CCS 2021 | 左晓栋：由重要数据识别看数据安全监管制度的进展

9月26日-27日，由四川省互联网信息办公室指导，成都市互联网信息办公室、成都高新技术产业开发区管理委员会联合主办，成都无糖信息技术有限公司承办的CCS 2021成都网络安全大会（以下简称“CCS大会”）在成都圆满举行，在大会首日的主论坛中，中国信息安全研究院副院长左晓栋在现场为大家带来了《由重要数据识别看数据安全监管制度的进展》的主题演讲，作为《重要数据识别指南》执笔起草人，其分享的内容对于了解我国在数据安全监管制度在当前及未来动态有着很强的参考价值，因此安全419也特别将其发言进行整理，以供参考。

左晓栋表示，在国家法律规定要建立起国家数据安全分类分级管理制度后，大家对于到底分几类、分几级等情况还有一些疑问，目前相关的政策还处在研究阶段，尚无定论，但来自于公安部网络安全保卫局的官方账号中提到过数据会分为三级，分别是核心数据、重要数据和一般数据。尽管最终如何制定以正式发布后的政策为准，但作为有着权威来源的信息，这一提法在当前仍具有较强的参考性。

我国对重要数据提出的要求分七种情况

在对各类法律法规政策进行了研究总结后，左晓栋于现场为我们分享最终的成果，表示我国对重要数据提出的要求共分为七种情况：

1、我国《网络安全法》第37条和《数据安全法》第31条对重要数据出境提出的安全管理要求。

2、《数据安全法》第21条提出的制定重要数据目录要求。

3、《数据安全法》第27条提出的明确数据安全负责人和管理机构、第30条提出的定期开展风险评估等责任义务要求。

4、《网络安全审查办法》修订时，要求将核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险，作为采购活动、数据处理活动以及国外上市可能带来的国家风险因素。

5、国办2021年立法计划中，已要求网信办牵头制定《数据安全管理条例》。该条例料将对重要数据安全保护提出一整套监管制度。

6、根据《数据安全法》第27条要求，在等级保护基础上履行数据安全保护义务，据此下一步的等级保护工作中有可能会强调对重要数据保护的要求。

7、目前全国信安标准正在组织制定的其他数据安全标准中（如《网络数据处理安全规范》等），已经全面引入了”重要数据“概念，这些标准将逐步落实法律法规要求，细化对重要数据的保护规定。

左晓栋谈到，通过上述要求我们可以看出，重要数据作为国家的战略资源，做好重要数据目录编制工作势在必行。同时，尽管《数据安全法》有明确相关负责人、机构的责任和要求的内容，但在左晓栋看来依然是不够的，尤其是针对重要数据这一层面，未来仍将会继续不断完善。左晓栋在现场表示，在《数据安全法》履行数据安全义务方面，我们可以看到它是建立在等保的基础之上，而等保制度本身的技术要求在未来也可能会发生变化，在针对数据保护尤其是重要数据保护方面，提出进一步要求的可能性会比较大。

虽然还需要以相关文件的最终出台为准，但通过左晓栋在现场分享及总结的这七点内容看，重要数据这一概念似乎已然处在呼之欲出的阶段。

“重要数据”非国际通用词汇 

但也绝非中国独有

”重要数据“本身并不是一个国际通用词汇，多数国家或地区也没有将其单独作为一个大类去提出统一的要求，因此很多人（尤其是外企）会质疑——”为什么国外没有对重要数据进行管理，而只有中国要去管呢？”左晓栋表示，事实并非如此，”重要数据“在海外很多国家和地区的确没有成为一个单独大类，但并不代表没有管理，只是分散到各个具体的行业、特定场合去进行管理。例如在一些国外的机场、港口等重要场所中，我们依然可以看到会有不允许拍摄照片、视频的标志牌，如果这些场所的内容被拍下来了，那么这些照片、视频就不是重要数据了吗？答案当然是否定的。

因此，”重要数据“这一概念并非是中国特有的概念，只是存在的形式略有不同，而即便去匹配相关的国际惯例，也非难事，左晓栋在现场以两个相关的美国标准举例：

1、美国NIST 800-60（《将信息和信息系统的类型映射到安全类别的指南》）

在该指南中，数据类型分划分的非常细，有上百类之多，而且信息数据从保密性、完整性、可用性角度描述其可能受到的潜在影响，共分为低、中、高三个级别。

2、 美国对特定非个人数据的分类——《受控非密信息（CUI）》

《受控非密信息（CUI）》由时任美国总统的奥巴马于2010年11月4日签订，确立了管理受控非密信息的政府计划。这表明在美国，即便是不涉密的信息也并非是不受监管的，而CUI更是将信息数据分为20类，包括基础设施、国防、出口管制、金融、情报等等。

这些内容在某种程度上可以看出，将数据分类、分级已为普遍现象，而在分类、分级的过程中，”重要数据“实质上已经形成了，因此这一概念并非我国独有。

重要数据识别的六大基本原则

作为国家标准《重要数据识别指南》的执笔起草人，左晓栋也向现场观众分享了关于重要数据识别的六个基本原则：

1、聚焦安全领域

简言之就是不能将所有的数据都作为重要的数据去监管，而是从国家安全、经济运行、社会稳定、公共健康和安全等角度去识别重要数据，如果只是对于组织自身而言重要或敏感的数据（如企业的生产经营和内部管理相关的数据）是不应该属于重要数据范畴的。

2、促进数据流动

作为数字经济时代的重要生产要素，数据流动起来才会产生更高的价值，为了促进数据流动，在标准方面必须要明确重点，将该保护的保护起来，规范数据开发利用，让该流动起来的数据不会因各类繁琐的要求而受限制，促进数据安全、有序地流动。

3、衔接既有规定

要充分考虑地方已有管理要求和行业特色，对于一些地方、部门已制定并实施的相关数据管理政策、标准、规范的，在识别重要数据时应与其紧密衔接。

4、综合考虑风险

从风险的角度考量，应根据数据用途、面临威胁的不同，综合考虑数据遭到篡改、破坏、泄露或非法获取、非法利用等风险，从保密性、完整性、可用性、真实性、准确性等多个角度去识别数据的重要性。

5、定性定量结合

这主要从两个方面看，从性质的角度看，有些数据天生就是重要数据，同量的大小并没有关系，但对于像地图这样的数据，粗略的地图显然重要程度并不会很高，但一旦它的精度达到了很高的量级，就会成为重要数据。因此对识别重要数据而言，什么时候按定量，什么时候按定性，就有必要根据具体数据类型采取不同的识别方法。

6、动态识别复查

因为数据是动态变化的，因此对重要数据的识别结果也要进行定期复查，并且在数据用途、共享方式、敏感性等发生变化时，对重要数据进行重新识别。

《重要数据识别指南》

需要回答的六个问题

一、如何应用？如何考虑行业需求？

左晓栋表示，《重要数据识别指南》（下文简称“《指南》”）这一标准是确定一个原则性的要求，不可能会对每个行业的重要数据都给出一个非常明确的分类，因此后面一些深入的、细化的规则会在这个标准发布之后，由各个行业的主管、监管部门针对本行业去制定相关的细则。

作为该标准执笔起草人，左晓栋也对《指南》的应用过程提出了自己的建议，大致分为三个阶段：

1、根据国家规定，各地区、各部门制定工作文件，在《指南》的基础上制定重要数据识别的具体细则；

2、各类组织根据地区的相关要求识别并审核重要数据，形成重要数据目录；

3、各类组织向所在地区、部门和其他有关方面报送本组织内的重要数据识别结果，这些主管部门收到结果后，应形成本地区、本部门及相关行业、领域的重要数据具体目录。

在上述流程完成后，最终形成的重要数据具体目录还应汇总到国家有关主管部门。不过左晓栋也强调，目前这个应用过程的阶段划分尚为标准编制组提出的建议，至于未来会如何具体应用，仍需以后续相关部门的文件规定为准。

二、《指南》如何定位重要数据与个人信息的关系？

谈到这个问题，左晓栋明确指出——“重要的数据”不等于是“重要数据”。比如《指南》中的重要数据就不包括个人信息，但这并不代表个人信息不重要，而之所以这样做，主要出于以下三点考虑：

1、数据分类的目的是为了管理，如果已经有一套制度在进行管理，为何还需要再去建立另外一套制度去管理？关于个人信息，当前不仅有相关的保护制度，而且自2021年11月1日起，我国还将施行《个人信息保护法》。因而没有必要去通过其他如重要数据保护制度对其进行重复管理。

2、当前个人信息的监管颗粒度已经足够细致，包括很多个人信息处理行为都需要征得个人同意甚至是单独同意的地步，所以就数据保护自身和维护个人信息等方面，重要数据管理制度不会比现有个人信息保护制度更有效。

3、批量的个人信息（如超过10万或100万的）往往会被人提出应作为重要数据，但本质上这一行为还是混淆了”重要的数据“和”重要数据“之间的关系，这样一来很有可能会让”个人信息“这一明确定义的数据有时会归属于A管理制度，而有时又会因为量级的关系归属于B管理制度，这必然会带来逻辑的混乱。针对这一问题，左晓栋认为可以通过规定达到一定量级的个人信息，除了遵循个人信息保护的既有要求外，还应落实对处理重要数据的安全要求，但这只是参照遵循，而非规定批量个人信息就是重要数据。

在这里，左晓栋表示，从编制组的角度看，他本人并不同意将个人信息包含在重要数据之中。

三、《指南》如何定位重要数据与核心数据的关系？

左晓栋认为，核心数据的管理制度将来应该有专门的办法。核心数据是《数据安全法》中提出的重要概念，并给出了定义。根据《数据安全法》的要求，国家会建立起关于核心数据的管理制度。

考虑到这些因素，《指南》目前将不涉及对核心数据的识别，因此，这两者之间的关系也不是《指南》作为国家标准能够回答的问题。

四、管理重要数据的目的是什么？重要数据面临什么威胁？

根据数据类型的不同，其关注点也会有一些不同。左晓栋举例道，大家普遍会很关注保密性，但是对于工控系统中的数据，其完整性、可用性的要求就明显高于保密性，因为一旦被破坏，就意味着工业生产会受到严重损失；另外如气象数据，对真实性、准确性的要求会很高。由此可见，保密性绝非是对数据进行管理的主要需求。

因此，什么样的数据被纳入重要数据管理的范围，应考虑到有关部门的管理诉求和不同行业、领域的数据特点。

五、一旦被认定为重要数据，是否意味着它永远重要？

国家秘密都会有一个保密期限，那么重要数据的时效会有多久？是否会有数据长期被作为重要数据的情况存在？左晓栋表示，这个问题需要依靠管理制度的灵活性来解答，也是他会重点考虑的问题之一。

六、有没有必要从行业分类角度制定《指南》

左晓栋坦言，在制定《指南》的过程中，初期确实考虑过从行业分类的角度去制定，但目前这个版本已经不再考虑了。究其原因，重要数据中的“重要”是在于它与国家安全的关系，重要数据的重要性有时并不会直接通过行业来反映，如银行的安保数据和铁路沿线设施的安保数据，虽然都是安保数据，但是按照类别来划分，有可能就会掩盖了它重要性的属性。因此，在国家标准层面进行重要数据的行业分类，可能会影响行业自主性，也很难准确反映行业的实际情况。但与此同时，如果完全不引入”分类“的概念，对重要数据的定义将会十分宏观，导致标准的可操作性变差。

针对这一问题，左晓栋表示，编制组选择打破以往行业分类的惯例，将重要数据的特征划分为”与经济运行相关、与人口及健康相关、与自然资源及环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关、其他“这八类，并在这基础上再进一步细化出二级、三级分类目录。

通过左晓栋的发言我们可以感受到，《重要数据识别指南》的制定已经充分的考虑到了包括在重要数据定义、范围、识别的原则、与其他已有制度之间的协同、面临的威胁等诸多方面，同时也综合实际情况在诸如分类方法等方面进行了创新，在可行性也得到了进一步的增强。

当前，我国正处在数字化转型进程时期，数据作为数字经济的重要生产要素，国家层面对数据安全的重视程度显著提升，对数据进行分类、分级管理更是成为发展进程中的刚需，而随着未来《重要数据识别指南》这一标准的推出，无疑会进一步的完善相关管理制度，让重要数据的识别有”法“可依。 

The End