重要数据的立法沿革
2017年《中华人民共和国网络安全法》)首次提出了“重要数据”的概念,但并未正式定义。对重要数据出境提出的安全管理要求;
2019年,《数据安全管理办法(征求意见稿)》明确“重要数据”的概念并对重要数据出境提出的安全管理要求;
2020年,《网络安全审查办法》将“重要数据 被窃取、泄露、毁损的风险”纳入对网络安全审查重点评估的“采购网络产品和服务可能带来的国家安全风险”中进行规制;
2021年,《中华人民共和国数据安全法》提出了国家建立数据分类分级保护制度,各地区、各部门确定重要数据具体目录,并强调对列入的数据进行重点保护;
2021年《信息安全技术 重要数据识别指南(征求意见稿)》对重要数据的定义及范围、识别原则及流程进行了明确规定;
2021年《网络数据安全管理条例(征求意见稿)》对“重要数据”正式定义,并专章列明具体管理规则;
重要数据的定义
| 序号 | 法律规定名称 | 发布时间 | 重要数据的定义 |
|---|---|---|---|
| 1 | 《信息安全技术数据出境安全评估指南》(征求意见稿) | 2017年8月25日 | 重要数据是指相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据) |
| 2 | 《数据安全管理办法(征求意见稿)》 | 2019年5月28日 | 重要数据是指一旦泄露可能言接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等。 |
| 3 | 《信息安全技术重要数据识别指南》 | 2020年9月23日 | 重要数据是指一旦遭到算改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 注:重要数据不包括国家秘密和个人信息,但基于还海量个人信息形成的统计数据、衍生数据可能属于重要数据。 |
| 4 | 《网络数据安全管理条例(征求意见稿)》 | 2021年11月4日 | 重要数据是指一旦遭到算改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 |
备注:2017年,《出境指南》将“重要数据”定义为“与国家安全、经济发展以及公共利益密切相关的数据”,此后《数安办法》《识别指南》等规定将后果分析这一要件直接加入定义之中,明确了重要数据认定的主要标准之一是对于可能造成的损害结果。将“重要数据”定义为“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。在适用主体上,2017年的《出境指南》将涉及的主体限定为“组织、机构和个人”,而《条例》则删除了这一限制,扩大了适用主体范围。重要数据概念内涵的适当外延,扩大了我国对于数据安全的监管范围,有利于进一步保障国家安全、数据主权和社会公共利益。
重要数据的区分——重要数据vs个人信息
“重要”的数据不等于是“重要数据”。尽管个人信息非常重要,但是根据《指南》规定,重要数据不包括个人信息。同时《指南》又提出基于海量个人信息形成的统计数据、衍生数据还是可能会属于重要数据。该规定是指达到一定量(具体值由法律法规或政策文件规定)的个人信息,除了遵循个人信息保护的既有要求外,还应该落实对处理重要数据的安全要求。但这只是参照遵循,并不是规定批量个人信息就是重要数据。
备注:这样的规定主要是一方面是基于《个人信息保护法》出台之后,个人信息已经有了个人信息保护制度,没有必要再通过重要数据保护制度对其进行重复管理;另一方面,个人信息的监管颗粒度已经非常细,很多处理行为要征得个人同意甚至是单独同意的地步。就保护数据自身和维护个人信息主体合法权益而言,重要数据管理制度不会比现有个人信息保护制度更有效。
识别重要数据的基本原则
- 聚焦安全影响:“重要数据”的出发点是对国家安全影响的考量。“重要数据”不是“重要的数据”。“重要的数据”可以有不同衡量指标,但“重要数据”只指向国家安全。因此,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据。 - 促进数据流动:重要数据也要流动,监管不是限制流动,但流动要有条件。相比于非重要的一般数据,重要数据一定是“少数派” - 衔接既有规定:充分尊重地方已有管理要求和行业特色。地方、部门已经制定实施有关数据管理政策和标准规范的,在识别重要数据时应当与其紧密衔接。 - 综合考虑风险:综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险。同时,应当从数据的保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性。 - 定量定性结合:根据具体数据类型、特性不同采取定量或定性方法。有的数据之所以“重要”,与其内在属性相关。而有的数据,只有到达一定量后,才能由量变到质变,变为重要数据。 - 动态识别复查:任何一种识别工作(不仅仅是重要数据识别)都应当体现动态性,重要数据的“重要性”时效可能在较短时间内发生变化。 |
|---|
重要数据的识别因素
| 序号 | 类型 | 识别要素 |
|---|---|---|
| 1 | 与经济运行相关 | 反映战略储备情况、与统计相关、支撑重点行业及领域运行情况、支撑工业生产情况 |
| 2 | 与人口与健康相关 | 反映人口情况、涉及健康医疗、食品药品情况 |
| 3 | 与自然资源与环境相关 | 涉及地理信息、水利情况、地震情况、气象情况、环保监测情况、海洋环境监测情况 |
| 4 | 与科学技术相关 | 涉及出口管制物项、涉及特殊知识产权、涉及重大发明发现、涉及国家科技计划 |
| 5 | 与安全保护相关 | 涉及物理安全、涉及网络安全 |
| 6 | 与应用服务相关 | 用户委托数据(在向用户提供服务的过程中,用户的重要数据转移到企业或其他组织的信息系统之中,仍属于重要数据)用户使用数据(在向政府部门、公共企事业单位用户或重点项目提供服务的过程中,所产生的与用户基本信息、使用情况等有关的数据。) |
| 7 | 与政务活动相关 | 国家机关产生的数据、公民企业上报数据 |
重要数据描述方法
重要数据处理者
重要数据处理者:
结合重要数据的定义,我们发现能源行业的生产、运行数据属于重要数据的范畴。作为国家重点企业,能源企业的安全关乎国家安全、社会稳定,能源企业在长期发展过程中,积累了巨量的数据。其中大部分数据属于公共数据、个人信息、重要数据,甚至还包括核心数据。因此能源企业所存储的数据不仅数据量巨大,而且数据品质非常高。一旦遭遇网络攻击或者数据处理不当,易导致大规模的数据泄露,可能引发国家安全问题。因此能源企业,属于重要数据的处理者,国家对此制定了更严苛的合规义务,在完成重要数据的识别工作,之后需要根据国家规定完成相应的合规义务 。
重要数据:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
重要数据处理者的合规义务
若有收获,就点个赞吧
0 人点赞
