陳 磊，彭理云，單博深，左曉棟

(1.中國工程院戰(zhàn)略咨詢中心，北京 100088；2.清華大學科研院所，北京 100084；3.中國科學技術大學，安徽 合肥 230026)

0 引言

當前，數(shù)據(jù)已經成為新型生產要素，數(shù)據(jù)安全則深刻影響經濟運行乃至國家安全。為了進一步提高數(shù)據(jù)安全治理能力，我國于2021年9月發(fā)布實施了《數(shù)據(jù)安全法》，快速制定了一系列數(shù)據(jù)安全制度細則?！爸匾獢?shù)據(jù)”概念是數(shù)據(jù)安全制度的核心，也是數(shù)據(jù)安全監(jiān)管的主要對象。為了明確對重要數(shù)據(jù)的基線安全要求，全國信安標委正在組織編制國家標準《信息安全技術 重要數(shù)據(jù)處理安全要求》，并已于近日公開征求意見。本文介紹了該標準的編制思路。

1 標準編制背景

隨著信息化發(fā)展，海量數(shù)據(jù)加速生產和匯聚，已經成為了國家基礎性戰(zhàn)略資源，數(shù)據(jù)安全成為國家網絡安全工作的一項重點[1-2]。按照數(shù)據(jù)安全的維度，數(shù)據(jù)可分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)等。重要數(shù)據(jù)直接影響國家安全且分布廣泛，遍布各種規(guī)模的組織，其一旦被泄露、損毀、篡改、濫用將可能造成嚴重后果，進而危害國家安全與公共利益[3-4]。

近年來國家出臺并實施了一系列的法律法規(guī)文件，以提高對重要數(shù)據(jù)的治理能力。2016年實施的《網絡安全法》首次對重要數(shù)據(jù)保護提出要求[5]；2021年實施的《數(shù)據(jù)安全法》要求建立數(shù)據(jù)分類分級保護制度，對重要數(shù)據(jù)施行重點保護[6]；同年國家互聯(lián)網信息辦公室對《網絡數(shù)據(jù)安全管理條例》公開征求意見，該文件擬設立一系列重要數(shù)據(jù)安全保護制度。此外，《網絡安全審查辦法》《數(shù)據(jù)出境安全評估辦法》等文件也對重要數(shù)據(jù)保護作出了相關規(guī)定。

為落實國家對重要數(shù)據(jù)保護的相關要求，業(yè)界迫切需要一部國家標準，以具體指導各行業(yè)規(guī)范地處理重要數(shù)據(jù)[7-8]。該標準將對重要數(shù)據(jù)處理者提出安全要求，也將為相關組織對重要數(shù)據(jù)處理者開展安全監(jiān)管活動提供評估參考。

2 標準編制過程

“重要數(shù)據(jù)”是我國首次提出的概念，目前尚未成為一個國際通用詞匯。但從國際數(shù)據(jù)保護的趨勢來看，除涉密信息與個人信息范圍外，世界各國也都在加強對其他一些特定數(shù)據(jù)的保護。編制組深入閱讀理解了國內外法律法規(guī)及標準文件的相應要求，并在此基礎上開展了標準的具體編制工作。

按照全國信安標委標準申報立項流程，編制組自2022年3月形成標準草案V1.0版本并提交答辯以來，不斷修改完善標準文件內容，于2022年10月通過了信安標委標準立項。此后開展了標準試點應用工作，結合試點反饋結果及專家意見，最終形成了標準征求意見稿，已于近日公開征求意見。

3 標準編制原則

該標準旨在指導數(shù)據(jù)處理者落實《數(shù)據(jù)安全法》及重要數(shù)據(jù)安全保護制度的相關要求。編制組首先研究了兩類基本問題：數(shù)據(jù)安全與基礎性網絡安全之間的關系問題，重要數(shù)據(jù)安全與數(shù)據(jù)安全之間的關系問題。這兩類問題直接關系整部標準的編制思路，也決定了標準的定位與標準內容范圍。

3.1 數(shù)據(jù)安全與基礎性網絡安全之間的關系

數(shù)據(jù)安全包含以下四方面內涵，不能將數(shù)據(jù)安全單純看作網絡安全的組成部分。

(1)環(huán)境安全。數(shù)據(jù)安全與其所處的網絡和系統(tǒng)安全密切相關，如果網絡系統(tǒng)遭到惡意入侵，則系統(tǒng)內數(shù)據(jù)的安全無從談起。因此在這一層面上，網絡安全與數(shù)據(jù)安全是密切相關且無法切割的。

(2)資產安全，即數(shù)據(jù)自身安全。這主要體現(xiàn)在數(shù)據(jù)自身是否能夠防范攻擊、篡改、竊取等惡意網絡行為。傳統(tǒng)上可以通過加密、脫敏等技術手段及措施提高數(shù)據(jù)資產的安全保護水平。

(3)行為安全，即數(shù)據(jù)處理活動是否合法。數(shù)據(jù)處理組織在提高數(shù)據(jù)安全外部防護水平的同時，是否能夠嚴格遵守法律法規(guī)，杜絕在數(shù)據(jù)處理過程中出現(xiàn)越權、專權乃至監(jiān)守自盜的情況，此類問題至關重要。

(4)生產要素安全。為了更好地釋放數(shù)據(jù)的潛在價值，需要解決數(shù)據(jù)確權授權、數(shù)據(jù)定價、數(shù)據(jù)開發(fā)利用主體選擇、數(shù)據(jù)開發(fā)利用過程監(jiān)管等一系列問題，這是當前數(shù)據(jù)安全問題中亟需解決的痛點。

重要數(shù)據(jù)安全處理要求應當統(tǒng)籌考慮以上四方面內容，而不能僅考慮重要數(shù)據(jù)生命周期過程中的安全處理要求。由于目前已存在大量有關數(shù)據(jù)環(huán)境安全的標準規(guī)范，故本標準不在該方向過多展開，但仍需強調三個方面：一是數(shù)據(jù)處理者應當加強數(shù)據(jù)處理、傳輸網絡、存儲環(huán)境等系統(tǒng)組成部分的安全防護能力，確保處理重要數(shù)據(jù)的系統(tǒng)滿足網絡安全等級保護三級系統(tǒng)以上的安全標準；二是數(shù)據(jù)處理者應當使用密碼算法對重要數(shù)據(jù)與核心數(shù)據(jù)進行保護；三是數(shù)據(jù)處理者使用的云服務應當符合國家關于云計算服務安全管理的規(guī)定。

3.2 重要數(shù)據(jù)安全與數(shù)據(jù)安全之間的關系

近年來，我國網絡安全標準化工作加大了對數(shù)據(jù)安全標準制修訂的支持，每年均有相當大比例的指標用于委托編制數(shù)據(jù)安全標準，常規(guī)性的數(shù)據(jù)安全要求已不必在重要數(shù)據(jù)安全標準中贅述。故本標準從以下四個方面突出重要數(shù)據(jù)處理安全要求相較于數(shù)據(jù)安全處理要求的特殊性：一是在安全保護強度上，重要數(shù)據(jù)安全處理要求要嚴于普通數(shù)據(jù)安全處理要求；二是在管理制度上，重要數(shù)據(jù)安全處理要求要嚴于普通數(shù)據(jù)安全處理要求；三是在合規(guī)要求上，凡對于重要數(shù)據(jù)安全處理在法律法規(guī)層面有明確規(guī)定的，均應通過標準的形式予以細化；四是在配合監(jiān)管上，重要數(shù)據(jù)處理者應承擔其特定的法律義務。

4 標準主要內容

編制組從三個維度，即數(shù)據(jù)所在的網絡與系統(tǒng)安全、數(shù)據(jù)處理活動生命周期安全和數(shù)據(jù)處理者所在組織的運行與管理安全出發(fā)，對重要數(shù)據(jù)處理提出安全要求。

4.1 設施安全

標準對處理重要數(shù)據(jù)過程中使用的信息系統(tǒng)、云平臺等網絡設施提出了安全要求。處理重要數(shù)據(jù)的系統(tǒng)應滿足國標《網絡安全等級保護定級指南》(GB/T 22239—2019)中對網絡安全等級保護三級系統(tǒng)的安全要求；當重要數(shù)據(jù)處理者使用到云服務時，應首先論證重要數(shù)據(jù)上云的必要性，并重點評估云計算服務提供者的安全可信性以及云服務平臺的安全狀況。禁止于存在不可接受的安全風險的云服務平臺上處理重要數(shù)據(jù)。

4.2 數(shù)據(jù)處理活動的安全

數(shù)據(jù)的生命周期包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動，各活動之間有明確的邊界，能夠從邏輯上對各階段進行嚴格的區(qū)分。從安全需求的角度來看，對于密切相關的部分活動具有同樣適用的安全要求。因此，編制組對數(shù)據(jù)的生命周期進行了合并，僅保留了收集、存儲、使用和加工、傳輸與提供、公開和刪除六個活動，并對各活動提出了具體的安全要求。

(1)收集活動

標準從數(shù)據(jù)采集過程的合法性、數(shù)據(jù)采集質量及落實國家數(shù)據(jù)安全分類分級制度三個方面提出要求。數(shù)據(jù)處理者應當按照法律法規(guī)的要求規(guī)范數(shù)據(jù)收集程序，明確收集數(shù)據(jù)的目的、范圍、頻度、方式及存儲期限，并對數(shù)據(jù)收集過程進行安全性評估。在國家和行業(yè)主管監(jiān)管部門有關數(shù)據(jù)分類分級的規(guī)定下，結合本組織的具體情況，充分考慮數(shù)據(jù)特征、業(yè)務類型等因素，進一步制定、落實并定期更新本組織的數(shù)據(jù)分類分級管理制度。

(2)存儲活動

標準在重要數(shù)據(jù)存儲管理、存儲位置、存儲期限、備份與恢復四個方面提出要求。重要數(shù)據(jù)處理者應當制定重要數(shù)據(jù)存儲管理制度，對安全保護、訪問流程等過程做出明確的規(guī)定，采用密碼技術等手段保護重要數(shù)據(jù)的完整性與保密性。數(shù)據(jù)處理者應在公共信息網絡與存儲系統(tǒng)之間提供邏輯隔離措施，落實在境內收集和產生的重要數(shù)據(jù)不得存儲于境外服務器的要求，從時間和空間兩個維度上對重要數(shù)據(jù)進行安全管控。同時應制定重要數(shù)據(jù)備份與恢復計劃，定期開展數(shù)據(jù)恢復實戰(zhàn)演練并及時評估數(shù)據(jù)恢復質量，避免因重要數(shù)據(jù)丟失、損毀而導致組織業(yè)務中斷乃至終止等情況的發(fā)生。

(3)使用與加工活動

標準在重要數(shù)據(jù)的訪問控制、安全評估、保密審查等方面提出要求。重要數(shù)據(jù)處理者應當遵循最小特權、職責分離等原則，對重要數(shù)據(jù)制定訪問控制策略，建立統(tǒng)一身份認證和訪問管理平臺，嚴格限制重要數(shù)據(jù)所在系統(tǒng)中特權賬號的設置與使用。同時應當制定重要數(shù)據(jù)安全評估制度，在重要數(shù)據(jù)使用加工前對使用目的、范圍、方式、人員、防護措施等信息進行評估，并將評估結果交由該組織數(shù)據(jù)安全負責人進行審批。數(shù)據(jù)處理者應當建立保密審查制度，按照國家有關規(guī)定對數(shù)據(jù)加工結果進行審查。當審查結果中發(fā)現(xiàn)國家秘密信息時，應當及時上報并按照相關保密規(guī)定處理，避免出現(xiàn)因重要數(shù)據(jù)匯集而泄露國家秘密信息的情況。

(4)傳輸與提供活動

標準在法律文件、評估審批、監(jiān)督保護、數(shù)據(jù)交易、接收方義務、跨境傳輸?shù)确矫鎸χ匾獢?shù)據(jù)處理提出安全要求。數(shù)據(jù)處理者在對外提供或共享重要數(shù)據(jù)時，應對數(shù)據(jù)使用目的、范圍、方式、數(shù)據(jù)量、可能造成的安全風險、接收方誠信狀況、守法情況、安全防護能力、人員情況等信息進行評估，與數(shù)據(jù)接收方簽訂重要數(shù)據(jù)安全處理合同等法律文件，并監(jiān)督接收方履行安全保護義務。在傳輸重要數(shù)據(jù)時，雙方應在鑒別兩端主體身份的基礎上，采取加密、防重放等措施建立安全通道，并在不同網絡區(qū)域間建立安全隔離，確保數(shù)據(jù)傳輸過程中的保密性、安全性及不可否認性。當存在重要數(shù)據(jù)及其衍生數(shù)據(jù)的交易活動時，數(shù)據(jù)處理者應對數(shù)據(jù)交易的全過程進行審計，并建立追溯數(shù)據(jù)交易過程的能力。當數(shù)據(jù)處理者向位于境外的數(shù)據(jù)接收者提供重要數(shù)據(jù)時，應按照國家的規(guī)定履行應盡的義務。數(shù)據(jù)接收方應當提供不低于數(shù)據(jù)處理者的數(shù)據(jù)安全保護能力，嚴格履行合同等法律文件所規(guī)定的義務，在不超過約定的目的、范圍、方式的前提下處理重要數(shù)據(jù)，并提供數(shù)據(jù)刪除機制，對超出期限的重要數(shù)據(jù)進行安全處理。

(5)公開活動

標準對數(shù)據(jù)處理者公開重要數(shù)據(jù)及其加工結果的活動提出了安全要求。數(shù)據(jù)處理者應當制定重要數(shù)據(jù)公開管理制度，定時評估公開內容、形式、范圍、期限是否正當、必要，同時評估安全防護和管理措施是否有效。數(shù)據(jù)處理者應定期更新和評估已公開的重要數(shù)據(jù)，對不適宜繼續(xù)公開或超出公開期限的重要數(shù)據(jù)進行召回與銷毀。

(6)刪除活動

標準對數(shù)據(jù)處理者如何安全地刪除重要數(shù)據(jù)提出要求。數(shù)據(jù)處理者應當明確數(shù)據(jù)刪除操作規(guī)范，制定重要數(shù)據(jù)刪除評估與審批程序，開發(fā)數(shù)據(jù)刪除技術與工具，并嚴格按照操作規(guī)范開展重要數(shù)據(jù)的刪除活動。同時建立數(shù)據(jù)刪除效果評估機制，定期檢查數(shù)據(jù)刪除措施的有效性，并維護數(shù)據(jù)刪除過程日志清單。數(shù)據(jù)處理者應制定重要數(shù)據(jù)存儲介質管理制度與介質銷毀管理制度，明確存儲介質的訪問使用管理規(guī)范，并對專有介質進行重點管理。數(shù)據(jù)處理者應對介質訪問、使用、銷毀全過程進行記錄和審計，并定期對檢查銷毀效果及日志記錄。

4.3 數(shù)據(jù)處理活動的安全

目前，很多數(shù)據(jù)安全方案聚焦于網絡安全建設及網絡安全技術應用，往往缺乏對組織運營及管理安全等方面的關注。標準從人員組織、數(shù)據(jù)治理設施、供應鏈管理、應急處理、風險評估、配合監(jiān)督管理六個方面，對開展重要數(shù)據(jù)處理活動的組織提出安全要求，指導各類組織提高自身重要數(shù)據(jù)保護能力。

(1)明確組織相關人員與組織內設機構的職責。數(shù)據(jù)處理者應當成立重要數(shù)據(jù)安全管理機構，并委任專人作為重要數(shù)據(jù)安全負責人。管理機構負責制定數(shù)據(jù)安全管理制度、操作規(guī)程和重要數(shù)據(jù)安全事件應急預案，確保重要數(shù)據(jù)安全管理制度覆蓋全部重要數(shù)據(jù)處理活動。重要數(shù)據(jù)安全負責人應當被賦予充足的資源，以使其能夠獨立履行職責，從而落實本單位重要數(shù)據(jù)保護計劃。組織應當定期開展重要數(shù)據(jù)安全風險監(jiān)測、風險評估及應急演練，同時對參與重要數(shù)據(jù)處理的相關人員進行嚴格的管理。在人員錄用前組織應對其進行安全背景審查，并定期對相關人員進行重要數(shù)據(jù)處理安全培訓及評估考核，以確保其具有足夠的專業(yè)知識與技能。

(2)數(shù)據(jù)治理設施。標準對重要數(shù)據(jù)處理過程中使用到的數(shù)據(jù)治理工具及管理系統(tǒng)提出安全要求。數(shù)據(jù)處理者應當實施數(shù)據(jù)安全治理策略并部署數(shù)據(jù)治理工具，設立數(shù)據(jù)處理活動檢測規(guī)則與安全基線以管理審計數(shù)據(jù)資產活動，并預測識別潛在的數(shù)據(jù)安全風險。同時要求數(shù)據(jù)處理者使用數(shù)據(jù)治理工具，制定并實施本組織范圍內的訪問控制策略，對有權限訪問重要數(shù)據(jù)的人員進行嚴格管理，并使用密鑰及證書管理系統(tǒng)對組織的加解密流程進行統(tǒng)一管理。

(3)供應鏈安全。標準在組織采購、供應商及供應鏈評估三個方面提出安全要求。數(shù)據(jù)處理者應當完善產品服務采購策略，優(yōu)先采購安全可信的網絡產品與服務，確保產品和服務生產交付的安全。同時數(shù)據(jù)處理者應當制定供應鏈安全管理制度，明確供應商管理目標、原則與范圍，劃分供求雙方的數(shù)據(jù)安全責任與義務，在建立信息共享機制、供應商黑名單機制的基礎上，監(jiān)測因采購活動而導致的重要數(shù)據(jù)向供應商轉移的情況。此外，重要數(shù)據(jù)處理者應當制定供應鏈安全評估制度，定期審查供應鏈安全風險，并依據(jù)審查結果及時調整供應商的選擇。

(4)應急處理。數(shù)據(jù)處理者應當建立應急響應中心與技術團隊，建立本組織與主管部門之間關于數(shù)據(jù)安全事件應急處理協(xié)調的溝通渠道，制定重要數(shù)據(jù)安全實踐應急預案與重要數(shù)據(jù)安全事件演練計劃，定期實施應急演練。在發(fā)生數(shù)據(jù)安全事件時，數(shù)據(jù)處理者應及時向上級主管部門報告。

(5)風險評估。數(shù)據(jù)處理者應當建立數(shù)據(jù)安全風險評估制度，明確風險評估流程并定期對重要數(shù)據(jù)處理活動開展評估。評估結果應以風險報告的形式及時報送網信及主管部門。報送內容應包括重要數(shù)據(jù)處理者基本信息，重要數(shù)據(jù)處理目的、規(guī)模、方式、范圍，重要數(shù)據(jù)安全管理制度及實施情況，重要數(shù)據(jù)處理過程中存在的安全風險等方面內容。

(6)配合監(jiān)督管理。數(shù)據(jù)處理者應當制定配合主管部門或執(zhí)法部門進行重要數(shù)據(jù)安全監(jiān)督檢查的流程與規(guī)范，在符合法律程序的條件下，向有關部門開放數(shù)據(jù)訪問并提供技術支持。在有關部門發(fā)現(xiàn)重要數(shù)據(jù)處理活動存在較大安全風險時，數(shù)據(jù)處理者應當根據(jù)有關部門要求暫停業(yè)務以防止風險擴散，并盡快處理安全風險以及時恢復服務。

5 與已有法律、行政法規(guī)、標準規(guī)范間的關系

標準的編制目的是為了配合《數(shù)據(jù)安全法》《網絡數(shù)據(jù)安全管理條例(征求意見稿)》等數(shù)據(jù)安全監(jiān)管法律法規(guī)的落地實施，其規(guī)范對象為電子形式存在的重要數(shù)據(jù)。

標準與《信息安全技術 網絡數(shù)據(jù)分類分級規(guī)則》等其他標準規(guī)范共同構成了數(shù)據(jù)安全處理的重要技術文件體系。標準編制組與國家互聯(lián)網信息辦網絡數(shù)據(jù)管理局保持了密切溝通，且編制組主要成員與《信息安全技術 網絡數(shù)據(jù)分類分級規(guī)則》高度重合，因此工作具有很好的繼承性。

目前，國際上尚無其他與重要數(shù)據(jù)處理相關的標準，因此無法直接采標或者直接借鑒。但實際上，世界各國都在個人信息、國家秘密之外規(guī)定了各自關心的“敏感信息”，且多數(shù)提出了數(shù)據(jù)本地化存儲的要求，嚴格管控此類數(shù)據(jù)的出境。此外，云計算、關鍵信息基礎設施、人工智能等領域的國際標準也在不同程度上涉及網絡安全問題，為本標準的編制提供了經驗借鑒。

6 標準預計影響與未來展望

重要數(shù)據(jù)保護制度是我國數(shù)據(jù)安全工作中一項基礎性、全局性的重大制度。隨著國標《重要數(shù)據(jù)處理安全要求》公開征求意見，關于重要數(shù)據(jù)的兩部國家標準都已揭開面紗。從重要數(shù)據(jù)的識別到對重要數(shù)據(jù)的管理，從重要數(shù)據(jù)安全合規(guī)使用到重要數(shù)據(jù)安全保護，所有的安全要求都要有專業(yè)化、自動化工具的支持?！吨匾獢?shù)據(jù)安全處理要求》國標的出臺，為我國數(shù)據(jù)安全保護制度的具體落實提供了詳細的參考，重要數(shù)據(jù)安全保護這一新產業(yè)方向的發(fā)展已經具備了基本條件，更廣泛的技術手段及監(jiān)管方案正在呼之欲出。

未來，我國應當遵循相關法律法規(guī)的規(guī)定、具體依據(jù)國家標準，全面落實數(shù)據(jù)分類分級保護制度，不斷完善數(shù)據(jù)安全頂層設計，明確數(shù)據(jù)安全保護措施，統(tǒng)籌數(shù)據(jù)安全保護問題與產業(yè)發(fā)展問題。要積極應對數(shù)據(jù)要素在要素市場中面臨的問題，著力解決數(shù)據(jù)產權分置難、流轉交易難、收益分配難、監(jiān)管治理難的“四難”局面。從制度與技術兩個方面入手，認真研究國家數(shù)據(jù)基礎制度的組成及內涵，明確國家數(shù)據(jù)基礎制度落地實施所需的技術，切實維護國家安全與經濟發(fā)展，筑牢國家數(shù)據(jù)安全防線。