行业板块分类图:潮数科技深入解读数据分级分类及部分行业分类标准
行业板块分类图:潮数科技深入解读数据分级分类及部分行业分类标准2020年6月28日,《中华人民共和国数据安全法(草案)》在十三届全国人大常委会第二十次会议上提请审议。2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见。草案内容共7章51条,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。于2019年12月1日开始实施的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,简称“等保2.0”。将等级保护划分为五类,并提出了不同的要求。2020年5月28日,十三届全国人大三次会议表决通过了《中华人民共和国民法典》,自2021年1月1日起施行。婚姻法、继承法、民法通则、收养法、担保法、合同法、物权法、侵权责任法、民法总则同时废止。《中华人民共和国民法典》被称为“社会生活的百科全书”,是新中国
《数据安全法》草案已经提请十三届人大第二十次会议审议,《数据安全法(草案)》已经正式开始公开征求意见了。其中第十九条提出了对数据进行分级分类的要求,意义重大,潮数科技作为一家“数据安全一体化”企业,对其进行重点解读。
与《数据安全法》相关的法律与标准与《数据安全法》全称《中华人民共和国数据安全法》,与相关的法律有《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国民法典》等,同时还有《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准,这些简称为“等保2.0”。
其中,2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过《中华人民共和国国家安全法》,中华人民共和国主席令第29号公布《中华人民共和国国家安全法》,自2015年7月1日起施行。《中华人民共和国国家安全法》,是为了维护国家安全,保卫人民民主专政的政权和中国特色社会主义制度,保护人民的根本利益,保障改革开放和社会主义现代化建设的顺利进行,实现中华民族伟大复兴,根据《中华人民共和国宪法》,制定的法规。
2016年11月7日,全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》,中华人民共和国主席令第53号公布,自2017年6月1日起施行。《中华人民共和国网络安全法》是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定的法律。
2020年5月28日,十三届全国人大三次会议表决通过了《中华人民共和国民法典》,自2021年1月1日起施行。婚姻法、继承法、民法通则、收养法、担保法、合同法、物权法、侵权责任法、民法总则同时废止。《中华人民共和国民法典》被称为“社会生活的百科全书”,是新中国第一部以法典命名的法律,在法律体系中居于基础性地位,也是市场经济的基本法。《中华人民共和国民法典》共7编、1260条,各编依次为总则、物权、合同、人格权、婚姻家庭、继承、侵权责任,以及附则。民法典中确认个人享有隐私权,数据收集者有责任保护一个人的私人信息,未经同意不得收集、披露或者交易类似的数据,从而能够有效保护人们的隐私信息。
2002年5月25日下午,十三届全国人大三次会议第二次全体会议召开。全国人大常委会工作报告在下一步主要工作安排中指出,围绕国家安全和社会治理,制定《个人信息保护法》。
于2019年12月1日开始实施的《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,简称“等保2.0”。将等级保护划分为五类,并提出了不同的要求。
《数据安全法》明确提出数据分级分类要求2020年6月28日,《中华人民共和国数据安全法(草案)》在十三届全国人大常委会第二十次会议上提请审议。2020年7月3日,《中华人民共和国数据安全法(草案)》全文在中国人大网公开征求意见。草案内容共7章51条,提出国家将对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。
《数据安全法》草案, 内容涉及7章51条,包括:总则、数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放、法律责任和附则。
《数据安全法》第三章《数据安全制度》第十九条:国家根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对数据实行分级分类保护。各地区、各部门应当按照国家有关规定,确定本地区、本部门、本行业重要数据保护目录,对列入目录的数据进行重点保护。
《数据安全法》规定数据分级分类主体为国家《数据安全法》第十九条第一款中规定的数据分级分类的主体为国家,这是首次提出,足见国家、相关部门对此的重视。
值得注意的是,在《数据安全法》之前,我国现有的法律法规也有数据分级分类的规定。
比如,国务院2018年3月17日发布的《科学数据管理办法》第十条规定:“科学数据中心是促进科学数据开放共享的重要载体,由主管部门委托有条件的法人单位建立,主要职责是:(一)承担相关领域科学数据的整合汇交工作;(二)负责科学数据的分级分类、加工整理和分析挖掘;(三)保障科学数据安全,依法依规推动科学数据开放共享;(四)加强国内外科学数据方面交流与合作”。《科学数据管理办法》第二十条规定:“法人单位要对科学数据进行分级分类,明确科学数据的密级和保密期限、开放条件、开放对象和审核程序等,按要求公布科学数据开放目录,通过在线下载、离线共享或定制服务等方式向社会开放共享”。
中国证券监督管理委员会2019年6月1日实施的《证券基金经营机构信息技术管理办法》(第152号令)第三十条规定:“证券基金经营机构应当将经营及客户数据按照重要性和敏感性进行分类分级,并根据不同类别和级别作出差异化数据管理制度安排”。
但是分级分类的主体绝大多数是规范对象自身,比如:“主管部门”“法人单位”“证券基金经营机构”,而不是国家。
数据安全的基本要求存在两个层次:传统数据安全和新数据安全。其中传统数据安全保障数据用为资产的安全,主要是保障数据的完整性、保密性和可靠性;而新数据安全关注的是管控数据处理过程中对外部可能造成的危害。
“新数据安全”又可以分解为四个类型:
个人安全——即数据处理行为危害到个人安全,包括人身、财产、名誉等合法权益。此方面为个人信息保护法律管控的主要内容。
组织安全——即数据处理行为危害到其他组织的合法利益,包括知识产权、商业秘密,以及其他竞争和名誉等方面的利益。例如企业非法爬取其他企业的数据。企业非法窃取其他企业的商业秘密。企业非法使用其他企业的知识产权(比如商标、专利等)。此方面可总结为,数据处理行为不得侵害其他组织的专有数据,具体包括两方面:企事业专有数据和政党社团专有数据。企事业专有数据(proprietary data)可定义为:企事业所持有的可能影响其竞争优势的数据。
公共安全、公共利益、公共秩序——即数据处理行为危害到公共安全、公共利益、公共秩序。例如企业公开发布统计信息影响行政管理、经济秩序。
国家主权、安全、发展利益——即数据处理行为危害到“国家在政治、经济、国防、外交等领域的安全和利益”。例如企业通过数据聚合分析,推论出国家秘密,进而影响国防、国际关系等。
根据《国家网络安全事件应急预案》中的“重要敏感信息”的定义,潮数科技将“个人信息、企事业专有数据、政党社团专有数据、重要数据”,归类为“敏感信息”或“重要敏感信息”,并对其进行如下数据分类:
