大成研究 | 周亮:科技创新与法律前沿系列文章之四:一文“拆解”数据分类分级
2021年6月10日,《中华人民共和国数据安全法》(以下简称“《数据安全法》”)正式发布。值得注意的是,《数据安全法》首次在法律层面提出了数据分类分级保护制度。数据分类分级究竟是什么含义?对于一家科技企业,应当如何实施数据分类分级?本文将一一为您解答上述问题。
数据分类可以有多种维度,如基于数据产生方式、数据使用频率或者数据应用场景等。尽管企业选择的维度可以千差万别,但最终期望实现的效果却是一致的:即在清晰的分类框架下,确保数据有且只有一个分类类别。明确该前提之后,企业可以按照自身的业务特征和数据属性选择合适的分类维度。
例如,某著名移动通信运营公司A公司就根据公司内部管理和对外开放场景的特点,将数据分为以下四个类别:(A类)用户身份相关数据;(B类)用户服务内容数据;(C类)用户服务衍生数据;(D类)企业运营管理数据。而各大类数据类别下又根据需要分为各个子类,如(D类)企业运营管理数据又分为(D1)企业管理数据;(D2)业务运营数据;(D3)网络运维数据;(D4)合作伙伴数据。
数据分级指的是根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用时,对个人、企业乃至国家造成的危害程度,将数据分为不同的安全保护级别。通常而言,合理的数据分级最好在3-5级之间。
以《金融数据安全 数据安全分级指南》(中华人民共和国金融行业标准JR/T 0197—2020,“《金融数据安全指南》”)为例,该标准在定级时主要考虑了数据安全性遭到破坏后的影响对象与影响程度两个要素,影响对象包括国家安全、公众权益、个人隐私和企业合法权益;影响程度则从高到低划分为严重损害、一般损害、轻微损害和无损害。
综合考虑了上述两个要素之后,该标准将数据安全级别从高到低划分为5级、4级、3级、2级、1级:
(1)5级数据:通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响;
(2)4级数据:个人健康生理信息、个人身份鉴别信息、单位身份鉴别信息;
(3)3级数据:个人财产信息、个人地理位置信息、企业信贷信息、企业管理层信息等;
(4)2级数据:个人就学信息、单位财务信息、企业税务信息、企业司法信息等;
(5)1级数据:自有业务渠道信息、公开市场营销信息、企业工商信息、员工一般公开信息等。
数据资源是动态的,例如经过分析、融合等操作的数据重要性可能高于原始数据,这就导致了数据安全级别产生变化。因此,企业除了给数据分类分级外,还需要制定数据分级的升降级原则,明确在什么情况下数据会发生升降级变化,并采取相应处理办法。
例如,《金融数据安全指南》就明确了数据脱敏、删除关键字段、汇聚融合等部分数据安全级别变化事宜。根据这些规定,对于金融机构收集到的客户个人信息,如能通过去标识化、脱敏等技术手段,使其无法直接定位到个人金融信息主体,则其安全级别可从4级降至2级。
一方面,企业应明确国家、行业对数据安全管理的具体要求,例如中国证券监督管理委员会发布了《证券期货业数据分类分级指引》、中华人民共和国工业和信息化部发布了《基础电信企业数据分类分级方法》。因此,企业应当关注本行业的特殊数据监管要求;另一方面,企业应在此基础上明确自身的数据分类分级管理制度,包括分类分级的规则标准、操作流程,以及对企业员工进行数据分类分级的相关培训。
明确标准之后,企业应开展内部各类型数据的全面梳理,形成统一的数据资产清单,为数据安全定级做准备。应当注意的是,《数据安全法》将数据定义为“任何以电子或者其他方式对信息的记录”,换言之,纸质的档案信息以及其他书面形式对信息所作的记录,也属于数据。因此,企业在清理数据资产时不仅要关注电子形式的数据,还要关注纸质数据以及通话、传真等通讯过程中产生的数据。
根据公司内部的数据分类分级制度,或根据国家及行业有关法律法规、部门规章、行业标准,初步判定数据安全等级。由于数据规模、数据时效性、数据形态等可能发生变化,因此应当定期对数据安全级别进行复核,周期性形成数据安全级别评定结果及定级清单。
对数据分类分级的最终目的是对数据进行有效管理,因此数据安全定级之后,应当有针对性的管控要求。例如前述A公司将数据分为4级,对于第4级数据(安全级别最高),A公司要求实施严格的技术和管理措施,保护数据的机密性和完整性,确保数据访问控制安全,建立严格的数据安全管理规范以及数据实时监控机制,且严禁对外输出。而对于第1级数据,A公司仅要求实施基本的技术和管理措施,确保数据生命周期安全。并明确特定条件下第1级数据可以直接对外开放。
近年来我国对科技行业的监管审查不断加强,其中,立法机关于8月20日刚刚通过《中华人民共和国个人信息保护法》,个人信息保护的重要性不言而喻。
而科技企业要做好个人信息保护,必然无法绕过数据分类分级。因此,科技企业应重视数据分类分级,设计合理的分类分级制度,以更好地应对日新月异的监管要求。
特别声明:
以上内容属于作者个人观点,不代表其所在机构立场,亦不应当被视为出具任何形式的法律意见或建议。