作为国家数据安全工作的重点,重要数据监管又有了新动态。
近日,国家标准《信息安全技术重要数据处理安全要求》(下称《要求》)首次公开征求意见。据悉,《要求》是第二部重要数据安全国标,规定了数据处理者处理重要数据的安全要求,主要涉及设施安全、数据处理活动的安全、运行与管理安全三大方面。
受访专家认为,重要数据保护制度是我国数据安全工作中一项基础性、全局性的重大制度。随着国标《要求》公开征求意见,关于重要数据的两部国家标准都已揭开面纱。了解重要数据的识别规则和安全要求,对于企业有效开展数据治理工作、数据资产梳理工作具有重要意义。
(资料图片仅供参考)
或将于年内批报
此次《要求》征求意见,是我国推进数据安全工程的重要一步。
“重要数据”概念最早见诸2017年实施的《网络安全法》,直到2021年《数据安全法》的落地实施,重要数据的内涵才被真正明确。
《数据安全法》提出了建立数据分类分级保护制度,同时制定重要数据目录,加强对重要数据的保护。尽管上位法已初步规定了重要数据的安全处理要求。然而,在实践中,识别重要数据仍然存在困难。
“在实践中,重要数据识别常被以为重要的数据的,导致实际认定的‘重要数据’范围扩大。并且,不同行业、不同领域的重要数据类型和范围具有显著的差异性,仅凭一般性的‘重要数据’概念界定并不足以满足企业合规需求,而此次征求意见稿的公布有助于为实践中的重要数据识别提供更为明确、具体且可操作的判断标准。”北京航空航天大学法学院副教授、北京科技创新中心研究基地副主任赵精武向21世纪经济报道记者表示。
为进一步细化重要数据的识别要求和安全保护标准,2020年,全国信息安全标准化技术委员会正式委托编制国家标准《重要数据识别指南》。2023年上半年,《重要数据识别指南》历经征求意见稿、送审稿后,正式向国家申请报批。
考虑到重要数据的识别只是第一步工作,数据处理者还应在识别出重要数据后对其加以保护,故还需制定第二部国家标准《要求》。为此,全国信息安全标准化技术委员会于2022年对该标准立项,国家标准化管理委员会于2023年8月下达了国家标准计划号20230792-T-469。该标准同样被主管部门列为重点标准。
2023年8月,经全国信息安全标准化技术委员会组织审定后,《要求》向社会公开征求意见。据中国科学技术大学公共事务学院教授左晓栋透露,目前委员会正在积极推进《要求》的制定工作,争取于年内报批。
从征求意见稿来看,《要求》规定了数据处理者处理重要数据的安全要求,明确了重要数据的定义,并规定了重要数据的设施安全、数据处理活动的安全、运行与管理安全的具体标准,为数据处理者对重要数据开展处理活动提供指引。
“《要求》的编制有一个重要原则,即全面落实法律法规规定的重要数据安全保护要求。”左晓栋表示,该标准有着明确而具体的上位法,这是其与其他标准的重要区别。
左晓栋进一步指出,《数据安全法》对重要数据安全的要求是分散的,不成体系,不能作为《要求》的直接依据。2021年11月,《网络数据安全管理条例》征求意见,专门设立了“重要数据安全”章节,这是我国系统性建立重要数据保护制度的标志,也为《要求》的编制提供了根本依据。
“编制组主要以2021年11月的版本为基本参考,并根据主管部门的通知,针对条例的变化情况及时调整了标准的内容。”他表示。
北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括认为,以国标的形式明确重要数据的识别规则和安全要求,对于企业有效开展数据治理工作、数据资产梳理工作具有重要意义。同时,在落实与重要数据相关的各项法定合规义务层面,也有具体的指导价值。
新的蓝海已经产生
据了解,《要求》编制原则从四方面明确数据安全内涵,即环境安全、资产安全、行为安全、生产要素安全,并提到“不能仅从数据收集处理的生命周期来理解数据处理安全需求”。
对此,赵精武认为,这里实际上体现了我国立法层面的体系化、动态化数据安全理念。一方面,数据安全的保障不仅需要从数据收集、加工、处理、存储、删除、销毁等各个业务环节予以落实,另一方面,数据安全风险还与所处环境、数据处理者内部管理制度等诸多外部因素相关,故而同时需要从环境安全、资产安全、行为安全以及生产要素安全等层面确保数据所处状态的安全性。
具体到标准内容上,《要求》主要规定了三个方面:设施安全、数据处理活动的安全、运行与管理安全。
其中,设施安全主要包括系统安全和云计算服务平台安全。数据处理活动的安全,主要涉及数据收集、存储、使用与加工、传输与提供、公开、删除等环节,重点突出重要数据全生命周期中,各项处理活动应满足的安全要求。
对于数据处理活动的收集环节,《要求》提出数据处理者应制定“重要数据清单”及“重要数据目录”。
赵精武指出,“重要数据清单”是为了方便数据处理者通过自动化信息技术提升重要数据的识别效率;“重要数据目录”则是为了落实监管机构根据《数据安全法》第21条制定的本行业、本领域的重要数据目录,记载事项不仅仅涉及数据的基本情况,还涉及到责任主体、数据处理以及数据安全情况等内容。
两者的区别在于,“重要数据清单”主要是为了数据处理者自身提供识别依据和指引,“重要数据目录”则是为了实现定期数据安全风险评估的管理效果,同时数据处理者需要依法定期上报国家有关部门,这也是为了国家有关部门能够根据产业实践情况更新、维护本行业的重要数据目录。
另外,运行与管理安全方面,主要包括组织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理等运行安全要求。其中,《要求》6.6条规定了风险评估的具体步骤,描述了评估制度、评估内容、评估时机等要求。
针对重要数据的不同阶段进行针对性的安全风险评估,是否会一定程度增加企业合规成本?
吴沈括表示,安全评估是目前安全领域中的常见做法,能够提高事先预防和处置的能力,对于风险的识别、防范、缓解具有实际的重大意义。“在此过程中,企业的合规成本也会有一定的上升,所以需要考虑的是在监管合规过程中及时研判实质的成本收益,做出有效的价值平衡,并且需要持续地探索灵敏便捷、具有经济性的数字化实现方案。”
赵精武认为,目前《要求》规定的安全风险评估标准并不会过度增加企业合规成本。一方面,采取更有效的风险预防措施,能够减少企业因数据安全事件而遭受的损失;另一方面,这些针对性安全评估实际上早在《网络安全法》《数据安全法》等法律法规中有所提及,“针对性”不能简单理解为“更严格的安全监管要求”,而是应当理解为“个性化的安全监管”和“更有效的义务履行方式”。
在左晓栋看来,重要数据保护制度是我国数据安全工作中一项基础性、全局性的重大制度。目前,关于重要数据的两部国家标准都已揭开面纱。从识别到管理,从使用到保护,所有的安全要求都需要有专业化、自动化工具的支持,数据跨境流动等场景更离不开专业咨询服务。“这意味着一片新的蓝海已经产生,新的产业方向呼之欲出。”
(文章来源:21世纪经济报道)