数据治理与数据安全立法
我国重要数据识别方法研究
周亚超 左晓栋
(中电数据服务有限公司高级工程师;中国信息安全研究院副院长、正高级工程师)
内容提要 《数据安全法》提出了“重要数据”。此前,我国《网络安全法》和《数据安全管理办法(征求意见稿)》等政策法规中也都使用了“重要数据”的概念,并将其与数据安全管理、数据出境安全评估等多项网络安全制度的实施密切关联。为及早确定重要数据的定义,特别是明确重要数据识别方法,全国信息安全标准化技术委员会在2020年提出了制定国家标准《重要数据识别指南》的任务。本文对重要数据的特点、科学规律进行了研究,提出了一套重要数据识别方法,并且已经反映到国家标准制定之中。
关键词 网络安全 重要数据 分类
一 重要数据是《数据安全法》的基本概念和我国数据安全治理的基础
2020年7月发布的《数据安全法(草案)》在第19条提出,国家对数据实行分级分类保护,各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
除《数据安全法(草案)》中提出“重要数据”外,我国《网络安全法》和《数据安全管理办法(征求意见稿)》等政策法规中也都使用了“重要数据”的概念,并将其与数据安全管理、数据出境安全评估等多项网络安全制度的实施密切关联。
2017年6月实施的《网络安全法》第37条规定,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。这是我国首次在法律层面提出“重要数据”概念。在此基础上,《网络安全法》建立了个人信息和重要数据的出境安全评估制度。2019年5月,国家互联网信息办公室发布的《数据安全管理办法(征求意见稿)》针对重要数据安全管理提出了备案、明确安全责任人以及采取安全措施等方面的要求。2020年4月,国家互联网信息办公室、国家发展改革委、工信部、公安部等多部委联合发布的《网络安全审查办法》将重要数据作为审查的一个关切点,重点评估采购网络产品和服务可能带来的国家安全风险,包括考虑重要数据被窃取、泄露、毁损的风险等因素。
对重要数据进行监管并非我国独创。国外尽管没有使用重要数据的概念,但在不同领域的法律法规中对非个人数据、非国家秘密信息实施安全管理也是常规做法。其中,最为典型的就是美国政府信息中的受控非密信息。2010年11月,奥巴马总统签署第13556号行政命令《受控非密信息(CUI)》[1],据此建立CUI登记备案及标识管理制度,以此作为对国家秘密保护的补充。美国国家标准与技术研究院(NIST)还制定了非联邦系统和机构CUI保护系列标准[2],认为CUI不论是否在联邦系统中都具有同样的价值并应受到同等保护,这实际上将CUI扩大到了非联邦范围。
显然,重要数据识别研究是我国实施数据安全治理的基础。但迄今为止,我国尚未明确什么是重要数据,以及如何识别重要数据。
从实际工作看,解决上述问题。一方面有利于维护国家安全,确保管理有手段、见成效,切实把该管的管住;另一方面有利于保障数字经济发展,释放大数据红利,促进跨境贸易,推动网络空间命运共同体建设。为此,全国信息安全标准化技术委员会2020年启动了《重要数据识别指南》国家标准制定工作,作为标准起草牵头人,我们对该问题进行了系统研究。
二 重要数据特征概述
(一)重要数据的相关属性
依据国家互联网信息办公室2019年5月发布的《数据安全管理办法(征求意见稿)》(以下简称《办法》),重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据。该定义给出了“重要数据”的明确影响,即“国家安全、经济安全、社会稳定、公共健康和安全”,但其中公共安全的范围仍然较大,可操作性不强;《办法》还给出了“重要数据”的例举,如未公开的政府信息、大面积人口、基因健康、地理、矿产资源,以及明确例外范围,即重要数据不包括企业经营管理数据、个人信息。
为增强可操作性,我们提出了一种对重要数据进行多维描述的方法,主要包括。
1.“对国家安全与公共利益的影响”
“对国家安全与公共利益的影响”,指重要数据之所以重要的主要理由,例如:“工业控制类重要数据”关系重大生产系统运行安全,一旦出现事故可能影响国家经济安全和国防安全;“敏感场所物理环境数据、安保设备数据” 可被犯罪分子、恐怖分子等利用,危害国家安全、公共安全和公民生命安全;“关键信息基础设施网络安全防护信息”可被网络攻击者利用,对关键信息基础设施发起精准攻击,危害公共安全。
2.“面临的主要安全威胁”
“面临的主要安全威胁”,指重要数据在保密性、完整性、可用性、真实性等方面可能面临的安全威胁,例如非授权访问、篡改、非授权发布等。需要指出,有些数据在保密性方面没有特别要求,但对真实性的要求却可能很高。
3.“涉及行业”
“涉及行业”,指与重要数据有关的行业。有的重要数据与特定行业无关,而是广泛分布。
4.“主管部门”
“主管部门”,指重要数据所在行业的主管部门。有的重要数据所在行业难以确定主管部门,或者重要数据涉及多个行业、有多个主管部门。
5.“主要分布”
“主要分布”,指可能收集、使用、传输重要数据的组织,如政府部门、金融机构等。
6.“现有管理政策”
“现有管理政策”,指已经或正在制定的涉及重要数据管理的政策法规。例如:《测绘法》、《地图管理条例》、原国土资源部《国土资源数据管理暂行办法》等对除涉密信息之外的地图数据收集、使用、存储等提出了要求。
7.“主要特征”
“主要特征”,指重要数据区别于其他数据的特点,这是识别重要数据的关键指标。例如,“工业控制类重要数据”存在于关键信息基础设施运营者的生产系统中,数据安全问题会直接影响生产安全。
8.“时效”
“时效”,指重要数据维持“重要性”的时间长度。时效过后,便不再属于重要数据。
(二)重要数据面临的安全威胁
安全威胁是描述重要数据的一项关键属性,决定了安全保护需求,进而决定了对重要数据的管理方法。总体而言,重要数据面临未经授权披露、丢失、滥用、篡改或销毁,或者汇聚、整合、分析等风险。多数时候,重要数据的安全保护需求体现为保密性,目的是防止敏感数据未经授权披露,与之相关的数据安全管理制度如数据出境安全评估制度等。但也有些重要数据,其本身是为了公开发布、为公众所知悉,但数据的真实性、准确性十分重要,例如天气预报信息、疫情信息、自然灾害信息等。
重要数据面临的主要安全威胁包括以下几个方面。
1.被攻击的威胁
攻击者利用信息系统漏洞或通过植入木马、DDoS(分布式拒绝服务)等方式,入侵数据所在的系统,窃取、删除或篡改数据,影响数据保密性、完整性、可用性。
2.被非授权访问的威胁
因重要数据价值很大,可能被非授权人员收集、知悉、使用或传输到境外,从而危害国家安全、公共利益。前述“被攻击的威胁”也会造成数据的非授权访问。但此处的“非授权访问”威胁强调的是无合法、正当、必要理由而收集用户或其他组织数据,或者掌握重要数据的组织或其内部人员有意泄露或滥用重要数据。
3.真实性、准确性威胁
某些用于公开发布的数据,如遭到伪造、篡改,可能产生严重后果。例如,天气预报、环保监测数据等只能由权威机构发布。此类情况下,数据的完整性、发布源的真实性、发布平台的安全性、转载的一致性等均可能需要重点考虑。
4.数据汇聚、整合、分析后的安全风险
对数据进行汇聚、整合并进行分析,是发挥大数据作用的基本方法。该过程有可能导致一些不宜公开的信息泄露。在识别重要数据时,应当考虑此类风险。为了防范数据汇聚产生的安全风险,需要把握数据从量变到质变的临界点。为了防范不同数据集的数据整合后产生的安全风险,需要重点关注不同数据集中可能的数据关联项。但应防止以数据汇聚、整合、分析为由对“重要数据”概念泛化,而是更多地从技术上解决风险。例如,可强化数据隔离与访问控制机制,以实现数据“可用不可见”,使原始数据不离开本地,用户只能按需访问数据处理结果,这将在很大程度上防范数据被汇聚。
(三)重要数据的主要分布
一般而言,重要数据主要分布在政府部门、重点行业企业、公共服务机构、具有相应资质的权威专业机构、科研机构等,以及大数据平台的运营机构等。随着移动互联网应用渗透到人们生产生活的各个方面,以及物联网、云计算、人工智能等技术的快速发展,有相当一部分重要数据被互联网企业以及各类产品和服务提供商所掌握。
重要数据在上述部门及机构的主要分布情况如下。
1.政府机构
政府机构指分布在政府部门、直属事业单位和其他相关部门,供共享使用或依协议提供共享使用的数据资源,包括宏观经济数据、金融监管数据、人口资源数据、健康数据、执法数据(如事故调查、证人信息)、交通运输数据等。
2.重点行业企业
重点行业企业指涉及国计民生的各重点行业,特别是关键信息基础设施,其运营者收集、产生的大量重要数据,如金融交易数据、能源生产和消费数据、关键信息基础设施资产数据、网络安全防护信息等。
3.公共服务机构
公共服务机构指医院(拥有健康医疗数据)、高校(拥有教育数据)等公共服务机构拥有的数据。
4.具有相应资质的权威专业机构
具有相应资质的权威专业机构指从事地理、地震、天文、气象等业务的机构采集、处理、汇交、保管、服务、使用的科学数据。
5.科研机构
科研机构指体现科研成果的数据,不仅仅是实验结果、检测结果,还包括所有以电子形式描述科研活动、展现科研成果的信息。这类数据关系国家科技实力与竞争能力,某些科研成果还属于出口管制物项。此外,还有一些机构拥有的知识产权具有重大战略或经济价值,也属于重要数据。这里的“科研机构”泛指一切可以产生科研成果或拥有知识产权,且从事研发活动的组织,包括具有官方背景的高校、科研院所,也包括非官方背景的民营企业、行业组织等成立的研究机构。
6.互联网企业
互联网企业指企业在线提供导航、电子商务、即时通信等服务时,收集或产生的海量数据。其中一些数据涉及经济、地理、人口、法人等国家基础数据,应当进行特别保护。
7.各类产品和服务提供商
各类产品和服务提供商当前绝大多数产品和服务都在线运行,至少也是在线升级,云服务成为重要趋势,导致各类产品和服务供应商可以远程实时掌握用户数据。在某些特殊应用中,这些数据可能具有重大价值。例如,大型工程施工设备生产商可以通过设备上安装的导航和无线通信模块,远程获得敏感工程的物理位置、施工土石方等数据。
三 重要数据的识别原则
重要数据识别应遵循以下原则。
一是聚焦国家安全,避免范围扩大。重要数据主要从国家安全、公共利益等角度衡量,其范围应当尽可能小,不包括企业生产经营和内部管理信息、个人信息等。我国对涉密信息的安全保护已有明确工作制度,故“重要数据”不包括涉密信息。但分布在商业领域和企业系统中的有些信息可能属于重要数据。对于行业主管部门已经制定实施数据管理政策和标准规范的,重要数据的识别和管理应当从其规定。
二是遵循国际惯例,反映中国特色。应立足开放环境维护网络安全,着眼全球化发展需要,促进数据安全有序流动,故需充分借鉴国外已有做法,确保不影响中国在《世贸组织协定》等国际协定项下义务的执行。同时,针对国内蓬勃发展的移动互联网应用、日益丰富的互联网业态使大量重要数据广泛分布于商业领域等情况,在识别重要数据时应当反映中国特色。
三是定性定量结合,突出可操作性。宜以定性与定量相结合的方式识别重要数据。某些数据,其所在行业、应用领域决定了本身的重要性,这种情况下便与定量无关。但也有某些数据,在一般情况下不属于重要数据,但在达到一定量(不一定是量的上升,还可能是量的减少,例如地图精度)后产生质变。多数情况下,重要数据的识别方法以定性为主。
四 重要数据分类建议
不同行业的数据有不同的重要性,但行业分类不是决定数据重要性的内在属性。从数据的作用、受破坏后可能带来的影响等角度,建议将重要数据分为以下类型。
1.国民经济运行类
国民经济运行类数据指反映国家宏观经济运行情况,或对经济运行可能产生重大影响的数据。此类数据不含涉密信息,也不含已公开的数据。但可能通过汇聚、整合、分析而导出涉密信息的原始数据、基础数据、局部数据,属于重要数据。拟公开或正在公开的数据,在公开前可能属于重要数据或涉密信息,在公开过程中可能属于重要数据,应在公开过程中防篡改、防假冒。该类数据能够体现宏观调控能力以及应对战争或重大灾害能力,关系重大系统运行安全,面临的主要威胁是发生非授权访问、篡改或中断访问,一旦出现事故可能影响国家经济安全和国防安全。
2.安保类
安保类数据指反映重点目标、重要场所安全保护情况,或可能被利用来对重点目标、重要场所实施攻击、破坏等行为的数据。该类可被犯罪分子、恐怖分子等利用,危害国家安全、公共安全和公民生命安全,面临的主要威胁是非授权访问。
3.自然资源与环境类数据
自然资源与环境类数据指反映自然资源与环境状况、自然灾害事件、自然资源开发利用情况等的数据。除涉密信息外,其他不宜公开或尚未公开的自然资源与环境类数据属重要数据。一方面,自然资源与环境类数据关系国家战略安全,需防范非授权访问。另一方面,自然资源与环境类数据的开发利用关系公共利益,需确保数据准确性、权威性,提升防篡改、防伪造能力。该类数据具有战略意义,面临的主要威胁是非授权访问、篡改、非授权发布等,发生安全事件可能会损害国家安全、领土完整、民族尊严,或者威胁国防战略安全或者削弱国家整体军事防御能力。
4.健康类
健康类数据指能够反映自然人健康状况、生理指标、公共卫生事件、食品药品安全等方面的信息。该类数据关系公众健康、公共安全、经济社会发展以及人民生命安全,面临的主要威胁是非授权访问、篡改。
5.敏感技术类
敏感技术类数据即对国家安全、国家竞争力有潜在价值和重大影响的知识成果,以及其他具有重大经济价值、尚未公开的工艺、配方等数据。该类数据对国防和国家安全、经济安全具有重大意义,面临的主要威胁是发生未授权访问,如泄露可能增强潜在对手竞争实力。
6.用户类
用户类数据指各类企业或其他组织在为用户提供服务的过程中,所收集、产生的用户相关数据。该类数据可反映重点用户生产经营活动等情况,面临的主要威胁是非授权访问、篡改等,可能被利用对重点用户进行攻击破坏,或泄露重点用户不宜公开且关系国家安全与公共利益的信息。
7.政府工作秘密类
政府工作秘密类数据指政府在工作过程中产生的不宜公开的非涉密数据。该类数据关系国家安全和公共利益,面临的主要威胁是未授权访问或篡改,如泄露可能被不当利用、引发政策误读等不良反应,或影响宏观调控,对政府工作或其他组织和个人的合法权益带来不利影响等。
8.其他类
其他类数据指以上类别未包括,但也会对国家安全、经济发展以及公共利益产生重大影响的其他非涉密类数据。
五 结语
建立数据分级分类制度和开展重要数据识别,对于推动数据要素流通和实施数据安全管理至关重要。从政府治理角度而言,可以将非涉密信息分为重要数据、个人信息和其他数据。当务之急是在对重要数据特点、规律研究基础上,提出重要数据的识别方法。本文提出了重要数据识别的国家标准草案的主要框架。
下一步,在重要数据识别基础上,建议国家加强重要数据安全监督管理。一是建立重要数据备案制度。组织以经营为目的收集、转移重要数据的,应向所在地网信部门备案。备案内容包括收集使用规则,收集使用的目的、规模、方式、范围、类型、期限等,不包括数据内容本身。二是建立重要数据资源清单。根据重要数据识别指南国家标准,制定行业实施细则,组织各行业、各系统梳理重要数据资源,明确重要数据来源、去向、存储使用情况、安全保护措施等信息。汇总形成重要数据资源清单,建立国家、行业、地区级重要数据资源库,为重要数据管理、数据出境安全评估、关键信息基础设施保护、网络安全审查等制度的科学实施提供基础支撑。三是明确重点保护要求。制定重要数据收集、存储、传输、处理、使用等活动的保护要求,督促数据运营者履行数据安全保护义务。网络运营者发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门或地方网信部门同意。
(责任编辑:周辉)
[1] Executive Order.13556.Controlled Unclassified Information,2010,奥巴马总统第13556号行政令(EO 13556)《受控非密信息》,2010年。
[2] NIST SP 800-171《保护非联邦系统和机构的受控非密信息》,美国,美国国家标准与技术研究院,2016年。NIST SP 800-171A《受控非密信息安全要求评估》,美国,美国国家标准与技术研究院,2018年。NIST SP 800-171B《保护非联邦系统和组织中的受控非密信息:关键程序和高价值资产》(草案),美国,美国国家标准与技术研究院,2019年。