光明网就国家数据分类分级制度建设对我院左晓栋教授进行专访

2022-05-05 | 查看: 10



我国《数据安全法》已于202191日起施行。该法第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。

为落实《数据安全法》,我国将数据分为一般、重要、核心数据。在数据分类分级制度之下,国家正在建立重要数据安全监管制度,院左晓栋教授是上述制度的基础标准《信息安全技术 重要数据识别规则》的项目负责人,该标准正在制定之中。

日前,中国信息协会信息安全专业委员会发布《数据防泄露(DLP)技术指南》。在发布会上,围绕我国数据安全工作整体情况,特别是数据分类分级制度建设情况,光明网记者对我院左晓栋教授进行了专访。

在光明网专访《左晓栋:对重要数据识别问题应更多强调国家安全属性》中,左晓栋教授主要回应了以下社会关注的热点问题。

一是关于如何理解数据分类分级制度实施与行业特性之间的关系。建立重要数据目录是我国《数据安全法》提出的法定任务。国家会对重要数据的识别给出统一规定,即重要数据识别规则。不同行业需根据国家标准的原则性规定,制定反映自身行业特性的重要数据识别细则。虽然数据分级已经明确(按一般数据、重要数据、核心数据划分),但目前未制定数据统一分类方法。即国家层面只分级不分类,在行业和地方层面则可自行根据实际情况确定分类方法。原因是,分类与数据重要性没有直接关系,某种程度上是为了监管需要,而监管需求因行业而异。具体执行时,不同行业在已识别其重要数据的前提下,还可进一步细分数据级别,例如将重要数据划分为三级或五级,这也由行业自行决定。

二是关于数据安全的内涵。包括四方面:环境安全,即数据所在的网络与系统的安全,数据安全与所处网络和系统密切相关,网络和系统如被侵入则是“皮之不存毛将焉附”;数据资产安全,主要体现为数据自身防攻击、窃取、篡改需求;合规问题,即数据处理过程应符合法律法规规定,一个机构即使对数据做到了很好的保护,确保其不会受到外部威胁,但如果其自身对数据滥采滥用则会产生严重后果;生产要素安全,数据是新的生产要素,这一要素的作用发挥涉及到数据确权、数据授权、数据定价等一系列新问题。左晓栋教授认为,目前我国已经基本解决了第一类问题,但第二类问题的解决还处在初级阶段,后两类问题解决得更不理想。

三是关于数据与国家安全的关系。以前,个人数据、企业数据主要体现为对个人权益、企业商业利益的影响,但目前已经越来越关系国家安全。根据形势变化和国家需求,在数据分类分级特别是对重要数据识别问题上,应当更多强调数据的国家安全和公共利益属性。在研究制定国家标准的过程中,目前主要思路是从对国家安全的影响后果角度去判断重要数据。例如,算法推荐、定向推荐具有舆论动员能力,则用户推送地址、用户特征、用户画像等,都可能成为信息推送、舆论引导、社会动员的实施条件,这时便应当认定上述数据属于重要数据。

左晓栋教授透露,为落实《数据安全法》提出的“建立健全全流程数据安全管理制度,……,采取相应的技术措施和其他必要措施,保障数据安全”的要求,全国信息安全标准化技术委员会在2022年国家标准需求清单中列出的第一项标准,就是《信息安全技术 重要数据处理安全要求》。目前,中国科大正在牵头开展该标准的研究起草。



(2022世界杯买球)


2022世界杯买球-世界杯正规买球APP-首頁!