您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
ISC 2021 | 左曉棟:重要數據識別是國家數據安全監(jiān)管制度的基礎
7月28日,在第九屆互聯網安全大會(ISC 2021)上,由中國信息協會信息安全專業(yè)委員會、ISC互聯網安全大會聯合主辦的ISC-網絡空間安全治理前沿峰會成功召開。與會的眾多專家都對網絡空間安全和數據治理提出了自己的真知灼見。會上,中國信息安全研究院副院長左曉棟做了“《重要數據識別指南》研究進展”的演講,介紹了《重要數據識別指南》這項擬定中國家標準的工作進展和要點。
綜合左曉棟的演講和媒體采訪,記者總結了幾個關于重要數據識別這項工作業(yè)界所關心的問題。
為什么要制定《重要數據識別指南》?
左曉棟:《重要數據識別指南》標準的制定是一項非常重要的工作,簡而言之,國家要由這個標準作規(guī)范明確管理對象,即什么是重要數據。這是國家重要數據一系列安全監(jiān)管制度的基礎。
數據有那么多,重點保護什么數據?很多法律法規(guī)、政策文件里的要求,往往都是落到了重要數據。重要數據概念最早來自《網絡安全法》。第37條提到個人信息和重要數據的境內存儲以及出境安全評估制度,從法律的層面上首次提出重要數據的概念。今年6月10日正式通過的《數據安全法》,其中第21條指出,國家要制定重要數據目錄,加強對重要數據的保護。從某種程度上講,我認為這是目前國家數據分類分級制度唯一一項具體工作。第27條,提出重要數據的處理者應當明確數據安全負責人和管理機構,落實數據安全保護責任。這是具體的法律責任義務的要求。第30條和第31條,都對重要數據處理者提出了法律法規(guī)要求。
除此之外,最近大家非常關注的網絡安全審查制度,第九條提到了如何判斷國家網絡安全風險,其中一條是重要數據被竊取、泄露、損毀的風險。另外,數據安全管理辦法征求意見稿的第15條,提到網絡運營者以經營為目的收集重要數據或個人敏感信息的,應向所在地網信部門備案。我們可以看到,越來越多的法律法規(guī),都在提出對重要數據處理的要求。下一步國家要建立一整套重要數據安全監(jiān)督管理制度,社會上各類的數據處理者如果涉及到對重要數據的處理,就會被要求落實很多重要數據保護的責任和義務,這是一個必須重視的不可回避的法律責任,而這一切的基礎都是要說清楚什么是重要數據,因此《重要數據識別指南》的制定工作是一項非常迫切而重要的任務。
重要數據這個概念是中國獨有的嗎?
左曉棟:很多人問我,國外沒有重要數據管理,為什么中國提出這項制度,依據是什么?
首先,重要數據確實不是個國際詞匯,多數國家也沒有作為一個大類統(tǒng)一提出要求,但絕不意味著國外只管個人信息,不管重要數據。國外既有對非個人信息的管理,也有明確的出境管控制度。
例如美國的NIST800-60標準,從保密性、完整性、可用性角度把聯邦政府信息系統(tǒng)分為低、中、高三級,然后對聯邦政府信息系統(tǒng)提出安全要求。除了對信息系統(tǒng)分級,對數據也分成三級。通過對系統(tǒng)和數據的分級,決定信息系統(tǒng)適用于哪一級的安全要求。
此外,美國還有涉密信息管理制度。時任美國總統(tǒng)奧巴馬曾簽署13556號行政令,明確了“受控非密信息”(CUI)管理制度,其中明確了CUI定義,并且對CUI分為20大類,124子類。CUI雖然不是秘密信息,但受到控制,這也是一種重要數據。美國NIST一直在制定關于受控非密信息的安全保護要求,不但制定了SP 800-171《保護非聯邦系統(tǒng)和機構的受控非密信息》、還制定了 SP 800-171A《受控非密信息安全要求評估》、 SP 800-171B《保護非聯邦系統(tǒng)和組織中的受控非密信息:關鍵程序和高價值資產的增強安全要求》。800-171B的范圍擴展到了非聯邦機構,如聯邦政府的合同商跟聯邦政府發(fā)生了關聯,由此產生的數據到了社會領域,非聯邦機構就必須落實這些數據的安全要求。
重要數據識別的基本原則是什么?
左曉棟:根據上級有關部門要求,全國信安標委2019年批準了《重要數據識別指南》研究項目,在去年正式立項。目前,這項工作正處于征求意見稿階段。
重要數據的識別有六個原則。
首先是聚焦安全領域。重要數據是從國家安全、經濟運行、社會穩(wěn)定、公共健康和安全等角度來識別,只對組織自身而言重要或敏感的數據不屬于重要數據,如企業(yè)的生產經營和內部管理相關數據。此外,個人信息是監(jiān)管制度的重要對象,但個人信息保護已經有明確的管理制度,所以沒有必要把個人信息保護工作和重要數據保護工作糾纏在一起。
第二是促進數據流動。明確安全保護重點和監(jiān)管對象,規(guī)范數據開發(fā)利用,促進數據安全、有序地流動。把保護和監(jiān)管對象明確了,不是范圍里的就不用落實一些更加嚴格的要求。
第三是銜接既有規(guī)定。充分考慮地方已有管理要求和行業(yè)特色。地方和部門已經制定實施有關數據管理政策和標準規(guī)范的,在識別重要數據時應當與其緊密銜接。建立數據分類分級制度是國家的指導思想,各個行業(yè)在制定具有自己行業(yè)特色的數據分類分級標準,開展數據安全保護工作的時候,必須明確重要數據,但此時的重要數據要和國家的定義保持一致。
第四是綜合考慮風險。依據數據用途、面臨的威脅不同,綜合考慮數據受到篡改、破壞、泄露或者非法獲取、非法利用等風險,從保密性、完整性、可用性、真實性、準確性等多個角度識別數據的重要性。一個數據認定為重要數據,不僅只是保密性要求,有一些數據如氣象數據是公開的,但它有著嚴格的發(fā)布渠道以及真實性、準確性要求。這意味著重要數據的屬性又和監(jiān)管手段直接關聯,這個問題現在還在討論之中,要綜合考慮風險。
第五是定量定性結合。以定性與定量相結合的方式識別重要數據,根據具體數據類型采取不同識別方法。有的數據天然就重要,有的數據達到一定的量,由量變到質變,會變成重要數據,因此需要根據實際情況定量定性結合。
最后是動態(tài)識別復查。定期復查重要數據識別結果,且在數據用途、共享方式、敏感性等發(fā)生變化時,應當對重要數據進行重新識別。
重要數據有哪些特征?
左曉棟:目前擬定中的《重要數據識別指南》將重要數據的特征分成了“7+1”類。7個明確的類別是:與經濟運行相關、與人口和健康相關、與自然資源和環(huán)境相關、與科學技術相關、與安全保護相關、與應用服務相關、與政務活動相關,還有1個“其他”。這不是對重要數據的分類,而是從多個方面描述重要數據的特征,希望盡可能的明確。
指南里給出了重要數據的描述方法,因為重要數據目錄是各行業(yè)各地方來自行制定,這時需要有一個統(tǒng)一的描述方法,來規(guī)范重要數據的報送和處理,不然匯總上來后五花八門。首先,目錄中應當列出數據的分類,具體的分類標準可由各行業(yè)自己確定。其次,各組織要描述自己所在行業(yè)對數據的監(jiān)管要求,以及適用的現有管理政策。第三,要描述重要性,包括對國家安全的影響、面臨的主要安全威脅,以及重要性的時效。最后,要描述數據產生、使用與保護情況,包括數據來源、用途、共享交換情況、安全措施情況等。對重要數據形成總體描述后,按程序進行報送。標準中還提出了識別流程,將來不排除各個行業(yè)根據這個標準制定更進一步的行業(yè)細則和更具體的申報流程。
對于重要數據還有哪些需要探討的問題?
左曉棟:首先是重要數據的時限性。一旦被認定重要數據,就永遠重要嗎?國家秘密都有保密期限,重要數據的時效應當是多久?當重要數據變成不重要的時候,該怎么銜接?有沒有長期作為重要數據的情況存在?
其次,重要數據與個人信息有什么關系?原則上,重要數據不包括個人信息,不是個人信息不重要,而是如上所說,個人信息另有管理制度,但基于批量個人信息形成的統(tǒng)計數據、衍生數據等有可能是重要數據。從這一角度而言,重要數據與個人信息并非完全割裂。
第三,有沒有必要從行業(yè)分類角度制定《重要數據識別指南》?在國家標準層面進行重要數據的行業(yè)分類,可能影響行業(yè)自主性,也很難準確反映行業(yè)實際情況。重要數據之所以重要,并不是天然屬于某一個行業(yè),而是看其對國家安全的影響。但如果完全不引入“分類”的概念,對重要數據的定義將十分宏觀,導致標準可操作性差,對管理會帶來一定困難。將來一定是行業(yè)和地區(qū)制定自己的重要數據目錄,所以這是兩難問題。
第四,重要數據與國家秘密信息的區(qū)別是什么?秘密信息是秘密信息,重要數據是重要數據,《數據安全法》里面提到的核心數據再核心都不是國家秘密信息。敏感性上,重要數據要弱于國家秘密信息,但很多時候也不宜公開。保護力度上,國家秘密防護重點是嚴格限制信息的知悉范圍,重要數據保護則要防止數據泄露、防止數據篡改,還要維護數據真實性。此外,重要數據比國家秘密信息更要考慮數據匯聚、整合、分析后的安全風險。除了保密性,重要數據對完整性可用性的也有較高要求。
第五,重要數據如何分布?將來重要數據的管理范圍還需要做具體分析,例如政府機構的宏觀經濟數據、金融監(jiān)管數據、人口資源數據等是必須有的,社會公共服務機構如醫(yī)院、高校也不能免除在外,具有相應資質的權威專業(yè)機構如地理、地震、天文、氣象等,科研機構、互聯網企業(yè)、各類產品和服務商,可能都在重要數據的管理范圍之內。
來源:中國信息安全