何為重要資料,不久後或將有國家標準。近日,“網路安全法實施三週年暨網路安全法前沿法律問題研討會”在線上召開。
中國資訊保安研究院副院長、中國資訊保安法律大會專家委員會顧問委員左曉棟發表主題為“重要資料識別研究進展”的演講。他透露初步計劃以國家標準的形式提出“重要資料識別指南”。
明確重要資料的定義和分類是當務之急
2017年6月1日,《網路安全法》正式實施。其中第三十七條規定:關鍵資訊基礎設施的運營者在境內運營中收集和產生的個人資訊和重要資料應當儲存在境內。
《網路安全審查辦法》於今年6月1日正式實施,其中規定,網路安全審查重點評估採購網路產品和服務可能帶來的國家安全風險,包括“重要資料被竊取、洩露、毀損的風險”。此外,正在制定之中的《資料安全管理辦法》對收集重要資料提出了備案要求。
值得注意的是,雖然上述規定都涉及重要資料,然而我國目前並沒有明確對重要資料做出定義。對此,左曉棟表示:“明確重要資料的定義和分類是當務之急。”
他還透露說,去年起受國家有關部門委託開始研究這個課題,初步計劃是以國家標準的形式提出重要資料識別指南,“工作一直在進展之中”。
重要資料應聚焦國家安全
結合國內已有的政策和國外對資料分類的相關做法,左曉棟表示,他在起草“重要資料識別指南”的過程中明確了三個原則。首先是聚焦國家安全,避免範圍擴大。重要資料應該僅僅圍繞國家安全、公共利益的角度衡量,範圍應儘可能小,不包括個人資訊、企業自身經營和內部管理的資訊以及國家秘密資訊。同時他強調,一部分商業領域的資訊屬於重要資料。
其次是遵循國外慣例,反映中國特色。在界定重要資料時應著眼於全球化發展需要,要促進資料安全有序流動,為此需充分借鑑國外已有做法;同時要適應國情,如國內蓬勃發展的移動網際網路應用和網際網路業態遠比國外複雜,大量重要資料分佈於商業領域。
最後是以定性定量相結合的方式識別重要資料,反對單純定性或定量的方法。
隨後,左曉棟還解釋了與重要資料識別有關的六個理論問題,包括管理重要資料的出發點(重要資料面臨的威脅),重要資料與國家秘密資訊的區別,如何看待資料匯聚、整合、分析後的安全風險,重要資料由誰認定,重要資料如何分佈,重要資料的重要性時效。
在主題演講的最後階段,左曉棟給出了一套重要資料基本分類的方法。他建議將重要資料分為八類,分別是國民經濟執行類、安保類、自然資源與環境類、健康類、敏感技術類、使用者類(或應用服務類)、政府工作秘密類和其他類。為了更好地推動實際工作,他還提出了刻畫重要資料幾個維度,比如類別等級、對國家安全和公共利益的影響、面臨的主要安全威脅、涉及行業、主管部門、主要分佈、主要特徵、重要性時效等。
比如國民經濟執行類的重要資料的子類資料包括戰略儲備資料、工業生產資料、金融資料等;戰略儲備資料(國民經濟執行類的二級子類)還可以分為糧食儲備資料、物資儲備資料、能源儲備資料等;糧食儲備資料(國民經濟執行類的三級子類)對國家安全和公共利益的影響體現為它能反映國家宏觀調控能力和應對戰爭或重大災害的能力,該資料的主管部門是國家糧食和物資儲備局。