7月28日，在第九屆互聯(lián)網(wǎng)安全大會(ISC 2021)上，由中國信息協(xié)會信息安全專業(yè)委員會、ISC互聯(lián)網(wǎng)安全大會聯(lián)合主辦的ISC-網(wǎng)絡空間安全治理前沿峰會成功召開。與會的眾多專家都對網(wǎng)絡空間安全和數(shù)據(jù)治理提出了自己的真知灼見。會上，中國信息安全研究院副院長左曉棟做了“《重要數(shù)據(jù)識別指南》研究進展”的演講，介紹了《重要數(shù)據(jù)識別指南》這項擬定中國家標準的工作進展和要點。

綜合左曉棟的演講和媒體采訪，記者總結(jié)了幾個關(guān)于重要數(shù)據(jù)識別這項工作業(yè)界所關(guān)心的問題。

為什么要制定《重要數(shù)據(jù)識別指南》?

左曉棟：《重要數(shù)據(jù)識別指南》標準的制定是一項非常重要的工作，簡而言之，國家要由這個標準作規(guī)范明確管理對象，即什么是重要數(shù)據(jù)。這是國家重要數(shù)據(jù)一系列安全監(jiān)管制度的基礎(chǔ)。

數(shù)據(jù)有那么多，重點保護什么數(shù)據(jù)?很多法律法規(guī)、政策文件里的要求，往往都是落到了重要數(shù)據(jù)。重要數(shù)據(jù)概念最早來自《網(wǎng)絡安全法》。第37條提到個人信息和重要數(shù)據(jù)的境內(nèi)存儲以及出境安全評估制度，從法律的層面上首次提出重要數(shù)據(jù)的概念。今年6月10日正式通過的《數(shù)據(jù)安全法》，其中第21條指出，國家要制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。從某種程度上講，我認為這是目前國家數(shù)據(jù)分類分級制度唯一一項具體工作。第27條，提出重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構(gòu)，落實數(shù)據(jù)安全保護責任。這是具體的法律責任義務的要求。第30條和第31條，都對重要數(shù)據(jù)處理者提出了法律法規(guī)要求。

除此之外，最近大家非常關(guān)注的網(wǎng)絡安全審查制度，第九條提到了如何判斷國家網(wǎng)絡安全風險，其中一條是重要數(shù)據(jù)被竊取、泄露、損毀的風險。另外，數(shù)據(jù)安全管理辦法征求意見稿的第15條，提到網(wǎng)絡運營者以經(jīng)營為目的收集重要數(shù)據(jù)或個人敏感信息的，應向所在地網(wǎng)信部門備案。我們可以看到，越來越多的法律法規(guī)，都在提出對重要數(shù)據(jù)處理的要求。下一步國家要建立一整套重要數(shù)據(jù)安全監(jiān)督管理制度，社會上各類的數(shù)據(jù)處理者如果涉及到對重要數(shù)據(jù)的處理，就會被要求落實很多重要數(shù)據(jù)保護的責任和義務，這是一個必須重視的不可回避的法律責任，而這一切的基礎(chǔ)都是要說清楚什么是重要數(shù)據(jù)，因此《重要數(shù)據(jù)識別指南》的制定工作是一項非常迫切而重要的任務。

重要數(shù)據(jù)這個概念是中國獨有的嗎?

左曉棟：很多人問我，國外沒有重要數(shù)據(jù)管理，為什么中國提出這項制度，依據(jù)是什么?

首先，重要數(shù)據(jù)確實不是個國際詞匯，多數(shù)國家也沒有作為一個大類統(tǒng)一提出要求，但絕不意味著國外只管個人信息，不管重要數(shù)據(jù)。國外既有對非個人信息的管理，也有明確的出境管控制度。

例如美國的NIST800-60標準，從保密性、完整性、可用性角度把聯(lián)邦政府信息系統(tǒng)分為低、中、高三級，然后對聯(lián)邦政府信息系統(tǒng)提出安全要求。除了對信息系統(tǒng)分級，對數(shù)據(jù)也分成三級。通過對系統(tǒng)和數(shù)據(jù)的分級，決定信息系統(tǒng)適用于哪一級的安全要求。

此外，美國還有涉密信息管理制度。時任美國總統(tǒng)奧巴馬曾簽署13556號行政令，明確了“受控非密信息”(CUI)管理制度，其中明確了CUI定義，并且對CUI分為20大類，124子類。CUI雖然不是秘密信息，但受到控制，這也是一種重要數(shù)據(jù)。美國NIST一直在制定關(guān)于受控非密信息的安全保護要求，不但制定了SP 800-171《保護非聯(lián)邦系統(tǒng)和機構(gòu)的受控非密信息》、還制定了 SP 800-171A《受控非密信息安全要求評估》、 SP 800-171B《保護非聯(lián)邦系統(tǒng)和組織中的受控非密信息：關(guān)鍵程序和高價值資產(chǎn)的增強安全要求》。800-171B的范圍擴展到了非聯(lián)邦機構(gòu)，如聯(lián)邦政府的合同商跟聯(lián)邦政府發(fā)生了關(guān)聯(lián)，由此產(chǎn)生的數(shù)據(jù)到了社會領(lǐng)域，非聯(lián)邦機構(gòu)就必須落實這些數(shù)據(jù)的安全要求。

重要數(shù)據(jù)識別的基本原則是什么?

左曉棟：根據(jù)上級有關(guān)部門要求，全國信安標委2019年批準了《重要數(shù)據(jù)識別指南》研究項目，在去年正式立項。目前，這項工作正處于征求意見稿階段。

重要數(shù)據(jù)的識別有六個原則。

首先是聚焦安全領(lǐng)域。重要數(shù)據(jù)是從國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等角度來識別，只對組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù)，如企業(yè)的生產(chǎn)經(jīng)營和內(nèi)部管理相關(guān)數(shù)據(jù)。此外，個人信息是監(jiān)管制度的重要對象，但個人信息保護已經(jīng)有明確的管理制度，所以沒有必要把個人信息保護工作和重要數(shù)據(jù)保護工作糾纏在一起。

第二是促進數(shù)據(jù)流動。明確安全保護重點和監(jiān)管對象，規(guī)范數(shù)據(jù)開發(fā)利用，促進數(shù)據(jù)安全、有序地流動。把保護和監(jiān)管對象明確了，不是范圍里的就不用落實一些更加嚴格的要求。

第三是銜接既有規(guī)定。充分考慮地方已有管理要求和行業(yè)特色。地方和部門已經(jīng)制定實施有關(guān)數(shù)據(jù)管理政策和標準規(guī)范的，在識別重要數(shù)據(jù)時應當與其緊密銜接。建立數(shù)據(jù)分類分級制度是國家的指導思想，各個行業(yè)在制定具有自己行業(yè)特色的數(shù)據(jù)分類分級標準，開展數(shù)據(jù)安全保護工作的時候，必須明確重要數(shù)據(jù)，但此時的重要數(shù)據(jù)要和國家的定義保持一致。

第四是綜合考慮風險。依據(jù)數(shù)據(jù)用途、面臨的威脅不同，綜合考慮數(shù)據(jù)受到篡改、破壞、泄露或者非法獲取、非法利用等風險，從保密性、完整性、可用性、真實性、準確性等多個角度識別數(shù)據(jù)的重要性。一個數(shù)據(jù)認定為重要數(shù)據(jù)，不僅只是保密性要求，有一些數(shù)據(jù)如氣象數(shù)據(jù)是公開的，但它有著嚴格的發(fā)布渠道以及真實性、準確性要求。這意味著重要數(shù)據(jù)的屬性又和監(jiān)管手段直接關(guān)聯(lián)，這個問題現(xiàn)在還在討論之中，要綜合考慮風險。

第五是定量定性結(jié)合。以定性與定量相結(jié)合的方式識別重要數(shù)據(jù)，根據(jù)具體數(shù)據(jù)類型采取不同識別方法。有的數(shù)據(jù)天然就重要，有的數(shù)據(jù)達到一定的量，由量變到質(zhì)變，會變成重要數(shù)據(jù)，因此需要根據(jù)實際情況定量定性結(jié)合。

最后是動態(tài)識別復查。定期復查重要數(shù)據(jù)識別結(jié)果，且在數(shù)據(jù)用途、共享方式、敏感性等發(fā)生變化時，應當對重要數(shù)據(jù)進行重新識別。

重要數(shù)據(jù)有哪些特征?

左曉棟：目前擬定中的《重要數(shù)據(jù)識別指南》將重要數(shù)據(jù)的特征分成了“7+1”類。7個明確的類別是：與經(jīng)濟運行相關(guān)、與人口和健康相關(guān)、與自然資源和環(huán)境相關(guān)、與科學技術(shù)相關(guān)、與安全保護相關(guān)、與應用服務相關(guān)、與政務活動相關(guān)，還有1個“其他”。這不是對重要數(shù)據(jù)的分類，而是從多個方面描述重要數(shù)據(jù)的特征，希望盡可能的明確。

指南里給出了重要數(shù)據(jù)的描述方法，因為重要數(shù)據(jù)目錄是各行業(yè)各地方來自行制定，這時需要有一個統(tǒng)一的描述方法，來規(guī)范重要數(shù)據(jù)的報送和處理，不然匯總上來后五花八門。首先，目錄中應當列出數(shù)據(jù)的分類，具體的分類標準可由各行業(yè)自己確定。其次，各組織要描述自己所在行業(yè)對數(shù)據(jù)的監(jiān)管要求，以及適用的現(xiàn)有管理政策。第三，要描述重要性，包括對國家安全的影響、面臨的主要安全威脅，以及重要性的時效。最后，要描述數(shù)據(jù)產(chǎn)生、使用與保護情況，包括數(shù)據(jù)來源、用途、共享交換情況、安全措施情況等。對重要數(shù)據(jù)形成總體描述后，按程序進行報送。標準中還提出了識別流程，將來不排除各個行業(yè)根據(jù)這個標準制定更進一步的行業(yè)細則和更具體的申報流程。

對于重要數(shù)據(jù)還有哪些需要探討的問題?

左曉棟：首先是重要數(shù)據(jù)的時限性。一旦被認定重要數(shù)據(jù)，就永遠重要嗎?國家秘密都有保密期限，重要數(shù)據(jù)的時效應當是多久?當重要數(shù)據(jù)變成不重要的時候，該怎么銜接?有沒有長期作為重要數(shù)據(jù)的情況存在?

其次，重要數(shù)據(jù)與個人信息有什么關(guān)系？原則上，重要數(shù)據(jù)不包括個人信息，不是個人信息不重要，而是如上所說，個人信息另有管理制度，但基于批量個人信息形成的統(tǒng)計數(shù)據(jù)、衍生數(shù)據(jù)等有可能是重要數(shù)據(jù)。從這一角度而言，重要數(shù)據(jù)與個人信息并非完全割裂。

第三，有沒有必要從行業(yè)分類角度制定《重要數(shù)據(jù)識別指南》？在國家標準層面進行重要數(shù)據(jù)的行業(yè)分類，可能影響行業(yè)自主性，也很難準確反映行業(yè)實際情況。重要數(shù)據(jù)之所以重要，并不是天然屬于某一個行業(yè)，而是看其對國家安全的影響。但如果完全不引入“分類”的概念，對重要數(shù)據(jù)的定義將十分宏觀，導致標準可操作性差，對管理會帶來一定困難。將來一定是行業(yè)和地區(qū)制定自己的重要數(shù)據(jù)目錄，所以這是兩難問題。

第四，重要數(shù)據(jù)與國家秘密信息的區(qū)別是什么？秘密信息是秘密信息，重要數(shù)據(jù)是重要數(shù)據(jù)，《數(shù)據(jù)安全法》里面提到的核心數(shù)據(jù)再核心都不是國家秘密信息。敏感性上，重要數(shù)據(jù)要弱于國家秘密信息，但很多時候也不宜公開。保護力度上，國家秘密防護重點是嚴格限制信息的知悉范圍，重要數(shù)據(jù)保護則要防止數(shù)據(jù)泄露、防止數(shù)據(jù)篡改，還要維護數(shù)據(jù)真實性。此外，重要數(shù)據(jù)比國家秘密信息更要考慮數(shù)據(jù)匯聚、整合、分析后的安全風險。除了保密性，重要數(shù)據(jù)對完整性可用性的也有較高要求。 

 第五，重要數(shù)據(jù)如何分布？將來重要數(shù)據(jù)的管理范圍還需要做具體分析，例如政府機構(gòu)的宏觀經(jīng)濟數(shù)據(jù)、金融監(jiān)管數(shù)據(jù)、人口資源數(shù)據(jù)等是必須有的，社會公共服務機構(gòu)如醫(yī)院、高校也不能免除在外，具有相應資質(zhì)的權(quán)威專業(yè)機構(gòu)如地理、地震、天文、氣象等，科研機構(gòu)、互聯(lián)網(wǎng)企業(yè)、各類產(chǎn)品和服務商，可能都在重要數(shù)據(jù)的管理范圍之內(nèi)。

來源：中國信息安全