金 涛
(清华大学软件学院 北京 100084)
(清华大学-中国人寿财产保险股份有限公司工业安全大数据联合研究中心 北京 100084)
全国人大常委会制定并通过了《中华人民共和国数据安全法》(以下简称《数据安全法》),自2021年9月1日起施行.《数据安全法》就如何保障数据安全和促进数据开发利用作出了明确规定,明确了相关罚则.第21条明确规定了实行数据分类分级保护,并在重要数据概念基础上进一步提出了国家核心数据概念,实行更加严格的重点保护.第27条提出在网络安全等级保护制度的基础上做好数据安全保护工作.第53条提出涉密数据的处理遵照《中华人民共和国保守国家秘密法》(以下简称《保守国家秘密法》)等法律、行政法规规定执行.
可以看出,《数据安全法》明确提出了数据分类分级保护的要求,但数据分为几级,如何分级,目前尚无定论.数字经济蓬勃发展,数据分级问题已经成为平衡安全和发展的重要问题,《数据安全法》第27条和第53条已经为数据分级工作指出了方向.
虽然在国家层面尚无统一的数据分级划分,但在不同领域已经开展了相关工作[1-5],并沉淀为相关标准,代表性工作如下:
2011年发布的GB/T 26499.1—2011《机械科学数据 第1部分:分级分类方法》,明确了数据分级原则:科学性原则、安全性原则、共享性原则,并将机械科学数据分为7个等级[6].
2016年贵州省发布的DB52/T 1123—2016《政府数据 数据分类分级指南》,定义了贵州省全省范围内政府数据资源的分类分级原则和方法,原则包括:科学性原则、稳定性原则、实用性原则、扩展性原则[7].
2020年2月工业和信息化部印发的《工业数据分类分级指南(试行)》,将工业数据分为3个安全级别.
2020年9月中国人民银行发布的JR/T 0197—2020《金融数据安全 数据安全分级指南》,给出了数据安全定级原则:合法合规性原则、可执行性原则、时效性原则、自主性原则、差异性原则、客观性原则,定级主要考虑影响对象和影响程度,将金融数据划分为5级[9].
2020年11月杭州市发布的DB3301/T 0322.3—2020《数据资源管理 第3部分:政务数据分类分级》,根据数据的敏感程度和数据遭篡改、破坏、泄露或非法利用后对受侵害客体的影响程度,按照一定原则和方法进行分级;给出了分级分类原则:科学性原则、实用性原则、自主性原则;将数据分为4级:公开数据、一般敏感数据、高度敏感数据、极度敏感数据;以附录形式给出了不同级别对应的共享属性(无条件共享、有条件共享、不予共享)和开放属性(无条件开放、有条件开放、不予开放)以及数据分级保护要点[8].
2020年12月工业和信息化部发布了YD/T 3813—2020《基础电信企业数据分类分级方法》,规定了基础电信企业数据分类分级原则、数据分类工作流程和方法、数据分级方法,并给出基础电信企业数据分类分级示例.给出的分级原则包括安全性、稳定性、可执行性、时效性、自主性、合理性、客观性、就高不就低、关联叠加效应.将电信企业数据划分为4级[10].
可见,数据基于安全工作需要划分为几级并没有统一,这不利于数据安全保护工作,不利于数据在确保安全的前提下流通使用,也不利于数字经济的发展.
《数据安全法》明确提出在网络安全等级保护制度的基础上进行数据安全保护,秘密数据处理参照《保守国家秘密法》.本节首先介绍《保守国家秘密法》和等级保护相关内容,进而提出一种数据分级方法.
《保守国家秘密法》将秘密数据划分为3级:绝密、机密、秘密。不同密级的定级由相应定密程序确定,不同密级的数据保密工作有相关规范标准明确.
2020年发布的GB/T 22240—2020《信息安全技术 网络安全等级保护定级指南》,根据等级保护对象的重要程度、受侵害的客体和对客体的侵害程度将等级保护对象的安全保护等级划分为5级[11].
等级保护对象受侵害的客体以及对客体的侵害程度与等级之间的关系如表1所示:
表1 等保定级要素与等级的关系
等级保护对象主要包括信息系统、通信网络设施和数据资源等,不涉及秘密对象.可见,等级保护标准已经明确将数据资源作为一种保护对象,故5级划分同样适用于数据.
结合2.1节和2.2节的内容,根据数据的保密性、完整性、可用性被破坏后受侵害的客体和侵害客体的程度,数据分级划分如表2所示.
表2 数据分级
按照《数据安全法》要求,数据划分为涉密数据和非密数据.
涉密数据的分级按照定密程序确定,不同密级数据的安全保护工作遵循相应规范标准.
非密数据的分级按照等级保护分级,1~5级的定级按照等保定级流程确定,在定级工作过程中不断完善目录,明确哪些数据的定级不得低于几级或是不得高于几级.由于《网络安全法》明确提出了重要数据概念,《数据安全法》进一步明确提出了国家核心数据概念,根据《数据安全法》相应法条描述,可以理解为国家核心数据是重要数据中安全级别最高的一类数据,故第5级数据又进一步细分为5.1级非核心重要数据和5.2级国家核心数据,其定级的确定需要依据相关目录按照相关原则流程确定.
第1~5级不同级别数据的安全保护,涉及系统和网络层面的,第1~4级可直接按照等级保护第1~4级的要求进行.第4级及以上系统和网络涉及到关键信息基础设施,而尚在进展中的关键信息基础设施保护相关标准将保护能力划分为3级,可以对齐到本文数据分级的第4级、5.1级、5.2级,即第4级数据的安全保护涉及系统和网络层面的,可以结合等保第4级要求和关键信息基础设施保护的能力等级1要求进行,5.1级数据按照关键信息基础设施保护的能力等级2要求进行,5.2级数据按照关键信息基础设施保护的能力等级3要求进行.不同级别数据的安全保护涉及组织、不同数据处理活动要求的,可在修订的GB/T 35274《大数据服务安全能力要求》中明确.
本文围绕数据分级开展研究工作,分析了已有相关工作,重点介绍了涉密数据分级和等级保护分级与定级,结合2类数据的分级将数据划分为8级,并对其中的第5级进行了细化分级.这种数据分级很好地结合了实践中成熟的保密管理和等级保护工作,数据定级工作可操作性强,分级后的数据安全保护工作思路清晰,能充分发挥标准体系的配套支撑作用.在现有标准工作基础上,还需要进一步开展工作,制定不同级别数据不同数据处理活动的安全保护要求以及对组织的要求,完善相关目录.