数据资产系列工业企业重要数据识别篇:重要数据识别十大要素
作者:王良 全开明 谢美山 2024-03-232024年3月21日,国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》(“规则”)正式发布,并将于2024年10月1日起正式实施。规则规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南,既适用于行业领域主管(监管)部门参考制定本行业本领域的数据分类分级标准规范,也适用于各地区、各部门开展数据分类分级工作,同时为企业进行数据分类分级提供参考。
在规则发布之前,重要数据的判断标准主要依靠《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法》《信息安全技术重要数据识别指南(征求意见稿)》等文件。经过近几年的行业实践和探索,国家终于在数据安全和数据治理层面,特别是重要数据识别问题上,向前迈出了坚实的一步。规则提出要遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理。企业需要在数据分类分级的基础上,开展重要数据的识别与合规管理工作。
(1) 数据分类。按照“先行业领域分类、再业务属性分类”的思路进行分类,将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。
(2) 数据分级。根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。
一、 重要数据识别十大要素
根据规则,重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据,仅影响组织自身或公民个体的数据一般不作为重要数据。企业重要数据的识别应建立数据分类分级的基础上,并从如下十大要素进行识别:
二、工业企业数据分类分级的法律要求与重要数据的识别步骤
工业和信息化部早在2020年就发布《工业数据分类分级指南(试行)》,要求“工业企业结合生产制造模式、平台企业结合服务运营模式,分析梳理业务流程和系统设备,考虑行业要求、业务规模、数据复杂程度等实际情况,对工业数据进行分类梳理和标识,形成企业工业数据分类清单;根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等3个级别。” 2022年《工业和信息化领域数据安全管理办法》进一步规定,工业和信息化部组织制定工业和信息化领域数据分类分级、重要数据和核心数据识别认定、数据分级防护等标准规范,指导开展数据分类分级管理工作,制定行业重要数据和核心数据具体目录并实施动态管理。2024年2月工业和信息化部发布了《工业领域数据安全能力提升实施方案(2024—2026年)》要求,到2026年底,工业领域数据安全保障体系基本建立,开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业。其他工业领域数据法规还包括:《工业和信息化领域数据安全风险评估实施细则(试行)》《工业互联网数据安全保护要求》《智能制造 工业数据分类原则》《工业互联网企业网络安全 第4部分:数据防护要求》《工业和信息化领域数据安全行政处罚裁量指引(试行)》等,初步形成了工业数据的分类分级法规体系。
工业企业在进行重要数据识别之前,应在遵循如上国家和行业领域数据分类分级要求的基础上,参考规则中的如下步骤开展分类分级与重要数据识别与合规管理工作。
(1) 数据资产梳理:对数据资产进行全面梳理,确定待分类分级的数据资产及其所属的行业领域。
(2) 制定内部规则:按照行业领域数据分类分级标准规范,结合处理者自身数据特点,参考本文件制定自身的数据分类分级细则:
l 如行业领域主管部门已制定行业领域数据分类分级规则,处理者应结合自身实际参考本文件的数据分类分级方法,按照行业领域数据分类分级规则细化执行;
l 如所属行业领域没有行业主管部门认可的数据分类分级标准规范的,或存在行业领域规范未覆盖的数据类型,按照本文件进行数据分类分级;
l 如果业务涉及多个行业领域,可在参考本文件的基础上,分别按照各个行业领域的数据分类分级标准规范细化执行。
(3)实施数据分类:对数据进行分类,并对公共数据、个人信息等特殊类别数据进行识别和分类。
(4)实施数据分级:对数据进行分级,确定核心数据、重要数据和一般数据的范围。
(5) 审核上报目录:对数据分类分级结果进行审核,形成数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识,按有关程序报送目录。
(6) 动态更新管理:根据数据重要程度和可能造成的危害程度变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理,动态更新情形。
三、工业企业重要数据合规管理责任
根据《数据安全法》《工业和信息化领域数据安全管理办法(试行)》等相关规定,企业如果存在处理重要数据的情况,则应落实如下数据安全保护责任:
(1)重要数据备案:将本单位重要数据目录向本地区行业监管部门备案。备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享、跨境传输、安全保护措施等基本情况。涉及重要数据备案内容发生变化的,应当履行备案变更手续。
(2)重要数据处理者的特定管理要求: 1)建立覆盖本单位相关部门的数据安全工作体系,明确数据安全负责人和管理机构,建立常态化沟通与协作机制。本单位法定代表人或者主要负责人是数据安全第一责任人,领导团队中分管数据安全的成员是直接责任人;2)明确数据处理关键岗位和岗位职责,并要求关键岗位人员签署数据安全责任书,责任书内容包括但不限于数据安全岗位职责、义务、处罚措施、注意事项等内容;3)建立内部登记、审批等工作机制,对重要数据的处理活动进行严格管理并留存记录。
(3)重要数据处理的特定要求:1)数据收集过程中,应当根据数据安全级别采取相应的安全措施,加强重要数据收集人员、设备的管理,并对收集来源、时间、类型、数量、频度、流向等进行记录,通过间接途径获取重要数据和核心数据的,工业和信息化领域数据处理者应当与数据提供方通过签署相关协议、承诺书等方式,明确双方法律责任。2)存储重要数据的,应当采用校验技术、密码技术等措施进行安全存储,并实施数据容灾备份和存储介质安全管理,定期开展数据恢复测试。3)使用、加工重要数据的,还应当加强访问控制。4)提供重要数据的,应当与数据获取方签订数据安全协议,对数据获取方数据安全保护能力进行核验,采取必要的安全保护措施。5)工业和信息化领域数据处理者销毁重要数据后,不得以任何理由、任何方式对销毁数据进行恢复,引起备案内容发生变化的,应当履行备案变更手续。6)委托处理重要数据的,应当对受托方的数据安全保护能力、资质进行核验。
(4)风险评估及年报报送要求:自行或委托第三方评估机构,每年对其数据处理活动至少开展一次风险评估,及时整改风险问题,并向本地区行业监管部门报送风险评估报告。
(5)重要数据跨境传输的特定要求:在中华人民共和国境内收集和产生的重要数据,法律、行政法规有境内存储要求的,应当在境内存储,确需向境外提供的,应当依法依规进行数据出境安全评估。
根据2024年3月22日国家网信办发布的《促进和规范数据跨境流动规定》,“数据处理者应当按照相关规定识别、申报重要数据”。其中,关键信息基础设施运营者向境外提供个人信息或者重要数据;关键信息基础设施运营者以外的数据处理者向境外提供重要数据,均应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。鉴于《数据安全技术数据分类分级规则》已经公布并将于2024年10月1日实施,期间将会有更多行业领域主管(监管)部门、其他相关部门或地区发布数据安全与重要数据方面的管理规定,企业适用“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。”的空间越来越小。为此,建议企业在2024年10月1日之前的不到半年的政策窗口期,及时开展数据分类分级和重要数据识别工作,避免因重要数据问题而可能导致的业务不合规风险。