数据分类分级是 数据安全 保证的第壹步,也是增进 数据要素 流通利用的关键一步。一段时期以来,数据分类分级缺乏具有权威性、可执行性的标准文件。随着一项国家标准的出台,数据分类分级难的情景将得到解决。
最近,全国 网络安全 标准化技术委员会(以下简称全国网安标委)正式发布首个 数据安全 技术类标准,即国家标准GB/T 43697-2024《 数据安全 技术数据分类分级规则》(以下简称“标准”),该标准将于2024年10月1日起正式实施。
该标准规定了数据分类分级的准则、框架、方法和流程,给出了重要数据识别指南。另外,对于数据处理者而言,数据分类分级也有了权威参考。
“‘三法一条例’(指《 网络安全 法》、《 数据安全 法》、《个人信息保护法》、《关键信息基础设施安全保护条例》)造成了的很多概念,如个人信息、重要数据、一般数据的具体内涵,缺乏相对统一规范的界定,新的标准有益于规范各方的术语使用,降低不同主体之类的数据对接成本。”某互联网大厂法务在接受21世纪经济报道记者采访时说道。
具体标准来看,数据分级规则方面,根据数据在社会发展中的重要水平,和一旦遭到泄露、篡改、损毁或非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害水平,将数据从高到低分为核心数据、重要数据、一般数据三个级别。影响数据分级的要素,包含数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等。
重要数据即特定领域、特定群体、特定区域或达到一定精度和规模的一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据,仅影响组织自身或公民个体的数据通常冷眼旁观重要数据。核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据,主要包含关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家相关部门评估明确的其它数据。核心数据、重要数据之外的其它数据则是一般数据。
根据标准,数据分类规则方面,数据根据先行业领域分类、再业务属性分类的思路进行分类。数据分类可根据数据管理和使用需求,结合已经有数据分类基础、灵活选择业务属性将数据细化分类。如从数据描述对象角度动身,可将行业领域数据分为用户数据、业务数据、经营管理数据、系统运行和安全数据。
相关定义明晰之后,数据分类分级又该如何进行?
数据分类分级的流程主要分五步走,数据资产梳理;数据分类,需要对个人信息、敏感个人信息进行识别分类;数据分级;审核上报目录;动态更新管理五步。
对于数据处理者而言,应在遵循国家和行业领域数据分类分级要求的条件上开展数据分类分级工作。其中,数据分类分级相关管理工作其实不是原封不动,而是需要根据数据重要水平和可能造成的危害水平变化,对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。
需要看到的是,标准出台不仅意味着企业 数据安全 的基底进一步打牢,更对企业数据合规甚至 数据要素 产业的发展起到极为重要的作用。
对于企业而言,数据分类分级是一项基础性合规义务。记者了解到,企业前期在完成分类分级工作的时候,主要还是基于各自对法律及相关标准的领会进行合规落地。“新的标准从整体上给出所有数据类型分类分级的具体方法,为企业数据合规及分类分级基础上的 数据要素 流通,提供了明确的要领论参考。后续也将参考标准,进一步伐整内部的数据分类分级标准及对应的合规要求。”上述法务说道。