2021年的最后一天,全国信息安全标准化技术委员会(TC260)发布了《网络安全标准实践指南——网络数据分类分级指引》正式稿(“指引正式稿”),距离其首次征求意见仅仅过去了三个月。与征求意见稿相比,指引正式稿调整篇幅较大,且调整内容均为实质意义上的探索,为此我们制作了征求意见稿和指引正式稿的对比高供参考(见附录)。作为一份并不具有法律强制规范作用的指导性文件而言,指引正式稿对相关法律法规衔接紧密,对数据分类分级的方法理解深刻准确,具有卓越的全局观,充分考虑了其他行业和领域数据分类分级的兼容性,具备相当的指导意义。本文试图从《网络数据分类分级指引》的突破之处,征求意见稿和正式稿对比的部分重大调整及其核心要点入手讨论指引正式稿的相应内容及对实务工作可能产生的影响。我们认为,指引正式稿至少具备如下实务意义。
1.全局规则制定
《网络数据分类分级指引》发布之前,数据分类分级的探索仅存在于行业领域之中,缺乏总纲性的文件。指引正式稿最显著的意义可能在于其首次从全局出发,容纳了各行业数据分类分级的需求,提出了纲领性的数据分类分级原则和方法,且颇具有实用性。指引正式稿的一大亮点在于其充分考虑了所提供的数据分类分级方法与各现有主要行业之间的协调性,指引正式稿不仅对工业、电信、金融数据的分类规则进行了梳理和总结,并将这些行业的现有数据分类分级与指引正式稿的分类分级标准进行了对照和说明(如下图示),这一做法即是参照也是直接实践,对指引的落地效果极具说服力。
从原则上而言,指引正式稿确认了合法合规、分类多维、分级明确、就高从严和动态调整规则,相比征求意见稿,五条原则进一步进行了精炼,而分类多维原则则首次将“多种视角和维度”作为数据分类的基本原则,为数据分类方法提供了灵活多元的思考视角,后文提到的“面分”“线分”亦使得分类多维原则并未浮于表面,而是提供了科学可落地的具体方法。
信息分类的基本方法有两种:线分类法与面分类法
线分类法:线分类法也陈称等级分类法。线分类法按选定的若干属性(或特征)将分类对象逐次地分为若干层级,每个层级又分为若干类目。统一分支的同层计类目之间构成并列关系,不同层级类目之间构成隶属关系。同层级类目互不重复,互不交叉。例如,我国行政区划编码,是采用线分类法,6位数字码。第1、2位表示省(自治区、直辖市),第3、4位表示地区(市、州、盟),第5、6位表示县(市、旗、镇、区)的名称。
面分类法也称平行分类法,它是把拟分类的商品集合总体。根据其本身固有的属性或特征,分成相互之间没有隶属关系的面,每个面都包含一组类目。将某个面中的一种类目与另一个面的一种类目组合在一起,即组成一个复合类目。面分类法具有类目可以较大量地扩充、结构弹性好、不必预先确定好最后的分组、适用于计算机管理等优点,但也存在不能充分利用容量、组配结构太复杂、不便于手工处理等缺点。
2.捋清数据分级的整体思路
从数据分类入手并最终达到数据分级管理,是指引正式稿对于数据分类分级工作提供的核心方法论。
针对数据分类,指引正式稿从数据类别的重要性出发对其进行识别(面分类法),并对识别顺序(重要程度)进行了排序,这一方法在指引正式稿的第5节中进行了详细列举,但可以下图进行简要了解:
针对数据分级而言,指引正式稿仍采用了从数据安全保护的角度,考虑影响对象(国家安全、公共利益、个人合法权益、组织合法权益)、影响程度(轻微危害、一般危害、严重危害)两个要素进行分级。值得注意的是,指引正式稿立足于《数据安全法》的基本分类分级观,将数据分级的基本级别适时从征求意见稿中的国家核心数据、重要数据、个人信息、公共数据,调整为核心数据、重要数据和一般数据,并在对一般数据进行了4个级别的分类。该分级方式在指引正式稿的第6节进行了详尽描述。就目前所知,该分级方法应当是可见范围内最具贴合性和灵活度的数据级别分级方式。仍以图示简单理解如下:
3.重要概念的统一和补充
在指引正式稿中,无论是数据分类中的类别识别,还是数据分级中的级别判断,都需要相对清晰的边界指引。指引正式稿为此对相关重要概念进行了创设、统一和补充。其中较为重要的概念组包括:
-公共数据、组织数据、衍生数据
-公共传播信息、非公共传播信息
-用户数据、业务数据、经营管理数据、系统运行和安全数据
-一般个人信息、敏感个人信息
特别难能可贵的是,诸如“一般个人信息”、“敏感个人信息”,在提供列举清单时,指引正式稿在《个人信息安全规范》基础上做了进一步的类别细化和补充,以匹配快速发展的数据安全整体业态共识。仍以部分图示说明,黄色和橙色部分为对《个人信息安全规范》的悉心补充:
4.结语
《数据安全法》的基础管控要求即实现数据的分类分级。尽管将数据分类和分级分列表述,但学界大多已经达成了“依据数据的重要性和影响程度进行的分类就是分级,分级是多种分类方式中的一种”的共识,指引正式稿则更为协调地完成了对数据分类分级的方法论的统筹,解决了这一困惑。诚然,在安全管理的视角、开展工作层面来说,不论是分类还是分级,目的都只是一个,区分出保护等级。因而数据分类分级仅仅是数据安全的基础工作,前方等待的还有数据安全保护、数据利用合规等层层关隘和挑战。前途漫漫仍需摸索,脚下荆棘还待携手踏平。
附:比对稿
