左晓栋：对重要数据识别问题应更多强调国家安全属性

《数据安全法》《个人信息保护法》等法律法规的实施，进一步推动了国内数据安全体系建设。解决数据安全问题，特别是数据泄露问题，备受行业关注。作为一个比较成熟的技术，数据防泄露（Data Loss Prevention，简称 DLP）是国内外广泛应用的数据安全防护手段，衍生技术也多种多样，但国内市场对数据防泄露还没有建立统一的标准。

继2020年中国信息协会信息安全专业委员会对数据防泄露产品进行测评之后，中国信息协会信息安全专业委员会于近日联合DLP厂商天空卫士发布《数据防泄露（DLP）技术指南》。围绕数据防泄露、数据分级分类等当前我国数据安全工作热点问题，记者采访了中国科学技术大学教授左晓栋。

记者：不同行业重要数据目录不同，那么，将如何建立重要数据的目录？

左晓栋：建立重要数据目录是我国《数据安全法》提出的法定任务。显然，重要数据目录和行业的具体特点密切相关，不同行业对于重要数据的认识是不一样的。根据定义，重要数据直接关系国家安全，某些数据在一个行业很普通，但在另一个行业的应用背景下，便可能属于重要数据。但是，数据的分类分级又是国家制度，核心问题是如何理解国家分类分级制度实施与行业特性之间的关系。

根据数据分类分级制度，数据分为一般数据、重要数据、核心数据。不同行业在国家分类分级制度之下，可以根据行业特性，进一步明确重要数据的行业特征。这可以从两个角度理解：

一是国家会对重要数据的识别给出统一规定，即重要数据识别规则。但这是原则性规定，不同行业要根据国家标准的原则性规定，制定反映自己行业特色的重要数据识别细则；二是数据的分级按照一般数据、重要数据、核心数据划分，但国家不会对数据进行统一分类，即国家层面只分级不分类，到了行业和地方层面则可以自行根据实际情况来确定分类方法。原因是，分类与数据重要性没有关系，某种程度上说是为了监管的需要，而监管的需求则是各异的，不可能统一规定。

当然，虽然不同行业必须明确其重要数据级别，但还可基于国家标准做出更进一步的级别细分，例如对重要数据进一步划分为三级或者五级，这也由行业自行确定。

记者：针对近日发布的《数据防泄露（DLP）技术指南》，请谈谈其意义？

左晓栋：数据安全可以从四方面理解：一是环境安全，即数据所在的网络与系统的安全，因为数据安全与所处网络和系统密切相关，网络和系统如果被侵入则是“皮之不存毛将焉附”；二是数据资产安全，主要体现在数据自身是不是被攻击、窃取、篡改；三是合规问题，即数据处理过程要符合法律法规规定，一个机构即使对数据做到了很好的保护，确保其不会受到外部威胁，但如果其自己滥采滥用呢？这是当前国家担心的大问题；四是生产要素安全，数据是新的生产要素，而这个要素的作用发挥涉及到数据确权、数据授权、数据定价、数据开发利用主体选择、数据开发利用过程监管等一系列新问题，这也是数据安全需要解决的痛点。

现在我们解决问题到什么程度了呢？以上的第一类问题基本解决了，但第二类问题还处在初级阶段，后两类问题解决得更不理想。即，数据自身安全——即保密性，简言之就是防泄露问题，是最起码、最基本的问题。而且从历史看，防泄露问题是一个老问题，但今天“老革命遇到新问题”，面对一系列新的安全威胁，数据防泄露任重道远，例如云环境下的既要防泄露又要确保授权人员公开可访问，这就需要新的密码算法。

记者：当前，不管是个人数据还是企业数据，都在从商业层面走向政治层面，与国家安全密切相关，后续在分类分级方面，有哪些需要重点关注？

左晓栋：就分类分级问题，国家正在制定两个标准，一个是数据分类分级指南，另一个是重要数据识别规则。由于形势变化和国家需求，现在对数据分类分级特别是对重要数据识别问题上，应该更多强调数据的国家安全和公共利益属性。

如何判定一个数据是不是属于重要数据？要重点突出它对国家安全的影响。比如说，算法推荐、定向推荐是一种舆论动员能力。此时，这些用户地址、用户特征、用户画像等，都是用来进行信息推送、舆论引导、社会动员的必备条件，这些就应当属于重要数据。

记者：我国数据防泄露技术发展情况如何？

左晓栋：数据防泄露不是一个新产品。说起数据安全保护，一直以来有两类典型产品，一类是数据加密类，这是保护数据的重要技术；另外就是数据防泄露类，即防止非授权人员访问数据。但是这些年数据防泄露一直“不温不火”，直到现在数据安全成为了重点工作，DLP产品才焕发青春。

我们一方面要保护数据的安全，另一方面还要把数据用起来，所以简单把数据做加密是不够的。尤其在当前云环境下，数据访问者众多、应用模式复杂，这就对数据防泄露提出了一系列新的要求。而且，很多时候“防内”比“防外”的需求更为强烈，因此数据防泄露产品依然具有巨大的生命力。

记者：在数据生命周期中，存在储存、使用、流转、销毁等环节，任何一个环节如果出现纰漏，都可能出现数据安全问题。企业应该如何应对可能出现的风险？

左晓栋：根据《数据安全法》规定，企业要建立全流程数据安全管理制度。这就意味着企业保护数据安全时，不能仅仅关注某一个环节、某一个点，且每个阶段、每个关注点还不一样。比如，数据收集阶段，要考虑数据来源是不是合法、数据质量能不能保证；数据开发利用阶段，需要通过数据生成产品，要考虑能不能保护相关方的权益，这是非常复杂的过程。

《数据安全法》提出了原则性的要求，但是这个要求还不够。所以，全国信息安全标准化技术委员会在今年的国家标准需求清单中列出的第一项标准，就是《重要数据处理安全要求》。因此，下一步各类企事业单位需要高度关注这个问题，在管理制度上、技术措施上做好准备，做到对数据的全流程保护，因为这是法定义务。