对《数据安全法》的理解和认识 | 重要数据如何保护
笔者按:
第一篇文章关注《数据安全法》的立法思路:对《数据安全法》的理解和认识 | 立法思路。
第二篇文章关注《数据安全法》第十九条提出的数据分级分类的要求:对《数据安全法》的理解和认识 | 数据分级分类
第三篇文章关注《数据安全法》第三十三条提出的境外执法机构调取我境内数据的相关要求:对《数据安全法》的理解和认识 | 中国版的封阻法令
本篇文章关注《数据安全法》提出的重要数据保护路径。
一、重要数据概念的提出及发展
2016年11月发布的《中华人民共和国网络安全法》首次提出重要数据的概念,并在第三十七条规定了关键信息基础设施运营者掌握的重要数据境内存储及出境应进行安全评估。
2017年,国家标准《信息安全技术 重要数据识别指南》征求意见稿中以规范性附录的形式给出了“重要数据识别指南”,首次提出了重要数据的完整定义,并列举了28个行业的重要数据类型、范围。在重要数据的定义中,附带给出了重要数据判定准则,按照数据未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后可能造成的后果,列出了9种情况。
2020年,国家信安标委正式立项国家标准《信息安全技术 重要数据识别指南》。从目前的草案稿来看,较之前的附录版“重要数据识别指南”,该标准简化了重要数据定义、明确提出了重要数据的主要分布;不再延用行业分类的方式,而是从数据的作用、受破坏后可能带来的影响等角度,将重要数据分为国民经济运行类、安保类、自然资源与环境类、健康类、敏感技术类、用户类及政府工作秘密类。
此外,《网络安全法》出台后,各行业、各领域也组织开展了本行业、本领域的重要数据相关研究工作。以通信行业为例,一方面,行业组织了对基础电信企业数据资源和重要数据情况的摸底调研;另一方面,《基础电信企业重要数据识别指南》行业标准正在加紧研究制定,标准内容也涉及重要数据的定义,运营基础电信业务过程中识别重要数据的原则、规则、工作流程等。
从前期情况来看,对重要数据的研究工作主要集中于重要数据的定义、范围、识别规则等。随着研究的不断深入,各方对重要数据的理解愈加深刻,积累了一定的研究成果,同时也感觉到重要数据这一新概念的内涵外延,还有不少关键问题需要解决。但现在,我们还需要意识到,《数据安全法》的立法进程逐步提速,对重要数据的研究工作提出了更高要求,不仅要回答什么是重要数据,还需要回答如何保护重要数据。
二、《数据安全法(草案)》对重要数据保护的规定
《数据安全法(草案)》主要在第三章“数据安全制度”和第四章“数据安全保护义务”,从国家需建立的保护制度和重要数据的处理者应承担的保护义务两方面,对重要数据保护作出了规定。
在数据安全制度方面,《数据安全法(草案)》采取“目录”方式建立重要数据保护制度。草案第十九条第二款规定“各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。”从该条文表述来看,重要数据保护制度至少包含两方面内容:建立“重要数据保护目录”和对重要数据实施“重点保护”。至于重要数据保护目录的内容及呈现形式、更新维护方式,以及重点保护的具体措施,草案在立法层面为各地区、各部门根据本地区、本部门、本行业特点开展重要数据保护工作预留了充足空间。
在数据安全保护义务方面,《数据安全法(草案)》在一般数据安全保护义务之上,对重要数据的处理者规定了“增强型”的保护义务。草案第二十五条第二款规定“重要数据的处理者应当设立数据安全负责人和管理机构,落实数据安全保护责任。”第二十八条第一款规定“重要数据的处理者应当按照规定对其数据活动定期开展风险评估,并向有关主管部门报送风险评估报告。”第二款规定“风险评估报告应当包括本组织掌握的重要数据的种类、数量,收集、存储、加工、使用数据的情况,面临的数据安全风险及其应对措施等。”
以上是对《数据安全法(草案)》中明确涉及重要数据的条文梳理,而要全面理解草案对重要数据保护的制度安排,还需要从体系化的角度进一步分析。一方面,草案设计的数据分类分级、重要数据保护、风险评估、应急处置、安全审查等数据安全制度,重要数据作为数据的一个子集,对其的保护工作贯穿各项重要制度之中,而且重要数据应当作为重点对象,实施重点保护。另一方面,重要数据的处理者除履行设立管理机构、风险评估等“增强型”义务外,也应当履行一般数据保护义务。总结下来,重要数据的保护义务主要包括:
设立数据安全负责人和管理机构
建立健全全流程数据安全管理制度
组织开展数据安全教育培训
梳理本组织重要数据的种类、数量,收集、存储、加工、使用重要数据的情况(重要数据清单或台账)
采取相应技术措施和必要措施保障重要数据安全
加强风险监测与处置、安全事件报告
开展风险评估,报送评估报告
采取合法、正当的方式收集重要数据
在法律、行政法规规定的目的和范围内收集、使用重要数据
配合境内执法调取数据
境外执法机构调取数据的先行报告
可以说,继《网络安全法》首次提出重要数据概念之后,《数据安全法(草案)》进一步完善重要数据安全保障体系,是国家数据安全保障工作在立法层面的又一具有里程碑意义的成果。当然,从立法到法律规定在各行各业的落实,再到执法,不可能一蹴而就,还有很多工作需要完成,许多未知困难需要克服。
三、重要数据保护需考虑的点
开展重要数据保护工作,首先需要解决的第一个问题就是明确保护对象,即重要数据的定义、范围、识别规则。这也是迄今为止重要数据研究工作的焦点,相关研究成果已如前述,本文不再展开。但需要特别指出的一点是,不论以何种定义、何种识别规则形成的重要数据目录,都需要配套建立更新维护、动态调整的管理机制,才能够达到通过保护重要数据,进而控制、降低国家数据安全风险的目标。
开展重要数据保护工作,需要有关部门依据《数据安全法》出台细化的管理制度和管理要求,组织制定配套技术标准;需要重要数据的处理者建立完善内部安全管理制度和技术保障措施,履行重要数据保护义务;需要安全产业提供专业的数据安全产品和服务支持;需要构建多方参与的数据治理生态体系等。
此外,开展重要数据保护工作,还需要做好与其他数据安全相关制度的协同配合,发挥出“1+1”大于2的效果,实现对我国数据资源的完整保护。一是做好重要数据保护与数据分类分级工作的协同。重要数据的概念实际上是依据数据所含信息的重要敏感程度,对数据的一个分类概念,其中既包含了数据分类,也包含了数据分级。因此,重要数据与数据分类分级中的安全等级需要建立起一般对映关系,重要数据的保护要求与数据分类分级中基于安全等级的保护要求,需要明确适用规则,才能够做到实际保护工作中不会存在冲突。二是做好重要数据保护与个人信息保护的协同。从现有研究结论来看,个人信息从自身的敏感程度或因为量级导致影响程度发生质变,都有可能被识别为重要数据,对这类既是重要数据又是个人信息的数据如何保护,需要两个制度间的衔接。
四、重要数据的保护思路与建议
对于需要落实重要数据保护主体责任的重要数据处理者来说,可以从以下三个方面着手,规划部署本组织内的重要数据保护工作。
第一,以重要数据保护目录为基础,建立重要数据动态识别机制。数据在使用、流通过程中,处理场景和方式常会发生变化,总会存在一部分数据因汇聚、整合、分析后与国家安全、公共利益产生关联而转化为重要数据,这些数据活动很难完整预测,这些数据类型也很难事先被全部纳入重要数据保护目录。因此,重要数据的处理者除需要基于保护目录识别本组织掌握的重要数据外,还需要在业务日常运营中配套建立动态识别机制,特别关注利用大数据技术的数据活动,及时研判数据是否因汇聚、整合、分析而“升级”为重要数据,及时调整保护策略,从而真正实现对重要数据的完整保护。
第二,抓住数据活动关键环节,对重要数据实施重点保护。重要数据关注的安全风险是数据一旦泄露、未经授权访问、篡改、滥用,或汇聚、整合、分析后影响国家安全、公共利益的可能性和后果严重性。从数据全生命周期来看,更容易发生数据泄露或滥用安全事件的环节主要包括数据存储、共享、披露,及汇聚、整合、分析等大数据分析活动。因此,重要数据的处理者在构建本组织内部的重要数据保护体系时,需要重点关注上述数据生命周期关键环节,充分运用管理和技术措施防范重要数据安全风险。
第三,健全数据安全保障技术手段,提升重要数据保护能力。数据作为一种新型生产要素,必然需要使用和流通,相应的,数据安全保护理念也需要从静态防护向在数据流动过程中实现动态风险控制转变。重要数据面临的情况亦如此,这就需要重要数据的处理者健全完善覆盖数据生命周期的数据安全技术保障手段,与安全管理规程、人员管理等工作协同配合,实现对重要数据的全方位、立体式保护。(完)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
人脸识别系列文章
美国联邦隐私保护立法草案研究
美国联邦隐私保护立法草案研究(一):“行为个性化”
美国联邦隐私保护立法草案研究(二):“个人敏感信息”
美国联邦隐私保护立法草案研究(三):“个人敏感信息”的保护规则
美国联邦隐私保护立法草案研究(四):“生物识别信息”
传染病疫情防控与个人信息保护系列文章
个人数据与域外国家安全审查系列文章
美国电信行业涉及外国参与的安全审查系列文章
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
中国的网络安全审查系列文章:
美国的出口管制制度系列文章:
自动驾驶系列文章:
欧盟“技术主权”进展跟踪系列文章:
第29条工作组/EDPB关于GDPR的指导意见:
数据跨境流动系列文章: