中科大教授左晓栋：如何理解《数据安全法》中的“重要数据”？

 水木智能热点资讯 

来源：澎湃科技

中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋。

2021年9月1日，我国数据安全领域的基础性法律《中华人民共和国数据安全法》(以下简称《数据安全法》)正式施行。正值《数据安全法》施行两周年之际，2023年9月1日，中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋在2023数据安全上海论坛上作了《重要数据安全要求解读》报告，分析在落实《数据安全法》这项重要制度中，如何理解该制度提出的初衷，接下来的数据安全工作方向是什么？左晓栋曾长期在我国网络安全统筹协调部门工作，是一系列网络安全重大战略政策的核心起草专家，现兼任第八届国务院学位委员会“网络空间安全”学科评议组成员、国家数字贸易专家工作组成员等学术职务。左晓栋认为，“在《数据安全法》中提出了一个重要的制度，引入了一个重要的概念，即数据分类分级保护制度和重要数据。”《数据安全法》第二十一条规定国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。实际上，“重要数据”最早见诸法律是在《中华人民共和国网络安全法》（以下简称《网络安全法》，2017年6月1日开始施行）第三十七条中。《网络安全法》提出了数据出境评估制度，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。为何此后出台的《数据安全法》引入了“重要数据”的关键概念？左晓栋解释道，“当时（《网络安全法》出台时）法律法规层面的解释还没有制定，所以真正在实质意义上提出‘重要数据’的概念还是要看《数据安全法》。”如何理解“重要数据”？需要回到分类分级制度的本质内涵。左晓栋分析道，“人们很容易认为数据分级分类制度是社会的普遍归类，来源于不同级别的数据安全保护要求不一样。但其实不是，我们对分类分级的理解首先是弥补国家安全制度的不足。也就是说，在非国家秘密领域，把影响国家安全的数据找出来，这类数据叫做‘重要数据’或‘核心数据’，其他的叫‘一般数据’。”“这意味着分类分级工作推进也好，重要数据识别也好，一切都应该围绕国家安全的根本诉求，它揭示了数据安全工作的出发点、数据安全监管制度的监管对象，也指向了这项工作的核心内容。”左晓栋说。接下来的数据安全工作方向是什么？左晓栋表示，“下一步，无论哪一项数据安全的重要制度，可能都要和数据分类分级制度产生强关联。其中，关联的核心是重要数据的识别和保护。因此，为了推动这项工作，全国信息安全标准化技术委员会陆续推出了两个编制任务，一个是重要数据识别指南，一个是重要数据处理安全要求。”这两项编制工作都由左晓栋牵头，在大会现场，左晓栋分享了这两个标准的编制思路以及下一步工作的考虑。在重要数据处理安全要求中，主要有两个考虑：其一，重要数据处理安全要求与基础性网络安全要求区别在哪里，怎么处理这个标准的着力点？其二，重要数据安全和普通数据安全或一般数据安全的区别在哪里？在第一点中，左晓栋着重强调了数据安全的内涵，首先是数据系统的网络安全，也可以说环境安全、设施安全。第二是资产安全，包括可用性等，针对数据自身典型的数据加解密和数据脱敏。第三是合规问题，数据处理行为的安全。第四是生产要素安全，涉及确权问题、定价问题，更主要的是安全问题，数据交易双方身份的验证，开发、利用主体机构的安全等。对于第二点考虑所说的区别，左晓栋表示，“在安全保护的强度上，重要数据严格于普通数据；在管理制度上，重要数据严格于普通数据；在合规要求上，相关重要数据的法律法规有明确的要求；在配合监管上，重要数据处理者有特定的法律义务。”左晓栋透露，下一步的工作方向是围绕重要数据发展一系列安全技术及相关的安全产品。“我们讲了那么多标准规范，但重要数据在哪里，怎么识别？不能靠文本一个个读，肯定要有技术。技术涉及重要数据的特征是什么，核心是把由自然语言描述的重要数据转变成可被计算的对象，从而使其可识别、可登记、可监测、可上报，这是下一步工作努力的方向。”左晓栋说。