作為國(guó)家數(shù)據(jù)安全工作的重點(diǎn)，重要數(shù)據(jù)監(jiān)管又有了新動(dòng)態(tài)。

 

　　近日，國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)重要數(shù)據(jù)處理安全要求》（下稱(chēng)《要求》）首次公開(kāi)征求意見(jiàn)。據(jù)悉，《要求》是第二部重要數(shù)據(jù)安全國(guó)標(biāo)，規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求，主要涉及設(shè)施安全、數(shù)據(jù)處理活動(dòng)的安全、運(yùn)行與管理安全三大方面。

 

　　受訪(fǎng)專(zhuān)家認(rèn)為，重要數(shù)據(jù)保護(hù)制度是我國(guó)數(shù)據(jù)安全工作中一項(xiàng)基礎(chǔ)性、全局性的重大制度。隨著國(guó)標(biāo)《要求》公開(kāi)征求意見(jiàn)，關(guān)于重要數(shù)據(jù)的兩部國(guó)家標(biāo)準(zhǔn)都已揭開(kāi)面紗。了解重要數(shù)據(jù)的識(shí)別規(guī)則和安全要求，對(duì)于企業(yè)有效開(kāi)展數(shù)據(jù)治理工作、數(shù)據(jù)資產(chǎn)梳理工作具有重要意義。

 

　　或?qū)⒂谀陜?nèi)批報(bào)

 

　　此次《要求》征求意見(jiàn)，是我國(guó)推進(jìn)數(shù)據(jù)安全工程的重要一步。

 

　　“重要數(shù)據(jù)”概念最早見(jiàn)諸2017年實(shí)施的《網(wǎng)絡(luò)安全法》，直到2021年《數(shù)據(jù)安全法》的落地實(shí)施，重要數(shù)據(jù)的內(nèi)涵才被真正明確。

 

　　《數(shù)據(jù)安全法》提出了建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度，同時(shí)制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)。盡管上位法已初步規(guī)定了重要數(shù)據(jù)的安全處理要求。然而，在實(shí)踐中，識(shí)別重要數(shù)據(jù)仍然存在困難。

 

　　“在實(shí)踐中，重要數(shù)據(jù)識(shí)別常被以為重要的數(shù)據(jù)的，導(dǎo)致實(shí)際認(rèn)定的‘重要數(shù)據(jù)’范圍擴(kuò)大。并且，不同行業(yè)、不同領(lǐng)域的重要數(shù)據(jù)類(lèi)型和范圍具有顯著的差異性，僅憑一般性的‘重要數(shù)據(jù)’概念界定并不足以滿(mǎn)足企業(yè)合規(guī)需求，而此次征求意見(jiàn)稿的公布有助于為實(shí)踐中的重要數(shù)據(jù)識(shí)別提供更為明確、具體且可操作的判斷標(biāo)準(zhǔn)。”北京航空航天大學(xué)法學(xué)院副教授、北京科技創(chuàng)新中心研究基地副主任趙精武向21世紀(jì)經(jīng)濟(jì)報(bào)道記者表示。

 

　　為進(jìn)一步細(xì)化重要數(shù)據(jù)的識(shí)別要求和安全保護(hù)標(biāo)準(zhǔn)，2020年，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)正式委托編制國(guó)家標(biāo)準(zhǔn)《重要數(shù)據(jù)識(shí)別指南》。2023年上半年，《重要數(shù)據(jù)識(shí)別指南》歷經(jīng)征求意見(jiàn)稿、送審稿后，正式向國(guó)家申請(qǐng)報(bào)批。

 

　　考慮到重要數(shù)據(jù)的識(shí)別只是第一步工作，數(shù)據(jù)處理者還應(yīng)在識(shí)別出重要數(shù)據(jù)后對(duì)其加以保護(hù)，故還需制定第二部國(guó)家標(biāo)準(zhǔn)《要求》。為此，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)于2022年對(duì)該標(biāo)準(zhǔn)立項(xiàng)，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)于2023年8月下達(dá)了國(guó)家標(biāo)準(zhǔn)計(jì)劃號(hào)20230792-T-469。該標(biāo)準(zhǔn)同樣被主管部門(mén)列為重點(diǎn)標(biāo)準(zhǔn)。

 

　　2023年8月，經(jīng)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)組織審定后，《要求》向社會(huì)公開(kāi)征求意見(jiàn)。據(jù)中國(guó)科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院教授左曉棟透露，目前委員會(huì)正在積極推進(jìn)《要求》的制定工作，爭(zhēng)取于年內(nèi)報(bào)批。

 

　　從征求意見(jiàn)稿來(lái)看，《要求》規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求，明確了重要數(shù)據(jù)的定義，并規(guī)定了重要數(shù)據(jù)的設(shè)施安全、數(shù)據(jù)處理活動(dòng)的安全、運(yùn)行與管理安全的具體標(biāo)準(zhǔn)，為數(shù)據(jù)處理者對(duì)重要數(shù)據(jù)開(kāi)展處理活動(dòng)提供指引。

 

　　“《要求》的編制有一個(gè)重要原則，即全面落實(shí)法律法規(guī)規(guī)定的重要數(shù)據(jù)安全保護(hù)要求。”左曉棟表示，該標(biāo)準(zhǔn)有著明確而具體的上位法，這是其與其他標(biāo)準(zhǔn)的重要區(qū)別。

 

　　左曉棟進(jìn)一步指出，《數(shù)據(jù)安全法》對(duì)重要數(shù)據(jù)安全的要求是分散的，不成體系，不能作為《要求》的直接依據(jù)。2021年11月，《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》征求意見(jiàn)，專(zhuān)門(mén)設(shè)立了“重要數(shù)據(jù)安全”章節(jié)，這是我國(guó)系統(tǒng)性建立重要數(shù)據(jù)保護(hù)制度的標(biāo)志，也為《要求》的編制提供了根本依據(jù)。

 

　　“編制組主要以2021年11月的版本為基本參考，并根據(jù)主管部門(mén)的通知，針對(duì)條例的變化情況及時(shí)調(diào)整了標(biāo)準(zhǔn)的內(nèi)容。”他表示。

 

　　北京師范大學(xué)法學(xué)院博士生導(dǎo)師、中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)研究中心副主任吳沈括認(rèn)為，以國(guó)標(biāo)的形式明確重要數(shù)據(jù)的識(shí)別規(guī)則和安全要求，對(duì)于企業(yè)有效開(kāi)展數(shù)據(jù)治理工作、數(shù)據(jù)資產(chǎn)梳理工作具有重要意義。同時(shí)，在落實(shí)與重要數(shù)據(jù)相關(guān)的各項(xiàng)法定合規(guī)義務(wù)層面，也有具體的指導(dǎo)價(jià)值。

 

　　新的藍(lán)海已經(jīng)產(chǎn)生

 

　　據(jù)了解，《要求》編制原則從四方面明確數(shù)據(jù)安全內(nèi)涵，即環(huán)境安全、資產(chǎn)安全、行為安全、生產(chǎn)要素安全，并提到“不能僅從數(shù)據(jù)收集處理的生命周期來(lái)理解數(shù)據(jù)處理安全需求”。

 

　　對(duì)此，趙精武認(rèn)為，這里實(shí)際上體現(xiàn)了我國(guó)立法層面的體系化、動(dòng)態(tài)化數(shù)據(jù)安全理念。一方面，數(shù)據(jù)安全的保障不僅需要從數(shù)據(jù)收集、加工、處理、存儲(chǔ)、刪除、銷(xiāo)毀等各個(gè)業(yè)務(wù)環(huán)節(jié)予以落實(shí)，另一方面，數(shù)據(jù)安全風(fēng)險(xiǎn)還與所處環(huán)境、數(shù)據(jù)處理者內(nèi)部管理制度等諸多外部因素相關(guān)，故而同時(shí)需要從環(huán)境安全、資產(chǎn)安全、行為安全以及生產(chǎn)要素安全等層面確保數(shù)據(jù)所處狀態(tài)的安全性。

 

　　具體到標(biāo)準(zhǔn)內(nèi)容上，《要求》主要規(guī)定了三個(gè)方面：設(shè)施安全、數(shù)據(jù)處理活動(dòng)的安全、運(yùn)行與管理安全。

 

　　其中，設(shè)施安全主要包括系統(tǒng)安全和云計(jì)算服務(wù)平臺(tái)安全。數(shù)據(jù)處理活動(dòng)的安全，主要涉及數(shù)據(jù)收集、存儲(chǔ)、使用與加工、傳輸與提供、公開(kāi)、刪除等環(huán)節(jié)，重點(diǎn)突出重要數(shù)據(jù)全生命周期中，各項(xiàng)處理活動(dòng)應(yīng)滿(mǎn)足的安全要求。

 

　　對(duì)于數(shù)據(jù)處理活動(dòng)的收集環(huán)節(jié)，《要求》提出數(shù)據(jù)處理者應(yīng)制定“重要數(shù)據(jù)清單”及“重要數(shù)據(jù)目錄”。

 

　　趙精武指出，“重要數(shù)據(jù)清單”是為了方便數(shù)據(jù)處理者通過(guò)自動(dòng)化信息技術(shù)提升重要數(shù)據(jù)的識(shí)別效率；“重要數(shù)據(jù)目錄”則是為了落實(shí)監(jiān)管機(jī)構(gòu)根據(jù)《數(shù)據(jù)安全法》第21條制定的本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)目錄，記載事項(xiàng)不僅僅涉及數(shù)據(jù)的基本情況，還涉及到責(zé)任主體、數(shù)據(jù)處理以及數(shù)據(jù)安全情況等內(nèi)容。

 

　　兩者的區(qū)別在于,“重要數(shù)據(jù)清單”主要是為了數(shù)據(jù)處理者自身提供識(shí)別依據(jù)和指引，“重要數(shù)據(jù)目錄”則是為了實(shí)現(xiàn)定期數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的管理效果，同時(shí)數(shù)據(jù)處理者需要依法定期上報(bào)國(guó)家有關(guān)部門(mén)，這也是為了國(guó)家有關(guān)部門(mén)能夠根據(jù)產(chǎn)業(yè)實(shí)踐情況更新、維護(hù)本行業(yè)的重要數(shù)據(jù)目錄。

 

　　另外，運(yùn)行與管理安全方面，主要包括組織與人員、數(shù)據(jù)治理、供應(yīng)鏈、審計(jì)、應(yīng)急處置、風(fēng)險(xiǎn)評(píng)估、配合監(jiān)督管理等運(yùn)行安全要求。其中，《要求》6.6條規(guī)定了風(fēng)險(xiǎn)評(píng)估的具體步驟，描述了評(píng)估制度、評(píng)估內(nèi)容、評(píng)估時(shí)機(jī)等要求。

 

　　針對(duì)重要數(shù)據(jù)的不同階段進(jìn)行針對(duì)性的安全風(fēng)險(xiǎn)評(píng)估，是否會(huì)一定程度增加企業(yè)合規(guī)成本？

 

　　吳沈括表示，安全評(píng)估是目前安全領(lǐng)域中的常見(jiàn)做法，能夠提高事先預(yù)防和處置的能力，對(duì)于風(fēng)險(xiǎn)的識(shí)別、防范、緩解具有實(shí)際的重大意義。“在此過(guò)程中，企業(yè)的合規(guī)成本也會(huì)有一定的上升，所以需要考慮的是在監(jiān)管合規(guī)過(guò)程中及時(shí)研判實(shí)質(zhì)的成本收益，做出有效的價(jià)值平衡，并且需要持續(xù)地探索靈敏便捷、具有經(jīng)濟(jì)性的數(shù)字化實(shí)現(xiàn)方案。”

 

　　趙精武認(rèn)為，目前《要求》規(guī)定的安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)并不會(huì)過(guò)度增加企業(yè)合規(guī)成本。一方面，采取更有效的風(fēng)險(xiǎn)預(yù)防措施，能夠減少企業(yè)因數(shù)據(jù)安全事件而遭受的損失；另一方面，這些針對(duì)性安全評(píng)估實(shí)際上早在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)中有所提及，“針對(duì)性”不能簡(jiǎn)單理解為“更嚴(yán)格的安全監(jiān)管要求”，而是應(yīng)當(dāng)理解為“個(gè)性化的安全監(jiān)管”和“更有效的義務(wù)履行方式”。

 

　　在左曉棟看來(lái)，重要數(shù)據(jù)保護(hù)制度是我國(guó)數(shù)據(jù)安全工作中一項(xiàng)基礎(chǔ)性、全局性的重大制度。目前，關(guān)于重要數(shù)據(jù)的兩部國(guó)家標(biāo)準(zhǔn)都已揭開(kāi)面紗。從識(shí)別到管理，從使用到保護(hù)，所有的安全要求都需要有專(zhuān)業(yè)化、自動(dòng)化工具的支持，數(shù)據(jù)跨境流動(dòng)等場(chǎng)景更離不開(kāi)專(zhuān)業(yè)咨詢(xún)服務(wù)。“這意味著一片新的藍(lán)海已經(jīng)產(chǎn)生，新的產(chǎn)業(yè)方向呼之欲出。”

 

　　來(lái)源|21世紀(jì)經(jīng)濟(jì)報(bào)道