ARTICLES
专业文章
企业数据合规如何迈出第一步——网络数据分类分级新规解读
企业数据合规如何迈出第一步——网络数据分类分级新规解读
I.
《实践指南》的适用范围是什么?
《实践指南》仅适用于网络数据分类分级工作。“网络数据”是指任何以电子方式对信息的记录。[1]
II.
网络数据分类分级的原则是什么?
(a) 合法合规原则
在一些行业内,已存在符合其行业特性的数据分类分级行业标准、指引和规范(“行业标准”)。从事这些行业的数据处理者应首先遵守这些行业标准。现有的主要行业标准如下:
点击可查看大图
《实践指南》明确了部分行业标准中的数据分级规则与《实践指南》中的分级规则之间的对应关系[2]。例如,《工业数据分类分级指南(试行)》中规定的“工业数据三级”对应的是《实践指南》分级规则下的“核心数据”(定义见下文),“工业数据二级”对应的是“重要数据”(定义见下文),“工业数据一级”对应的是“一般数据”(定义见下文)。
(b) 分类多维原则
网络数据的分类分级应考虑多种视角和维度。从不同的视角和维度出发,可对网络数据进行多种分类。《实践指南》中的网络数据分类分级框架(详见下文第III部分)就是这一原则的绝佳范例。
(c) 分级明确原则
数据分级的各级别应界限分明。数据处理者应针对不同级别的数据采取不同的保护措施。
(d) 就高从严原则
若一个数据集包含多个级别的数据项,那么应按照数据集中最高级别的数据项对数据集进行认定。例如,如果一个数据集包含核心数据、重要数据和一般数据,那么这个数据集就应当被认定为“核心数据”。
(e) 动态调整原则
数据的分类和级别并非是一成不变的静态定论,而是会根据相关政策、特定安全事件的发生等而发生改变。
III.
网络数据分类分级的框架和方法
(a) 网络数据分类的框架和方法
根据分类多维原则,网络数据可以基于不同维度进行分类。
点击可查看大图
如上图所示[3],所在行业存在行业标准的数据处理者应优先遵循行业标准。所在行业没有行业标准的,可以依照上图从组织经营的维度对数据进行分类。
(b) 网络数据分级的框架和方法
i. 分级的基本规则
在对网络数据进行分级时,数据处理者应综合考虑两个因素,即可能受影响的对象和影响程度。根据《实践指南》,网络数据会被划分为三个基本等级:“核心数据[4]”“重要数据[5]”和“一般数据[6]”。一般数据则可以进一步细分为1级到4级。分级的框架如下:
点击可查看大图
《实践指南》进一步针对各个危害对象的危害程度进行了描述。[7]例如,如果数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,会涉及到一个或多个省市的大部分地区,引起社会动荡,对经济建设有极其恶劣的负面影响,则该数据视为对公众利益造成严重危害,应视其为核心数据。
在对网络数据进行分级时,数据处理者首先应对照国家标准和行业标准,判断该数据是属于核心数据还是重要数据。如果国家标准或行业标准中尚未提及,数据处理者可以结合数据被篡改、破坏、泄露、非法获取或利用造成的影响程度,参照现有的识别核心数据或重要数据的标准和规定,以此判断该数据是属于核心数据还是重要数据。如果数据构成数据集,数据处理者应当遵循前述“就高从严原则”加以判断。
ii. 个人信息分级
《中华人民共和国个人信息保护法》(简称“个保法”)明确了个人信息[8]和敏感个人信息的定义[9]。在上述定义的基础上,《实践指南》通过提供具体个人信息分类分级的例子,进一步阐释了个人信息分类的机理。[10]《实践指南》还为特定的个人信息划定了评级最低参考级别。例如,敏感个人信息的最低参考级别应不低于一般数据4级,一般个人信息应不低于一般数据2级;组织内部员工个人信息应不低于一般数据2级;任何去标识化的个人信息[11]应不低于一般数据2级,任何匿名化的个人信息[12]应不低于一般数据1级。
iii. 衍生数据的定级
根据数据加工程度不同,网络数据可分为原始数据、脱敏数据、标签数据、统计数据和融合数据,除原始数据外统称为“衍生数据”。衍生数据可能会被重新定级。例如,与原始数据相比,脱敏数据和标记数据可能会被降级;与原始数据相比,统计数据,如反映大规模群体特征或行动轨迹,可能会被升级。
iv. 重新定级
当数据内容、规模、应用场景或其他情况发生变化时,数据应随之重新定级。
IV.
网络数据分类分级实施流程
数据处理者应遵循以下步骤,对数据资产进行分类分级:
(a) 对组织的数据资产进行全面梳理、盘点,形成数据资产清单。
(b) 根据行业标准或其他数据分类规则,从不同的维度上对其数据资产进行分类。
(c) 分别鉴别核心数据、重要数据、不同级别的一般数据和不同级别的个人信息,并完成对其数据资产的分级。
(d) 审核上述分类分级结果,形成数据资产分类分级清单,并及时更新。
(e) 根据不同级别数据的不同要求,采取有区别的保护措施,对数据实施全流程分类分级管理和保护。
V.
关键要点
数据的分类分级是中国法下开展数据合规工作的第一步,《实践指南》通过细化规则和提供参考示例的方式,为网络数据的分类和分级提供了标准化实践指引。虽然它仅适用于网络数据,但也同时为非网络数据的分类分级提供了重要参考。因此,相关企业应遵循《实践指南》和相关法律法规的指引,对其数据资产进行自查,并采取相应措施保护,确保其数据资产安全。
[注]
