数据合规 | 数据分类分级技术探讨
一、法律要求及必要性
2017年6月1日起正式实施《中华人民共和国网络安全法》,其第二十一条第(四)小节明确将“数据分类”作为网络安全保护法定义务之一。
《中华人民共和国网络安全法》
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
2021年9月1日正式施行《中华人民共和国数据安全法》,其第二十一条确立确立了数据安全管理制度及其基本原则,明确数据分类分级的重要性。
《中华人民共和国数据安全法》
第二十一条国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
2021年11月,《中华人民共和国个人信息保护法》、《网络数据安全管理条例(征求意见稿)》相继出台,国家层面明确提出建立数据分类分级保护制度。
《个人信息保护法》
第五十一条个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
(一)制定内部管理制度和操作规程;
(二)对个人信息实行分类管理;
(三)采取相应的加密、去标识化等安全技术措施;
(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
(五)制定并组织实施个人信息安全事件应急预案;
(六)法律、行政法规规定的其他措施。
《网络数据安全管理条例》(征求意见稿)
第五条国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
同时,2020年04月,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》正式公布,中央首次明确数据成为五大生产要素之一 ,数据作为一种新型生产要素写入文件。
数据成为新型生产要素,在企业数字化转型中发挥重要作用,并对国家治理能力、经济运行机制、社会生活方式等产生深刻影响,数据安全的重要性日益凸显。依法采取严密的监管措施,建立完善的数据安全防护体系,保障数据安全是企业必须要承担的责任。
而建立数据安全防护体系的第一步就是梳理数据资产进行分类分级,只有做好分类分级工作,对不同分类不同密级的数据采取不同的安全防护措施,才能做好数据全流程动态保护。
数据分类分级也是数据安全治理的前提,是数据合规的核心。只有在有效进行数据分类分级的前提下,才能在数据应用与数据保护之间找到平衡点,需求数据的价值最大化。
同时,数据分类分级能够帮助企业对数据资产进行全面的盘点,了解敏感数据分布、类型、量级,做到心中有数,以此构建企业级的数据资产目录,为之后企业数据资产管理和数据安全体系建设打好基础。
二、数据分类分级原则
数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分:
(一)合法合规原则:数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。
(二)分类多维原则:数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。
(三)分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。
(四)就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。不同级别的数据被同时处理、应用,且无法精细化管控时,应按照其中最高级别的进行定级。
(五)动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。
三、数据分类分级概念及解析
根据《GB/T38667-2020信息技术-大数据-数据分类指南》的定义,数据分类是根据数据的属性或特征,按照一定的原则和方法进行区分和归类,以便更好地管理和使用数据。数据分类不存在唯一的分类方式,会依据企业的管理目标、保护措施、分类维度等形成多种不同的分类体系。
数据分类是数据资产管理的第一步。不论是对数据资产进行编目、标准化,还是数据的确权、管理,或是提供数据资产服务,进行有效的数据分类都是其首要任务。数据分类更多是从业务角度或数据管理的方向考量的,包括行业维度、业务领域维度、数据来源维度、共享维度、数据开放维度等。同时,根据这些维度,将具有相同属性或特征的数据,按照一定的原则和方法进行归类。
数据分级则是按数据的重要性和影响程度区分等级,确保数据得到与其重要性和影响程度相适应的级别保护。影响对象一般是三类对象,分别是国家安全和社会公共利益、企业利益(包括业务影响、财务影响、声誉影响)、用户利益(用户财产、声誉、生活状态、生理和心理影响)。
企业建议选取影响程度中的最高影响等级为该数据对象的重要敏感程度。同时,数据定级可根据数据的变化进行升级或降级,例如包括数据内容发生变化、数据汇聚融合、国家或行业主管要求等情况引起的数据升降级。数据分级本质上就是数据敏感维度的数据分类。
四、数据分类分级方法
(一)数据分类方法
具体到分类方法上,目前并没有统一的分类方法,也很难做到统一。根据分类多维原则,企业可根据自身所处行业、企业特点及自身数据管理需要,在遵从法律法规及行业标准的前提下自主确定数据的类目设置。
数据分类,首先需要选择分类维度。数据可以根据多种维度进行分类,不同的分类维度有其各自的特点和优点,并没有当然的优劣性。企业应当根据自身的特点、业务类型和模式、数据使用场景以及数据分类目的等,合理地选择适合自己的分类维度对数据进行分类,以便更好地管理和使用数据。
数据分类可以从数据主体、数据内容、数据来源、数据应用场景、数据敏感程度、行业等维度进行分类。例如,根据数据主体,可以将数据分为个人数据、企业数据、公共数据等;根据数据应用场景,可以将数据分为医疗数据、金融数据、教育数据、政务数据等。
《网络数据安全管理条例(征求意见稿)》〔1)第五条中,按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为了一般数据、重要数据、核心数据。
总之,企业在进行数据分类时,需要结合自身的业务类型,有针对性地选择分类维度进行数据分类,而不能随意进行分类。
(二)数据分级方法
根据《数据安全法》第二十一条规定,进行数据分类分级时,应当结合数据的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度来进行考虑。简单来说就是要结合“危害对象”和“危害程度”两个因素。
《数据安全法》将受到危害的对象,分为了国家安全、公共利益,以及个人、组织合法权益等三类;而一般来说,危害程度通常也可以分为一般损害、严重损害和特别严重损害三个级别。
将三类受危害对象和三个危害程度进行组合的话,可以得到三种以上的组合。所以在进行数据分级时,一般可以分成3~5种等级。
但是对于企业来说,涉及危害国家安全的情况极少,除非是规模较大的企业。所以就企业而言,在数据分级时,可以不用进行过于复杂的分级,通常分为3个等级即可。若对数据使用过于复杂的分级,可能会更不利于数据管理。
五、数据分类分级实践
目前我国有关于数据“分类分级”的说法,但没有进一步的实施方案或细则,这有待于将来法规的配套完善。信安标委的分类分级指引,也相对宏观,对于具体的企业而言,更缺乏操作性。本文结合过往实务,提出更加适用企业的解决方案,方便操作;而且内容与现行法规并不冲突,并可根据新法规的出台进一步细化调整。具体而言,数据分级分类可按照以下步骤实施。
(一)确定数据分类分级管理部门及制度
对于数据分类分级的实施,企业首先应当设立相应的管理部门,并制定相应管理制度,为数据分类分级提供组织保障及制度保障。
1.设立数据分类分级管理部门
为了方便对数据进行分类分级,企业应当设立数据分类分级的管理部门,或者确定由某一部门来负责数据分类分级的管理工作。确定了管理部门之后,还应当确定数据分类分级的具体责任人。
2.制定数据分类分级管理制度
一是确定数据分类分级的总体原则、方法;二是确定数据分类分级的岗位角色和职责分工,即确定数据分类分级工作中涉及的组织及职责;三是确定数据分类分级的流程要求及更新机制;四是确定数据分类分级的日常管理流程;五是确定数据分类分级的操作规程;六是明确各个级别数据的使用及防护原则。
(二)数据资产梳理
在确定了数据分类分级的管理部门及制度之后,便要开始着手数据分类分级的具体工作。首先,要对企业的数据资产进行梳理,包括数据表、数据项、数据文件等数据资产。其次,在梳理时,还应当将数据资产的基本信息和相关方进行明确,如数据资产的所属部门、数据类型、内容描述、安全措施等。最后,制作出数据资产清单。
(三)数据分类
上文的数据分类方法中已经提到,根据分类维度的不同,数据的分类方法也多种多样,各种分类方法没有当然的优劣性,企业可根据自身数据管理需要,自主细化确定数据的类目设置。
一般来说,以数据主体作为分类维度来对数据进行分类是比较常用的,而且也相对较为清晰和简单。所以在此处,也以此种方法来对数据进行分类。
根据数据主体,可以将数据分为用户数据、企业数据、公共数据。对于一般的企业而言,处理得较多的数据是用户数据和企业数据,对公共数据的处理相对较少。
六、数据分类分级参考
(一)参考表1:根据数据主体分类
(二)参考表2:数据定级参考表
(三)参考表3:数据分类分级参考表
参考文献:
1.《中华人民共和国网络安全法》,《中华人民共和国数据安全法》,《中华人民共和国个人信息保护法》,《网络数据安全管理条例(征求意见稿)》
2.《网络安全标准实践指南—网络数据分类分级指引》—全国信息安全标准化技术委员会秘书处
3.《网络安全与数据合规法律实务》—罗振辉
