The website uses cookies. By using this site, you agree to our use of cookies as described in the Privacy Policy.
I Agree

潮数科技深入解读数据分级分类及部分行业分类标准

《数据安全法》草案已经提请十三届人大第二十次会议审议,《数据安全法(草案)》已经正式开始公开征求意见了。其中第十九条提出了对数据进行分级分类的要求,意义重大,潮数科技作为一家“数据安全一体化”企业,对其进行重点解读。

与《数据安全法》相关的法律与标准

与《数据安全法》全称《中华人民共和国数据安全法》,与相关的法律有《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国民法典》等,同时还有《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准,这些简称为“等保2.0”。

其中,2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过《中华人民共和国国家安全法》,中华人民共和国主席令第29号公布《中华人民共和国国家安全法》,自2015年7月1日起施行。《中华人民共和国国家安全法》,是为了维护国家安全,保卫人民民主专政的政权和中国特色社会主义制度,保护人民的根本利益,保障改革开放和社会主义现代化建设的顺利进行,实现中华民族伟大复兴,根据《中华人民共和国宪法》,制定的法规。

2016年11月7日,全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》,中华人民共和国主席令第53号公布,自2017年6月1日起施行。《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。

2020年5月28日,十三届全国人大三次会议表决通过了《中华人民共和国民法典》,自2021年1月1日起施行。婚姻法、继承法、民法通则、收养法、担保法、合同法、物权法、侵权责任法、民法总则同时废止。《中华人民共和国民法典》被称为“社会生活的百科全书”,是新中国第一部以法典命名的法律,在法律体系中居于基础性地位,也是市场经济的基本法。《中华人民共和国民法典》共7编、1260条,各编依次为总则、物权、合同、人格权、婚姻家庭、继承、侵权责任,以及附则。民法典中确认个人享有隐私权,数据收集者有责任保护一个人的私人信息,未经同意不得收集、披露或者交易类似的数据,从而能够有效保护人们的隐私信息。

2002年5月25日下午,十三届全国人大三次会议第二次全体会议召开。全国人大常委会工作报告在下一步主要工作安排中指出,围绕国家安全和社会治理,制定《个人信息保护法》。

于2019年12月1日开始实施的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,简称“等保2.0”。将等级保护划分为五类,并提出了不同的要求。

《数据安全法》明确提出数据分级分类要求

2020年6月28日,《中华人民共和国数据安全法(草案)》在十三届全国人大常委会第二十次会议上提请审议。2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见。草案内容共7章51条,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。

《数据安全法》草案, 内容涉及7章51条,包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。

《数据安全法》第三章《数据安全制度》第十九条:国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。

《数据安全法》规定数据分级分类主体为国家

《数据安全法》第十九条第一款中规定的数据分级分类的主体为国家,这是首次提出,足见国家、相关部门对此的重视。

值得注意的是,在《数据安全法》之前,我国现有的法律法规也有数据分级分类的规定。

比如,国务院2018年3月17日发布的《科学数据管理办法》第十条规定:“科学数据中心是促进科学数据开放共享的重要载体,由主管部门委托有条件的法人单位建立,主要职责是:(一)承担相关领域科学数据的整合汇交工作;(二)负责科学数据的分级分类、加工整理和分析挖掘;(三)保障科学数据安全,依法依规推动科学数据开放共享;(四)加强国内外科学数据方面交流与合作”。《科学数据管理办法》第二十条规定:“法人单位要对科学数据进行分级分类,明确科学数据的密级和保密期限、开放条件、开放对象和审核程序等,按要求公布科学数据开放目录,通过在线下载、离线共享或定制服务等方式向社会开放共享”。

中国证券监督管理委员会2019年6月1日实施的《证券基金经营机构信息技术管理办法》(第152号令)第三十条规定:“证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排”。

但是分级分类的主体绝大多数是规范对象自身,比如:“主管部门”“法人单位”“证券基金经营机构”,而不是国家。

数据安全分为两个层次 新数据安全分为四个类型

数据安全的基本要求存在两个层次:传统数据安全和新数据安全。其中传统数据安全保障数据用为资产的安全,主要是保障数据的完整性、保密性和可靠性;而新数据安全关注的是管控数据处理过程中对外部可能造成的危害。

“新数据安全”又可以分解为四个类型:

个人安全——即数据处理行为危害到个人安全,包括人身、财产、名誉等合法权益。此方面为个人信息保护法律管控的主要内容。

组织安全——即数据处理行为危害到其他组织的合法利益,包括知识产权、商业秘密,以及其他竞争和名誉等方面的利益。例如企业非法爬取其他企业的数据。企业非法窃取其他企业的商业秘密。企业非法使用其他企业的知识产权(比如商标、专利等)。此方面可总结为,数据处理行为不得侵害其他组织的专有数据,具体包括两方面:企事业专有数据和政党社团专有数据。企事业专有数据(proprietary data)可定义为:企事业所持有的可能影响其竞争优势的数据。

公共安全、公共利益、公共秩序——即数据处理行为危害到公共安全、公共利益、公共秩序。例如企业公开发布统计信息影响行政管理、经济秩序。

国家主权、安全、发展利益——即数据处理行为危害到“国家在政治、经济、国防、外交等领域的安全和利益”。例如企业通过数据聚合分析,推论出国家秘密,进而影响国防、国际关系等。

根据《国家网络安全事件应急预案》中的“重要敏感信息”的定义,潮数科技将“个人信息、企事业专有数据、政党社团专有数据、重要数据”,归类为“敏感信息”或“重要敏感信息”,并对其进行如下数据分类:

其中,国家秘密包括:

(1)军事计划、武器系统或军事行动;

(2)外国政府信息;

(3)情报活动(包括机密行动) 、情报来源或方法、或密码;

(4)美国的对外关系或对外活动,包括保密源;

(5)与国家安全有关的科学、技术、经济事务;

(6)美国政府保护核材料或核设施的方案;

(7)与国家安全有关的系统、装置、基础设施、项目、计划或防护服务的弱点或能力;

(8)大规模杀伤性武器的发展、生产或使用。

企业专有数据,指企事业所持有的可能影响其竞争优势的数据。包括:

(1)知识产权;

(2)商业秘密,指不为公众所知悉、能为权利人带来经济利益,具有实用性并经权利人采取保密措施的技术信息和经营信息;

(3)保密商业信息。

个人信息,指与特定消费者或家庭直接或间接地识别相关联,或者描述消费者或家庭,或者与家庭或消费者有关,或者可能与特定的消费者或家庭合理联系。

《国家网络安全事件应急预案》对于网络安全事件分为四级

2017年1月10日,中央网络安全和信息化领导小组办公室印发了《国家网络安全事件应急预案》通知,其中《1.4 事件分级》,将网络安全事件分为四级:特别重大网络安全事件、重大网络安全事件、较大网络安全事件、一般网络安全事件。

(1)符合下列情形之一的,为特别重大网络安全事件:

①重要网络和信息系统遭受特别严重的系统损失,造成系统大面积瘫痪,丧失业务处理能力。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成特别严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

(2)符合下列情形之一且未达到特别重大网络安全事件的,为重大网络安全事件:

①重要网络和信息系统遭受严重的系统损失,造成系统长时间中断或局部瘫痪,业务处理能力受到极大影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

(3)符合下列情形之一且未达到重大网络安全事件的,为较大网络安全事件:

①重要网络和信息系统遭受较大的系统损失,造成系统中断,明显影响系统效率,业务处理能力受到影响。

②国家秘密信息、重要敏感信息和关键数据丢失或被窃取、篡改、假冒,对国家安全和社会稳定构成较严重威胁。

③其他对国家安全、社会秩序、经济建设和公众利益构成较严重威胁、造成较严重影响的网络安全事件。

(4)除上述情形外,对国家安全、社会秩序、经济建设和公众利益构成一定威胁、造成一定影响的网络安全事件,为一般网络安全事件。

《工业数据分类分级指南(试行)》 将工业数据分为三级

2020年2月27日,工业和信息化部办公厅印发了《工业数据分类分级指南(试行)》的通知,其中第三章《数据分级》第八条、第九条、第十条、第十一条将工业数据分为一级、二级、三级,并对各上级别寺了定义。

第八条 根据不同类别工业数据遭篡改、破坏、泄露或非法利用后, 可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等 3 个级别。

第九条 潜在影响符合下列条件之一的数据为三级数据:

(一)易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大;

(二)对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。

第十条 潜在影响符合下列条件之一的数据为二级数据

(一)易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大;

(二)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露;

(三)恢复工业数据或消除负面影响所需付出的代价较大。

第十一条 潜在影响符合下列条件之一的数据为一级数据:

(一)对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小;

(二)给企业造成负面影响较小,或直接经济损失较小;

(三)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短;

(四)恢复工业数据或消除负面影响所需付出的代价较小。

《证券期货业数据分类分级指引》数据分类与分类思想

《证券期货业数据分类分级指引》,从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分 的树形逻辑体系结构,最后,对分类后的数据确定级别;同时,推荐考虑确定数据形态,如下图。

数据分类分级方法,分为三个阶段:

(1) 第一阶段:业务细分。解决业务分类问题,同时确定数据的管理主体。数据管理主体的确定是 数据分类准确性和定级准确性的基本保证;

(2)第二阶段:数据归类。在明确数据管理主体和业务分类的基础上,重点解决数据分类问题;

(3) 第三阶段:级别判定。在数据分类基础上,进行数据定级。 数据分类后,宜同时明确数据的具体“数据形态”,即所处的系统、存储的媒介、物理位置等。

国家对于数据分类思路呼之欲出 多维度看数据分类

从《数据安全法(草案)》的全文,以及正在制定的《个人信息保护法》来看,从数据安全监管的角度,国家对数据的分类思路已经呼之欲出:

1.数据——指任何以电子或者非电子形式对信息的记录;

2.个人信息;

3.重要数据。

从国家层面数据安全管理角度来看数据分类:

1、数据分类本质上取决于要保护的价值或内容。比如:国家秘密、个人信息、商业秘密等;

2、对于不同类别的数据,保护的主体不一,包括:公共部门、私营主体、个人;

3、对于不同类别的数据,保护的方式和程度不一,包括:公权力事前、事中、事后介入;

4、同一数据在不同场景中会被纳入不同分类。

Measure
Measure
Summary | 3 Annotations
树形逻辑体系结构
2021/01/15 05:21
确定数据的管理主体
2021/01/15 05:34
数据形态
2021/01/15 05:34