金 濤

(清華大學軟件學院 北京 100084)

(清華大學-中國人壽財產保險股份有限公司工業(yè)安全大數據聯合研究中心 北京 100084)

全國人大常委會制定并通過了《中華人民共和國數據安全法》(以下簡稱《數據安全法》)，自2021年9月1日起施行.《數據安全法》就如何保障數據安全和促進數據開發(fā)利用作出了明確規(guī)定，明確了相關罰則.第21條明確規(guī)定了實行數據分類分級保護，并在重要數據概念基礎上進一步提出了國家核心數據概念，實行更加嚴格的重點保護.第27條提出在網絡安全等級保護制度的基礎上做好數據安全保護工作.第53條提出涉密數據的處理遵照《中華人民共和國保守國家秘密法》(以下簡稱《保守國家秘密法》)等法律、行政法規(guī)規(guī)定執(zhí)行.

可以看出，《數據安全法》明確提出了數據分類分級保護的要求，但數據分為幾級，如何分級，目前尚無定論.數字經濟蓬勃發(fā)展，數據分級問題已經成為平衡安全和發(fā)展的重要問題，《數據安全法》第27條和第53條已經為數據分級工作指出了方向.

1 相關工作

雖然在國家層面尚無統(tǒng)一的數據分級劃分，但在不同領域已經開展了相關工作[1-5]，并沉淀為相關標準，代表性工作如下：

2011年發(fā)布的GB/T 26499.1—2011《機械科學數據 第1部分：分級分類方法》，明確了數據分級原則：科學性原則、安全性原則、共享性原則，并將機械科學數據分為7個等級[6].

2016年貴州省發(fā)布的DB52/T 1123—2016《政府數據 數據分類分級指南》，定義了貴州省全省范圍內政府數據資源的分類分級原則和方法，原則包括：科學性原則、穩(wěn)定性原則、實用性原則、擴展性原則[7].

2020年2月工業(yè)和信息化部印發(fā)的《工業(yè)數據分類分級指南(試行)》，將工業(yè)數據分為3個安全級別.

2020年9月中國人民銀行發(fā)布的JR/T 0197—2020《金融數據安全 數據安全分級指南》，給出了數據安全定級原則：合法合規(guī)性原則、可執(zhí)行性原則、時效性原則、自主性原則、差異性原則、客觀性原則，定級主要考慮影響對象和影響程度，將金融數據劃分為5級[9].

2020年11月杭州市發(fā)布的DB3301/T 0322.3—2020《數據資源管理 第3部分：政務數據分類分級》，根據數據的敏感程度和數據遭篡改、破壞、泄露或非法利用后對受侵害客體的影響程度，按照一定原則和方法進行分級；給出了分級分類原則：科學性原則、實用性原則、自主性原則；將數據分為4級：公開數據、一般敏感數據、高度敏感數據、極度敏感數據；以附錄形式給出了不同級別對應的共享屬性(無條件共享、有條件共享、不予共享)和開放屬性(無條件開放、有條件開放、不予開放)以及數據分級保護要點[8].

2020年12月工業(yè)和信息化部發(fā)布了YD/T 3813—2020《基礎電信企業(yè)數據分類分級方法》，規(guī)定了基礎電信企業(yè)數據分類分級原則、數據分類工作流程和方法、數據分級方法，并給出基礎電信企業(yè)數據分類分級示例.給出的分級原則包括安全性、穩(wěn)定性、可執(zhí)行性、時效性、自主性、合理性、客觀性、就高不就低、關聯疊加效應.將電信企業(yè)數據劃分為4級[10].

可見，數據基于安全工作需要劃分為幾級并沒有統(tǒng)一，這不利于數據安全保護工作，不利于數據在確保安全的前提下流通使用，也不利于數字經濟的發(fā)展.

2 數據分級

《數據安全法》明確提出在網絡安全等級保護制度的基礎上進行數據安全保護，秘密數據處理參照《保守國家秘密法》.本節(jié)首先介紹《保守國家秘密法》和等級保護相關內容，進而提出一種數據分級方法.

2.1 秘密數據分級

《保守國家秘密法》將秘密數據劃分為3級：絕密、機密、秘密。不同密級的定級由相應定密程序確定，不同密級的數據保密工作有相關規(guī)范標準明確.

2.2 等級保護分級

2020年發(fā)布的GB/T 22240—2020《信息安全技術 網絡安全等級保護定級指南》，根據等級保護對象的重要程度、受侵害的客體和對客體的侵害程度將等級保護對象的安全保護等級劃分為5級[11].

等級保護對象受侵害的客體以及對客體的侵害程度與等級之間的關系如表1所示:

表1 等保定級要素與等級的關系

等級保護對象主要包括信息系統(tǒng)、通信網絡設施和數據資源等，不涉及秘密對象.可見，等級保護標準已經明確將數據資源作為一種保護對象，故5級劃分同樣適用于數據.

2.3 數據分級劃分

結合2.1節(jié)和2.2節(jié)的內容，根據數據的保密性、完整性、可用性被破壞后受侵害的客體和侵害客體的程度，數據分級劃分如表2所示.

表2 數據分級

按照《數據安全法》要求，數據劃分為涉密數據和非密數據.

涉密數據的分級按照定密程序確定，不同密級數據的安全保護工作遵循相應規(guī)范標準.

非密數據的分級按照等級保護分級，1～5級的定級按照等保定級流程確定，在定級工作過程中不斷完善目錄，明確哪些數據的定級不得低于幾級或是不得高于幾級.由于《網絡安全法》明確提出了重要數據概念，《數據安全法》進一步明確提出了國家核心數據概念，根據《數據安全法》相應法條描述，可以理解為國家核心數據是重要數據中安全級別最高的一類數據，故第5級數據又進一步細分為5.1級非核心重要數據和5.2級國家核心數據，其定級的確定需要依據相關目錄按照相關原則流程確定.

第1～5級不同級別數據的安全保護，涉及系統(tǒng)和網絡層面的，第1～4級可直接按照等級保護第1～4級的要求進行.第4級及以上系統(tǒng)和網絡涉及到關鍵信息基礎設施，而尚在進展中的關鍵信息基礎設施保護相關標準將保護能力劃分為3級，可以對齊到本文數據分級的第4級、5.1級、5.2級，即第4級數據的安全保護涉及系統(tǒng)和網絡層面的，可以結合等保第4級要求和關鍵信息基礎設施保護的能力等級1要求進行，5.1級數據按照關鍵信息基礎設施保護的能力等級2要求進行，5.2級數據按照關鍵信息基礎設施保護的能力等級3要求進行.不同級別數據的安全保護涉及組織、不同數據處理活動要求的，可在修訂的GB/T 35274《大數據服務安全能力要求》中明確.

3 總結與展望

本文圍繞數據分級開展研究工作，分析了已有相關工作，重點介紹了涉密數據分級和等級保護分級與定級，結合2類數據的分級將數據劃分為8級，并對其中的第5級進行了細化分級.這種數據分級很好地結合了實踐中成熟的保密管理和等級保護工作，數據定級工作可操作性強，分級后的數據安全保護工作思路清晰，能充分發(fā)揮標準體系的配套支撐作用.在現有標準工作基礎上，還需要進一步開展工作，制定不同級別數據不同數據處理活動的安全保護要求以及對組織的要求，完善相關目錄.