7月28日,，在第九屆互聯(lián)網(wǎng)安全大會(huì)（ISC 2021）上,，由中國(guó)信息協(xié)會(huì)信息安全專(zhuān)業(yè)委員會(huì)、ISC互聯(lián)網(wǎng)安全大會(huì)聯(lián)合主辦的ISC-網(wǎng)絡(luò)空間安全治理前沿峰會(huì)成功召開(kāi),。與會(huì)的眾多專(zhuān)家都對(duì)網(wǎng)絡(luò)空間安全和數(shù)據(jù)治理提出了自己的真知灼見(jiàn),。

　　會(huì)上，中國(guó)信息安全研究院副院長(zhǎng)左曉棟做了“《重要數(shù)據(jù)識(shí)別指南》研究進(jìn)展”的演講,，介紹了《重要數(shù)據(jù)識(shí)別指南》這項(xiàng)擬定中國(guó)家標(biāo)準(zhǔn)的工作進(jìn)展和要點(diǎn),。

　　綜合左曉棟的演講和媒體采訪，記者總結(jié)了幾個(gè)關(guān)于重要數(shù)據(jù)識(shí)別這項(xiàng)工作業(yè)界所關(guān)心的問(wèn)題,。

　　為什么要制定《重要數(shù)據(jù)識(shí)別指南》,？

　　左曉棟：《重要數(shù)據(jù)識(shí)別指南》標(biāo)準(zhǔn)的制定是一項(xiàng)非常重要的工作，簡(jiǎn)而言之,，國(guó)家要由這個(gè)標(biāo)準(zhǔn)作規(guī)范明確管理對(duì)象,，即什么是重要數(shù)據(jù)。這是國(guó)家重要數(shù)據(jù)一系列安全監(jiān)管制度的基礎(chǔ),。

　　數(shù)據(jù)有那么多,，重點(diǎn)保護(hù)什么數(shù)據(jù)？很多法律法規(guī),、政策文件里的要求,，往往都是落到了重要數(shù)據(jù)。重要數(shù)據(jù)概念最早來(lái)自《網(wǎng)絡(luò)安全法》,。第37條提到個(gè)人信息和重要數(shù)據(jù)的境內(nèi)存儲(chǔ)以及出境安全評(píng)估制度，從法律的層面上首次提出重要數(shù)據(jù)的概念,。今年6月10日正式通過(guò)的《數(shù)據(jù)安全法》,，其中第21條指出，國(guó)家要制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù),。從某種程度上講,，我認(rèn)為這是目前國(guó)家數(shù)據(jù)分類(lèi)分級(jí)制度唯一一項(xiàng)具體工作。第27條,，提出重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。這是具體的法律責(zé)任義務(wù)的要求,。第30條和第31條,，都對(duì)重要數(shù)據(jù)處理者提出了法律法規(guī)要求。

　　除此之外,，最近大家非常關(guān)注的網(wǎng)絡(luò)安全審查制度,，第九條提到了如何判斷國(guó)家網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，其中一條是重要數(shù)據(jù)被竊取,、泄露,、損毀的風(fēng)險(xiǎn)。另外,，數(shù)據(jù)安全管理辦法征求意見(jiàn)稿的第15條,，提到網(wǎng)絡(luò)運(yùn)營(yíng)者以經(jīng)營(yíng)為目的收集重要數(shù)據(jù)或個(gè)人敏感信息的，應(yīng)向所在地網(wǎng)信部門(mén)備案,。我們可以看到,，越來(lái)越多的法律法規(guī)，都在提出對(duì)重要數(shù)據(jù)處理的要求,。下一步國(guó)家要建立一整套重要數(shù)據(jù)安全監(jiān)督管理制度,，社會(huì)上各類(lèi)的數(shù)據(jù)處理者如果涉及到對(duì)重要數(shù)據(jù)的處理，就會(huì)被要求落實(shí)很多重要數(shù)據(jù)保護(hù)的責(zé)任和義務(wù),，這是一個(gè)必須重視的不可回避的法律責(zé)任,，而這一切的基礎(chǔ)都是要說(shuō)清楚什么是重要數(shù)據(jù)，因此《重要數(shù)據(jù)識(shí)別指南》的制定工作是一項(xiàng)非常迫切而重要的任務(wù),。

　　重要數(shù)據(jù)這個(gè)概念是中國(guó)獨(dú)有的嗎,？

　　左曉棟：很多人問(wèn)我，國(guó)外沒(méi)有重要數(shù)據(jù)管理,，為什么中國(guó)提出這項(xiàng)制度,，依據(jù)是什么？

　　首先,，重要數(shù)據(jù)確實(shí)不是個(gè)國(guó)際詞匯,，多數(shù)國(guó)家也沒(méi)有作為一個(gè)大類(lèi)統(tǒng)一提出要求，但絕不意味著國(guó)外只管個(gè)人信息,，不管重要數(shù)據(jù),。國(guó)外既有對(duì)非個(gè)人信息的管理,，也有明確的出境管控制度。

　　例如美國(guó)的NIST800-60標(biāo)準(zhǔn),，從保密性,、完整性、可用性角度把聯(lián)邦政府信息系統(tǒng)分為低,、中,、高三級(jí)，然后對(duì)聯(lián)邦政府信息系統(tǒng)提出安全要求,。除了對(duì)信息系統(tǒng)分級(jí),，對(duì)數(shù)據(jù)也分成三級(jí)。通過(guò)對(duì)系統(tǒng)和數(shù)據(jù)的分級(jí),，決定信息系統(tǒng)適用于哪一級(jí)的安全要求,。

　　此外，美國(guó)還有涉密信息管理制度,。時(shí)任美國(guó)總統(tǒng)奧巴馬曾簽署13556號(hào)行政令,，明確了“受控非密信息”（CUI）管理制度，其中明確了CUI定義,，并且對(duì)CUI分為20大類(lèi),，124子類(lèi)。CUI雖然不是秘密信息,，但受到控制,，這也是一種重要數(shù)據(jù)。美國(guó)NIST一直在制定關(guān)于受控非密信息的安全保護(hù)要求,，不但制定了SP 800-171《保護(hù)非聯(lián)邦系統(tǒng)和機(jī)構(gòu)的受控非密信息》,、還制定了 SP 800-171A《受控非密信息安全要求評(píng)估》、 SP 800-171B《保護(hù)非聯(lián)邦系統(tǒng)和組織中的受控非密信息：關(guān)鍵程序和高價(jià)值資產(chǎn)的增強(qiáng)安全要求》,。800-171B的范圍擴(kuò)展到了非聯(lián)邦機(jī)構(gòu),，如聯(lián)邦政府的合同商跟聯(lián)邦政府發(fā)生了關(guān)聯(lián)，由此產(chǎn)生的數(shù)據(jù)到了社會(huì)領(lǐng)域,，非聯(lián)邦機(jī)構(gòu)就必須落實(shí)這些數(shù)據(jù)的安全要求,。

　　重要數(shù)據(jù)識(shí)別的基本原則是什么？

　　左曉棟：根據(jù)上級(jí)有關(guān)部門(mén)要求,，全國(guó)信安標(biāo)委2019年批準(zhǔn)了《重要數(shù)據(jù)識(shí)別指南》研究項(xiàng)目,，在去年正式立項(xiàng)。目前,，這項(xiàng)工作正處于征求意見(jiàn)稿階段,。

　　重要數(shù)據(jù)的識(shí)別有六個(gè)原則。

　　首先是聚焦安全領(lǐng)域,。重要數(shù)據(jù)是從國(guó)家安全,、經(jīng)濟(jì)運(yùn)行,、社會(huì)穩(wěn)定、公共健康和安全等角度來(lái)識(shí)別,，只對(duì)組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù)，如企業(yè)的生產(chǎn)經(jīng)營(yíng)和內(nèi)部管理相關(guān)數(shù)據(jù),。此外,，個(gè)人信息是監(jiān)管制度的重要對(duì)象，但個(gè)人信息保護(hù)已經(jīng)有明確的管理制度,，所以沒(méi)有必要把個(gè)人信息保護(hù)工作和重要數(shù)據(jù)保護(hù)工作糾纏在一起,。

　　第二是促進(jìn)數(shù)據(jù)流動(dòng)。明確安全保護(hù)重點(diǎn)和監(jiān)管對(duì)象,，規(guī)范數(shù)據(jù)開(kāi)發(fā)利用,，促進(jìn)數(shù)據(jù)安全、有序地流動(dòng),。把保護(hù)和監(jiān)管對(duì)象明確了,，不是范圍里的就不用落實(shí)一些更加嚴(yán)格的要求。

　　第三是銜接既有規(guī)定,。充分考慮地方已有管理要求和行業(yè)特色,。地方和部門(mén)已經(jīng)制定實(shí)施有關(guān)數(shù)據(jù)管理政策和標(biāo)準(zhǔn)規(guī)范的，在識(shí)別重要數(shù)據(jù)時(shí)應(yīng)當(dāng)與其緊密銜接,。建立數(shù)據(jù)分類(lèi)分級(jí)制度是國(guó)家的指導(dǎo)思想,，各個(gè)行業(yè)在制定具有自己行業(yè)特色的數(shù)據(jù)分類(lèi)分級(jí)標(biāo)準(zhǔn)，開(kāi)展數(shù)據(jù)安全保護(hù)工作的時(shí)候,，必須明確重要數(shù)據(jù),，但此時(shí)的重要數(shù)據(jù)要和國(guó)家的定義保持一致。

　　第四是綜合考慮風(fēng)險(xiǎn),。依據(jù)數(shù)據(jù)用途,、面臨的威脅不同，綜合考慮數(shù)據(jù)受到篡改,、破壞,、泄露或者非法獲取、非法利用等風(fēng)險(xiǎn),，從保密性,、完整性、可用性,、真實(shí)性,、準(zhǔn)確性等多個(gè)角度識(shí)別數(shù)據(jù)的重要性。一個(gè)數(shù)據(jù)認(rèn)定為重要數(shù)據(jù),，不僅只是保密性要求,，有一些數(shù)據(jù)如氣象數(shù)據(jù)是公開(kāi)的,，但它有著嚴(yán)格的發(fā)布渠道以及真實(shí)性、準(zhǔn)確性要求,。這意味著重要數(shù)據(jù)的屬性又和監(jiān)管手段直接關(guān)聯(lián),，這個(gè)問(wèn)題現(xiàn)在還在討論之中，要綜合考慮風(fēng)險(xiǎn),。

　　第五是定量定性結(jié)合,。以定性與定量相結(jié)合的方式識(shí)別重要數(shù)據(jù)，根據(jù)具體數(shù)據(jù)類(lèi)型采取不同識(shí)別方法,。有的數(shù)據(jù)天然就重要,，有的數(shù)據(jù)達(dá)到一定的量，由量變到質(zhì)變,，會(huì)變成重要數(shù)據(jù),，因此需要根據(jù)實(shí)際情況定量定性結(jié)合。

　　最后是動(dòng)態(tài)識(shí)別復(fù)查,。定期復(fù)查重要數(shù)據(jù)識(shí)別結(jié)果,，且在數(shù)據(jù)用途、共享方式,、敏感性等發(fā)生變化時(shí),，應(yīng)當(dāng)對(duì)重要數(shù)據(jù)進(jìn)行重新識(shí)別。

　　重要數(shù)據(jù)有哪些特征,？

　　左曉棟：目前擬定中的《重要數(shù)據(jù)識(shí)別指南》將重要數(shù)據(jù)的特征分成了“7+1”類(lèi),。7個(gè)明確的類(lèi)別是：與經(jīng)濟(jì)運(yùn)行相關(guān)、與人口和健康相關(guān),、與自然資源和環(huán)境相關(guān),、與科學(xué)技術(shù)相關(guān)、與安全保護(hù)相關(guān),、與應(yīng)用服務(wù)相關(guān),、與政務(wù)活動(dòng)相關(guān)，還有1個(gè)“其他”,。這不是對(duì)重要數(shù)據(jù)的分類(lèi),，而是從多個(gè)方面描述重要數(shù)據(jù)的特征，希望盡可能的明確,。

　　指南里給出了重要數(shù)據(jù)的描述方法,，因?yàn)橹匾獢?shù)據(jù)目錄是各行業(yè)各地方來(lái)自行制定，這時(shí)需要有一個(gè)統(tǒng)一的描述方法,，來(lái)規(guī)范重要數(shù)據(jù)的報(bào)送和處理,，不然匯總上來(lái)后五花八門(mén)。首先,，目錄中應(yīng)當(dāng)列出數(shù)據(jù)的分類(lèi),，具體的分類(lèi)標(biāo)準(zhǔn)可由各行業(yè)自己確定,。其次，各組織要描述自己所在行業(yè)對(duì)數(shù)據(jù)的監(jiān)管要求,，以及適用的現(xiàn)有管理政策,。第三，要描述重要性,，包括對(duì)國(guó)家安全的影響,、面臨的主要安全威脅，以及重要性的時(shí)效,。最后，要描述數(shù)據(jù)產(chǎn)生,、使用與保護(hù)情況,，包括數(shù)據(jù)來(lái)源、用途,、共享交換情況,、安全措施情況等。對(duì)重要數(shù)據(jù)形成總體描述后,，按程序進(jìn)行報(bào)送,。標(biāo)準(zhǔn)中還提出了識(shí)別流程，將來(lái)不排除各個(gè)行業(yè)根據(jù)這個(gè)標(biāo)準(zhǔn)制定更進(jìn)一步的行業(yè)細(xì)則和更具體的申報(bào)流程,。

　　對(duì)于重要數(shù)據(jù)還有哪些需要探討的問(wèn)題,？

　　左曉棟：首先是重要數(shù)據(jù)的時(shí)限性。一旦被認(rèn)定重要數(shù)據(jù),，就永遠(yuǎn)重要嗎,？國(guó)家秘密都有保密期限，重要數(shù)據(jù)的時(shí)效應(yīng)當(dāng)是多久,？當(dāng)重要數(shù)據(jù)變成不重要的時(shí)候,，該怎么銜接？有沒(méi)有長(zhǎng)期作為重要數(shù)據(jù)的情況存在,？

　　其次,，重要數(shù)據(jù)與個(gè)人信息有什么關(guān)系？原則上,，重要數(shù)據(jù)不包括個(gè)人信息,，不是個(gè)人信息不重要，而是如上所說(shuō),，個(gè)人信息另有管理制度,，但基于批量個(gè)人信息形成的統(tǒng)計(jì)數(shù)據(jù)、衍生數(shù)據(jù)等有可能是重要數(shù)據(jù),。從這一角度而言,，重要數(shù)據(jù)與個(gè)人信息并非完全割裂,。

　　第三，有沒(méi)有必要從行業(yè)分類(lèi)角度制定《重要數(shù)據(jù)識(shí)別指南》,？在國(guó)家標(biāo)準(zhǔn)層面進(jìn)行重要數(shù)據(jù)的行業(yè)分類(lèi),，可能影響行業(yè)自主性，也很難準(zhǔn)確反映行業(yè)實(shí)際情況,。重要數(shù)據(jù)之所以重要,，并不是天然屬于某一個(gè)行業(yè)，而是看其對(duì)國(guó)家安全的影響,。但如果完全不引入“分類(lèi)”的概念,，對(duì)重要數(shù)據(jù)的定義將十分宏觀，導(dǎo)致標(biāo)準(zhǔn)可操作性差,，對(duì)管理會(huì)帶來(lái)一定困難,。將來(lái)一定是行業(yè)和地區(qū)制定自己的重要數(shù)據(jù)目錄，所以這是兩難問(wèn)題,。

　　第四,，重要數(shù)據(jù)與國(guó)家秘密信息的區(qū)別是什么？秘密信息是秘密信息,，重要數(shù)據(jù)是重要數(shù)據(jù),，《數(shù)據(jù)安全法》里面提到的核心數(shù)據(jù)再核心都不是國(guó)家秘密信息。敏感性上,，重要數(shù)據(jù)要弱于國(guó)家秘密信息,，但很多時(shí)候也不宜公開(kāi)。保護(hù)力度上,，國(guó)家秘密防護(hù)重點(diǎn)是嚴(yán)格限制信息的知悉范圍,，重要數(shù)據(jù)保護(hù)則要防止數(shù)據(jù)泄露、防止數(shù)據(jù)篡改,，還要維護(hù)數(shù)據(jù)真實(shí)性,。此外，重要數(shù)據(jù)比國(guó)家秘密信息更要考慮數(shù)據(jù)匯聚,、整合,、分析后的安全風(fēng)險(xiǎn)。除了保密性,，重要數(shù)據(jù)對(duì)完整性可用性的也有較高要求,。

　　第五，重要數(shù)據(jù)如何分布,？將來(lái)重要數(shù)據(jù)的管理范圍還需要做具體分析,，例如政府機(jī)構(gòu)的宏觀經(jīng)濟(jì)數(shù)據(jù)、金融監(jiān)管數(shù)據(jù)、人口資源數(shù)據(jù)等是必須有的,，社會(huì)公共服務(wù)機(jī)構(gòu)如醫(yī)院,、高校也不能免除在外，具有相應(yīng)資質(zhì)的權(quán)威專(zhuān)業(yè)機(jī)構(gòu)如地理,、地震,、天文、氣象等,，科研機(jī)構(gòu),、互聯(lián)網(wǎng)企業(yè)、各類(lèi)產(chǎn)品和服務(wù)商,，可能都在重要數(shù)據(jù)的管理范圍之內(nèi),。