中文无码一区二区三区在线观看,18禁免费无码无遮挡不卡网站,成人欧美一区二区三区黑人

  • <input id="6nze3"></input>

    <var id="6nze3"></var>

      <sub id="6nze3"></sub>
      首頁>鑫諾動態>鑫諾法評|基于《數據安全法》的數據分類分級方法研究

      鑫諾法評|基于《數據安全法》的數據分類分級方法研究

      鑫諾動態2021-10-19
      [摘要]鑫諾法評|基于《數據安全法》的數據分類分級方法研究

      本文轉自《信息安全研究》 2021年 第7卷 第10期


      作者:高磊1  趙章界1  林野麗2  冉祥棟3 

      1(北京市大數據中心, 北京 100101) 

      2(北京市鑫諾律師事務所, 北京 100053)

      3(中電長城網際系統應用有限公司, 北京 102209)


      摘要

      《中華人民共和國數據安全法》(以下簡稱《數據安全法》)已正式出臺,明確規定國家建立數據分類分級保護制度,對數據實行分類分級保護。但目前我國數據分類分級相關標準規范較為欠缺,各行業在數據分類分級方面可借鑒的實踐經驗較為不足,如何將數據分類分級保護工作有效落地實施,仍是比較棘手的問題。本文以《數據安全法》第二十一條為基礎,分析數據遭受破壞后的影響對象、影響廣度、影響深度等影響因素,提出數據分類、數據分級的原則和方法,并根據數據的應用場景、行業特點等,給出一種數據分類和數據分級相結合的實施路徑,為各行業數據分類分級保護工作提供一定的參考。

      關鍵詞 數據安全;數據分類;數據分級;影響因素;實施路徑


      引言

      《數據安全法》的出臺具有重要里程碑意義,一方面標志著數據安全已在法律層面上升為國家安全,和國防安全、網絡安全一樣同等重要;另一方面也標志著數字經濟野蠻生長的時代已然過去,安全合規將成為未來發展的必然趨勢?!稊祿踩ā返诙粭l明確規定,國家建立數據分類分級保護制度,對數據實行分類分級保護,也就意味著在法律層面,數據分類分級工作已經成為包括政府、企事業單位等各行業開展數據處理活動必須遵守的義務。

      近年來,關于數據分類分級保護的討論一直持續升溫,如基于業務和數據敏感度的[1]、基于美國的受控非密信息管理制度的[2]、基于元數據管理的[3]以及在金融[4-5]、醫療[6-7]、政務[8-10]等領域也有相關研究基礎,以上數據分類分級方法一般是根據數據的敏感屬性和安全保護要求等因素對數據分類和數據級別進行劃分,具有一定的參考價值。本文將在《數據安全法》的基礎上,對數據分類分級進行深入探究,從數據處理活動的合規性視角出發,針對數據分類和數據分級分別提出較為細粒度的原則和方法,并以數據項為基礎單元給出數據分類和數據分級相結合的實施路徑和實踐經驗,以期達到更好的數據分類分級實施效果。

      1

      數據分類分級的意義

      根據《數據安全法》第七、十一、十三等有關規定,對數據進行分類分級具有重要的現實意義:

      1)促進數字經濟發展的穩定因素。數據資源是重要的生產要素,安全、合規、有序地利用好數據資源是推進數字經濟蓬勃發展的重要保證,而數據分類分級能夠對數據進行精細化、規范化管理,避免陷入雜亂無序的狀態。

      2)建立數據流通規則的先決條件。數據只有流動起來才會具有價值,明確數據流通的要求、流程和要點,建立配套的流通規則是開展各項工作的前提條件,而數據分類分級又是這一前提的先決條件,因為規則制定要與數據的類型和級別相對應。

      3)開展數據安全保護的最佳實踐。數據分類分級是數據安全保護的重要抓手,目前我國部分行業和地區已經開始了數據分類分級制度的建設和實踐,并取得較大突破和進展[11],根據數據類型特點、數據級別高低確定數據應當采取的技術手段和管理措施,能夠很好地實現數據安全與充分利用的有效平衡。

      數據分類分級工作意義重大,需要科學、合理地進行規劃和設計,提出切實可行的原則和方法,并在實施過程中應兼顧數據應用場景、業務需要、安全屬性、合規性保護要求等諸多方面?;谝陨峡紤],下面將分別針對數據分類和數據分級思路、原則和方法進行詳細描述。

      2

      數據分類方法

      2.1  數據分類思路

      數據可以根據多種維度進行分類,如根據數據的主體可分為個人信息、黨政機關數據、企業數據、社會團體數據等;根據應用場景可分為金融數據、交通數據、醫療數據、教育數據、政務數據等;根據敏感屬性可分為高敏感數據、較敏感數據和低敏感數據等;根據重要程度可分為關鍵數據、重要數據、一般數據等。但不論依據何種維度,數據的分類應服務于業務應用和安全保護,并且不能隨意分類,而應當遵循一定的分類原則。

      2.2  數據分類原則

      為確保數據分類的科學性、合規性和適用性,便于各行業參考實施,應當遵循以下原則:

      1)法律屬性原則。數據分類應首先考慮現有法律、法規及規章層面對數據的既有分類,即應首先考慮不同數據的法律屬性,以便明確和落實相關主體對不同法律屬性的數據進行處理時的特別合法性或限制性要求。

      2)體系性原則。數據分類應建立層層劃分、層層隸屬的、從整體到部分的分類體系,且體系中劃分在不同類型的數據相對獨立,同一層級的數據類別之間相斥。

      3)穩定性原則。應選擇分類對象最的穩定的本質特征作為數據分類的基礎和依據,數據分類還應適用于業務應用,方便開展各類數據處理活動。

      4)規范性原則。數據分類應遵循國家法律法規、標準規范以及行業領域制定行業條例和行業標準的有關要求,并符合組織內部的管理制度和安全策略。

      5)可擴展性原則。數據分類結果應可根據法律法規的新增規定或新頒布法律的規定進行相應擴展,即在基本分類的基礎上劃分出特定類型。

      2.3  數據類型劃分

      根據《數據安全法》第二十一條:“…國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護…”可知,重要數據是需要首先區分的數據類型,因此可作為一類,個人信息由于其明顯的可識別特征也可作為一類。我國十四五規劃和2035年遠景目標綱要提出公共數據開放共享相關要求,標志著公共數據開放已成為國家重要戰略規劃內容之一[12],對于公共數據管理主體(本文指通過依法履行職責、提供公共服務而產生或處理各類數據的各級行政機關以及具有公共管理和服務職能的企事業單位)來說,應當識別出需要開放的公共數據、釋放公共數據的社會價值;對于其他的數據處理者來說,公共開放數據基于其獲得是有條件還是無條件,也可能需要遵循不同的合規義務,因此公共開放數據也可作為一類。此外,還存在諸如組織內部業務數據、商業秘密等既非重要數據,又不是個人信息,也不涉及公共開放的數據,這些數據可歸為其他數據。綜上,數據可劃分為重要數據、個人信息、公共開放數據、其他數據等4種基本類型,各類型數據的描述如表1所示。

      表1.png

      數據分類是體系化結構,基本分類還可繼續劃分子類、子類的子類等,如根據《數據安全法》第二十一條:“…關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度…”的規定,重要數據可分為核心數據和非核心數據,核心數據還可根據不同地區、行業等再進行細分;根據《信息安全技術 個人信息安全規范》附錄A[13],個人信息可分為個人身份信息、個人生物識別信息、個人健康生理信息等10余個類型,還可根據敏感屬性分為高敏感、較敏感和低敏感個人信息等;根據數據開放的風險程度,可將公共開放數據分為無條件開放、有條件開放兩類;根據行業標準[14]、地方法規、組織內部規章制度等,可將其他數據分門別類

      3

      數據分級方法

      3.1  數據分級思路

      對于結構化數據,數據級別是指數據項(數據庫表的某一列)或數據項集合(數據庫表的多個列)的級別;對于非結構化數據,數據級別一般是指某個文件或文件集合的級別。數據分級的顆粒度不能太粗,如僅分為2個級別,容易導致“一刀切”,缺乏精細化,如級別劃分太細,實施起來較為復雜,缺乏可操作性,因此數據級別以4~5級為宜。數據級別的取值在遵循法律法規及相應標準規范的基礎上可以靈活處理。例如,采用問卷調查的方式[15],根據調研結果適當調整,這樣會具有較好的應用效果。

      數據級別的判定應綜合考慮數據的應用場景、重要程度、遭受破壞后的影響等多個因素,并采用定性和定量相結合的方法,力求數據級別準確合理。如果沒有特殊指出,本文所討論的數據級別都是指數據的安全級別。

      3.2  數據分級原則

      數據分級應遵循以下原則:

      1)安全屬性原則。數據分級的主要目的是為了實施數據安全保護,因此數據級別應與數據的安全屬性(如保密性、完整性、可用性)密切關聯。

      2)結果導向原則。數據級別應與數據遭受破壞后的結果相吻合,結果越嚴重,數據級別應越高。

      3)綜合判定原則。數據級別應充分考慮數據應用場景、數據項組合情況、數據量大小等因素,力求數據分級準確合理。

      4)棄低取高原則。針對數據項的定級,應取該數據項所有判定結果中級別的最高值;針對數據項集合的定級,應取該數據項集合中所有數據項級別的最高值。

      3.3  數據級別判定

      數據級別主要取決于數據發生泄露、篡改、丟失或濫用后的影響對象、影響廣度、影響深度等影響因素,各因素及其相關描述如下:

      3.3.1  影響對象

      根據《數據安全法》第二十一條:“……根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護…”可知,影響對象包括國家安全、公共利益、個人合法權益和組織合法權益四類,相關描述如表2所示:

      表2.png

      需指出的是,本文中的影響對象是抽象概念,需要現實中具體的對象來進行對應。國家安全對應的是社會穩定、經濟運行等可衡量的宏觀指標;公共利益對應的是公眾;個人合法權益對應的是每個自然人;組織合法權益對應的則是政府機關、企事業單位以及其他組織等。

      3.3.2  影響廣度

      影響廣度可理解為影響規模,根據規模大小可分為較小范圍、較大范圍和超大范圍,相關描述如表3所示:

      表3.png

      較小范圍不涉及國家安全和公共利益,僅對個人、組織合法權益造成影響,但能夠影響的組織數量相當有限,影響的自然人數量也不會超過一定規模。對影響的自然人數量的界定參考了《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中第五條:“非法獲取、出售或者提供公民個人信息,具有下列情形之一的,應當認定為刑法第二百五十三條之一規定的‘情節嚴重’:……(三)非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的;(四)非法獲取、出售或者提供住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息五百條以上的;(五)非法獲取、出售或者提供第三項、第四項規定以外的公民個人信息五千條以上的……”[16],并將各情形的數量和數據敏感度相對應。較大范圍不涉及國家安全,但涉及公共利益,即影響的組織及數量與公共利益存在直接或間接的關系,影響的自然人數量也具有一定規模。超大范圍是一個宏觀概念,涉及國家安全,而對影響自然人數量的界定參考了國家互聯網信息辦公室《網絡安全審查辦法(修訂草案征求意見稿)》中第六條:“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查?!?/span>[17]

      3.3.3  影響深度

      根據事件的嚴重性,數據的安全性遭到破壞后可能會對影響對象造成輕微、一般、嚴重和特別嚴重等4種深度的影響,相關描述如表4所示:

      表4.png

      影響深度的判定帶有一定的主觀性,應根據數據的應用場景、重要程度、流通性等進行綜合評判,各行業還應結合行業標準給出具體判定準則和裁量依據。

      3.4  數據級別與影響因素的對應關系

      綜上所述,根據數據的安全性遭到破壞后,影響對象、影響廣度、影響深度的不同,可對數據的級別進行區分,本文采用矩陣法將數據級別與影響因素進行一一對應,具體對應關系如圖1所示:

      圖1.png

      圖1  數據級別與影響因素的對應關系

      本文將數據級別分為4級,級別越高,數據越重要,對其安全性要求就越高。此外,由于較小范圍不適用于公共利益,較小范圍、較大范圍不適用于國家安全,因此相應情形做不適用處理, 即用“N/A”表示。結合表1描述及圖1的劃分方法,可得出如下表所示的數據類型和級別的對應關系:

      表5.png

      如表5所示,重要數據由于影響到國家安全,其數據級別至少為三級,其他類型的數據均涵蓋一至四級。在實際分級中,考慮到應用場景、數據敏感程度等因素,建議公共開放數據和其他數據的級別范圍定為一至三級,如需要特別指出或重點防護的,可定為四級,但同時應采取配套的安全措施。

      4

      數據分類分級實踐

      4.1  數據分類分級實施路徑

      由本文給出的數據分類和數據分級方法可知,開展數據分類分級工作的最小實施單元是數據項,在梳理和分析數據項類型和級別的基礎上建立完善的數據分類分級臺賬,如圖2所示:

      圖2.png

      圖2  數據分類分級臺賬

      具體實施路徑(步驟)如下:

      1)識別數據范圍。通過調研分析,理清家底,明確開展擬數據分類分級的數據項范圍。

      2)梳理形成數據初始臺賬。根據業務應用情況,匯總梳理各數據項名稱、數據量大小、數據安全屬性等基本要素。

      3)劃分數據基本類型、子類。按照是否屬于國家或各行業、地區重要數據目錄中的數據類別、是否屬于個人信息、以及是否應予開放(針對公共數據管理主體)等條件將數據項(或數據項集合)劃分為四個基本類型,然后再根據各類型特點繼續劃分為若干個子類。

      4)補充完善數據臺賬。根據數據類型、子類劃分情況,形成數據分類臺賬,補充完善數據臺賬,使各數據項和數據類型一一對應。

      5)初步判定數據級別。將子類中的每個數據項逐一進行級別判定,首先判定影響對象(1個數據項可能有多個影響對象),其次判定影響廣度(1個影響對象對應1個影響廣度),最后判定影響深度(1個影響對象對應1個影響深度),形成數據項級別(可能會有多個級別)清單。數據級別中各影響因素的判定方法包括專家研判、內部評審、以往案例參考等。

      6)確定數據最終級別。根據安全級別棄低取高的原則,某個數據項(或數據項集合)的最終級別為所有判定結果中數值最高的那個級別。

      7)形成數據分類分級臺賬。根據最終的數據項級別,補充完善數據臺賬,使各數據項的類型、級別相對應。

      值得注意的是,數據的類型和級別可能會在處理(如脫敏、去標識、聚合分析等)過程中發生變化,這時應當按照圖2的實施路徑對涉及的數據項(或數據項集合)的類型和級別進行重新判定和更新,并更新相應的數據分類分級臺賬信息。

      4.2  典型業務應用場景實踐

      為檢驗該實施路徑的可行性,選取了某企業快遞業務為試點應用場景,梳理了該業務涉及的數據范圍,利用本文提出的數據分類和數據分級方法逐一進行驗證,建立了數據分類分級臺賬,收到良好效果,具體結果如圖3所示:

      圖3.png

      圖3  某企業快遞業務數據分類分級實踐示例

      如圖3所示,該項業務應用場景涉及的數據可分為個人信息、公共開放數據、其他數據3類(由于本地區、本行業尚未出臺重要數據目錄,因此暫不考慮重要數據)。由于該企業非公共數據管理主體,在判定影響對象時,僅考慮個人和組織合法權益,對公共利益、國家安全的影響暫不考慮。針對個人信息,由于該企業用戶數量超過1000萬,部分個人信息的影響廣度判定為超大范圍,其他個人信息根據實際數量進行影響廣度的判定。影響深度的判定結合專家經驗以及與該企業相關負責人充分溝通的基礎上進行,并根據矩陣法確定各類數據的數據項級別,最終形成該業務場景下的數據分類分級臺賬。

      4

      數據分類分級實踐

      數字經濟蓬勃發展的今天,數據分類分級顯得尤為重要,它是一個值得學者們不斷推敲完善的研究方向。本文基于《數據安全法》有關規定,以數據遭受破壞后的影響對象、影響廣度和影響深度為抓手,提出較為細粒度的數據分類、數據分級的原則和方法,并給出數據分類與數據分級相結合的實施路徑,對各行業落地實施數據分類分級工作能夠起到一定的指導作用。


      參 考 文 獻

      [1] 張芬. 大數據時代數據的分類分級管理及安全防護. 計算機產品與流通, 2019, (01):129

      [2] 侯利陽, 賀斯邁. 如何對數據進行分類分級保護. 檢察風云, 2020, (19):14-15

      [3] 陳興躍. 數據分級分類正式入法具有重大實踐指導意義[J]. 信息安全研究, 2020, 6(10):949-952

      [4] 丁麗媛. 基于數據生命周期的金融數據安全管理研究. 信息安全研究, 2018, 4(06):548-554

      [5] 楊富玉. 推動金融數據標準化建設. 中國金融, 2020, (22):29-31

      [6] 肖忠良, 李默軒, 李晶. 健康醫療大數據的安全機制研究. 無線互聯科技, 2019, 36(03):29-31

      [7] 楊朝暉, 王心, 徐香蘭. 醫療健康大數據分類及問題探討. 衛生經濟研究, 2019, 16(05):33-34

      [8] 周君, 王顯強. 新型智慧城市下政務數據安全管理的研究. 信息通信技術與政策, 2020, (03):29-33

      [9] 王曉牛, 鄧舜怡, 李夢穎, 陳任杰. 大數據時代我國個人信息權利化保護制度研究——基于政府數據融合背景. 信息安全研究, 2020, 6(12):1088-1100

      [10] 梁玥. 政府數據開放與公共數據治理的法律機制. 江漢論壇, 2021, (08):127-130

      [11] 李玉亮. 數據分類分級的現狀與發展. 中國信息安全, 2021, (05):55-56

      [12] 王新明, 桓德銘, 鄒敏, 等. 我國公共數據開放現狀及對策研究. 江蘇科技信息, 2021, 38(25):40-43

      [13] 中國國家標準化管理委員會. GB/T 35273-2020 信息安全技術 個人信息安全規范[S].北京:中國標準出版社,2020

      [14] 李松濤, 謝宗曉. 數據分類/分級及其相關標準解析. 中國質量與標準導報, 2019, (04):14-16

      [15] 婁培, 劉莉, 陳先來, 等. 基于問卷調查的醫療數據分類分級研究. 中華醫學圖書情報雜志, 2018, 27(06):22-27,80

      [16] 中華人民共和國最高人民檢察院. 最高人民法院 最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋[EB/OL].(2017-05-09)[2021-09-01].https://www.spp.gov.cn/xwfbh/wsfbt/201705/t20170509_190088.shtml

      [17] 中共中央網絡安全和信息化委員會辦公室》. 國家互聯網信息辦公室關于《網絡安全審查辦法(修訂草案征求意見稿)》公開征求意見的通知[EB/OL].(2021-07-10)[2021-09-01]. https://www.cac.gov.cn/2021-07/10/c_1627503724456684.htm


      相關律師

      手機分享

      中文无码一区二区三区在线观看,18禁免费无码无遮挡不卡网站,成人欧美一区二区三区黑人