法评丨企业数据分类分级模式及有关问题的实务思考
日期:2023-12-20 05:31:57   来源:媒体公告

  日前,国家层面频繁颁布有关数据和信息安全法律和法规及相关配套制度,其严格和密集程度令相关市场主体咋舌。很多未雨绸缪的企业已开始咨询或是委托专业机构开展相关合规自查工作,我们也接到一些客户的咨询,其中最受关注的一个问题是如何开始体系化的数据合规自查和整改工作,能否直接提供一个合规的工作方案和工作内容?而我们今天的话题“数据分类分级”就是我们理解的企业组织合规工作的逻辑起点,这也是企业清楚自己掌握数据家底的一个过程,只有对自己有清晰的认识,才能在逐渐趋严的数据监管环境下获得更长足的发展。

  2021年9月,国家信息安全标准化技术委员会发布《数据分类分级指引(征求意见稿)》(以下简称“《指引》”),虽然该文件并未生效,但其规定的相关联的内容仍然具有重大借鉴意义。本文将依据该文件的相关分类分级方式,从企业实操层面出发提供较为合理的数据分类分级建议。

  本文仅代表作者在目前实践中的一些个人的思考,起到抛砖引玉的作用,欢迎大家留言交流。

  《网络安全法》、《数据安全法》、《个人隐私信息保护法》(以下简称“三法”)三部法律对此规定确有其模糊性,无论是对责任主体(《数据安全法》规定为国家)的规定还是存在分级要求的遗漏等。不过我们大家都认为,三法的陆续实施,其实正说明数据分类分级工作在具体应用场景中的责任主体和内容是不同的。同时,这也反应出顶层制度设计者对数据安全保护思路和工作路径谨慎的态度。

  数据的分类分级管理并非新鲜事物,且不说最近几部相关领域的分类分级规范性法律文件和征求意见稿已经公示,尤其是在《数据安全法》、《个人隐私信息保护法》实施前后,很多部委已经对行业内的数据分类分级问题提出了管理要求。如:《工业数据分类分级指南(试行)》、《科学数据管理办法》、《证券期货业数据分类分级指引》和本文重点分析的未来有普遍适用价值的《数据分类分级指引(征求意见稿)》等等。

  可见,我们理解,已经由相关主管部门制定规范性要求的,作为数据处理者的企业应履行数据分类分级的法定义务,对于暂时并未下发规范性文件的行业,我们大家都认为相关企业也应尽早完成数据分类分级工作。因为,在可期的未来相关法规和政策会逐步落实和完善,未履行数据分类分级义务的企业可能会面临相关行政处罚。

  上文提到的类似工业领域、证券期货领域等已经由行业监管部门颁行数据分类分级制度,是否有进一步调整或是重新分类的必要呢?

  我们认为是有必要的。先来看看证券领域的规定,《证券期货业数据分类分级指引》6.4条规定:“本标准推荐的分类分级方法,从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构,最后,对分类后的数据确定级别”即数据分类“依据自身业务特点对产生、采集、加工、使用或管理的数据来进行分类”;数据分级“是以数据分类为基础,采用规范、明确的方法区分数据的重要性和敏感度差异,并确定数据级别”。此外,还有一些金融机构的有关数据分类分级规范要求也是采取这种思路,在这里可以统一总结为一种“自下而上”[2]的分类方式。即不回避特殊行业在经营中的组织管理流程和管理方式,并通过这一种方式和流程来分别归类不同的数据,接着进一步按照重要性和敏感度进行定级。这样的形式从整体看是一种企业自发和非强监管形式的数据管理体系,重在制度建设和管理效果,与国家提倡的“自上而下”(不排除未来强制推行)的分类管理存在一定的差别(上文脚注部分提到的文章中有关于“自下而上”分类的理解和弊端,有兴趣的能自行查阅)。

  《数据安全法》征求意见稿曾经明确要求各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据目录,对列入目录的数据来进行重点保护。虽然后续正式稿仅是协调有关部门制定目录,也就是强行意味稍有缓释,但是从国家管理的趋势看,我们大家都认为“自上而下”的数据分类分级方式才是适应国家监管目的数据管理模式。

  因此,我们提议已经有相关分类分级制度的行业或是企业仍然必须要格外注意借鉴“自上而下”的分类分级管理思路,结合行业要求重新进行数据分类工作。

  我们认为,数据分类分级并不仅仅限于重要数据,数据内容和体系复杂多元,任何数据都有其代表的价值和法益。处理和使用数据时中涉及不同主体不一样的层次的利益,不重要的信息并不代表不会产生价值,不意味着在遭到破坏后不会产生实际的权益损失。还有,同样安全程度的数据一旦数量、程度、维度、领域等发生明显的变化的,则非常有可能具备与重要或核心数据一样的安全及经济价值。

  《指引》中在原则部分将国家核心数据、重要数据(重要数据的定位混乱,其到底是个类别的概念还是级别概念?如《汽车数据安全管理若干规定》[3]、《网络安全法》[4]、《数据安全法》[5]中体现其是个类别概念;而《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》[6]中则体现为一个级别概念;核心数据与此问题类似不再展开)与个人隐私信息、法人数据并列(细则中6.3也将四个数据类型并列),属于类别概念的分类。而《指引》的具体细则和其展示的图1中,则将国家核心数据、重要数据纳入级别概念的分类,如果这样的一种情况不做调整,则会在实践中产生分类混乱,建议未来在正式稿中进一步明确。我们理解从逻辑上分析的话,国家核心数据、重要数据应是结合危害程度来确定的,归为级别概念更为合理。

  《指引》规定了关于个人隐私信息的两个分类方式,我们提议选择按照个人隐私信息的敏感程度分类方式,即分为一般个人隐私信息与敏感个人隐私信息。不建议选择按照私密程度进行分类,是因为法规层面私密信息与个人隐私的基本人格权易产生边界混同的情况,不利于分类工作开展。

  《指引》附录A中还有对一般个人隐私信息与敏感个人隐私信息的进一步分类(一级类别和二级类别)。我们提议在二级分类层可以先按照这两个分支看展分类工作,不过从实际的分类效果看,大多数企业暂时没有必要针对个人隐私信息进行更复杂的多层分类。

  《指引》规定公共数据中政务数据原则上优先参考国家或当地的电子政务信息目录进行分类,也可参考 GB/T 21063.4-2007《政务信息资源目录体系 第4部分:政务信息资源分类》[7]等相关电子政务国家标准等进行数据分类。其他公共数据则在存在公共数据目录的情形下,按照公共数据目录分类,如不存在的则按照服务行业领域分类或是从公共数据开放程度和条件的角度进行分类。

  可见,公共数据分类的类别有其规范性要求,受国家、地方政府及行业公共数据公开目录形式的约束。

  《指引》规定法人数据可分为业务数据、经营管理数据、系统运行和安全数据三类,没有特殊行业标准的可以借鉴执行。通常的工业类公司能够参考《工业数据分类分级指南(试行)》的规定从数据域领域的分类维度展开,分为:研发数据域(研发设计数据、开发测试数据等)、生产数据域(控制信息、工况状态、工艺参数、系统日志等)、运维数据域(物流数据、产品售后服务数据等)、管理数据域(系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等)、外部数据域(与其他主体共享的数据等)[8];还有汽车领域将车联网信息服务数据分为六大类[9],然后每个大类又分若干小类。上述领域在法人数据二级或是多级分类这个维度层面已经具有直接适用的基础,相关企业可以直接参考。

  还有一种分类方式,在适用时更为细致,即从行业主体的角度考虑来进行行业细分,如:《互联网平台分类分级指南(征求意见稿)》中的相关分类方式,首先把互联网平台这一特殊行业的主体整体分成六大类,然后根据平台的连接属性和主要功能进一步确定平台所属的具体二级类型。平台类型确定后,在把上面的分类规则结合二级分类中的属性,可以很轻松的完成平台企业的数据分类工作。

  需要注意的是,《指引》规定法人数据仅用于组织的业务生产、经营管理及信息系统管理,并不包括客户的个人信息[10]。结合上文的数据分类就高原则,如果此时混同有个人信息的,则应归类为个人信息。

  《指引》规定,数据定级应针对国家安全公共利益、个人合法权益及组织合法权益这些危害对象,并根据危害程度(数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后,所造成的危害的大小)开展。《指引》罗列了四个程度的危害,从低到高可分为轻微危害、一般危害、严重危害、特别严重危害。

  《指引》根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成公开级(1级)、内部级(2级)、敏感级(3级)、重要级(4级)、核心级(5级)五个级别。

  分级应在完成数据分类后的基础上,结合上述危害程度,进行统一判定。我们这里参考《指引》罗列的参考定级方式,也可以再细化:

  需要注意的是,根据《指引》要求,国家核心数据属于核心级(5级);重要数据的级别不低于4级;敏感个人信息不低于4级,一般个人信息不低于3级,组织内部员工个人信息不低于2级(员工信息的泄露后的危害为何会低于一般个人信息?内部数据涉及个人信息的我们理解不应该差别化对待,此处建议修改),个人标签信息不低于2级;有条件开放的公共数据级别不低于2级,禁止开放的公共数据不低于4级。我们的疑问是,个人信息(3级)和公共数据(4级)这两种不同类型数据合并后,按照个人信息处理的(就高原则)确定为个人数据,但是因为包含有4级的公共数据,那么重新确认的分类分级标准是否应为4级的个人信息呢?从《指引》规定来看,这个结论是否可行有待观察,希望未来可以明确。

  《指引》明确规定了需要重新定级的几种情形[11],而实践中确实有重新定级的必要。不过动态的处理情形过于繁杂,本文不再进一步讨论和分析,企业主体可以先行完成静态分类分级工作,然后制定相关分类分级的自查规范,结合《指引》内容定期进行数据的重新定级工作。

  《指引》明确要求企业需要组织安全、业务、数据等部门对数据分类分级结果进行评审和完善,最后才能发布实施,并应制作数据分类分级清单。同时对完成分类分级的数据资产进行标识,而后续需要根据标识出的不同类型级别的数据进行及时的维护、管理和定期更新。

  评审和标识工作有利于保障数据分类分级的准确性,后期的管理离不开准确完成归类定级的数据。

  《车联网信息服 数据安全技术要求》中对不同敏感等级的数据在分级后又进一步的规定了分级后的安全保护制度,是一种分级保护的思路:

  而在金融领域,《金融数据指南》中并未直接规定不同级别的金融数据的保护措施,而是要求5级-3级金融数据一般针对特定人员公开,且仅为必须知悉的对象访问或使用;2级金融数据一般针对受限对象公开,通常为内部管理且不宜广泛公开;1级金融数据一般可被公开或可被公众获知、使用。直观感觉是在不同级别金融数据的特征的过程中间接提及了对金融数据在访问和使用环节中应当注意的事项,并非一整套保护制度和针对性措施。

  实操中,我们建议未来企业可以加入数据分类的考量因素,按照类别和级别“纵横”布置的数据定位方式,分别就不同类别和级别的数据设计针对性的数据保护措施。

  [1]从文意直观理解,《指引》未就三类数据外再单独对无任何属性或价值的数据进行专门区分,但是《指引》全调需要分类的数据为数据资产,隐含着非资产价值的数据本身并无分类必要的意思。但是因为无效、无意义、无价值的数据是大量存在的,而且存在重新组合、恢复的数据具备价值属性的可能,因此我们建

  [2] 摘自《洪延青:国家安全视野中的数据分类分级保护》,文章来源《中国法律评论》2021年第5期专论(第71-78页)。

  [3] 《汽车数据安全管理若干规定》第三条规定:本规定所称汽车数据,包括汽车设计、生产、销售、使用、运维等过程中的涉及个人信息数据和重要数据。

  [4] 《网络安全法》第37条规定:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。

  [5] 《数据安全法》没有将重要数据和个人信息并列进行描述,但是全文通篇来看,还是可以清晰的体现二者为并列的两个数据类型。

  [6] 《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》第七条:工业和信息化部按照国家有关规定,根据数据遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益等造成的危害程度,将工业和电信数据分为一般数据、重要数据和核心数据三级。

  [7] 《政务信息资源目录体系 第4部分:政务信息资源分类》附录A做了相关分类,企业可以借鉴进行数据分类:如:综合政务;经济管理;国土资源、能源;工业、交通;信息产业;城乡建设、环境保护;农业、水利;财政;商业、贸易;旅游、服务业;气象、水文、测绘、地震;对外事务;政法、监察;科技、教育;文化、卫生、体育;军事、国防;劳动、人事;民政、社区;文秘、行政;档案;综合党团;综合类

  [9] 《车联网信息服务 数据安全技术要求》第5条“车联网信息服务分类”

  [11] 《指引》6.4条规定,数据安全定级完成后,出现下列情形之一时,应重新进行定级:a)数据内容发生变化,导致原有数据的安全级别不再适用;b)数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化;c)多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;d)因对不同数据选取部分数据来进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据;e)不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的数据;f)因国家或行业主管部门要求,导致原定的数据级别不再适用;g)需要对数据安全级别进行变更的其他情形。

  执业领域包括网络安全和数据合规、信托、私募股权投资、房地产及建设工程、证券领域(IPO、优先股、新三板、债券)、企业并购、PPP等领域。