7月3日,2022西湖论剑·网络安全大会“数据安全治理和个人信息保护”分论坛在北京举办。会上,中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋介绍了重要数据安全标准的制定进展,表示该标准将从后果,而非数据类型角度描述重要数据的特征,从总体国家安全观角度提出重要数据的识别因素。
文|樊文扬
左晓栋:我国正建立重要数据安全监管制度
4月13日,《焦点访谈》节目披露了国家安全机关破获的一起为境外刺探、非法提供高铁数据的重要案件。上海某信息科技公司销售总监王某等人为牟利,涉嫌非法采集并向境外公司提供大量我国铁路信号数据,后相关数据被鉴定为情报——这是数据安全法实施以来,我国首例涉案数据被鉴定为情报的案件。
“实际上,这里面有一个不得已的情况。”左晓栋分析,“犯罪分子肯定触犯了刑法,此时必须有一个刑法里的罪名才能把他送进监狱——而为境外刺探、非法提供情报罪可以实现。然而,高铁信号不一定真的是情报,这样做是因为相关部门‘找’不到更合适的罪名来逮捕不法分子了。”
左晓栋以该案件为例,强调了当下重视“重要数据”概念的重要性。在他看来,我国有一类数据既不是国家秘密、个人信息,也不是严格意义上的情报,但它们对国家很重要,一旦被泄露、破坏、篡改则可能危害国家安全。“以前法律法规里没有重要数据这一定义,导致在打击犯罪分子时手段和法律依据不充足。”
他直言,上述案件的处理方式是“没有办法的办法”,而如今法律法规正在修补相关漏洞。
数据安全法规定,国家建立数据分类分级保护制度,国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。在数据处理者的义务方面,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任;按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告等。
不仅如此,去年11月,国家网信办发布了《网络数据安全管理条例(征求意见稿)》,其中专设“重要数据安全”章节。“这些都这意味着我国正在建立重要数据安全监管系列制度,而我们更应该重视重要数据这一概念,重视法律为我们提出的义务要求。”他说道。
批量个人信息未必是重要数据
今年1月13日,全国信息安全标准化技术委员会发布《信息安全技术 重要数据识别指南》(下称《指南》)征求意见稿,左晓栋为该文件主要起草人。在会上,他透露《指南》在四个方面有了进展。
一是从我国数据分类分级制度实施的整体工作部署出发,《指南》更名为《重要数据识别规则》;二是“重要数据”的定义将与主管部门的政策文件保持一致;三是将从后果,而非数据类型角度描述重要数据的特征;四是从总体国家安全观角度提出重要数据的识别因素。
十九届六中全会指出,总体国家安全观涵盖政治、军事、国土等16个领域,左晓栋表示,《指南》将从这16个国家安全角度解释重要数据可能会带来的后果。同时,在实际工作中,各地方、行业应依据《指南》制定各自的标准规范,开展重要数据识别工作并上报。
在会上,左晓栋还对一些社会热点问题作出回应。在谈及“批量个人信息是不是重要数据”问题时,他直言这是一个伪命题。“个人信息就是个人信息,重要数据就是重要数据,我们只能说当个人信息符合某种特征时,其在某种情况下可能是重要数据,而不会说(个人信息)天然就是重要数据。”
他强调,如果批量个人信息成为重要数据,一定是因为个人信息聚集以后符合了某种特征,此时它影响了国家安全、符合了重要数据的定义——并不意味着只要个人信息累积到一定数量就是重要数据,“我不赞同把这两个概念强行关联起来。”
声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
