小贝案语

■ 大家好,我们又见了!小贝停更3个月,实在是因为一个字“忙”。但青山不改,初心犹在,小贝归来仍是少年。随着《数据安全法》深入实施,数据分类分级制度框架日渐清晰,重要数据作为重点保护对象,其定义和识别方法成为十分重要的问题。事实上,与小贝的“沉寂”相同步,国家标准《重要数据识别指南》自从今年1月份以来,一直处在征求社会意见阶段。最近,标准编制组根据收到的反馈意见以及主管部门的要求,对标准又一次作了较大改动。为此,作为对老朋友们长期关心的回馈,小贝邀请编制组在本期介绍社会意见处理情况和最新版本。

一、《重要数据识别指南》的主要改动

《重要数据识别指南》目前有四个方面的主要改动:

一是,从我国数据分类分级制度实施的整体工作部署出发,标准更名为《重要数据识别规则》,后续将向国标委履行申请更名程序(为行文方便,以下均称《重要数据识别规则》)。

二是,“重要数据”的定义修改如下:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。重要数据监管是国家数据安全分类分级制度的核心,也是国家数据安全工作的重点,故对重要数据的定义是个政策问题,不是由标准编制组决定的,本次的修改有着充足的政策依据。

三是,在描述重要数据识别因素时,侧重于从后果角度,而不是从数据类型角度。例如,无论是地理数据,还是战略物资产能数据,都具有潜在军事价值,可能被其他国家或组织利用发起对我国的军事打击。那么,就需要从“军事安全”角度描述该重要数据识别因素。

四是,严格践行总体国家安全观,从国家安全体系涵盖的十六个问题领域分别阐述数据安全与国家安全的关系。

二、征求社会意见和修改情况

需要指出,《重要数据识别规则》本次所作的重大改动主要是为了与政策文件相衔接,不是征求社会意见的结果。但仍有必要对征求意见情况作一交代,以反映目前很多机构对重要数据的看法。

标准自2022年1月13日起征求意见,至3月13日止,共收到18家单位的92条意见,均已处理完毕。这些意见分为以下几类:

第一类是非具体意见,主要是日本政府、美国信息产业商会、欧盟中国商会以及日本、美国的企业提出,内容多为“劝诫”中国方面处理好安全与发展的关系、采用国际标准、避免增加企业负担、不要影响贸易等。此类意见原则上上可标为“接受”,但不具体处理。

第二类是关于重要数据的范围。美国信息产业商会强烈建议仅将重要数据限定在政府部门的数据,排除专有信息、非政务信息、私营部门所拥有的数据以及可公开获取的数据。这一建议未被采纳,因其与实际情况明显不符。

第三类是关于重要数据的定义。目前,《重要数据识别规则》已对重要数据作了重新定义。虽然对这一最新定义也可能会有进一步的讨论,但原则上不会再改动。

第四类是关于对一些具体类型数据重要性的认识。意见反馈者认为,有些数据可能并不重要,不应该被列入。对这类意见,编制组认为,这来源于对国家安全的理解不同。经研究,少数意见得到了采纳,多数意见属于对国家安全理解有误区。

第五类是关于标准的结构。意见反馈者认为应当增加更多的章节,以便向读者解释标准的编制思路。考虑到这超出了标准的范畴,因而未采纳。

第六类是关于标准的应用。意见反馈者认为标准与一些行业主管部门已经发布的政策可能会有冲突。事实上,《重要数据识别规则》并不会取代各部门的相关政策。各地区、各部门将基于标准提出的重要数据识别因素,根据本地区、本部门具体情况制定本地区、本行业的重要数据识别标准规范,指导本地区、本部门开展重要数据识别工作。

三、标准最新版本

小贝结语

■ 编制《重要数据识别准则》只是重要数据安全监管工作的第一步,识别出重要数据并形成目录后,数据处理者需要履行法律规定的保护数据安全义务,建立重要数据安全防护体系。为此,全国信息安全标准化技术委员会秘书处印发的2022年国家网络安全标准需求清单中,第一项任务便是制定《重要数据处理安全要求》。4月18日,信安标委秘书处组织召开了标准立项答辩会,初步遴选出两支队伍承担该标准的编制任务,并要求6月20日前各自报送标准文本,通过专家评审后确定标准承担单位。

标准名称

类型

主要内容

拟解决问题

信息安全技术重要数据处理安全要求

制定

本标准拟明确数据处理者在重要数据全流程处理过程中的保护要求,重点针对存储、使用环节提出专门要求。

支撑《数据安全法》第二十一条对重要数据进行重点保护的要求。

这么看来,重要数据安全监管是一盘大棋!

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。