查看原文
其他

律师视点 | 黄斌:元宇宙法律篇(三十九)——元宇宙下的数据治理操作指引

黄斌 德和衡律师
2024-08-25
黄  斌

北京德和衡(深圳)律师事务所

高级联席合伙人


元宇宙中各种应用场景的使用越来越广泛,数据的采集和处理任务越来越繁重,必然涉及到数据治理。数据治理是元宇宙平台、企业对于数据使用的一整套管理行为,包括但不限于使用法律法规、管理制度、标准规范、技术工具等一系列手段, 具体通过数据分类分级、重要数据识别、角色权限及访问控制、敏感数据分级管控、场景化数据安全等举措使数据在生命周期中安全流动,最终实现对数据的可用性、完整性和安全性的整体管理。














一、数据分类分级














国家建立数据分类分级保护制度,按照数据所属行业领域进行分类分级管理,依据科学实用原则、边界清晰原则、就高从严原则、点面结合原则和动态更新原则对数据进行分类分级。数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法或线分类法从多个维度进行分类,对不同维度的数据类别进行标识。工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等);或者包括但不限于平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。


按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。工业数据根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别。再比如:冬奥会数据,根据数据的特征和属性的不同进行划分为个人数据、竞赛数据、业务数据、运行和安全数据四大类别,根据数据的影响对象和程度等划分为公开级、内部级、敏感级、机要级四个等级。


《网络数据安全管理条例(征求意见稿)》


第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。


国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。


各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。


《网络安全标准实践指南——数据分类分级指引》


4 数据分类分级框架

4.1 数据分类框架


数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。本实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。常见的数据分类维度,包括但不限于:


a)公民个人维度:按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息。


b)公共管理维度:为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。


注:b)给出的分类是按照广义的公共数据进行分类,如果从狭义的公共数据角度,数据也可分为政务数据、公共数据、社会数据。


c)信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。


d)行业领域维度:按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等,其他行业领域可参考 GB/T 4754—2017《国民经济行业分类》。


e)组织经营维度:在遵循国家和行业数据分类分级要求的基础上,数据处理者也可按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。附录 A 给出了组织经营维度的数据分类参考示例,分为用户数据、业务数据、经营管理数据、系统运行和安全数据。


数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法从多个维度进行分类,对不同维度的数据类别进行标识,每个维度的数据分类也可采用线分类法进行细分。


《工业数据分类分级指南(试行)》


第二章数据分类


第五条 工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单。


第六条 工业企业工业数据分类维度包括但不限于研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)。


第七条 平台企业工业数据分类维度包括但不限于平台运营数据域(物联采集数据、知识库模型库数据、研发数据等)和企业管理数据域(客户数据、业务合作数据、人事财务数据等)。


第三章数据分级


第八条 根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别。


第九条 潜在影响符合下列条件之一的数据为三级数据:


(一)易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;


(二)对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。


第十条 潜在影响符合下列条件之一的数据为二级数据:


(一)易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大;


(二)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露;


(三)恢复工业数据或消除负面影响所需付出的代价较大。


第十一条 潜在影响符合下列条件之一的数据为一级数据:


(一)对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小;


(二)给企业造成负面影响较小,或直接经济损失较小;


(三)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短;


(四)恢复工业数据或消除负面影响所需付出的代价较小。


第四章分级管理


第十二条 工业和信息化部负责制定工业数据分类分级制度规范,指导、协调开展工业数据分类分级工作。各地工业和信息化主管部门负责指导和推动辖区内工业数据分类分级工作。有关行业、领域主管部门可参考本指南,指导和推动本行业、本领域工业数据分类分级工作。


第十三条 工业企业、平台企业等企业承担工业数据管理的主体责任,要建立健全相关管理制度,实施工业数据分类分级管理并开展年度复查,并在企业系统、业务等发生重大变更时应及时更新分类分级结果。有条件的企业可结合实际设立数据管理机构,配备专职人员。


第十四条 企业应按照《工业控制系统信息安全防护指南》等要求,结合工业数据分级情况,做好防护工作。


企业针对三级数据采取的防护措施,应能抵御来自国家级敌对组织的大规模恶意攻击;针对二级数据采取的防护措施,应能抵御大规模、较强恶意攻击;针对一级数据采取的防护措施,应能抵御一般恶意攻击。


第十五条 鼓励企业在做好数据管理的前提下适当共享一、二级数据,充分释放工业数据的潜在价值。二级数据只对确需获取该级数据的授权机构及相关人员开放。三级数据原则上不共享,确需共享的应严格控制知悉范围。


第十六条 工业数据遭篡改、破坏、泄露或非法利用时,企业应根据事先制定的应急预案立即进行应急处置。涉及三级数据时,还应将事件及时上报数据所在地的省级工业和信息化主管部门,并于应急工作结束后30日内补充上报事件处置情况。


《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》


第二章 数据分类分级管理


第七条【分类分级工作要求】工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。


地方工业和信息化主管部门、通信管理局、无线电管理机构组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区行业(领域)重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。


工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成目录。


第八条【分类分级方法】根据行业要求、特点、业务需求、数据来源和用途等因素,工业和信息化领域数据分类类别包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。


根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,工业和信息化领域数据分为一般数据、重要数据和核心数据三级。


工业和信息化领域数据处理者可在此基础上细分数据的类别和级别。


《信息安全技术 网络数据分类分级要求(征求意见稿)》


4 基本原则


在遵循国家数据分类分级保护要求的基础上,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。


a) 科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。


b) 边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。

c) 就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。


d) 点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。

e) 动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。


5 数据分类框架和方法


5.1 数据分类框架


数据按照先行业领域分类、再业务属性分类的思路进行分类。


a) 按照业务所属行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。


b) 各行业各领域主管(监管)部门根据本行业本领域业务属性,

对行业领域数据进行细化分类。常见业务属性包括但不限于:


1) 业务领域:按照业务范围或业务种类进行细化分类;

2) 责任部门:按照数据管理部门或职责分工进行细化分类;

3) 描述对象:按照数据描述对象进行细化分类;

4) 上下游环节:按照业务运营活动的上下游环节进行细化分类;

5) 数据主题:按照数据的内容主题进行细化分类;

6) 数据用途:按照数据使用目的进行细化分类;

7) 数据处理:按照数据处理者类型或数据处理活动进行细化分类;

8) 数据来源:按照数据来源进行细化分类。

c) 如涉及法律法规有专门管理要求的数据类别(如个人信息),应按照有关规定或标准对个人信息、敏感个人信息进行识别和分类。


5.2 行业领域数据分类方法


行业领域开展数据分类时,应根据行业领域数据管理和使用需求,结合本行业本领域已有的数据分类基础,灵活选择业务属性将数据逐级细化分类。行业领域数据分类方法重点考虑以下内容:


a) 明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。


b) 细化业务分类:对本行业本领域业务进行细化分类,包括:


1) 结合部门职责分工,明确行业领域或业务条线分类;


注 1:例如,工业领域数据,按照部门职责分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。


2) 按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类;


注 2:例如,原材料可分为钢铁、有色金属、石油化工等;装备制造可分为汽车、船舶、航空、航天、工业母机、工程机械等。


c) 业务属性分类:按需选择数据描述对象、数据主题、责任部门、上下游环节、数据用途、数据处理、数据来源等业务属性特征,采用线分类法对关键业务的数据进行细化分类。附录 A给出了基于数据描述对象的行业领域数据分类参考示例。


d) 确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则,例如:

1) 可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则;


注 3:例如,钢铁数据按照数据描述对象,可分为用户数据、业务数据、经营管理数据、系统运行和安全数据等,用户数据可细分为个人身份信息、网络身份标识信息、个人上网记录等,业务数据可细分为研发设计数据、控制信息、工艺参数等,数据类别标识为“工业数据-原材料数据-钢铁数据-用户数据个人身份信息”、“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据”等。


2) 也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。


注 4:例如,工业领域数据也可按照数据处理、上下游环节等业务属性进行分类,首先按照数据处理者类型分为工业企业工业数据,平台企业工业数据,再将工业企业工业数据分为研发数据、生产数据、运维数据、管理数据、外部数据,然后按照数据主题将生产数据分为控制信息、工况状态、工艺参数、系统日志等。


5.3 数据处理者数据分类流程


数据处理者进行数据分类时,应遵守国家和行业数据分类规则,数据分类流程主要包括以下步骤:


a) 确定数据处理者业务涉及的行业领域;


b) 按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类;


c) 识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识;

d) 如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类。


6 数据分级框架


根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。各行业各领域应在遵循数据分级框架的基础上,明确本行业本领域数据分级规则,并对行业领域数据进行定级。


a) 核心数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。


b) 重要数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。


c) 一般数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,仅影响小范围的组织或公民个体合法权益。


7 数据分级确定方法


7.1 概述


数据分级通过定量与定性相结合的方式,首先识别数据分级要素情况,然后开展数据影响分析,确定数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度,最终综合确定数据级别。


7.2 数据分级要素


影响数据分级的要素,包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等,其中领域、群体、区域、重要性、安全风险通常属于定性要素,精度、规模、覆盖度属于定量要素,深度通常作为衍生数据的分级要素。识别数据定级要素相关情况,常见考虑因素见附录B。


a) 领域:是指数据描述的业务范畴,数据领域识别可考虑数据描述的行业领域、业务条线、生产经营活动、上下游环节、内容主题等因素。


b) 群体:是指数据描述的主体或对象集合,数据群体识别可考虑数据描述的特定人群、特定组织、网络和信息系统、资源物资、设备设施等因素。


c) 区域:是指数据涉及的地区范围,数据区域识别可考虑数据描述的行政区划、特定地区、物理场所等。


d) 精度:是指数据的精确或准确程度,数据精度越高表示采集数据和真实数据的误差越小。数据精度识别可考虑数值精度、空间精度、时间精度等因素。


e) 规模:是指数据规模及数据描述的对象范围或能力大小,数据规模识别可考虑数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。


f) 深度:是指通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度识别可考虑数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。


g) 覆盖度:是指数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度识别可考虑对特定领域、特定群体、特定区域、时间段的覆盖占比、覆盖分布等因素。


h) 重要性:是指数据在经济社会发展中的重要程度。重要性识别可考虑数据在经济建设、社会建设、政治建设、文化建设、生态文明建设等的重要程度。


i) 安全风险:主要识别数据可能遭到泄露、篡改、破坏、非法获取、非法利用、非法共享的风险。


7.5 数据分级流程


7.5.1 数据分级步骤


可参考以下步骤开展数据分级。


a) 确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。


注:数据项是数据不可分割的最小单位,通常表现为数据库表某一列字段等。数据集是由多个数据项组成的集合,如数据库表、数据文件等。跨行业领域数据是指跨行业领域流动的数据,及多个行业领域数据融合加工的数据。


b) 分级要素识别:按照 7.2 识别数据的领域、群体、区域、精度、规模、深度、重要性、安全风险等分级要素情况。


c) 数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象(见 7.3.1)和影响程度(见 7.3.2)。


d) 综合确定级别:按照 7.4 的分级参考规则,综合确定数据级别。


7.5.2 综合确定级别


在分级要素识别、数据影响分析的基础上,按照7.4分级参考规则综合确定数据级别。


a) 综合确定级别时,可按照重要数据、核心数据、一般数据的顺序进行确定:


1) 首先进行重要数据定级评估,可参考重要数据识别相关标准,重点评估数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享,是否可能直接危害国家安全、经济运行、社会稳定、公共健康和安全,如果符合 7.4 中 a)则进一步评估数据是否为核心数据;


2) 核心数据定级评估可在识别为重要数据的基础上,重点评估数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享,是否可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。如果符合 7.4 中 b)则将数据确定为核心数据,如果不符合则将数据确定为重要数据;


3) 重要数据、核心数据之外的数据可确定为一般数据,一般数据定级评估可参考 7.4 中 c)进行评估。


b) 数据集级别可在数据项级别的基础上,按照就高从严的原则,可以将数据集包含数据项的最高级别作为数据集默认级别,但同时也要考虑分级要素(如数据规模)变化可能需要调高级别。


注:数据集中数据项级别与数据集级别不一定相同,具体要根据该数据项的影响对象和影响程度进行判断。


c) 衍生数据级别可按照就高从严原则,在原始数据级别的基础上进行分级,同时综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益的影响,对数据级别进行调整,衍生数据级别确定可参考附录 E。


d) 跨行业领域数据分级,原则上可按照数据来源的行业领域数据分级规则确定级别,如果存在跨行业领域数据融合加工,需考虑跨行业领域对数据分级要素的影响,按照衍生数据确定级别。


f) 根据数据重要程度和可能造成的危害程度的变化,可对数据级别进行动态更新,动态更新情形可参考附录 F。


7.5.3 行业分级规则


各行业各领域在遵循数据分级框架的基础上,结合行业领域数据分级要素识别、数据影响分析和综合确定级别等实践经验,制定本行业本领域数据分级规则,重点可以考虑明确以下内容。


a) 给出本行业本领域重要数据目录或识别细则,明确哪些数据可确定为重要数据,包括但不限于:


1) 本行业本领域哪些特定领域、特定群体、特定区域,以及达到什么精度、什么规模的数据,可能直接关系国家安全、经济发展、社会稳定、公共健康和安全;


2) 本行业本领域达到什么深度的衍生数据,可能直接关系国家安全、经济发展、社会稳定、公共健康和安全。


b) 提出本行业本领域核心数据目录建议,明确哪些数据建议确定为核心数据,包括但不限于:


1) 本行业本领域对特定领域、特定群体、特定区域具有什么覆盖度,以及达到什么精度、什么规模、什么覆盖度的重要数据,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益;


2) 本行业本领域达到什么深度的衍生数据,可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。


c) 明确本行业本领域一般数据范围。

注:行业领域也可以根据工作需要对一般数据进行细化分级。














二、重要数据识别














重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。识别重要数据遵循的原则包括:聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合和动态识别复评。元宇宙平台或企业应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成目录。


《数据出境安全评估办法》


第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。


《网络数据安全管理条例(征求意见稿)》


第七十三条 本条例下列用语的含义:


(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:


1.未公开的政务数据、工作秘密、情报数据和执法司法数据;


2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;


3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;


4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;


5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;


6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;


7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。


(四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。


《信息安全技术 重要数据识别指南(征求意见稿)》


3.1


重要数据 critical data


以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。


注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。


4 识别重要数据的基本原则


识别重要数据遵循的原则如下:


a)聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据;


b)突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值;


c)衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接;


d)综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性;


e)定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采取定量或定性方法;


f)动态识别复评:随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复查重要数据识别结果。


5 重要数据的识别因素


识别重要数据时,可考虑如下因素:


a)反映国家战略储备、应急动员能力,如战略物资产能、储备量属于重要数据;


b)支撑关键基础设施运行或重点领域工业生产,如直接支撑关键基础设施所在行业、领域核心业务运行或重点领域工业生产的数据属于重要数据;


c)反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击,如反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据属于重要数据;


d)关系出口管制物项,如描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告属于重要数据;


e)可能被其他国家或组织利用发起对我国的军事打击,如满足一定精度要求的地理信息属于重要数据;


f)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏,如反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息属于重要数据;


g)可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击,如重要客户清单、未公开的关键信息基础运营者采购产品和服务情况、未公开的重大漏洞属于重要数据;


h)反映群体健康生理状况、族群特征、遗传信息等的基础数据,如人口普查资料、人类遗传资源信息、基因测序原始数据属于重要数据;


i)国家自然资源、环境基础数据,如未公开的水情信息、水文观测数据、气象观测数据、环保监测数据属于重要数据;


j)关系科技实力、影响国际竞争力,如描述与国防、国家安全相关的知识产权的数据属于重要数据;


k)关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁,如重点企业金融交易数据、重要装备生产制造信息,以及国家重大工程施工过程中的重要装备配备、使用等生产活动信息属于重要数据;


l)在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息,如军工企业较长一段时间内的用车信息;

m)未公开的政务数据、工作秘密、情报数据和执法司法数据,如未公开的统计数据;


n)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。


具备以上因素之一的,是重要数据。


6 重要数据描述格式


a)基本信息


1)“处理者”指重要数据处理者;


2)“系统或应用”指重要数据所在的系统或所支撑的应用;


3)“地区或部门”指重要数据处理者所在的地区或部门。


b)分类


1)“类”指重要数据的类别,根据重要数据处理者所在地区、部门的规定确定;


2)“子类”指重要数据的子类别,视情况填写,有的重要数据还可对子类进一步细分。


c)重要性描述


1)“影响”指重要数据对国家安全、公共利益的影响,即重要数据之所以“重要”的理由;


2)“安全威胁”指重要数据在保密性、完整性、可用性、真实性、准确性等方面可能面临的安全威胁;


3)“重要性时效”指重要数据维持“重要性”的时间长度,时效过后便不再属于重要数据。


d)产生、使用与保护


1)“数量”指重要数据的量;


2)“来源”指重要数据如何收集或产生;


3)“用途”指使用重要数据的目的以及具体方式方法;


4)“共享情况”指与其他组织共享、交易、委托处理或向境外传输重要数据的情况;


5)“保护情况”指对重要数据采取的安全保护措施。


e)“备注”用于描述其他需要说明的事项。


《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》


第二章 数据分类分级管理


第七条【分类分级工作要求】工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。


地方工业和信息化主管部门、通信管理局、无线电管理机构组织开展本地区工业和信息化领域数据分类分级管理及重要数据和核心数据识别工作,确定本地区行业(领域)重要数据和核心数据具体目录并上报工业和信息化部,目录发生变化的,应当及时上报更新。


工业和信息化领域数据处理者应当定期梳理数据,按照相关标准规范识别重要数据和核心数据并形成目录。














三、分级保护














数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。


《网络数据安全管理条例(征求意见稿)》


第九条 数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。


第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:


(一)研究提出数据安全相关重大决策建议;


(二)制定实施数据安全保护计划和数据安全事件应急预案;


(三)开展数据安全风险监测,及时处置数据安全风险和事件;


(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;


(五)受理、处置数据安全投诉、举报;


(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。


数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。


第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:


(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;


(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;


(三)国家网信部门和主管、监管部门规定的其他备案内容。


处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。


依据部门职责分工,网信部门与有关部门共享备案信息。


第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。


第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。


《数据安全治理能力评估方法》


5 数据安全治理能力总体要求


数据安全治理能力包括数据安全战略、数据全生命周期安全、基础安全三部分,见图2所示。


数据安全战略能力包括:数据安全规划、机构人员管理。


数据全生命周期安全能力包括:数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全。


基础安全能力包括:数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急。


6 评估等级


数据安全治理能力评估等级将从组织建设的完备程度、制度流程覆盖面、技术工具支撑力度、人员能力培养四个维度划分为三级,分别是基础级、优秀级、先进级,每个后一级的标准均是在前一级基础上的加强。


《网络安全等级保护条例(征求意见稿)》


第三条【确立制度】国家实行网络安全等级保护制度,对网络实施分等级保护、分等级监管。


第十五条【网络等级】根据网络在国家安全、经济建设、社会生活中的重要程度,以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素,网络分为五个安全保护等级。


(一)第一级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益的一般网络。


(二)第二级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全的一般网络。


(三)第三级,一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害,或者会对社会秩序和社会公共利益造成严重危害,或者对国家安全造成危害的重要网络。


(四)第四级,一旦受到破坏会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害的特别重要网络。


(五)第五级,一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。














四、角色权限及访问控制














数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。元宇宙平台或企业在重要数据识别后,要使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值。元宇宙平台或企业必然要控制好角色权限,对不同等级的数据分配给相应的用户角色,利用多种访问控制技术相互配合去保护数据。元宇宙平台或企业根据业务场景和管理职责划分用户权限,比如:生产人员只能看到产品销售数据,销售人员只能看到客户名单,物流人员只能看到客户名称、地址、联系方式等,领导只能看到与自己职责相关的跨部门数据,总之通过控制用户权限满足数据权限最小化原则。


《网络数据安全管理条例(征求意见稿)》


第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。














五、数据治理及安全治理能力评估














元宇宙平台或企业应当建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。数据治理应当遵循全覆盖原则、匹配性原则、持续性原则和有效性原则。元宇宙平台或企业应当确立数据质量管理目标,建立控制机制,确保数据的真实性、准确性、连续性、完整性和及时性;应当在风险管理、业务经营与内部控制中加强数据应用,实现数据驱动,提高管理精细化程度,发挥数据价值。数据安全治理能力包括数据安全战略、数据全生命周期安全、基础安全三部分,数据安全战略能力包括:数据安全规划、机构人员管理,数据全生命周期安全能力包括:数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全,基础安全能力包括:数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急。数据安全治理能力评估等级将从组织建设的完备程度、制度流程覆盖面、技术工具支撑力度、人员能力培养四个维度划分为三级,分别是基础级、优秀级、先进级,每个后一级的标准均是在前一级基础上的加强。


《银行业金融机构数据治理指引》


第三条 数据治理是指银行业金融机构通过建立组织架构,明确董事会、监事会、高级管理层及内设部门等职责要求,制定和实施系统化的制度、流程和方法,确保数据统一管理、高效运行,并在经营管理中充分发挥价值的动态过程。


第四条 银行业金融机构应当将数据治理纳入公司治理范畴,建立自上而下、协调一致的数据治理体系。


第五条 银行业金融机构数据治理应当遵循以下基本原则:


(一)全覆盖原则。数据治理应当覆盖数据的全生命周期,覆盖业务经营、风险管理和内部控制流程中的全部数据,覆盖内部数据和外部数据,覆盖监管数据,覆盖所有分支机构和附属机构。


(二)匹配性原则。数据治理应当与管理模式、业务规模、风险状况等相适应,并根据情况变化进行调整。


(三)持续性原则。数据治理应当持续开展,建立长效机制。


(四)有效性原则。数据治理应当推动数据真实准确客观反映银行业金融机构实际情况,并有效应用于经营管理。


第六条 银行业金融机构应当将监管数据纳入数据治理,建立工作机制和流程,确保监管数据报送工作有效组织开展,监管数据质量持续提升。


法定代表人或主要负责人对监管数据质量承担最终责任。


第七条 银行业监督管理机构依据本指引对银行业金融机构数据治理情况实施监管。


第二章  数据治理架构


第八条 银行业金融机构应当建立组织架构健全、职责边界清晰的数据治理架构,明确董事会、监事会、高级管理层和相关部门的职责分工,建立多层次、相互衔接的运行机制。


第九条 银行业金融机构董事会应当制定数据战略,审批或授权审批与数据治理相关的重大事项,督促高级管理层提升数据治理有效性,对数据治理承担最终责任。


第十条 银行业金融机构监事会负责对董事会和高级管理层在数据治理方面的履职尽责情况进行监督评价。


第十一条 银行业金融机构高级管理层负责建立数据治理体系,确保数据治理资源配置,制定和实施问责和激励机制,建立数据质量控制机制,组织评估数据治理的有效性和执行情况,并定期向董事会报告。


银行业金融机构可根据实际情况设立首席数据官。首席数据官是否纳入高级管理人员由银行业金融机构根据经营状况确定;纳入高级管理人员管理的,应当符合相关行政许可事项的要求。


第十二条 银行业金融机构应当确定并授权归口管理部门牵头负责实施数据治理体系建设,协调落实数据管理运行机制,组织推动数据在经营管理流程中发挥作用,负责监管数据相关工作,设置监管数据相关工作专职岗位。


第十三条 业务部门应当负责本业务领域的数据治理,管理业务条线数据源,确保准确记录和及时维护,落实数据质量控制机制,执行监管数据相关工作要求,加强数据应用,实现数据价值。


第十四条 银行业金融机构应当在数据治理归口管理部门设立满足工作需要的专职岗位,在其他相关业务部门设置专职或兼职岗位。


第十五条 银行业金融机构应当建立一支满足数据治理工作需要的专业队伍,至少按年度对人员进行系统培训,科学规划职业成长通道,确定合理薪酬水平。


第十六条 银行业金融机构应当建立良好的数据文化,树立数据是重要资产和数据应真实客观的理念与准则,强化用数意识,遵循依规用数、科学用数的职业操守。


第三章  数据管理


第十七条 银行业金融机构应当结合自身发展战略、监管要求等,制定数据战略并确保有效执行和修订。


第十八条 银行业金融机构应当制定全面科学有效的数据管理制度,包括但不限于组织管理、部门职责、协调机制、安全管控、系统保障、监督检查和数据质量控制等方面。


银行业金融机构应当根据监管要求和实际需要,持续评价更新数据管理制度。


第十九条 银行业金融机构应当制定与监管数据相关的监管统计管理制度和业务制度,及时发布并定期评价和更新,报银行业监督管理机构备案。制度出现重大变化的,应当及时向银行业监督管理机构报告。


第二十条 银行业金融机构应当建立覆盖全部数据的标准化规划,遵循统一的业务规范和技术标准。数据标准应当符合国家标准化政策及监管规定,并确保被有效执行。


第二十一条 银行业金融机构应当持续完善信息系统,覆盖各项业务和管理数据。信息系统应当有完备的数据字典和维护流程,并具有可拓展性。


第二十二条 银行业金融机构应当建立适应监管数据报送工作需要的信息系统,实现流程控制的程序化,提高监管数据加工的自动化程度。


第二十三条 银行业金融机构应当加强数据采集的统一管理,明确系统间数据交换流程和标准,实现各类数据有效共享。


第二十四条 银行业金融机构应当建立数据安全策略与标准,依法合规采集、应用数据,依法保护客户隐私,划分数据安全等级,明确访问和拷贝等权限,监控访问和拷贝等行为,完善数据安全技术,定期审计数据安全。


银行业金融机构采集、应用数据涉及到个人信息的,应遵循国家个人信息保护法律法规要求,符合与个人信息安全相关的国家标准。


第二十五条 银行业金融机构应当加强数据资料统一管理,建立全面严密的管理流程、归档制度,明确存档交接、口径梳理等要求,保证数据可比性。


第二十六条 银行业金融机构应当建立数据应急预案,根据业务影响分析,组织开展应急演练,完善处置流程,保证在系统服务异常以及危机等情景下数据的完整、准确和连续。


第二十七条 银行业金融机构应当建立数据治理自我评估机制,明确评估周期、流程、结果应用、组织保障等要素的相关要求。


评估内容应覆盖数据治理架构、数据管理、数据安全、数据质量和数据价值实现等方面,并按年度向银行业监督管理机构报送。


第二十八条 银行业金融机构应当建立问责机制,定期排查数据管理、数据质量控制、数据价值实现等方面问题,依据有关规定对高级管理层和相关部门及责任人进行问责。


银行业金融机构应结合实际情况,建立激励机制,保障数据治理工作有效推进。


第四章  数据质量控制


第二十九条 银行业金融机构应当确立数据质量管理目标,建立控制机制,确保数据的真实性、准确性、连续性、完整性和及时性。


第三十条 银行业金融机构各项业务制度应当充分考虑数据质量管理需要,涉及指标含义清晰明确,取数规则统一,并根据业务变化及时更新。


第三十一条 银行业金融机构应当加强数据源头管理,确保将业务信息全面准确及时录入信息系统。信息系统应当能自动提示异常变动及错误情况。


第三十二条 银行业金融机构应当建立数据质量监控体系,覆盖数据全生命周期,对数据质量持续监测、分析、反馈和纠正。


第三十三条 银行业金融机构应当建立数据质量现场检查制度,定期组织实施,原则上不低于每年一次,对重大问题要按照既定的报告路径提交,并按流程实施整改。


第三十四条 银行业金融机构应当建立数据质量考核评价体系,考核结果纳入本机构绩效考核体系,实现数据质量持续提升。


第三十五条 银行业金融机构应当建立数据质量整改机制,对日常监控、检查和考核评价过程中发现的问题,及时组织整改,并对整改情况跟踪评价,确保整改落实到位。


第三十六条 银行业金融机构应当按照监管要求报送法人和集团的相关数据,保证同一监管指标在监管报送与对外披露之间的一致性。如有重大差异,应当及时向银行业监督管理机构解释说明。


第三十七条 银行业金融机构应当建立监管数据质量管控制度,包括但不限于:关键监管指标数据质量承诺、数据异常变动分析和报告、重大差错通报以及问责等。


第五章  数据价值实现


第三十八条 银行业金融机构应当在风险管理、业务经营与内部控制中加强数据应用,实现数据驱动,提高管理精细化程度,发挥数据价值。


第三十九条 银行业金融机构应当充分运用数据分析,合理制定风险管理策略、风险偏好、风险限额以及风险管理政策和程序,监控执行情况并适时优化调整,提升风险管理体系的有效性。


全球系统重要性银行应遵循更高的标准,对照有效风险数据加总与风险报告评估要点的相关要求,强化风险管理。


第四十条 银行业金融机构应当加强数据应用,持续改善风险管理方法,有效识别、计量、评估、监测、报告和控制各类风险。


第四十一条 银行业金融机构应当提高数据加总能力,明确数据加总范围、方法、流程和加总结果要求等,满足在正常经营、压力情景以及危机状况下风险管理的数据需要。


加总内容包括但不限于交易对手、产品、地域、行业、客户以及其他相关的分类。加总技术应当主要采取自动化方式。


第四十二条 银行业金融机构应当加强数据分析应用能力,提高风险报告质量,明确风险报告数据准确性保障措施,覆盖重要风险领域和新风险,提供风险处置的决策与建议以及未来风险发展趋势。


第四十三条 银行业金融机构应当加强数据积累,优化风险计量,持续完善风险定价模型,优化风险定价体系。


第四十四条 银行业金融机构应当充分评估兼并收购、资产剥离等业务对自身数据治理能力的影响。有重大影响的,应当明确整改计划和时间表,满足银行集团风险管理要求。


第四十五条 银行业金融机构应当明确新产品新服务的数据管理相关要求,确保清晰评估成本、风险和收益,并作为准入标准。


第四十六条 银行业金融机构应当通过数据分析挖掘,准确理解客户需求,提供精准产品服务,提升客户服务质量和服务水平。


第四十七条 银行业金融机构应当通过量化分析业务流程,减少管理冗余,提高经营效率,降低经营成本。


第四十八条 银行业金融机构应当充分运用大数据技术,实现业务创新、产品创新和服务创新。


第四十九条 银行业金融机构应当按照可量化导向,完善内部控制评价制度和内部控制评价质量控制机制,前瞻性识别内部控制流程的缺陷,评估影响程度并及时处理,持续提升内部控制的有效性。


第六章  监督管理


第五十条 银行业监督管理机构应当通过非现场监管和现场检查对银行业金融机构数据治理情况进行持续监管。


第五十一条 银行业监督管理机构可根据需要,要求银行业金融机构通过内部审计机构或委托外部审计机构对其数据治理情况进行审计,并及时报送审计报告。


第五十二条 对数据治理不满足《中华人民共和国银行业监督管理法》等法律法规及国务院银行业监督管理机构审慎经营规则要求的银行业金融机构,银行业监督管理机构可采取相应措施:


(一)要求其制定整改方案,责令限期改正;

(二)与公司治理评价结果或监管评级挂钩;

(三)依法采取监管措施及实施行政处罚。


第七章  附则


第五十三条 外国银行分行以及银行业监督管理机构负责监管的其他金融机构参照执行本指引。


第五十四条 本指引由国务院银行业监督管理机构负责解释。


第五十五条 本指引自印发之日起施行。《银行监管统计数据质量管理良好标准(试行)》(银监发〔2011〕63号)同时废止。


《数据安全治理能力评估方法》


5 数据安全治理能力总体要求


数据安全治理能力包括数据安全战略、数据全生命周期安全、基础安全三部分,见图2所示。


数据安全战略能力包括:数据安全规划、机构人员管理。


数据全生命周期安全能力包括:数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全。


基础安全能力包括:数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急。


6 评估等级


数据安全治理能力评估等级将从组织建设的完备程度、制度流程覆盖面、技术工具

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存