1. 哪些数据需要关注
在解读数据安全法规之前,首先要讲清楚的问题就是“什么样的数据需要考虑安全问题?不同数据的安全要求有何不同?”。这里引用一幅摘自网络的数据分类图来说明。这幅图中将数据从大的范围分为两部分:个人数据与商业数据,再细分为不同类别。针对不同类别数据,各有其对应的法律法规保护。
1).个人数据
针对个人数据这块,可概括分为个人基础数据、个人隐私数据、个人行为数据。
-
个人基础数据
即无需与任何平台或企业交互即可知的基础数据,如一个人的性别、身高、体重、年龄等。
-
个人隐私数据
个人隐私,在民法典和个人信息保护法中的表述又不尽相同,分别叫私密信息和敏感个人信息,两者并不能完全等同。民法典“隐私”范畴中的“私密信息”既在主观上“不愿为他人知悉”的部分,又在客观上能够识别自然人的才是“个人信息”;而“敏感个人信息”则未必具备隐私权属性。
-
个人行为数据
是要与平台或企业产生交互才会产生的数据。这也不难理解,因为数据是在数字世界中存在的生产要素,因此,个人行为数据中的“行为”,指的是个人在数字世界中的行为,人需要通过企业或平台进入数字世界,因此必然产生交互。
2).商业数据
针对商业数据这块,可概括分为:公共数据、平台数据与企业数据。
-
企业数据
企业数据,指企业业务系统中的数据。与平台数据关系上,一般来说企业有的数据,平台理论上都有。当然,不排除有些企业不愿公开给平台的数据,通过加密方式传送,导致平台没有,而企业有。
-
平台数据
一个平台上会有多个企业,比如金融行业,贷款超市上的每个借贷产品,交通出行行业,聚合打车平台上面有多个打车企业的产品。
-
公共数据
公共数据涵盖的范围最广,当然,也会有部分数据,由于企业或平台不愿公开,而无法成为公共数据。
3).理解要点
❖ 如何理解个人数据与企业数据的交叉?
个人行为数据这块,既属于个人数据,又属于商业数据,为个人与企业共有。如企业或平台需使用(产生此数据的企业或平台),需征得个人的授权同意;如第三方企业或平台需使用,则需征得产生此数据的企业或平台,以及个人双方/三方的授权同意。
❖ 如何理解“重要数据和核心数据”?
在图中标注的重要数据和核心数据,是在数据安全法规中提到的。这两类数据,和之前的分类并不在一个维度。重要数据,是指个人数据(除个人隐私外的部分)与企业、平台乃至公共数据的结合,通过大量数据的汇聚、关联、映射而产生数据价值及增值。例如之前颇受关注的滴滴事件,所暴露出数据汇聚后所产生的巨大价值,其泄露等也会造成巨大安全风险。重要数据中的核心部分,即为核心数据。
❖ 如何理解保护数据的法律法规?
针对不同类数据,有对应的法律法规来保护。这部分后面会详细谈及。
-
民法典保护个人隐私,以私密信息为主体。
-
个人信息保护法同样保护个人隐私,以敏感个人信息为主体,并且还涵盖其他个人信息。
-
数据安全法范围最广,涵盖所有的数据。
-
网络安全法涉及所有线上的重要数据。
-
国家安全法涉及所有的核心数据。
2. 数据分类与分级
1).分类分级概念
数据的分类与分级,是谈到数据安全的重要概念。我们可以先简单理解下,参照上面的图中,按照纵向的行业划分,即为数据分类;在每个行业内,再将数据按照敏感程度分为不同层级即为数据分级。数据的分类分级管理应该贯穿于企业发展的始终,数据的类别、级别也应依据相关要求实时进行变化、更新。在企业业务发展的进程中,必然会面临数据量增长和扩展更多数据域。按照业务发展需求和法规标准的要求对数据的分类分级“量体裁衣”才能适应日益多样化的数据使用场景和复杂的数据使用维度,为公司业务数据划分完整的分类分级标准,为公司业务发展提供高效的数据支撑。
-
数据分类
从业务角度出发,梳理哪些元数据属于哪个业务范畴,也就是类别。这个业务范畴囊括的范围可大可小,完全依托于企业前期基于业务的梳理结果。做数据分类,并不是业务越细分越好,大部分细分之后的数据均具有多重属性,会导致数据的多重划分,这是典型分类失败的体现。反之,如果分类过于粗犷,对于企业的指导意义也明显下降,找到分类颗粒度的平衡点,这很重要。
-
数据分级
不同于数据分类,对于大多数企业来说,更多是从满足监管要求的角度出发。数据分级属于数据安全领域,或许称其为敏感等级更为贴切。企业中的数据密级程度有的高、有的低、有的可公开、有的不可公开,敏感等级不同的数据对内使用时受到的保护策略不同,对外共享开放的程度也不同。如果企业对自己内部的数据没有一个明确的认识,会为企业的运营带来严重的隐患。
2).分类分级实践:电信
下面以电信企业为例,说明如何进行数据分类分级。
❖ 数据分类分级原则
-
安全性原则:从利于数据安全管控的角度对数据进行分类分级。
-
稳定性原则:分类分级设置在相当长一个时期内是稳定的,对各类数据涵盖广,包容性强。
-
可执行原则:为保障数据分类分级后续的可操作性,数据分类分级应贴近企业实际运营情况,不应过于复杂或过于粗犷。企业的安全防护要求均应在此分类分级基础上进行展开。
-
时效性原则:数据的级别会依据相关要求进行动态变化和更新,企业应预留一定的管理和技术储备,以便应对数据级别变化产生的影响。
-
自主性原则:基础电信企业可依据电信企业自身的特点,根据企业的战略目标、转型方向、风险识别的结果等进行数据安全分类分级。但分级结果应符合就高不就低原则,不应未经评估将高等级数据降低为低等级数据。
-
完整性原则:对数据状态描述的全面程度,完整的数据应基于业务全流程进行全面划分。
-
就高不就低原则:不同级别的数据被同时处理、应用时且无法精细化管控时应按照其中级别最高的要求来实施保护。
-
关联叠加效应原则:对于非敏感数据关联后可能产生敏感数据的场景,关联后的数据级别应高于原始数据。
❖ 数据分类方法
根据基础电信企业业务运营特点和企业内部管理方法收集企业内所有部门的数据资源,梳理所有数据资源。按照线分类法,按照业务属性(或特征),将基础电信企业数据分为若干数据大类,然后按照大类内部的数据隶属逻辑关系,将每个大类的数据分为若干层级,每个层级分为若干子类,同一分支的同层级子类之间构成并列关系,不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资源目录树,如下图所示。目录树的所有叶子节点是最小数据类。最小数据类是指属性(或特征)相同或相似的一组数据。为便于对数据进行统一管理及应用,根据基础电信企业生产经营管理现状和企业自身管理特点,将基础电信企业掌握的数据整合纳入两大类。
❖ 数据分级方法
在数据分类基础上,根据基础电信企业数据重要程度以及泄露后对国家安全、社会秩序、企业经营管理和公众利益造成的影响和危害程度,对基础电信企业网络数据资源进行分级。数据分级按照下图所示的步骤和方法进行,具体如下。
根据数据对象对客体的影响程度,取影响程度中的最高影响等级为该数据对象的重要敏感程度。例如,若某数据对象发生安全事件时对国家安全和社会公共利益的影响程度为低,对企业利益影响程度为低,对用户利益影响程度为高,则该数据对象的重要敏感程度取三者中最高,即为高。按照数据对象的重要敏感程度,可以将基础电信企业网络数据资源分为四个安全级别,其对应的安全要求逐级递减,分别为第四级、第三级、第二级和第一级。
-
第四级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成特别严重影响的数据,安全管控要求最高。
-
第三级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成严重影响的数据,应实施较强的安全管控。
-
第二级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成一定程度影响的数据,执行基本的安全管控。
-
第一级数据:一旦丢失、泄露、被篡改、被损毁对国家安全、社会公共利益或企业利益或用户利益造成影响较小或无影响的数据,对安全管控不作要求。
3. 解读法规与标准
1).多层次法规与标准
随着对数据安全重视不断加强,国家/地区、行业出台一系列法律法规与标准引导数据安全建设。总体来说,可分为三个层面:法律、行政法规和国家或地方标准
❖ 法律
在法律层面,国家陆续出台包括国家安全法、数据安全法、个人信息保护法、网络安全法及密码法等一系列法律来规范指导。
其中2015年施行的《国家安全法》第25条明确提出“实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控”。在2017年施行的《网络安全法》将数据安全纳入网络安全范畴,网络安全等级保护制度、关键信息基础设施保护制度、个人信息保护制度等为保障数据安全提供重要制度支撑。2021年实施的《数据安全法》则全面贯彻落实总体国家安全观,确立国家数据安全工作体制机制,构建数据安全协同治理体系,明确预防、控制和消除数据安全风险的一系列制度、措施,提升国家整体数据安全保障能力。
❖ 行政法规
各行业根据自身特点,出台系列带有行业属性的规范、指引等
❖ 国家或地方标准
在标准方面出台一系列国家或地方标准
2).解读:GB/T 35273-2020 《 个人信息安全规范》
下面以国家标准-个人信息安全规范为例,说明如何定义(分类分级)及约束数据及相关行为。
❖ 数据定义(分类分级)
-
个人信息 personal information
个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定。自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人。个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
-
个人敏感信息 personal sensitive information
个人敏感信息,是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:
- 泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息 在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
- 非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。
- 滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
❖ 约束行为
4. 落地痛点分析及解法
企业在数据安全领域落地,是存在一系列痛点与难点。这里主要来自两个方面:一是对安全法规及标准的解读;二是如何结合企业自身情况,制定并落地数据安全改进。针对前者,通过上面一系列内容的解读,相信读者已对数据安全法规及标准有了大致的认识,在具体操作上可遵循先法律法规、后标准规范,先国家行业、后区域地方的原则进行解读,摸清企业数据应遵循的安全原则。很多安全或咨询公司,也提供此类安全咨询服务,帮助企业做好政策解读。针对后者,则相对较为复杂,一方面需要摸清企业数据家底,一方面需建立数据全生命周期安全规划,根据前面的解读,有针对性地采取一系列安全改造措施。如下图是个人简单整理的数据生命周期的各阶段所涉及的主要安全能力,包括从数据识别、传输、存储、使用、销毁多环节。
上述安全能力在具体构建上,是需要有一系列技术支撑才能完成。受限于对数据安全认识不足,大部分企业并没有在早期就有这个意识去构建,因而存在边上马边改造,边摸索边实施的问题。这也是困扰很多企业数据安全工作的痛点。特别是针对数据重要载体-数据库方面,企业存在多数据库栈林立、各产品安全能力各异、云与非云环境并存等痛点,无法建立统一的数据安全治理体系。通常的思路是在企业应用层去解决上述问题,但又会对应用系统开发造成很大困扰,因而在数据库与应用之间构建这一能力成为“必然”。针对这一实践理念,个人有些实践,感兴趣的小伙伴可关注我。