陳興躍

一、數(shù)據(jù)安全立法恰逢其時(shí)

人類社會(huì)已經(jīng)邁入數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)在社會(huì)經(jīng)濟(jì)中的重要性越來越凸顯。數(shù)據(jù)是新的生產(chǎn)要素，是國家基礎(chǔ)性和戰(zhàn)略性資源。數(shù)據(jù)安全問題影響國家發(fā)展與安全，關(guān)系公眾利益，也與公民個(gè)人權(quán)益密切相關(guān)，需要在法律層面對數(shù)據(jù)的安全保護(hù)作出規(guī)范。

數(shù)據(jù)作為特殊的生產(chǎn)資料和市場要素，其價(jià)值體現(xiàn)需要經(jīng)過數(shù)據(jù)的流動(dòng)，即對數(shù)據(jù)的流轉(zhuǎn)、分享、加工和使用，數(shù)據(jù)在流動(dòng)的過程中被交易、加工和使用，數(shù)據(jù)價(jià)值由此得以體現(xiàn)，并且隨著數(shù)據(jù)的加工和使用，數(shù)據(jù)價(jià)值將被不斷挖掘和放大。

2020年6月28日，《中華人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱“《數(shù)據(jù)安全法（草案）》”）初次提請十三屆全國人大常委會(huì)第二十次會(huì)議審議。7月3日，《數(shù)據(jù)安全法（草案）》在中國人大網(wǎng)公布，公開征求意見?！稊?shù)據(jù)安全法（草案）》中體現(xiàn)了維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)利用并重的立法思想，這也體現(xiàn)了對數(shù)據(jù)要素內(nèi)在特性的科學(xué)認(rèn)知。數(shù)據(jù)安全是數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展前提和基本保障，既要避免過于僵化的“一管就死”，數(shù)據(jù)喪失了流動(dòng)性就無法產(chǎn)生價(jià)值，也就無法發(fā)揮市場要素的作用，也要避免盲目的“一放就亂”，對數(shù)據(jù)不進(jìn)行分級(jí)分類，缺失針對性的管理制度與技術(shù)手段而導(dǎo)致巨大的安全風(fēng)險(xiǎn)。在《數(shù)據(jù)安全法（草案）》中首次對數(shù)據(jù)的分級(jí)分類保護(hù)做出明確要求，這對于指導(dǎo)和落實(shí)數(shù)據(jù)安全保護(hù)工作具有重要意義。

二、如何實(shí)施數(shù)據(jù)分級(jí)分類

針對數(shù)據(jù)要素充分發(fā)揮價(jià)值必須要流動(dòng)這一特性，需要在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理（包括清洗、計(jì)算、分析、可視化等）、數(shù)據(jù)交換、數(shù)據(jù)銷毀等數(shù)據(jù)全生命周期中關(guān)注并切實(shí)落實(shí)安全保障。數(shù)據(jù)的分級(jí)分類管理是實(shí)施數(shù)據(jù)全生命周期安全保護(hù)的重要基礎(chǔ)。只有在科學(xué)、規(guī)范的分級(jí)分類管理基礎(chǔ)上，才能夠有效地平衡數(shù)據(jù)的安全要求與使用需求，才能夠較好地實(shí)現(xiàn)數(shù)據(jù)的風(fēng)險(xiǎn)管理成本與利用效益的平衡，從而為數(shù)據(jù)產(chǎn)業(yè)的快速健康、可持續(xù)發(fā)展奠定堅(jiān)實(shí)基礎(chǔ)。

接下來，探討數(shù)據(jù)分級(jí)分類的基本方法。

《數(shù)據(jù)安全法（草案）》第十九條明確了數(shù)據(jù)分級(jí)分類的基本標(biāo)準(zhǔn)：

① 數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度；

② 數(shù)據(jù)在遭到篡改、破壞、泄露或者非法獲取、非法利用后造成的危害程度。

數(shù)據(jù)分類主要依據(jù)是根據(jù)“關(guān)系”，從業(yè)務(wù)角度出發(fā)，在組織（企事業(yè)單位、政府部門等）理清數(shù)據(jù)家底后，理解數(shù)據(jù)的本質(zhì)、屬性、權(quán)屬及其相關(guān)關(guān)系，清晰了解各個(gè)數(shù)據(jù)是如何被使用的，明確哪些數(shù)據(jù)屬于哪個(gè)業(yè)務(wù)范疇，也就是類別。數(shù)據(jù)分類是按照數(shù)據(jù)資產(chǎn)管理形式，對數(shù)據(jù)進(jìn)行劃分。數(shù)據(jù)分類常用的維度有：監(jiān)管與合規(guī)、業(yè)務(wù)體系、功能單元、項(xiàng)目等。分類的覆蓋范圍需要與業(yè)務(wù)范疇相一致。分類的顆粒度要適合，不能太粗放而導(dǎo)致部分?jǐn)?shù)據(jù)不能準(zhǔn)確歸類，因而達(dá)不到精細(xì)管理的要求，也不能過于細(xì)微而導(dǎo)致出現(xiàn)無數(shù)據(jù)可進(jìn)行歸類的情況，另外，分類還有考慮到業(yè)務(wù)的發(fā)展性，能夠進(jìn)行擴(kuò)展或兼容未來的新數(shù)據(jù)。

數(shù)據(jù)分級(jí)主要依據(jù)是根據(jù)“特征”，是從數(shù)據(jù)安全、隱私保護(hù)和合規(guī)要求的角度進(jìn)行分級(jí)。常用的數(shù)據(jù)分級(jí)方法有：根據(jù)數(shù)據(jù)使用過程中的敏感程度對數(shù)據(jù)進(jìn)行分級(jí)，例如根據(jù)數(shù)據(jù)泄露或被破壞所造成的影響范圍、影響對象、影響程度來進(jìn)行劃分；根據(jù)數(shù)據(jù)的關(guān)鍵性程度對數(shù)據(jù)進(jìn)行分級(jí)，例如根據(jù)數(shù)據(jù)對業(yè)務(wù)的重要程度進(jìn)行劃分；根據(jù)數(shù)據(jù)的司法管轄要求對數(shù)據(jù)進(jìn)行分級(jí)，依據(jù)國內(nèi)外相關(guān)法律的要求進(jìn)行劃分，例如歐盟通用數(shù)據(jù)保護(hù)條例（GDPR，General Data Protection Regulation）對于任何收集、傳輸、保留或處理涉及到歐盟所有成員國內(nèi)的個(gè)人信息的機(jī)構(gòu)組織均提出規(guī)范要求，我國對中國公民個(gè)人信息的跨境流動(dòng)也做了規(guī)范要求。敏感程度不同的數(shù)據(jù)在內(nèi)部使用時(shí)受到的保護(hù)策略不同，對外共享開放的程度也有差異。對于涉密數(shù)據(jù)，遵循國家相關(guān)法規(guī)標(biāo)準(zhǔn)進(jìn)行分級(jí)和管理。

對數(shù)據(jù)分級(jí)要先梳理敏感數(shù)據(jù)域，在常見的梳理方法中，會(huì)將敏感數(shù)據(jù)域劃分為公共敏感數(shù)據(jù)域（法律角度）、行業(yè)敏感數(shù)據(jù)域（行業(yè)規(guī)范角度）、組織敏感數(shù)據(jù)域（內(nèi)部規(guī)范角度）。公共敏感數(shù)據(jù)域和行業(yè)敏感數(shù)據(jù)域的定義可參考相關(guān)法規(guī)和標(biāo)準(zhǔn)，對組織敏感數(shù)據(jù)域的梳理工作就需要依靠參與人員對業(yè)務(wù)系統(tǒng)的理解，如果已經(jīng)具備了元數(shù)據(jù)（Metadata）管理的工作基礎(chǔ)與能力，這將大幅度提升敏感數(shù)據(jù)域梳理工作的效率和準(zhǔn)確性。

數(shù)據(jù)分級(jí)分類覆蓋的數(shù)據(jù)范圍包括：結(jié)構(gòu)化數(shù)據(jù)（例如數(shù)據(jù)庫）、非結(jié)構(gòu)化數(shù)據(jù)（例如文檔、電子郵件、圖片、聲音、影像等）、半結(jié)構(gòu)化數(shù)據(jù)（例如日志文件、XML文檔、JSON文檔、Email等），在物理形態(tài)上包括電子化數(shù)據(jù)和非電子化數(shù)據(jù)。本文主要針對電子化數(shù)據(jù)。

數(shù)據(jù)分級(jí)分類工作的主要實(shí)施步驟：

1. 確定數(shù)據(jù)管理責(zé)任。

2. 創(chuàng)建數(shù)據(jù)分類清單。

3. 定義數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)。

4. 評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)。

5. 制定分級(jí)控制策略。

6. 建立數(shù)據(jù)分級(jí)目錄。

7. 啟動(dòng)安全控制措施。

8. 持續(xù)監(jiān)控和運(yùn)營維護(hù)。

數(shù)據(jù)分級(jí)分類管理應(yīng)當(dāng)是一項(xiàng)持續(xù)性工作，可納入數(shù)據(jù)及數(shù)據(jù)資產(chǎn)運(yùn)營管理的范疇。隨著數(shù)據(jù)量的增長、數(shù)據(jù)域的擴(kuò)展，以及伴隨著業(yè)務(wù)發(fā)展的數(shù)據(jù)使用場景和復(fù)雜度的增加，數(shù)據(jù)分級(jí)分類需按照業(yè)務(wù)發(fā)展需求和法規(guī)標(biāo)準(zhǔn)的要求進(jìn)行適時(shí)調(diào)整。

需要特別指出的是，數(shù)據(jù)分級(jí)分類管理絕不只是為了滿足合規(guī)需求，同時(shí)也是組織業(yè)務(wù)運(yùn)營的要求。數(shù)據(jù)分級(jí)分類管理是提升組織自身信息化水平和業(yè)務(wù)運(yùn)營能力的有效手段，契合組織業(yè)務(wù)特性的數(shù)據(jù)分類可以更好地將數(shù)據(jù)資產(chǎn)化，為組織業(yè)務(wù)發(fā)展提供精準(zhǔn)、高效的數(shù)據(jù)能力支撐；同時(shí)數(shù)據(jù)分級(jí)明確了各個(gè)級(jí)別數(shù)據(jù)的使用范圍、管理方式，以及不同級(jí)別的數(shù)據(jù)在不同場景采取何種安全策略，從而在數(shù)據(jù)安全角度為組織業(yè)務(wù)保駕護(hù)航。

三、結(jié)語

隨著大數(shù)據(jù)技術(shù)的快速推廣，并與云計(jì)算、物聯(lián)網(wǎng)、5G等新技術(shù)融合發(fā)展，數(shù)據(jù)集中成為大趨勢。數(shù)據(jù)集中伴隨著安全風(fēng)險(xiǎn)的聚集，一方面，數(shù)據(jù)集中后數(shù)據(jù)本身的價(jià)值得到大幅度提升，不法分子有更大的潛在利益誘惑對數(shù)據(jù)進(jìn)行泄露、盜取、篡改、破壞。

另一方面，對于集中的重要數(shù)據(jù)，如果由于管理制度不完善、技術(shù)手段薄弱、組織安全意識(shí)薄弱等內(nèi)部因素而導(dǎo)致的數(shù)據(jù)泄露、損毀、丟失等事故，必將對關(guān)鍵系統(tǒng)與核心業(yè)務(wù)的穩(wěn)定、安全運(yùn)行產(chǎn)生巨大負(fù)面影響，并引發(fā)嚴(yán)重?fù)p失。而與國計(jì)民生、國家戰(zhàn)略資源及核心能力等密切相關(guān)的數(shù)據(jù)資料或資產(chǎn)則關(guān)系到國家安全與發(fā)展。數(shù)據(jù)安全保護(hù)在個(gè)人生命財(cái)產(chǎn)與數(shù)字權(quán)益保護(hù)、社會(huì)組織機(jī)構(gòu)網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)空間主權(quán)與國家安全這三個(gè)層面將扮演更重要的角色。

希望《中華人民共和國數(shù)據(jù)安全法》能順利通過審議盡快頒布，大力強(qiáng)化全民數(shù)據(jù)安全保護(hù)意識(shí)，推動(dòng)國家數(shù)據(jù)安全監(jiān)管能力和企事業(yè)單位數(shù)據(jù)安全防護(hù)能力的提升，大幅減少個(gè)人信息、重要數(shù)據(jù)安全事件，為我國數(shù)字經(jīng)濟(jì)快速健康發(fā)展提供強(qiáng)有力的支撐！