泰和泰研析丨《数据安全法》合规“疑云”，等保2.0或是“解药”

某跨国企业高层：“《数据安全法》规定的数据分类分级制度，在强合规行业，如金融、电信、证券期货已经有相应的尝试，但对其它行业，如何分类分级呢？”

某科技企业信息安全总监：“《重要数据目录》谁来制定？哪些数据是国家核心数据？数据类型有结构化、非结构化的数据；存储的地方很多，服务器数据库中有，员工终端上有。怎么发现重要数据在哪里，是个难点。“

某科技企业法务总监：“《数据安全法》数据跨境，相比《网络安全法》更进了一步，只要在境内的重要数据都要适用。但跨境的概念，在不同领域概念不同。《数据安全法》中的数据跨境怎么定义？对于跨国企业，该遵守国外的法律，如GDPR、CPRA（CCPA2.0）、Cloud法案，还是《数据安全法》？”

某智慧城市业务总监：“视频探头抓拍的照片，可能涉及到个人信息、个人隐私保护，对身份信息、健康码等信息的调用问题，应该怎么合规？”

某互联网企业隐私专家：“第33条规定的交易记录留存。是否只需要形式审核，有记录就行；还是需要实质审查？”

……

对于这些疑问，某跨国金融企业的法总表示：“数据处理流程、数据跨境、数据分类分析，在国外欧盟GDPR、美国CPRA等的合规需求下，已经有了比较细的实践经验。我认为其核心就是要向监管机构报批，例如等级保护三级是每年做一次测评。那么《数据安全法》怎么做呢？我们公司有300套系统，这么复杂的数据流，监管机构要怎么监管？数据保护技术，如隐私计算、多方计算、联邦计算等，虽然已经可以达到数据的可见不可用，但相应的技术都还在开始阶段，未进入成熟阶段。我想《数据安全法》最能够落地的方法就是借鉴等保的经验。”

笔者亦赞同该法总的看法，自2016年欧盟出台GDPR以来，各国便展开了激烈的“数据”之争，虽然各国的模式有所不同，但总体来讲主要有欧盟的“人权基础”、美国的“自由市场+强监管”，和我国的“安全+监管”几种模式。等级保护制度算是我国在此领域的独特经验，境外已有部分国家开始效仿。

《数据安全法》、《网络安全法》和我国信息安全行业密不可分，其与信息安全行业存在已久的等级保护制度更是一脉相承，这一点从《数据安全法》本身也能找到答案。《数据安全法》第二十七条规定“开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。”可见，对于利用互联网等信息网络开展数据处理的企业，必须根据网络安全等级保护制度履行数据安全保护义务。这与《网络安全法》第21条的规定类似，只是网络安全法的适用主体为网络运营者。

如上文所述，我国的数据合规基因是“安全+监管”，那么笔者认为，当在《数据安全法》相关配套法规尚未出台之前，企业可先根据自身业务先行启动等级保护的相关工作，以助于《网络安全法》的合规及《数据安全法》、《个人信息保护法（草案）》正式实施后的合规工作。

在我国信息安全领域内，过去一直存在着“等保”和“分保”的制度，现在又有了“关保”和“个保”。这四者之间即相互联系又各有侧重。

“等保”，即网络安全等级保护要求，是我国信息安全保障的一项基本制度，国家通过制定统一的信息安全等级保护管理规范和技术标准，组织公民、法人和其他组织对信息系统分等级实行安全保护。随着2017年《网络安全法》的出台，等保已经从“信息安全等级保护”即“等保1.0”发展到了“网络安全等级保护”即“等保2.0”。一般认为等保2.0是指《信息安全技术 网络安全等级保护基本要求》及其配套标准。

“分保”是指涉密信息系统分级保护，具体指涉密信息系统的建设使用单位根据分级保护管理办法和有关标准，对涉密信息系统分等级实施保护，各级保密工作部门根据涉密信息系统的保护等级实施监督管理，确保系统和信息安全。

“等保”与“分保”在监管部门、适用对象、分类上都有较大区别。

“关保”是关键信息基础设施保护，与“等保”的关系最为紧密，二者分别对应了《网络安全法》第31条和第21条；“关保”是在“等保”的基础上对关键信息基础设施的重点保护。《网络安全法》第三章第二节规定了关键信息基础设施的运行安全，包括关键信息基础设施的范围、保护的主要内容等。目前《关键信息基础设施安全保护条例》正在加紧审议中，相关试点工作已启动。该体系主要的标准有：《关键信息基础设施保护条例（征求意见稿)》（总要求/上位文件）、《关键信息基础设施安全保护要求（征求意见稿）》、《关键信息基础设施安全控制要求（征求意见稿）》、《关键信息基础设施安全控制评估方法（征求意见稿）》。

“个保”是指个人信息保护，是在上述几个制度的基础上，侧重于对个人信息的保护。目前《个人信息保护法（草案）》正在审议。

由于“关保”和“个保”均未有明确的法规出台，笔者在此亦不做进一步的比较。

<图摘自《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）>

等级保护的标准是一个完整的体系，其主要分为4个层面：

1、法律层面：

有《网络安全法》和刚通过的《数据安全法》；

2、法规层面：

有《计算机信息系统安全保护条例》，为等级保护的总要求；若《网络安全等级保护条例（征求意见稿）》通过，将与前者配合适用；

3、总体标准层面：

有《计算机信息系统安全保护等级划分准则》（作为上位标准）；

4、具体标准层面：

有《信息安全技术网络安全等级保护实施指南》（GB/T25058-2019）、《信息安全技术网络安全等级保护定级指南》（GB/T22240-2020）、《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018）等超过30项标准文件。

等保分五级，一级到五级依次升高，可以在下表中看到具体的分级情况，其中二级、三级为最常见的定级区间。因为一级为自主保护，即不需要监管机构的参与，对于企业来讲，亦没有主动合规的动力。通常来讲，定级三级以上，其保护力度接近于关键基础设施的保护力度。而定级为四级以上，一般会涉及到公共利益或是国家利益，其还可能属于涉密系统，则需要符合相关的规定。新旧等级的确定参见下表：