數安條例百問7、8:關于數據分類分級保護制度和管理
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第五條 國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據采取不同的保護措施。
國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。
各地區、各部門應當按照國家數據分類分級要求,對本地區、本部門以及相關行業、領域的數據進行分類分級管理。
解讀
數據分類分級保護是我國數據安全的重要制度,由《數據安全法》第二十一條確定。法律規定,國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。
《數據安全法》在2021年9月1日實施以來,各方面對數據分類分級保護制度的內容非常關心。為了落實法律要求、推動數據安全重要制度的落地,《條例》第五條對數據分類分級保護制度作了展開。
一、關于分級
《條例》規定,數據分為一般數據、重要數據、核心數據,不同級別的數據采取不同的保護措施。這意味著,國家將數據分為三級,分別為一般數據、重要數據和核心數據。分級的依據是數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,分級的目的是指導對不同級別的數據采取不同的保護措施。
《條例》在“附則”中對重要數據和核心數據作了定義。此前,作為上位法的《數據安全法》已經在第二十一條給出了核心數據定義(但沒有給出重要數據定義),《條例》對核心數據的定義與《數據安全法》相一致。
二、關于分類
《條例》沒有給出明確的數據分類。
那么,如何理解既然要求“國家建立數據分類分級保護制度”,而《條例》又沒有給出數據分類呢?
這需要追溯數據分類和分級的目的。分級是為了厘清保護重點,不同級別的數據需要實施不同的保護,國家的監管力度也不一樣。《條例》將數據分為三級,并對重要數據提出保護要求,便體現了這一思路。
分類則是人類認識世界、分辨客觀事物的一種思維活動和基本方法,也是管理客觀事物的前提條件。當數據成為一種高價值資源后,自然出現了對數據的分類管理需求。但需要注意,由于數據分類是同管理需求密切相關的,所以分類可以有很多不同的維度。即與數據分級關注對國家安全、公共利益或者個人、組織合法權益的影響,因而有確定性的級別不同(即使級別可以有多個,但分級的維度是唯一的),數據分類方法則可以有多套,這與具體的管理目標相關。
在實踐中,管理目標本身可以有很多種,因而必然導致數據分類方法各異。例如從個人信息保護角度,可以分為個人信息和非個人信息;從數據開發利用和規范使用的角度,可以分為公共數據和非公共數據;從行業監管角度,可以按行業進行分類,例如電信、交通、能源、金融等。即使在國家層面上,也很難將管理目標確定為唯一的一種或幾種,這導致在法律法規中很難明確一種或幾種數據分類方法。
特別是,在一個關于安全的法律法規中,主要關注點是對不同級別數據提出不同的保護要求,而不同類別的數據并不必然帶來不同的保護要求,很多時候和安全并沒有必然關系。
以上原因,導致《條例》最終并沒有對數據分類作出規定。
更準確地說,數據分類是數據治理的前提條件,是一種數據治理的方法和思路,不代表著在頂層進行統一分類或分級。《數據安全法》和《條例》提出數據分類分級保護制度的初衷,是要求在數據治理中,對數據進行分類管理和分級保護。這是一種方法學,與其說《數據安全法》和《條例》對數據劃分了類別和級別,不如說它們是要求在數據治理中貫徹分類分級方法學。分類方法不統一也沒必要統一,各行業和各組織根據具體情況自行確定,分級則可以在國家確定的幾個基本級別下,根據需要作進一步細分。
三、關于保護
《條例》雖然分別列出了“個人信息保護”和“重要數據安全”兩章,但就保護制度的完整性而言,兩者有很大不同。
個人信息保護制度主要通過《個人信息保護法》建立,《條例》只是補充。而《數據安全法》并未對重要數據安全作出體系性規定,只是略有提及,完整的重要數據保護制度最終是通過《條例》建立的。當然,這也解釋了為什么《條例》中大量條款針對的是重要數據保護。
至于一般數據保護,《條例》除了在第二章作出“一般規定”(適用于《條例》實施范圍內的所有數據處理者)外,沒有提出特別要求。
而對核心數據保護,《條例》也沒有提出特別要求。那么,既然核心數據需要更加嚴格的保護,則保護要求到哪里查詢呢?這將在今后通過另外的文件規定。《條例》的“附則”指出,核心數據保護按照國家有關規定執行。
目前,社會上有一種疑問:《條例》沒有提出數據分類,只是把數據分為一般、重要、核心三級,但又在第五條提出“國家對個人信息和重要數據進行重點保護”,那么“個人信息”算什么?它是類別還是級別?它是重要數據的一種嗎?這是個應該深入思考的問題,很有可能需要《條例》今后作澄清。
對應條款
第五條 國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據采取不同的保護措施。
國家對個人信息和重要數據進行重點保護,對核心數據實行嚴格保護。
各地區、各部門應當按照國家數據分類分級要求,對本地區、本部門以及相關行業、領域的數據進行分類分級管理。
解讀
數據分類分級有宏觀、中觀、微觀之分。
宏觀如前所述,國家層面的數據分類方法可以不統一,法律法規中可以不作具體類別規定,分級方法則按一般數據、重要數據、核心數據實施。
中觀指行業管理層面。各個行業可以根據具體的行業監管需求,自行對數據進行分類。例如交通行業可以在公路、鐵路、民航等類別下進一步劃分更細的類別,這完全與行業管理目標有關。至于分級,各個行業可以在一般數據、重要數據、核心數據下作進一步細分。但無論如何細分,都應該滿足法律法規對不同級別數據的基本要求。
可以舉出很多“中觀”的分類分級例子。例如,2018年9月,證監會印發《證券期貨業數據分類分級指引》;2020年2月,工業和信息化部印發《工業數據分類分級指南(試行)》;2020年9月,金融行業標準《金融數據安全 數據安全分級指南》正式實施。除此之外,我國很多部門印發的數據安全或數據管理文件中,也多次涉及全行業內的數據分級或分類要求,如《關于規范衛星導航定位基準站數據密級劃分和管理的通知》《重要地理信息數據管理》《科學數據管理辦法》《國家健康醫療大數據標準、安全和服務管理辦法(試行)》《氣象探測資料匯交管理辦法》等。需要指出,由于《條例》剛剛征求意見,各行業已有的分級要求如未按“一般、重要、核心”作基本分級的,應當作必要修改,以便與《條例》保持一致。
微觀指組織層面。這是網絡安全防護體系中的一種數據保護措施,不是制度安排。在網絡安全建設中,“數據分類分級”指網絡運營者應當對其擁有的數據形成明確的分類清單,并根據敏感程度對數據進行分級,分別采取不同的保護手段。此類要求已存在幾十年之久,業內大量的“數據分類分級解決方案”也均屬于此范疇。因此,這一層面的“數據分類分級”不是政府部門的監管制度,也很難產生統一的標準,實施分類分級的主體往往是各個組織自身。
2017年6月1日實施的《網絡安全法》第二十一條要求,網絡運營者應當采取數據分類、重要數據備份和加密等措施。由此可見,數據分類不過是若干種數據保護手段之一,且由于數據的多樣化,國家并沒有為網絡運營者制定數據分類標準。此后,為了落實《網絡安全法》,一些行業主管部門陸續提出了本系統、本行業的數據分類分級要求,但依然屬于組織層面的安全防護措施,并不是以“國家”或“部門”作為主體對數據進行分類分級。例如,2019年6月1日實施的《證券基金經營機構信息技術管理辦法》第三十條規定,證券基金經營機構應當將經營及客戶數據按照重要性和敏感性進行分類分級,并根據不同類別和級別作出差異化數據管理制度安排。
可以這樣理解,《條例》第五條提到的“分類分級要求”指貫徹分類方法學要求和對一般數據、重要數據、核心數據的分級要求。“進行分類分級管理”指中觀和微觀的數據分類分級保護措施。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
