在解读数据安全法规之前,首先要讲清楚的问题就是“什么样的数据需要考虑安全问题?不同数据的安全要求有何不同?”。这里引用一幅摘自网络的数据分类图来说明。这幅图中将数据从大的范围分为两部分:个人数据与商业数据,再细分为不同类别。针对不同类别数据,各有其对应的法律法规保护。
针对个人数据这块,可概括分为个人基础数据、个人隐私数据、个人行为数据。
个人基础数据即无需与任何平台或企业交互即可知的基础数据,如一个人的性别、身高、体重、年龄等。
个人隐私数据个人隐私,在民法典和个人信息保护法中的表述又不尽相同,分别叫私密信息和敏感个人信息,两者并不能完全等同。民法典“隐私”范畴中的“私密信息”既在主观上“不愿为他人知悉”的部分,又在客观上能够识别自然人的才是“个人信息”;而“敏感个人信息”则未必具备隐私权属性。
个人行为数据是要与平台或企业产生交互才会产生的数据。这也不难理解,因为数据是在数字世界中存在的生产要素,因此,个人行为数据中的“行为”,指的是个人在数字世界中的行为,人需要通过企业或平台进入数字世界,因此必然产生交互。
针对商业数据这块,可概括分为:公共数据、平台数据与企业数据。
❖ 如何理解个人数据与企业数据的交叉?
个人行为数据这块,既属于个人数据,又属于商业数据,为个人与企业共有。如企业或平台需使用(产生此数据的企业或平台),需征得个人的授权同意;如第三方企业或平台需使用,则需征得产生此数据的企业或平台,以及个人双方/三方的授权同意。
❖ 如何理解“重要数据和核心数据”?
在图中标注的重要数据和核心数据,是在数据安全法规中提到的。这两类数据,和之前的分类并不在一个维度。重要数据,是指个人数据(除个人隐私外的部分)与企业、平台乃至公共数据的结合,通过大量数据的汇聚、关联、映射而产生数据价值及增值。例如之前颇受关注的滴滴事件,所暴露出数据汇聚后所产生的巨大价值,其泄露等也会造成巨大安全风险。重要数据中的核心部分,即为核心数据。
❖ 如何理解保护数据的法律法规?
针对不同类数据,有对应的法律法规来保护。这部分后面会详细谈及。
数据的分类与分级,是谈到数据安全的重要概念。我们可以先简单理解下,参照上面的图中,按照纵向的行业划分,即为数据分类;在每个行业内,再将数据按照敏感程度分为不同层级即为数据分级。数据的分类分级管理应该贯穿于企业发展的始终,数据的类别、级别也应依据相关要求实时进行变化、更新。在企业业务发展的进程中,必然会面临数据量增长和扩展更多数据域。按照业务发展需求和法规标准的要求对数据的分类分级“量体裁衣”才能适应日益多样化的数据使用场景和复杂的数据使用维度,为公司业务数据划分完整的分类分级标准,为公司业务发展提供高效的数据支撑。
下面以电信企业为例,说明如何进行数据分类分级。
❖ 数据分类分级原则
❖ 数据分类方法
根据基础电信企业业务运营特点和企业内部管理方法收集企业内所有部门的数据资源,梳理所有数据资源。按照线分类法,按照业务属性(或特征),将基础电信企业数据分为若干数据大类,然后按照大类内部的数据隶属逻辑关系,将每个大类的数据分为若干层级,每个层级分为若干子类,同一分支的同层级子类之间构成并列关系,不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资源目录树,如下图所示。目录树的所有叶子节点是最小数据类。最小数据类是指属性(或特征)相同或相似的一组数据。为便于对数据进行统一管理及应用,根据基础电信企业生产经营管理现状和企业自身管理特点,将基础电信企业掌握的数据整合纳入两大类。
❖ 数据分级方法
在数据分类基础上,根据基础电信企业数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度,对基础电信企业网络数据资源进行分级。数据分级按照下图所示的步骤和方法进行,具体如下。
根据数据对象对客体的影响程度,取影响程度中的最高影响等级为该数据对象的重要敏感程度。例如,若某数据对象发生安全事件时对国家安全和社会公共利益的影响程度为低,对企业利益影响程度为低,对用户利益影响程度为高,则该数据对象的重要敏感程度取三者中最高,即为高。按照数据对象的重要敏感程度,可以将基础电信企业网络数据资源分为四个安全级别,其对应的安全要求逐级递减,分别为第四级、第三级、第二级和第一级。
随着对数据安全重视不断加强,国家/地区、行业出台一系列法律法规与标准引导数据安全建设。总体来说,可分为三个层面:法律、行政法规和国家或地方标准,如下图。
❖ 法律
在法律层面,国家陆续出台包括国家安全法、数据安全法、个人信息保护法、网络安全法及密码法等一系列法律来规范指导。下图摘自安全厂商-炼石科技的对外公开资料。
其中2015年施行的《国家安全法》第25条明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。在2017年施行的《网络安全法》将数据安全纳入网络安全范畴,网络安全等级保护制度、关键信息基础设施保护制度、个人信息保护制度等为保障数据安全提供重要制度支撑。2021年实施的《数据安全法》则全面贯彻落实总体国家安全观,确立国家数据安全工作体制机制,构建数据安全协同治理体系,明确预防、控制和消除数据安全风险的一系列制度、措施,提升国家整体数据安全保障能力。
❖ 行政法规
各行业根据自身特点,出台系列带有行业属性的规范、指引等,粗略整理如下:
❖ 国家或地方标准
在标准方面出台一系列国家或地方标准,粗略整理如下:
2).解读:GB/T 35273-2020 《 个人信息安全规范》
下面以国家标准-个人信息安全规范为例,说明如何定义(分类分级)及约束数据及相关行为。
❖ 数据定义(分类分级)
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定。自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人。个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:
- 泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息 在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
- 非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。
- 滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
❖ 约束行为
4. 落地痛点分析及解法
企业在数据安全领域落地,是存在一系列痛点与难点。这里主要来自两个方面:一是对安全法规及标准的解读;二是如何结合企业自身情况,制定并落地数据安全改进。针对前者,通过上面一系列内容的解读,相信读者已对数据安全法规及标准有了大致的认识,在具体操作上可遵循先法律法规、后标准规范,先国家行业、后区域地方的原则进行解读,摸清企业数据应遵循的安全原则。很多安全或咨询公司,也提供此类安全咨询服务,帮助企业做好政策解读。针对后者,则相对较为复杂,一方面需要摸清企业数据家底,一方面需建立数据全生命周期安全规划,根据前面的解读,有针对性地采取一系列安全改造措施。如下图是个人简单整理的数据生命周期的各阶段所涉及的主要安全能力,包括从数据识别、传输、存储、使用、销毁多环节。
上述安全能力在具体构建上,是需要有一系列技术支撑才能完成。受限于对数据安全认识不足,大部分企业并没有在早期就有这个意识去构建,因而存在边上马边改造,边摸索边实施的问题。这也是困扰很多企业数据安全工作的痛点。特别是针对数据重要载体-数据库方面,企业存在多数据库栈林立、各产品安全能力各异、云与非云环境并存等痛点,无法建立统一的数据安全治理体系。通常的思路是在企业应用层去解决上述问题,但又会对应用系统开发造成很大困扰,因而在数据库与应用之间构建这一能力成为“必然”。针对这一实践理念,个人有些实践,感兴趣的小伙伴可与我联系。