饒 偉，李碧秋，任宸瑩，謝玉霞

隨著信息技術(shù)的發(fā)展及其應(yīng)用的加深，各行各業(yè)在生產(chǎn)、經(jīng)營過程中產(chǎn)生的信息逐步以不同形式轉(zhuǎn)化為數(shù)據(jù)資產(chǎn)，在不同網(wǎng)絡(luò)與系統(tǒng)之間流轉(zhuǎn)，促進了數(shù)據(jù)價值鏈的動態(tài)循環(huán)與數(shù)據(jù)增值［1］。但是，在享受數(shù)據(jù)紅利的同時，也不可避免地面臨著數(shù)據(jù)安全治理的拷問。如何在充分發(fā)揮數(shù)據(jù)價值的同時，確保數(shù)據(jù)的安全性，已成為社會普遍關(guān)注的問題。而傳統(tǒng)“一視同仁”的安全思路無法平衡數(shù)據(jù)的利用與保護問題，急需一套新的解決方案來滿足需求。

近年來，國家出臺了多項數(shù)據(jù)安全法律法規(guī)，制定了數(shù)據(jù)安全制度，要求各地區(qū)、各部門對數(shù)據(jù)實施分類分級保護，以保障數(shù)據(jù)的合法有效利用，護航數(shù)字經(jīng)濟發(fā)展。同時，國家發(fā)布了多項數(shù)據(jù)安全標準，指導(dǎo)地方、行業(yè)進行數(shù)據(jù)安全能力建設(shè)。部分企業(yè)已展開了對數(shù)據(jù)分類分級保護的探索，并取得了一定的成果。但由于相關(guān)研究相對匱乏，且實踐時間較短、實踐效果有待驗證，因此制定出一套科學(xué)、有效的、符合企業(yè)自身發(fā)展需求的數(shù)據(jù)分類分級保護方案還有很長的路要走。

本文通過梳理相關(guān)法律法規(guī)對數(shù)據(jù)安全的保護要求，分析國家、行業(yè)標準規(guī)范，探求行業(yè)數(shù)據(jù)分類分級保護規(guī)律，力求為鐵路行業(yè)的數(shù)據(jù)安全治理提供思路。

1 數(shù)據(jù)分類分級保護相關(guān)法律法規(guī)

為規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，我國相繼頒布實施了《中華人民共和國網(wǎng)絡(luò)安全法》［2］（以下簡稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國數(shù)據(jù)安全法》［3］（以下簡稱《數(shù)據(jù)安全法》）、《中華人民共和國個人信息保護法》［4］（以下簡稱《個人信息保護法》）等法律法規(guī)，對數(shù)據(jù)領(lǐng)域展開全方位的保護與監(jiān)管。

2017年6月1日《網(wǎng)絡(luò)安全法》正式施行，是我國網(wǎng)絡(luò)安全管理方面的第一部基礎(chǔ)性立法，確立了國家實行網(wǎng)絡(luò)安全等級保護制度，以制度建設(shè)加強網(wǎng)絡(luò)空間治理，規(guī)范網(wǎng)絡(luò)信息傳播秩序。該法首次提出重要數(shù)據(jù)的概念，已體現(xiàn)出對數(shù)據(jù)實施分類分級保護的思路［5］，并制定了保障網(wǎng)絡(luò)運行安全、網(wǎng)絡(luò)用戶信息安全等措施，強化數(shù)據(jù)安全保障，對構(gòu)建數(shù)據(jù)安全保障體系有著重要的意義。

2021年9月1日《數(shù)據(jù)安全法》正式施行，構(gòu)建了關(guān)于數(shù)據(jù)的基本制度框架，將分類分級策略由“系統(tǒng)”擴展至“數(shù)據(jù)”，并對各類數(shù)據(jù)提出了豐富的保護規(guī)則。此外，《數(shù)據(jù)安全法》還提出“核心數(shù)據(jù)”這一全新的數(shù)據(jù)類型，并規(guī)定對核心數(shù)據(jù)實行更加嚴格的管理制度，這也對數(shù)據(jù)處理者提出了更高的要求［6］。

2021年11月1日《個人信息保護法》正式施行，要求個人信息處理者依據(jù)個人信息的敏感度分類施措，避免個人信息的越權(quán)收集和使用，充分保障個人信息權(quán)益。該法為實現(xiàn)個人信息的精細化管理和保護提供了有效途徑。

國家法律對數(shù)據(jù)的分類分級保護做出原則性規(guī)定，地方、行業(yè)需滿足上述法律規(guī)定的要求，并在此基礎(chǔ)上細化數(shù)據(jù)分類分級保護工作。

2 數(shù)據(jù)分類分級保護國家標準

2.1 數(shù)據(jù)分類分級規(guī)則

2021年12月，全國信息安全標準化技術(shù)委員會發(fā)布了《網(wǎng)絡(luò)安全標準實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》（TC260-PG-20212A）［7］，緊密銜接《數(shù)據(jù)安全法》，充分考慮各行各業(yè)數(shù)據(jù)分類分級的兼容性，給出網(wǎng)絡(luò)數(shù)據(jù)分類分級的原則、框架和方法，分析數(shù)據(jù)遭破壞后的影響程度，并據(jù)此對數(shù)據(jù)進行分級。具體分級規(guī)則見表1。

表1 數(shù)據(jù)分級規(guī)則

2.2 數(shù)據(jù)分類分級保護要求

技術(shù)標準是安全建設(shè)的“尺子”。近年來，國家發(fā)布了多項數(shù)據(jù)安全保護標準及指南，對法律法規(guī)中較為原則性的規(guī)定給予相應(yīng)的指導(dǎo)。

《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》（GB/T 41479—2022）［8］提出了網(wǎng)絡(luò)運營者在網(wǎng)絡(luò)數(shù)據(jù)處理活動中應(yīng)遵循的安全總體要求、安全技術(shù)要求及安全管理要求，以對可能存在的風(fēng)險進行控制和消除?！缎畔踩夹g(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求》（GB/T 39204—2022）［9］提出了整體防控、動態(tài)防護、協(xié)同聯(lián)動的安全保護原則，明確了通信網(wǎng)絡(luò)、計算環(huán)境、供應(yīng)鏈、數(shù)據(jù)等方面的安全防護要求，以支撐業(yè)務(wù)的連續(xù)運行，并給出從風(fēng)險識別到風(fēng)險處置整個過程的系列要求。

針對個人信息，《信息安全技術(shù) 個人信息安全規(guī)范》（GB/T 35273—2020）明確了個人信息在收集、存儲、使用等環(huán)節(jié)的通用安全要求，以及個人敏感信息在傳輸、存儲環(huán)節(jié)的特殊要求［10］。2022年，全國信息安全標準化技術(shù)委員發(fā)布了步態(tài)識別數(shù)據(jù)、基因識別數(shù)據(jù)、聲紋識別數(shù)據(jù)等12 項個人信息安全保護要求，對個人信息安全保護做出進一步說明。

雖然數(shù)據(jù)安全保護相關(guān)標準規(guī)范在逐步豐富，但是安全保護要求仍不夠細致、具體。一方面，安全技術(shù)要求較為寬泛，相關(guān)標準只提出應(yīng)采取加密、訪問控制等措施，未詳細說明應(yīng)采用哪種加密算法或訪問控制方法等；另一方面，規(guī)范對象粒度較粗，僅對重要數(shù)據(jù)、個人信息等提出相關(guān)要求，未對一般數(shù)據(jù)做相應(yīng)規(guī)定，各行業(yè)、領(lǐng)域需在此基礎(chǔ)上結(jié)合自身實際細化保護規(guī)范，合理保障數(shù)據(jù)安全。

3 地方及行業(yè)數(shù)據(jù)分類分級保護實踐分析

3.1 數(shù)據(jù)分類分級保護具有行業(yè)屬性

由于不同行業(yè)之間的信息化發(fā)展水平不同，以及對數(shù)據(jù)分類分級保護的認知存在差異，導(dǎo)致在數(shù)據(jù)安全治理中行業(yè)屬性十分突出。

3.1.1 數(shù)據(jù)分類分級規(guī)則方面

實行數(shù)據(jù)分類分級是保障數(shù)據(jù)安全的前提。為推進數(shù)據(jù)分類分級保護工作的落實，各地方、行業(yè)紛紛制定相關(guān)標準規(guī)范，明確數(shù)據(jù)分類分級方法。地方出臺的標準指南更多聚焦于政務(wù)數(shù)據(jù)和公共數(shù)據(jù)的分類分級，可以將其視為以政府?dāng)?shù)據(jù)為切入點所做的初步嘗試［11］。各行業(yè)的數(shù)據(jù)分類分級規(guī)則在突出行業(yè)特色的同時不斷更新。其中，通信行業(yè)數(shù)據(jù)分級實踐較早，后期在實踐中逐漸查漏補缺、有所補充；金融行業(yè)從《證券期貨數(shù)據(jù)分類分級指引》（JR/T 0158—2018）［12］到《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》（JR/T 0197—2020）［13］，在努力探索統(tǒng)一的數(shù)據(jù)分級體系。地方（以北京為例）、行業(yè)數(shù)據(jù)分級方法對比見表2。

表2 地方、行業(yè)數(shù)據(jù)分級方法對比

可以看出，隨著認識與實踐的不斷推進，各行業(yè)數(shù)據(jù)分級標準在逐步完善，通過明確分類分級工作的原則、方法、定義，進一步細化國家關(guān)于數(shù)據(jù)分類分級工作的要求。但不同行業(yè)標準在一般數(shù)據(jù)的定級考量上存在差異，影響對象、影響范圍、影響程度等方面的具體規(guī)定不一致，級別劃分數(shù)量并不相同。

3.1.2 數(shù)據(jù)分類分級保護方面

數(shù)據(jù)分類分級保護轉(zhuǎn)變了傳統(tǒng)數(shù)據(jù)安全保護理念，對不同重要性和風(fēng)險等級的數(shù)據(jù)采取強弱有別的管控措施，以應(yīng)對數(shù)據(jù)大規(guī)模流轉(zhuǎn)處理下的新型數(shù)據(jù)安全風(fēng)險，兼顧數(shù)據(jù)安全保障和數(shù)據(jù)開發(fā)利用的雙重需求。不同行業(yè)的數(shù)據(jù)分類分級保護及其特點如下。

1）地方政務(wù)更關(guān)注數(shù)據(jù)的開放和共享安全。中共中央、國務(wù)院于2020年3月30日發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》，指出“推進政府?dāng)?shù)據(jù)開放共享”。北京、長春等地在數(shù)據(jù)分級保護標準中，將數(shù)據(jù)共享開放要求作為一個章節(jié)單獨列出，且數(shù)據(jù)共享開放條件相對寬松，如北京政務(wù)數(shù)據(jù)一級數(shù)據(jù)無條件共享，二、三級數(shù)據(jù)原則上有條件共享（如不予共享，應(yīng)當(dāng)有法律、行政法規(guī)的規(guī)定或者相關(guān)政策為依據(jù)），最高級別的數(shù)據(jù)不予共享或允許可用不可見的共享，以促進政務(wù)數(shù)據(jù)的充分共享。

2）以用戶為中心的服務(wù)型行業(yè)更關(guān)注個人信息的安全。金融、通信、醫(yī)療等以用戶為中心的服務(wù)型行業(yè)對個人信息重點保護，金融、通信行業(yè)除了制定通用的行業(yè)數(shù)據(jù)安全保護標準外，均還專門制定了個人信息保護規(guī)范；醫(yī)療行業(yè)雖未制定個人信息保護規(guī)范，但是標準所指的健康醫(yī)療數(shù)據(jù)是個人健康醫(yī)療數(shù)據(jù)，以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)數(shù)據(jù)，實際上也是主要針對個人信息的保護。

3.2 數(shù)據(jù)分類分級保護實踐共性研究

通過具體分析行業(yè)標準對各級數(shù)據(jù)生命周期的安全防護要求，可發(fā)現(xiàn)其中蘊含著一定的規(guī)律：同類數(shù)據(jù)即使數(shù)據(jù)級別不同，其保護要求也具有一致性。

以個人信息為例，對于用戶鑒別信息，雖然金融行業(yè)將該類數(shù)據(jù)定為4 級（JR/T 0223—2021），通信行業(yè)將該類數(shù)據(jù)定為5 級（YD/T 2782—2014），但是2 部標準均要求該類數(shù)據(jù)在采集環(huán)節(jié)應(yīng)采取嚴格加密、接口限制等措施保證數(shù)據(jù)的機密性；傳輸環(huán)節(jié)應(yīng)對傳輸鏈路加密，保證信息不被攔截或盜用；存儲環(huán)節(jié)應(yīng)采用加密、細粒度的訪問控制等措施，確保該類信息不被越權(quán)訪問［17］。對于個人基本信息，金融業(yè)、北京政務(wù)雖對其定級也不同，但都要求采集環(huán)節(jié)需確保采集數(shù)據(jù)符合法律規(guī)定，傳輸環(huán)節(jié)應(yīng)采用校驗技術(shù)保證數(shù)據(jù)的完整性，存儲環(huán)節(jié)應(yīng)具備本地數(shù)據(jù)備份與恢復(fù)功能，保證數(shù)據(jù)的可用性。

另外，對于企業(yè)內(nèi)部信息，如企業(yè)發(fā)展戰(zhàn)略及規(guī)劃數(shù)據(jù)，金融及通信業(yè)都提出采集環(huán)節(jié)需對采集設(shè)備或系統(tǒng)進行增強驗證；傳輸環(huán)節(jié)應(yīng)采用鏈路加密或數(shù)據(jù)內(nèi)容加密措施實現(xiàn)傳輸保密；存儲環(huán)節(jié)應(yīng)采用加密或其他保護措施保障數(shù)據(jù)的保密性和完整性，能夠檢測重要數(shù)據(jù)在存儲過程中的完整性是否受到破壞，并在完整性錯誤時采取必要的恢復(fù)措施［18］。

以上說明同類數(shù)據(jù)在不同行業(yè)中可能受到同等保護，因此，在對某類數(shù)據(jù)制定保護規(guī)范時，可參考行業(yè)標準對該類數(shù)據(jù)的保護規(guī)范。

4 鐵路數(shù)據(jù)分類分級保護

4.1 鐵路數(shù)據(jù)分類分級規(guī)則

安全是鐵路工作的永恒主題［19］。鐵路印發(fā)了數(shù)據(jù)分類分級相關(guān)指南，對鐵路數(shù)據(jù)分類分級方法做了詳細說明，給出鐵路數(shù)據(jù)分類分級的原則、框架和方法，為鐵路相關(guān)單位管理數(shù)據(jù)、保護數(shù)據(jù)提供指引。

數(shù)據(jù)類別由業(yè)務(wù)歸屬分類和業(yè)務(wù)擴展分類兩部分組成。首先確定業(yè)務(wù)歸屬分類，用于明確所屬系統(tǒng)的業(yè)務(wù)類型；其次確定業(yè)務(wù)擴展分類，采用線分類法在業(yè)務(wù)歸屬分類的基礎(chǔ)上對數(shù)據(jù)進一步細分，將業(yè)務(wù)屬性、特征相同或相似的一組數(shù)據(jù)進行歸類，形成多層數(shù)據(jù)類。這種從粗到細、層層細化的分類方法，有助于得到清晰的數(shù)據(jù)分類視圖，便于業(yè)務(wù)數(shù)據(jù)的管理。

在數(shù)據(jù)分類的基礎(chǔ)上，從數(shù)據(jù)安全保護的角度，通過確定影響對象、影響程度2 個分級要素進行分級，基本分級規(guī)則與數(shù)據(jù)分級國家標準一致。實施鐵路數(shù)據(jù)分級時，首先確定分級對象，選擇數(shù)據(jù)分類的任一層級數(shù)據(jù)作為分級對象；其次確定分級對象受到危害后的影響對象及影響程度；最后根據(jù)影響對象和影響程度確定數(shù)據(jù)級別。

在指南TC260-PG-20212A 提出的分級框架下，行業(yè)間數(shù)據(jù)分級規(guī)則存在對應(yīng)關(guān)系。對比鐵路數(shù)據(jù)分類分級方法與金融業(yè)標準JR/T 0223—2021數(shù)據(jù)分類分級方法，鐵路S1 級數(shù)據(jù)和金融業(yè)1 級數(shù)據(jù)在受到破壞后對各影響對象均無危害，鐵路S1 級數(shù)據(jù)與金融業(yè)1 級數(shù)據(jù)對應(yīng)。同理，鐵路S2～S4 級數(shù)據(jù)可分別與金融業(yè)2～4 級對應(yīng)。對比鐵路數(shù)據(jù)分類分級方法與通信行業(yè)YD/T 3813—2020 數(shù)據(jù)分類分級方法，鐵路數(shù)據(jù)S1～S4 級與通信行業(yè)第1 級至第4 級一一對應(yīng)，這種對應(yīng)關(guān)系為鐵路借鑒行業(yè)數(shù)據(jù)分級保護實踐提供了參考路徑。

4.2 鐵路數(shù)據(jù)分類分級保護思路

4.2.1 以國家要求為基礎(chǔ)

嚴格遵守國家數(shù)據(jù)安全相關(guān)法律法規(guī)及國家標準強制性要求，將對不同級別數(shù)據(jù)全生命周期的安全保護要求作為鐵路數(shù)據(jù)安全保護的前提和基礎(chǔ)，深化鐵路數(shù)據(jù)安全治理體系，形成從數(shù)據(jù)管理到數(shù)據(jù)運營全流程的安全框架，確保鐵路數(shù)據(jù)安全“合規(guī)”而行。

4.2.2 以行業(yè)標準為參考

1）研究分析鐵路與其他行業(yè)在同類數(shù)據(jù)級別上的對應(yīng)關(guān)系。各行業(yè)在生產(chǎn)、經(jīng)營、管理的過程中產(chǎn)生的數(shù)據(jù)類別既有重合也有不同，對比研究行業(yè)特色及數(shù)據(jù)分級保護規(guī)范，從數(shù)據(jù)分級要素的定義、級別劃分的規(guī)則，或數(shù)據(jù)內(nèi)容本身2 個角度尋找鐵路與其他行業(yè)同類數(shù)據(jù)在級別上的對應(yīng)關(guān)系。

2）在數(shù)據(jù)級別對應(yīng)關(guān)系的基礎(chǔ)上，參考其他行業(yè)數(shù)據(jù)安全分級保護規(guī)范。整合各類數(shù)據(jù)所有可參考的行業(yè)數(shù)據(jù)生命周期分級保護要求，對每一級別的數(shù)據(jù)選擇大部分行業(yè)都規(guī)定的要求作為本行業(yè)數(shù)據(jù)應(yīng)滿足的要求。

參考行業(yè)標準舉例：從數(shù)據(jù)定級方法出發(fā)，鐵路對S1～S4 級數(shù)據(jù)的保護可參考金融行業(yè)1～4 級數(shù)據(jù)、通信行業(yè)1～4 級數(shù)據(jù)的保護規(guī)范。從數(shù)據(jù)內(nèi)容本身出發(fā)，鐵路對個人信息、企業(yè)發(fā)展戰(zhàn)略及規(guī)劃等數(shù)據(jù)的保護，可參考金融、通信等行業(yè)對這些數(shù)據(jù)的分類分級保護要求。按此思路，找到鐵路數(shù)據(jù)與各行業(yè)數(shù)據(jù)在等級或類別上存在的對應(yīng)關(guān)系，并參考相應(yīng)的數(shù)據(jù)保護規(guī)范，在各級數(shù)據(jù)保護規(guī)范的參考結(jié)果中取交集。

4.2.3 以自身需求為導(dǎo)向

結(jié)合鐵路業(yè)務(wù)特征、數(shù)據(jù)應(yīng)用場景等，補充符合本行業(yè)發(fā)展需求的個性化安全要求。鐵路相較其他行業(yè)，不僅產(chǎn)生和積累了大量旅客出行、貨運物流等相關(guān)數(shù)據(jù)，還涉及調(diào)度指揮、生產(chǎn)作業(yè)等相關(guān)數(shù)據(jù)，因此，需要在參考行業(yè)實踐的基礎(chǔ)上，有針對性地增加其他保護措施。另外，跨國鐵路聯(lián)運業(yè)務(wù)打破了相關(guān)國家之間的信息交互壁壘［20］，同時面臨著數(shù)據(jù)跨境傳輸?shù)陌踩珕栴}，需監(jiān)控跨境數(shù)據(jù)流轉(zhuǎn)路徑和動態(tài)流向。在整個數(shù)據(jù)流轉(zhuǎn)過程中，制定相應(yīng)的安全策略，定期進行風(fēng)險評估，識別數(shù)據(jù)安全風(fēng)險隱患并消除，確保鐵路數(shù)據(jù)的保密性、完整性和可用性。

最后，需在長期實踐中持續(xù)修正、動態(tài)調(diào)整數(shù)據(jù)生命周期安全分級保護規(guī)范，優(yōu)化數(shù)據(jù)安全防護策略［21］，以滿足國家要求及業(yè)務(wù)場景需求。

5 結(jié)束語

通過對數(shù)據(jù)安全保護相關(guān)法律法規(guī)、標準規(guī)范的解讀，分析了數(shù)據(jù)安全合規(guī)性要求以及地方、行業(yè)已開展的實踐，探究了數(shù)據(jù)分類分級保護的發(fā)展變化與實踐規(guī)律，提出行業(yè)實踐參考路線。

雖然當(dāng)前數(shù)據(jù)分類分級保護相關(guān)理論研究和實施制度已有部分成果，但實際操作仍有很大挑戰(zhàn)。比如數(shù)據(jù)分級過程中，人工依據(jù)定級規(guī)則確定數(shù)據(jù)級別存在一定的主觀性，后續(xù)需研究敏感數(shù)據(jù)發(fā)現(xiàn)技術(shù)［22］和數(shù)據(jù)自動分類分級工具，對數(shù)據(jù)資產(chǎn)進行分類分級識別與打標，并基于已分類分級的數(shù)據(jù)資產(chǎn)結(jié)果集進行機器學(xué)習(xí)建模，智能預(yù)測大規(guī)模數(shù)據(jù)的分類分級打標，快速建立數(shù)據(jù)分類分級清單，推動數(shù)據(jù)分類分級的有效落實；在實施數(shù)據(jù)安全保護時，需持續(xù)研究數(shù)據(jù)安全保護手段，以應(yīng)對新技術(shù)發(fā)展帶來的安全風(fēng)險，支撐智能鐵路的發(fā)展［23］。