您的位置 : 环球研究 / 环球评论 / 新闻详情
《重要数据识别指南》新版草案出台,兼议十二项企业合规义务
2022年01月25日孟洁 | 王程 | 张淑怡

博观而约取,厚积而薄发。在数字化竞争的大背景下,数据已经成为了国家博弈间的重要战略资源,网络安全防护工作也成为了国家安全壁垒的重点要求。2021年9月1日生效的《数据安全法》首先提出了建立国家安全观以及数据安全制度体系,要求国家数据安全工作协调机制统筹协调制定国家重要数据目录,加强对重要数据的保护。随后于2021年11月14日《网络数据安全管理条例》(以下简称《网络数安条例(征求意见稿)》)公开向社会征求意见,不仅明确了重要数据的定义,还提出了一系列重要数据安全监管制度,因此,“什么是重要数据”以及“如何识别重要数据”便成为了影响当前国家数据安全工作进展的重大议题。

 

有鉴于此,国家信息安全标准化委员会于2022年1月13日公布了最新调整后的《信息安全技术 重要数据识别指南(征求意见稿)》(以下简称《指南》)。《指南》划分了重要数据的定义范围,重要数据是指“以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家、公共利益的数据”。[1]这既说明了重要数据的存在形式,也明确了以造成不利后果为判断重要数据的唯一标准。并且,《指南》指明识别重要数据的基本原则、明确重要数据的识别因素等,不仅为各行业、地区、部门制定本行业、本地区、本部门的重要数据具体目录提供参考,也为企业识别其自身掌握的重要数据提供实践指引,从而进一步为国家重要数据安全保护工作提供支撑。

 

一、《指南》修改亮点

 

相比于2021年9月23日发布的第一版《信息安全技术 重要数据识别指南》(征求意见稿)(以下简称《2021指南》),《指南》是从整体上对《2021指南》进行了重大修订,具体变化体现在如下几点:

 

(一)改变了体系思路

 

相较于《2021指南》以及再早之前版本中大篇幅对重要数据采取不穷尽列举的方式,《指南》仅对识别重要数据的基本原则和重要数据的识别因素进行了说明,给企业和各主管机构留有更多权衡和商榷的余地。

 

《指南》明确指出,从原先对各类别数据具体范围的框定到目前只确定原则性的做法,《指南》所确定的基本原则包括:聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、以及动态识别复评这六大原则[2]。

 

(二)删除了关键信息基础设施、国家秘密和个人信息的定义

 

虽然《指南》中仍然有提到关键信息基础设施、国家秘密和个人信息这些术语,但是在术语和定义一节中,《指南》删除了此前版本中针对这些术语的定义,一来是将文件重点放在“重要数据”本身,避免了众多文件对同一概念的反复定义、重点不明等问题。二来,能够比较明确地说明,重要数据不包括国家秘密和个人信息。被删除的定义可以直接参考《中华人民共和国保守国家秘密法》《个人信息保护法》等上位法的相关规定。但是基于海量个人信息所形成的统计类数据(aggregate data)、衍生数据(derived data)是有可能属于重要数据的。

 

(三)取消了对重要数据的特征进行说明

 

此前版本中,对重要数据的“特征”说明是文件的一大亮点。《2021指南》从与经济运行相关、与人口与健康相关、与自然资源与环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关、以及其他这八个领域入手,分别介绍了重要数据在该领域下不同角度、不同类别的特征,同时对于各大关键领域下的典型重要数据进行了重点举例说明。如与自然资源与环境相关,涉及地理信息的地图数据、导航数据、特殊测绘数据、重点目标地理信息、未公开的重点目标地理信息等均有可能属于重要数据,并对每类数据进行了解释和说明。

 

经本次修改,《指南》删除了特定领域的划分和详细的举例说明,改而将所有领域打通,将所有领域对重点数据的识别维度均放在认定因素上,从本质上介绍重要数据的识别因素。在总原则引领下,重要数据识别判断因素主要包括:(1)反映国家战略储备、应急动员能力;(2)支撑关键基础设施运行或重点领域工业生产、运行的数据,关键系统组件、设备供应链数据;(3)反映关键信息基础设施网络安全保护情况,可被利用实施对关键信息基础设施的网络攻击;(4)关系出口管制物项;(5)可能被其他国家或组织利用发起对我国的军事打击;(6)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置,可能被恐怖分子、犯罪分子利用实施破坏;(7)可能被利用实施对关键设备、系统组件供应链的破坏,以发起高级持续性威胁等网络攻击;(8)反映群体健康生理状况、族群特征、遗传信息等的基础数据;(9)达到国家有关部门规定的规模或者精度的国家自然资源、环境基础数据;(10)关系科技实力、影响国际竞争力;(11)关系敏感物项生产交易以及重要装备配备、使用,可能被外国政府对我实施制裁;(12)在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生的不宜公开的信息;(13)未公开的政务数据、工作秘密、情报数据和执法司法数据;(14)国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;以及(15)其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。[3]具备以上因素之一的,可能被认定为重要数据。

 

结合上述识别因素,《指南》对如下相关场景包含的重要数据进行举例:战略物资产能、储备量;反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据;描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告;反映重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防等情况的数据,以及未公开的专用公路、未公开的机场等的信息;未公开的水情信息、水文观测数据、气象观测数据、环保监测数据;以及描述与国防、国家安全相关的知识产权的数据等等。

 

同时,《指南》撰写负责人左晓栋院长介绍,在修订《指南》的过程中,标准编制组进一步调研了全球其他国家在网络安全、数据安全领域制定类似标准的情况,选择以美国正在使用的《Guideline for Identifying an Information System as a National Security System》(《国家安全系统识别指南》(NIST 800-59))为参照制定本次《指南》。2003年8月,美国国家标准和技术研究院(NIST)与美国国防部联合制定并颁布了NIST 800-59,提出了判断国家安全系统的方法。NIST 800-59同样从识别的大方向入手,讨论了识别国家安全系统的基础、识别国家安全系统的方法,并提供了国家安全系统识别列表,通过解答问题的方式协助判断某一系统是否符合国家安全系统的定义。

 

但值得注意的是,从立项之初乃至2020年5月,《指南》的重点编制依据均为美国NIST发布的《将各类信息与信息系统映射到安全类的指南》(SP 800-60)。SP 800-60不仅对信息进行了分类,还分别从信息保密性、完整性、可用性角度为信息标明影响级,分别为低、中、高。这与《2021指南》以及更早期标准的编制思路是一致的—拟以文件形式发布重要数据清单,尽可能做到定性与定量相结合的方式识别重要数据,并重点参考了SP 800-60级别为“中”和“高”的信息。此次《指南》的重大修订(甚至改变了编制依据),体现了我国现阶段引导识别重要数据的整体思路的转变,从定性定量描述转化为了对重点原则的把握。这表明,从一定程度上我国逐渐不再框定、限制重要数据的范围,而是改为从数据自身性质出发,给予主管机构更多裁量认定的空间和灵活性,也符合现阶段社会发展的趋势。

 

总体来说,虽然此次重大修订后的《指南》难以如此前的版本以“手把手”方式来教企业如何核对自身所涉信息是否为重要数据,但是《指南》为企业的自我评估提供了更加灵活的指引思路和识别路径。这种比较开放式的识别方法,为认定重要数据解开了思维约束,但也带来了一定挑战和不确定性风险。下文我们将结合目前的法律动态和监管趋势,从《指南》的修订点入手,把握重要原则,熟悉识别因素的重要规则,深入分析企业在处理重要数据时应注意的合规义务。

 

(四)引入了数据分级和数据流动的关联

 

《指南》提出,在识别重要数据时应遵循的基本原则中,应当突出保护重点。通过对数据分级,可明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求的前提下有序流动,释放数据价值。相较于此前版本,《指南》引入了“数据分级”这一制度,与去年九月开始施行的《数据保护法》中国家提出应建立数据分类分级保护制度这一要求前后呼应,顺应政策走向。与此同时,《指南》强调一般数据“充分流动”,相较于《2021指南》中对于一般数据“自由流动”的态度更加突显出了我国鼓励数据流动、开发数据资产价值的趋势要求。

 

二、处理重要数据企业的合规提示

 

(一)梳理数据资产,识别重要数据,形成重要数据目录

 

我国《数据安全法》《网络安全法》《网络数安条例(征求意见稿)》等法律法规均明确提出了重要数据的概念,企业首先需要做的便是对于企业所持有的数据资产进行梳理,参考《指南》所列举的重要数据的识别因素进行判断,明确企业收集的数据的类型,识别数据资产清单中各类数据的用途、面临的主要安全威胁,判断数据安全性(保密性、完整性、可用性等)遭破坏后可能对国家安全、公共利益造成的影响,形成企业的重要数据目录。同时,《数据安全法》第二十一条明确各地区、各部门制定本地区、本部门的重要数据目录。因此,对于在特定领域的企业,则也可以同步参考本领域内行业主管发布的重要数据识别清单。例如,《汽车数据安全管理若干规定(试行)》明确在汽车领域下的重要数据清单:

 

  1. 军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
  2. 车辆流量、物流等反映经济运行情况的数据;
  3. 汽车充电网的运行数据;
  4. 包含人脸信息、车牌信息等的车外视频、图像数据;
  5. 涉及个人信息主体超过10万人的个人信息;
  6. 国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

 

工业和信息化部通过《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》从危害所造成影响程度为着眼点,对构成重要数据的范围进行了说明。当数据泄露、损毁、丢失所造成的危害和影响程度符合下列条件之一的为重要数据:

 

  1. 对政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核安全等构成威胁,影响海外利益、生物、太空、极地、深海、人工智能等重点领域国家安全相关数据的安全;
  2. 对工业、电信行业发展、生产、运行和经济利益等造成影响;
  3. 造成重大数据安全事件或生产安全事故,对公共利益或者个人、组织合法权益造成严重影响,社会负面影响大;
  4. 引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或者影响持续时间长,对行业发展、技术进步和产业生态等造成严重影响;
  5. 恢复数据或消除负面影响所需付出的代价大;
  6. 经行业监管部门评估确定的其他重要数据。

 

在识别完企业内部的重要数据后,根据《网络数安条例(征求意见稿)》第二十二条,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:

 

  1. 数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
  2. 处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
  3. 国家网信部门和主管、监管部门规定的其他备案内容。

 

需要注意的是,一旦处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。

 

此外,当企业处于运营状态时,其所拥有的数据资产是处于流动状态的,而非仅定格在制作数据资产表的那一刻。因此,企业也需要定期对数据资产梳理表进行复盘与更新,以保持数据状态是最新和完整的,并且符合生产运营情况。

 

(二)明确数据安全负责人和管理机构,完善内部制度体系

 

根据《数据安全法》第二十七条,处理重要数据的企业应明确数据安全负责人和管理机构,落实数据安全保护责任。根据《网络数安条例(征求意见稿)》第二十八条,对于年度数据安全管理机构,应在数据安全负责人的领导下,履行以下职责:

 

  1. 研究提出数据安全相关重大决策建议;
  2. 制定实施数据安全保护计划和数据安全事件应急预案;
  3. 开展数据安全风险监测,及时处置数据安全风险和事件;
  4. 定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
  5. 受理、处置数据安全投诉、举报;
  6. 按照要求及时向网信部门和主管、监管部门报告数据安全情况。

 

对于数据安全负责人,应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。

 

同时,企业应以数据为中心,从制度、规范、流程等角度制定数据安全全生命周期的数据安全制度,包括《数据安全组织架构和安全职责》《重要数据采集规范》《重要数据使用规范》《重要数据安全审计》等。

 

(三)对于重要数据采取分类分级、加密保护

 

在第一步识别出重要数据的基础上,对于数据库内的重要数据进行打标,并将其根据企业内部的分类分级制度,从数据处理的全流程角度采取更细致化的保护措施,包括针对数据的访问、分发/复制、传输、存储、文件标签、屏幕显示、销毁、备份等环节均加强保障数据安全。同时,根据《网络数安条例(征求意见稿)》第九条,使用不同类型的加密技术对不同程度的重要数据进行保护。

 

(四)开展网络安全等级保护,使用可信网络产品和服务

 

根据《网络数安条例(征求意见稿)》第九条,企业应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。同时,企业在采购网络产品和服务时,应当优先采购可信的网络产品和服务,定期检测并维护信息系统安全。

 

(五)发生重要数据安全事件时的报告

 

根据《网络数安条例(征求意见稿)》第十一条,当发生重要数据泄露、毁损、丢失等数据安全事件时,企业应当在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等。同时,在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。防患于未然,企业应当提前制定相关的应急预案以及报告流程,以在发生重要数据安全事件时及时尽到报告义务。

 

(六)共享、交易、委托处理重要数据时审批以及评估要求

 

当企业共享、交易、委托第三方处理重要数据时,首先,根据《网络数安条例(征求意见稿)》第三十三条规定,应征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。其次,根据《网络数安条例(征求意见稿)》第十一条,企业共享、交易、委托处理重要数据时,一方面,应当开展安全评估,评估的角度包括:提供数据以及数据接收方处理数据的目录、方式、范围等是否合法、正当、必要;重要数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;数据接收方的诚信状况、守法情况、承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险;与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务等内容。评估认为可能危害国家安全、经济发展和公共利益,企业不应共享、交易、委托第三方处理重要数据。

 

另一方面,应当与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督。

 

同时,留存共享、交易、委托处理重要数据的审批记录、日志记录至少五年。

 

若企业受第三方委托、接收第三方共享或交易数据时,应当履行约定的义务,不得超出约定的目的、范围、处理方式处理重要数据。

 

(七)对企业整体处理活动定期开展风险评估并向监管报告

 

根据《数据安全法》第三十条,企业应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。在开展评估时,根据《网络数安条例(征求意见稿)》第三十二条,企业可以自行或者委托第三方数据安全服务机构每年开展一次数据安全评估,风险评估报告至少保存三年。同时,企业须在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:

 

  1. 处理重要数据的情况;
  2. 发现的数据安全风险及处置措施;
  3. 数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;
  4. 落实国家数据安全法律、行政法规和标准情况;
  5. 发生的数据安全事件及其处置情况;
  6. 共享、交易、委托处理、向境外提供重要数据的安全评估情况;
  7. 数据安全相关的投诉及处理情况;
  8. 国家网信部门和主管、监管部门明确的其他数据安全情况。

 

(八)发生合并、重组、分立、解散、破产时的报告义务

 

根据《网络数安条例(征求意见稿)》第十四条,企业发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据的,应当向设区的市级主管部门报告。

 

若企业发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。

 

(九)在重要数据出境前开展评估

 

1. 出境前的评估与批准

 

根据《网络数安条例(征求意见稿)》第三十七条的规定,企业应当在出境重要数据前通过国家网信部门组织的数据出境安全评估。在出境时,企业不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供重要数据。同时,企业应采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全,接受和处理数据出境所涉及的用户投诉,存留相关日志记录和数据出境审批记录三年以上。

 

数据出境对个人、组织合法权益或者公共利益造成损害的,企业应当依法承担责任,并配合国家网信部门会同国务院有关部门的核验工作以及责令停止数据出境的行为,采取补救措施。

 

若属于外国司法或者执法机构要求提供数据的情形,则必须经中华人民共和国主管机关批准后方可提供。

 

2. 出境后的年度报告

 

企业若向境外提供重要数据,根据《网络数安条例(征求意见稿)》第四十条,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度数据出境情况,内容包括全部数据接收方名称、联系方式;出境数据的类型、数量及目的;数据在境外的存放地点、存储期限、使用范围和方式;涉及向境外提供数据的用户投诉及处理情况;发生的数据安全事件及其处置情况;数据出境后再转移的情况;国家网信部门明确向境外提供数据需要报告的其他事项等内容。

 

类似的,《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》第二十四条同样强调重要数据出境应当依法依规进行数据出境安全评估,在确保安全的前提下进行数据出境,并加强对数据出境后的跟踪掌握。

 

(十)若企业有上市计划,则应审慎评估重要数据相关风险

 

《网络安全审查办法》除关注掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查外,还要求企业重点防控重要数据被窃取、泄露、毁损以及非法利用、非法出境的风险;上市存在重要数据被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。因此,若企业持有重要数据,则在赴国外上市时需要额外评估重要数据的安全风险以及对国家网络安全的影响,配合国家的网络安全审查。此外,考虑到企业在赴国外上市还会涉及数据出境的情况,因此需要额外关注《数据出境安全评估办法(征求意见稿)》要求所有数据处理者在向境外提供数据前须事先开展数据出境风险自评估。如果出境数据中包括在境内运营过程中收集和产生的重要数据的,则运营者还应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。

 

同时,根据《网络数安条例(征求意见稿)》第三十二条,企业应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。企业应保存该等风险评估报告至少三年。

 

(十一)制定培训计划,定期开展培训

 

根据《网络数安条例(征求意见稿)》第三十条的规定,企业应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,负责处理重要数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。

 

(十二)遵循企业本行业对于重要数据的额外要求

 

《数据安全法》及其配套规则从普适的角度对于处理重要数据企业的合规义务进行了要求,各行业、各地区同样被赋权针对重要数据出具本行业、本地区的要求,因此,企业同样需要关注本行业、本地区的额外规定。

 

例如,《汽车数据安全管理若干规定(试行)》针对汽车数据处理活动所涉及的重要数据进行了规定,额外要求包括:

 

  1. 汽车重要数据原则在境内存储,因业务需要确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估;
  2. 每年十二月十五日前向省、自治区、直辖市网信部门和有关部门报送年度汽车数据安全管理情况,内容包括:汽车数据安全管理负责人、用户权益事务联系人的姓名和联系方式、处理汽车数据的种类、规模、目的和必要性、汽车数据的安全防护和管理措施,包括保存地点、期限等内容;
  3. 向境外提供汽车重要数据的,补充报告接收者的基本情况、出境汽车数据的种类、规模、目的和必要性、汽车数据在境外的保存地点、期限、范围和方式、涉及向境外提供汽车数据的用户投诉和处理情况等内容。

 

三、结语

 

悬衡而知平,随着《指南》的修订和完善,我们相信在识别重要数据方面最终将会在顺应世界数据资源竞争趋势的同时,形成具有中国特色的可操性的指南。与此同时,我们建议企业首先应当梳理数据资产,识别并形成重要数据目录,并落实数据安全负责人和管理机构、完善内部制度体系、定期开展培训;其次,企业应当在落实网络等级保护要求的同时,对重要数据进行分类分级和加密保护;再次,当企业发生重要数据安全事件、在处理重要数据、涉及重要数据出境,以及赴国外上市等场景时,应当依法履行不同场景下开展自评估、向监管机构报告、向有关机构申报批准等合规流程;最后,企业还需要时刻关注所处行业和领域的特殊规定及行业标准,以便能够有针对性地及早做好准备。如此以来,企业才能在监管新趋势、新要求下不慌不乱,抓住机遇,迎接挑战。

 

注释:

[1] 《指南》第3.1条、《网络数安条例(征求意见稿)》第73条。

[2] 《指南》第4条。

[3] 《指南》第5条、《网络数安条例(征求意见稿)》第73条。