对重要数据识别问题应更多强调国家安全属性.docx

对重要数据识别问题应更多强调国家平安属性 数据防泄露、数据分级分类等当前我国数据平安工作热点问题探讨。 《数据平安法》《个人信息保护法》等法律法规的实施，进一步推动了国内数据平安 体系建设。解决数据平安问题，特别是数据泄露问题，备受行业关注。作为一个比拟成熟 的技术，数据防泄露（Data Loss Prevention ,简称DLP ）是国内外广泛应用的数据安 全防护手段，衍生技术也多种多样，但国内市场对数据防泄露还没有建立统一的标准。 继2020年中国信息协会信息平安专业委员会对数据防泄露产品进行测评之后，中国 信息协会信息平安专业委员会于近日联合DLP厂商天空卫士发布《数据防泄露（DLP ）技 术指南》。围绕数据防泄露、数据分级分类等当前我国数据平安工作热点问题，以下为几 个典型的问题。 Q：不同行业重要数据目录不同，那么，将如何建立重要数据的目录？ A:建立重要数据目录是我国《数据平安法》提出的法定任务。显然，重要数据目录和行 业的具体特点密切相关，不同行业对于重要数据的认识是不一样的。根据定义，重要数据 直接关系国家平安，某些数据在一个行业很普通，但在另一个行业的应用背景下，便可能 属于重要数据。但是，数据的分类分级又是国家制度，核心问题是如何理解国家分类分级 制度实施与行业特性之间的关系。 根据数据分类分级制度，数据分为一般数据、重要数据、核心数据。不同行业在国家 分类分级制度之下，可以根据行业特性，进一步明确重要数据的行业特征。这可以从两个 角度理解: 一是国家会对重要数据的识别给出统一规定，即重要数据识别规那么。但这是原那么性规 定，不同行业要根据国家标准的原那么性规定，制定反映自己行业特色的重要数据识别细 那么。 二是数据的分级按照一般数据、重要数据、核心数据划分，但国家不会对数据进行统 一分类，即国家层面只分级不分类，到了行业和地方层面那么可以自行根据实际情况来确定 分类方法。原因是，分类与数据重要性没有关系，某种程度上说是为了监管的需要，而监 管的需求那么是各异的，不可能统一规定。 当然，虽然不同行业必须明确其重要数据级别，但还可基于国家标准做出更进一步的 级别细分，例如对重要数据进一步划分为三级或者五级，这也由行业自行确定。 Q ：针对近日发布的《数据防泄露（DLP ）技术指南》，请谈谈其意义？ A:数据平安可以从四方面理解：一是环境平安，即数据所在的网络与系统的平安，因为 数据平安与所处网络和系统密切相关，网络和系统如果被侵入那么是“皮之不存毛将焉 附"；二是数据资产平安，主要表达在数据自身是不是被攻击、窃取、篡改；三是合规问 题，即数据处理过程要符合法律法规规定，一个机构即使对数据做到了很好的保护，确保 其不会受到外部威胁，但如果其自己滥采滥用呢？这是当前国家担忧的大问题；四是生产 要素平安，数据是新的生产要素，而这个要素的作用发挥涉及到数据确权、数据授权、数 据定价、数据开发利用主体选择、数据开发利用过程监管等一系列新问题，这也是数据安 全需要解决的痛点。 现在我们解决问题到什么程度了呢？以上的第一类问题基本解决了，但第二类问题还 处在初级阶段，后两类问题解决得更不理想。即，数据自身平安——即保密性，简言之就是防泄露问题，是最起码、最基本的问题。而且从历史看，防泄露问题是一个老问题，但 今天"老革命遇到新问题"，面对一系列新的平安威胁，数据防泄露任重道远，例如云环 境下的既要防泄露又要确保授权人员公开可访问，这就需要新的密码算法。 Q：当前，不管是个人数据还是企业数据，都在从商业层面走向政治层面，与国家平安密 切相关，后续在分类分级方面，有哪些需要重点关注？ A:就分类分级问题，国家正在制定两个标准，一个是数据分类分级指南，另一个是重要 数据识别规那么。由于形势变化和国家需求，现在对数据分类分级特别是对重要数据识别问 题上，应该更多强调数据的国家平安和公共利益属性。 如何判定一个数据是不是属于重要数据？要重点突出它对国家平安的影响。比方说， 算法推荐、定向推荐是一种舆论发动能力。此时，这些用户地址、用户特征、用户画像 等，都是用来进行信息推送、舆论引导、社会发动的必备条件，这些就应当属于重要数 据。 :我 数据防泄露技术开展情况如何？ A:数据防泄露不是一个新产品。说起数据平安保护，一直以来有两类典型产品，一类是 数据加密类，这是保护数据的重要技术；另外就是数据防泄露类，即防止非授权人员访问 数据。但是这些年数据防泄露一直"不温不火"，直到现在数据平安成为了重点工作，DL P产品才焕发青春。 我们一方面要保护数据的平安，另一方面还要把数据用起来，所以简单把数据做加密 是不够的。尤其在当前云环境下，数据访问者众多、应用模式复杂，这就对数据防泄露提 出了一系列新的要求。而且，很多时候"防内"比"防外"的需求更为强烈，因此数据防 泄露产品依然具有巨大的生命力。 Q ：在数据生命周期中，存在储存、使用、流转、销毁等环节，任何一个环节如果出现继 漏，都可能出现数据平安问题。企业应该如何应对可能出现的风险？ A:根据《数据平安法》规定，企业要建立全流程数据平安管理制度。这就意味着企业保 护数据平安时，不能仅仅关注某一个环节、某一个点，且每个阶段、每个关注点还不一 样。比方，数据收集阶段，要考虑数据来源是不是合法、数据质量能不能保证；数据开发 利用阶段，需要通过数据生成产品，要考虑能不能保护相关方的权益，这是非常复杂的过 程。 《数据平安法》提出了原那么性的要求，但是这个要求还不够。所以，全国信息平安标 准化技术委员会在今年的国家标准需求清单中列出的第一项标准，就是《重要数据处理安 全要求》。因此，下一步各类企事业单位需要高度关注这个问题，在管理制度上、技术措 施上做好准备，做到对数据的全流程保护，因为这是法定义务。