作為國家數據安全工作的重點，重要數據監管又有了新動態。

 

　　近日，國家標準《信息安全技術重要數據處理安全要求》（下稱《要求》）首次公開征求意見。據悉，《要求》是第二部重要數據安全國標，規定了數據處理者處理重要數據的安全要求，主要涉及設施安全、數據處理活動的安全、運行與管理安全三大方面。

 

　　受訪專家認為，重要數據保護制度是我國數據安全工作中一項基礎性、全局性的重大制度。隨著國標《要求》公開征求意見，關于重要數據的兩部國家標準都已揭開面紗。了解重要數據的識別規則和安全要求，對于企業有效開展數據治理工作、數據資產梳理工作具有重要意義。

 

　　或將于年內批報

 

　　此次《要求》征求意見，是我國推進數據安全工程的重要一步。

 

　　“重要數據”概念最早見諸2017年實施的《網絡安全法》，直到2021年《數據安全法》的落地實施，重要數據的內涵才被真正明確。

 

　　《數據安全法》提出了建立數據分類分級保護制度，同時制定重要數據目錄，加強對重要數據的保護。盡管上位法已初步規定了重要數據的安全處理要求。然而，在實踐中，識別重要數據仍然存在困難。

 

　　“在實踐中，重要數據識別常被以為重要的數據的，導致實際認定的‘重要數據’范圍擴大。并且，不同行業、不同領域的重要數據類型和范圍具有顯著的差異性，僅憑一般性的‘重要數據’概念界定并不足以滿足企業合規需求，而此次征求意見稿的公布有助于為實踐中的重要數據識別提供更為明確、具體且可操作的判斷標準。”北京航空航天大學法學院副教授、北京科技創新中心研究基地副主任趙精武向21世紀經濟報道記者表示。

 

　　為進一步細化重要數據的識別要求和安全保護標準，2020年，全國信息安全標準化技術委員會正式委托編制國家標準《重要數據識別指南》。2023年上半年，《重要數據識別指南》歷經征求意見稿、送審稿后，正式向國家申請報批。

 

　　考慮到重要數據的識別只是第一步工作，數據處理者還應在識別出重要數據后對其加以保護，故還需制定第二部國家標準《要求》。為此，全國信息安全標準化技術委員會于2022年對該標準立項，國家標準化管理委員會于2023年8月下達了國家標準計劃號20230792-T-469。該標準同樣被主管部門列為重點標準。

 

　　2023年8月，經全國信息安全標準化技術委員會組織審定后，《要求》向社會公開征求意見。據中國科學技術大學公共事務學院教授左曉棟透露，目前委員會正在積極推進《要求》的制定工作，爭取于年內報批。

 

　　從征求意見稿來看，《要求》規定了數據處理者處理重要數據的安全要求，明確了重要數據的定義，并規定了重要數據的設施安全、數據處理活動的安全、運行與管理安全的具體標準，為數據處理者對重要數據開展處理活動提供指引。

 

　　“《要求》的編制有一個重要原則，即全面落實法律法規規定的重要數據安全保護要求。”左曉棟表示，該標準有著明確而具體的上位法，這是其與其他標準的重要區別。

 

　　左曉棟進一步指出，《數據安全法》對重要數據安全的要求是分散的，不成體系，不能作為《要求》的直接依據。2021年11月，《網絡數據安全管理條例》征求意見，專門設立了“重要數據安全”章節，這是我國系統性建立重要數據保護制度的標志，也為《要求》的編制提供了根本依據。

 

　　“編制組主要以2021年11月的版本為基本參考，并根據主管部門的通知，針對條例的變化情況及時調整了標準的內容。”他表示。

 

　　北京師范大學法學院博士生導師、中國互聯網協會研究中心副主任吳沈括認為，以國標的形式明確重要數據的識別規則和安全要求，對于企業有效開展數據治理工作、數據資產梳理工作具有重要意義。同時，在落實與重要數據相關的各項法定合規義務層面，也有具體的指導價值。

 

　　新的藍海已經產生

 

　　據了解，《要求》編制原則從四方面明確數據安全內涵，即環境安全、資產安全、行為安全、生產要素安全，并提到“不能僅從數據收集處理的生命周期來理解數據處理安全需求”。

 

　　對此，趙精武認為，這里實際上體現了我國立法層面的體系化、動態化數據安全理念。一方面，數據安全的保障不僅需要從數據收集、加工、處理、存儲、刪除、銷毀等各個業務環節予以落實，另一方面，數據安全風險還與所處環境、數據處理者內部管理制度等諸多外部因素相關，故而同時需要從環境安全、資產安全、行為安全以及生產要素安全等層面確保數據所處狀態的安全性。

 

　　具體到標準內容上，《要求》主要規定了三個方面：設施安全、數據處理活動的安全、運行與管理安全。

 

　　其中，設施安全主要包括系統安全和云計算服務平臺安全。數據處理活動的安全，主要涉及數據收集、存儲、使用與加工、傳輸與提供、公開、刪除等環節，重點突出重要數據全生命周期中，各項處理活動應滿足的安全要求。

 

　　對于數據處理活動的收集環節，《要求》提出數據處理者應制定“重要數據清單”及“重要數據目錄”。

 

　　趙精武指出，“重要數據清單”是為了方便數據處理者通過自動化信息技術提升重要數據的識別效率；“重要數據目錄”則是為了落實監管機構根據《數據安全法》第21條制定的本行業、本領域的重要數據目錄，記載事項不僅僅涉及數據的基本情況，還涉及到責任主體、數據處理以及數據安全情況等內容。

 

　　兩者的區別在于,“重要數據清單”主要是為了數據處理者自身提供識別依據和指引，“重要數據目錄”則是為了實現定期數據安全風險評估的管理效果，同時數據處理者需要依法定期上報國家有關部門，這也是為了國家有關部門能夠根據產業實踐情況更新、維護本行業的重要數據目錄。

 

　　另外，運行與管理安全方面，主要包括組織與人員、數據治理、供應鏈、審計、應急處置、風險評估、配合監督管理等運行安全要求。其中，《要求》6.6條規定了風險評估的具體步驟，描述了評估制度、評估內容、評估時機等要求。

 

　　針對重要數據的不同階段進行針對性的安全風險評估，是否會一定程度增加企業合規成本？

 

　　吳沈括表示，安全評估是目前安全領域中的常見做法，能夠提高事先預防和處置的能力，對于風險的識別、防范、緩解具有實際的重大意義。“在此過程中，企業的合規成本也會有一定的上升，所以需要考慮的是在監管合規過程中及時研判實質的成本收益，做出有效的價值平衡，并且需要持續地探索靈敏便捷、具有經濟性的數字化實現方案。”

 

　　趙精武認為，目前《要求》規定的安全風險評估標準并不會過度增加企業合規成本。一方面，采取更有效的風險預防措施，能夠減少企業因數據安全事件而遭受的損失；另一方面，這些針對性安全評估實際上早在《網絡安全法》《數據安全法》等法律法規中有所提及，“針對性”不能簡單理解為“更嚴格的安全監管要求”，而是應當理解為“個性化的安全監管”和“更有效的義務履行方式”。

 

　　在左曉棟看來，重要數據保護制度是我國數據安全工作中一項基礎性、全局性的重大制度。目前，關于重要數據的兩部國家標準都已揭開面紗。從識別到管理，從使用到保護，所有的安全要求都需要有專業化、自動化工具的支持，數據跨境流動等場景更離不開專業咨詢服務。“這意味著一片新的藍海已經產生，新的產業方向呼之欲出。”

 

　　來源|21世紀經濟報道