2024年3月21日,全国网络安全标准化技术委员会(以下简称“网安标委”)发布《GB/T 43697-2024 数据安全技术 数据分类分级规则》(以下简称“《数据分类分级规则》”)。《数据分类分级规则》作为网安标委发布的首份数据安全技术标准,涵盖了数据分类分级、重要数据和国家核心数据识别等重要内容。
本文对《数据分类分级规则》作出解读,梳理、总结了数据分类分级的原则、流程和方法论,探讨企业可能面临的现实困境,并结合我们的既往经验提出企业识别重要数据的“六步法”,以期为企业开展数据分类分级和重要数据识别工作提供参考。
一、规则解读:五个视角剖析《数据分类分级规则》
《数据分类分级规则》基本延续了网安标委于2022年09月14日发布的《信息安全技术 网络数据分类分级要求(征求意见稿)》(以下简称“《网络数据分类分级要求》”)的内容,同时将“重要数据识别指南”作为规范性附录G纳入体系,形成了包含数据分类分级、重要数据识别和国家核心数据识别的完整体系。
(一)适用范围
《数据分类分级规则》“适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为数据处理者进行数据分类分级提供参考。”
《数据分类分级规则》作为普适性规则,既包含了数据分类分级的原则、框架、方法和流程,还提供了“重要数据识别指南”,行业领域主管(监管)部门可以在《数据分类分级规则》的基础上制定本行业本领域细分的数据分类分级标准,并参照重要数据识别指南制定本行业领域的重要数据目录,而数据处理者现阶段可以先行参照《数据分类分级规则》开展数据分类分级工作和重要数据识别工作,并在行业领域主管(监管)部门发布细分规则或重要数据目录后,及时衔接加以适用。
(二)概念与原则
与《网络数据分类分级要求》相比,《数据分类分级规则》添加了“敏感个人信息”和“公共数据”两个术语概念。“敏感个人信息”衔接了《个人信息保护法》对敏感个人信息的定义,提示企业敏感个人信息保护作为立法、执法和司法关注的重点领域,应在内部分类分级的基础上加强敏感个人信息保护工作;针对“公共数据”概念的明确,则是对数据要素行动与公共数据利用浪潮的回应,在创新公共数据管理新模式的进程中,推动落实公共数据分类分级要求,降低公共数据授权确权和流通交易障碍,释放公共数据价值。
《数据分类分级规则》明确了科学实用、边界清晰、就高从严、点面结合和动态更新等五项数据分类分级原则,行业领域主管(监管)部门应按照数据所属行业领域进行分类分级管理,并遵循数据分类分级原则制定细分规则,企业也应根据该等原则落实数据分类分级和重要数据识别管理工作。
(三)数据分类
《数据分类分级规则》提供了开展数据分类的框架和方法。各行业各领域主管(监管)部门以及数据处理者均可以按照先行业领域分类,再业务属性分类的方式进行。
各行业各领域主管(监管)部门应对本行业本领域的数据进行整体识别,明确所处行业领域,如工业、电信、金融等,再根据本行业本领域业务属性如业务领域、责任部门、描述对象等进行细化分类,如工业领域数据按照部门职责可以进一步分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。对于数据处理者而言,则首先应明确自身业务涉及的行业领域,并按照各行业各领域主管(监管)部门的细分规则,根据数据管理和使用需求,结合已有数据分类基础,灵活选择业务属性将数据细化分类。
此外,对于涉及法律法规有专门管理要求的数据类别(如个人信息、汽车数据等),应按照有关规定或标准对个人信息、敏感个人信息、汽车数据等进行识别和分类。
(四)数据分级
《数据分类分级规则》提供了数据分级的基本框架和思路,一般将数据从高到低分为核心、重要、一般三个级别,并通过“重要数据识别指南(规范性)”和“一般数据分级参考(资料性)”等附录作出了更详细的说明。
《数据分类分级规则》确定了数据分级的方法:
第一,确定数据分级的对象,如数据项、数据集、衍生数据、跨行业领域数据等;
第二,识别数据分级要素,如数据的领域、群体、区域、精度、规模、深度等;
第三,开展数据影响分析,结合数据分级要素识别情况,分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能影响的对象和影响程度;
第四,识别核心数据、重要数据和一般数据,综合确定数据级别。
(五)数据分类分级流程
区别于《网络数据分类分级要求》,《数据分类分级规则》区分了各行业各领域主管(监管)部门和数据处理者两个角色,分别给出了数据分类分级流程。
针对各行业各领域主管(监管)部门,应该在遵循国家有关规定要求的基础上,制定本行业本领域的数据分类分级标准规范,重点明确行业数据分类细则,分析行业领域数据分级要素,确定重要数据和一般数据范围,建议核心数据范围。此外,各行业各领域主管(监管)部门还应该组织并指导本行业本领域数据处理者开展具体的数据分类分级工作。
针对数据处理者,应该开展数据资产梳理,制定内部数据分类分级细则并切实开展数据分类分级工作,对其中重要数据、核心数据等按照相关法律法规或各行业各领域主管(监管)部门要求进行报送,并在后续工作进程中持续动态更新。
二、亮点创新:迎接AI浪潮,“重要数据”揭开面纱
(一)确定衍生数据分级的“深度”要素,适应AI浪潮下的安全挑战
根据《数据分类分级规则》第6.3条,影响数据分级的要素一般包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等,其中“深度”通常作为衍生数据的分级要素,是指“通过数据统计、关联、挖掘或融合等加工处理,对数据描述对象的隐含信息或多维度细节信息的刻画程度。”
《数据分类分级规则》确定了衍生数据分级的“深度”要素,一方面是综合考虑了当下人工智能(AI)技术和算法技术蓬勃发展的浪潮,提示各行业各领域主管(监管)部门指导开展数据分类分级工作过程中,应充分考虑AI和算法技术浪潮带来的数据安全挑战;另一方面也提示企业注意在开展数据分类分级工作过程中,审慎确定衍生数据的类别和级别,匹配深度合成、算法推荐以及生成式人工智能等方面数据处理的监管要求和合规义务。
(二)重要数据识别责任压实,重要数据目录呼之欲出
《数据安全法》第二十一条提出数据分类分级制度,要求各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录。然而,由于《重要数据识别规则》未发布、重要数据识别因素难以界定等原因,各地区或部门颁布重要数据目录的进程较为缓慢。
本次《数据分类分级规则》的颁布,一方面包含了附录G“重要数据识别指南(规范性)”,作为正式文件,指导各行业各领域主管(监管)部门并同数据处理者开展重要数据识别工作,另一方面,《数据分类分级规则》重申了各行业各领域主管(监管)部门确定重要数据,颁布重要数据目录的责任。可以预见,各行业各领域主管(监管)部门将陆续颁布重要数据目录,并进一步指导和组织企业开展重要数据识别和管理工作。
(三)核心数据逐渐清晰,识别机制多重联动
《数据安全法》第二十一条提出国家核心数据的概念,但与重要数据类似,尚缺乏具体识别指引。本次《数据分类分级规则》明确了“核心数据”的概念,即“对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使或共享,可能直接影响政治安全的重要数据”,并给出了核心数据级别确定规则。根据该定义,核心数据将作为重要数据的子集。
根据《数据分类分级规则》,各行业各领域主管(监管)部门应该分析并确定哪些数据属于重要数据,并颁布重要数据目录。与重要数据的识别相区分,对于核心数据,各行业各领域主管(监管)部门可以明确本行业本领域核心数据识别细则,对哪些数据属于核心数据提出建议,但无法直接认定。
(四)数据分级细节参考,2-4级“简繁适宜”
《数据分类分级规则》对一般数据分级提供了灵活的适用方式,在确定重要数据和核心数据的基础上,企业可以根据自身业务实践情况,根据数据的类型、规模等选择将一般数据划分为2-4级。不过,《数据分类分级规则》对特定类型数据如个人信息、公共数据等进行了最低级别限制,如在4级框架下,敏感个人信息不应该低于4级,禁止开放/共享的公共数据不得低于4级,企业则可以在既有规则框架内根据业务实际情况或变动动态调整。
三、现实困境:行业领域主管(监管)与数据安全工作主管的交叉领域
《数据分类分级规则》规定了数据分类分级的原则、框架、方法和流程,其中不乏亮点和创新,并给出了“重要数据识别指南”,为企业开展重要数据识别工作揭开面纱。然而,正如《数据分类分级规则》提出的工作思路,“通过该规则指导行业领域主管(监管)部门制定本行业本领域的数据分类分级规范、开展相应工作”。结合我们的观察,以重要数据为例,网信作为数据安全工作主管(监管)部门,与各具体行业领域主管(监管)部门,现阶段其针对重要数据处理者的监管将可能存在交叉领域,并构成相关企业履行合规义务的现实困境。
具体而言,根据《数据出境安全评估办法》,企业如向境外传输重要数据,需向网信部门申报数据出境安全评估。与此同时,针对特殊类型数据(人遗、出口管制物项、测绘、金融等)的跨境传输,亦有相应行业领域的监管要求,企业据此将面临行业领域主管(监管)部门及数据安全工作主管部门的双重监管困境。
以人类遗传资源信息出境为例,根据《人类遗传资源管理条例》第二十八条,将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用,应通过卫健委[1]安全审查,或需要向卫健委提交备案并提交信息备份。由于人类遗传资源信息还可能构成重要数据,进而可能还面临向网信部门申报安全评估的义务。根据我们的了解,在基因行业开展人类遗传资源信息出境业务或国际合作项目的企业,对于卫健委的出境审查/备案程序已相对熟悉,但是否以及如何申报数据出境安全评估则为企业带来额外成本及不确定性。就人类遗传资源信息是否构成重要数据,以及是否需申报安全评估,网信部门往往要求企业应先行寻求行业领域主管部门(例如卫健委)的意见。
除人类遗传资源信息出境外,其他交叉领域,例如出口管制物项相关的数据出境、测绘数据、金融数据出境等,都可能面临类似的双重监管困境。考虑到重要数据识别及管控存在较强的行业属性,结合网信部门的意见,可供参考的破题思路为:以行业监管作为抓手,履行本行业关于出境的法定义务通常是必选项,关于是否需向网信办申报出境安全评估,则需积极寻求行业主管部门的意见。
此外,数据正是在跨地域、跨行业、跨场景的流转、汇总和分析中方能释放更大的价值,这就对目前《数据分类分级规则》提及的行业、领域监管纵向确定分类方式和重要数据目录的思路提出了后续落地的挑战,例如电信行业的数据用于个人征信部分的数据分类以及重要数据识别问题如何通过目前的纵向架构解决?此问题仍待进一步观察。
四、合规指引:数据分类分级与重要数据识别“六步法”
数据分类分级保护是企业在《数据安全法》项下的基础性工作,针对一般数据,《数据分类分级规则》为企业留出了足够的自决空间,针对核心数据,认定条件极高且需由行业领域主管(监管)部门提出建议后由国家有关部门评估确定[2]。据此,重要数据识别和认定是企业顺利开展数据分类分级的重要条件,同时也是企业履行重要数据安全管理法定义务的前提[3]。
(一)重要数据识别的责任:积极识别亦或被动识别?
对于数据处理者而言,关于企业所处理数据的重要数据识别责任,一直不甚清晰,一曰主动识别论,即企业有主动识别重要数据的责任,即使行业领域的重要数据目录尚未发布,亦应当按照重要数据的一般识别规则进行识别;一曰被动识别论,只有所在行业领域的重要数据目录清晰后,企业才具有识别重要数据(含国家核心数据)的义务。 支持被动识别论的一方,最有利的依据当然是最近发布的《促进和规范数据跨境流动规定》,其规定“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。
对于重要数据标准尚不清晰的行业领域,《促进和规范数据跨境流动规定》免除数据处理者在数据跨境流动中的安全评估申报义务,并不当然能得出一般性结论,即:重要数据的识别义务是被动识别。首先,重要数据处理者的法律责任,比数据跨境合规的单一维度要广阔的多,《促进和规范数据跨境流动规定》并未免除重要数据处理者的其他法律义务;其次,即使某一主管(监管)部门发布了某一具体行业领域的重要数据清单,也会存在需要个案裁量的空间,仍需要数据处理者要依照企业数据资源的实际状况进行判断。基于此,我们认为,数据处理者重要数据识别的行动义务,并不因为《促进和规范数据跨境流动规定》的规定而免除,数据处理者应当主动履行数据分类分级和重要数据的行动义务,但如果因该行业领域的重要数据目录尚未发布或已发布但不清晰而导致数据处理者无法识别的,并不因此承担相应的法律后果。
(二)重要数据识别的方法论:六步法
实践层面,上海通管局于2023年2月发布官方通报,探索工信领域监管侧识别、认定重要数据并形成重要数据目录的路径[4],工信部、央行等主管部门亦在去年陆续开展重要数据识别和报送试点工作。前述认定实践尚处于试点阶段,目前仍有相当部分行业主管部门尚未开展此等试点工作,且即使开展,亦仅少数企业可深度参与至此等由监管主导的重要数据识别工作中。
结合前述《数据分类分级规则》及我们帮助企业在重要数据识别与合规工作的经验,建议现阶段企业可按照如下“六步法”开展自身数据资产盘点与重要数据识别工作:
- 第一步 数据资产盘点及数据分类
重要数据识别的最终目标是实现国家安全管控与企业数据资产分类分级管理的衔接。建议企业对自身数据处理活动按业务场景或按实体/部门等开展调查,以对所掌握的数据资产进行盘点和梳理,形成数据资产清单。考虑到《数据分类分级规则》及现有规定对于重要数据的识别均强调行业特性和领域特性,故此阶段还宜对数据资产清单进行分类,尤其是对行业和领域进行分类。此外,企业并非需对数据处理活动所涉及的全部数据负责,一般应对作为Data Owner的部分负责,故还需考虑数据处理关系。
合规提示:
- 数据资产盘点:如企业所涉及的实体/部门/业务场景较多,可考虑优先开展高风险实体/场景(例如业务场景涉及数据跨境,或客户涉及CIIO、政府部门等)作为开展“六步法”的Pilot,待形成较为成熟的方法论后,再推广至其他实体/部门/业务场景。
- 数据分类:可参考《数据分类分级规则》第5条所提供的分类方法,按照先行业领域(工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等)分类、再业务属性(业务领域、责任部门、描述对象、环节流程、数据主体、内容主题、数据用途、数据处理、数据来源)分类的思路进行分类,并就法律法规明确规定的数据类别(例如个人信息)按照相关规定进行分类。重点关注隶属行业领域主管(监管)维度的数据。
- 第二步 检索行业规定/目录,如有则直接认定
企业开展数据资产梳理及数据分类后,可对其中隶属行业领域主管(监管)维度的数据资产开展行业规定、目录(以下称“行业规则”)的检索和匹配,并参照如下原则处理:
1)如本行业已出台行业规则并明确列举本行业重要数据类型或已出台重要数据目录,则可直接予以认定;针对某行业已出台行业规则明确重要数据类型,且企业已掌握但未被明确作为“重要数据”列入此等行业规则的数据资产,可暂时不认定为重要数据;
2)如本行业尚未出台重要数据具体规定/目录,则进入第三步“梳理本行业关键要素”。
合规提示:
截止本文发布之日,除作为“监管先行”的汽车行业在《汽车数据安全管理若干规定(试行)》(以下简称“《若干规定》”)第三条第六款[5]对汽车领域所涉及的重要数据类型进行了列举;以及电信、工信等重要敏感行业已公开或内部形成本行业的重要数据识别规则/指南外,大部分行业尚未公开发布的本行业重要数据目录。
- 第三步 如无行业规则,则梳理本行业关键要素
如经检索无本行业的相应行业规则,则企业可通过“原则要素+定性定量要素”作为方法论,梳理本行业数据处理活动中与国家安全、经济运行、社会秩序、公共利益(如危害公共健康和安全)等的敏感要素,为第四步“形成企业内部重要数据目录”作准备。
1)原则要素:结合《数据分类分级规则》第6.5条规定,梳理本行业可能涉及的影响国家安全、经济运行、社会稳定、公共健康和安全的要素。例如是否属于国家秘密相关的数据(非密数据);是否属于与国家安全(经济安全、科技安全、网络安全、人工智能安全等)相关的数据;是否属于与行业发展安全相关的数据;是否属于与出口管制物项相关的数据等。
2)特定要素(“定性”+“定量”):以本行业专业人士的视角(如果是法务或合规部门主导工作,可通过对业务部门同事进行访谈等形式,与业务部门共同确定哪些领域、哪些群体、哪些区域、何等重要程度、多高精度、多大规模和覆盖度、多少深度的数据可考虑构成重要数据):
- “定性关键要素”:包括“领域”“群体”“区域”“重要性”,例如农业需考虑粮食安全领域,基因行业需考虑科技伦理领域以及特定群体的基因安全等,自然资源行业需考虑敏感区域的测绘数据泄露后可能遭至的境外势力军事打击等,数据在经济社会发展中的重要程度等;
- “定量关键要素”:包括“精度”“规模”“覆盖度”等,例如,多大精度(例如超过一定精度的地图数据)、多大规模和覆盖度(例如覆盖面积超过全国多少省市的无人机影像数据)即考虑构成重要数据,以避免因“泛保护”而阻碍企业正常业务的开展。
- “衍生数据关键要素”:包括“深度”,例如进行数据统计、关联、挖掘或融合等加工后导致敏感程度上升。
合规提示:
针对大部分行业的企业,现阶段无本行业规则并不代表企业可对所掌握的高敏感数据一直持“观望”状态,尤其是未来一旦被认定为重要数据,由于会受到数据本地化、出境安全评估、备案上报等合规要求的约束,将可能导致企业面临业务模式的剧变,进而导致更多的成本投入。目前,《数据分类分级规则》已经出台,各行业加快重要数据识别和监管已是大势所趋,建议企业在现阶段(尤其是针对高敏感数据且涉及出境等处理活动)即开展重要数据识别工作的部署和梳理,以合理成本平稳地度过重要数据监管的阵痛期。
- 第四步 形成企业内部重要数据识别指南
通过对本行业涉及重要数据关键要素的梳理,企业可据此形成内部的重要数据识别指南,该指南中的原则性内容可参照《数据分类分级规则》进行起草。而针对企业所处行业的特定内容,一方面可直接列入第二步所检索的行业规则规定的数据类型(如有),另一方面可通过前述第三步所梳理的关键要素进行细化,尽可能在企业内部设定相对明确的重要数据识别标准。
合规提示:
企业的数据处理活动是一个长期动态的过程,未来可能涉及业务属性、数据类型、规模、处理方式、政策环境等的调整,建议企业先形成内部可长效适用的重要数据识别指南,再对照自身所掌握的数据资产,形成企业内部的重要数据资产清单,并随自身数据处理活动及监管环境的调整而不断更新。
- 第五步 形成企业内部重要数据资产清单,履行法定义务
形成企业内部重要数据识别指南后,企业即可就目前所掌握的数据资产形成企业内部重要数据资产清单,并据此确保企业对该部分数据资产的处理遵循重要数据处理者的合规要求,例如通过数据打标、嵌入企业数据安全管理流程、引入数据分类分级自动化工具等方式,确保该部分数据资产的安全合规处理。例如,针对重要数据处理者,应设置数据安全负责人及管理机构[6];重要数据备份及加密[7];就重要数据处理活动开展风险评估并向主管部门报送风险评估报告[8];申报数据出境安全评估[9];开展重要数据目录备案等义务[10]。
- 第六步 持续观察监管态势,动态调整目录及清单
重要数据合规并非一蹴而就的工作。建议企业紧密观察本行业的重要数据目录出台情况,灵活调整自身重要数据识别指南及重要数据资产清单,积极参与行业主管部门的重要数据认定试点等,提前做好业务模式的安排(例如是否涉及出境),依法履行处理重要数据的合规义务,确保业务合规平稳运行。
[注]
[1] 国务院于2024年3月10日发布的国务院令第777号《国务院关于修改和废止部分行政法规的决定》(2024),其对《人类遗传资源管理条例》作出修订,将其中涉及人类遗传资源管理的主管部门由科技部调整为卫健委,该修订于2024年5月1日起施行。据此,如下均以“卫健委”(此前为科技部)作为相关备案、审查程序义务的主管部门。
[2] 《数据分类分级规则》第3.3条 核心数据 注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。
[3] 例如,《汽车数据安全管理若干规定(试行)》第十条要求汽车数据处理者处理重要数据应开展风险评估,并提出数据本地化要求;《工业和信息化领域数据安全管理办法(试行)》第十二条要求企业(工业和信息化领域数据处理者)开展重要数据和核心数据备案工作;《数据出境安全评估办法》第四条则要求数据处理者向境外提供重要数据前开展数据出境安全评估。
[4] 具体而言,包括1)建立属地的数据安全风险防控重点企业名录;2)组织当地重点企业按照本行业重要数据、核心数据有关识别规则,开展数据类型的识别认定、目录备案及报送;3)针对重点企业报送的重要数据和核心数据开展专题评审,并通过评审意见通报、实地调研访谈等形式指导企业开展认定工作;4)由上海通信管理审核确定本市电信和互联网行业首批重要数据和核心数据目录,并报送工业和信息化部。
[5] 《汽车数据安全管理若干规定(试行)》第三条第六款 重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:
(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;
(二)车辆流量、物流等反映经济运行情况的数据;
(三)汽车充电网的运行数据;
(四)包含人脸信息、车牌信息等的车外视频、图像数据;
(五)涉及个人信息主体超过10万人的个人信息;
(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
[6] 《数据安全法》第二十七条。
[7] 《网络安全法》第二十一条第(四)项。
[8] 《数据安全法》第三十条
[9] 《网络安全法》第三十七条,《数据安全法》第三十一条,《数据出境安全评估办法》第四条。
[10] 《工业和信息化领域数据安全管理办法(试行)》第十二条。
声明:本文来自Lexology-Zhong Lun Law Firm - Jihong Chen and Wu Jiawei,版权归作者所有。文章内容仅代表作者独立观点,不代表本公司立场,转载目的在于传递更多信息。
