1. 哪些數(shù)據(jù)需要關(guān)注

在解讀數(shù)據(jù)安全法規(guī)之前，首先要講清楚的問題就是“什么樣的數(shù)據(jù)需要考慮安全問題？不同數(shù)據(jù)的安全要求有何不同？”。這里引用一幅摘自網(wǎng)絡(luò)的數(shù)據(jù)分類圖來說明。這幅圖中將數(shù)據(jù)從大的范圍分為兩部分：個人數(shù)據(jù)與商業(yè)數(shù)據(jù)，再細(xì)分為不同類別。針對不同類別數(shù)據(jù)，各有其對應(yīng)的法律法規(guī)保護。

1)個人數(shù)據(jù)

針對個人數(shù)據(jù)這塊，可概括分為個人基礎(chǔ)數(shù)據(jù)、個人隱私數(shù)據(jù)、個人行為數(shù)據(jù)。

個人基礎(chǔ)數(shù)據(jù)即無需與任何平臺或企業(yè)交互即可知的基礎(chǔ)數(shù)據(jù)，如一個人的性別、身高、體重、年齡等。

個人隱私數(shù)據(jù)個人隱私，在民法典和個人信息保護法中的表述又不盡相同，分別叫私密信息和敏感個人信息，兩者并不能完全等同。民法典“隱私”范疇中的“私密信息”既在主觀上“不愿為他人知悉”的部分，又在客觀上能夠識別自然人的才是“個人信息”；而“敏感個人信息”則未必具備隱私權(quán)屬性。

個人行為數(shù)據(jù)是要與平臺或企業(yè)產(chǎn)生交互才會產(chǎn)生的數(shù)據(jù)。這也不難理解，因為數(shù)據(jù)是在數(shù)字世界中存在的生產(chǎn)要素，因此，個人行為數(shù)據(jù)中的“行為”，指的是個人在數(shù)字世界中的行為，人需要通過企業(yè)或平臺進入數(shù)字世界，因此必然產(chǎn)生交互。

2)商業(yè)數(shù)據(jù)

針對商業(yè)數(shù)據(jù)這塊，可概括分為：公共數(shù)據(jù)、平臺數(shù)據(jù)與企業(yè)數(shù)據(jù)。

• 企業(yè)數(shù)據(jù)企業(yè)數(shù)據(jù)，指企業(yè)業(yè)務(wù)系統(tǒng)中的數(shù)據(jù)。與平臺數(shù)據(jù)關(guān)系上，一般來說企業(yè)有的數(shù)據(jù)，平臺理論上都有。當(dāng)然，不排除有些企業(yè)不愿公開給平臺的數(shù)據(jù)，通過加密方式傳送，導(dǎo)致平臺沒有，而企業(yè)有。
• 平臺數(shù)據(jù)一個平臺上會有多個企業(yè)，比如金融行業(yè)，貸款超市上的每個借貸產(chǎn)品，交通出行行業(yè)，聚合打車平臺上面有多個打車企業(yè)的產(chǎn)品。
• 公共數(shù)據(jù)公共數(shù)據(jù)涵蓋的范圍最廣，當(dāng)然，也會有部分?jǐn)?shù)據(jù)，由于企業(yè)或平臺不愿公開，而無法成為公共數(shù)據(jù)。

3).理解要點

? 如何理解個人數(shù)據(jù)與企業(yè)數(shù)據(jù)的交叉?

個人行為數(shù)據(jù)這塊，既屬于個人數(shù)據(jù)，又屬于商業(yè)數(shù)據(jù)，為個人與企業(yè)共有。如企業(yè)或平臺需使用（產(chǎn)生此數(shù)據(jù)的企業(yè)或平臺），需征得個人的授權(quán)同意；如第三方企業(yè)或平臺需使用，則需征得產(chǎn)生此數(shù)據(jù)的企業(yè)或平臺，以及個人雙方/三方的授權(quán)同意。

? 如何理解“重要數(shù)據(jù)和核心數(shù)據(jù)”？

在圖中標(biāo)注的重要數(shù)據(jù)和核心數(shù)據(jù)，是在數(shù)據(jù)安全法規(guī)中提到的。這兩類數(shù)據(jù)，和之前的分類并不在一個維度。重要數(shù)據(jù)，是指個人數(shù)據(jù)（除個人隱私外的部分）與企業(yè)、平臺乃至公共數(shù)據(jù)的結(jié)合，通過大量數(shù)據(jù)的匯聚、關(guān)聯(lián)、映射而產(chǎn)生數(shù)據(jù)價值及增值。例如之前頗受關(guān)注的滴滴事件，所暴露出數(shù)據(jù)匯聚后所產(chǎn)生的巨大價值，其泄露等也會造成巨大安全風(fēng)險。重要數(shù)據(jù)中的核心部分，即為核心數(shù)據(jù)。

? 如何理解保護數(shù)據(jù)的法律法規(guī)？

針對不同類數(shù)據(jù)，有對應(yīng)的法律法規(guī)來保護。這部分后面會詳細(xì)談及。

• 民法典保護個人隱私，以私密信息為主體。
• 個人信息保護法同樣保護個人隱私，以敏感個人信息為主體，并且還涵蓋其他個人信息。
• 數(shù)據(jù)安全法范圍最廣，涵蓋所有的數(shù)據(jù)。
• 網(wǎng)絡(luò)安全法涉及所有線上的重要數(shù)據(jù)。
• 國家安全法涉及所有的核心數(shù)據(jù)。

2. 數(shù)據(jù)分類與分級

1).分類分級概念

數(shù)據(jù)的分類與分級，是談到數(shù)據(jù)安全的重要概念。我們可以先簡單理解下，參照上面的圖中，按照縱向的行業(yè)劃分，即為數(shù)據(jù)分類；在每個行業(yè)內(nèi)，再將數(shù)據(jù)按照敏感程度分為不同層級即為數(shù)據(jù)分級。數(shù)據(jù)的分類分級管理應(yīng)該貫穿于企業(yè)發(fā)展的始終，數(shù)據(jù)的類別、級別也應(yīng)依據(jù)相關(guān)要求實時進行變化、更新。在企業(yè)業(yè)務(wù)發(fā)展的進程中，必然會面臨數(shù)據(jù)量增長和擴展更多數(shù)據(jù)域。按照業(yè)務(wù)發(fā)展需求和法規(guī)標(biāo)準(zhǔn)的要求對數(shù)據(jù)的分類分級“量體裁衣”才能適應(yīng)日益多樣化的數(shù)據(jù)使用場景和復(fù)雜的數(shù)據(jù)使用維度，為公司業(yè)務(wù)數(shù)據(jù)劃分完整的分類分級標(biāo)準(zhǔn)，為公司業(yè)務(wù)發(fā)展提供高效的數(shù)據(jù)支撐。

• 數(shù)據(jù)分類從業(yè)務(wù)角度出發(fā)，梳理哪些元數(shù)據(jù)屬于哪個業(yè)務(wù)范疇，也就是類別。這個業(yè)務(wù)范疇囊括的范圍可大可小，完全依托于企業(yè)前期基于業(yè)務(wù)的梳理結(jié)果。做數(shù)據(jù)分類，并不是業(yè)務(wù)越細(xì)分越好，大部分細(xì)分之后的數(shù)據(jù)均具有多重屬性，會導(dǎo)致數(shù)據(jù)的多重劃分，這是典型分類失敗的體現(xiàn)。反之，如果分類過于粗獷，對于企業(yè)的指導(dǎo)意義也明顯下降，找到分類顆粒度的平衡點，這很重要。
• 數(shù)據(jù)分級不同于數(shù)據(jù)分類，對于大多數(shù)企業(yè)來說，更多是從滿足監(jiān)管要求的角度出發(fā)。數(shù)據(jù)分級屬于數(shù)據(jù)安全領(lǐng)域，或許稱其為敏感等級更為貼切。企業(yè)中的數(shù)據(jù)密級程度有的高、有的低、有的可公開、有的不可公開，敏感等級不同的數(shù)據(jù)對內(nèi)使用時受到的保護策略不同，對外共享開放的程度也不同。如果企業(yè)對自己內(nèi)部的數(shù)據(jù)沒有一個明確的認(rèn)識，會為企業(yè)的運營帶來嚴(yán)重的隱患。

2)分類分級實踐：電信

下面以電信企業(yè)為例，說明如何進行數(shù)據(jù)分類分級。

 ? 數(shù)據(jù)分類分級原則

• 安全性原則：從利于數(shù)據(jù)安全管控的角度對數(shù)據(jù)進行分類分級。
• 穩(wěn)定性原則：分類分級設(shè)置在相當(dāng)長一個時期內(nèi)是穩(wěn)定的，對各類數(shù)據(jù)涵蓋廣，包容性強。
• 可執(zhí)行原則：為保障數(shù)據(jù)分類分級后續(xù)的可操作性,數(shù)據(jù)分類分級應(yīng)貼近企業(yè)實際運營情況，不應(yīng)過于復(fù)雜或過于粗獷。企業(yè)的安全防護要求均應(yīng)在此分類分級基礎(chǔ)上進行展開。
• 時效性原則：數(shù)據(jù)的級別會依據(jù)相關(guān)要求進行動態(tài)變化和更新，企業(yè)應(yīng)預(yù)留一定的管理和技術(shù)儲備，以便應(yīng)對數(shù)據(jù)級別變化產(chǎn)生的影響。
• 自主性原則：基礎(chǔ)電信企業(yè)可依據(jù)電信企業(yè)自身的特點，根據(jù)企業(yè)的戰(zhàn)略目標(biāo)、轉(zhuǎn)型方向、風(fēng)險識別的結(jié)果等進行數(shù)據(jù)安全分類分級。但分級結(jié)果應(yīng)符合就高不就低原則，不應(yīng)未經(jīng)評估將高等級數(shù)據(jù)降低為低等級數(shù)據(jù)。
• 完整性原則：對數(shù)據(jù)狀態(tài)描述的全面程度，完整的數(shù)據(jù)應(yīng)基于業(yè)務(wù)全流程進行全面劃分。
• 就高不就低原則：不同級別的數(shù)據(jù)被同時處理、應(yīng)用時且無法精細(xì)化管控時應(yīng)按照其中級別最高的要求來實施保護。
• 關(guān)聯(lián)疊加效應(yīng)原則：對于非敏感數(shù)據(jù)關(guān)聯(lián)后可能產(chǎn)生敏感數(shù)據(jù)的場景，關(guān)聯(lián)后的數(shù)據(jù)級別應(yīng)高于原始數(shù)據(jù)。

? 數(shù)據(jù)分類方法

根據(jù)基礎(chǔ)電信企業(yè)業(yè)務(wù)運營特點和企業(yè)內(nèi)部管理方法收集企業(yè)內(nèi)所有部門的數(shù)據(jù)資源，梳理所有數(shù)據(jù)資源。按照線分類法，按照業(yè)務(wù)屬性（或特征），將基礎(chǔ)電信企業(yè)數(shù)據(jù)分為若干數(shù)據(jù)大類，然后按照大類內(nèi)部的數(shù)據(jù)隸屬邏輯關(guān)系，將每個大類的數(shù)據(jù)分為若干層級，每個層級分為若干子類，同一分支的同層級子類之間構(gòu)成并列關(guān)系，不同層級子類之間構(gòu)成隸屬關(guān)系。所有數(shù)據(jù)類及數(shù)據(jù)子類構(gòu)成數(shù)據(jù)資源目錄樹，如下圖所示。目錄樹的所有葉子節(jié)點是最小數(shù)據(jù)類。最小數(shù)據(jù)類是指屬性（或特征）相同或相似的一組數(shù)據(jù)。為便于對數(shù)據(jù)進行統(tǒng)一管理及應(yīng)用，根據(jù)基礎(chǔ)電信企業(yè)生產(chǎn)經(jīng)營管理現(xiàn)狀和企業(yè)自身管理特點，將基礎(chǔ)電信企業(yè)掌握的數(shù)據(jù)整合納入兩大類。

? 數(shù)據(jù)分級方法

在數(shù)據(jù)分類基礎(chǔ)上，根據(jù)基礎(chǔ)電信企業(yè)數(shù)據(jù)重要程度以及泄露后對國家安全、社會秩序、企業(yè)經(jīng)營管理和公眾利益造成的影響和危害程度，對基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源進行分級。數(shù)據(jù)分級按照下圖所示的步驟和方法進行，具體如下。

根據(jù)數(shù)據(jù)對象對客體的影響程度，取影響程度中的最高影響等級為該數(shù)據(jù)對象的重要敏感程度。例如，若某數(shù)據(jù)對象發(fā)生安全事件時對國家安全和社會公共利益的影響程度為低，對企業(yè)利益影響程度為低，對用戶利益影響程度為高，則該數(shù)據(jù)對象的重要敏感程度取三者中最高，即為高。按照數(shù)據(jù)對象的重要敏感程度，可以將基礎(chǔ)電信企業(yè)網(wǎng)絡(luò)數(shù)據(jù)資源分為四個安全級別，其對應(yīng)的安全要求逐級遞減，分別為第四級、第三級、第二級和第一級。

• 第四級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業(yè)利益或用戶利益造成特別嚴(yán)重影響的數(shù)據(jù)，安全管控要求最高。
• 第三級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業(yè)利益或用戶利益造成嚴(yán)重影響的數(shù)據(jù)，應(yīng)實施較強的安全管控。
• 第二級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業(yè)利益或用戶利益造成一定程度影響的數(shù)據(jù)，執(zhí)行基本的安全管控。
• 第一級數(shù)據(jù)：一旦丟失、泄露、被篡改、被損毀對國家安全、社會公共利益或企業(yè)利益或用戶利益造成影響較小或無影響的數(shù)據(jù)，對安全管控不作要求。

3. 解讀法規(guī)與標(biāo)準(zhǔn)

1)多層次法規(guī)與標(biāo)準(zhǔn)

隨著對數(shù)據(jù)安全重視不斷加強，國家/地區(qū)、行業(yè)出臺一系列法律法規(guī)與標(biāo)準(zhǔn)引導(dǎo)數(shù)據(jù)安全建設(shè)?？傮w來說，可分為三個層面：法律、行政法規(guī)和國家或地方標(biāo)準(zhǔn)，如下圖。

? 法律

在法律層面，國家陸續(xù)出臺包括國家安全法、數(shù)據(jù)安全法、個人信息保護法、網(wǎng)絡(luò)安全法及密碼法等一系列法律來規(guī)范指導(dǎo)。下圖摘自安全廠商-煉石科技的對外公開資料。

其中2015年施行的《國家安全法》第25條明確提出“實現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)、關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控”。在2017年施行的《網(wǎng)絡(luò)安全法》將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全范疇，網(wǎng)絡(luò)安全等級保護制度、關(guān)鍵信息基礎(chǔ)設(shè)施保護制度、個人信息保護制度等為保障數(shù)據(jù)安全提供重要制度支撐。2021年實施的《數(shù)據(jù)安全法》則全面貫徹落實總體國家安全觀，確立國家數(shù)據(jù)安全工作體制機制，構(gòu)建數(shù)據(jù)安全協(xié)同治理體系，明確預(yù)防、控制和消除數(shù)據(jù)安全風(fēng)險的一系列制度、措施，提升國家整體數(shù)據(jù)安全保障能力。

? 行政法規(guī)

各行業(yè)根據(jù)自身特點，出臺系列帶有行業(yè)屬性的規(guī)范、指引等，粗略整理如下：

? 國家或地方標(biāo)準(zhǔn)

在標(biāo)準(zhǔn)方面出臺一系列國家或地方標(biāo)準(zhǔn)，粗略整理如下：

2).解讀：GB/T 35273-2020 《 個人信息安全規(guī)范》

下面以國家標(biāo)準(zhǔn)-個人信息安全規(guī)范為例，說明如何定義（分類分級）及約束數(shù)據(jù)及相關(guān)行為。

? 數(shù)據(jù)定義（分類分級）

• 個人信息 personal information

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結(jié)合識別特定。自然人身份或者反映特定自然人活動情況的各種信息，如姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯(lián)系方式、通信記錄和內(nèi)容、賬號密碼、財產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。判定某項信息是否屬于個人信息，應(yīng)考慮以下兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人。個人信息應(yīng)有助于識別出特定個人。二是關(guān)聯(lián)，即從個人到信息，如已知特定自然人，由該特定自然人在其活動中產(chǎn)生的信息(如個人位置信息、個人通話記錄、個人瀏覽記錄等)即為個人信息。符合上述兩種情形之一的信息，均應(yīng)判定為個人信息。

• 個人敏感信息 personal sensitive information?

個人敏感信息，是指一旦泄露、非法提供或濫用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下(含)兒童的個人信息和涉及自然人隱私的信息屬于個人敏感信息。可從以下角度判定是否屬于個人敏感信息：

- 泄露：個人信息一旦泄露，將導(dǎo)致個人信息主體及收集、使用個人信息的組織和機構(gòu)喪失對個人信息的控制能力，造成個人信息擴散范圍和用途的不可控。某些個人信息 在泄漏后，被以違背個人信息主體意愿的方式直接使用或與其他信息進行關(guān)聯(lián)分析，可能對個人信息主體權(quán)益帶來重大風(fēng)險，應(yīng)判定為個人敏感信息。例如，個人信息主體的身份證復(fù)印件被他人用于手機號卡實名登記、銀行賬戶開戶辦卡等。

- 非法提供：某些個人信息僅因在個人信息主體授權(quán)同意范圍外擴散，即可對個人信息主體權(quán)益帶來重大風(fēng)險，應(yīng)判定為個人敏感信息。例如,性取向、存款信息、傳染病史等。

- 濫用：某些個人信息在被超出授權(quán)合理界限時使用(如變更處理目的、擴大處理范圍等)，可能對個人信息主體權(quán)益帶來重大風(fēng)險，應(yīng)判定為個人敏感信息。例如，在未取得個人信息主體授權(quán)時，將健康信息用于保險公司營銷和確定個體保費高低。

? 約束行為

4. 落地痛點分析及解法

企業(yè)在數(shù)據(jù)安全領(lǐng)域落地，是存在一系列痛點與難點。這里主要來自兩個方面：一是對安全法規(guī)及標(biāo)準(zhǔn)的解讀；二是如何結(jié)合企業(yè)自身情況，制定并落地數(shù)據(jù)安全改進。針對前者，通過上面一系列內(nèi)容的解讀，相信讀者已對數(shù)據(jù)安全法規(guī)及標(biāo)準(zhǔn)有了大致的認(rèn)識，在具體操作上可遵循先法律法規(guī)、后標(biāo)準(zhǔn)規(guī)范，先國家行業(yè)、后區(qū)域地方的原則進行解讀，摸清企業(yè)數(shù)據(jù)應(yīng)遵循的安全原則。很多安全或咨詢公司，也提供此類安全咨詢服務(wù)，幫助企業(yè)做好政策解讀。針對后者，則相對較為復(fù)雜，一方面需要摸清企業(yè)數(shù)據(jù)家底，一方面需建立數(shù)據(jù)全生命周期安全規(guī)劃，根據(jù)前面的解讀，有針對性地采取一系列安全改造措施。如下圖是個人簡單整理的數(shù)據(jù)生命周期的各階段所涉及的主要安全能力，包括從數(shù)據(jù)識別、傳輸、存儲、使用、銷毀多環(huán)節(jié)。

上述安全能力在具體構(gòu)建上，是需要有一系列技術(shù)支撐才能完成。受限于對數(shù)據(jù)安全認(rèn)識不足，大部分企業(yè)并沒有在早期就有這個意識去構(gòu)建，因而存在邊上馬邊改造，邊摸索邊實施的問題。這也是困擾很多企業(yè)數(shù)據(jù)安全工作的痛點。特別是針對數(shù)據(jù)重要載體-數(shù)據(jù)庫方面，企業(yè)存在多數(shù)據(jù)庫棧林立、各產(chǎn)品安全能力各異、云與非云環(huán)境并存等痛點，無法建立統(tǒng)一的數(shù)據(jù)安全治理體系。通常的思路是在企業(yè)應(yīng)用層去解決上述問題，但又會對應(yīng)用系統(tǒng)開發(fā)造成很大困擾，因而在數(shù)據(jù)庫與應(yīng)用之間構(gòu)建這一能力成為“必然”。針對這一實踐理念，個人有些實踐，感興趣的小伙伴可與我聯(lián)系。