記者郭美婷 鐘雨欣 實習(xí)生趙燦暢 廣州���、北京報道
【資料圖】
作為國家數(shù)據(jù)安全工作的重點,重要數(shù)據(jù)監(jiān)管又有了新動態(tài)��。
近日����,國家標準《信息安全技術(shù) 重要數(shù)據(jù)處理安全要求》(下稱《要求》)首次公開征求意見。據(jù)悉����,《要求》是第二部重要數(shù)據(jù)安全國標�����,規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求�����,主要涉及設(shè)施安全��、數(shù)據(jù)處理活動的安全�����、運行與管理安全三大方面����。
受訪專家認為��,重要數(shù)據(jù)保護制度是我國數(shù)據(jù)安全工作中一項基礎(chǔ)性����、全局性的重大制度。隨著國標《要求》公開征求意見�,關(guān)于重要數(shù)據(jù)的兩部國家標準都已揭開面紗。了解重要數(shù)據(jù)的識別規(guī)則和安全要求,對于企業(yè)有效開展數(shù)據(jù)治理工作�、數(shù)據(jù)資產(chǎn)梳理工作具有重要意義。
或?qū)⒂谀陜?nèi)批報
此次《要求》征求意見�,是我國推進數(shù)據(jù)安全工程的重要一步。
“重要數(shù)據(jù)”概念最早見諸2017年實施的《網(wǎng)絡(luò)安全法》����,直到2021年《數(shù)據(jù)安全法》的落地實施,重要數(shù)據(jù)的內(nèi)涵才被真正明確���。
《數(shù)據(jù)安全法》提出了建立數(shù)據(jù)分類分級保護制度���,同時制定重要數(shù)據(jù)目錄���,加強對重要數(shù)據(jù)的保護����。盡管上位法已初步規(guī)定了重要數(shù)據(jù)的安全處理要求�。然而,在實踐中�����,識別重要數(shù)據(jù)仍然存在困難。
“在實踐中��,重要數(shù)據(jù)識別常被以為重要的數(shù)據(jù)的�����,導(dǎo)致實際認定的‘重要數(shù)據(jù)’范圍擴大�。并且,不同行業(yè)�����、不同領(lǐng)域的重要數(shù)據(jù)類型和范圍具有顯著的差異性��,僅憑一般性的‘重要數(shù)據(jù)’概念界定并不足以滿足企業(yè)合規(guī)需求����,而此次征求意見稿的公布有助于為實踐中的重要數(shù)據(jù)識別提供更為明確、具體且可操作的判斷標準�����?����!北本┖娇蘸教齑髮W(xué)法學(xué)院副教授、北京科技創(chuàng)新中心研究基地副主任趙精武向記者表示����。
為進一步細化重要數(shù)據(jù)的識別要求和安全保護標準,2020年�����,全國信息安全標準化技術(shù)委員會正式委托編制國家標準《重要數(shù)據(jù)識別指南》��。2023年上半年���,《重要數(shù)據(jù)識別指南》歷經(jīng)征求意見稿��、送審稿后����,正式向國家申請報批��。
考慮到重要數(shù)據(jù)的識別只是第一步工作���,數(shù)據(jù)處理者還應(yīng)在識別出重要數(shù)據(jù)后對其加以保護,故還需制定第二部國家標準《要求》��。為此,全國信息安全標準化技術(shù)委員會于2022年對該標準立項�,國家標準化管理委員會于2023年8月下達了國家標準計劃號20230792-T-469。該標準同樣被主管部門列為重點標準��。
2023年8月�,經(jīng)全國信息安全標準化技術(shù)委員會組織審定后,《要求》向社會公開征求意見�����。據(jù)中國科學(xué)技術(shù)大學(xué)公共事務(wù)學(xué)院教授左曉棟透露�����,目前委員會正在積極推進《要求》的制定工作�,爭取于年內(nèi)報批。
從征求意見稿來看���,《要求》規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求�,明確了重要數(shù)據(jù)的定義��,并規(guī)定了重要數(shù)據(jù)的設(shè)施安全����、數(shù)據(jù)處理活動的安全����、運行與管理安全的具體標準�,為數(shù)據(jù)處理者對重要數(shù)據(jù)開展處理活動提供指引。
“《要求》的編制有一個重要原則�,即全面落實法律法規(guī)規(guī)定的重要數(shù)據(jù)安全保護要求?����!弊髸詶澅硎?��,該標準有著明確而具體的上位法����,這是其與其他標準的重要區(qū)別��。
左曉棟進一步指出���,《數(shù)據(jù)安全法》對重要數(shù)據(jù)安全的要求是分散的,不成體系�,不能作為《要求》的直接依據(jù)。2021年11月�����,《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》征求意見,專門設(shè)立了“重要數(shù)據(jù)安全”章節(jié)���,這是我國系統(tǒng)性建立重要數(shù)據(jù)保護制度的標志����,也為《要求》的編制提供了根本依據(jù)���。
“編制組主要以2021年11月的版本為基本參考����,并根據(jù)主管部門的通知�,針對條例的變化情況及時調(diào)整了標準的內(nèi)容?����!彼硎?����。
北京師范大學(xué)法學(xué)院博士生導(dǎo)師�、中國互聯(lián)網(wǎng)協(xié)會研究中心副主任吳沈括認為��,以國標的形式明確重要數(shù)據(jù)的識別規(guī)則和安全要求�����,對于企業(yè)有效開展數(shù)據(jù)治理工作���、數(shù)據(jù)資產(chǎn)梳理工作具有重要意義。同時���,在落實與重要數(shù)據(jù)相關(guān)的各項法定合規(guī)義務(wù)層面�,也有具體的指導(dǎo)價值����。
新的藍海已經(jīng)產(chǎn)生
據(jù)了解,《要求》編制原則從四方面明確數(shù)據(jù)安全內(nèi)涵�����,即環(huán)境安全�����、資產(chǎn)安全、行為安全�、生產(chǎn)要素安全�,并提到“不能僅從數(shù)據(jù)收集處理的生命周期來理解數(shù)據(jù)處理安全需求”。
對此���,趙精武認為����,這里實際上體現(xiàn)了我國立法層面的體系化�����、動態(tài)化數(shù)據(jù)安全理念��。一方面�,數(shù)據(jù)安全的保障不僅需要從數(shù)據(jù)收集、加工�、處理、存儲����、刪除、銷毀等各個業(yè)務(wù)環(huán)節(jié)予以落實���,另一方面��,數(shù)據(jù)安全風(fēng)險還與所處環(huán)境���、數(shù)據(jù)處理者內(nèi)部管理制度等諸多外部因素相關(guān)�,故而同時需要從環(huán)境安全���、資產(chǎn)安全�、行為安全以及生產(chǎn)要素安全等層面確保數(shù)據(jù)所處狀態(tài)的安全性���。
具體到標準內(nèi)容上�,《要求》主要規(guī)定了三個方面:設(shè)施安全�����、數(shù)據(jù)處理活動的安全��、運行與管理安全�����。
其中�,設(shè)施安全主要包括系統(tǒng)安全和云計算服務(wù)平臺安全。數(shù)據(jù)處理活動的安全,主要涉及數(shù)據(jù)收集�����、存儲��、使用與加工���、傳輸與提供、公開�����、刪除等環(huán)節(jié)�����,重點突出重要數(shù)據(jù)全生命周期中��,各項處理活動應(yīng)滿足的安全要求�����。
對于數(shù)據(jù)處理活動的收集環(huán)節(jié)���,《要求》提出數(shù)據(jù)處理者應(yīng)制定“重要數(shù)據(jù)清單”及“重要數(shù)據(jù)目錄”�����。
趙精武指出�����,“重要數(shù)據(jù)清單”是為了方便數(shù)據(jù)處理者通過自動化信息技術(shù)提升重要數(shù)據(jù)的識別效率����;“重要數(shù)據(jù)目錄”則是為了落實監(jiān)管機構(gòu)根據(jù)《數(shù)據(jù)安全法》第21條制定的本行業(yè)、本領(lǐng)域的重要數(shù)據(jù)目錄���,記載事項不僅僅涉及數(shù)據(jù)的基本情況�����,還涉及到責(zé)任主體����、數(shù)據(jù)處理以及數(shù)據(jù)安全情況等內(nèi)容��。
兩者的區(qū)別在于,“重要數(shù)據(jù)清單”主要是為了數(shù)據(jù)處理者自身提供識別依據(jù)和指引�,“重要數(shù)據(jù)目錄”則是為了實現(xiàn)定期數(shù)據(jù)安全風(fēng)險評估的管理效果����,同時數(shù)據(jù)處理者需要依法定期上報國家有關(guān)部門��,這也是為了國家有關(guān)部門能夠根據(jù)產(chǎn)業(yè)實踐情況更新����、維護本行業(yè)的重要數(shù)據(jù)目錄。
另外�,運行與管理安全方面���,主要包括組織與人員��、數(shù)據(jù)治理��、供應(yīng)鏈���、審計、應(yīng)急處置��、風(fēng)險評估�����、配合監(jiān)督管理等運行安全要求。其中���,《要求》6.6條規(guī)定了風(fēng)險評估的具體步驟�,描述了評估制度��、評估內(nèi)容���、評估時機等要求�。
針對重要數(shù)據(jù)的不同階段進行針對性的安全風(fēng)險評估�����,是否會一定程度增加企業(yè)合規(guī)成本���?
吳沈括表示�,安全評估是目前安全領(lǐng)域中的常見做法���,能夠提高事先預(yù)防和處置的能力�����,對于風(fēng)險的識別�、防范、緩解具有實際的重大意義����。“在此過程中�,企業(yè)的合規(guī)成本也會有一定的上升,所以需要考慮的是在監(jiān)管合規(guī)過程中及時研判實質(zhì)的成本收益��,做出有效的價值平衡�����,并且需要持續(xù)地探索靈敏便捷�����、具有經(jīng)濟性的數(shù)字化實現(xiàn)方案�����?���!?/p>
趙精武認為�����,目前《要求》規(guī)定的安全風(fēng)險評估標準并不會過度增加企業(yè)合規(guī)成本。一方面���,采取更有效的風(fēng)險預(yù)防措施�,能夠減少企業(yè)因數(shù)據(jù)安全事件而遭受的損失���;另一方面��,這些針對性安全評估實際上早在《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》等法律法規(guī)中有所提及��,“針對性”不能簡單理解為“更嚴格的安全監(jiān)管要求”�,而是應(yīng)當理解為“個性化的安全監(jiān)管”和“更有效的義務(wù)履行方式”����。
在左曉棟看來,重要數(shù)據(jù)保護制度是我國數(shù)據(jù)安全工作中一項基礎(chǔ)性����、全局性的重大制度。目前���,關(guān)于重要數(shù)據(jù)的兩部國家標準都已揭開面紗��。從識別到管理�,從使用到保護,所有的安全要求都需要有專業(yè)化�、自動化工具的支持,數(shù)據(jù)跨境流動等場景更離不開專業(yè)咨詢服務(wù)��?��!斑@意味著一片新的藍海已經(jīng)產(chǎn)生��,新的產(chǎn)業(yè)方向呼之欲出�?�!?/p>
