一、什么是“数据分类分级保护制度”
《数据安全法》在第三章规定了各项数据安全制度,其中之一便是“数据分类分级保护制度”。
《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
(一)如何理解《数据安全法》第二十一条
《数据安全法》第二十一条包括了三个层面的规定:
首先
《数据安全法》第二十一条界定了数据分类分级的标准,明确规定国家将“根据数据在经济社会发展中的重要程度”,以及“(数据)遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度”制定“重要数据目录”,从而加强对重要数据的保护。
其次
《数据安全法》第二十一条还界定了“国家核心数据”的概念,即“关系到国家安全、国民经济命脉、重要民生、重大公共利益等数据”属于国家核心数据,对国家核心数据将适用更加严格的管理制度。
最后
《数据安全法》第二十一条还划分了职能界限。在国家层面,将由国家数据安全工作协调机制来统筹协调有关部门制定重要数据目录。同时,各地区、各部门将按照此数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
(二)数据分级分类制度的必要性
对数据进行分类分级并不是一个新鲜概念,在之前推送的文章中也已对此有所提及,数据的收集、存储、处理、交易、传输、出入境等一系列活动都应在数据分类分级的基础上进行,可以说数据分级分类制度是《数据安全法》的基础性制度。《信息安全技术大数据安全管理指南( GB/T 3797320-2019)》、《信息安全技术个人信息安全规范(GB/T 35273-2020)》与《个人金融信息保护技术规范(JR/T 0171-2020)》等国家标准已对数据分类分级进行了规范。典型如《个人金融信息保护技术规范》第4.1条,个人金融信息主体因业务需要(如贷款)主动提供的有关家庭成员信息(如身份证号码、手机号码、财产信息等),应依据C3、C2、C1敏感程度类别进行分类,并实施针对性的保护措施。
二、数据分类分级 vs 网络安全等级
《数据安全法》第二十一条规定的数据分类分级保护制度类似于网络安全等级保护制度采用的分级管理,但二者并不完全一致。
《网络安全法》首次提出了网络安全等级保护制度的概念,并从管理制度和技术措施两个方面对网络运营者的网络安全保障义务进行规定,包括制定内部安全规范、确定网络安全负责人、采取防范病毒攻击的技术措施、监测网络运营、留存网络日志、采取加密措施等。在调整对象方面,《网络安全法》规范的是在中华人民共和国境内建设、运营、维护和使用网络的行为,而《数据安全法》侧重规范数据处理活动,立法目的在于保障数据安全,促进数据开发利用。
但同时,《数据安全法》和《网络安全法》也具有相同的立法目的,即维护国家主权、安全和发展利益。因而在立法上,《数据安全法》与《网络安全法》相衔接,具体表现在《数据安全法》第二十七条规定了相应的数据安全保护义务。
《数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。
该数据安全保护义务同样包括了三个方面:
首先
该条明确了网络安全是数据安全的前提,利用互联网等信息网络开展数据处理活动的,应当在网络安全等级保护制度的基础上履行数据安全保护义务。
其次
履行该义务的方式之一是建立健全“数据安全管理制度”,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施。
最后
与数据分类分级制度相衔接,在《数据安全法》第二十一条的基础上划定“重要数据处理者”的数据安全保护责任。
综上,“数据分类分级保护制度”与“网络安全等级制度”作为两个不同的制度,二者内涵相近,且存在一定的关联,但规制对象与具体要求并不相同,从业者依据《数据安全法》搭建数据保护制度时应注意二者的区别与关联。
三、有关企业如何落实“数据分类分级制度”
目前《数据安全法》的相关配套法律法规还未出台,尤其是最核心的“重要数据目录”,有待于国家数据安全工作协调机制统筹协调有关部门制定。但这并不意味着相关企业在此期间无法行动,其仍旧可以根据《数据安全法》第三章、第四章的规定进行调整。
(一)履行数据安全保护义务
网络安全是数据安全的前提,根据Ponemon研究机构和IBM发布的第14份年度数据泄露成本报告中指出:恶意攻击和网络犯罪行为是2019年数据泄露的主要根源(占51%),而系统故障导致的数据泄露虽占四分之一,但其中有24%是人为错误所造成的。因此,利用互联网等信息网络开展数据处理活动的,应当在网络安全等级保护制度的基础上履行数据安全保护义务,健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。
该保障措施可参照《GB/T 22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T 22240-2020 信息安全技术网络安全等级保护定级指南》等“等保2.0”系列标准要求。此外,在2018年《网络安全法》出台后,地方行政机关也可依据《网络安全法》对行为人进行惩处。处罚涉及处罚对象发生了未定级备案、未按期进行等级测评、未按规定留存网络日志、未采取安全保护技术措施、未采取数据分类、重要数据备份和加密措施等违法行为。同时,从公安部门网络安全等级保护执法案例来看,除部分是因为执法机关在网络安全执法检查中发现问题,多数案件源于处罚对象发生漏洞利用攻击、重要信息泄露等网络安全事件。
*2017年6月至7月间,忻州市某省直事业单位网站存在SQL注入漏洞,严重威胁网站信息安全,连续被国家网络与信息安全信息通报中心通报。
https://weibo.com/ttarticle/p/show?id=2309404133545370116717
综上,在建立“数据分类分级制度”前,应当先行搭建、完善“网络等级保护制度”,为数据处理提供安全空间。
(二)设立数据分类分级制度
数据分类分级制度包括数据识别、分类、分级等多个环节,涉及企业运行各个方面。如数据识别工作,需要贯穿企业整个业务流程,与企业信息管理工作密切结合;而数据分类则应当根据企业所处的行业特性、业务内容、技术要求等情形综合判断数据属性。
因此,企业进行分类分级管理工作,应当建立相应的管理制度,做到高层牵头,打通业务部门与技术部门,做到分类分级结果与数据存储、权限、脱敏、开发等措施挂钩,从而实现体系管理。而已经建立了分类分级管理体系的企业,则可根据重要数据目录的具体内容对现有体系作出适当调整。
在分级标准方面,已出台多个国家标准、行业标准(包括草案、报批稿等),典型如《金融数据安全 数据安全分级指南》、《基础电信企业数据分类分级方法(报批稿)》、《信息安全技术电信和互联网大数据安全管控分类分级实施指南(工作组讨论稿)》,以及《汽车数据安全管理若干规定(征求意见稿)》第三条明确汽车数据安全管理中的“重要数据”。企业可以将上述标准作为分级参考。此外,在具体的分级工作中,建议企业可将数据划分成“个人隐私数据”与“企业敏感数据”这两个基本类别,并对元数据拆分评估,按照“就高不就低”的原则对该类数据整体定级。
i-分级参考:电信和互联网大数据安全管控分类分级实施指南
同时,企业还应当注意,相同数据在不同的服务场景中可能处于不同的类别/级别。因此企业应当结合自身业务状况,根据其服务场景以及数据在场景中的作用对数据的类别/级别进行评定,并实施针对性的保护措施。如数据出境场景下的数据级别是否需要进行调整?企业应对此事先进行评定并制定相应的处理方案。
(三)设立数据安全负责人和管理机构
对于业务内容涉及重要数据的企业,应当任命数据安全负责人并搭建相应的管理机构,上文对此重要性已作说明。
具体的设立要求和管理内容,可参照个人信息保护机构/负责人(或DPO)制度,即数据安全负责人能够协调各部门工作,甚至还应当对企业数据处理活动承担责任。
同时,该机构/负责人应当承担《数据安全法》规定的法律义务,对企业数据处理活动承担责任。
最后,个人信息保护机构/负责人应当有足够的权利,包括协调各个业务部门的支持和配合的权利,具备对于高风险的数据处理场景业务的决策权利。
四、总结
《数据安全法》是与《网络安全法》、《个人信息保护法(草案)》并列的基础性规范,而“数据分类分级保护制度”又是《数据安全法》规定的数据保护的基础性制度。在今年9月份《数据安全法》正式实施前,相关企业应当根据《数据安全法》规定搭建相应的数据保护制度,做到未雨绸缪。
以上分析,即是我们团队几点粗浅见解,难免挂一漏万,欢迎大家批评、指正、交流、合作。