我国出台的法律、法规、标准等涉及“重要数据”要点

基于现有已发布的和征求意见中的法律法规、标准规范等文件，针对涉及重要数据部分梳理如下：

《网络安全法》

强调网络运营者在针对重要数据的安全层面需要进行备份，针对在境内收集和产生的重要数据原则上需要在境内进行存储[1]。

《数据安全管理办法（征求意见稿)》

(1）在监管角度，强调由国家网信部门统筹协调、指导监督重要数据安全保护工作；

(2）在对网络运营者涉及收集重要数据角度，强调应向所在地网信部门备案，备案内容需包括收集使用规则，收集使用的目的、规模、方式、范围、类型、期限等，但不包括数据内容本身；

(3）在明确责任人上，强调需明确具有相关管理工作经历和数据安全专业知识的数据安全责任人；

(4）在安全能力建设上，强调网络运营者需要参照国家有关标准，采用数据分类、备份、加密等措施加强对重要数据保护；

(5）在涉及对重要数据的相关动作上，强调如果网络运营者涉及对重要数据的发布、共享、交易或向境外提供，需要动作发生前开展安全风险评估，并经相关监管部门同意后才可进行实施；

(6）在对重要数据的含义明确上，强调从影响国家安全、经济安全、社会稳定、公共健康和安全的维度，对重要数据的含义进行明确[3]。

《数据安全法》

(1）重要数据目录指定：明确要求国家数据安全工作协调机制统筹协调有关部门制定重要数据目录；各地区、各部门以数据分类分级保护制度为基础，确定响应范围的重要数据具体目录；

(2）明确负责人和机构：要求重要数据处理者明确数据安全负责人和管理机构，并落实数据安全保护责任；

(3）明确需开展风险评估：强调对涉及重要数据的处理者需要对其数据处理活动定期开展风险评估，并形成内容包含重要数据种类、数量、数据处理活动情况、数据安全风险及对应措施的风险评估报告，并向主管部门进行报送；（无需报送重要数据）

(4）涉及出境动作要求：强调CII运营者收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》；其他数据处理者境内收集、产生的重要数据，如涉及出境，需要满足国家网信部门会同国务院有关部门制定的出境安全管理办法（如：《数据出境安全评估办法》）

(5）违规出境惩罚：可处十万元以上一百万元以下罚款、主管人员和其他直接负责人出一万元以上十万元以下罚款；情节严重，处一百万元以上一千万元以下罚款、直接负责人的主管人员和其他直接负责人员处十万元以上一百万元以下罚款[2]。

《网络数据安全管理条例（征求意见稿)》

(1）数据分级层面：强调重要数据是其中一个数据级别（一般数据、重要数据、核心数据），并要求对不同级别数据采取不同的保护措施；

(2）重要数据涉及的系统层面：强调原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，并提到应使用密码对重要数据进行保护；

(3）对发生重要数据安全事件层面：在事中，强调发生事件八小时内向设区的市级网信部门和有关主管部门报告，包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等的事件基本信息；在事后，强调在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告；

(4）数据处理者向第三方共享、交易、委托处理重要数据层面：强调要与数据接收方通过合同等形式明确双方的数据安全责任义务，并应体现约定数据的目的、范围、处理方式，数据安全保护措施等；强调应征得设区的市级及以上主管部门同意。当主管部门不明确时，应当征得设区的市级及以上网信部门同意；

(5）重要数据目录层面：强调各地区、各部门按照国家有关要求和标准，组织制定本地区、本部门以及相关行业、领域的重要数据目录 ，并报国家网信部门；

(6）重要数据处理者成立的数据安全管理机构职责层面：提到研究提出数据安全相关重大决策建议、制定数据安全保护计划、制定数据安全事件应急预案、开展数据安全风险监测、及时处置数据安全风险和事件、定期组织数据安全宣传教育培训、定期组织风险评估、定期组织应急演练等活动、受理处置数据安全投诉举报、及时向相关部门进行报告数据安全情况等。并对数据安全管理机构主要负责人赋予了有权直接向网信部门和主管、监管部门反映数据安全情况的权利等；

(7）重要数据备案层面：强调重要数据处理者应在识别出重要数据后的十五个工作日内向设区的市级网信部门备案。备案内容应包括数据处理者、数据安全管理机构、数据安全负责人的基本信息（如：处理数据的目的、规模、方式、范围、存储期限、存储地点信息，但不包括数据内容本身等）；在处理数据的目的、范围、类型及数据安全防护措施等有重大变化的，应重新备案；

(8）数据安全培训层面：对重要数据处理者制定、开展数据安全培训提出了要求，强调需每年组织开展面向全员的数据安全教育培训，对从事数据安全相关的技术和管理人员在接受培训时间上进行了明确要求，强调每年不得少于二十小时；

(9）处理重要数据或者赴境外上市的数据处理者：每年应开展一次数据安全评估，并在每年1月31日前对上一年数据安全评估报告报设区的市级网信部门，并对数据安全评估报告内容提出了具体要求;

(10）向境外提供重要数据层面：强调应当通过国家网信部门组织的数据出境安全评估；提到不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供重要数据；提到当国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时，数据处理者应当以明文、可读方式予以展示；提到向境外提供重要数据的数据处理者，应当在每年1月31日前编制数据出境安全报告，并向设区的市级网信部门报告上一年度以下数据出境情况；

(11）重要数据含义层面：提到重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据，并对包含的数据进行了量化[4]。

《关键信息基础设施保护条例》

提到关键信息基础设施涉及其他重要数据泄露的，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告[5]。

《网络安全审查办法》

强调“重要数据”被窃取、泄露、损毁以及非法利用、非法出境,上市存在重要数据被外国政府影响、控制、恶意利用的风险,定义为国家安全风险因素之一。并强调需要对涉及国家安全风险的进行网络安全审查重点评估[6]。

《数据出境安全评估办法》

(1）向境外提供重要数据情形：本办法要求需要通过所在地省级网信部门向国家网信部门申报数据出境安全评估；

(2）评估有效期内变动情形：发生延长重要数据境外保存期限的需要重新申报评估；

(3）重要数据定义：指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据[7]。

基于重要数据本体，明确重要数据范围

通过对我国出台相应法规、标准、办法、条例等的梳理分析，可从中明确对涉及重要数据主体的具体要求，但当重要数据主体围绕重要数据本体开展相应动作时（如：收集、处理、共享、交换、流转等），在范围层面会出现盲区、无从下手等问题。因此，本文对《重要数据识别指南（征求意见稿）》的定义、原则进行探究，从中可洞察到重要数据的范围，为重要数据主体开展工作提供支撑。

图  1 何为重要数据

在《重要数据识别指南（征求意见稿）》中强调重要数据是以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据[8]。同时，强调重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。从中可以看出，定义中所依附的主体是“电子方式存在的数据”，此主体被篡改、破坏、泄漏等，通过“可能”危害其他主体（如：国家安全、公共利益）的方式将“电子方式存在的数据”范围进行了缩小。此范围通过“可能”的方式又在危害国家安全或公共利益的范围内进行了扩大，应包括“肯定会危害”和“可能会危害”的范围。从外部攻击者发起攻击的角度来看，一般会对肯定会危害国家安全、公共利益的电子方式存在的数据发起攻击；对“可能会危害”一般针对较少，更多的是在对“电子方式存在的数据”发起攻击后，导致了“可能会危害”的情形发生。或者从法规遵循的角度来看，拥有电子方式存在的数据主体，对自身“肯定会危害”和“有可能危害”国家安全或公共利益的数据了解的情况应比外部攻击者了解更多。所以，外部攻击者对重要数据发起的攻击，一般会聚焦在“肯定会危害”的数据上。当发生了对“可能会危害”的情况，很有可能是对电子方式存在的数据的范围攻击导致（或是侥幸、或是小概率）。由于内部相关人员对“肯定会危害”和“有可能危害”情况了解最清楚，发起攻击的数据范围是可以针对到“肯定危害”和“有可能危害”国家安全或公共利益的数据上，而大部分无需直接面对以“电子方式存在的数据”范围。另外，在定义的注释中，明确强调了重要数据不包括“国家秘密”和“个人信息”，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。也就是说个人信息层面，涉及基于个人信息本体、直接关联的数据都不是重要数据范畴（无论是个人基本信息、个人敏感信息，直接与个人信息本体相连的数据，都可断定为非重要数据）。基于个人信息本体直接关联的数据而衍生出的数据，或者基于个人信息本体直接关联的统计数据，有可能属于重要数据范畴。

在《重要数据识别指南（征求意见稿）》原则性内容中，本指南强调对重要数据的识别需要从可能对国家安全、经济运行、社会稳定、公共健康带来威胁的角度去进行识别，并基于此强调重要数据不等于重要的数据，自身认为重要的数据并非是重要数据，需要将重要的内涵上升到可能带来的风险角度进行明确；强调重要数据也是可以进行流动的，但需要满足安全保护的前提下有序流动；强调重要数据的识别工作，需要结合地方、行业、部门相关的自身特色及法律法规与本指南进行结合使用开展重要数据识别工作；针对数据本身，需要重点考虑在遭受风险后，对数据的保密性 、完整性、可用性、真实性、准确性带来的影响的角度进行开展；强调对重要数据的识别需要定量与定性进行综合考虑，将天生重要与后天可能重要的数据进行结合考量；强调重要数据并非一成不变，会随着数据用途、共享方式、重要性等的变化而发生变化，需要对重要数据定期进行复查。

通过上述《重要数据识别指南（征求意见稿）》的定义与原则进行分析可看出，重要数据不等于重要的数据、重要数据不包括个人信息（但基于海量个人信息形成的统计数据、衍生数据可能属于重要数据）、重要数据不包括国家秘密信息、重要数据不包括公共数据。借鉴祝高峰，在“认识与识别：重要数据的界定及其规制路径选择”中提到的重要数据的种类及其识别标准 [14]，对重要数据与其他数据内容进行比对分析，重要数据具有明显的特点。具体如下：

表格 2 重要数据与个人信息比对

表格 3 重要数据与商业秘密比对（重要数据不等于重要的数据）

重要数据保护基础能力建设思路

通过上述对我国出台相应法规、标准、办法、条例等的梳理分析，可从中明确对涉及重要数据主体的具体要求；通过对《重要数据识别指南（征求意见稿）》的定义、原则进行分析，明确重要数据范围及边界。当开展满足我国对重要数据要求工作之前，需建立重要数据的基础性工作（即：结合对重要数据的定义、原则建立数据分类分级体系，为后续强化重要数据安全能力提供基础性支撑）。本文在基础性能力侧，借鉴袁康、鄢浩宇在“数据分类分级保护的逻辑厘定与制度构建”中提出的五级数据分级体系，进行思考及开展数据分类分级保护[10]。

表格 5 五级数据分级体系

根据重要数据损坏后可能危害国家安全的识别标准，第三、四、五级数据均符合要求，由于第五级数据属于国家核心数据，处于单独的数据类别，因此,第三、四级数据应划入重要数据的范围。第四级数据为关键重要数据，主要特征在于损坏后可能对国家安全造成严重损害，或者形成特别恶劣的群体性事件，对社会秩序、公共利益造成特别严重的损害，但该类数据并不因流动、聚合、分析而涉及国家秘密；第三级数据为一般重要数据，介于重要数据和非重要数据的分界，不仅包含自身遭受损坏后可能危机社会秩序、公共利益和国家安全的数据，也应包括含大量一级、二级数据流动、汇聚、分析后可能对社会秩序及公共利益和国家安全造成危害的数据集。第二级数据为敏感数据，第一级数据为一般数据。第二级数据既包括个人敏感数据也包括法人和其他组织的敏感数据。第一级数据在所有等级数据中所受的流动性限制最少，最便于进行交易流通和发挥数据价值。因此，重要数据主要聚焦在“第三级 一般重要数据”和“第四级 关键重要数据”中，基于五级数据分级体系，进行针对性建立数据分类分级保护。具体内容如下：

表格 6 基于五级数据分级体系的数据分类分级保护

“重要数据”基于数据分类分级保护的安全能力强化实践

数据安全的内涵主要体现在数据所在环境的安全、数据自身安全、数据处理行为安全、数据要素安全。《重要数据处理安全要求（征求意见稿）》将其进行了归纳，将重要数据的安全保护按照三个维度进行开展，一是数据所在环境的安全、二是数据处理活动的安全、三是运行与管理安全[9]。因此，本文在重要数据安全能力强化侧，基于划分的三个维度与五级数据分级体系进行关联，建立基于数据分类分级保护的重要数据安全能力。其中，数据处理活动安全需要与数据全生命周期的各阶段的进行映射，需知悉各阶段的脆弱性与威胁，王泽在“数据全生命周期威胁与脆弱性分析归纳”[13]中，结合零信任、ATT&CK、网络安全滑动标尺等进行数据全生命周期各阶段的威胁与脆弱性进行梳理[13]。具体如下：

图  2 数据全生命周期各阶段重点考虑的要素

通过对数据全生命周期各阶段的威胁与脆弱性分析及与“五级数据分级体系”的连接。与五级数据分级体系进行关联时，应将重点放在收集重要数据层面，通过收集的重要数据明确属于五级数据分级体系中的第三级或第四级，基于此强化各环节安全能力。收集层面：重点明确属于五级数据分级体系的哪一级，量化数据来源、识别、数据分类、数据分级、数据编目等信息；存储层面：五级数据分级体系中的第三级、第四级在此不应做区分，同样需要满足存储保护、存储位置、存储期限、备份与恢复能力强化；使用与加工层面：五级数据分级体系中的第三级、第四级在此不应做区分，同样需要满足访问控制、评估、审批、保密审查等方面的能力；传输与提供层面：五级数据分级体系中的第三级、第四级在此需要进行区分，在对外提供和共享应遵循的安全要求上侧重点不同，第四级在法律文件、监督与保护、境外提供上的要求应高于第三级的重要数据；公开层面：五级数据分级体系中的第三级、第四级在此不应做区分，同样需要满足描述公开重要数据及其加工结果时，数据处理者应采取的安全措施；删除层面：五级数据分级体系中的第三级、第四级在此不应做区分，同样都需要描述了数据处理者如何安全地删除已废弃或超出约定期限的重要数据，包括数据删除、介质销毁等。

“重要数据所在环境安全”与”五级数据分级体系”的连接。重要数据的存在介质离不开重要数据的系统，对重要数据的安全防护离不开对重要数据系统的安全防护，基于五级数据分级体系，明确重要数据主要聚焦在第三级和第四级中，第三级数据主要介于重要数据和非重要数据的分界中，第四级数据主要在于损害后可能对国家安全造成的严重损坏上。因此，承载着第三级重要数据的系统原则上应当满足三级以上网络安全等级保护，承载着第四级重要数据的系统原则上应满足三级以上网络安全等级保护和关键信息基础设施安全保护要求。这样对重要数据的分级拆分，能够解决目前重要数据处理者提出的落实关键信息基础设施安全保护要求太高的争议。同时，也能映射《重要数据处理安全要求（征求意见稿）》中强调的数据所在环境的安全要求。

“重要数据运行与管理安全”与“五级数据分级体系”的连接。重要数据的运行与管理安全重点围绕组织与人员、数据治理设施、供应链管理、应急响应、安全风险评估、配合监督管理的安全软能力建设上。因此，五级数据分级体系的第三级和第四级的重要数据安全能力在此层面不应做区分，满足的要点应保持一致。组织与人员：包括安全负责人、安全管理机构、机构变化、管理制度、人员、培训等满足法律法规情况；数据治理设施：依托数据治理工具、统一管理工具等对数据治理设施进行安全保护；供应链管理：主要从采购管理、供应商管理、评估等方面遵循合规要求；应急响应：开展应急预案、演练计划、技术团队能力、处置机制方面进行强化；安全风险评估：对评估制度、评估内容、评估机制进行强化；配合监督管理：从制定流程规范、提供技术支持、配合整改措施方面进行强化。

小结

重要数据是当下数据安全管理工作的重难点领域，是法律、法规、标准、指南、要求等重点关注的内容。虽然细则尚未出台，但重要数据保护仍需等到高度重视，本文探究了重要数据的识别、基础能力、安全防御方面的思路与方法，以供业界参考。首先，基于出台的相关法律、法规、标准、指南、要点等对涉及重要数据部分进行梳理分析，归纳要点和要求。其次，基于数据本体对重要数据的范围及原则进行分析，将数据范围聚焦在针对到“危害”和“有可能危害”国家安全或公共利益的数据上。再次，围绕重要数据安全防护的基础性工作进行强化，结合五级数据分级体系的方法，并将重要数据划分到第三级、第四级中。最后，将重要数据的安全能力围绕数据所在环境的安全、数据处理活动的安全、运行与管理安全进行划分，并对数据处理活动涉及的数据全生命周期所面对的威胁与脆弱性进行分析，将五级数据分级体系与数据安全能力划分的维度进行结合，明确应强化的能力。