尊严、人身安全、财产安全受到侵害。例如:网络身份标识信息
2
敏感个人信息:一旦泄露或非法使用,容易导致自然人的人格尊严受到侵害或者人身安全、财产安全受到危害。
敏感个人信息主要包括以下几种情况:
个人信息定级流程
个人信息定级,可优先判定是否属于敏感个人信息。如果属于敏感个人信息,则定为一般数据 4 级。如果属于一般个人信息,则按照一般数据分级规则,分析影响程度确定属于哪个级别。一般个人信息一般不低于2级。
处理100万人以上个人信息的数据处理者,按照重要数据处理者进行管理,应满足重要数据保护要求。
4
数据分类分级实施流程
01
数据分类分级实施流程的构建
数据分类分级流程的搭建是高效实行数据分类分级的基础,也是首要步骤。数据处理者可参考以下实施流程:
02
数据分类分级的动态管理
数据的类别级别并不是确定之后就一成不变的,而是可能因数据内容变化、时间变化、政策变化、不同场景的敏感性变化或相关行业规则不同而发生改变,因此需要数据处理者对数据分类分级进行定期审核并及时调整。
当数据出现下列情形之一时,需要重新定级:
a) 数据内容发生变化,导致原有数据的安全级别不再适用;
b)数据内容未发生变化,但数据时效性、数据规模、数据应用场 景、数据加工处理方式等发生变化;
c) 多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;
d)因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据;
e) 不同数据类型经汇聚融合形成新的数据类别,导致原有的数据 级别不再适用于汇聚融合后的数据;
f) 因国家或行业主管部门要求,导致原定的数据级别不再适用;
g)需要对数据安全级别进行变更的其他情形。
这就要求数据处理者应该根据数据变化的实际情况,及时调整数据的级别,如:
变化情形 | 级别调整 |
数据体量增加到特定规模导致社会重大影响 | 升级 |
达到国家有关部门规定精度的数据 | 升级 |
关联多个业务部门数据 | 升级 |
大量多维数据进行关联 | 升级 |
发生特定事件导致数据敏感性增强 | 升级 |
数据已被公开或披露 | 降级 |
数据进行脱敏或删除关键字段 | 降级 |
数据进行去标识化、假名化、匿名化 | 降级 |
数据发生特定事件导致数据失去敏感性 | 降级 |
5
数据分类分级的痛点和难点
数据分类
数据处理者往往可能希望一个分类维度可以实现多个目标,但是在实际操作中很难实现,因为只选择一个分类维度有可能会导致某些数据无法分到一个分类下;如果同时采取多个分类维度,又可能会导致一个数据同时属于几个不同的类别,可能会造成后续基于分类的操作出现混乱的情况。
数据分级
数据分级的依据是数据的影响对象和影响程度,影响对象的界限是较为明确的,但是对于影响程度,在现行法律法规及相关文件中大量使用了“轻微”、“一般”、“严重”、“重大”等这样的词汇来描述,并没有关于具体定量的标准。
就拿《工业和信息化领域数据安全管理办法(试行)》中对数据分级的规定来说,对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域的数据可认定为重要数据,对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁,严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域可认定为核心数据,在实际操作中,如何把握“威胁”与“严重威胁”、“影响”与“严重影响”的区别并没有具体的标准。
供稿 | 陈苏 沈姝迪
编辑 | 罗影璇
@广东金桥百信律师事务所
Kingbridge
Tiktok
正式进驻抖音视频号!
期待你的关注!
金桥百信 招贤纳士
►广东金桥百信律师事务所于1995年在广州设立,是国内第一批合伙制律师事务所。办公地址位于广州市CBD核心——珠江新城超甲级写字楼高德置地广场G座楼24、25楼,办公面积近5000平方米,执业律师逾460人。2015年事务所启动改制和创新管理,2019年凭借自身的核心竞争力和优势顺利入选ALB 2019年亚洲最大50家律师事务所,2020年被评为2016-2019年度广州优秀律师事务所。
►广东金桥百信律师事务所因不断壮大需求,诚邀志同道合的法律精英加盟,携手合作、共创美好金桥。
►合伙人加盟联系
人才发展委员会副主任罗建欣律师
邮箱:luojianxin@kingbridgelaw.com
电话:186 8888 9563
►律师、实习律师/助理、实习生加入联系
人力资源部郑小姐
邮箱:kingbridge@gdjqbx.com
电话:135 8043 6900
工作地点:广州市天河区珠江东路16号高德置地冬广场G座24、25楼
推荐阅读
金桥法谈 | 此种情形下承包人的建设工程款优先受偿权是否还能得到法律保障?
点击分享
点赞
点亮在看