近日,全国网络安全标准化技术委员会发布《GB/T 43697-2024数据安全技术 数据分类分级规则》(以下简称《数据分类分级规则》)国家标准的报批稿。规定了数据分类分级的原则、框架、方法和流程,并给出了重要数据识别指南。
数据分类分级最初是网络运营者对数据资产进行一致性、标准化管理的方法,随后成为网络数据安全风险管理的技术方案。根据《网络安全法》第21条的规定:网络运营者应当采取数据分类、重要数据备份和加密等措施。《数据安全法》第21条也提出:国家对数据实行分类分级保护。由此可见,数据分类分级的主体由“网络运营者”转变为“国家”,而发布的《数据分类分级规则》正式基于以上上位法的法规要求确立了基本的数据分类分级规则、框架及方法等,是第一部以“数据安全技术”命名的国家标准,是指导各行业、各领域数据分类分级工作的基础性国标,同时也彰显了数据分类分级工作是数据安全的第一步。因此,本文通过以下三方面、九个点的理解,为组织数据分类分级工作提供一些参考。
数据分类分级基础框架从基本原则、数据分类规则、数据分级规则、数据分类分级流程、数据分类分级参考五个方面给出具体方法、流程可操作执行的步骤,可为各类组织(如行业领域主管部门、各个数据处理者等)提供详实的参考。
在《数据分类分级规则》第5.1节中,在描述数据分类的业务属性时,提到了“责任部门”这一关键属性,即:按照数据管理部门或职责分工进行细化分类。这一条,指定了数据管理部门作为数据分类分级工作的主责部门,也给数据分类分级实践工作提供了一个很明确的职责划分指引。众所周知,在大多数组织实际工作中,数据分类分级工作的职责划分一般分为以下三种:
1) 由安全(或科技)部门作为主责部门,牵头数据分类分级工作;
2) 由数据管理部门(或数据中心)作为主责部门,牵头数据分类分级工作;
3) 由安全部门和数据管理部门共同承担,安全部门承担管理职责,数据管理部门承担主导职责。
由于数据与业务强耦合,而数据管理部门又承担了组织数据治理工作职责,而将数据分类分级工作的主要职责放在数据管理部门,似乎是理所应当。职责有效确定是落实数据分类分级关键步骤,所以本条内容的确立,为组织落实数据分类分级工作提供了强有力的落地指引。组织可在已发布或制定中的《数据安全管理办法》或数据分类分级相关管理制度中调整或增加数据分类分级相关职责。
2022年12月19日,中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”),“数据二十条”指出“建立公共数据、企业数据、个人数据的分类分级确权授权制度”,并就公共数据、企业数据、个人信息的确权授权机制进行了专门说明。
在《数据分类分级规则》第5.1节中,提及了另一个关键的业务属性——“数据主体”,虽然本标准是从数据分类的角度出发,但不难发现数据主体的分类思想与“数据二十条”中的数据确权授权机制有着异曲同工之妙,即:在数据分类过程中确立了各参与方的数据权属。这也为数据要素化、数据资产化、数据价值化提供了理论基础。
在《数据分类分级规则》第6.2节中,对“数据集”这一名词做了解释:是由多个数据记录组成的集合,如数据库表、数据库一行或多行记录集合、数据文件等。现阶段数据分类分级实践中,大多是针对结构化数据进行数据分类分级:有的组织细化到对数据项(通常表现为数据库表某一列字段)进行分类分级并进行后续分级管控;有的组织针对数据表进行分类分级,即同样先对数据库表中的数据项进行扫描并进行分类分级,不过后续则依据就高不就低原则对数据库表、一行或多行集合等进行分级管控。
数据集,其实更多为非结构化数据提供了可落地实践的数据分类分级之路,如上可对应结构化数据中的数据库表的分级管控思路。那么,针对常见的非结构化数据包括短信、邮件、图片、音频、视频、办公文档、演示文稿等的分类分级,如一张图片可将其视为数据集,对数据集中的每一个数据项进行识别后并进行分类分级。其中,非结构化数据的分类,其实在现有的数据分类框架下,已然包括了非结构化数据,如没有覆盖的,可参考数据分类方法中业务属性的方法进行新增分类;而数据分级则可按照就高不就低原则,将数据集包含数据项的最高级别作为数据集默认级别。【可参见6.6节中第d)条内容】
在《数据分类分级规则》第6.4.1节中,影响对象,是指数据面临安全风险时可能影响的对象。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。在重要数据的定义中,通常情况下只包括了国家安全、经济运行、社会秩序、公共利益这几个影响对象。而一般数据的影响对象则包括了组织权益、个人权益。如图2所示。
但需要注意的是图中备注说明,也为影响到大规模的个人或组织权益的一般数据确立为重要数据提供了一个参考依据。特别的,在工业、汽车等领域,考虑到行业特殊性,则将组织权益或个人权益作为影响对象之一。
