×

打开微信,扫一扫二维码
订阅我们的微信公众号

×

扫码分享

EN
首页>汉盛研究>汉盛法评|数据交易合规系列研究之十六——数据分类分级探析

汉盛法评|数据交易合规系列研究之十六——数据分类分级探析

2022-08-16   李旻、卓伟伟

当前,数据已成为关键生产要素和重要战略资源,是创造价值的核心资产。但同时,数据与各类风险要素的接触面逐步扩大,数据开发利用的安全风险不断增加,间接导致数据非法采集、数据泄露、数据滥用等现象长期存在。对于数据交易领域,不同数据的交易要求各不相同,数据性质、数据种类、数据领域等要素均决定着数据交易的难易。同时,数据安全及管理也是数据交易的一个重要环节。对于不同种类和级别的数据对应者不同的保护手段。在多部规范中,也均要求对于数据进行分类分级保护,《网络安全法》第二十一条规定国家实行网络安全等级保护制度。《数据安全法》第二十一条规定国家建立数据分类分级保护制度,《个人信息保护法》第五十一条规定个人信息处理者应当对个人信息实行分类管理;《网络数据安全管理条例(征求意见稿)》第五条规定国家建立数据分类分级保护制度;《工业和信息化领域数据安全管理办法(试行)》第二章专章规定数据分类分级管理问题。2021年12月,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》,《指引》给出了网络数据分类分级的原则、框架和方法,本文拟结合《指引》,谈论数据分类分级的标准及方法,供业内人士探讨。

一、数据分类原则

数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分:

1. 合法合规原则:数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。

2. 分类多维原则:数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。

3. 分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。

4. 就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。

5. 动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。

二、数据分类分级方法

(一)数据分类框架及方法

数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。常见的数据分类维度,包括但不限于:

1. 公民个人维度:按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息。

2. 公共管理维度:为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。

3. 信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。

4. 行业领域维度:按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等。

5. 组织经营维度:在遵循国家和行业数据分类分级要求的基础上,数据处理者也可按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。例如用户数据、业务数据、经营管理数据、系统运行和安全数据。

具体数据分类步骤包括:

(1)识别是否存在法律法规或主管监管部门有专门管理要求的数据类别,并对识别的数据类别进行区分标识。

(2)从行业领域维度,确定待分类数据的数据处理活动涉及的行业领域。

(3)完成上述数据分类后,数据处理者可采用线性分类法对类别进一步细分。

1.png

来源:全国信息安全标准化技术委员会秘书处

(二)数据分级框架及方法

按照《数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。

1. 分级要素

数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素进行分级。

(1)影响对象:是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后受到危害影响的对象,包括国家安全、公共利益、个人合法权益、组织合法权益四个对象。

(2)影响程度:是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后,所造成的危害影响大小。危害程度从低到高可分为轻微危害、一般危害、严重危害。

2.jpg

来源:全国信息安全标准化技术委员会秘书处

2. 具体数据分类步骤

(1)按照国家和行业领域的核心数据目录、重要数据目录,依次判定是否核心数据、重要数据,如是则按照就高从严原则定为核心数据级、重要数据级,其他数据定为一般数据;

(2)国家和行业核心数据、重要数据目录不明确时,可参考核心数据、重要数据认定的规定或标准,分析数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用的危害对象和危害程度,确定核心数据、重要数据和一般数据级别;

3.png

来源:全国信息安全标准化技术委员会秘书处

(3)确定数据级别后,按照一般数据分级规则或者所属行业共识的数据分级规则对一般数据进行定级,确定一般数据细分级别。

4.png

来源:全国信息安全标准化技术委员会秘书处


相关研究