2022年9月14日,全国信息安全标准化委员会就国标《信息安全技术——网络数据分类分级要求》(以下简称“《要求》”)公开征求意见 。《要求》是对此前发布的《2022年第二批网络安全推荐性国家标准计划项目清单》的回应,给出了数据分类分级的原则和方法。该标准作为最新的数据分类分级实操要求文件,是数据处理者开展数据分类分级工作的重要参考。
一、与《网络数据分类分级指引》的关系
本次由信安标委发布的《信息安全技术——网络数据分类分级要求》(征求意见稿)属于推荐性国家标准,其与2021年12月发布的《网络安全标准实践指南—网络数据分类分级指引》(以下简称“《指引》”)(TC260-PG-20212A)技术文件密切相关。
根据《中华人民共和国标准化法》的规定,标准包括国家标准、行业标准、地方标准和团体标准、企业标准。而《网络安全标准实践指南》属于信安标委组织制定和发布的标准相关技术文件,旨在对数据分类分级工作提供标准化实践指引,不属于标准范围。区别于技术性文件,《网络数据分类分级要求》作为国家标准适用于全国各行业、各领域、各地方、各部门和数据处理者开展数据分类分级工作。
因此在《要求》正式稿尚未出台之时,数据处理者应参考上述两份文件进行网络数据分类分级,优先适用《要求》的同时将《指引》作为有益补充。
此外,虽然无论推荐性国家标准还是技术指引文件都不具备法律强制力,但《网络数据分类分级要求/指引》作为《数据安全法》所提出的“国家建立数据分类分级保护制度”要求的细化落实,以及其“行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范”的适用范围,企业仍应将该国家标准作为数据分类分级的重要参考,在标准正式稿或其他法律文件出台前了解既有相关规范内容,从严落实标准要求。
二、内容变化和对企业的影响
对比此前的《网络数据分类分级指引》技术文件,国标《网络数据分类分级要求》(征求意见稿)重点强调要从数据所属行业领域出发进行分类分级管理,具体有以下改动:
2、数据分级细致全面:《要求》明确数据分级要通过定量与定性相结合的方式,首先识别数据分级要素情况,命中相关要素后,开展数据影响分析,确定数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度,最终综合确定数据级别(重要、核心或一般,且以重要数据作为分类基准)。
可以预见,未来行业领域主管(监管)部门将会陆续出台本行业本领域的数据分类分级标准,给出本行业本领域重要数据目录或识别细则,并在此基础上提出本行业本领域核心数据目录建议并明确本行业本领域一般数据范围。在此之前,我们建议企业首先关注《网络数据分类分级要求》提供的方法论指导,同时关注现行有效行业数据分级分类的国家标准,并依此进行企业内部的数据分类分级工作,并在后续有关程序建立后对重要数据和核心数据目录进行备案或报送。
在此基础上,企业应对不同类别不同级别的数据建立相应的全流程数据安全保护措施。依据国家给出的关于核心数据、重要数据、个人信息、公共数据等安全要求,以及行业领域给出的数据分类分级保护要求,建立数据分类分级保护策略,按照核心数据严格管理、重要数据重点保护、个人信息安全合规和一般数据分级保护的思路,数据实施全流程分类分级管理和保护。
(一) 总体框架
《网络数据分类分级要求》(征求意见稿)根据《网络安全法》《数据安全法》《个人信息保护法》及国家数据分类分级保护有关规定,给出了数据分类分级的原则和方法,包括数据分类分级基本原则、框架和方法等。标准全文包括前言、引言、正文和8个附录:
正文分为范围、规范性引用文件、术语与定义、基本原则、数据分类框架和方法、数据分级框架、数据分级确定方法、数据分类分级实施流程;
附录分为基于数据描述对象的行业领域数据分类参考示例、数据分级要素识别常见考虑因素、影响对象考虑因素、影响程度参考示例、衍生数据定级参考、动态更新情形参考、一般数据分级参考、个人信息分类示例。
(二) 适用范围和重要定义
《要求》主要适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地方、各部门开展本地区、本部门的数据分类分级工作,同时还可为数据处理者进行数据分类分级提供参考。但涉及国家秘密的数据和军事数据不适用。
《要求》在“3 术语与定义”部分给出了相关术语的定义,其中需重点关注的有:
数据 data:任何以电子或者其他方式对信息的记录。其中,数据项是数据不可分割的最小单位,通常表现为数据库表某一列字段等;数据集是由多个数据项组成的集合,如数据库表、数据文件等;跨行业领域数据是指跨行业领域流动的数据,及多个行业领域数据融合加工的数据。 重要数据 key data:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的数据一般不作为重要数据。 核心数据 core data:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。
一般数据 general data:核心数据、重要数据之外的其他数据。个人信息 personal information:以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。 行业领域数据 industry sector data:在某个行业领域依法履行工作职责或业务运营活动中收集和产生的数据。 组织数据 organization data:组织在自身的业务生产、经营管理和信息系统运维过程中收集和产生的数据。 衍生数据 derived data :经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。
注:核心数据定义演变
(三)数据分类分级原则
《要求》明确要在遵循国家数据分类分级保护要求的基础上,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
科学实用原则:数据分类应从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
边界清晰原则:数据分级的主要目的是为了数据安全,各个数据级别应做到边界清晰,对不同级别的数据采取相应的保护措施。
就高从严原则:采用就高不就低的原则确定数据分级,当多个因素可能影响数据分级时,按照可能造成的最高影响对象和影响程度确定数据级别。
点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后对数据重要性、安全风险等的影响,通过定量与定性相结合的方式综合确定数据级别。
动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
此外,《基础电信企业数据分类分级方法》等标准指南还提出了安全性原则,稳定性原则、可执行性原则、合理性原则、客观性原则等:
合法合规原则:数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。
稳定性原则:分类分级设置在相当长一个时期内是稳定的,对各类数据的涵盖面广,包容性强。
可执行性原则:宜避免对数据进行过于复杂的分类分级规划,保证数据分级使用和执行的可行性。后续相关的安全防护要求都在此分类分级的基础上开展。
合理性原则:数据级别宜具有合理性,不能将所有数据集中划分一两个级别中,而另外一些没有数据。级别划定过低可能导致数据不能得到有效保护;级别划定过高可能导致不必要的业务开支。
客观性原则:数据的分级规则是客观并可以被校验的,即通过数据自身的属性和分级规则就可以判定其分级,已经分级的数据是可以核査的。
同时,我们可以借鉴麦肯锡的MECE分类原则(Mutually Exclusive Collectively Exhaustive)。MECE核心是“相互独立,完全穷尽”:“第一,所有的数据需要全部涵盖,不能遗留;第二,分类之间不允许重复和交叉;第三,同一级次分类的维度要统一,颗粒度要一致”。
数据资产梳理:对数据资产进行全面梳理,包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产,明确数据资产基本信息和相关方,形成数据资产清单。
数据分类:按照数据分类分级有关要求,建立自身的数据分类规则,对数据进行分类,同时对个人信息、敏感个人信息进行识别和分类。
数据分级:按照数据分类分级有关要求,建立自身的数据分级规则,并对数据进行分级。
审核上报目录:对数据分类分级结果进行审核和完善,最后批准发布实施,对数据进行分类分级标识,形成数据分类分级清单和重要数据、核心数据目录,按有关程序报送重要数据和核心数据目录等。
动态更新管理:根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情形参照附录F。
数据按照先行业领域分类、再业务属性分类的思路进行分类:
按照业务所属行业领域,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等行业领域数据。
各行业各领域主管(监管)部门根据本行业本领域业务属性,对行业领域数据进行细化分类。常见业务属性包括但不限于:业务领域、责任部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源。
如涉及法律法规有专门管理要求的数据类别(如个人信息),应按照有关规定或标准对个人信息、敏感个人信息进行识别和分类。“附录H”给出了个人信息的一级类别、二级类别和相关数据示例.
行业领域开展数据分类时,应根据行业领域数据管理和使用需求,结合本行业本领域已有的数据分类基础,灵活选择业务属性将数据逐级细化分类。行业领域数据分类方法重点考虑以下内容:
a) 明确数据范围:按照行业领域主管(监管)部门职责,明确本行业本领域管理的数据范围。
b) 细化业务分类:对本行业本领域业务进行细化分类,包括:
结合部门职责分工,明确行业领域或业务条线分类;
按照业务范围、运营模式、业务流程等,细化行业领域或明确各业务条线的关键业务分类;
c) 业务属性分类:按需选择数据描述对象、数据主题、责任部门、上下游环节、数据用途、数据处理、数据来源等业务属性特征,采用线分类法对关键业务的数据进行细化分类。附录A给出了基于数据描述对象的行业领域数据分类参考示例:
d) 确定分类规则:梳理分析各关键业务的数据分类结果,根据行业领域数据管理和使用需求,确定行业领域数据分类规则,例如:
可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则;
也可对关键业务的数据分类结果进行归类分析,将具有相似主题的数据子类进行归类。
数据处理者进行数据分类时,应遵守国家和行业数据分类规则,数据分类流程主要包括以下步骤:
a)确定数据处理者业务涉及的行业领域;
b)按照业务所属行业领域的数据分类规则,对该业务运营过程中收集和产生的数据进行分类;
c)识别是否存在法律法规或主管监管部门有专门管理要求的数据类别(如个人信息),对个人信息、敏感个人信息进行区分标识;
d)如果存在行业领域数据分类规则未覆盖的数据类型,可以从组织经营角度结合自身数据管理和使用需要对数据进行分类。
根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从高到低分为核心、重要、一般三个级别。各行业各领域应在遵循数据分级框架的基础上,明确本行业本领域数据分级规则,并对行业领域数据进行定级。
核心数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。
重要数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。
一般数据一旦被泄露、篡改、破坏或者非法获取、非法利用、非法共享,仅影响小范围的组织或公民个体合法权益。
数据分级通过定量与定性相结合的方式,首先识别数据分级要素(详见标准“7.2 数据分级要素”以及“附录B”)情况,然后开展数据影响分析(考量影响对象和影响程度,详见标准“7.3 数据影响分析”),确定数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象和影响程度,最终综合确定数据级别。
数据分级要素:影响数据分级的要素,包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性、安全风险等,其中领域、群体、区域、重要性、安全风险通常属于定性要素,精度、规模、覆盖度属于定量要素,深度通常作为衍生数据的分级要素。
影响对象:指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响的对象。影响对象通常包括国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益。
影响程度:指数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是组织或个人权益,则以本单位或本人的总体利益作为判断影响程度的基准。如果影响对象是国家安全、经济运行、社会稳定或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。
a)确定分级对象:确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。
b)分级要素识别:按照 “7.2数据分级要素”识别数据的领域、群体、区域、精度、规模、深度、重要性、安全风险等分级要素情况。
c)数据影响分析:结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、破坏或者非法 获取、非法利用、非法共享,可能影响的对象和影响程度。
d)综合确定级别:按照下表分级参考规则,综合确定数据级别。
在分级要素识别、数据影响分析的基础上,按照上表分级参考规则综合确定数据级别:
a)综合确定级别时,可按照重要数据、核心数据、一般数据的顺序进行确定:
首先进行重要数据定级评估,可参考重要数据识别相关标准,重点评估数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享,是否可能直接危害国家安全、经济运行、社会稳定、公共健康和安全,如果符合分级参考规则进一步评估数据是否为核心数据;
核心数据定级评估可在识别为重要数据的基础上,重点评估数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享,是否可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益。如果符合分级参考规则要求则将数据确定为核心数据,如果不符合则将数据确定为重要数据;
重要数据、核心数据之外的数据可确定为一般数据,可参考附录G将一般数据共分为2级、3级或4级。
b)数据集级别可在数据项级别的基础上,按照就高从严的原则,可以将数据集包含数据项的最高级别作为数据集默认级别,但同时也要考虑分级要素(如数据规模)变化可能需要调高级别。
c)衍生数据级别可按照就高从严原则,在原始数据级别的基础上进行分级,同时综合考虑加工后的数据深度等分级要素对国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益的影响,对数据级别进行调整,衍生数据级别确定可参考附录E。
d)跨行业领域数据分级,原则上可按照数据来源的行业领域数据分级规则确定级别,如果存在跨行业领域数据融合加工,需考虑跨行业领域对数据分级要素的影响,按照衍生数据确定级别。
f)根据数据重要程度和可能造成的危害程度的变化,可对数据级别进行动态更新,动态更新情形可参考附录F。
点击下方公众号链接
1秒解锁更多独家法律知识问答