×

打開微信,掃一掃二維碼
訂閱我們的微信公眾號

×

打開手機,掃一掃二維碼
即可通過手機訪問網站并分享給朋友

EN

網絡數據規范和保護動態|MHP君悅評論

2022-01-2646

攝圖網_500839070_wx_信息安全背景(企業商用)-(1).png


2021年11月14日,國家互聯網信息辦公室(“網信辦”)首次公布了《網絡數據安全管理條例(征求意見稿)》(以下簡稱“《網絡數據條例征求意見稿》”)并向社會公開征求意見?!毒W絡數據條例征求意見稿》意在規范網絡數據處理活動。為此,《網絡數據條例征求意見稿》在《數據安全法》的基礎上對“網絡數據”進行了定義,網絡數據(簡稱數據)是指任何以電子方式對信息的記錄,較《數據安全法》下的“數據”含義狹窄[1]。盡管名為《網絡數據安全管理條例》,事實上《網絡數據條例征求意見稿》還適用于個人信息,與網絡數據并列,還專列第三章“個人信息保護”。


《網絡數據安全管理條例》還未正式出臺,但網絡數據的規范和保護工作已經緊鑼密鼓展開了。全國信息安全標準化技術委員會(National Information Security Standardization Technical Committee)秘書處于2021年12月發布了《網絡安全標準實踐指南 – 網絡數據分類分級指引》(TC260-PG-20212A)(以下簡稱“《網絡數據分類分級指引》”)。全國信息安全標準化技術委員會于2022年1月13日公布了國家標準《信息安全技術  重要數據識別指南》征求意見稿(以下簡稱“《識別指南征求意見稿》”),向社會廣泛征求意見。這兩份文件都與網絡數據緊密相關,值得我們關注。



網絡數據分類分級指引


一、背景


《數據安全法》第21條規定:國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。數據分類分級保護制度旨在保障國家安全、公共利益、個人和組織的合法權益。據此,《網絡數據分類分級指引》提供了網絡數據分類分級的原則、框架和方法,可用于數據處理者開展數據分類分級工作,也可為主管監管部門進行數據分類分級管理提供參考。



二、聚焦網絡數據、兼顧個人信息


《網絡數據分類分級指引》聚焦于網絡數據的分類分級。所謂“網絡數據”,是指任何以電子方式對信息的記錄。這一定義與《網絡數據條例征求意見稿》中“網絡數據”的定義一致。除非上下文另有說明,本文中的“數據”皆指網絡數據?!毒W絡數據分類分級指引》在網絡數據定義基礎上,對“重要數據”、“核心數據”、“一般數據”、“個人信息”、“公共數據”、“公共傳播信息”、“組織數據”和“衍生數據”均作出了定義,并通過注解的方式,進一步界定相關術語定義的范圍。



三、數據與個人信息的分類


1、數據分類


簡單地說,數據的分類是指通過多種視角和維度將數據分為不同類別,按類別對數據進行管理和使用?!毒W絡數據分類分級指引》介紹了常見的數據分類維度,包括但不限于:

(1)公民個人維度

(2)公共管理維度

(3)信息傳播維度

(4)行業領域維度

(5)組織經營維度


據此,數據大致可以分為以下類別:


圖片1.jpg


2、個人信息分類


《網絡數據分類分級指引》同時規定了個人信息的識別和分類。其中,有關個人信息識別,可以通過分析特定自然人與信息之間的關系來判定某一信息是否屬于個人信息:一是可識別特定自然人,即從信息到個人,依據信息本身的特殊性可識別出特定自然人(包括直接標識信息、準標識信息);一是與特定自然人關聯,即從個人到信息,如已知特定自然人,由特定自然人在其活動中產生的信息(如個人位置信息、個人通話記錄、網頁瀏覽記錄等),可識別為個人信息。


按照涉及的自然人特征,個人信息可以分為個人基本資料、個人身份信息、個人生物識別信息等16個類別[2]。


除此之外,《網絡數據分類分級指引》還對公共數據和公共傳播信息進行了識別和分類。



四、數據與個人信息的分級


1、數據分級


總體而言,數據分級,是指根據數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,將數據從低到高分成一般數據、重要數據、核心數據共三個級別。不同的級別對應不同的保護要求。


按照《數據安全法》,國家各部門、各行業將出臺核心數據目錄和重要數據目錄,因此《網絡數據分類分級指引》不對核心數據和重要數據進行識別和劃分,而是著重于一般數據的識別和劃分。


《網絡數據分類分級指引》對一般數據的分級主要從數據安全的角度,考慮影響對象和影響程度兩個要素進行分級,其中,影響對象包括國家安全、公共利益、個人合法權益、組織合法權益四個對象,而影響程度則是指數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用后,所造成的危害影響大小。危害程度從低到高可分為輕微危害、一般危害、嚴重危害?!毒W絡數據分類分級指引》據此將一般數據從低到高分為1級、2級、3級和4級共四個級別。


2、個人信息分級


個人信息的分級相對簡單,按照《個人信息保護法》分為一般個人信息和敏感個人信息。敏感個人信息可以定為一般數據4級。在對個人信息進行分級的時候,首先要做的是判斷是否屬于敏感個人信息?!毒W絡數據分類分級指引》介紹了敏感個人信息判定的基本原則,但與之相比,其附錄B.2列出來可能屬于敏感個人信息參考示例,更具有參考價值。有意思的是,《網絡數據分類分級指引》附錄B.3還介紹了私密個人信息的識別參考。不同于敏感個人信息,私密個人信息強調的個人信息中不愿為他人知曉的個人隱私信息。



五、分類分級保護


遵循《數據安全法》,依據核心數據、重要數據、個人信息、公共數據等安全要求以及行業領域的數據分類分級保護要求,按照核心數據嚴格保護、重要數據重點保護、個人信息安全合規和一般數據分級保護的思路,對數據實施全流程分類分級管理和保護。



重要數據識別指南


從《網絡安全法》提出加強重要數據保護至今,國家對重要數據的保護愈加重視?!稊祿踩ā芬髮祿嵭蟹旨壏诸惐Wo,包括國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄以及各地區、各部門確定本地區、本部門以及相關行業、領域的重要數據具體目錄?!毒W絡安全審查辦法》將重要數據的保護風險作為網絡安全審查評估的風險因素。重要數據的跨境傳輸也受到嚴格監管,《數據出境安全評估辦法(征求意見稿)》要求重要數據出境必須通過國家網信部門組織的安全評估。


然而,重要數據的定義、范圍和識別方法沒有定論?!毒W絡數據條例征求意見稿》首次對重要數據進行了定義?!毒W絡數據條例征求意見稿》不僅定義了重要數據,而且將重要數據的重點保護作為其立法的核心任務之一。為了解決重要數據安全管理的適用對象和適用范圍問題,全國信息安全標準化技術委員會公布了《識別指南征求意見稿》,向社會廣泛征求意見。


《識別指南征求意見稿》將識別指南界定為推薦性國標,但考慮到其主要目標就是為各部門、各行業制定本部門、本行業的重要數據目錄提供指導,其影響將是巨大的。



一、《網絡數據條例征求意見稿》下的重要數據的定義和范圍


《網絡數據條例征求意見稿》第73條規定,重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的網絡數據,包括以下數據:


(1)未公開的政務數據、工作秘密、情報數據和執法司法數據;

(2)出口管制數據,出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據,密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據;

(3)國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等;

(4)工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據,關鍵系統組件、設備供應鏈數據;

(5)達到國家有關部門規定的規?;蛘呔鹊幕?、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據;

(6)國家基礎設施、關鍵信息基礎設施建設運行及其安全數據,國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據;

(7)其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。


可以看出,重要數據涵蓋范圍極其廣泛,最后的兜底條款會將更可能多的數據納入到重要數據,使之受到更加嚴格的監管?!稊祿踩ā芬笾贫ㄖ匾獢祿夸?。在重要數據目錄出臺之前,明確重要數據的特征和梳理重要數據的識別過程和方法,將為重要數據目錄的制定提供有力支撐。



二、《識別指南征求意見稿》下的重要數據定義和范圍


《識別指南征求意見稿》將重要數據定義為以電子方式存在的,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。這一定義與《網絡數據征求意見稿》定義的重要數據基本一致。但《識別指南征求意見稿》特別明確,重要數據不包括國家秘密和個人信息,但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。之所以有這樣的例外情形,是因為《識別指南征求意見稿》認為重要數據主要涉及國家安全和公共利益,其范圍應當盡可能小,不包括企業生產經營和內部管理信息、個人信息等,而國家秘密已有專門立法予以規范和保護,亦不在重要數據范圍之內。但同樣從國家安全和公共利益角度衡量,海量的個人信息形成的統計數據、衍生數據仍有可能屬于重要數據。



三、識別重要數據的基本原則


《識別指南征求意見稿》提出的識別重要數據的基本原則包括聚焦安全影響、綜合考慮風險、定量定性結合以及動態識別復評等。識別基本原則是非?;\統的,但其中也涉及到一些比較有實用性的參考要點,包括:


重要數據的“重要性”是對于國家安全、宏觀經濟運行、社會穩定、公共健康和安全而言的,對于組織或企業自身而言重要的或敏感的數據并不屬于重要數據,例如,企業的內部管理相關數據。但是,此處的“企業”似乎并不能任意解釋,因為許多大型國企或企業因其所處行業的特殊性、在經濟中的特殊地位等因素,導致其內部管理相關數據仍然符合重要數據的特征,從而需要按照重要數據加以監管和保護。


重要數據需要動態識別,即隨著數據用途、共享方式、重要性等發生變化,重要數據可能成為非重要數據,因此需要定期復查重要數據的識別結果。



四、重要數據的識別因素


《識別指南征求意見稿》羅列了十四項識別因素,具備任一識別因素即是重要數據。


這些識別因素中,部分與《網絡數據條例征求意見稿》羅列的重要數據種類類似,如未公開的政務數據、工作秘密、情報數據和執法司法數據;其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。另有部分識別因素與《網絡數據條例征求意見稿》羅列的重要數據種類相同,但具體表述不盡相同,可能導致識別的重要數據的范圍有所差異。但總體而言,《識別指南征求意見稿》識別因素比之與《網絡數據條例征求意見稿》羅列的重要數據種類更加廣泛。例如:


  • 反映國家戰略儲備、應急動員能力的數據、可能被其他國家或組織利用發起對我國的軍事打擊的數據;

  • 反映群體健康生理狀況、族群特征、遺傳信息等的基礎數據(包括人類遺傳資源信息、基因測序原始數據等);


在向政府機關、軍工企業及其他敏感重要機構提供服務過程中產生的不宜公開的信息,如軍工企業較長一段時間內的用車信息。



五、簡評


從《網絡數據條例征求意見稿》到《識別指南征求意見稿》,我們可以看到重要數據最大特點就是范圍廣泛。無論是《網絡數據條例征求意見稿》羅列的重要數據類別,還是《識別指南征求意見稿》規定的各項識別因素,都將眾多數據納入到重要數據,尤其是各自的兜底性的條款,更是大大拓展了重要數據的范圍。這意味著企業在日常經營中涉及到重要數據的可能性大大增加,需要滿足更高的數據合規和保護要求。




[1] 《數據安全法》第3條規定:本法所稱數據,是指任何以電子或者其他方式對信息的記錄。

[2] 詳見《網絡數據分類分級指引》第5.2.2條以及附錄B.1。

聯系我們

中國上海市南京西路1717號會德豐國際廣場7樓
郵編:200040
電話:(總機)61132988
傳真:61132913
Email:info@mhplawyer.com

私募基金