解讀 | 《重要數據識別指南》(征求意見稿)解讀(下)
小貝案語
風入蒹葭秋色動,雨余楊柳暮煙凝。長假之后恰逢寒露,適合靜心學習。繼中篇對重要數據識別原則進行逐項解釋,并說明了劃分重要數據特征的理由后,下篇則解讀側重于解釋重要數據的各項具體特征,并說明對“重要數據描述方法”的設計考慮。
二十、“與經濟運行相關”下的幾類特征是基于什么考慮?
經濟運行與國家安全關系極大。但與數據有關的經濟運行有可能從哪些方面影響國家安全呢?可以分為兩種情況。一種是數據本身反映了經濟活動,出于國家安全考慮要對經濟活動的狀況保密;另一種是數據決定了經濟發展,特別是數據影響到國民經濟命脈各行業的生產經營。
在第一種情況中,要認識到當前多數經濟數據都是公開的,即使存在公開情報分析,也不能因噎廢食。但有兩類數據一定需要控制知悉范圍。一類是反映國家戰備能力的數據,另一類是某些不宜公開的統計數據。雖然這些數據絕大多數都因為高度敏感而列為國家秘密,但也有一些數據屬于非密但不公開的,尤其以基礎數據、原始數據為主,后者應當屬于重要數據。故由此確定了“反映戰略儲備情況”和“與統計相關”兩類特征。
在第二種情況中,考慮到關系國民經濟命脈的行業,其基礎網絡與重要系統基本上都是關鍵信息基礎設施,故將關鍵信息基礎設施的核心業務運行數據、行業運行數據與供應鏈數據作為重要數據。之所以提到供應鏈數據,主要是考慮到了國際間對抗博弈的現實狀況。故由此確定了“支撐重點行業、領域運行”特征。
此外,考慮到主管部門已經對工業數據有明確的分類分級要求,且很多工業生產活動雖然不一定發生在關鍵信息基礎設施領域,但其生產安全的社會影響極大,《指南》對工業數據作了單列。故由此確定了“支撐工業生產”特征。
二十一、“與人口與健康相關”下的幾類特征是基于什么考慮?
人口與健康數據必然含有大量個人信息,如前文所述,《指南》編制組沒有將個人信息作為重要數據,故《指南》主要考慮了與此相關的生命健康統計數據、分析數據,以及與健康有關的食品、藥品類數據。排除掉個人信息后,“人口與健康數據”主要涉及兩大類。
一大類涉及人群的總體情況和人自身的健康。包括:非公開的人口普查相關數據,以及基因數據、遺傳資源等;診療與健康管理信息,即各類診療與健康管理數據,以及批量健康醫療數據挖掘、群體畫像、開發利用結果數據;疫情管理相關信息,即突發公共衛生事件與傳染病疫情監測過程中獲得的疫病流行情況,疫情防控過程中獲得的病源跟蹤、物資調配、交通運輸等相關信息。故由此確定了“反映人口情況”和“涉及健康醫療”兩類特征。在此之下則包含“診療與健康管理信息”、“疫情管理相關信息”等。
另一大類涉及食品藥品。從實際情況看,這些受控數據主要體現在兩個方面,一方面是實驗類數據,另一方面是事件類數據。故由此確定了“涉及食品藥品情況”特征。在此之下則包含了“藥品實驗數據”、“醫療器械實驗數據”、“食品藥品安全數據”、“食品藥品安全重大(緊急)事件信息”等。
二十二、“與自然資源與環境相關”下的幾類特征是基于什么考慮?
自然資源類型較多,且相當多的自然資源數據與國防軍事安全直接相關。在明確此類重要數據的特征時,主要考慮的是傳統上對自然資源的分類,此外還考慮了環境類數據。故由此確定了“涉及地理信息”、“涉及水利情況”、“涉及地震情況”、“涉及氣象情況”、“涉及環保監測情況”、“涉及海洋環境監測情況”等特征。
很多自然資源類數據的專業性很強,編制組在把握一些類型和精度時聽取了有關方面的意見。
二十三、“與科學技術相關”下的幾類特征是基于什么考慮?
科技安全是國家安全的重要組成部分,很多反映科技成果的數據直接影響國家安全。
首先,作為世界各國維護科技安全的一種常規手段,出口管制對象中必然含有數據類物項。但受控數據不應當僅限于此,所有描述出口管制物項的設計原理、工藝流程、制作方法等的信息以及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告等均應當屬于重要數據。故由此確定了“涉及出口管制物項”特征。
此外,知識產權毫無疑問是應當受保護的。但除了保護權利人利益外,有些知識產權與國家利益相關,應當受到特別保護。其中一類關系國防和國家安全,另一類則具有重大經濟價值,對國家經濟競爭實力有重要影響。因此,即使一些知識產權發明人是個人或企業,也有可能需要將其知識產權數據列為重要數據。故由此確定了“涉及特殊知識產權”特征。
與知識產權類似,一些在科學研究、產業實踐過程中產生的,具有重大戰略意義或經濟價值的論文、報告、實驗數據等也可能屬于重要數據。有的人可能會認為,我自己寫了篇論文,沒有利用國家經費,解決了某個重大問題,我的發明發現怎么就成了重要數據了?但美西方國家對我出口管制的物項,有相當多也都是由企業自行研發的。因此,這一邏輯是合理的。故由此確定了“涉及重大發明發現”特征。
最后,與國家安全直接相關的國家科技計劃本身,以及國家科技計劃管理過程中收集、產生的可能影響國家安全的信息,還有能夠反映國家科技、國民經濟等各種重大情況的國家大型科學儀器運行數據也應當屬于重要數據。故由此確定了“涉及國家科技計劃”特征。
二十四、“與安全保護相關”下的幾類特征是基于什么考慮?
“安全保護手段和措施”顯然是考慮國家安全的重要切入點。信息化條件下,往往從物理安全(實體安全)和網絡安全兩個方面對重點目標實施保護。故由此確定了“涉及物理安全”和“涉及網絡安全”兩類特征。
考慮到除了重要場所與目標自身的安全相關數據外,安保裝備數據、安保部署數據、危化品數據也會影響重要場所與目標的安全,故在“涉及物理安全”特征下作了如上的進一步劃分。
同理,除了關鍵信息基礎設施網絡安全自身防護信息外,《指南》還考慮了其他可能影響關鍵信息基礎設施安全的因素。如關鍵信息基礎設施規劃建設信息、關鍵信息基礎設施運行維護數據,以及漏洞與重大事件信息、網絡安全重大發現與重要研究成果等。此外,還根據有關方面的意見建議,將應急通信數據和無線電數據作為重要數據,這也與關鍵信息基礎設施安全相關。
二十五、“與應用服務相關”下的幾類特征是基于什么考慮?
從實踐看,一些應用服務本身不一定產生重要數據,但在服務過程中,因為用戶重要,或者用戶轉移的數據重要,而使應用服務提供商掌握了重要數據。這是一種特殊情況,但考慮到類似情況比較普遍,且確實是重要數據的一種來源,有必要單列。故由此確定了“用戶委托數據”和“用戶使用數據”兩類特征。
例如,在向政府部門、公共企事業單位(包括但不限于教育、健康醫療、供水、供電、供氣、供熱、環境保護、交通等單位)用戶或重點項目(如國家重大建設工程)提供服務的過程中,所產生的與用戶基本信息、使用情況等有關的數據。如全國直播衛星用戶信息、汽車生產制造企業掌握的重要用戶行車數據等,以及對上述數據進行加工形成的可能影響國家安全的相關信息。
在向用戶提供服務的過程中,用戶的重要數據轉移到企業或其他組織的信息系統之中,這并不是新產生的重要數據,嚴格講這不是新的一類特征。但這種情況下服務提供者需要承擔保護重要數據的責任,故《指南》中也還是作了強調。
二十六、“與政務活動相關”下的幾類特征是基于什么考慮?
除國家秘密外,國家機關在履行法定職責過程中產生大量不宜公開的文件、資料,很多定位為工作秘密,這顯然應當屬于重要數據。這種劃分方法固然會與前述的幾類特征有所交叉,但從實際工作看,單獨提出“與政務活動相關”有利于數據的管理。
有一些數據由公民或企業上報,非由國家機關產生,但也不宜公開,《指南》也將其作為重要數據(個人信息除外)。
故由此確定了“國家機關產生的數據”和“公民企業上報數據”兩類特征。
二十七、制定“重要數據描述方法”是基于什么考慮?
《指南》只是為部門行業制定重要數據目錄提供了原則性參考。但如果沒有一個統一的重要數據描述格式,則各地方、各部門制定的重要數據目錄很可能多種多樣,不利于匯總和管理。為此,有必要提出一種重要數據的描述方法,經科學論證后,可供今后各地方、各部門統一采用。
目前,《指南》提出的重要數據描述方法如下表所示:
小貝結語
《汽車數據安全管理若干規定(試行)》已經發布,《工業和信息化領域數據安全管理辦法》正在征求意見,其中都提出了相關行業領域重要數據的定義。以后還會有越來越多的部門制定關于重要數據管理的規范性文件。《指南》只是國家標準,且目前仍屬于征求意見稿階段,也只是反映了編制組現階段的認識水平,不代表官方意志。左曉棟博士特別強調,此次連載的3期《指南》解讀僅是其個人意見,定有不妥之處。隨著時間的發展,相信《指南》會不斷修改完善。
關聯文章
