《重要数据识别指南》(征求意见稿)解读(下)
发布于 2021-10-08 07:43
|小贝案语|
■ 风入蒹葭秋色动,雨余杨柳暮烟凝。长假之后恰逢寒露,适合静心学习。继中篇对重要数据识别原则进行逐项解释,并说明了划分重要数据特征的理由后,下篇则解读侧重于解释重要数据的各项具体特征,并说明对“重要数据描述方法”的设计考虑。
二十、“与经济运行相关”下的几类特征是基于什么考虑?
经济运行与国家安全关系极大。但与数据有关的经济运行有可能从哪些方面影响国家安全呢?可以分为两种情况。一种是数据本身反映了经济活动,出于国家安全考虑要对经济活动的状况保密;另一种是数据决定了经济发展,特别是数据影响到国民经济命脉各行业的生产经营。
在第一种情况中,要认识到当前多数经济数据都是公开的,即使存在公开情报分析,也不能因噎废食。但有两类数据一定需要控制知悉范围。一类是反映国家战备能力的数据,另一类是某些不宜公开的统计数据。虽然这些数据绝大多数都因为高度敏感而列为国家秘密,但也有一些数据属于非密但不公开的,尤其以基础数据、原始数据为主,后者应当属于重要数据。故由此确定了“反映战略储备情况”和“与统计相关”两类特征。
在第二种情况中,考虑到关系国民经济命脉的行业,其基础网络与重要系统基本上都是关键信息基础设施,故将关键信息基础设施的核心业务运行数据、行业运行数据与供应链数据作为重要数据。之所以提到供应链数据,主要是考虑到了国际间对抗博弈的现实状况。故由此确定了“支撑重点行业、领域运行”特征。
此外,考虑到主管部门已经对工业数据有明确的分类分级要求,且很多工业生产活动虽然不一定发生在关键信息基础设施领域,但其生产安全的社会影响极大,《指南》对工业数据作了单列。故由此确定了“支撑工业生产”特征。
二十一、“与人口与健康相关”下的几类特征是基于什么考虑?
人口与健康数据必然含有大量个人信息,如前文所述,《指南》编制组没有将个人信息作为重要数据,故《指南》主要考虑了与此相关的生命健康统计数据、分析数据,以及与健康有关的食品、药品类数据。排除掉个人信息后,“人口与健康数据”主要涉及两大类。
一大类涉及人群的总体情况和人自身的健康。包括:非公开的人口普查相关数据,以及基因数据、遗传资源等;诊疗与健康管理信息,即各类诊疗与健康管理数据,以及批量健康医疗数据挖掘、群体画像、开发利用结果数据;疫情管理相关信息,即突发公共卫生事件与传染病疫情监测过程中获得的疫病流行情况,疫情防控过程中获得的病源跟踪、物资调配、交通运输等相关信息。故由此确定了“反映人口情况”和“涉及健康医疗”两类特征。在此之下则包含“诊疗与健康管理信息”、“疫情管理相关信息”等。
另一大类涉及食品药品。从实际情况看,这些受控数据主要体现在两个方面,一方面是实验类数据,另一方面是事件类数据。故由此确定了“涉及食品药品情况”特征。在此之下则包含了“药品实验数据”、“医疗器械实验数据”、“食品药品安全数据”、“食品药品安全重大(紧急)事件信息”等。
二十二、“与自然资源与环境相关”下的几类特征是基于什么考虑?
自然资源类型较多,且相当多的自然资源数据与国防军事安全直接相关。在明确此类重要数据的特征时,主要考虑的是传统上对自然资源的分类,此外还考虑了环境类数据。故由此确定了“涉及地理信息”、“涉及水利情况”、“涉及地震情况”、“涉及气象情况”、“涉及环保监测情况”、“涉及海洋环境监测情况”等特征。
很多自然资源类数据的专业性很强,编制组在把握一些类型和精度时听取了有关方面的意见。
二十三、“与科学技术相关”下的几类特征是基于什么考虑?
科技安全是国家安全的重要组成部分,很多反映科技成果的数据直接影响国家安全。
首先,作为世界各国维护科技安全的一种常规手段,出口管制对象中必然含有数据类物项。但受控数据不应当仅限于此,所有描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告等均应当属于重要数据。故由此确定了“涉及出口管制物项”特征。
此外,知识产权毫无疑问是应当受保护的。但除了保护权利人利益外,有些知识产权与国家利益相关,应当受到特别保护。其中一类关系国防和国家安全,另一类则具有重大经济价值,对国家经济竞争实力有重要影响。因此,即使一些知识产权发明人是个人或企业,也有可能需要将其知识产权数据列为重要数据。故由此确定了“涉及特殊知识产权”特征。
与知识产权类似,一些在科学研究、产业实践过程中产生的,具有重大战略意义或经济价值的论文、报告、实验数据等也可能属于重要数据。有的人可能会认为,我自己写了篇论文,没有利用国家经费,解决了某个重大问题,我的发明发现怎么就成了重要数据了?但美西方国家对我出口管制的物项,有相当多也都是由企业自行研发的。因此,这一逻辑是合理的。故由此确定了“涉及重大发明发现”特征。
最后,与国家安全直接相关的国家科技计划本身,以及国家科技计划管理过程中收集、产生的可能影响国家安全的信息,还有能够反映国家科技、国民经济等各种重大情况的国家大型科学仪器运行数据也应当属于重要数据。故由此确定了“涉及国家科技计划”特征。
二十四、“与安全保护相关”下的几类特征是基于什么考虑?
“安全保护手段和措施”显然是考虑国家安全的重要切入点。信息化条件下,往往从物理安全(实体安全)和网络安全两个方面对重点目标实施保护。故由此确定了“涉及物理安全”和“涉及网络安全”两类特征。
考虑到除了重要场所与目标自身的安全相关数据外,安保装备数据、安保部署数据、危化品数据也会影响重要场所与目标的安全,故在“涉及物理安全”特征下作了如上的进一步划分。
同理,除了关键信息基础设施网络安全自身防护信息外,《指南》还考虑了其他可能影响关键信息基础设施安全的因素。如关键信息基础设施规划建设信息、关键信息基础设施运行维护数据,以及漏洞与重大事件信息、网络安全重大发现与重要研究成果等。此外,还根据有关方面的意见建议,将应急通信数据和无线电数据作为重要数据,这也与关键信息基础设施安全相关。
二十五、“与应用服务相关”下的几类特征是基于什么考虑?
从实践看,一些应用服务本身不一定产生重要数据,但在服务过程中,因为用户重要,或者用户转移的数据重要,而使应用服务提供商掌握了重要数据。这是一种特殊情况,但考虑到类似情况比较普遍,且确实是重要数据的一种来源,有必要单列。故由此确定了“用户委托数据”和“用户使用数据”两类特征。
例如,在向政府部门、公共企事业单位(包括但不限于教育、健康医疗、供水、供电、供气、供热、环境保护、交通等单位)用户或重点项目(如国家重大建设工程)提供服务的过程中,所产生的与用户基本信息、使用情况等有关的数据。如全国直播卫星用户信息、汽车生产制造企业掌握的重要用户行车数据等,以及对上述数据进行加工形成的可能影响国家安全的相关信息。
在向用户提供服务的过程中,用户的重要数据转移到企业或其他组织的信息系统之中,这并不是新产生的重要数据,严格讲这不是新的一类特征。但这种情况下服务提供者需要承担保护重要数据的责任,故《指南》中也还是作了强调。
二十六、“与政务活动相关”下的几类特征是基于什么考虑?
除国家秘密外,国家机关在履行法定职责过程中产生大量不宜公开的文件、资料,很多定位为工作秘密,这显然应当属于重要数据。这种划分方法固然会与前述的几类特征有所交叉,但从实际工作看,单独提出“与政务活动相关”有利于数据的管理。
有一些数据由公民或企业上报,非由国家机关产生,但也不宜公开,《指南》也将其作为重要数据(个人信息除外)。
故由此确定了“用户委托数据”和“用户使用数据”两类特征。
二十七、制定“重要数据描述方法”是基于什么考虑?
《指南》只是为部门行业制定重要数据目录提供了原则性参考。但如果没有一个统一的重要数据描述格式,则各地方、各部门制定的重要数据目录很可能多种多样,不利于汇总和管理。为此,有必要提出一种重要数据的描述方法,经科学论证后,可供今后各地方、各部门统一采用。
目前,《指南》提出的重要数据描述方法如下表所示:
|小贝结语|
■ 《汽车数据安全管理若干规定(试行)》已经发布,《工业和信息化领域数据安全管理办法》正在征求意见,其中都提出了相关行业领域重要数据的定义。以后还会有越来越多的部门制定关于重要数据管理的规范性文件。《指南》只是国家标准,且目前仍属于征求意见稿阶段,也只是反映了编制组现阶段的认识水平,不代表官方意志。左晓栋博士特别强调,此次连载的3期《指南》解读仅是其个人意见,定有不妥之处。随着时间的发展,相信《指南》会不断修改完善。
总编辑|中国信息安全研究院副院长 左晓栋
官方微信
了解更多信息
本文来自网络或网友投稿,如有侵犯您的权益,请发邮件至:aisoutu@outlook.com 我们将第一时间删除。
相关素材