數字經濟時代對于數據資源的保護與利用能力,已成國家的核心競爭力。在數據層面,國家秘密與公共數據之間一直存在灰色地帶,此地帶數據不屬于國家秘密,但發生危害可能對國家安全造成影響;此地帶數據也不屬于公共數據,但發生危害可能對公共利益造成影響。隨著《中華人民共和國數據安全法》《中華人民共和國網絡安全法》的頒布與實施,對此灰色地帶進行明確要求,并將其定位為數據分級中的重要數據。隨之出臺了包含重要數據的相關標準、辦法、條例、指南、要求等,明確重要數據處理者應滿足的要求及履行的義務,明確重要數據識別和使用、管理和保護的相關要求。
本文圍繞我國出臺的法律、法規、標準、辦法、條例、指南、要求涉及的重要數據部分進行提煉分析,明確重要數據涉及要點、邊界、方法。并借鑒五級數據分級方法、數據全生命周期威脅與脆弱性,與重要數據安全能力建設進行關聯,明確重要數據實踐路徑。
我國出臺的法律、法規、標準等
涉及“重要數據”要點
我國早在2017年6月1日實施的《中華人民共和國網絡安全法》中就已對重要數據進行了要求,但當時的要求僅限于對重要數據存儲限制和安全備份的要求。隨著國家秘密與公共數據之間存在的灰色地帶的盲區(即:有些數據不屬于國家秘密,也不屬于公共數據,但一旦遭到破壞、泄露等會對國家安全、社會穩定、公共利益造成影響的數據),定義了重要數據,并持續出臺相應法規、標準、辦法、條例等予以銜接,并對涉及重要數據部分進行明確。
《中華人民共和國網絡安全法》強調網絡運營者在針對重要數據的安全層面需要進行備份,針對在境內收集和產生的重要數據原則上需要在境內進行存儲。
《數據安全管理辦法(征求意見稿)》從監管、網絡運營者涉及收集重要數據、明確責任人、安全能力建設上、涉及對重要數據的相關動作、重要數據的含義明確上進行了明確要求。
《中華人民共和國數據安全法》在重要數據目錄指定、明確負責人和機構、明確需開展風險評估、涉及出境動作、違規出境懲罰角度進行了明確約束。
《網絡數據安全管理條例(征求意見稿)》從數據分級、重要數據涉及的系統、對發生重要數據安全事件、 數據處理者向第三發共享交易和委托處理重要數據、重要數據目錄、重要數據處理者成立的數據安全管理機構職責、重要數據備案、數據安全培訓、處理重要數據或者赴境外上市、 向境外提供重要數據、重要數據含義的角度進行了明確要求。
《關鍵信息基礎設施保護條例》提到關鍵信息基礎設施涉 及其他重要數據泄露的,保護工作部門應當在收到報告后,及時向國家網信部門、國務院公安部門報告。
《網絡安全審查辦法》強調“重要數據”被竊取、泄露、損毀以及非法利用、非法出境,上市存在重要數據被外國政府影響、控制、惡意利用的風險,定義為國家安全風險因素之一。并強調需要對涉及國家安全風險的進行網絡安全審查重點評估。
《數據出境安全評估辦法》從向境外提供重要數據情形、評估有效期內變動情形、重要數據定義的角度進行了明確強調。
綜上對我國出臺相應法規、標準、辦法、條例等進行比對分析,涉及重要數據的重點要求如下 :
表1 重要數據涉及要點提煉分析
基于重要數據本體
明確重要數據范圍
通過上述對我國出臺相應法規、標準、辦法、條例等的梳理分析,可從中明確對涉及重要數據主體的具體要求,但當重要數據主體圍繞重要數據本體開展相應動作時(如:收集、處理、共享、交換、流轉等),在范圍層面會出現盲區、無從下手等問題。
因此,本文對《重要數據識別指南(征求意見稿)》的定義、原則進行分析,從中可洞察到重要數據的范圍,為重要數據主體開展工作提供支撐。
在《重要數據識別指南(征求意見稿)》中強調重要數據是以電子方式存在的,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的數據。同時,強調重要數據不包括國家秘密和個人信息,但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。
圖1 何為重要數據
從中可以看出,定義中所依附的主體是“電子方式存在的數據”,此主體被篡改、破壞、泄漏等,通過“可能”危害其他主體(如: 國家安全、公共利益)的方式將“電子方式存在的數據”范圍進行了縮小。此范圍通過“可能”的方式又在危害國家安全或公共利益的范圍內進行了擴大,應包括“肯定會危害”和“可能會危害”的范圍。
從外部攻擊者發起攻擊的角度來看,一般會對肯定會危害國家安全、公共利益的電子方式存在的數據發起攻擊;對“可能會危害”一般針對較少,更多的是在對“電子方式存在的數據”發起攻擊后,導致了“可能會危害”的情形發生。或者從法規遵循的角度來看,擁有電子方式存在的數據主體,對自身“肯定會危害”和“有可能危害”國家安全或公共利益的數據了解的情況應比外部攻擊者了解更多。
所以,外部攻擊者對重要數據發起的攻擊,一般會聚焦在“肯定會危害”的數據上。當發生了對“可能會危害”的情況,很有可能是對電子方式存在的數據的范圍攻擊導致(或是僥幸或是小概率)。由于內部相關人員對“肯定會危害”和“有可能危害” 情況了解最清楚,發起攻擊的數據范圍是可以針對到“肯定危害”和“有可能危害”國家安全或公共利益的數據上,而大部分無需直接面對以“電子方式存在的數據”范圍。
另外,在定義的注釋中,明確強調了重要數據不包括“國家秘密”和“個人信息”,但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。也就是說個人信息層面,涉及基于個人信息本體、直接關聯的數據都不是重要數據范疇(無論是個人基本信息、個人敏感信息,直接與個人信息本體相連的數據,都可斷定為非重要數據)。基于個人信息本體直接關聯的數據而衍生出的數據,或者基于個人信息本體直接關聯的統計數據,有可能屬于重要數據范疇。
在《重要數據識別指南(征求意見稿)》原則性內容中,本指南強調對重要數據的識別需要從可能對國家安全、經濟運行、社會穩定、公共健康帶來威脅的角度去進行識別,并基于此強調重要數據不等于重要的數據,自身認為重要的數據并非重要數據,需要將重要的內涵上升到可能帶來的風險角度進行明確;強調重要數據也是可以進行流動的,但需要滿足安全保護的前提下有序流動;強調重要數據的識別工作,需要結合地方、行業、部門相關的自身特色及法律法規與本指南進行結合使用開展重要數據識別工作;針對數據本身,需要重點考慮在遭受風險后,對數據的保密性、完整性、可用性、真實性、準確性帶來的影響的角度進行開展;強調對重要數據的識別需要定量與定性進行綜合考慮,將天生重要與后天可能重要的數據進行結合考量;強調重要數據并非一成不變,會隨著數據用途、共享方式、重要性等的變化而發生變化,需要對重要數據定期進行復查。
通過上述《重要數據識別指南(征求意見稿)》的定義與原則進行分析可看出,重要數據不等于重要的數據、重要數據不包括個人信息(但基于海量個人信息形成的統計數據、衍生數據可能屬于重要數據)、重要數據不包括國家秘密信息、重要數據不包括公共數據。借鑒祝高峰,在“認識與識別: 重要數據的界定及其規制路徑選擇”中提到的重要數據的種類及其識別標準,對重要數據與其他數據內容進行比對分析, 重要數據具有明顯的特點。具體如下:
表2 重要數據與個人信息對比
表3 重要數據與商業秘密比對(重要數據不等于重要的數據)
表4 重要數據與國家秘密比對
浙公網安備 33010502006954號 
