數(shù)據(jù)治理與數(shù)據(jù)安全立法

我國重要數(shù)據(jù)識別方法研究

周亞超 左曉棟

（中電數(shù)據(jù)服務(wù)有限公司高級工程師；中國信息安全研究院副院長、正高級工程師）

內(nèi)容提要 《數(shù)據(jù)安全法》提出了“重要數(shù)據(jù)”。此前，我國《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全管理辦法（征求意見稿）》等政策法規(guī)中也都使用了“重要數(shù)據(jù)”的概念，并將其與數(shù)據(jù)安全管理、數(shù)據(jù)出境安全評估等多項網(wǎng)絡(luò)安全制度的實施密切關(guān)聯(lián)。為及早確定重要數(shù)據(jù)的定義，特別是明確重要數(shù)據(jù)識別方法，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會在2020年提出了制定國家標(biāo)準(zhǔn)《重要數(shù)據(jù)識別指南》的任務(wù)。本文對重要數(shù)據(jù)的特點、科學(xué)規(guī)律進(jìn)行了研究，提出了一套重要數(shù)據(jù)識別方法，并且已經(jīng)反映到國家標(biāo)準(zhǔn)制定之中。

關(guān)鍵詞 網(wǎng)絡(luò)安全 重要數(shù)據(jù) 分類

一 重要數(shù)據(jù)是《數(shù)據(jù)安全法》的基本概念和我國數(shù)據(jù)安全治理的基礎(chǔ)

2020年7月發(fā)布的《數(shù)據(jù)安全法（草案）》在第19條提出，國家對數(shù)據(jù)實行分級分類保護(hù)，各地區(qū)、各部門應(yīng)當(dāng)按照國家有關(guān)規(guī)定，確定本地區(qū)、本部門、本行業(yè)重要數(shù)據(jù)保護(hù)目錄，對列入目錄的數(shù)據(jù)進(jìn)行重點保護(hù)。

除《數(shù)據(jù)安全法（草案）》中提出“重要數(shù)據(jù)”外，我國《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全管理辦法（征求意見稿）》等政策法規(guī)中也都使用了“重要數(shù)據(jù)”的概念，并將其與數(shù)據(jù)安全管理、數(shù)據(jù)出境安全評估等多項網(wǎng)絡(luò)安全制度的實施密切關(guān)聯(lián)。

2017年6月實施的《網(wǎng)絡(luò)安全法》第37條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。這是我國首次在法律層面提出“重要數(shù)據(jù)”概念。在此基礎(chǔ)上，《網(wǎng)絡(luò)安全法》建立了個人信息和重要數(shù)據(jù)的出境安全評估制度。2019年5月，國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》針對重要數(shù)據(jù)安全管理提出了備案、明確安全責(zé)任人以及采取安全措施等方面的要求。2020年4月，國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展改革委、工信部、公安部等多部委聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法》將重要數(shù)據(jù)作為審查的一個關(guān)切點，重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險，包括考慮重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險等因素。

對重要數(shù)據(jù)進(jìn)行監(jiān)管并非我國獨創(chuàng)。國外盡管沒有使用重要數(shù)據(jù)的概念，但在不同領(lǐng)域的法律法規(guī)中對非個人數(shù)據(jù)、非國家秘密信息實施安全管理也是常規(guī)做法。其中，最為典型的就是美國政府信息中的受控非密信息。2010年11月，奧巴馬總統(tǒng)簽署第13556號行政命令《受控非密信息（CUI）》[1]，據(jù)此建立CUI登記備案及標(biāo)識管理制度，以此作為對國家秘密保護(hù)的補充。美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）還制定了非聯(lián)邦系統(tǒng)和機構(gòu)CUI保護(hù)系列標(biāo)準(zhǔn)[2]，認(rèn)為CUI不論是否在聯(lián)邦系統(tǒng)中都具有同樣的價值并應(yīng)受到同等保護(hù)，這實際上將CUI擴大到了非聯(lián)邦范圍。

顯然，重要數(shù)據(jù)識別研究是我國實施數(shù)據(jù)安全治理的基礎(chǔ)。但迄今為止，我國尚未明確什么是重要數(shù)據(jù)，以及如何識別重要數(shù)據(jù)。

從實際工作看，解決上述問題。一方面有利于維護(hù)國家安全，確保管理有手段、見成效，切實把該管的管住；另一方面有利于保障數(shù)字經(jīng)濟發(fā)展，釋放大數(shù)據(jù)紅利，促進(jìn)跨境貿(mào)易，推動網(wǎng)絡(luò)空間命運共同體建設(shè)。為此，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會2020年啟動了《重要數(shù)據(jù)識別指南》國家標(biāo)準(zhǔn)制定工作，作為標(biāo)準(zhǔn)起草牽頭人，我們對該問題進(jìn)行了系統(tǒng)研究。

二 重要數(shù)據(jù)特征概述

（一）重要數(shù)據(jù)的相關(guān)屬性

依據(jù)國家互聯(lián)網(wǎng)信息辦公室2019年5月發(fā)布的《數(shù)據(jù)安全管理辦法（征求意見稿）》（以下簡稱《辦法》），重要數(shù)據(jù)是指一旦泄露可能直接影響國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全的數(shù)據(jù)。該定義給出了“重要數(shù)據(jù)”的明確影響，即“國家安全、經(jīng)濟安全、社會穩(wěn)定、公共健康和安全”，但其中公共安全的范圍仍然較大，可操作性不強；《辦法》還給出了“重要數(shù)據(jù)”的例舉，如未公開的政府信息、大面積人口、基因健康、地理、礦產(chǎn)資源，以及明確例外范圍，即重要數(shù)據(jù)不包括企業(yè)經(jīng)營管理數(shù)據(jù)、個人信息。

為增強可操作性，我們提出了一種對重要數(shù)據(jù)進(jìn)行多維描述的方法，主要包括。

1.“對國家安全與公共利益的影響”

“對國家安全與公共利益的影響”，指重要數(shù)據(jù)之所以重要的主要理由，例如：“工業(yè)控制類重要數(shù)據(jù)”關(guān)系重大生產(chǎn)系統(tǒng)運行安全，一旦出現(xiàn)事故可能影響國家經(jīng)濟安全和國防安全；“敏感場所物理環(huán)境數(shù)據(jù)、安保設(shè)備數(shù)據(jù)” 可被犯罪分子、恐怖分子等利用，危害國家安全、公共安全和公民生命安全；“關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全防護(hù)信息”可被網(wǎng)絡(luò)攻擊者利用，對關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)起精準(zhǔn)攻擊，危害公共安全。

2.“面臨的主要安全威脅”

“面臨的主要安全威脅”，指重要數(shù)據(jù)在保密性、完整性、可用性、真實性等方面可能面臨的安全威脅，例如非授權(quán)訪問、篡改、非授權(quán)發(fā)布等。需要指出，有些數(shù)據(jù)在保密性方面沒有特別要求，但對真實性的要求卻可能很高。

3.“涉及行業(yè)”

“涉及行業(yè)”，指與重要數(shù)據(jù)有關(guān)的行業(yè)。有的重要數(shù)據(jù)與特定行業(yè)無關(guān)，而是廣泛分布。

4.“主管部門”

“主管部門”，指重要數(shù)據(jù)所在行業(yè)的主管部門。有的重要數(shù)據(jù)所在行業(yè)難以確定主管部門，或者重要數(shù)據(jù)涉及多個行業(yè)、有多個主管部門。

5.“主要分布”

“主要分布”，指可能收集、使用、傳輸重要數(shù)據(jù)的組織，如政府部門、金融機構(gòu)等。

6.“現(xiàn)有管理政策”

“現(xiàn)有管理政策”，指已經(jīng)或正在制定的涉及重要數(shù)據(jù)管理的政策法規(guī)。例如：《測繪法》、《地圖管理條例》、原國土資源部《國土資源數(shù)據(jù)管理暫行辦法》等對除涉密信息之外的地圖數(shù)據(jù)收集、使用、存儲等提出了要求。

7.“主要特征”

“主要特征”，指重要數(shù)據(jù)區(qū)別于其他數(shù)據(jù)的特點，這是識別重要數(shù)據(jù)的關(guān)鍵指標(biāo)。例如，“工業(yè)控制類重要數(shù)據(jù)”存在于關(guān)鍵信息基礎(chǔ)設(shè)施運營者的生產(chǎn)系統(tǒng)中，數(shù)據(jù)安全問題會直接影響生產(chǎn)安全。

8.“時效”

“時效”，指重要數(shù)據(jù)維持“重要性”的時間長度。時效過后，便不再屬于重要數(shù)據(jù)。

（二）重要數(shù)據(jù)面臨的安全威脅

安全威脅是描述重要數(shù)據(jù)的一項關(guān)鍵屬性，決定了安全保護(hù)需求，進(jìn)而決定了對重要數(shù)據(jù)的管理方法。總體而言，重要數(shù)據(jù)面臨未經(jīng)授權(quán)披露、丟失、濫用、篡改或銷毀，或者匯聚、整合、分析等風(fēng)險。多數(shù)時候，重要數(shù)據(jù)的安全保護(hù)需求體現(xiàn)為保密性，目的是防止敏感數(shù)據(jù)未經(jīng)授權(quán)披露，與之相關(guān)的數(shù)據(jù)安全管理制度如數(shù)據(jù)出境安全評估制度等。但也有些重要數(shù)據(jù)，其本身是為了公開發(fā)布、為公眾所知悉，但數(shù)據(jù)的真實性、準(zhǔn)確性十分重要，例如天氣預(yù)報信息、疫情信息、自然災(zāi)害信息等。

重要數(shù)據(jù)面臨的主要安全威脅包括以下幾個方面。

1.被攻擊的威脅

攻擊者利用信息系統(tǒng)漏洞或通過植入木馬、DDoS（分布式拒絕服務(wù)）等方式，入侵?jǐn)?shù)據(jù)所在的系統(tǒng)，竊取、刪除或篡改數(shù)據(jù)，影響數(shù)據(jù)保密性、完整性、可用性。

2.被非授權(quán)訪問的威脅

因重要數(shù)據(jù)價值很大，可能被非授權(quán)人員收集、知悉、使用或傳輸?shù)骄惩猓瑥亩：野踩⒐怖妗Ｇ笆觥氨还舻耐{”也會造成數(shù)據(jù)的非授權(quán)訪問。但此處的“非授權(quán)訪問”威脅強調(diào)的是無合法、正當(dāng)、必要理由而收集用戶或其他組織數(shù)據(jù)，或者掌握重要數(shù)據(jù)的組織或其內(nèi)部人員有意泄露或濫用重要數(shù)據(jù)。

3.真實性、準(zhǔn)確性威脅

某些用于公開發(fā)布的數(shù)據(jù)，如遭到偽造、篡改，可能產(chǎn)生嚴(yán)重后果。例如，天氣預(yù)報、環(huán)保監(jiān)測數(shù)據(jù)等只能由權(quán)威機構(gòu)發(fā)布。此類情況下，數(shù)據(jù)的完整性、發(fā)布源的真實性、發(fā)布平臺的安全性、轉(zhuǎn)載的一致性等均可能需要重點考慮。

4.數(shù)據(jù)匯聚、整合、分析后的安全風(fēng)險

對數(shù)據(jù)進(jìn)行匯聚、整合并進(jìn)行分析，是發(fā)揮大數(shù)據(jù)作用的基本方法。該過程有可能導(dǎo)致一些不宜公開的信息泄露。在識別重要數(shù)據(jù)時，應(yīng)當(dāng)考慮此類風(fēng)險。為了防范數(shù)據(jù)匯聚產(chǎn)生的安全風(fēng)險，需要把握數(shù)據(jù)從量變到質(zhì)變的臨界點。為了防范不同數(shù)據(jù)集的數(shù)據(jù)整合后產(chǎn)生的安全風(fēng)險，需要重點關(guān)注不同數(shù)據(jù)集中可能的數(shù)據(jù)關(guān)聯(lián)項。但應(yīng)防止以數(shù)據(jù)匯聚、整合、分析為由對“重要數(shù)據(jù)”概念泛化，而是更多地從技術(shù)上解決風(fēng)險。例如，可強化數(shù)據(jù)隔離與訪問控制機制，以實現(xiàn)數(shù)據(jù)“可用不可見”，使原始數(shù)據(jù)不離開本地，用戶只能按需訪問數(shù)據(jù)處理結(jié)果，這將在很大程度上防范數(shù)據(jù)被匯聚。

（三）重要數(shù)據(jù)的主要分布

一般而言，重要數(shù)據(jù)主要分布在政府部門、重點行業(yè)企業(yè)、公共服務(wù)機構(gòu)、具有相應(yīng)資質(zhì)的權(quán)威專業(yè)機構(gòu)、科研機構(gòu)等，以及大數(shù)據(jù)平臺的運營機構(gòu)等。隨著移動互聯(lián)網(wǎng)應(yīng)用滲透到人們生產(chǎn)生活的各個方面，以及物聯(lián)網(wǎng)、云計算、人工智能等技術(shù)的快速發(fā)展，有相當(dāng)一部分重要數(shù)據(jù)被互聯(lián)網(wǎng)企業(yè)以及各類產(chǎn)品和服務(wù)提供商所掌握。

重要數(shù)據(jù)在上述部門及機構(gòu)的主要分布情況如下。

1.政府機構(gòu)

政府機構(gòu)指分布在政府部門、直屬事業(yè)單位和其他相關(guān)部門，供共享使用或依協(xié)議提供共享使用的數(shù)據(jù)資源，包括宏觀經(jīng)濟數(shù)據(jù)、金融監(jiān)管數(shù)據(jù)、人口資源數(shù)據(jù)、健康數(shù)據(jù)、執(zhí)法數(shù)據(jù)（如事故調(diào)查、證人信息）、交通運輸數(shù)據(jù)等。

2.重點行業(yè)企業(yè)

重點行業(yè)企業(yè)指涉及國計民生的各重點行業(yè)，特別是關(guān)鍵信息基礎(chǔ)設(shè)施，其運營者收集、產(chǎn)生的大量重要數(shù)據(jù)，如金融交易數(shù)據(jù)、能源生產(chǎn)和消費數(shù)據(jù)、關(guān)鍵信息基礎(chǔ)設(shè)施資產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)安全防護(hù)信息等。

3.公共服務(wù)機構(gòu)

公共服務(wù)機構(gòu)指醫(yī)院（擁有健康醫(yī)療數(shù)據(jù)）、高校（擁有教育數(shù)據(jù)）等公共服務(wù)機構(gòu)擁有的數(shù)據(jù)。

4.具有相應(yīng)資質(zhì)的權(quán)威專業(yè)機構(gòu)

具有相應(yīng)資質(zhì)的權(quán)威專業(yè)機構(gòu)指從事地理、地震、天文、氣象等業(yè)務(wù)的機構(gòu)采集、處理、匯交、保管、服務(wù)、使用的科學(xué)數(shù)據(jù)。

5.科研機構(gòu)

科研機構(gòu)指體現(xiàn)科研成果的數(shù)據(jù)，不僅僅是實驗結(jié)果、檢測結(jié)果，還包括所有以電子形式描述科研活動、展現(xiàn)科研成果的信息。這類數(shù)據(jù)關(guān)系國家科技實力與競爭能力，某些科研成果還屬于出口管制物項。此外，還有一些機構(gòu)擁有的知識產(chǎn)權(quán)具有重大戰(zhàn)略或經(jīng)濟價值，也屬于重要數(shù)據(jù)。這里的“科研機構(gòu)”泛指一切可以產(chǎn)生科研成果或擁有知識產(chǎn)權(quán)，且從事研發(fā)活動的組織，包括具有官方背景的高校、科研院所，也包括非官方背景的民營企業(yè)、行業(yè)組織等成立的研究機構(gòu)。

6.互聯(lián)網(wǎng)企業(yè)

互聯(lián)網(wǎng)企業(yè)指企業(yè)在線提供導(dǎo)航、電子商務(wù)、即時通信等服務(wù)時，收集或產(chǎn)生的海量數(shù)據(jù)。其中一些數(shù)據(jù)涉及經(jīng)濟、地理、人口、法人等國家基礎(chǔ)數(shù)據(jù)，應(yīng)當(dāng)進(jìn)行特別保護(hù)。

7.各類產(chǎn)品和服務(wù)提供商

各類產(chǎn)品和服務(wù)提供商當(dāng)前絕大多數(shù)產(chǎn)品和服務(wù)都在線運行，至少也是在線升級，云服務(wù)成為重要趨勢，導(dǎo)致各類產(chǎn)品和服務(wù)供應(yīng)商可以遠(yuǎn)程實時掌握用戶數(shù)據(jù)。在某些特殊應(yīng)用中，這些數(shù)據(jù)可能具有重大價值。例如，大型工程施工設(shè)備生產(chǎn)商可以通過設(shè)備上安裝的導(dǎo)航和無線通信模塊，遠(yuǎn)程獲得敏感工程的物理位置、施工土石方等數(shù)據(jù)。

三 重要數(shù)據(jù)的識別原則

重要數(shù)據(jù)識別應(yīng)遵循以下原則。

一是聚焦國家安全，避免范圍擴大。重要數(shù)據(jù)主要從國家安全、公共利益等角度衡量，其范圍應(yīng)當(dāng)盡可能小，不包括企業(yè)生產(chǎn)經(jīng)營和內(nèi)部管理信息、個人信息等。我國對涉密信息的安全保護(hù)已有明確工作制度，故“重要數(shù)據(jù)”不包括涉密信息。但分布在商業(yè)領(lǐng)域和企業(yè)系統(tǒng)中的有些信息可能屬于重要數(shù)據(jù)。對于行業(yè)主管部門已經(jīng)制定實施數(shù)據(jù)管理政策和標(biāo)準(zhǔn)規(guī)范的，重要數(shù)據(jù)的識別和管理應(yīng)當(dāng)從其規(guī)定。

二是遵循國際慣例，反映中國特色。應(yīng)立足開放環(huán)境維護(hù)網(wǎng)絡(luò)安全，著眼全球化發(fā)展需要，促進(jìn)數(shù)據(jù)安全有序流動，故需充分借鑒國外已有做法，確保不影響中國在《世貿(mào)組織協(xié)定》等國際協(xié)定項下義務(wù)的執(zhí)行。同時，針對國內(nèi)蓬勃發(fā)展的移動互聯(lián)網(wǎng)應(yīng)用、日益豐富的互聯(lián)網(wǎng)業(yè)態(tài)使大量重要數(shù)據(jù)廣泛分布于商業(yè)領(lǐng)域等情況，在識別重要數(shù)據(jù)時應(yīng)當(dāng)反映中國特色。

三是定性定量結(jié)合，突出可操作性。宜以定性與定量相結(jié)合的方式識別重要數(shù)據(jù)。某些數(shù)據(jù)，其所在行業(yè)、應(yīng)用領(lǐng)域決定了本身的重要性，這種情況下便與定量無關(guān)。但也有某些數(shù)據(jù)，在一般情況下不屬于重要數(shù)據(jù)，但在達(dá)到一定量（不一定是量的上升，還可能是量的減少，例如地圖精度）后產(chǎn)生質(zhì)變。多數(shù)情況下，重要數(shù)據(jù)的識別方法以定性為主。

四 重要數(shù)據(jù)分類建議

不同行業(yè)的數(shù)據(jù)有不同的重要性，但行業(yè)分類不是決定數(shù)據(jù)重要性的內(nèi)在屬性。從數(shù)據(jù)的作用、受破壞后可能帶來的影響等角度，建議將重要數(shù)據(jù)分為以下類型。

1.國民經(jīng)濟運行類

國民經(jīng)濟運行類數(shù)據(jù)指反映國家宏觀經(jīng)濟運行情況，或?qū)?jīng)濟運行可能產(chǎn)生重大影響的數(shù)據(jù)。此類數(shù)據(jù)不含涉密信息，也不含已公開的數(shù)據(jù)。但可能通過匯聚、整合、分析而導(dǎo)出涉密信息的原始數(shù)據(jù)、基礎(chǔ)數(shù)據(jù)、局部數(shù)據(jù)，屬于重要數(shù)據(jù)。擬公開或正在公開的數(shù)據(jù)，在公開前可能屬于重要數(shù)據(jù)或涉密信息，在公開過程中可能屬于重要數(shù)據(jù)，應(yīng)在公開過程中防篡改、防假冒。該類數(shù)據(jù)能夠體現(xiàn)宏觀調(diào)控能力以及應(yīng)對戰(zhàn)爭或重大災(zāi)害能力，關(guān)系重大系統(tǒng)運行安全，面臨的主要威脅是發(fā)生非授權(quán)訪問、篡改或中斷訪問，一旦出現(xiàn)事故可能影響國家經(jīng)濟安全和國防安全。

2.安保類

安保類數(shù)據(jù)指反映重點目標(biāo)、重要場所安全保護(hù)情況，或可能被利用來對重點目標(biāo)、重要場所實施攻擊、破壞等行為的數(shù)據(jù)。該類可被犯罪分子、恐怖分子等利用，危害國家安全、公共安全和公民生命安全，面臨的主要威脅是非授權(quán)訪問。

3.自然資源與環(huán)境類數(shù)據(jù)

自然資源與環(huán)境類數(shù)據(jù)指反映自然資源與環(huán)境狀況、自然災(zāi)害事件、自然資源開發(fā)利用情況等的數(shù)據(jù)。除涉密信息外，其他不宜公開或尚未公開的自然資源與環(huán)境類數(shù)據(jù)屬重要數(shù)據(jù)。一方面，自然資源與環(huán)境類數(shù)據(jù)關(guān)系國家戰(zhàn)略安全，需防范非授權(quán)訪問。另一方面，自然資源與環(huán)境類數(shù)據(jù)的開發(fā)利用關(guān)系公共利益，需確保數(shù)據(jù)準(zhǔn)確性、權(quán)威性，提升防篡改、防偽造能力。該類數(shù)據(jù)具有戰(zhàn)略意義，面臨的主要威脅是非授權(quán)訪問、篡改、非授權(quán)發(fā)布等，發(fā)生安全事件可能會損害國家安全、領(lǐng)土完整、民族尊嚴(yán)，或者威脅國防戰(zhàn)略安全或者削弱國家整體軍事防御能力。

4.健康類

健康類數(shù)據(jù)指能夠反映自然人健康狀況、生理指標(biāo)、公共衛(wèi)生事件、食品藥品安全等方面的信息。該類數(shù)據(jù)關(guān)系公眾健康、公共安全、經(jīng)濟社會發(fā)展以及人民生命安全，面臨的主要威脅是非授權(quán)訪問、篡改。

5.敏感技術(shù)類

敏感技術(shù)類數(shù)據(jù)即對國家安全、國家競爭力有潛在價值和重大影響的知識成果，以及其他具有重大經(jīng)濟價值、尚未公開的工藝、配方等數(shù)據(jù)。該類數(shù)據(jù)對國防和國家安全、經(jīng)濟安全具有重大意義，面臨的主要威脅是發(fā)生未授權(quán)訪問，如泄露可能增強潛在對手競爭實力。

6.用戶類

用戶類數(shù)據(jù)指各類企業(yè)或其他組織在為用戶提供服務(wù)的過程中，所收集、產(chǎn)生的用戶相關(guān)數(shù)據(jù)。該類數(shù)據(jù)可反映重點用戶生產(chǎn)經(jīng)營活動等情況，面臨的主要威脅是非授權(quán)訪問、篡改等，可能被利用對重點用戶進(jìn)行攻擊破壞，或泄露重點用戶不宜公開且關(guān)系國家安全與公共利益的信息。

7.政府工作秘密類

政府工作秘密類數(shù)據(jù)指政府在工作過程中產(chǎn)生的不宜公開的非涉密數(shù)據(jù)。該類數(shù)據(jù)關(guān)系國家安全和公共利益，面臨的主要威脅是未授權(quán)訪問或篡改，如泄露可能被不當(dāng)利用、引發(fā)政策誤讀等不良反應(yīng)，或影響宏觀調(diào)控，對政府工作或其他組織和個人的合法權(quán)益帶來不利影響等。

8.其他類

其他類數(shù)據(jù)指以上類別未包括，但也會對國家安全、經(jīng)濟發(fā)展以及公共利益產(chǎn)生重大影響的其他非涉密類數(shù)據(jù)。

五 結(jié)語

建立數(shù)據(jù)分級分類制度和開展重要數(shù)據(jù)識別，對于推動數(shù)據(jù)要素流通和實施數(shù)據(jù)安全管理至關(guān)重要。從政府治理角度而言，可以將非涉密信息分為重要數(shù)據(jù)、個人信息和其他數(shù)據(jù)。當(dāng)務(wù)之急是在對重要數(shù)據(jù)特點、規(guī)律研究基礎(chǔ)上，提出重要數(shù)據(jù)的識別方法。本文提出了重要數(shù)據(jù)識別的國家標(biāo)準(zhǔn)草案的主要框架。

下一步，在重要數(shù)據(jù)識別基礎(chǔ)上，建議國家加強重要數(shù)據(jù)安全監(jiān)督管理。一是建立重要數(shù)據(jù)備案制度。組織以經(jīng)營為目的收集、轉(zhuǎn)移重要數(shù)據(jù)的，應(yīng)向所在地網(wǎng)信部門備案。備案內(nèi)容包括收集使用規(guī)則，收集使用的目的、規(guī)模、方式、范圍、類型、期限等，不包括數(shù)據(jù)內(nèi)容本身。二是建立重要數(shù)據(jù)資源清單。根據(jù)重要數(shù)據(jù)識別指南國家標(biāo)準(zhǔn)，制定行業(yè)實施細(xì)則，組織各行業(yè)、各系統(tǒng)梳理重要數(shù)據(jù)資源，明確重要數(shù)據(jù)來源、去向、存儲使用情況、安全保護(hù)措施等信息。匯總形成重要數(shù)據(jù)資源清單，建立國家、行業(yè)、地區(qū)級重要數(shù)據(jù)資源庫，為重要數(shù)據(jù)管理、數(shù)據(jù)出境安全評估、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全審查等制度的科學(xué)實施提供基礎(chǔ)支撐。三是明確重點保護(hù)要求。制定重要數(shù)據(jù)收集、存儲、傳輸、處理、使用等活動的保護(hù)要求，督促數(shù)據(jù)運營者履行數(shù)據(jù)安全保護(hù)義務(wù)。網(wǎng)絡(luò)運營者發(fā)布、共享、交易或向境外提供重要數(shù)據(jù)前，應(yīng)當(dāng)評估可能帶來的安全風(fēng)險，并報經(jīng)行業(yè)主管監(jiān)管部門或地方網(wǎng)信部門同意。

（責(zé)任編輯：周輝）

---

[1] Executive Order.13556.Controlled Unclassified Information，2010，奧巴馬總統(tǒng)第13556號行政令（EO 13556）《受控非密信息》，2010年。

[2] NIST SP 800-171《保護(hù)非聯(lián)邦系統(tǒng)和機構(gòu)的受控非密信息》，美國，美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2016年。NIST SP 800-171A《受控非密信息安全要求評估》，美國，美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2018年。NIST SP 800-171B《保護(hù)非聯(lián)邦系統(tǒng)和組織中的受控非密信息：關(guān)鍵程序和高價值資產(chǎn)》（草案），美國，美國國家標(biāo)準(zhǔn)與技術(shù)研究院，2019年。