明確重要數據分類是當務之急 專家：擬出台重要數據識別指南國標

何為重要數據，不久後或將有國家標準。近日，“網絡安全法實施三週年暨網絡安全法前沿法律問題研討會”在線上召開。

中國信息安全研究院副院長、中國信息安全法律大會專家委員會顧問委員左曉棟發表主題為“重要數據識別研究進展”的演講。他透露初步計劃以國家標準的形式提出“重要數據識別指南”。

明確重要數據的定義和分類是當務之急

2017年6月1日，《網絡安全法》正式實施。其中第三十七條規定：關鍵信息基礎設施的運營者在境內運營中收集和產生的個人信息和重要數據應當存儲在境內。

《網絡安全審查辦法》於今年6月1日正式實施，其中規定，網絡安全審查重點評估採購網絡產品和服務可能帶來的國家安全風險，包括“重要數據被竊取、泄露、毀損的風險”。此外，正在制定之中的《數據安全管理辦法》對收集重要數據提出了備案要求。

值得注意的是，雖然上述規定都涉及重要數據，然而我國目前並沒有明確對重要數據做出定義。對此，左曉棟表示：“明確重要數據的定義和分類是當務之急。”

他還透露説，去年起受國家有關部門委託開始研究這個課題，初步計劃是以國家標準的形式提出重要數據識別指南，“工作一直在進展之中”。

重要數據應聚焦國家安全

結合國內已有的政策和國外對數據分類的相關做法，左曉棟表示，他在起草“重要數據識別指南”的過程中明確了三個原則。首先是聚焦國家安全，避免範圍擴大。重要數據應該僅僅圍繞國家安全、公共利益的角度衡量，範圍應儘可能小，不包括個人信息、企業自身經營和內部管理的信息以及國家秘密信息。同時他強調，一部分商業領域的信息屬於重要數據。

其次是遵循國外慣例，反映中國特色。在界定重要數據時應着眼於全球化發展需要，要促進數據安全有序流動，為此需充分借鑑國外已有做法；同時要適應國情，如國內蓬勃發展的移動互聯網應用和互聯網業態遠比國外複雜，大量重要數據分佈於商業領域。

最後是以定性定量相結合的方式識別重要數據，反對單純定性或定量的方法。

隨後，左曉棟還解釋了與重要數據識別有關的六個理論問題，包括管理重要數據的出發點（重要數據面臨的威脅），重要數據與國家秘密信息的區別，如何看待數據匯聚、整合、分析後的安全風險，重要數據由誰認定，重要數據如何分佈，重要數據的重要性時效。

在主題演講的最後階段，左曉棟給出了一套重要數據基本分類的方法。他建議將重要數據分為八類，分別是國民經濟運行類、安保類、自然資源與環境類、健康類、敏感技術類、用户類（或應用服務類）、政府工作秘密類和其他類。為了更好地推動實際工作，他還提出了刻畫重要數據幾個維度，比如類別等級、對國家安全和公共利益的影響、面臨的主要安全威脅、涉及行業、主管部門、主要分佈、主要特徵、重要性時效等。

比如國民經濟運行類的重要數據的子類數據包括戰略儲備數據、工業生產數據、金融數據等；戰略儲備數據（國民經濟運行類的二級子類）還可以分為糧食儲備數據、物資儲備數據、能源儲備數據等；糧食儲備數據（國民經濟運行類的三級子類）對國家安全和公共利益的影響體現為它能反映國家宏觀調控能力和應對戰爭或重大災害的能力，該數據的主管部門是國家糧食和物資儲備局。