专家观点|左晓栋教授:重要数据安全要求解读
发布时间:2024-10-29
阅读次数: 231 次
“浦江护航”上海电信和互联网数据安全论坛暨AIGC数据安全治理论坛在沪举办。政府决策者、学界专家和业界精英汇聚一堂,共谋数据安全治理路径。 在此次论坛上,左晓栋先生发表了题为《重要数据安全要求解读》的主题演讲。左晓栋教授主要向参与论坛的业内人士阐释了构建数据分类分级保护制度的初衷,并介绍了对重要数据的具体安全要求。左教授在演讲中指出,非国家秘密领域中影响国家安全的数据为“重要数据”或“核心数据”,保护此类数据、弥补现有国家安全制度体系对此类数据保护的不足正是构建数据分类分级保护制度的初衷。此外,左教授还介绍了为推动识别和保护重要数据所推出的一系列任务,并为重要数据的保护工作的进一步发展提供了方向。左教授的主题演讲展现了数据分类分级保护制度建立的深刻意义和发展现状,并为重要数据保护工作的发展提供了可行性建议,引发了业内人士对重要数据安全保护的广泛关注和深入思考。 数据分类分级保护制度是《数据安全法》提出的一项重要制度,数据分类分级包括对数据的定义、识别和保护。当下对非国家秘密领域中影响国家安全的数据即重要数据的保护存在着制度设计方面的缺失,而构建数据分类分级保护制度的首要初衷正是为了弥补这一不足;此外,构建数据分类分级制度亦旨在精准定义重要数据并保护其安全。由于重要数据与国家安全息息相关,对其进行分类分级保护意义深远。
二、加强数据分类分级保护制度与其他数据安全制度间的关联 其他数据安全制度如数据出境制度、数据交易制度、数据安全审查制度等皆与数据分类分级保护制度密切相关,然而,数据分类分级保护制度与其他数据安全制度关联不够紧密、重要数据或个人隐私面临泄漏或受损隐患,是当下数据安全领域存在的问题,因此,加强数据分类分级保护制度与其他数据安全制度间的关联刻不容缓,而这两类制度之间的关联的核心则在于对重要数据的识别和保护。 为推动精准识别与大力保护重要数据,全国信息安全标准化技术委员会陆续推出两项编制任务:重要数据识别指南和重要数据安全处理要求。
在重要数据识别指南方面,我们需要重点关注重要数据识别工作中存在的识别扩大化问题,即单位在梳理重要数据的过程中所参照的标准用语模糊,从而导致重要数据范围扩大、数据处理与监管成本提高。为避免出现识别扩大化,各行业在制定重要数据识别指南时需以“能够明确数据对国家安全的影响”作为识别重要数据的标准,从而帮助单位精准梳理重要数据、高效监管数据安全。 在重要数据安全处理要求方面,首先我们需要明确重要数据处理安全要求与基础性网络安全要求的区别,这要求我们理解数据安全的内涵所包含的四个方面,即网络安全、资产安全、合规问题、生产要素安全。在处理数据安全和网络安全的关系上,我们需要关注三个方面:第一,明确处理重要数据系统的管理职责;第二,对数据本身进行加密保护;第三,按照国家有关云服务的规定处理云问题,如在重要数据上云之前对其进行自评估等。 其次我们需要厘清重要数据安全与普通数据安全或一般数据安全的区别,即重要数据在安全保护强度上严于普通数据、重要数据在管理制度上严于普通数据、重要数据在合规要求上受到法律法规的约束及重要数据处理者需承担配合监管方面的法律义务。
在重要数据的保护工作中,我们要重视技术手段的使用,下一步,我们要围绕重要数据保护,发展一系列的安全技术以及相关的安全产品。通过使用技术手段,我们可以实现对重要数据特征的自动识别、评估重要数据是否经过非法流转、判断重要数据是否非法出境等,从而将重要数据转化为可计算的对象,使其可识别、可登记、可监测、可上报,为今后重要数据保护工作的开展提供更多便利。