【数据分类分级保护制度】
国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。
关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
【释义】
本条规范的对象是我国在国家、地区和行业层面的数据分类分级保护制度,具体包括中央和地方两个层面的数据分类分级制度建设。在中央层面建立数据分类分级保护制度,统筹和加强重要数据和核心数据的保护,在各地区、各部门建立重要数据具体目录,重点保护列入目录的重要数据。
数据分类分级管理制度是《数据安全法》确立的我国数据安全保护的重要制度之一,延续《数据安全法》第5条和第6条所确立的数据安全中央事权和条、块职责划分,数据分类分级保护制度也区分了中央事权和地方、部门事权。中央层面,本条规定国家应当建立数据的分类分级保护制度。数据分类的依据主要包括两个方面,一是数据在经济社会发展中的重要程度,二是数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度。为了贯彻实施数据分类分级保护,《数据安全法》还规定了重要数据目录制度和核心数据严格管理制度。重要数据和核心的管理保护均属于中央事权,各地区、各部门负责具体实施。具体来讲,中央层面的国家数据安全工作协调机制主要负责统筹协调职责,各地区、各部门承担确定本地区、本部门的重要数据目录的职责。最终实现由中央国家安全机构通过国家数据安全工作协调机协调有关地区、部门制定重要数据目录工作,确保推动重要数据统一认定标准的建立。(https://www.daowen.com)
核心数据是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据,核心数据要求实施更加严格的管理制度。理论上,核心数据必然是重要数据,理应纳入重要数据目录的管理范围,同时,核心数据还需要受到更加严格的保护和管理。核心数据的管理形式也可以参照重要数据目录的“中央统筹协调+地方和部门具体实施”的数据安全工作协调机制,推进统一的核心数据认定标准的制定。
从数据处理者的合规义务来看,数据分类分级保护制度将转化为数据处理者的数据安全保护义务的特殊义务内容,通过数据处理者履行数据安全保护的特殊义务而实现数据的分类分级管理。《数据安全法》第四章“数据安全保护义务”中多个条款体现数据分类分级管理制度的要求,主要包括网络数据保护应当在网络安全等级保护制度基础之上,履行数据安全保护义务(第27条第1款);重要数据处理者设置数据安全负责人和管理机构的义务(第27条第2款);重要数据处理者定期开展风险评估,并向主管部门报送风险评估报告的义务(第30条);以及重要数据出境需遵守《网络安全法》和重要数据出境安全管理办法的规定的义务(第31条)。数据安全保护的一般义务和重要数据安全保护的特殊义务相结合,形成了覆盖一般数据活动从业者和关键基础设施经营者的数据安全保护义务的整体。
从国家数据分类分级管理制度的后续实施来看,目前我国还未出台数据分类分级的统一标准,未来仍需要专门的细则来明确数据分类分级的标准。但实践中,具体领域内的数据分类分级进入快车道,如2018年9月证监会发布的《证券期货业数据分类分级指引》。2019年8月《信息安全技术 数据安全能力成熟度模型》正式对外公布,成为国标(GB/T 37988-2019)(Data Security Maturity Model,简称DSMM),于2020年3月正式实施。2020年2月工业与信息化部出台《工业数据分类分级指南(试行))》(工信厅信发〔2020〕6号)。2020年9月23日中国人民银行发布《金融数据安全 数据安全分级指南》(JR/T0197-2020)。在《数据安全法》实施以后,DSMM以及具体行业领域的数据分类分级指南很可能会成为《数据安全法》中数据分类分级制度具体实的标准和衡量指标。
【关联规定】
《中华人民共和国网络安全法》第21条、第37条,本法第27条、第30条、第31条,《证券期货业数据分类分级指引》,《信息安全技术 数据安全能力成熟度模型》,《工业数据分类分级指南(试行)》,《金融数据安全 数据安全分级指南》
(撰稿人:魏露露、赵精武)