返回列表
数据分类分级合规要点分析
2022-04-29

企业对数据进行分类分级,并针对不同类别、级别的数据采用不同级别的防护措施,以便于数据的管理和使用,而数据分类分级对于企业来说是数据部署安全保护措施的基座和工作重点,正是数据安全的基础性工作。根据目前现有法律法规、技术标准以及实务经验,笔者对数据分类分级的合规要点进行了粗略分析,仅供大家参考,不做实践案例落地参考。

分级保护的理念最早来源于1994年2月18日国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)。该条例中明确提出了计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。不同级别的网络系统采用不同级别的保护,一方面有助于降低企业的网络安全合规成本,另外一方面便于同级别的网络系统的采用同级别的防护措施。因此企业通过网络系统进行业务安全域分域管理,是对网络系统的一种合理的保护手段。

一、数据分类

目前数据安全相关的现行法律主要为《中华人民共和国数据安全法》(下称“数安法”)和《中华人民共和国个人信息保护法》(下称“个保法”)。其中,前者提出了国家核心数据和重要数据的概念,并对违反此法律条款中所定义的对于国家核心数据和重要数据的相关要求制定了不同的惩戒措施,而后者则对个人信息和敏感个人信息进行了区分对待,惩戒措施也不尽相同。那么目前数据是否除国家核心数据、重要数据、个人信息数据等类别定义外没有其他的分类定义了吗?其实不然,在《中华人民共和国人类遗传资源管理条例》中的人类遗传资源信息、《汽车数据安全管理若干规定(试行)》中的汽车数据都可以作为数据类别定义,将数据划分为不同的类别。因为本人非法律专业从业人员,在此没法一一列出与数据类别定义相关的所有法律犯规,但能确定的是,对于数据的分类而言,需要遵守的法律法规也不止以上相关的法律法规。那么数据最终采用什么样的分类方式较为合理合法呢?

从数据分类而言,建议数据分类遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全合规管理要求。比如识别是否存在国家核心数据、重要数据、个人信息数据等。根据不同数据分类,匹配不同的法律法规要求,部署相应的落地要求。

根据笔者目前获悉与数据分类分级相关的参考文件或标准,包括《金融数据安全 数据安全分级指南》(JR/T 0197—2020)、《证券期货业数据分类分级指引》(JR/T 0518—2018)、《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号)等。但是数据类别千差万别,甚至同样的数据在不同的单位,重要程度的级别可能不一样。“数据处理活动”的主体,可以根据主管部门、监管单位对本行业的数据分类分级标准进行数据分类、分级。若“数据处理活动”主体的主管、监管单位未制定相关标准,则建议按照上图进行分类分级,并建立对应级别的数据保护措施。关于数安法的解读,目前主要分为两大类,其中有人分析需将数据从低到高分成一般数据、重要数据、核心数据共三个级别;也有人认为数安法的国家核心数据、重要数据应该是类别的概念。笔者比较倾向于第二个观点,在数安法中国家核心数据、重要数据应该是类别的定义。因为笔者认为国家核心数据若属于类别,还可以根据具体的数据字段再划分不同的级别,同理重要数据也是如此。至于对重要数据再进行类别细分分析,可以划分成汽车重要数据、金融重要数据等不同的二级分类。

最后在此章节,将数据安全相关的重要参考标准《重要数据识别指南》最新变化分享给各位读者,便于大家在数据安全合规工作中识别重要数据。目前《重要数据识别指南》标准更名为《重要数据识别规则》,“重要数据”的定义修改如下:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。根据以上变情况,建议企业持续关注国家标准的更以及发布,同时也需各监关注监管、主管部门发布的重要数据目录,以更好的开展重要数据的定义工作,并履行企业对重要数据的合规保护义务。

二、数据分级

数据分类是对数据的类别进行识别,从而选择适用的法律法规要求匹配对应的安全措施,那么不同级别数据需要采取怎样的保护措施呢?前文提到了不同级别的数据应采取不同级别的保护措施,那么不同类别同一级别的数据是否可以采用相同的安全防护策略呢?笔者个人认为是可以的。目前也可能存在同一级别不同类别的数据,法律法规的要求有所区别。但从一个网络安全的技术人员的角度来理解,安全技术防护措施和管理措施应该是可以是采取同类型措施的。但是数据分类分级是否分的越细越好呢?笔者不推荐这么做。因为数据分的越细,级别分的越多,在数据流动时,不同类型不同级别的数据需采取的保护措施是不一样的。而大量的安全防护策略,会对数据流动的快捷性造成严重影响。因此建议各单位根据自身的业务特性、数据重要程度,建立与之相适应的数据分类分级制度,并部署对应的合理的数据保护措施。

因为各主管部门、监管部分已经发布了一些行业分类分级的标准,基于各类别的数据重要程度划分不同的数据安全级别,但是数据是在基于基础设施、网络设备、服务器的基础上进行运营的,所以建议数据安全的级别与网络安全等级保护的级别相匹配。数据分类及数据的主体和对应侵害程度的关系表可参考下表。

金融个人信息分级参考方法论的依据有《JR/T 0171-2020个人金融信息保护技术规范》,其中将金融个人信息分c1-c3类。不管是c1还是c3类数据都是个人金融数据,是个人信息类。但是在《JR/T 0197-2020 金融数据安全 数据安全分级指南》标准中,金融数据又分类5级,其中c1类金融个人信息是2级,c2类是3级,c3类是4级。那么其他类别的数据可以根据不同的数据内容划分不同的级别。例如:

1. 个人信息数据根据上面的样例可以划分为(2-4级)。

2. 公共数据可以是1-4级,公共数据有公开数据、受限公开数据、不公开数据等不同重要程度的数据,因此建议公共数据可以是(1-4级)。

3. 业务数据根据法律法规,以及企业业务数据对数据资源的客体的影响程度和造成的危害程度可以(1-3级)。

4. 重要数据可参考《网络数据安全管理条例(征求意见稿)》的要求3级起,但是重要数据不对国家安全造成特别严重的损害,可以是(3-4级)。

5. 国家核心数据可以建议(4-5级),或者直接定义为5级。

最后根据数据的数量和数据字段类别的聚合程度,各行业可以自行自定数据规模达到一定量的级别(数据级别应是动态的),然后根据相应的国家、标准、行业标准部署对应级别的安全保护技术措施和管理策略。

三、数据分类分级总结

目前数据分类分级的法规不够完善,各行业主管部门、监管部门在数据分类分级方面体系化建设还有待持续制定出台。笔者了解到的相关标准有《网络数据分类分级要求》、《重要数据识别规则》等相关标准还未出台,国家核心数据如何识别也未存在相应的细则,因此整体的数据分类分级方法论还不具有实操的方法,仅具有参考意义,如下图:

除了根据数据类别为主线进行数据分类分级的方式,还有《JR/T 0158—2018 证券期货业数据分类分级指引》标准的以业务条线维度进行数据分类分级。

但是不管是以上两种方式或者其他的分类分级方式,最终的目的还是识别出数据的类别和级别,然后按照法律法规和国标、行标的保护要求进行保护。最后的展现形式可以是如下图:

四、总结

企业的数据分类分级的实操落地应结合法律法规、行业主管部门的要求、企业的业务模式、数据的类别、数据的重要程度、数据的数据总量等各方面因素,合理进行分类分级。

 

作者:龙军

审稿:许瑞凤

 (文中观点不代表北源律师事务所的观点或法律意见)

返回列表
数据分类分级合规要点分析
2022-04-29

企业对数据进行分类分级,并针对不同类别、级别的数据采用不同级别的防护措施,以便于数据的管理和使用,而数据分类分级对于企业来说是数据部署安全保护措施的基座和工作重点,正是数据安全的基础性工作。根据目前现有法律法规、技术标准以及实务经验,笔者对数据分类分级的合规要点进行了粗略分析,仅供大家参考,不做实践案例落地参考。

分级保护的理念最早来源于1994年2月18日国务院颁布的《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)。该条例中明确提出了计算机信息系统实行安全等级保护。安全等级的划分标准和安全等级保护的具体办法由公安部会同有关部门制定。不同级别的网络系统采用不同级别的保护,一方面有助于降低企业的网络安全合规成本,另外一方面便于同级别的网络系统的采用同级别的防护措施。因此企业通过网络系统进行业务安全域分域管理,是对网络系统的一种合理的保护手段。

一、数据分类

目前数据安全相关的现行法律主要为《中华人民共和国数据安全法》(下称“数安法”)和《中华人民共和国个人信息保护法》(下称“个保法”)。其中,前者提出了国家核心数据和重要数据的概念,并对违反此法律条款中所定义的对于国家核心数据和重要数据的相关要求制定了不同的惩戒措施,而后者则对个人信息和敏感个人信息进行了区分对待,惩戒措施也不尽相同。那么目前数据是否除国家核心数据、重要数据、个人信息数据等类别定义外没有其他的分类定义了吗?其实不然,在《中华人民共和国人类遗传资源管理条例》中的人类遗传资源信息、《汽车数据安全管理若干规定(试行)》中的汽车数据都可以作为数据类别定义,将数据划分为不同的类别。因为本人非法律专业从业人员,在此没法一一列出与数据类别定义相关的所有法律犯规,但能确定的是,对于数据的分类而言,需要遵守的法律法规也不止以上相关的法律法规。那么数据最终采用什么样的分类方式较为合理合法呢?

从数据分类而言,建议数据分类遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全合规管理要求。比如识别是否存在国家核心数据、重要数据、个人信息数据等。根据不同数据分类,匹配不同的法律法规要求,部署相应的落地要求。

根据笔者目前获悉与数据分类分级相关的参考文件或标准,包括《金融数据安全 数据安全分级指南》(JR/T 0197—2020)、《证券期货业数据分类分级指引》(JR/T 0518—2018)、《工业数据分类分级指南(试行)》(工信厅信发〔2020〕6号)等。但是数据类别千差万别,甚至同样的数据在不同的单位,重要程度的级别可能不一样。“数据处理活动”的主体,可以根据主管部门、监管单位对本行业的数据分类分级标准进行数据分类、分级。若“数据处理活动”主体的主管、监管单位未制定相关标准,则建议按照上图进行分类分级,并建立对应级别的数据保护措施。关于数安法的解读,目前主要分为两大类,其中有人分析需将数据从低到高分成一般数据、重要数据、核心数据共三个级别;也有人认为数安法的国家核心数据、重要数据应该是类别的概念。笔者比较倾向于第二个观点,在数安法中国家核心数据、重要数据应该是类别的定义。因为笔者认为国家核心数据若属于类别,还可以根据具体的数据字段再划分不同的级别,同理重要数据也是如此。至于对重要数据再进行类别细分分析,可以划分成汽车重要数据、金融重要数据等不同的二级分类。

最后在此章节,将数据安全相关的重要参考标准《重要数据识别指南》最新变化分享给各位读者,便于大家在数据安全合规工作中识别重要数据。目前《重要数据识别指南》标准更名为《重要数据识别规则》,“重要数据”的定义修改如下:特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。根据以上变情况,建议企业持续关注国家标准的更以及发布,同时也需各监关注监管、主管部门发布的重要数据目录,以更好的开展重要数据的定义工作,并履行企业对重要数据的合规保护义务。

二、数据分级

数据分类是对数据的类别进行识别,从而选择适用的法律法规要求匹配对应的安全措施,那么不同级别数据需要采取怎样的保护措施呢?前文提到了不同级别的数据应采取不同级别的保护措施,那么不同类别同一级别的数据是否可以采用相同的安全防护策略呢?笔者个人认为是可以的。目前也可能存在同一级别不同类别的数据,法律法规的要求有所区别。但从一个网络安全的技术人员的角度来理解,安全技术防护措施和管理措施应该是可以是采取同类型措施的。但是数据分类分级是否分的越细越好呢?笔者不推荐这么做。因为数据分的越细,级别分的越多,在数据流动时,不同类型不同级别的数据需采取的保护措施是不一样的。而大量的安全防护策略,会对数据流动的快捷性造成严重影响。因此建议各单位根据自身的业务特性、数据重要程度,建立与之相适应的数据分类分级制度,并部署对应的合理的数据保护措施。

因为各主管部门、监管部分已经发布了一些行业分类分级的标准,基于各类别的数据重要程度划分不同的数据安全级别,但是数据是在基于基础设施、网络设备、服务器的基础上进行运营的,所以建议数据安全的级别与网络安全等级保护的级别相匹配。数据分类及数据的主体和对应侵害程度的关系表可参考下表。

金融个人信息分级参考方法论的依据有《JR/T 0171-2020个人金融信息保护技术规范》,其中将金融个人信息分c1-c3类。不管是c1还是c3类数据都是个人金融数据,是个人信息类。但是在《JR/T 0197-2020 金融数据安全 数据安全分级指南》标准中,金融数据又分类5级,其中c1类金融个人信息是2级,c2类是3级,c3类是4级。那么其他类别的数据可以根据不同的数据内容划分不同的级别。例如:

1. 个人信息数据根据上面的样例可以划分为(2-4级)。

2. 公共数据可以是1-4级,公共数据有公开数据、受限公开数据、不公开数据等不同重要程度的数据,因此建议公共数据可以是(1-4级)。

3. 业务数据根据法律法规,以及企业业务数据对数据资源的客体的影响程度和造成的危害程度可以(1-3级)。

4. 重要数据可参考《网络数据安全管理条例(征求意见稿)》的要求3级起,但是重要数据不对国家安全造成特别严重的损害,可以是(3-4级)。

5. 国家核心数据可以建议(4-5级),或者直接定义为5级。

最后根据数据的数量和数据字段类别的聚合程度,各行业可以自行自定数据规模达到一定量的级别(数据级别应是动态的),然后根据相应的国家、标准、行业标准部署对应级别的安全保护技术措施和管理策略。

三、数据分类分级总结

目前数据分类分级的法规不够完善,各行业主管部门、监管部门在数据分类分级方面体系化建设还有待持续制定出台。笔者了解到的相关标准有《网络数据分类分级要求》、《重要数据识别规则》等相关标准还未出台,国家核心数据如何识别也未存在相应的细则,因此整体的数据分类分级方法论还不具有实操的方法,仅具有参考意义,如下图:

除了根据数据类别为主线进行数据分类分级的方式,还有《JR/T 0158—2018 证券期货业数据分类分级指引》标准的以业务条线维度进行数据分类分级。

但是不管是以上两种方式或者其他的分类分级方式,最终的目的还是识别出数据的类别和级别,然后按照法律法规和国标、行标的保护要求进行保护。最后的展现形式可以是如下图:

四、总结

企业的数据分类分级的实操落地应结合法律法规、行业主管部门的要求、企业的业务模式、数据的类别、数据的重要程度、数据的数据总量等各方面因素,合理进行分类分级。

 

作者:龙军

审稿:许瑞凤

 (文中观点不代表北源律师事务所的观点或法律意见)