■ 当前,我国数据安全工作进入提速期。自《数据安全法》《个人信息保护法》发布实施后,一系列数据安全制度加快落地,数据安全与经济发展的关系进一步密切。而所有这些数据安全制度,都绕不开一个概念:重要数据。这是数据安全监管的对象,是所有数据安全工作的起点。正因为如此,关于重要数据的国家标准有着特殊的地位,一直受到业内强烈关注。昨日,国家标准《重要数据处理安全要求》首次公开征求意见。小贝说安全依旧采用问答的形式,详解这部标准的编制思路,并回应在工作组层面讨论时大家曾关心的问题。

一、“重要数据”的提出有什么背景?

“重要数据”最早见诸2017年实施的《网络安全法》第三十七条。

这也是我国数据出境安全评估制度的由来。但对于什么是重要数据,当时法律并未进行定义。

真正明确重要数据内涵的,则是2021年实施的《数据安全法》第二十一条。

现在很多人认为,数据分类分级制度是将社会治理中的分类分级思想搬到了数据治理领域,是社会普遍规律在数据治理领域的应用。这种认识不能说是错,但却没有反映问题的本质。为了更好地理解这个问题,我们需要把目光转移到国家保密管理制度和国家安全工作制度之上。根据《保守国家秘密法》,国家秘密分为绝密、机密、秘密三级。它们直接影响国家安全,故需要严格控制知悉范围。

但随着信息化发展,海量数据加速生产和聚集,非国家秘密信息会不会影响国家安全?是否应该对某类非国家秘密信息予以特殊保护?这是随着形势发展出现的新问题,但却很迫切和现实。

正是在这样的背景下,我国立法建立了数据分类分级制度。其核心就是在非国家秘密信息中,把直接影响国家安全的数据找出来,予以特别保护。为此,在国家数据分类分级制度下,非国家秘密信息被分为三级:一般、重要和核心,后两者直接影响国家安全。下一步,国家将建立一揽子的重要数据保护制度(核心数据更为特殊,本文不展开论述)

因此,“重要数据”绝非“重要的数据”。这个概念的提出,意味着我国进一步健全了信息时代的国家安全制度。也唯有从国家安全角度去认识,才能更好把握这项工作的定位,理解重要数据保护的初衷。

这也与国际趋势相吻合。美国也是定义了绝密、机密和秘密信息,除此之外还定义了受控非密信息(CUI),且专门为CUI建立了一整套管理制度。但CUI仍限于政府内部的数据。近年来,美国政府认为CUI不足以反映商业领域数据影响国家安全的情况,开始引入“受保护信息(protected information)”的概念。目前,关于受保护信息的范围,美国国家安全部门正在组织研究。

二、如何看待最近的形势变化?

最近,国务院在数据跨境流动问题上有一系列密集表态。

一是李强总理726日至27在上海调研自贸试验区建设时强调,数据跨境流动和管理是当前各方都十分关切的问题,要探索构建跨境数据管理新模式

(图片来源:新华社)

二是国务院813印发《关于进一步优化外商投资环境 加大吸引外商投资力度的意见》,提出“探索便利化的数据跨境流动安全管理机制”,要求若干地区“在实施数据出境安全评估、个人信息保护认证、个人信息出境标准合同备案等制度过程中,试点探索形成可自由流动的一般数据清单,建设服务平台,提供数据跨境流动合规服务”。

(文件来源:中国政府网)

三是821,国务院以“加快发展数字经济,促进数字经济与实体经济深度融合”为主题进行专题学习。李强总理发言指出,要积极探索跨境数据管理新模式,主动参与数字经济国际合作。

(图片来源:新华社)

理解这些形势进展,需要把握住两点。

首先要把握数据流动同经济发展的关系。

习近平总书记深刻指出,信息流引领技术流、资金流、人才流。可以说,在高速发展的信息社会,没有数据的流动,就不可能有人的流动和物的流动,因而也就不可能有经济社会的有序运转。特别是对于跨国贸易而言,其背后必然受到数据跨境流动的支持。而跨国贸易对全球经济发展的决定性意义自不待言。正因此如此,数据流动特别是数据跨境流动绝不是简单的技术问题,而是经济问题和国家安全问题。近年来,国际贸易规则围绕数字经济运行进入重构期,各国谈判磋商的重点之一便是数据跨境流动。这个问题重要到什么程度呢?美国外交学会曾刊文指出,要直面中国带来的挑战,针对数字经济时代国际贸易的特点重新组织制定国际贸易规则新框架,因为“美国再次有机会建立支持和平、繁荣和安全的新国际规则”。

简言之,数据构成国家核心竞争力,数据流动规则正在重构国际秩序。

其次要把握重要数据保护制度同数据安全制度的关系。

重要数据保护本身是一项数据安全制度,但其同其他制度不是并列关系,而是构成其他制度的基础。原因无他——其明确了我国数据安全重点保护和监管的对象,而这也是其他数据安全制度的对象和落地实施的前提条件,否则这些制度将无的放矢。例如,《数据出境安全评估办法》规定,数据处理者向境外提供重要数据,应当报国家网信部门评估;《网络安全审查办法》规定,网络安全审查重点评估的国家安全风险包括“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”。显然,重要数据的概念牵一发而动全身,已经成为一个全局性问题。

但现实情况是,由于在国家层面重要数据的识别规则和安全要求一直没有正式发布,实践中大家普遍感觉缺少指导。自从2022年9月1日国家正式实施数据出境安全评估制度以来,数据出境企业甚至一些咨询机构的概念仍停留在批量个人信息上,少有机构主动申报重要数据。一些地方网信部门对于重要数据也有各自的理解。同时,另一种极端情况也存在——一些行业主管监管部门在制定本行业、本领域的重要数据识别指南时,采用了过于原则性的描述,或使重要数据范围扩大化(最典型的是把100万个人信息简单地列为重要数据,我们曾对此多次表达不同意见,主张就所列重要数据与国家安全的关系进行充分论证)。

如是种种,均属于制度实施初期暴露出来的问题,有客观必然性,但的确使一些外向型企业和外资企业感受到了压力。任何新制度在实施后都要根据实际情况优化调整,国务院一个月之内三次表态对数据跨境流动管理“探索新模式”,便反映了这样的规律。

三、重要数据相关国家标准的制定历程是什么?

重要数据相关国家标准的制定历程大致可以分为以下几个阶段:

(一)2017年《网络安全法》实施后,鉴于其第三十七条提到了重要数据,并将其与数据出境评估制度强关联,当时有关部门便组织起草了《重要数据识别指南》。考虑到事关重大,但当时对重要数据的认识尚不深入,故本着谨慎的态度,没有以政府部门的名义征求意见,而是列到了国家标准《数据出境安全评估指南》的附录之中,与其一起征求意见。这个时间段大致是在2017-2019年间。由于当时我国数据出境安全评估制度还未建立,《数据出境安全评估指南》的编制面临极大挑战,故该标准最终未能如期发布,作为其附录的《重要数据识别指南》自然也就未能正式应用。这一版本一度被一些律所或咨询机构拿来作为依据,其实是不合适的。

(二)随着建立数据出境安全评估制度的迫切性越来越强,重要数据识别问题引起了更多人关注,国内外对前期的《重要数据识别指南》提出了较多意见建议,核心是要求缩小范围、增加可操作性、减少模糊性。这个问题甚至一度上升到了中美两国贸易磋商的最高层面。这使主管部门下决心将重要数据识别问题作为专题进行认真研究。为此,2019,全国信息安全标准化技术委员会委托了“重要数据识别”研究项目。研究周期为一年,研究报告于第二年年初顺利通过验收。

(三)2020年上半年,鉴于前期研究工作已经完成,制定国家标准的时机已经具备,全国信息安全标准化技术委员会正式委托编制国家标准《重要数据识别指南》。2021年5月,国家标准化管理委员会对此下达了国家标准计划号20210995-T-469。由于该标准影响范围大,社会关注度高,主管部门将其列为重点标准,3年时间内召开的专家论证会超过十余次,编制组数易其稿。

(四)2023年上半年,《重要数据识别指南》历经征求意见稿、送审稿后,正式向国家申请报批。按原计划,该标准将于2023年下半年发布。但在报批过程中,有专家提出,《重要数据识别指南》与同期报批的《数据分类分级规则》有一定重合,建议两个标准合并。这个问题目前正在研究之中,但显然会影响到标准报批进度。

(五)考虑到重要数据的识别只是第一步工作,数据处理者还应在识别出重要数据后对其加以保护,故还需制定第二部国家标准《重要数据处理安全要求》。为此,全国信息安全标准化技术委员会于2022对该标准立项,国家标准化管理委员会于20238下达了国家标准计划号20230792-T-469。该标准同样被主管部门列为重点标准。

(六)根据进度安排,编制组经为期一年的攻关,完成了《重要数据处理安全要求》征求意见稿,期间在两次网络安全标准会议周上听取了工作组成员单位的意见。20238,经全国信息安全标准化技术委员会组织审定后,向社会公开征求意见。编制组在收到社会反馈意见后将抓紧修改,争取于年内报批

四、标准同《网络数据安全管理条例》是什么关系?

《重要数据处理安全要求》的编制有一个重要原则,即全面落实法律法规规定的重要数据安全保护要求。该标准有着明确而具体的上位法,这是其与其他标准的重要区别。

但需要指出的是,虽然《数据安全法》首次真正意义上明确了重要数据的概念,且其设立了“数据安全保护义务”章节,但整部法律对重要数据安全的要求是分散的,不成体系,不能作为《重要数据处理安全要求》的直接依据。

《网络数据安全管理条例》则补了阙。2021年以来,国务院连续三年将《网络数据安全管理条例》列入立法计划,由中央网信办牵头起草。202111,该条例向社会公开征求意见,目前正在按程序向前推进。

《网络数据安全管理条例》专门设立了“重要数据安全”章节,这是我国系统性建立重要数据保护制度的标志,也为《重要数据处理安全要求》的编制提供了根本依据。遗憾之处在于,《网络数据安全管理条例》本身尚在制定之中,相关条款后续有可能会改动。编制组主要以202111月的版本为基本参考,并根据主管部门的通知,针对条例的变化情况及时调整了标准的内容。

五、标准编制中如何处理与其他标准和规范的关系?

数据安全不是孤立的,编制组在接受《重要数据处理安全要求》任务时,首先研究了如何处理好两大关系。

一是处理好数据安全与网络安全的关系。

传统上认为,网络安全分很多层面,例如物理安全、通信安全、边界安全、主机安全、数据安全等。但显然不能单纯把数据安全看作网络安全的一部分,而是保护数据安全必须首先保护网络安全。

但标准不能这么写,否则就没有边界了。为此,编制组梳理了数据安全的四个内涵(注:这一观点最初是向工信部某研究院的课题组学习而来):

  • 数据所在环境的安全。即数据所在的网络与系统的安全。数据安全与所处网络和系统密切相关,网络和系统如果被侵入则是“皮之不存毛将焉附”,故在这一层面上,网络安全和数据安全是等同的。两者不能切割,也没必要切割。

  • 数据自身安全,主要体现在数据自身能否防范被攻击、窃取、篡改等。传统上,这虽然也被认为是网络安全的一部分,但却是围绕数据自身做文章,典型工作如加密、脱敏等。

  • 数据处理行为安全,即数据处理活动要符合法律法规规定。一个机构即使对数据做到了很好的保护,确保其不会受到外部威胁,但如果其自己滥采滥用呢?这反而是当前国家担心的大问题。

  • 数据要素的安全。数据是新的生产要素,这个要素作用的发挥涉及到数据确权、数据授权、数据定价、数据开发利用主体选择、数据开发利用过程监管等一系列新问题,这也是数据安全需要解决的痛点。

编制组认为,标准应该同时涉及重要数据处理的以上方面。但考虑到环境安全(网络与系统安全)已有大量标准规范,此次不必过多展开。但有三个方面需要突出:

(1)数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。

(2)数据处理者应当使用密码技术对重要数据进行保护。

(3)数据处理者使用的云应当符合国家云计算服务安全评估制度要求。

除上述外,本标准重点解决第二类和第三类重要数据安全问题,同时适当兼顾第四类数据安全问题。

二是处理好重要数据安全与数据安全的关系。

近几年,我国网络安全标准化工作加大了对数据安全标准制修订的支持,每年均有相当大比例的指标用于委托编制数据安全标准,常规性的数据安全要求已不必在重要数据安全标准中赘述。故《重要数据处理安全要求》从以下四个方面理解重要数据处理安全要求的特殊性。

(1)在安全保护强度上,要严格于一般数据。

(2)在管理制度上,要严格于一般数据。

(3)在合规要求上,法律法规有明确的要求(对一般数据的合规要求则少得多)。

(4)在配合监管上,重要数据处理者负有特定的法律义务。

以上两条指导思想主导了《重要数据处理安全要求》的编制。

六、标准编制过程中各方有哪些主要关切?如何处理?

标准编制一年以来,各方针对标准文本内容,提出了以下一些重点关切,编制组均作了认真研究。

一是关于对数据处理活动的描述。

编制组的基本逻辑是,按照三个维度提出安全要求:数据所在的网络与系统的安全(标准中暂定为“设施安全”,因有专家认为“环境安全”过于宽泛)、数据处理活动各个阶段的安全运行与管理安全。但在数据处理活动的阶段划分方面,《数据安全法》和《个人信息保护法》不一致,编制组最终采用了《个人信息保护法》的表述,即增加了“删除”活动。

从数据处理活动目标看,收集、存储、使用、加工、传输、提供、公开、删除等活动都是有明确边界的,各自有着严格的区分。但从安全需求角度看,有些活动之间便没有严格界限了。最典型的是“传输”与“提供”,以及“使用”和“加工”。他们两两关系密切,安全要求往往同时适用。为此,标准在章节名称上虽然严格体现了数据处理活动的各个阶段,但对有的活动做了合并处理,这是一种务实之举。

二是关于数据分类分级与国家、行业规定。

标准对数据分级和分类分列不同条款提出了要求,并指出一个组织的分类分级制度不能违背国家和行业有关规定。一些专家认为这种描述纯属多余,因为无论标准规定与否,都不能违背国家和行业有关规定。但编制组还是坚持了原有的写法。原因是,所谓的国家数据分类分级制度,并非一成不变。国家层面,只规定了数据分三级,未规定分类;在行业层面,则需要明确数据分类,且可在三级基础上对数据级别细分(例如金融、卫生行业可能会把重要数据进一步分级),当然也可不再细分;到了组织层面,可以完全沿袭行业主管部门的分类和分级方法,也可在此基础上根据具体情况再次细分。但无论怎么细分,该组织的分级方法必须能够对应国家的三级和行业主管部门在三级内划分的具体级别,以及对应到行业主管部门规定的类别。因此,为了体现上述思路,标准强调可在不违背国家和行业有关规定的前提下对分类分级进行细化。

三是关于数据清单和数据目录的区别。

数据清单和数据目录都是对一个组织内重要数据的记录。有专家提出,两者有重复之嫌,建议只保留一个。对这一建议我们没有采纳。事实上,两者作用明显不同。重要数据目录来自于《网络安全法》,主管部门已经以政府文件的形式规定了重要数据目录报送流程,并对重要数据目录的字段给出了明确界定,这已经不能改动。这些字段只是为了向国家报送重要数据目录的需要,只记录了国家需要掌握的信息。但对于一个组织而言,仅依靠这些字段来管理好本组织的重要数据是不够的,还需要制定详细的清单,其必然与重要数据目录有差别。

四是关于是否落实关键信息基础设施安全要求。

标准草稿曾提出,重要数据处理者要落实关键信息基础设施安全要求。这引起了较大争议,因为关键信息基础设施安全要求太高了。该条要求最初来自《网络数据安全管理条例(征求意见稿)》。根据当前条例修改情况,标准的相关内容与其做了对应。

五是关于重要数据处理云平台是否需要通过国家评估。

标准草稿曾提出,处理重要数据的云平台应当通过国家网信部门牵头实施的云计算服务安全评估,多家云计算服务商对表达了不同意见。考虑到这一要求具有行政色彩,而目前政策文件中并未有类似规定,故编制组最终删除了相关要求。但是,重要数据毕竟有其特殊性,标准仍规定了重要数据处理者应自行对重要数据上云的必要性、安全性进行判断,并重点评估云计算服务商是否安全可信。

六是关于数据治理平台。

标准提出,应当在组织范围内建立一个统一的平台对重要数据进行管理,包括感知重要数据安全态势。这固然意味着较高的成本,且目前仍有大量技术没有突破,但编制组认为,到了重要数据这一级,这样的平台是必要的。有专家提出,“平台”的提法过于生硬,对实现方式作了不合理的限制,建议改为“设施”。编制组最终接受了这一建议。但编制组强烈建议,如果可能,一个组织还是应该以平台的形式来实现上述功能。

七是关于保密审查。

标准提出,重要数据使用和加工环节要进行保密审查。有的专家提出,重要数据不是国家秘密信息,不需要建立保密管理制度。这实际上是一个逻辑问题:保密审查不是对国家秘密进行管理,而是防止非国家秘密中存在国家秘密。特别是,重要数据与国家秘密的界限相对模糊,且重要数据汇聚或挖掘后很容易衍生出国家秘密,故保密审查仍是必要的

八是关于重要数据评估。

在重要数据的不同处理阶段,多次需要进行评估,但评估的内容不尽相同(如重要数据出境和共享前的自评估便有着不同的关注重点)。有专家建议将这些评估要求整合到一起。编制组对此反复推敲,暂时决定不进行整合,否则会影响读者的理解。但为了行文精简,编制组还是在“运行与管理安全”中单独添加了一条,将评估的共性要求统一作了列举。

七、标准对重要数据的安全提出了哪些值得注意的要求?

标准的主要技术内容包括以下方面:

1)设施安全,描述了处理重要数据的信息系统、云平台应满足的安全要求。

2)数据处理活动的安全,重点突出重要数据全生命周期中,各项处理活动应满足的安全要求:

  • 收集包括数据来源、识别、数据分类、数据分级、数据编目等要求,重点突出采集过程的合法性和数据质量、落实国家数据安全分类分级制度要求等内容。

  • 存储包括存储保护、存储位置、存储期限、备份与恢复等要求。

  • 使用与加工包括重要数据在使用和加工过程中应进行的访问控制、评估、审批、保密审查等方面的要求。

  • 传输与提供包括重要数据在对外提供和共享时应遵循的安全要求,如法律文件、评估与审批、监督与保护、交易、接收方义务、向境外提供等内容。

  • 公开描述了公开重要数据及其加工结果时,数据处理者应采取的安全措施。

  • 删除描述了数据处理者如何安全地删除已废弃或超出约定期限的重要数据,包括数据删除、介质销毁等。

(3)运行与管理安全,主要包括组织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理等运行安全要求。

  • 组织与人员主要体现法律法规提出的相关要求,包括安全负责人、安全管理机构、机构变化、管理制度、人员、培训等要求。

  • 数据治理设施主要从数据治理工具本身、统一管理等角度描述对数据治理设施的要求。

  • 供应链管理描述了重要数据处理者在采购管理、供应商管理、评估等方面应遵循的要求,以更好的应对复杂、严峻的国际网络空间安全威胁。

  • 应急响应描述了重要数据处理者在应急预案、演练计划、技术团队、处置机制等方面的要求。

  • 安全风险评估描述了评估制度、评估内容、评估时机等要求。

  • 配合监督管理包括制定流程规范、提供技术支持、配合整改措施等。

八、标准的制定是否会引领新的数据安全业态?产业界需作何准备?

近几年,业内流行“批判主义”思潮,而且特别喜欢批判“合规驱动”,认为这代表着没落的网络安全防护方法,只以满足字面上的要求为目标,无力应对复杂多变的网络安全威胁。这实际上是对“合规”的重大误解。事实上,此“合规”非彼“合规”,法律法规的要求,永远是产业发展的重要驱动力,甚至会带来产业的剧烈变革。

重要数据保护制度是我国数据安全工作中一项基础性、全局性的重大制度。随着国标《重要数据处理安全要求》公开征求意见,关于重要数据的两部国家标准都已揭开面纱。从识别到管理,从使用到保护,所有的安全要求都需要有专业化、自动化工具的支持,数据跨境流动等场景更离不开专业咨询服务。这意味着一片新的蓝海已经产生,新的产业方向呼之欲出。

小贝结语

■ 没错,小贝说安全又来卷政策解读了。我们经常在后台收到读者留言,问文章能不能写短一点,比如一两千字以内。否则,每次点开万字长文都倍感到压力山大。不看,好像总觉得会错过什么信息;坚持看下来,又需要巨大的勇气。或者说,能不能干脆来一个“一张图读懂《数据安全法》”之类的,对不起,这个真没有!没有任何一个法律条款、政策文件是可以用一张图读懂,一句话说明白的。

其实,在长文章早已不被自媒体网红快餐文化所接纳的今天,写长文是吃力不讨好的事。但是,每当我们去解读一篇政策或标准时,我们总有一种冲动。那就是,认真一些,再认真一些,说透一些,再说透一些,把所有需要阐释的、读者关心的都讲清楚。在我们看来,留有余力是才对事业的背叛。我们将永远不忘初心。

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。