左晓栋:重要数据识别是国家数据安全监管制度的基础
2021-08-03
来源:关键基础设施安全应急响应中心
7月28日,在第九届互联网安全大会(ISC 2021)上,由中国信息协会信息安全专业委员会、ISC互联网安全大会联合主办的ISC-网络空间安全治理前沿峰会成功召开。与会的众多专家都对网络空间安全和数据治理提出了自己的真知灼见。
会上,中国信息安全研究院副院长左晓栋做了“《重要数据识别指南》研究进展”的演讲,介绍了《重要数据识别指南》这项拟定中国家标准的工作进展和要点。
综合左晓栋的演讲和媒体采访,
记者总结了几个关于重要数据识别这项工作业界所关心的问题。
为什么要制定《重要数据识别指南》?
左晓栋:《重要数据识别指南》标准的制定是一项非常重要的工作,简而言之,国家要由这个标准作规范明确管理对象,即什么是重要数据。这是国家重要数据一系列安全监管制度的基础。
数据有那么多,重点保护什么数据?很多法律法规、政策文件里的要求,往往都是落到了重要数据。重要数据概念最早来自《网络安全法》。第37条提到个人信息和重要数据的境内存储以及出境安全评估制度,从法律的层面上首次提出重要数据的概念。今年6月10日正式通过的《数据安全法》,其中第21条指出,国家要制定重要数据目录,加强对重要数据的保护。从某种程度上讲,我认为这是目前国家数据分类分级制度唯一一项具体工作。第27条,提出重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。这是具体的法律责任义务的要求。第30条和第31条,都对重要数据处理者提出了法律法规要求。
除此之外,最近大家非常关注的网络安全审查制度,第九条提到了如何判断国家网络安全风险,其中一条是重要数据被窃取、泄露、损毁的风险。另外,数据安全管理办法征求意见稿的第15条,提到网络运营者以经营为目的收集重要数据或个人敏感信息的,应向所在地网信部门备案。我们可以看到,越来越多的法律法规,都在提出对重要数据处理的要求。下一步国家要建立一整套重要数据安全监督管理制度,社会上各类的数据处理者如果涉及到对重要数据的处理,就会被要求落实很多重要数据保护的责任和义务,这是一个必须重视的不可回避的法律责任,而这一切的基础都是要说清楚什么是重要数据,因此《重要数据识别指南》的制定工作是一项非常迫切而重要的任务。
重要数据这个概念是中国独有的吗?
左晓栋:很多人问我,国外没有重要数据管理,为什么中国提出这项制度,依据是什么?
首先,重要数据确实不是个国际词汇,多数国家也没有作为一个大类统一提出要求,但绝不意味着国外只管个人信息,不管重要数据。国外既有对非个人信息的管理,也有明确的出境管控制度。
例如美国的NIST800-60标准,从保密性、完整性、可用性角度把联邦政府信息系统分为低、中、高三级,然后对联邦政府信息系统提出安全要求。除了对信息系统分级,对数据也分成三级。通过对系统和数据的分级,决定信息系统适用于哪一级的安全要求。
此外,美国还有涉密信息管理制度。时任美国总统奥巴马曾签署13556号行政令,明确了“受控非密信息”(CUI)管理制度,其中明确了CUI定义,并且对CUI分为20大类,124子类。CUI虽然不是秘密信息,但受到控制,这也是一种重要数据。美国NIST一直在制定关于受控非密信息的安全保护要求,不但制定了SP 800-171《保护非联邦系统和机构的受控非密信息》、还制定了 SP 800-171A《受控非密信息安全要求评估》、 SP 800-171B《保护非联邦系统和组织中的受控非密信息:关键程序和高价值资产的增强安全要求》。800-171B的范围扩展到了非联邦机构,如联邦政府的合同商跟联邦政府发生了关联,由此产生的数据到了社会领域,非联邦机构就必须落实这些数据的安全要求。
重要数据识别的基本原则是什么?
左晓栋:根据上级有关部门要求,全国信安标委2019年批准了《重要数据识别指南》研究项目,在去年正式立项。目前,这项工作正处于征求意见稿阶段。
重要数据的识别有六个原则。
首先是聚焦安全领域。重要数据是从国家安全、经济运行、社会稳定、公共健康和安全等角度来识别,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的生产经营和内部管理相关数据。此外,个人信息是监管制度的重要对象,但个人信息保护已经有明确的管理制度,所以没有必要把个人信息保护工作和重要数据保护工作纠缠在一起。
第二是促进数据流动。明确安全保护重点和监管对象,规范数据开发利用,促进数据安全、有序地流动。把保护和监管对象明确了,不是范围里的就不用落实一些更加严格的要求。
第三是衔接既有规定。充分考虑地方已有管理要求和行业特色。地方和部门已经制定实施有关数据管理政策和标准规范的,在识别重要数据时应当与其紧密衔接。建立数据分类分级制度是国家的指导思想,各个行业在制定具有自己行业特色的数据分类分级标准,开展数据安全保护工作的时候,必须明确重要数据,但此时的重要数据要和国家的定义保持一致。
第四是综合考虑风险。依据数据用途、面临的威胁不同,综合考虑数据受到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性。一个数据认定为重要数据,不仅只是保密性要求,有一些数据如气象数据是公开的,但它有着严格的发布渠道以及真实性、准确性要求。这意味着重要数据的属性又和监管手段直接关联,这个问题现在还在讨论之中,要综合考虑风险。
第五是定量定性结合。以定性与定量相结合的方式识别重要数据,根据具体数据类型采取不同识别方法。有的数据天然就重要,有的数据达到一定的量,由量变到质变,会变成重要数据,因此需要根据实际情况定量定性结合。
最后是动态识别复查。定期复查重要数据识别结果,且在数据用途、共享方式、敏感性等发生变化时,应当对重要数据进行重新识别。
重要数据有哪些特征?
左晓栋:目前拟定中的《重要数据识别指南》将重要数据的特征分成了“7+1”类。7个明确的类别是:与经济运行相关、与人口和健康相关、与自然资源和环境相关、与科学技术相关、与安全保护相关、与应用服务相关、与政务活动相关,还有1个“其他”。这不是对重要数据的分类,而是从多个方面描述重要数据的特征,希望尽可能的明确。
指南里给出了重要数据的描述方法,因为重要数据目录是各行业各地方来自行制定,这时需要有一个统一的描述方法,来规范重要数据的报送和处理,不然汇总上来后五花八门。首先,目录中应当列出数据的分类,具体的分类标准可由各行业自己确定。其次,各组织要描述自己所在行业对数据的监管要求,以及适用的现有管理政策。第三,要描述重要性,包括对国家安全的影响、面临的主要安全威胁,以及重要性的时效。最后,要描述数据产生、使用与保护情况,包括数据来源、用途、共享交换情况、安全措施情况等。对重要数据形成总体描述后,按程序进行报送。标准中还提出了识别流程,将来不排除各个行业根据这个标准制定更进一步的行业细则和更具体的申报流程。
对于重要数据还有哪些需要探讨的问题?
左晓栋:首先是重要数据的时限性。一旦被认定重要数据,就永远重要吗?国家秘密都有保密期限,重要数据的时效应当是多久?当重要数据变成不重要的时候,该怎么衔接?有没有长期作为重要数据的情况存在?
其次,重要数据与个人信息有什么关系?原则上,重要数据不包括个人信息,不是个人信息不重要,而是如上所说,个人信息另有管理制度,但基于批量个人信息形成的统计数据、衍生数据等有可能是重要数据。从这一角度而言,重要数据与个人信息并非完全割裂。
第三,有没有必要从行业分类角度制定《重要数据识别指南》?在国家标准层面进行重要数据的行业分类,可能影响行业自主性,也很难准确反映行业实际情况。重要数据之所以重要,并不是天然属于某一个行业,而是看其对国家安全的影响。但如果完全不引入“分类”的概念,对重要数据的定义将十分宏观,导致标准可操作性差,对管理会带来一定困难。将来一定是行业和地区制定自己的重要数据目录,所以这是两难问题。
第四,重要数据与国家秘密信息的区别是什么?秘密信息是秘密信息,重要数据是重要数据,《数据安全法》里面提到的核心数据再核心都不是国家秘密信息。敏感性上,重要数据要弱于国家秘密信息,但很多时候也不宜公开。保护力度上,国家秘密防护重点是严格限制信息的知悉范围,重要数据保护则要防止数据泄露、防止数据篡改,还要维护数据真实性。此外,重要数据比国家秘密信息更要考虑数据汇聚、整合、分析后的安全风险。除了保密性,重要数据对完整性可用性的也有较高要求。
第五,重要数据如何分布?将来重要数据的管理范围还需要做具体分析,例如政府机构的宏观经济数据、金融监管数据、人口资源数据等是必须有的,社会公共服务机构如医院、高校也不能免除在外,具有相应资质的权威专业机构如地理、地震、天文、气象等,科研机构、互联网企业、各类产品和服务商,可能都在重要数据的管理范围之内。