 |
以案说法
以案说法
中华人民共和国个人信息保护法解读:数据分类分级保护制度的重要性及应用
东莞长安律师获悉
《中华人民共和国个人信息保护法》第二十一条
国家根据数据在经济社会发展中的重要性以及数据一旦被篡改对国家安全、公共利益或者个人、组织的合法权益造成的损害,建立数据分类和分级保护制度,毁坏、泄漏、非法获取或非法使用。级,实行数据分类分级保护。国家数据安全协调机制协调有关部门制定重要数据目录,加强重要数据保护。
涉及国家安全、国民经济命脉、重要民生、重大公共利益的数据属于国家核心数据,受到更加严格的管理制度。
各地区、各部门要按照数据分类分级保护制度,确定本地区、本部门及相关行业、领域的重要数据具体目录,并对列入目录的数据进行重点保护。
1 合规解释
关键词
中央和地方分类分级制度
危险目录转换后果保护
●核心目的:建立中央和地方两级数据分类分级制度;
●中央层面:建立数据分类分级保护制度,协调加强重要数据、核心数据的保护。中央国家数据安全工作协调机制负责统筹协调,由中央国家安全机构通过国家数据安全工作协调相关地区和部门制定重要数据目录,并确保建立统一的标识标准对于重要数据;
●地方层面:
(一)各地区、各部门建立具体的重要数据目录,将需要重点保护的数据纳入目录;
(二)各地区、各部门负责确定本地区、本部门的重要数据目录;
(三)各地区、各部门负责重要数据、核心数据的具体落实;
●“中央级”与“地方级”衔接:自上而下的原则(中央级建立数据分类分级保护制度,负责协调各地区、各部门制定重要数据目录,确保建立统一的标识标准);
●资料分类:
(1) 目的:方便数据的访问、识别、管理、保护和使用;
(2)前提条件:基于数据的属性或特征;
(3)法律定义:《数据安全法》将数据分为一般数据和重要数据,《个人信息保护法》对敏感个人信息进行了界定,《网络数据安全管理条例(征求意见稿)》中规定专门章节“个人信息保护”和“重要数据安全”;
(4)双轨路径:从数据整体来看,我国分为“个人信息”和“重要数据”,监管模式采取个人信息和重要数据保护制度的双轨模式;
(五)总分原则:从数据分类合法权益保护的角度来看,我国数据分类遵循总分原则。首先按照数据主体、影响对象、影响范围、影响程度对数据进行分类,然后对业务和数据进行分类。细分;
●资料分类:
(1)目的:便于根据数据的不同安全级别采取相匹配的保护措施;
(2)前提条件:根据数据的重要性以及发生危害时的影响程度来进行;
(三)总体要求:根据数据的敏感性以及数据泄露后对国家安全、社会秩序、公共利益以及公民、法人和其他组织合法权益的损害程度,确定不同的安全级别或破坏;
(4)细化要点:根据数据使用行为的危害性分类、根据数据本身的重要性及其对业务的影响分类、根据数据适用的司法管辖区分类等;
●“数据分类”与“数据分类”之间的关联:
(1)监管角度:数据分类是监管要求范围内的数据分类;
(2)安全角度:数据分级是为了便于数据保护而进行的分类;
(3)目标视角:数据分级和数据分级都承载着保障数据安全的目标;
●我国数据分类分级现状:在数据分类分级领域,我国已形成国家法律、部门规章、标准三类政策文件共同构建的制度规范雏形。特别是在技术标准和行业规范方面有比较系统的数据分类。分类要求,但法规尚未完全落实;
●“合规义务”转化为“特殊义务”:在建立数据分类分级保护制度的基础上,可以将数据处理者的合规义务转化为数据处理者履行自身的特殊义务,从而实现数据处理者的合规义务。针对性。管理;
●“重要数据”后果预言家:
(一)危害国家安全、国防利益等;
(二)损害国家财产、社会公共利益和个人合法利益的;
(三)对国家防范和打击经济、军事间谍、政治渗透、组织规范等产生影响;
(四)影响行政机关依法查处违法、失职或者涉嫌违法、失职行为;
(五)干扰政府部门依法开展监督、管理、检查、审计等行政活动,阻碍政府部门履行职责的;
(六)危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全的;
(七)影响、危害国家经济秩序和金融安全的;
(八)能够分析国家秘密或者敏感信息;
(九)影响或者危害国家政治、土地、军事、经济、文化、社会、科技、信息、生态、资源、核设施等国家安全事项的;
●不同国家的数据分类方法:
(1) 欧盟:个人数据和非个人数据;
(2)澳大利亚:一般数据、敏感数据;
(3)印度:一般数据、敏感数据、关键数据;
(4)美国:敏感数据、非敏感数据。
2 实施指南
关键词
政策演变标准的实施
重要数据公共区域
本文强调,中央层面应建立数据分类分级保护制度,统筹加强对重要数据和核心数据的保护。建立本地重要数据具体目录,将需要保护的数据纳入目录,并承担相应责任。同时,从危害和影响角度明确数据在经济社会发展中的重要性,对数据实行分类分级保护。因此,结合我国数据分类分级的法律法规现状以及对数据的二十项要求,本文在实施指南方面主要探讨以下问题:
1、基于数据分类分类应重点做好哪些工作?
2、目前我国数据分类分级政策有何进展?
3. 如何通过引导洞察来识别重要数据?
4、确定数据分类和数据分类的共同目标?
详情如下:
1. 政策演化:基于数据分级分类的政策演化
本文从我国已出台的数据分类和分类政策的文本出发,以其文本内容为出发点,量化其演变趋势。
数据分类分级政策最早的政策文件是《重庆市人民政府关于印发重庆市电子商务发展纲要和数字重庆地理信息系统发展纲要的通知》,其中提出了数据安全、数据安全等概念。共享,标志着我国数据分类分级政策制定迈出了第一步。进入初级阶段。
以政策制定和数据治理规律为背景,出台的数据分类分级政策数量较少,但各级政府已开始探索制定数据分类分级政策,以储备理论、技术、人才、 ETC。
数据分类和分类政策的数量不断增加,其实施也逐渐扩展到更多领域,如国家“十三五”和“十四五”规划、《数据安全法》 、《网络数据安全管理规定(征求意见稿)》、《重要数据识别指南(征求意见稿)》等,标志数据的分类分级越来越受到相关部门的重视。同时,也符合我国高质量发展的总方针。我国现行数据分类分级政策涉及的应用领域如下:
应用领域
意义
政务
政府数据、公共数据、海关数据等
安全
风险隐患信息数据、安全生产基础信息数据等。
医疗的
健康医疗数据、医疗保障数据、医疗保险数据等
金融
证券期货行业数据等
跨境
跨境数据、出境数据、跨境电商数据等;
行业
工业数据、工业互联网数据、智能互联网汽车数据等
财务税务
审核业务电子数据、税务数据等
信用报告
公共信用数据、信用信息记录数据等
电信
电信、互联网行业数据等
自然资源
基础空间数据、国土资源数据、其他自然资源数据等。
运输
交通数据、交通行业数据、民航数据等
商业
消费信息数据、电商数据、企业基础数据等。
科学
科学数据、交通科学数据等
……
……
2、标准实施端:以“二十个数据点”强调的数据链路为导向,以数据分类分级为基础,探索标准实施方向
以“二十个数据点”内涵为指导,以数据分类分级为基础,编制并推演标准。 “数据二十条”的核心内涵在于建立以盘活数据经济价值为核心的所有权关系。在所有权关系上,“数据二十条”体现了淡化所有权、强调使用权、注重数据使用权的流转。同时,制度结构体现了三权分离(即数据资源持有权、数据处理使用权、数据产品运营权)。因此,有必要根据“数据二十条”的内涵,认识和把握数据的基本规律(即产权、流转、交易、使用、分配、治理、安全等),并找到通过基本规律找出不同正则穴位的共同要点。从基本规则可以看出,围绕各个环节的共同点都在“确权”、“定价”、“可信”、“管理”等方向。
结合演绎逻辑,推理标准设定了方向。在整合“数据二十条”中发现的共性的同时,我们不能放弃之前已经形成的数据分类和分类的基础。应采用国家颁布的相关标准(如:《数据安全法》第二十一条、第二十五条、第二十七条、第三十条、第三十一条;《网络安全法》第二十七条、第三十七条;《指南》中重要数据的分类《重要数据认定办法(征求意见稿)》、《网络安全等级保护分级指南》第4.2条、《网络安全标准实践指南——《网络数据分类分级指南》等)为依据叠加整合《数据二十点》的共同点,通过以上推演,建议这里首先整合“管理”和“权威确认”(即:“数据分类分级管理要求”、“”)。数据分类、分级和确权要求》),因为“管理”级别之前的标准更强调数据的共同管理。基于数据分类分类时,更应注重特征的管理;确认在人权层面,一直缺乏可行的指导,可以帮助国家建立合理的标准。因此,基于国家标准的现状,“管理”和“确权”将成为下一步可能的方向。
基于确定的标准方向,构思了一种融合方法。
(一)《数据分类分级管理要求》。以往对数据的管理主要强调数据的共同管理。当以数据分类和分级为基础时,应以数据分类和数据分级为重点,强调特征管理,具有层次结构。例如:按数据分类划分的行业,哪些是重点行业,哪些是非重点行业,哪些是关系国民经济命脉的行业等。不同的分类应实行不同的数据管理要求(如:组织机构、人员能力、战略规划、数据技术、数据流转、数据脱敏、数据加密等层层考虑);
(二)《数据分类分级及确权要求》。从数据流动性的角度来看,数据的层级越高,越容易确认所有权(即数据的层级越高,数据流动的条件越多,涉及的外延连接越少)。因此,基于数据分类分级的权利判定应该是逆向思维模式,按照三大类(即:公共数据、企业数据、个人数据)进行划分。这三个范畴是可以独立推导和制定的,是利用产权分离的运行机制,结合洛克劳动产权理论所赋予的生命力和相关法律标准来进行的。
3、重要数据认定侧:以《重要数据认定指南(征求意见稿)》的核心思想为出发点,量化重要数据认定的核心点
《重要数据识别指南(征求意见稿)》(以下简称《指南》)的量化维度并不是对国家安全系统进行分类,而是更注重从可能影响的角度进行描述和细分。 。该指南聚焦六大核心原则:关注安全影响、突出保护重点、衔接现有法规、综合考虑风险、定量与定性相结合、动态识别与再评估。详情如下:
本指南定义:以电子形式存在,一旦被篡改、毁坏、泄露或者非法获取、使用,可能危害国家安全和公共利益的数据。
关键词
电子手段危及安全
洞察力
事实上,重要数据可以通过两个维度来定义和解读:一是数据是什么,二是如何在定义的数据中找到重要数据。
什么是数据?从本指南定义的前半部分(即:以电子形式存在)可以看出,只要以电子形式存在,就是数据,但这里的数据实际上包括一般数据、重要数据和核心数据。数据等,其实是一个比较宽泛的范围,这就导致了如何定义重要的数据。
如何定义数据中的重要数据?这与本文意识形态方面提到的“更加关注可能产生的影响”的观点是相对应的。我们再回到本指南的后半部分(即一旦被篡改、毁坏、泄露或者非法获取、非法使用,可能危害国家安全和公共利益的数据)。寻找数据中的重要数据,需要观察数据重要性、数据关联因素、数据影响范围、定性和定量方面等。(注:该数据是否为国家关键信息基础设施数据、该数据是否与国家关键基础设施相关、是否数据与国家安全具有内在相关性(即:固有高影响因子的数量与国家安全、社会稳定、公共安全、经济运行等强相关),以及数据是否具有。通过量变实现质变(即自然影响因素的数量并不多,单独存在的数据并不重要,但当数据达到一定程度时,会发生持续独立的数据积累和聚合。)当损害将影响国家安全和社会稳定时成为重要数据))。
本文基于本指南从数据流转端和安全风险影响端进行解答。
能否重要的数据流(数据流侧)?从释放数据价值的角度来看,本文认为,无论什么样的数据,都需要数据流(即数据流是释放数据价值的必要手段)。然而,不同层次的数据流动方式不同,有的可以“无数据”。有些需要“有序”的数据流。与一般数据相比,重要数据需要基于有序流动才能释放数据价值。在安全能力防护方面,需要满足较高的安全防护能力等级(如:Class 2.0的3级及以上标准),并引入数据分级。分级防护体系通过数据分级明确安全防护重点,将数据分级与数据流向关联起来。因此,数据在较高的安全保护级别标准内有序流动,并可根据映射的国家安全影响纳入重要数据类别。
重要数据损坏有何影响(安全风险影响面)?重要数据安全的影响必须避免局部思维的局限性,更多地上升到国家安全层面(即:组织自身的重要或敏感数据不属于本指南的重要数据;重要数据必须从国家安全层面考虑)从国家安全、经济运行、社会稳定角度识别(从公共卫生影响范围识别)。本指南提供了以下相关场景中包含的重要数据示例:战略物资能力和储备;反映关键信息基础设施网络安全预案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等的数据;出口管制物项的设计原理、工艺流程、生产方法等信息,以及源代码、集成电路布图、技术方案、重要参数、实验数据、测试报告;反映重点安全单位、重要生产企业、国家重要资产(如铁路、石油管道)施工图纸、内部结构、安全保卫等信息,以及未公开的专用道路、未公开的机场等;未公开水情信息、水文观测数据、气象观测数据、环境保护监测数据;以及与国防和国家安全等相关的知识产权的数据。
4、实施目标方:以“安全保护”作为数据分级分类的共同目标
从数据分类和数据分级的概念来看,数据分级主要适用于安全保障目标场景和相应的监管保护标准。数据分级实际上是支撑监管体系的数据分类。数据分类实际上是为了数据保护而进行的数据分类。数据分类和以安全保护为目的的数据分类已经成为依赖关系。因此,数据分类和数据分类标准体系都肩负着保障数据安全的目的。具体目标如下:
●数据流安全目标;
●数据隐私保护目标;
●公共数据授权目标;
●数据所有权保护目标;
●数据安全可信目标;
●数据针对性的管理目标;
●……
3 总结
本文以《数据安全法》第二十一条的要求为出发点,从合规解读、实施指南、法律关联三个方面出发。在合规解读方面,本文所映射的核心目的、中央与地方的职责、中央与地方政府的关系、数据分类、数据分级、分类与分级的关系、我国数据分类与分级的现状等。我国合规义务的转变、重要数据以及国外现状进行了探讨和分析;在实施指南方面,从政策的角度探索分析共同的演进目标、标准实施方向、重要数据识别、分类和分类;并在法律方面,量化我国现行法律、法规、标准、指南与本条有映射关系的规定。
4 法律关系
●本条涉及《网络安全法》第二十一条、第三十一条、第三十七条;
●本条涉及《网络安全等级保护基本要求》中强调的分级保护对象受到侵害后对对象造成的损害程度,即:一般损害、严重损害、特别严重损害;
●本文涉及《网络安全标准实践指南-网络数据分类分级指南》中强调的数据篡改和破坏造成的不同程度的危害——即:严重影响、轻微影响、重大负面影响、轻微影响损失, ETC。;
●本条与《电信企业数据分类分级办法》相关;
●本条与《关键信息基础设施安全保护规定》相关,该规定强调,运行管理涉及国家安全、国计民生、公共利益的某些网络设施和信息系统属于关键信息基础设施运营商;
●本条与《网络数据安全管理条例(征求意见稿)》第五条、第九条、第二十六条相关;
●本条与《汽车数据安全管理若干规定(试行)》第三条相关;
●本条涉及《数据传输安全评估办法》中强调的数据资源的规模、范围、类型、敏感性和风险点
●本文与《信息安全技术数据分类分级规则(征求意见稿)》相关;
●本文与《证券期货行业数据安全风险防控数据分类分级指引》相关;
●本文与《证券期货行业数据分类分级指引》相关;
●本文与《信息安全技术健康医疗数据安全指南》相关;
●本文与《科学数据安全分类分级指南》相关;
●本文与《互联网数据中心技术及分类标准》相关;
●本文与《信息安全技术个人信息安全规范》相关;
●本文与《国民经济行业分类》相关;
●本文与《信息安全技术公共和商用服务信息系统个人信息保护指引》相关;
●本文与《信息技术大数据数据分类指南》相关;
●本文与《公共信用信息分类及编码标准》相关;
●本文与《信息安全技术网络安全事件分类分级指南》相关;
●本文与《信息安全技术信息安全事件分类分级指南》相关;
●本文与《信息安全技术网络安全漏洞分类分级指南》相关;
●本文与《信息安全技术重要数据识别指南》相关;
●本文与《信息安全技术公共数据开放安全要求》相关;
●……
长安镇律师?敬请于评论区发表高见,并对本文予以点赞及转发,以助广大读者把握法律与正义的界限。