一、《指南》编制背景与过程是怎样的？

2017年6月1日起实施的《网络安全法》第三十七条规定：关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

这是我国首次在法律层面提出“重要数据”的概念。为推动法律实施，中央网信办组织力量起草了一份《重要数据识别指南》（后文简称《指南》），作为国家标准《数据出境安全评估指南》征求意见稿的附件，于2017年征求了社会意见。当时数据出境还不是热点问题，且各方面对重要数据的认识还不深入，故征求意见的过程很低调。

（注：2017年版指南列出的重要数据类别）

2017年的这份重要数据识别指南按照行业划分重要数据类型，共28大类（含第28类“其他”）。鉴于其范围较大，有些地方存在模糊，故中央网信办决定重新起草重要数据识别指南。在工作形式上，由全国信安标委在2019年设立“重要数据识别指南”标准研究项目，2020年正式开展“重要数据识别指南”标准制修订项目。

目前，《指南》处于征求意见稿阶段。编制组已报请信安标委秘书处，近期于官网征求社会意见。后续还需经过送审稿、报批稿等程序。

二、《指南》将在重要数据安全监管工作中如何使用？

《指南》是为了指导重要数据目录的制定。通过一份文件把所有的重要数据都描述清楚，这实际上是不可能的。为此，《指南》的定位是从宏观上刻画重要数据的主要特征，便于下一步各行业主管部门基于《指南》另行制定具体文件，这与关键信息基础设施认定的过程很类似。

具体可分为以下三个阶段：

一是，根据国家规定，各地区、各部门制定工作文件，在《指南》基础上明确本地区、本部门以及相关行业、领域重要数据的具体类别和详细特征，指导本地区、本部门以及相关行业、领域开展重要数据识别工作。

二是，各类组织根据地区、本部门的具体规定，识别本组织内重要数据，包括梳理数据资产、判断安全影响、识别重要数据、审核重要数据、形成重要数据目录。

三是，各类组织向所在地区、部门和其他有关方面报送本组织内的重要数据识别结果，各地区、各部门形成本地区、本部门以及相关行业、领域的重要数据具体目录。

以上只是各地区、各部门的工作流程。根据《数据安全法》的立法精神，各地区、各部门的重要数据具体目录还应汇总到国家有关主管部门。

以上只是编制组提出的《指南》应用建议，具体应以后续中央网信办等有关部门的文件规定为准。

三、《指南》在多大程度上反映了目前的监管意志？后续进展会如何？

本质上，《指南》的编制是国家标准制修订任务，纳入国家标准制修订流程管理，与法律法规、政策文件的起草程序不一样。

但鉴于这项工作具有高度的政策性，《指南》编制组始终在重要节点向中央网信办汇报进展情况，听取指示。此外，由于编制组核心成员本身也在参与有关数据安全政策研究工作，故《指南》的编制能够与数据安全政策进展保持协调一致。

但需要指出，鉴于《指南》尚处于标准制修订过程的征求意见稿阶段，前期内容修改主要基于信安标委大数据特别工作组和总体组的专家意见，尚未向网络安全主管部门和行业主管监管部门正式征求意见。因此，《指南》目前的内容还不代表政府部门的意志，主要是编制组的工作成果，不排除今后有调整的可能性。

四、重要数据涉及多种数据类型和多个行业，《指南》的制定必然是一项综合性工作，如何确保《指南》能够反映行业特性？

政策性、行业性强，这是《指南》有别于其他国家标准的显著特征。在成立编制组时，我们尽可能邀请了多个行业主管监管部门的专家参与。今后《指南》除了按程序完成送审稿、报批稿外，还将必然经历广泛征求行业主管监管部门和行业用户意见的过程，以确保可操作性。

更重要的是，前述2017年由中央网信办组织起草“重要数据识别指南”时，已经由网信办向各行业主管监管部门发函，听取各行业对重要数据的建议。虽然《指南》目前的内容与2017年版本已迥异，但各行业的具体建议多数都得到了保留，能够保证对行业特性的反映（特别是在人口健康、自然资源等方面）。

五、国家目前对重要数据的监管要求有哪些？

第一类是《网络安全法》第37条和《数据安全法》第31条对重要数据出境提出的安全管理要求。

第二类是《数据安全法》第21条提出的制定重要数据目录要求。

第三类是《数据安全法》第27条提出的明确数据安全负责人和管理机构、第30条提出的定期开展风险评估等责任义务要求。

第四类是《网络安全审查办法》修订时，要求将核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险，作为采购活动、数据处理活动以及国外上市可能带来的国家安全风险因素。

第五类是国务院办公厅2021年立法计划中，已经要求网信办牵头制定的《数据安全管理条例》。该条例料将对重要数据安全保护提出一整套监管制度。

第六类是根据《数据安全法》第27条要求，在等级保护基础上履行数据安全保护义务，据此下一步的等级保护工作中有可能会强调对重要数据保护的要求。

第七类是目前全国信安标准正在组织制定的其他数据安全标准中（例如《网络数据处理安全规范》），已经全面引入了“重要数据”概念。这些标准将逐步落实法律法规要求、细化对重要数据的保护规定。

六、《指南》如何定位重要数据与核心数据的关系？

“核心数据”是《数据安全法》中提出的重要概念，并给出了定义。根据《数据安全法》的要求，国家将会建立核心数据管理制度。《指南》目前不涉及对核心数据的识别。

核心数据与重要数据的关系也不是《指南》作为国家标准能够回答的问题，需要在有关文件中予以明确。

七、《指南》如何定位重要数据与个人信息的关系？

应当明确一个概念，“重要”的数据不等于就是“重要数据”，否则国家秘密更应该成为重要数据。

《指南》指出，重要数据不包括国家秘密和个人信息，这并不意味着个人信息不“重要”。作出这一表述的考虑有三个。

一是，分类的目的是为了便于管理，当个人信息已经有了个人信息保护制度，尤其是我国已经通过了专门的《个人信息保护法》之后，没有必要通过个人信息保护制度、重要数据保护制度对其进行重复管理。

二是，个人信息的监管颗粒度已经非常细，已经细致到了很多处理行为要征得个人同意甚至是单独同意的地步。就保护数据自身和维护个人信息主体合法权益而言，重要数据管理制度不会比现有个人信息保护制度更有效。

三是，一些人可能建议批量个人信息属于重要数据，但这还是混淆了“重要数据”与“重要的数据”。如果某类数据已经属于A，而偶尔属于B，既遵循A管理制度又在一定条件下遵循B管理制度，这显然会带来逻辑的混乱。

怎么解决对批量个人信息的增强性保护问题呢？

可以规定达到一定量（具体值由法律法规或政策文件规定）的个人信息，除了遵循个人信息保护的既有要求外，还应该落实对处理重要数据的安全要求。但这只是参照遵循，并不是规定批量个人信息就是重要数据。

八、个人信息保护是全球惯例，但却很少见到其他国家规定“重要数据”，如何理解这种差异性？

的确，2017年我国实施《网络安全法》后的一段时间，国外有很多声音认为中国的做法不符合国际惯例，并因此质疑中国的监管范围过宽。

但这两年类似的声音正在逐步消失，特别是欧盟提出“数字主权”之后。因为大家都意识到了，数据分很多类型，影响是多方面的，只保护个人信息远远不够。

我们分析看到，“重要数据”的确不是一个国际通用词汇，多数国家也没有将其作为一个大类提出统一要求。但各国做法往往是，通过多年努力，将监管要求分散到各个具体行业、特定场合进行管理。但这绝不意味着“重要数据”是中国特有的概念。

例如，出于安保的需要，全世界的机场、港口等重要场均所不允许拍照。这类敏感场所图像、视频数据是不是重要数据？

上一条：以问题为导向，直面高校数据安全挑战
下一条：Conti勒索软件攻势凶猛，美国三大联邦部门联合发布预警