專訪為節選内容更多詳情請掃碼閱讀

人物簡介

左曉棟

博士，現任中國科學技術大學公共事務學院、網絡空間安全學院教授，原中國信息安全研究院副院長。工作于我國網絡安全統籌協調部門，是國家重大網絡安全政策法規的核心起草專家。目前，兼任國務院學位委員會“網絡空間安全”學科評議組成員、國家數字貿易專家工作組成員、國家網絡安全應急專家組成員、外交部網絡外交專家咨詢委員會委員等學術職務。是國務院行政法規《網絡數據安全管理條例(征求意見稿)》專家組組長。

數據跨境流通快速增長，對于滿足海内外機構的跨境需求，服務于海内外量化投資資管機構，具有現實且重大意義。那麼，什麼樣的數據是重要數據？如何建立重要數據目錄？如何做好數據安全風險防範與評估？對此，南都專訪了中國科學技術大學公共事務學院、網絡空間安全學院教授左曉棟。在左曉棟看來，數據進一步分類分級是大趨勢，《數據安全法》明确提出國家建立數據分類分級保護制度，其中關鍵的級别就是重要數據的保護。目前左曉棟牽頭起草的中華人民共和國國家标準《信息安全技術 重要數據識别指南》，已在全國信息安全标準化委員會官網上向社會公開征求意見。

A

數據進一步分類分級是大趨勢

在日前深圳數據交易公司牽頭、數庫科技承辦的數據沙龍上，衆多專家圍繞“跨境數據新趨勢，量化投資應用與合規”主題，研讨跨境數據帶來的機遇與挑戰，探讨如何更好提升跨境數據要素流通，打造國際化數據開放合規市場。

在演講中，國務院行政法規《網絡數據安全管理條例(征求意見稿)》專家組組長左曉棟分享自己對于數據規範與國家要求的見解。在他看來，數據進一步分類分級是大趨勢，《數據安全法》明确提出國家建立數據分類分級保護制度，其中關鍵的級别就是重要數據的保護。目前左曉棟牽頭起草的中華人民共和國國家标準《信息安全技術 重要數據識别指南》，已在全國信息安全标準化委員會官網上向社會公開征求意見。在數據跨境流動層面，國家正在建立數據跨境流動的安全管理制度，其中的一項重要工作是要對數據出境進行安全評估。

南都：《數據安全法》《個人信息保護法》等法律法規實施，推動國内數據安全體系建設。數據安全監管一個重要方面就是對重要數據的識别。那麼，什麼樣的數據是重要數據？如何建立重要數據的目錄？

左曉棟：2017年6月1日起施行的《網絡安全法》第三十七條确立了重要數據出境評估制度。為了落實這一制度，需要明确重要數據的概念。為此，2019年，全國信息安全标準化技術委員會下達了相關研究項目，并在2020年對國家标準《信息安全技術 重要數據識别指南》進行立項。

2021年9月1日起施行的《數據安全法》提出數據分類分級制度，并要求制定重要數據目錄。由此，《信息安全技術 重要數據識别指南》的迫切性進一步凸顯。根據目前的研究，重要數據被定義為“特定領域、特定群體、特定區域或達到一定精度和規模的數據，一旦被洩露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全”。

下一步，地方、行業需基于國家标準和有關規定，制定地方或行業的重要數據标準、規範，組織開展本地區、本行業、本領域重要數據的識别。各類組織識别出本組織的重要數據後，按規定編制目錄，并上報地方政府或行業主管部門，再由各地方或各行業上報國家，最終形成國家層面的重要數據目錄。需要注意的是，重要數據目錄不包括數據本身。

B

重要數據應當進行重點保護，這是立法重點

南都：2021年10月29日，國家網信辦發布《數據出境安全評估辦法（征求意見稿）》，2021年11月14日發布《網絡數據安全管理條例（征求意見稿）》，提到重要數據安全有關要求。您是《網絡數據安全管理條例》專家組組長，能否詳細談談重要數據安全保護具體标準與要求是什麼？尤其是網絡數據安全，應如何管理？

左曉棟：重要數據應當進行重點保護，這是立法的重點。《數據安全法》《網絡數據安全管理條例（征求意見稿）》都提出了相應制度，而且後者還專門設了“重要數據安全”章。但僅有這些制度規定還不夠，需要通過标準規範予以細化。

為此，全國信息安全标準化技術委員會今年提出制定國家标準《重要數據處理安全要求》的需求，目前正在按程序遴選标準起草單位。制定這個标準，要同時體現數據安全的四個方面，并有所側重：

一是環境安全，即數據所在的網絡與系統的安全；二是資産安全，即數據自身的安全；三是行為安全，即數據處理的合規性；四是生産要素安全，即解決數據流通中的确權、開發利用、運營等問題。

同時，還要體現與一般性數據的安全區别，也有四個方面：在安全保護的強度上，要嚴格于普通數據；在管理制度上，要嚴格于普通數據；在合規要求上，法律法規有明确要求；在配合監管上，重要數據處理者有特定的法律義務。重要數據安全标準不能從數據安全基礎寫起，而是要突出以上這些方面。

C

謹慎梳理重要數據

南都：在實際操作過程中，我們如何評估數據安全，包括風險評估、合規評估、能力評估、出境評估等，如何開展數據安全評估？

左曉棟：數據安全評估是一個重要議題。人們很容易從網絡安全評估的角度看待數據安全評估。這裡面有很大的不同。從防攻擊、防滲透、防篡改等角度來看，以前的網絡安全評估已經涵蓋了對數據安全的評估。換句話說，數據安全評估應當首先進行網絡安全評估。但這隻是其中一個方面。正如前面談到的，我們對數據安全的需求是多維度的，已經超出了網絡安全範疇，故還需對企業處理數據的合規性進行評估。即使一個企業沒有遭受數據竊取，但如果這個企業自身違法收集、濫用用戶個人信息呢？這顯然需要進行評估。

此外，企業在開展很多數據處理活動前，由于可能涉及向企業控制範圍外甚至不同法域（跨境）的第三方傳輸數據，或處理的數據很特殊（例如敏感個人信息），此時也需要進行評估。如認為風險過大，則有可能要停止數據處理活動。這也是常見的一種數據安全評估。至于數據出境安全評估，這是政府部門的監管手段，倒不是企業自身實施的行為。但是，不論哪一種評估，都應當規範實施。有的已經形成标準，如個人信息保護影響評估，更多的标準正在制定中。

南都：《數據安全法》提出國家建立數據分類分級保護制度，數據分為一般數據、重要數據、核心數據。在數據分類分級方面，有哪些需要重點關注？政府、企業應該怎麼操作，防範可能出現的風險？

左曉棟：重要數據、核心數據關系國家安全，因此國家要進行重點保護，并對安全保護情況進行監管。這要求各類組織認真對待重要數據識别問題，經識别一旦發現有重要數據，就需要履行重要數據的安全保護義務。而且這種保護義務是貫穿于數據的生命周期的，包括數據的收集、存儲、處理、傳輸、公開、共享、使用、銷毀等環節。

事實上，《重要數據處理安全要求》将全部涵蓋這些環節。所有組織都要确立這樣一種意識，即使你處于商業領域，沒有涉密信息，也不意味着你同國家安全沒有關系，不意味着你自己的數據想怎麼處理就怎麼處理，一定要首先貫徹數據分類分級理念，謹慎梳理重要數據。

出品：南都大數據研究院 數字政府研究中心

統籌：鄒瑩 研究員：袁炯賢

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!