2023年8月25日,全国信息安全标准化技术委员会发布《信息安全技术 重要数据处理安全要求》征求意见稿(以下简称“《重要数据处理安全要求》”)。该标准文件系依据国家有关数据安全的法律法规制定,体现了国家对于数据安全的重视,该标准指定与实施,也有助于应对来自国际网络与数据安全的挑战。
为促进企业对重要数据安全保护要求的理解,本文在简述重要数据安全保护与合规的立法框架基础上,对《重要数据处理安全要求》进行如下解读。
一、重要数据安全与合规的立法框架
重要数据是我国数据安全立法体系中的重要内容,对此,我国已在法律层面逐步建立了重要数据保护制度体系。
2017年,我国发布并实施《中华人民共和国网络安全法》(以下简称《网络安全法》),该法第二十一条、第三十七条明确从法律层面提出了重要数据的概念,该法第二十一条规定了网络运营者应“采取数据分类、重要数据备份和加密等措施”。但这一条款并没有界定什么是重要数据。随后,2021年施行的《中华人民共和国数据安全法》(“《数据安全法》”),明确规定建立数据分类分级保护制度,并明确提出建立重要数据目录。
同时,我国通过行政法规、部门规章等法规文件细化重要数据安全的保护要求。例如,2021年国务院发布的《关键信息基础设施安全保护条例》第十八条规定了重要数据泄露的应急响应要求;2021年,《汽车数据安全管理若干规定(试行)》明确定义了汽车数据中的重要数据,并提出风险评估、报送汽车数据安全管理情况等要求;2022年,《数据出境安全评估办法》明确规定了重要数据出境的安全评估要求;2022年,《工业和信息化领域数据安全管理办法(试行)》对工业和信息化领域数据中的重要数据识别、分类分级管理、全生命周期安全管理等方面进行了更为细化的规定。
此外,在上述法律法规的基础上,为指导数据处理者开展数据分类分级工作、识别重要数据,不同行业发布了一系列指引、指南,例如《信息安全技术 重要数据识别指南(征求意见稿)》(以下简称“《重要数据识别指南(征求意见稿)》”)、《网络安全标准实践指南——网络数据分类分级指引》《工业数据分类分级指南(试行)》《基础电信企业重要数据识别指南》《金融数据安全 数据安全分级指南》《信息安全技术 网络数据分类分级要求(征求意见稿)》等。
综上,重要数据保护与合规,在我国已经形成了一整套制度体系,并且重要数据保护与各项网络安全保护制度、数据安全制度、个人信息保护制度、有关行业立法都有一定的交叉和融合,从而对重要数据保护与合规提出了很高的要求。
二、 《重要数据处理安全要求》要点解读
(一) 重要数据定义
《网络安全法》《数据安全法》对重要数据提出了严格的监管要求,但是截止目前尚未从全国人大通过的法律层面对重要数据予以定义。
国家互联网信息办公室于2017年4月11日公布的《个人信息和重要数据出境安全评估办法(征求意见稿)》第九条,对重要数据界定为:“重要数据,是指与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”
2019年5月28日,国家互联网信息办公室公布了《数据安全管理办法(征求意见稿)》,对“重要数据”界定为:“重要数据,是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。”
虽然《个人信息和重要数据出境安全评估办法(征求意见稿)》和《数据安全管理办法(征求意见稿)》当前均未正式通过,但作为监管机构制定的规则征求意见稿,一定程度上反映了监管机构的意见,对于识别重要数据,具有一定的参考价值。
2022年9月1日施行的《数据出境安全评估》则在第十九条明确规定,重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
因此,针对何谓重要数据,我们可以根据《数据出境安全评估办法》第十九条规定进行理解。同时参考关于重要数据识别、分类分级的指引性文件,即《重要数据识别指南(征求意见稿)》中关于“重要数据”的定义,重要数据指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
对于重要数据的定义,《重要数据处理安全要求》第3.1条进一步明确:“重要数据(key data)”是指“特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。”
对比《重要数据处理安全要求》与之前的相关规定,我们可以发现,相比较《重要数据识别指南(征求意见稿)》对重要数据的定义,《重要数据处理安全要求》中的重要数据定义增加了“领域”“群体”“区域”“达到一定精度和规模”等重要数据识别因素作为定语。重要数据识别因素在概念层面予以明示,一方面延续了《信息安全技术 网络数据分类分级规则》定义,共同构成数据安全处理的重要技术文件[1];另一方面识别因素的强调,可以指引企业开展重要数据识别工作,即企业不能仅从单一的某个字段来判断该数据是否纳入重要数据范畴,而应在确定数据范围后从“领域”“群体”“区域”“精度”“规模”等因素综合考虑数据分级要素,以识别、梳理形成企业自身的重要数据目录、清单。举例来说,个人信息的某些字段可能属于敏感个人信息,而不能纳入重要数据。但是,如果达到一定数量人群的特定信息,则可能构成重要数据。
(二) 设施安全
重要数据安全保护不能脱离网络安全而讨论,系统及网络作为数据处理环境,保护数据安全必然需要保护系统及网络安全。
对此,《重要数据处理安全要求》针对性的明确两项要求“4.1系统安全”及“4.2云计算服务平台安全”。前者要求处理重要数据的系统应符合《信息安全技术:网络安全等级保护基本要求(GBT 22239-2019)》第三级安全要求,并通过网络安全等级保护三级(含)以上测评;后者则要求企业在重要数据在上云前论证重要数据上云的必要性,并重点评估云计算服务提供者的安全可信性,以及云计算服务平台的安全状况,并在数据上云后定期开展安全评估。
将系统部署在公有云,数据云上处理是数字化模式下较为常见的一种方式。按照《重要数据处理安全要求》的要求,需要论证数据上云的必要性,这一规定意味着必要性评估是重要数据云上存储的必备合规要求。
(三) 数据处理活动安全
《重要数据处理安全要求》从重要数据处理的全生命周期,逐个环节明晰了数据安全保护要求,要点如下:
1、收集
数据处理者[2]应采取如下保障收集数据收集过程的合法性以及数据质量的措施:
1)制定数据收集程序,明确数据收集目的、规模、方式、范围、类型、存储期限、存储地点等,以及数据格式、质量准则和评价方式等要求;
2)在收集前进行安全评估,评估内容包括收集数据的目的、范围、频度、方式、存储期限等是否符合法律法规的规定;
3)采取合法、正当的方式收集数据;
4)验证数据的真实性、准确性,并定期对数据质量进行分析和监控,及时对异常数据进行告警、修正等;
5)跟踪和记录数据收集过程,保证数据收集活动的可追溯性。
同时,数据处理者应落实数据分类分级制度要求,在指定符合自身需求的重要数据识别制度通知,识别、更新自身的重要数据目录、清单。根据《重要数据处理安全要求》第5.1.4、5.1.5,重要数据目录系“描述数据基本情况、责任主体情况、数据处理情况、数据安全情况等信息”;重要数据清单则是“对识别出的重要数据进行记录,标明重要数据的来源、用途、重要性时限、存储位置、存储期限、数据处理者、数据安全负责人、数据格式、数据量、访问控制规则等信息”。
2、存储
《重要数据处理安全要求》对数据存储提出了包括本地化存储、管理存储期限、采取数据备份与恢复措施等要求。
其中值得关注的是,《重要数据处理安全要求》第5.2.2条在强调重要数据本地化存储原则的同时,通过禁止性规定明确“存储重要数据的数据中心、云平台等不应设置在境外”。笔者理解,这一规定与《数据安全法》及《数据出境安全评估办法》中所规定的重要数据出境应申报数据出境安全评估的规定是形成匹配的。
3、使用与加工
《重要数据处理安全要求》对使用与加工环节设置了包括使用和加工过程中应进行的访问控制、评估、审批、保密审查等方面的要求。其中,保密审查是指建立保密审查制度,明确数据保密审查的责任领导、责任部门,规定保密审查的具体责任,防止因数据汇聚等泄露国家秘密信息。
4、传输与提供
《重要数据处理安全要求》提出了重要数据在对外提供和共享时应遵循的安全要求,包括签订合同等法律文件约定重要数据处理目的、范围、处理方式、安全保护义务等内容,还包括在对外提供和共享重要数据前的评估审批,采取传输保护措施,监督重要数据接收方、受委托方,向境外提供重要数据的数据出境安全评估申报等要求。
5、公开与删除
针对公开环节,《重要数据处理安全要求》对数据处理者公开重要数据及其加工结果,提出了制定数据公开管理制度、采取必要安全措施等要求;针对删除环节,《重要数据处理安全要求》要求数据处理者应删除已废弃或超出约定期限的重要数据,并针对数据删除和介质销毁分别进行细化规定。
(四)运营与管理安全
除上述重要数据全生命周期的安全保护要求外,《重要数据处理安全要求》针对企业内部建立建设重要数据安全管理体系,亦提出了明确的规范要求,重点包括:
1、建立健全数据安全管理体系。重要数据处理者在建立健全数据安全管理体系需同时关注组织人员构建和制度建设:组织与人员方面包括委任安全负责人、安全成立管理机构明确相关人员、岗位职责,制度方面则应建立健全数据安全管理制度。
2、部署数据治理设施。重要数据处理者应通过部署数据治理工具,并进行统一管理等方式保障重要数据安全。
3、管理采购、供应商等供应链。重要数据处理者应严格管理采购策略与流程、评估审查供应商,以降低因与外部数据交互而引发的数据安全风险。
4、其他运行与管理安全要求。此外,《重要数据处理安全要求》还对重要数据处理者提出了多方面的重要数据管理要求,包括开展数据安全培训、制定重要数据安全应急预案,如发生重要数据泄露、毁损、丢失等数据安全事件时则应及时采取应急响应措施、采取应急处置方案,开展重要数据审计、安全风险评估,配合主管部门或执法部门针对重要数据安全的监督检查等。
三、小结
综上,重要数据的安全事关国家安全、经济运行、社会稳定、公共健康和安全,我国通过法律法规及规范性文件逐步落实重要数据监管制度的同时,亟需可以指引、指导企业开展重要数据处理安全保护工作的标准性文件。尽管《重要数据处理安全要求》尚有部分内容有待明晰,但是其通过对设施安全、数据处理活动安全,以及运行与管理安全的阐述,可以全面指导数据处理者落实《中华人民共和国数据安全法》及重要数据安全保护制度的相关合规要求。
注释
[1] 根据《重要数据处理安全要求》编制说明第1.2条“制定背景”。
[2] 《重要数据处理安全要求》第3.3条,数据处理者是指在数据处理活动中自主决定处理目的、处理方式的组织和个人。