陳興躍

一、數(shù)據(jù)安全立法恰逢其時

人類社會已經(jīng)邁入數(shù)字經(jīng)濟時代，數(shù)據(jù)在社會經(jīng)濟中的重要性越來越凸顯。數(shù)據(jù)是新的生產(chǎn)要素，是國家基礎(chǔ)性和戰(zhàn)略性資源。數(shù)據(jù)安全問題影響國家發(fā)展與安全，關(guān)系公眾利益，也與公民個人權(quán)益密切相關(guān)，需要在法律層面對數(shù)據(jù)的安全保護作出規(guī)范。

數(shù)據(jù)作為特殊的生產(chǎn)資料和市場要素，其價值體現(xiàn)需要經(jīng)過數(shù)據(jù)的流動，即對數(shù)據(jù)的流轉(zhuǎn)、分享、加工和使用，數(shù)據(jù)在流動的過程中被交易、加工和使用，數(shù)據(jù)價值由此得以體現(xiàn)，并且隨著數(shù)據(jù)的加工和使用，數(shù)據(jù)價值將被不斷挖掘和放大。

2020年6月28日，《中華人民共和國數(shù)據(jù)安全法（草案）》（以下簡稱“《數(shù)據(jù)安全法（草案）》”）初次提請十三屆全國人大常委會第二十次會議審議。7月3日，《數(shù)據(jù)安全法（草案）》在中國人大網(wǎng)公布，公開征求意見?！稊?shù)據(jù)安全法（草案）》中體現(xiàn)了維護數(shù)據(jù)安全和促進數(shù)據(jù)開發(fā)利用并重的立法思想，這也體現(xiàn)了對數(shù)據(jù)要素內(nèi)在特性的科學認知。數(shù)據(jù)安全是數(shù)據(jù)產(chǎn)業(yè)健康發(fā)展前提和基本保障，既要避免過于僵化的“一管就死”，數(shù)據(jù)喪失了流動性就無法產(chǎn)生價值，也就無法發(fā)揮市場要素的作用，也要避免盲目的“一放就亂”，對數(shù)據(jù)不進行分級分類，缺失針對性的管理制度與技術(shù)手段而導(dǎo)致巨大的安全風險。在《數(shù)據(jù)安全法（草案）》中首次對數(shù)據(jù)的分級分類保護做出明確要求，這對于指導(dǎo)和落實數(shù)據(jù)安全保護工作具有重要意義。

二、如何實施數(shù)據(jù)分級分類

針對數(shù)據(jù)要素充分發(fā)揮價值必須要流動這一特性，需要在數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理（包括清洗、計算、分析、可視化等）、數(shù)據(jù)交換、數(shù)據(jù)銷毀等數(shù)據(jù)全生命周期中關(guān)注并切實落實安全保障。數(shù)據(jù)的分級分類管理是實施數(shù)據(jù)全生命周期安全保護的重要基礎(chǔ)。只有在科學、規(guī)范的分級分類管理基礎(chǔ)上，才能夠有效地平衡數(shù)據(jù)的安全要求與使用需求，才能夠較好地實現(xiàn)數(shù)據(jù)的風險管理成本與利用效益的平衡，從而為數(shù)據(jù)產(chǎn)業(yè)的快速健康、可持續(xù)發(fā)展奠定堅實基礎(chǔ)。

接下來，探討數(shù)據(jù)分級分類的基本方法。

《數(shù)據(jù)安全法（草案）》第十九條明確了數(shù)據(jù)分級分類的基本標準：

① 數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度；

② 數(shù)據(jù)在遭到篡改、破壞、泄露或者非法獲取、非法利用后造成的危害程度。

數(shù)據(jù)分類主要依據(jù)是根據(jù)“關(guān)系”，從業(yè)務(wù)角度出發(fā)，在組織（企事業(yè)單位、政府部門等）理清數(shù)據(jù)家底后，理解數(shù)據(jù)的本質(zhì)、屬性、權(quán)屬及其相關(guān)關(guān)系，清晰了解各個數(shù)據(jù)是如何被使用的，明確哪些數(shù)據(jù)屬于哪個業(yè)務(wù)范疇，也就是類別。數(shù)據(jù)分類是按照數(shù)據(jù)資產(chǎn)管理形式，對數(shù)據(jù)進行劃分。數(shù)據(jù)分類常用的維度有：監(jiān)管與合規(guī)、業(yè)務(wù)體系、功能單元、項目等。分類的覆蓋范圍需要與業(yè)務(wù)范疇相一致。分類的顆粒度要適合，不能太粗放而導(dǎo)致部分數(shù)據(jù)不能準確歸類，因而達不到精細管理的要求，也不能過于細微而導(dǎo)致出現(xiàn)無數(shù)據(jù)可進行歸類的情況，另外，分類還有考慮到業(yè)務(wù)的發(fā)展性，能夠進行擴展或兼容未來的新數(shù)據(jù)。

數(shù)據(jù)分級主要依據(jù)是根據(jù)“特征”，是從數(shù)據(jù)安全、隱私保護和合規(guī)要求的角度進行分級。常用的數(shù)據(jù)分級方法有：根據(jù)數(shù)據(jù)使用過程中的敏感程度對數(shù)據(jù)進行分級，例如根據(jù)數(shù)據(jù)泄露或被破壞所造成的影響范圍、影響對象、影響程度來進行劃分；根據(jù)數(shù)據(jù)的關(guān)鍵性程度對數(shù)據(jù)進行分級，例如根據(jù)數(shù)據(jù)對業(yè)務(wù)的重要程度進行劃分；根據(jù)數(shù)據(jù)的司法管轄要求對數(shù)據(jù)進行分級，依據(jù)國內(nèi)外相關(guān)法律的要求進行劃分，例如歐盟通用數(shù)據(jù)保護條例（GDPR，General Data Protection Regulation）對于任何收集、傳輸、保留或處理涉及到歐盟所有成員國內(nèi)的個人信息的機構(gòu)組織均提出規(guī)范要求，我國對中國公民個人信息的跨境流動也做了規(guī)范要求。敏感程度不同的數(shù)據(jù)在內(nèi)部使用時受到的保護策略不同，對外共享開放的程度也有差異。對于涉密數(shù)據(jù)，遵循國家相關(guān)法規(guī)標準進行分級和管理。

對數(shù)據(jù)分級要先梳理敏感數(shù)據(jù)域，在常見的梳理方法中，會將敏感數(shù)據(jù)域劃分為公共敏感數(shù)據(jù)域（法律角度）、行業(yè)敏感數(shù)據(jù)域（行業(yè)規(guī)范角度）、組織敏感數(shù)據(jù)域（內(nèi)部規(guī)范角度）。公共敏感數(shù)據(jù)域和行業(yè)敏感數(shù)據(jù)域的定義可參考相關(guān)法規(guī)和標準，對組織敏感數(shù)據(jù)域的梳理工作就需要依靠參與人員對業(yè)務(wù)系統(tǒng)的理解，如果已經(jīng)具備了元數(shù)據(jù)（Metadata）管理的工作基礎(chǔ)與能力，這將大幅度提升敏感數(shù)據(jù)域梳理工作的效率和準確性。

數(shù)據(jù)分級分類覆蓋的數(shù)據(jù)范圍包括：結(jié)構(gòu)化數(shù)據(jù)（例如數(shù)據(jù)庫）、非結(jié)構(gòu)化數(shù)據(jù)（例如文檔、電子郵件、圖片、聲音、影像等）、半結(jié)構(gòu)化數(shù)據(jù)（例如日志文件、XML文檔、JSON文檔、Email等），在物理形態(tài)上包括電子化數(shù)據(jù)和非電子化數(shù)據(jù)。本文主要針對電子化數(shù)據(jù)。

數(shù)據(jù)分級分類工作的主要實施步驟：

1. 確定數(shù)據(jù)管理責任。

2. 創(chuàng)建數(shù)據(jù)分類清單。

3. 定義數(shù)據(jù)分級標準。

4. 評估數(shù)據(jù)安全風險。

5. 制定分級控制策略。

6. 建立數(shù)據(jù)分級目錄。

7. 啟動安全控制措施。

8. 持續(xù)監(jiān)控和運營維護。

數(shù)據(jù)分級分類管理應(yīng)當是一項持續(xù)性工作，可納入數(shù)據(jù)及數(shù)據(jù)資產(chǎn)運營管理的范疇。隨著數(shù)據(jù)量的增長、數(shù)據(jù)域的擴展，以及伴隨著業(yè)務(wù)發(fā)展的數(shù)據(jù)使用場景和復(fù)雜度的增加，數(shù)據(jù)分級分類需按照業(yè)務(wù)發(fā)展需求和法規(guī)標準的要求進行適時調(diào)整。

需要特別指出的是，數(shù)據(jù)分級分類管理絕不只是為了滿足合規(guī)需求，同時也是組織業(yè)務(wù)運營的要求。數(shù)據(jù)分級分類管理是提升組織自身信息化水平和業(yè)務(wù)運營能力的有效手段，契合組織業(yè)務(wù)特性的數(shù)據(jù)分類可以更好地將數(shù)據(jù)資產(chǎn)化，為組織業(yè)務(wù)發(fā)展提供精準、高效的數(shù)據(jù)能力支撐；同時數(shù)據(jù)分級明確了各個級別數(shù)據(jù)的使用范圍、管理方式，以及不同級別的數(shù)據(jù)在不同場景采取何種安全策略，從而在數(shù)據(jù)安全角度為組織業(yè)務(wù)保駕護航。

三、結(jié)語

隨著大數(shù)據(jù)技術(shù)的快速推廣，并與云計算、物聯(lián)網(wǎng)、5G等新技術(shù)融合發(fā)展，數(shù)據(jù)集中成為大趨勢。數(shù)據(jù)集中伴隨著安全風險的聚集，一方面，數(shù)據(jù)集中后數(shù)據(jù)本身的價值得到大幅度提升，不法分子有更大的潛在利益誘惑對數(shù)據(jù)進行泄露、盜取、篡改、破壞。

另一方面，對于集中的重要數(shù)據(jù)，如果由于管理制度不完善、技術(shù)手段薄弱、組織安全意識薄弱等內(nèi)部因素而導(dǎo)致的數(shù)據(jù)泄露、損毀、丟失等事故，必將對關(guān)鍵系統(tǒng)與核心業(yè)務(wù)的穩(wěn)定、安全運行產(chǎn)生巨大負面影響，并引發(fā)嚴重損失。而與國計民生、國家戰(zhàn)略資源及核心能力等密切相關(guān)的數(shù)據(jù)資料或資產(chǎn)則關(guān)系到國家安全與發(fā)展。數(shù)據(jù)安全保護在個人生命財產(chǎn)與數(shù)字權(quán)益保護、社會組織機構(gòu)網(wǎng)絡(luò)安全保障、網(wǎng)絡(luò)空間主權(quán)與國家安全這三個層面將扮演更重要的角色。

希望《中華人民共和國數(shù)據(jù)安全法》能順利通過審議盡快頒布，大力強化全民數(shù)據(jù)安全保護意識，推動國家數(shù)據(jù)安全監(jiān)管能力和企事業(yè)單位數(shù)據(jù)安全防護能力的提升，大幅減少個人信息、重要數(shù)據(jù)安全事件，為我國數(shù)字經(jīng)濟快速健康發(fā)展提供強有力的支撐！