重要數據安全國家標準的設計思路*

陳 磊，彭理云，單博深，左曉棟

(1.中國工程院戰略咨詢中心，北京 100088；2.清華大學科研院所，北京 100084；3.中國科學技術大學，安徽 合肥 230026)

0 引言

當前，數據已經成為新型生產要素，數據安全則深刻影響經濟運行乃至國家安全。為了進一步提高數據安全治理能力，我國于2021年9月發布實施了《數據安全法》，快速制定了一系列數據安全制度細則。“重要數據”概念是數據安全制度的核心，也是數據安全監管的主要對象。為了明確對重要數據的基線安全要求，全國信安標委正在組織編制國家標準《信息安全技術 重要數據處理安全要求》，并已于近日公開征求意見。本文介紹了該標準的編制思路。

1 標準編制背景

隨著信息化發展，海量數據加速生產和匯聚，已經成為了國家基礎性戰略資源，數據安全成為國家網絡安全工作的一項重點[1-2]。按照數據安全的維度，數據可分為一般數據、重要數據、核心數據等。重要數據直接影響國家安全且分布廣泛，遍布各種規模的組織，其一旦被泄露、損毀、篡改、濫用將可能造成嚴重后果，進而危害國家安全與公共利益[3-4]。

近年來國家出臺并實施了一系列的法律法規文件，以提高對重要數據的治理能力。2016年實施的《網絡安全法》首次對重要數據保護提出要求[5]；2021年實施的《數據安全法》要求建立數據分類分級保護制度，對重要數據施行重點保護[6]；同年國家互聯網信息辦公室對《網絡數據安全管理條例》公開征求意見，該文件擬設立一系列重要數據安全保護制度。此外，《網絡安全審查辦法》《數據出境安全評估辦法》等文件也對重要數據保護作出了相關規定。

為落實國家對重要數據保護的相關要求，業界迫切需要一部國家標準，以具體指導各行業規范地處理重要數據[7-8]。該標準將對重要數據處理者提出安全要求，也將為相關組織對重要數據處理者開展安全監管活動提供評估參考。

2 標準編制過程

“重要數據”是我國首次提出的概念，目前尚未成為一個國際通用詞匯。但從國際數據保護的趨勢來看，除涉密信息與個人信息范圍外，世界各國也都在加強對其他一些特定數據的保護。編制組深入閱讀理解了國內外法律法規及標準文件的相應要求，并在此基礎上開展了標準的具體編制工作。

按照全國信安標委標準申報立項流程，編制組自2022年3月形成標準草案V1.0版本并提交答辯以來，不斷修改完善標準文件內容，于2022年10月通過了信安標委標準立項。此后開展了標準試點應用工作，結合試點反饋結果及專家意見，最終形成了標準征求意見稿，已于近日公開征求意見。

3 標準編制原則

該標準旨在指導數據處理者落實《數據安全法》及重要數據安全保護制度的相關要求。編制組首先研究了兩類基本問題：數據安全與基礎性網絡安全之間的關系問題，重要數據安全與數據安全之間的關系問題。這兩類問題直接關系整部標準的編制思路，也決定了標準的定位與標準內容范圍。

3.1 數據安全與基礎性網絡安全之間的關系

數據安全包含以下四方面內涵，不能將數據安全單純看作網絡安全的組成部分。

(1)環境安全。數據安全與其所處的網絡和系統安全密切相關，如果網絡系統遭到惡意入侵，則系統內數據的安全無從談起。因此在這一層面上，網絡安全與數據安全是密切相關且無法切割的。

(2)資產安全，即數據自身安全。這主要體現在數據自身是否能夠防范攻擊、篡改、竊取等惡意網絡行為。傳統上可以通過加密、脫敏等技術手段及措施提高數據資產的安全保護水平。

(3)行為安全，即數據處理活動是否合法。數據處理組織在提高數據安全外部防護水平的同時，是否能夠嚴格遵守法律法規，杜絕在數據處理過程中出現越權、專權乃至監守自盜的情況，此類問題至關重要。

(4)生產要素安全。為了更好地釋放數據的潛在價值，需要解決數據確權授權、數據定價、數據開發利用主體選擇、數據開發利用過程監管等一系列問題，這是當前數據安全問題中亟需解決的痛點。

重要數據安全處理要求應當統籌考慮以上四方面內容，而不能僅考慮重要數據生命周期過程中的安全處理要求。由于目前已存在大量有關數據環境安全的標準規范，故本標準不在該方向過多展開，但仍需強調三個方面：一是數據處理者應當加強數據處理、傳輸網絡、存儲環境等系統組成部分的安全防護能力，確保處理重要數據的系統滿足網絡安全等級保護三級系統以上的安全標準；二是數據處理者應當使用密碼算法對重要數據與核心數據進行保護；三是數據處理者使用的云服務應當符合國家關于云計算服務安全管理的規定。

3.2 重要數據安全與數據安全之間的關系

近年來，我國網絡安全標準化工作加大了對數據安全標準制修訂的支持，每年均有相當大比例的指標用于委托編制數據安全標準，常規性的數據安全要求已不必在重要數據安全標準中贅述。故本標準從以下四個方面突出重要數據處理安全要求相較于數據安全處理要求的特殊性：一是在安全保護強度上，重要數據安全處理要求要嚴于普通數據安全處理要求；二是在管理制度上，重要數據安全處理要求要嚴于普通數據安全處理要求；三是在合規要求上，凡對于重要數據安全處理在法律法規層面有明確規定的，均應通過標準的形式予以細化；四是在配合監管上，重要數據處理者應承擔其特定的法律義務。

4 標準主要內容

編制組從三個維度，即數據所在的網絡與系統安全、數據處理活動生命周期安全和數據處理者所在組織的運行與管理安全出發，對重要數據處理提出安全要求。

4.1 設施安全

標準對處理重要數據過程中使用的信息系統、云平臺等網絡設施提出了安全要求。處理重要數據的系統應滿足國標《網絡安全等級保護定級指南》(GB/T 22239—2019)中對網絡安全等級保護三級系統的安全要求；當重要數據處理者使用到云服務時，應首先論證重要數據上云的必要性，并重點評估云計算服務提供者的安全可信性以及云服務平臺的安全狀況。禁止于存在不可接受的安全風險的云服務平臺上處理重要數據。

4.2 數據處理活動的安全

數據的生命周期包括收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動，各活動之間有明確的邊界，能夠從邏輯上對各階段進行嚴格的區分。從安全需求的角度來看，對于密切相關的部分活動具有同樣適用的安全要求。因此，編制組對數據的生命周期進行了合并，僅保留了收集、存儲、使用和加工、傳輸與提供、公開和刪除六個活動，并對各活動提出了具體的安全要求。

(1)收集活動

標準從數據采集過程的合法性、數據采集質量及落實國家數據安全分類分級制度三個方面提出要求。數據處理者應當按照法律法規的要求規范數據收集程序，明確收集數據的目的、范圍、頻度、方式及存儲期限，并對數據收集過程進行安全性評估。在國家和行業主管監管部門有關數據分類分級的規定下，結合本組織的具體情況，充分考慮數據特征、業務類型等因素，進一步制定、落實并定期更新本組織的數據分類分級管理制度。

(2)存儲活動

標準在重要數據存儲管理、存儲位置、存儲期限、備份與恢復四個方面提出要求。重要數據處理者應當制定重要數據存儲管理制度，對安全保護、訪問流程等過程做出明確的規定，采用密碼技術等手段保護重要數據的完整性與保密性。數據處理者應在公共信息網絡與存儲系統之間提供邏輯隔離措施，落實在境內收集和產生的重要數據不得存儲于境外服務器的要求，從時間和空間兩個維度上對重要數據進行安全管控。同時應制定重要數據備份與恢復計劃，定期開展數據恢復實戰演練并及時評估數據恢復質量，避免因重要數據丟失、損毀而導致組織業務中斷乃至終止等情況的發生。

(3)使用與加工活動

標準在重要數據的訪問控制、安全評估、保密審查等方面提出要求。重要數據處理者應當遵循最小特權、職責分離等原則，對重要數據制定訪問控制策略，建立統一身份認證和訪問管理平臺，嚴格限制重要數據所在系統中特權賬號的設置與使用。同時應當制定重要數據安全評估制度，在重要數據使用加工前對使用目的、范圍、方式、人員、防護措施等信息進行評估，并將評估結果交由該組織數據安全負責人進行審批。數據處理者應當建立保密審查制度，按照國家有關規定對數據加工結果進行審查。當審查結果中發現國家秘密信息時，應當及時上報并按照相關保密規定處理，避免出現因重要數據匯集而泄露國家秘密信息的情況。

(4)傳輸與提供活動

標準在法律文件、評估審批、監督保護、數據交易、接收方義務、跨境傳輸等方面對重要數據處理提出安全要求。數據處理者在對外提供或共享重要數據時，應對數據使用目的、范圍、方式、數據量、可能造成的安全風險、接收方誠信狀況、守法情況、安全防護能力、人員情況等信息進行評估，與數據接收方簽訂重要數據安全處理合同等法律文件，并監督接收方履行安全保護義務。在傳輸重要數據時，雙方應在鑒別兩端主體身份的基礎上，采取加密、防重放等措施建立安全通道，并在不同網絡區域間建立安全隔離，確保數據傳輸過程中的保密性、安全性及不可否認性。當存在重要數據及其衍生數據的交易活動時，數據處理者應對數據交易的全過程進行審計，并建立追溯數據交易過程的能力。當數據處理者向位于境外的數據接收者提供重要數據時，應按照國家的規定履行應盡的義務。數據接收方應當提供不低于數據處理者的數據安全保護能力，嚴格履行合同等法律文件所規定的義務，在不超過約定的目的、范圍、方式的前提下處理重要數據，并提供數據刪除機制，對超出期限的重要數據進行安全處理。

(5)公開活動

標準對數據處理者公開重要數據及其加工結果的活動提出了安全要求。數據處理者應當制定重要數據公開管理制度，定時評估公開內容、形式、范圍、期限是否正當、必要，同時評估安全防護和管理措施是否有效。數據處理者應定期更新和評估已公開的重要數據，對不適宜繼續公開或超出公開期限的重要數據進行召回與銷毀。

(6)刪除活動

標準對數據處理者如何安全地刪除重要數據提出要求。數據處理者應當明確數據刪除操作規范，制定重要數據刪除評估與審批程序，開發數據刪除技術與工具，并嚴格按照操作規范開展重要數據的刪除活動。同時建立數據刪除效果評估機制，定期檢查數據刪除措施的有效性，并維護數據刪除過程日志清單。數據處理者應制定重要數據存儲介質管理制度與介質銷毀管理制度，明確存儲介質的訪問使用管理規范，并對專有介質進行重點管理。數據處理者應對介質訪問、使用、銷毀全過程進行記錄和審計，并定期對檢查銷毀效果及日志記錄。

4.3 數據處理活動的安全

目前，很多數據安全方案聚焦于網絡安全建設及網絡安全技術應用，往往缺乏對組織運營及管理安全等方面的關注。標準從人員組織、數據治理設施、供應鏈管理、應急處理、風險評估、配合監督管理六個方面，對開展重要數據處理活動的組織提出安全要求，指導各類組織提高自身重要數據保護能力。

(1)明確組織相關人員與組織內設機構的職責。數據處理者應當成立重要數據安全管理機構，并委任專人作為重要數據安全負責人。管理機構負責制定數據安全管理制度、操作規程和重要數據安全事件應急預案，確保重要數據安全管理制度覆蓋全部重要數據處理活動。重要數據安全負責人應當被賦予充足的資源，以使其能夠獨立履行職責，從而落實本單位重要數據保護計劃。組織應當定期開展重要數據安全風險監測、風險評估及應急演練，同時對參與重要數據處理的相關人員進行嚴格的管理。在人員錄用前組織應對其進行安全背景審查，并定期對相關人員進行重要數據處理安全培訓及評估考核，以確保其具有足夠的專業知識與技能。

(2)數據治理設施。標準對重要數據處理過程中使用到的數據治理工具及管理系統提出安全要求。數據處理者應當實施數據安全治理策略并部署數據治理工具，設立數據處理活動檢測規則與安全基線以管理審計數據資產活動，并預測識別潛在的數據安全風險。同時要求數據處理者使用數據治理工具，制定并實施本組織范圍內的訪問控制策略，對有權限訪問重要數據的人員進行嚴格管理，并使用密鑰及證書管理系統對組織的加解密流程進行統一管理。

(3)供應鏈安全。標準在組織采購、供應商及供應鏈評估三個方面提出安全要求。數據處理者應當完善產品服務采購策略，優先采購安全可信的網絡產品與服務，確保產品和服務生產交付的安全。同時數據處理者應當制定供應鏈安全管理制度，明確供應商管理目標、原則與范圍，劃分供求雙方的數據安全責任與義務，在建立信息共享機制、供應商黑名單機制的基礎上，監測因采購活動而導致的重要數據向供應商轉移的情況。此外，重要數據處理者應當制定供應鏈安全評估制度，定期審查供應鏈安全風險，并依據審查結果及時調整供應商的選擇。

(4)應急處理。數據處理者應當建立應急響應中心與技術團隊，建立本組織與主管部門之間關于數據安全事件應急處理協調的溝通渠道，制定重要數據安全實踐應急預案與重要數據安全事件演練計劃，定期實施應急演練。在發生數據安全事件時，數據處理者應及時向上級主管部門報告。

(5)風險評估。數據處理者應當建立數據安全風險評估制度，明確風險評估流程并定期對重要數據處理活動開展評估。評估結果應以風險報告的形式及時報送網信及主管部門。報送內容應包括重要數據處理者基本信息，重要數據處理目的、規模、方式、范圍，重要數據安全管理制度及實施情況，重要數據處理過程中存在的安全風險等方面內容。

(6)配合監督管理。數據處理者應當制定配合主管部門或執法部門進行重要數據安全監督檢查的流程與規范，在符合法律程序的條件下，向有關部門開放數據訪問并提供技術支持。在有關部門發現重要數據處理活動存在較大安全風險時，數據處理者應當根據有關部門要求暫停業務以防止風險擴散，并盡快處理安全風險以及時恢復服務。

5 與已有法律、行政法規、標準規范間的關系

標準的編制目的是為了配合《數據安全法》《網絡數據安全管理條例(征求意見稿)》等數據安全監管法律法規的落地實施，其規范對象為電子形式存在的重要數據。

標準與《信息安全技術 網絡數據分類分級規則》等其他標準規范共同構成了數據安全處理的重要技術文件體系。標準編制組與國家互聯網信息辦網絡數據管理局保持了密切溝通，且編制組主要成員與《信息安全技術 網絡數據分類分級規則》高度重合，因此工作具有很好的繼承性。

目前，國際上尚無其他與重要數據處理相關的標準，因此無法直接采標或者直接借鑒。但實際上，世界各國都在個人信息、國家秘密之外規定了各自關心的“敏感信息”，且多數提出了數據本地化存儲的要求，嚴格管控此類數據的出境。此外，云計算、關鍵信息基礎設施、人工智能等領域的國際標準也在不同程度上涉及網絡安全問題，為本標準的編制提供了經驗借鑒。

6 標準預計影響與未來展望

重要數據保護制度是我國數據安全工作中一項基礎性、全局性的重大制度。隨著國標《重要數據處理安全要求》公開征求意見，關于重要數據的兩部國家標準都已揭開面紗。從重要數據的識別到對重要數據的管理，從重要數據安全合規使用到重要數據安全保護，所有的安全要求都要有專業化、自動化工具的支持。《重要數據安全處理要求》國標的出臺，為我國數據安全保護制度的具體落實提供了詳細的參考，重要數據安全保護這一新產業方向的發展已經具備了基本條件，更廣泛的技術手段及監管方案正在呼之欲出。

未來，我國應當遵循相關法律法規的規定、具體依據國家標準，全面落實數據分類分級保護制度，不斷完善數據安全頂層設計，明確數據安全保護措施，統籌數據安全保護問題與產業發展問題。要積極應對數據要素在要素市場中面臨的問題，著力解決數據產權分置難、流轉交易難、收益分配難、監管治理難的“四難”局面。從制度與技術兩個方面入手，認真研究國家數據基礎制度的組成及內涵，明確國家數據基礎制度落地實施所需的技術，切實維護國家安全與經濟發展，筑牢國家數據安全防線。