freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从我国现有法律法规谈重要数据定义
2022-01-11 10:03:47

2021年结束了,年底回忆了一下这一年来自己做了些什么,印象最深的应该就是数据安全这个词。2021可以看做是我国数据安全真正意义上的元年,从目前的法律法规和监管要求来看,主要包括数据分类分级、重要数据、数据生命周期安全以及数据跨境几个领域,个人信息保护除了重要数据外,其他三个领域都是包含的关系。当然,数据大类还包括一般数据、核心数据,本文仅对当前的重要数据识别问题做一个简要分析,暂不讨论其他数据类别,文末会简要进行说明其之间的区别。由于当前国家还未正式给出定义(大多标准都是征求意见稿阶段),这里只是个人的一些想法,仅供参考。

一、重要数据的提出

2017年《中华人民共和国网络安全法》(以下简称“《网安法》”)第三十七条首次提出了“重要数据”的概念。随后,全国信息安全标准化技术委员会发布《信息安全技术 数据出境安全评估指南(草案)》(以下简称“《出境指南》”)中的附录A“重要数据识别指南”按照行业领域对重要数据进行了划分,但是该指南最终并未生效。2019年,《数据安全管理办法(征求意见稿)》(以下简称“《数安办法》”)依据《网安法》的要求,界定了“重要数据”的范围并制定相关数据安全保护工作规范。2020年,《网络安全审查办法》将“重要数据被窃取、泄露、毁损的风险”纳入对网络安全审查重点评估的“采购网络产品和服务可能带来的国家安全风险”中进行规制。

2021年《中华人民共和国数据安全法》(以下简称“《数安法》”)出台,虽然也未对重要数据的概念进行界定,但是在《网安法》的基础上提出了国家建立数据分类分级保护制度,各地区、各部门确定重要数据具体目录,并强调对列入的数据进行重点保护。

随后出台的《信息安全技术 重要数据识别指南(征求意见稿)》(以下简称“《识别指南》”),对重要数据的定义及范围、识别原则、识别流程进行了明确规定。

2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》(以下简称“《条例》”),对我国的网络数据安全与个人信息保护进行了细化和补充。2022年1月7日,根据全国信息安全标准化技术委员会秘书处的工作安排,标准起草组对《重要数据识别指南》(征求意见稿)作了修改。本次修改后,标准内容发生重大变化,并披露了修改思路(来自公众号:小贝说安全)。本次修改取消了对重要数据的“特征”说明,因为这些特征依然不可避免地涉及行业分类,对各地方、各部门制定部门、本行业以及本系统、本领域的重要数据识别细则带来了不必要的约束。标准编制组进一步调研了全球其他国家在网络安全、数据安全领域制定类似标准的情况,并选择了美国制定的《国家安全系统识别指南》作为参照。重要数据的立法发展动态详见图1。

1641866711_61dce5d79448bb56a7d6a.png!small

图1 重要数据的立法历程

回顾重要数据概念的演进过程,也可以窥见我国对重要数据不断深入的理解和重视。2017年,《出境指南》将“重要数据”定义为“与国家安全、经济发展以及公共利益密切相关的数据”,此后《数安办法》《识别指南》等规定将影响分析这一要素直接加入定义之中,明确了重要数据认定的主要标准之一是对于可能造成的损害结果。《条例》延续了这一立法思路,将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”在适用主体上,2017年的《出境指南》将涉及的主体限定为“组织、机构和个人”,而《条例》删除了这一限制,扩大了适用主体范围。这与当前施行的网络安全等级保护制度基本一致。

二、重要数据的定义

1.2017年4月《个人信息和重要数据出境安全评估办法(征求意见稿)》对重要数据定义如下:

重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。

2.2017年5月,在信标委征求意见的《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称“《评估指南》”)中,将重要数据定义为:

相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)

并且将政府信息公开渠道合法公开的数据,排除在重要数据的范围之外。《评估指南》还以附录的形式,列了非常详细的重要数据识别指南。

重要数据:与国家安全、经济发展,以及社会公共利益密切相关的数据。

3.2018年9月,中央网络安全和信息化委员会办公室、工业和信息化部开展“个人信息和重要数据安全专项调查”,在中国互联网协会的《专项调查问题列表与答复》中,重要数据是指:

不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:

(1)地理、自然资源、重要物资储备等数据;

(2)基因、生物特征、疾病等数据;

(3)宏观统计等重要经济数据;

(4)网络信息系统的缺陷、漏洞、防范措施等数据;

(5)人群导航位置、大型设备目标位置和移动数据;

(6)法律法规规定的其他重要数据。

较之于《评估指南》中事无巨细的27大类,答复只分了6大类,缩小了重要数据的范围。但《答复》并非正式的法律文件,不具有法律效力,只是提供了未来重要数据划定范围的一个趋势。

4.2019年5月28日,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》中,明确定义:

重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

5.2020年9月23日,《重要数据识别指南(征求意见稿)》发布。该标准由全国信息安全标准化技术委员会提出并归口,《指南》提出了重要数据的特征,并明确从国家的角度对重要数据进行分类,主要为我国数据安全防护工作提供重要支撑。其对重要数据的定义如下:

一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。

注:重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。

关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。(《中华人民共和国保守国家密码法》 第二条)

其中明确说明国家秘密和个人信息不属于重要数据,单基于海量个人信息形成的统计数据、衍生数据可能属于重要数据,那么这个海量是多少?根据《条例》第二十六条:

数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。

可以初步判定,这个海量可以看成是一百万起步的个人信息数据集或衍生数据集。

有关《重要数据识别指南(征求意见稿)》我之前有写过简要的解读,这里直接复制一下,便于查看。

(1)重要数据识别原则

识别重要数据的基本原则包括:聚焦安全影响促进数据流动衔接既有规定综合考虑风险定量定性结合动态识别复查

1641866814_61dce63ee37d6e7b36370.png!small

图2 重要数据的6项识别原则

1641866829_61dce64d23861cf2b570e.png!small

图3 重要数据特征分为8大类

(2)重要数据特征分类

经济运行相关:粮食、物资、能源储备数据;工控、研发、重要装备数据;核心业务数据(CI)、供应链数据、统计结果(公布前)、原始统计数据。

人口健康相关:医疗健康、诊疗与简况管理信息、疫情管理信息、药品实验数据、医疗器械实验数据、食品药品安全数据(含重大事件信息)。

自然资源相关:地图数据、导航数据、特殊测绘数据、重点目标地理信息;未公开重点目标地理信息、水情信息、水利工程信息、地震预报信息、地震灾害信息、气象观测信息;环保检测数据、环境影响数据、海底地形、海洋水文、海洋气象、领海内温盐、水声、底质、潮汐实测数据。

科学技术相关:国家出口管制清单物品的详细资料,国防、国安相关特殊知识产权,重大发明发现、国家科技计划。

安全保护相关

重要场所与目标的施工图、内部结构等数据,安保装备详细信息、安保部署数据,危化品数据;关基网络安全防护信息、规划建设信息、运行维护数据;未公开漏洞与关基重大事件信息,应急通信数据;网络安全重大发现和研究成果、无线电数据。

应用服务相关

用户委托数据、用户使用数据。

政务活动相关:

国家机关产生的数据,公民企业上报数据。

(3)重要数据识别流程

梳理数据资产—判断安全影响—识别重要数据—审核重要数据—形成目录。

1641866854_61dce66610412e3af2eef.png!small

图4 重要数据识别流程

最后是重要数据的记录和描述方法

1641866906_61dce69a0131a838783bb.png!small

6.2020年9月,《金融数据安全数据安全分级指南》实施,5级数据特征如下:

重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。

表2 数据安全定级规则参考表

1641866931_61dce6b366dd05cbbffcf.png!small

此外,还在附录中对重要数据进行了解释,同时在附录C给出了重要数据定义:

重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。

附录C 重要数据定义

重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成以下后果

——危害国家安全、国防利益,破坏国际关系。

——损害国家财产、社会公共利益和个人合法利益。

——影响国家预防和打击经济与军事间谍、政治渗透、有组织犯罪等。

——影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为。

——干扰政府部门依法开展监督、管理、检查、审计等行政活动,妨碍政府部门履行职责。 ——危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全。

——影响或危害国家经济秩序和金融安全。

——可分析出国家秘密或敏感信息。

——影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其他国家安全事项。 (部分定义略)

不过《数据安全分级指南》只是行业推荐性标准,目前并不具备权威性,只能作为参考。而且,根据2022年《重要数据识别指南》(征求意见稿)的最新修改来看,重要数据特征很大可能将被去除,这样一来,《数据安全分级指南》的参考价值将失去意义。

7.2021年11月14日,国家互联网信息办公室公布《网络数据安全管理条例(征求意见稿)》,对重要数据定义如下:

指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。

1.未公开的政务数据、工作秘密、情报数据和执法司法数据;

2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;

3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;

4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;

5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;

6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;

7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

同样的,这里《条例》对重要数据定义了“特征”,这与最新的《识别指南》冲突,不排除后续会对《条例》进行修改的可能。

三、重要数据与核心数据的关系

《数安法》提出国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。《条例》延续了《数安法》的数据分级分类保护制度,并在此基础上依照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据三类。《条例》根据《数安法》的要求,明确不同级别的数据采取不同标准的保护措施,对个人信息和重要数据进行重点保护,对核心数据实行严格保护。根据《条例》第七十四条,“涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。”因此,核心数据应当适用与重要数据不同且更为严格的保护措施,这里不再展开讨论。(这里的核心数据与企业平常所说的业务核心数据是不同的概念)

重要数据是否包含个人信息

个人信息和重要数据的关系是一个被持续关注的话题。2019年《数安办法》没有将企业生产经营和内部管理信息、个人信息纳入到重要数据范围内。2020年出台的《识别指南》也是类似的做法,但是同时又提出基于海量个人信息形成的统计数据、衍生数据还是可能会属于重要数据。因此可以理解为,个人信息本身并不是重要数据,但基于海量个人信息的数据集、部分特定的个人信息(重要人物个人信息)可能被认定为重要数据。从这一角度而言,重要数据与个人信息并非完全无关。虽然《条例》将“个人信息”与“重要数据”分别专章规定实行重点保护,但是《条例》第二十六条规定了二者存在交叉时的适用规则。数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。因此,如果处理一百万以上个人信息,数据处理者在遵守个人信息保护规则以外,还应当对其加以与重要数据相同的保护措施并履行相应义务。

四、总结

重要数据这个概念,现在说法不一,有的说是中国特有的概念,也有说国外早就有类似的概念。不过,从目前国外媒体的关注来看,个人更倾向前者的观点。查找了国外一些主要的数据保护规定,都没有相关定义(包括Wiki),而且外媒的各类报道中都是用important data这个词来表述重要数据,这在wiki以及各咨询公司都没有过类似定义解释。国外定义的所谓“重要数据”和我国法律法规中所说的“重要数据”概念还存在一定差异。

1641866982_61dce6e604481bdf7f71b.png!small

图5 外媒关于《数安法》的报道

汇总一下国内现有的关于重要数据定义,见下表所示:

法律法规名称

重要数据定义

《个人信息和重要数据出境安全评估办法(征求意见稿)》

是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。

《数据出境安全评估指南(征求意见稿)》

相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据。(与国家安全、经济发展,以及社会公共利益密切相关的数据。)

《专项调查问题列表与答复》

不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:

(1)地理、自然资源、重要物资储备等数据;

(2)基因、生物特征、疾病等数据;

(3)宏观统计等重要经济数据;

(4)网络信息系统的缺陷、漏洞、防范措施等数据;

(5)人群导航位置、大型设备目标位置和移动数据;

(6)法律法规规定的其他重要数据。

《数据安全管理办法(征求意见稿)》

是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。

《重要数据识别指南(征求意见稿)》

一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。

《金融数据安全 数据安全分级指南》

重要数据是指我国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能造成以下后果(见上文)。

《网络数据安全管理条例(征求意见稿)》

指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(见上文)

根据《识别指南》最新修订方向,那么可以将特征从定义中排除,剩下值得我们参考的就只有《个人信息和重要数据出境安全评估办法(征求意见稿)》《数据出境安全评估指南(征求意见稿)》《数据安全管理办法(征求意见稿)》和《重要数据识别指南(征求意见稿)》。首先,其定义均以数据遭受破坏(篡改、破坏、泄露)后,对不同客体造成的影响程度。与等级保护制度相识,包括国家安全、社会稳定和公共利益、组织机构和个人(这里没使用公民,是考虑非中国公民在我国境内产生的个人信息数据也应被保护)的利益。其次,明确表示国家秘密、个人信息(非海量数据集、一般个人)不属于重要数据。最后,国家对重要数据不做特征限定,由各行业各地方制定行业性或区域性的识别方法。这不代表重要数据就完全摒除特征限定,可能在个别行业和地区根据特定因素自行定义。

因此,根据现有定义标准,可以归纳出,重要数据的定义大概是这样:

一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共秩序和利益的数据。(注:重要数据不包括国家秘密、核心数据和个人信息)

最后,重要数据识别工作并非仅由监管部门或企业单独负责,这应该是一项自上而下,而后自下而上的工作,即国家和行业监管部门负责明确定义,给定识别方法,各企业自行识别后上报监管审核,列入重要数据目录。

本文作者:, 转载请注明来自FreeBuf.COM

# 法规解读
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦