重要数据识别有了国家标准!专家:对数据跨境流动安全管理意义重大
如何划分一般数据、重要数据、核心数据终于有了国标版“参考答案”。3月21日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》(以下简称“国标”)正式发布,给出了数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导。国标将于2024年10月1日起正式实施。
值得注意的是,国标针对重要数据专门制定了识别指南。规范、准确识别涉及的重要数据和核心数据,是建立相应数据安全保护措施、推动数据有序跨境流动的前提。国标的主要起草人之一、中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋表示,国标的出台对于我国数据跨境流动安全管理制度的实施具有重大意义,回应了社会的普遍期待。
17项考虑因素识别重要数据
根据国标,重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据,仅影响组织自身或公民个体的数据一般不作为重要数据。核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据,主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。
此外,国标还对数据分级规则、数据分类规则、数据分级分类流程、个人信息分类、重要数据识别、一般数据分级等均作出了系统性的指导。比如,在附录《重要数据识别指南》中,提出17项考虑因素,并列举出相应的示例。举例而言,直接影响领土安全和国家统一,或反映因家自然资源基础情况,如未公开的领陆、领水、领空数据;直接影响市场经济秩序,如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据等。
“国标中从重要数据如何影响国家安全的角度给出了识别标准,是原则性的、结果导向的。”左晓栋指出,虽然没有以行业来划分,但各行业可以以本国标为指导,来提出本行业本领域的重要数据识别指南或清单,这样更好地体现了国标的指导作用。
企业数据分级须对应到一般、重要、核心
无论是加强数据安全保护还是促进数据要素流通,数据分级分类管理都是一项基础性工作。2021年9月1日正式施行的《数据安全法》明确规定“国家建立数据分类分级保护制度”;2022年12月发布的《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》也提出要探索建立跨境数据分类分级管理机制。根据2023年9月国家网信办公布的《规范和促进数据跨境流动规定(征求意见稿)》,未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。也因此,相关部门、地区对于重要数据的判定将对数据跨境流动产生直接的影响。
此次国标发布之前,重要数据的判断标准主要依靠《网络数据安全管理条例(征求意见稿)》《数据出境安全评估办法》《信息安全技术 重要数据识别指南(征求意见稿)》等文件。根据南财合规科技研究院在2023年的一项调查研究,在数据出境合规实践中,由于重要数据识别标准的模糊,许多企业对重要数据的划分“感到无从下手”。所造成的风险是,一方面,数据处理者因未识别到重要数据,故而没有完成本该履行的出境前置程序,导致合规风险;另一方面,部分数据处理者将不属于重要数据的跨境数据事项向网信部门进行申报,造成了不必要的资源浪费及负担加重。
业界对重要数据的识别标准翘首以盼。左晓栋表示,国标的出台对于我国数据跨境流动安全管理制度的实施具有重大意义,回应了社会的普遍期待。
左晓栋分析,数据的分级是为了保护的需要,体现国家意志;数据的分类则是为了便于监管和治理。但从不同监管和治理的目标出发,可以有多种分类方法,在国家层面没必要统一。因此,国标给出了多种数据分类框架和方法,各行业可以根据实际情况灵活适用。关于数据分级,他建议,企业可以结合具体情况进行进一步划分级别,但必须对应到一般、重要和核心三级。