【小结】数据安全法第二十条数据分类分级保护解读与合规实践探究

2024年05月14日

  华人民和数据安全法

  第二十一条

  家建立数据分类分级保护制度,根据数据在经济社会发展的重要程度,以及一旦遭到篡改破坏泄露或者非法获取非法利用,对家安全公利益或者个人组织合法权益造成的危害程度,对数据实行分类分级保护。家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。

  关系家安全民经济命脉重要民生重大公利益等数据属于家核心数据,实行更加严格的管理制度。

  各地区各部门应当按照数据分类分级保护制度,确定本地区本部门以及相关行业领域的重要数据具体目录,对列入目录的数据进行重点保护。

  合规解读

   地方 分类 分级 制度

  危害 目录 转化 后果 保护

  核心目的建设和地方两个层面的数据分类分级制度。层面建立数据分类分级保护制度,统筹加强对重要数据和核心数据的保护。层面的家数据安全工作协调机制负责统筹协调,实现由家安全机构通过家数据安全工作协调有关地区部门制定重要数据目录工作,确保推动重要数据统一认定标准的建立。地方层面

  1. 各地区各部门建立重要数据具体目录,将需要重点保护的数据列入目录;

  2. 各地区各部门承担确定本地区本部门的重要数据目录职责;

  3.各地区各部门负责重要数据和核心数据的具体实施。

  层面与地方层面的关联自上而下原则层面建立数据分类分级保护制度,负责统筹协调各地区各部门制定重要数据目录工作,确保统一认定标准建立数据分类

  1. 目的方便数据的查阅识别管理保护和使用;

  2. 前置条件根据数据的属性或特征等开展;

  3. 法律界定数据安全法将数据分为一般数据和重要数据个人信息保护法界定敏感个人信息网络数据安全管理条例征求意见稿专章规定个人信息保护和重要数据安全;

  4. 双轨化路径将数据从总体上看,我分为个人信息和重要数据,规制模式采取个人信息与重要数据保护体系双轨化模式;

  5. 总分原则从数据分类法益保护的角度看,我数据分类遵循总分原则,先按归属主体影响对象影响范围影响程度对数据进行类别划分,再通过对业和数据进行细分。

  数据分级

  1. 目的便于根据数据的不同安全等级采取相匹配的保护措施;

  2. 前置条件基于数据的重要程度和发生危害时的影响程度等进行开展;

  3. 总体要求根据数据的敏感程度数据泄露破坏后,对家安全社会秩序公利益以及公民法人和其他组织的合法权益的危害程度,将其确定不同安全等级;

  4. 细化要点基于数据使用行为的危害性进行划分基于数据自身的关键性程度及对于业的影响进行定级基于数据所适用的司法管辖区进行划分等。

  数据分类与数据分级关联性

  1. 监管角度数据分级是监管要求内的一种数据分类;

  2. 安全角度数据分类是为了方便数据保护的一种分级;

  3. 目标角度数据分类与数据分级均承担保障数据安全的目标。

  我数据分类分级领域现状我在数据分类分级领域已形成家法律部门规章标准规范三类政策文件同构建的制度规范雏形,特别在技术标准与行业规范具备较为体系化的数据分类分级要求,但法规层面尚未得以完整落实;合规义转化为特殊义基于数据分类分级保护制度的建立,可将数据处理者的合规义向数据处理者履行自身的特殊义进行转化,从而实现对数据的针对性管理;重要数据后果先知

  1. 危害家安全防利益等;

  2. 损害家财社会公利益和个人合法利益;

  3. 影响家预防和打击经济与军事间谍政治渗透有组织规范等;

  4. 影响行政机关依法调查处理违法渎职或涉嫌违法渎职行为;

  5. 干扰政府部门依法开展监督管理检查审计等行政活动,妨碍政府部门履行职责;

  6. 危害家关键基础设施关键信息基础设施政府系统信息系统安全;

  7. 影响或危害家经济秩序和金融安全;

  8. 可分析出家秘密或敏感信息;

  9. 影响或危害家政治土军事经济文化社会科技信息生态资源核设施等家安全事项等。

  不同家数据分类方法

  1. 欧盟个人数据和非个人数据;

  2. 澳大利亚一般数据敏感数据;

  3. 印度一般数据敏感数据关键数据;

  4. 美敏感数据非敏感数据。

  实施指南

  政策 演化 标准 实施

  重要数据 性 领域

  本条强调了层面要建立数据分类分级保护制度统筹加强对重要数据和核心数据的保护。地方层面建立重要数据具体目录将需要重点保护的数据列入目录,并承担相应责任。同时,从危害影响角度明确了数据在经济社会发展的重要程度,对数据实行分类分级保护。因此,结合我当前数据分类分级法律法规现状及数据二十条要求,在本文在实施指南侧主要探究以下问题

  以数据分类分级为基础应重点开展哪些工作?当前我关于数据分类分级政策上有哪些演化?通过指南洞察如何进行重要数据识别?确定数据分类与数据分级的性目标?

  一政策演化基于数据分类分级的政策演变

  本文从我已出台的数据分类分级政策文本为出发点,以其文本内容为出发点,量化其演化趋势。

  政策发展起步阶段20012009年数据分类分级政策最早政策文件由重庆市人民政府关于印发重庆市电子商发展纲要和数字重庆地理信息系统发展纲要的通知,提出数据安全数据享等理念,标志我数据分类分级政策发展步入起步期。

  政策发展调整期20102014年以政策发展规律及数据治理为时代背景,数据分类分级政策数量发布较少,但各级政府已开始探索数据分类分级政策发展储备理论技术人才等。

  政策发展加速期2015年至今数据分类分级政策数量呈上涨趋势,逐步向更多领域扩展实施,如家十三五十四五规划数据安全法网络数据安全管理条例征求意见稿重要数据识别指南征求意见稿等,标志数据分类分级工作越发受到相关部门重视。同时,也符合我高质量发展的大原则。当前我数据分类分级政策涉及的应用领域具体如下

  政 政数据公数据海关数据等安 全风险隐患信息数据安全生基本信息数据等医 疗健康医疗数据医疗保障数据医保数据等金 融证劵期货业数据等跨 境跨境数据出境数据跨境电商数据等;工 业工业数据工业互联网数据智能互联网汽车数据等财 税审计业电子数据税数据等征 信公信用数据信用信息记录数据等电 信电信互联网行业数据等自然资源基础空间数据土资源数据其他自然资源数据等交 通交通运输数据交通行业数据民航数据等商 业消费信息数据电子商数据企业基础数据等科 学科学数据交通运输科学数据等······

  二标准实施侧以数据二十条强调的数据环节为导向以数据分类分级基础,对标准实施方向性进行探究

  以数据二十条内涵为导向以数据分类分级为基础的标准编制推演。数据二十条核心内涵在于以盘活数据经济价值为核心的权属关系确立上,在权属关系上数据二十条体现出淡化所有权强调使用权聚焦数据使用权流动。同时,在制度架构上,体现出三权分置即数据资源持有权数据加工使用权数据品经营权。因此,需要结合数据二十条内涵认识把握数据的基本规律即权流通交易使用分配治理安全等,通过基本规律找寻不同规律点的性要点内容,通过数据基本规律可看出,围绕在各环节的性要点在于确权 定价可信 管理方向上。结合推演逻辑,推理标准制定方向。在融合数据二十条找寻的性,不能摒弃掉之前已形成数据分类分级基础沉淀,应以家出台相关标准如数据安全法第2125273031条;网络安全法第2737条 ;重要数据识别指南征求意见稿对重要数据的分类;网络安全等级保护定级指南第4.2条;网络安全标准实践指南网络数据分类分级指引等为基础,去叠加融合数据二十条性要点,通过上述的推演,建议在此处可首先融合管理与确权即数据分类分级管理要求数据分类分级确权要求,因为,管理层面之前的标准更多强调对数据的性管理,当基于数据分类分级时,就应更多强调对特性的管理;确权层面一直缺少可助推家建立合理标准的可行指引。因此,基于当前家标准现状在 管理确权将成为下一步的可能方向点。基于确定的标准方向,构思融合方法。1. 数据分类分级管理要求。之前对数据的管理,主要强调对数据的性管理,当以数据分类分级为基础时,就应围绕数据分类数据分级强调对特性的管理,具有层次结构。如数据分类划分的行业,哪些为关基行业哪些为非关基行业哪些为与家经济命脉相关行业等,对不同的分类应实行不同的对数据管理要求如在组织结构人员能力战略规划数据技术数据流动数据脱敏数据加密等进行逐层考虑;2. 数据分类分级确权要求。从数据流动性的角度看,越高级别的数据反倒在确权上越变得容易即越高级别的数据流动条件越多,牵扯外延关联越少。因此,基于数据分类分级的确权应是一种逆向思维模式,并按照三大类即公数据企业数据个人数据进行划分,这三类都可进行独立推演及制定要求,并运用权分置运行机制结合洛克财权劳动论赋予的生命力及相关法律标准进行展开。

  三重要数据识别侧以重要数据识别指南征求意见稿核心思想为出发点,量化重要数据识别核心要点

  重要数据识别指南征求意见稿以下简称此指南量化的维度并不是对家安全系统进行分类,而是更多的关注在可能生的影响角度进行的描述与细分。此指南从聚焦安全影响突出保护重点衔接既有规定综合考虑风险定量定性结合以及动态识别复评为六大核心原则。具体如下

  如何理解重要数据定义?此指南定义以电子方式存在的,一旦遭到篡改破坏泄露或者非法获取非法利用,可能危害家安全公利益的数据。关键词 KEYWORDS电子方式 危害 安全实际可以通过两个维度进行重要数据定义诠释一是什么为数据二是在界定的数据如何寻找重要数据。1. 什么是数据?通过此指南定义前半句可以看出即以电子方式存在的,只要以电子方式存在的即为数据,但这里的数据实际即包含了一般数据重要数据,也包含了核心数据等,实际是一个比较宽泛的范围,这就衍生出如何界定重要数据。2. 如何在数据界定重要数据?这里可对应到本文在思想侧所提到更多关注可能生的影响角度。再回到此指南定的后半句即一旦遭到篡改破坏泄露或者非法获取非法利用,可能危害家安全公利益的数据。在数据寻找重要数据需要观察数据重要程度数据关联因素数据影响范围定性及定量等。注数据是否为家关键信息基础设施数据数据是否与家关键基础设施进行关联数据天生是否与家安全相关即天生影响因子数就很高,并与家安全社会稳定公健康经济运行等强相关数据通过量变是否达到质变即天生影响因子数并不高,单独存在并非为重要数据,但持续的单独数据进行积累汇聚,当数据达到一定量级发生泄漏破坏后会影响到家安全社会稳定时可能变为重要数据。

  如何识别重要数据?本文基于此指南从数据流动侧安全风险影响侧进行回答。

  1. 重要数据是否可以进行数据流动数据流动侧?从释放数据价值角度进行考量,本文认为无论是什么样的数据都需要进行数据流动即数据流动是释放数据价值的必要手段,只不过不同等级数据流动的方式不同,有些可以是无序的数据流动有些需要是有序的数据流动。相对一般数据讲,重要数据就需要建立在有序流动的基础上进行释放数据价值,安全能力防护上需要满足高安全防护能力等级如等保2.0的3级以上标准,引入数据分类分级保护制度,通过对数据的分级明确安全保护重点,使数据分级和数据流动进行关联。因此,数据是在高安全防护等级标准进行有序流动的数据,根据映射的家安全影响情况可纳入重要数据范畴。2. 重要数据遭受破坏会造成哪些影响安全风险影响侧?重要数据安全影响侧要规避本位思考局限性,更多上升到家安全层面即组织自身的重要或敏感数据不属于此指南的重要数据;重要数据要从家安全经济运行社会稳定公健康影响范围角度进行识别。此指南对如下相关场景包含的重要数据进行举例战略物资能储备量;反映关键信息基础设施网络安全方案系统配置信息核心软硬件设计信息系统拓扑应急预案等情况的数据;描述出口管制物项的设计原理工艺流程制作方法等的信息以及源代码集成电路布图技术方案重要参数实验数据检测报告;反映重点安保单位重要生企业家重要资如铁路输油管道的施工图内部结构安防等情况的数据,以及未公开的专用公路未公开的机场等的信息;未公开的水情信息水文观测数据气象观测数据环保监测数据;以及描述与防家安全相关的知识权的数据等。

  四实施目标侧以安全保护为数据分类分级的性目标

  从数据分类与数据分级的概念角度出发,数据分级主要是针对适用于安全保障目标场景以及对应监管保护标准,数据分级实际是支撑监管体系下的一种数据分类。数据分类实际是为了数据的保护进行的数据分级。以安全保护为目标的数据分类与数据分级就变成从属关系,因此,数据分类与数据分级规范体系均担负保障数据安全的目标。具体目标如下

  数据流动安全目标;数据隐私保护目标;公数据授权目标;数据权属保护目标;数据安全可信目标;数据针对性管理目标;

  总 结

  本文以数据安全法第二十一条 要求为出发点,整体按照合规解读实施指南法律关联三个方面进行展开,在合规解读侧,从本条映射出的核心目的与地方职责与地方的关系数据分类数据分级分类与分级的关系我数据分类分级现状合规义转化重要数据外现状角度进行探究与分析;在实施指南侧,从政策的演化标准的实施方向重要数据识别分类与分级的性目标进行探究分析;并在法律关联侧将我当前的法律法规标准指南与本条有映射关系的条款进行量化。

  法律关联

  本条与网络安全法第213137条进行关联;本条与网络安全等级保护基本要求强调的等级保护对象受到侵害后对客体造成的损害程度进行关联即一般损害严重损害特别严重损害;本条与网络安全标准实践指南网络数据分类分级指引强调的数据遭到篡改破坏后所造成的不同危害程度进行关联即严重影响轻微影响重大负面影响轻微受损等;本条与基于电信企业数据分类分级办法进行关联;本条与关键信息基础设施安全保护条例强调的某些运营和管理关系到家安全计民生公利益的网络设施和信息系统属于关键信息基础设施运营者进行关联;本条与网络数据安全管理条例征求意见稿第5926条进行关联;本条与汽车数据安全管理若干规定试行第3条进行关联;本条与数据出境安全评估办法强调的数据资源规模范围种类敏感程度风险要点进行关联本条与信息安全技术 数据分类分级规则征求意见稿进行关联;本条与证券期货业数据安全风险防控 数据分类分级指引进行关联;本条与证券期货业数据分类分级指引进行关联;本条与信息安全技术 健康医疗数据安全指南进行关联;本条与科学数据安全分类分级指南进行关联;本条与互联网数据心技术及分级分类标准进行关联;本条与信息安全技术 个人信息安全规范进行关联;本条与民经济行业分类进行关联;本条与信息安全技术 公及商用服信息系统 个人信息保护指南进行关联;本条与信息技术 大数据 数据分类指南进行关联;本条与公信用信息分类与编码规范进行关联;本条与信息安全技术 网络安全事件分类分级指南进行关联;本条与信息安全技术 信息安全事件分类分级指南进行关联;本条与信息安全技术 网络安全漏洞分类分级指南进行关联;本条与信息安全技术 重要数据识别指南进行关联;本条与信息安全技术 公数据开放安全要求进行关联;

上一篇:【分享】我是湖北十堰人,儿子找的对象是山东临沂城里的,我很满意 下一篇:【案例】华夏中证机床ETF发起式联接C(017574)基金费率

最新文章