《重要数据识别指南》(征求意见稿)解读(上)
|小贝案语|
■ 就如同关键信息基础设施认定规则是关键信息基础设施保护制度的基础一样,重要数据识别准则对国家数据安全监管制度的重要性不言而喻。企业是否属于监管对象、是否应当承担法定责任义务,皆由此而起,故其必然受到极大关注。目前,《重要数据识别指南》的国家标准已经形成征求意见稿,围绕该标准的内容及有关工作,自然也有非常多的关切。为此,小贝说安全请团队核心专家、《重要数据识别指南》(征求意见稿)的执笔起草人左晓栋博士作解读。为便于读者阅读,解读采用问答形式。由于内容较多,故本次解读分为上、中、下三篇。
一、《指南》编制背景与过程是怎样的?
2017年6月1日起实施的《网络安全法》第三十七条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
这是我国首次在法律层面提出“重要数据”的概念。为推动法律实施,中央网信办组织力量起草了一份《重要数据识别指南》(后文简称《指南》),作为国家标准《数据出境安全评估指南》征求意见稿的附件,于2017年征求了社会意见。当时数据出境还不是热点问题,且各方面对重要数据的认识还不深入,故征求意见的过程很低调。
(注:2017年版指南列出的重要数据类别)
2017年的这份重要数据识别指南按照行业划分重要数据类型,共28大类(含第28类“其他”)。鉴于其范围较大,有些地方存在模糊,故中央网信办决定重新起草重要数据识别指南。在工作形式上,由全国信安标委在2019年设立“重要数据识别指南”标准研究项目,2020年正式开展“重要数据识别指南”标准制修订项目。
目前,《指南》处于征求意见稿阶段。编制组已报请信安标委秘书处,近期于官网征求社会意见。后续还需经过送审稿、报批稿等程序。
二、《指南》将在重要数据安全监管工作中如何使用?
《指南》是为了指导重要数据目录的制定。通过一份文件把所有的重要数据都描述清楚,这实际上是不可能的。为此,《指南》的定位是从宏观上刻画重要数据的主要特征,便于下一步各行业主管部门基于《指南》另行制定具体文件,这与关键信息基础设施认定的过程很类似。
具体可分为以下三个阶段:
一是,根据国家规定,各地区、各部门制定工作文件,在《指南》基础上明确本地区、本部门以及相关行业、领域重要数据的具体类别和详细特征,指导本地区、本部门以及相关行业、领域开展重要数据识别工作。
二是,各类组织根据地区、本部门的具体规定,识别本组织内重要数据,包括梳理数据资产、判断安全影响、识别重要数据、审核重要数据、形成重要数据目录。
三是,各类组织向所在地区、部门和其他有关方面报送本组织内的重要数据识别结果,各地区、各部门形成本地区、本部门以及相关行业、领域的重要数据具体目录。
以上只是各地区、各部门的工作流程。根据《数据安全法》的立法精神,各地区、各部门的重要数据具体目录还应汇总到国家有关主管部门。
以上只是编制组提出的《指南》应用建议,具体应以后续中央网信办等有关部门的文件规定为准。
三、《指南》在多大程度上反映了目前的监管意志?后续进展会如何?
本质上,《指南》的编制是国家标准制修订任务,纳入国家标准制修订流程管理,与法律法规、政策文件的起草程序不一样。
但鉴于这项工作具有高度的政策性,《指南》编制组始终在重要节点向中央网信办汇报进展情况,听取指示。此外,由于编制组核心成员本身也在参与有关数据安全政策研究工作,故《指南》的编制能够与数据安全政策进展保持协调一致。
但需要指出,鉴于《指南》尚处于标准制修订过程的征求意见稿阶段,前期内容修改主要基于信安标委大数据特别工作组和总体组的专家意见,尚未向网络安全主管部门和行业主管监管部门正式征求意见。因此,《指南》目前的内容还不代表政府部门的意志,主要是编制组的工作成果,不排除今后有调整的可能性。
四、重要数据涉及多种数据类型和多个行业,《指南》的制定必然是一项综合性工作,如何确保《指南》能够反映行业特性?
政策性、行业性强,这是《指南》有别于其他国家标准的显著特征。在成立编制组时,我们尽可能邀请了多个行业主管监管部门的专家参与。今后《指南》除了按程序完成送审稿、报批稿外,还将必然经历广泛征求行业主管监管部门和行业用户意见的过程,以确保可操作性。
更重要的是,前述2017年由中央网信办组织起草“重要数据识别指南”时,已经由网信办向各行业主管监管部门发函,听取各行业对重要数据的建议。虽然《指南》目前的内容与2017年版本已迥异,但各行业的具体建议多数都得到了保留,能够保证对行业特性的反映(特别是在人口健康、自然资源等方面)。
五、国家目前对重要数据的监管要求有哪些?
第一类是《网络安全法》第37条和《数据安全法》第31条对重要数据出境提出的安全管理要求。
第二类是《数据安全法》第21条提出的制定重要数据目录要求。
第三类是《数据安全法》第27条提出的明确数据安全负责人和管理机构、第30条提出的定期开展风险评估等责任义务要求。
第四类是《网络安全审查办法》修订时,要求将核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险,作为采购活动、数据处理活动以及国外上市可能带来的国家安全风险因素。
第五类是国务院办公厅2021年立法计划中,已经要求网信办牵头制定的《数据安全管理条例》。该条例料将对重要数据安全保护提出一整套监管制度。
第六类是根据《数据安全法》第27条要求,在等级保护基础上履行数据安全保护义务,据此下一步的等级保护工作中有可能会强调对重要数据保护的要求。
第七类是目前全国信安标准正在组织制定的其他数据安全标准中(例如《网络数据处理安全规范》),已经全面引入了“重要数据”概念。这些标准将逐步落实法律法规要求、细化对重要数据的保护规定。
六、《指南》如何定位重要数据与核心数据的关系?
“核心数据”是《数据安全法》中提出的重要概念,并给出了定义。根据《数据安全法》的要求,国家将会建立核心数据管理制度。《指南》目前不涉及对核心数据的识别。
核心数据与重要数据的关系也不是《指南》作为国家标准能够回答的问题,需要在有关文件中予以明确。
七、《指南》如何定位重要数据与个人信息的关系?
应当明确一个概念,“重要”的数据不等于就是“重要数据”,否则国家秘密更应该成为重要数据。
《指南》指出,重要数据不包括国家秘密和个人信息,这并不意味着个人信息不“重要”。作出这一表述的考虑有三个。
一是,分类的目的是为了便于管理,当个人信息已经有了个人信息保护制度,尤其是我国已经通过了专门的《个人信息保护法》之后,没有必要通过个人信息保护制度、重要数据保护制度对其进行重复管理。
二是,个人信息的监管颗粒度已经非常细,已经细致到了很多处理行为要征得个人同意甚至是单独同意的地步。就保护数据自身和维护个人信息主体合法权益而言,重要数据管理制度不会比现有个人信息保护制度更有效。
三是,一些人可能建议批量个人信息属于重要数据,但这还是混淆了“重要数据”与“重要的数据”。如果某类数据已经属于A,而偶尔属于B,既遵循A管理制度又在一定条件下遵循B管理制度,这显然会带来逻辑的混乱。
怎么解决对批量个人信息的增强性保护问题呢?
可以规定达到一定量(具体值由法律法规或政策文件规定)的个人信息,除了遵循个人信息保护的既有要求外,还应该落实对处理重要数据的安全要求。但这只是参照遵循,并不是规定批量个人信息就是重要数据。
八、个人信息保护是全球惯例,但却很少见到其他国家规定“重要数据”,如何理解这种差异性?
的确,2017年我国实施《网络安全法》后的一段时间,国外有很多声音认为中国的做法不符合国际惯例,并因此质疑中国的监管范围过宽。
但这两年类似的声音正在逐步消失,特别是欧盟提出“数字主权”之后。因为大家都意识到了,数据分很多类型,影响是多方面的,只保护个人信息远远不够。
我们分析看到,“重要数据”的确不是一个国际通用词汇,多数国家也没有将其作为一个大类提出统一要求。但各国做法往往是,通过多年努力,将监管要求分散到各个具体行业、特定场合进行管理。但这绝不意味着“重要数据”是中国特有的概念。
例如,出于安保的需要,全世界的机场、港口等重要场均所不允许拍照。这类敏感场所图像、视频数据是不是重要数据?
(图示:事实上存在的各种对数据的限制措施)
而且,是不是除了个人信息的出境管理外,其他数据在世界上都不受限制自由流动呢?显然也不是。最典型的是美国有出口管制制度,国际上有“瓦森纳安排”,其出口管制物项本身就是被限制流通的某种数据与知识。
《指南》编制过程中,编制组充分研究了美国的NIST 800-60《将各类信息与信息系统映射到安全类的指南》以及美国的CUI(受控非密)制度,这些都是美国对涉密信息、个人信息之外的其他类数据的分类与管理要求。
九、如何看待重要数据面临的安全威胁?
为什么要研究重要数据面临的安全威胁呢?这同监管目标直接相关。而监管目标反过来又直接决定了什么数据应该被列为重要数据。
例如,如果我们只关注保密性的话(如美国的CUI(受控非密信息)保护制度便完全从保密性角度考虑),那么所有合法公开的数据就没必要作为重要数据进行监管,如天气预报数据。但如果我们还关注完整性、真实性等需求,即使已经公开的天气预报数据,依然应该防止其被篡改,且必须确保天气预报数据来源的真实性,不能由随便某个机构发布。如果有这一层安全考虑,天气预报数据就应当被列为重要数据。
虽然重要数据的定义反映出对其保密性、完整性、可用性的同步考量,但从法律法规和政策文件规定的安全要求看,目前还是以保护重要数据的保密性为主。如《网络安全法》最初提出重要数据出境安全评估制度时,显然是出于保密性的需求,目的是防止重要数据被泄露(非授权访问)。
但是,即使不考虑天气预报这类公开数据,客观上也存在一大批更侧重完整性、可用性保护的数据,例如工业领域的控制系统数据。
为此,要同时考虑到重要数据面临未经授权披露、丢失、滥用、篡改或销毁,或者汇聚、整合、分析等多种风险。但从现有和可以预见的安全监管要求出发,《指南》目前还是采用了保守的做法,对重要数据的大多数描述均是从保密性着手。这可能需要随着时间的发展逐步优化。
十、如何看待重要数据的分布?
出于不被监管的考虑,曾有很多企业提出,希望将重要数据的范围限定在政府部门、事业单位。编制组经过了认真研究,认为重要数据的分布是十分广泛的。
传统上,很多重要数据的确主要分布在政府部门、重点行业企业、公共服务机构、科研组织等。但随着互联网应用的广泛渗透,以及物联网、云计算、人工智能等技术的快速发展,有相当一部分重要数据被互联网企业、其他各类产品和服务提供商所掌握。
一般而言,重要数据主要分布如下:
政府机构:如宏观经济数据、金融监管数据、人口资源数据。
重点行业企业:如银行、电力公司掌握的金融、能源数据。
公共服务机构:如医院掌握的健康医疗数据、高校掌握的教育数据。
具有相应资质的权威专业机构:如地理、地震、天文、气象等数据。
科研机构:很多能够产生科研成果或拥有重要知识产权,且从事研发活动的组织都掌握与科学技术有关的重要数据(如与国防和国家安全相关)。
互联网企业:如提供导航、电子商务服务的企业掌握的地理数据、经济运行数据。
其他各类产品和服务提供商:如大型工程施工设备生产商远程实时掌握的重大工程施工数据。
《指南》编制组不认为存在某类企业、某个行业天然不收集、存储重要数据的情况。
十一、重要数据有没有时效性?如何看待其时效性?
一旦被认定为重要数据,就永远重要吗?这也是被监管对象十分关心的问题。
从一般观念上看,有可能存在这种“永远重要”的情况。但如果审视我国保密法的话,可以看到国家秘密尚有保密期限。如“秘密”级10年,“机密”级20年,“绝密”级30年。
那么重要数据的时效怎么规定?有多大可能长期被作为重要数据(即其“重要性”时效为长期)?监管制度如何对待这种时效性?
《指南》编制组研究认为,情况可能各不一样,难以在标准中对时效作出统一规定。确实存在着时效很短和很长的情况,这要求我国的重要数据安全监管制度应当保留一定灵活性,以适应不同的监管需要。《指南》提出了重要数据描述格式,其中已对重要数据的“时效”属性做了考虑。
|小贝结语|
■ 下期左晓栋博士将为我们分享更精彩的解读和起草工作思路,主要涉及以下问题:如何理解《指南》对识别重要数据提出的“聚焦安全影响”原则、“促进数据流动”原则、“衔接既有规定”原则、“综合考虑风险”原则、“定量定性结合”原则和“动态识别复查”原则?《指南》为什么不按照类别对重要数据进行标识,以及《指南》从七个方面提出重要数据的特征,这七个方面是基于什么考虑?
小贝说安全,我们下期见。为了方便交流,也期待您的留言帮助我们更好的成长。
总编辑|中国信息安全研究院副院长 左晓栋
