中國科學技術(shù)大學公共事務學院、網(wǎng)絡空間安全學院教授左曉棟。

2021年9月1日，我國數(shù)據(jù)安全領(lǐng)域的基礎性法律《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)正式施行。正值《數(shù)據(jù)安全法》施行兩周年之際，2023年9月1日，中國科學技術(shù)大學公共事務學院、網(wǎng)絡空間安全學院教授左曉棟在2023數(shù)據(jù)安全上海論壇上作了《重要數(shù)據(jù)安全要求解讀》報告，分析在落實《數(shù)據(jù)安全法》這項重要制度中，如何理解該制度提出的初衷，接下來的數(shù)據(jù)安全工作方向是什么？

左曉棟曾長期在我國網(wǎng)絡安全統(tǒng)籌協(xié)調(diào)部門工作，是一系列網(wǎng)絡安全重大戰(zhàn)略政策的核心起草專家，現(xiàn)兼任第八屆國務院學位委員會“網(wǎng)絡空間安全”學科評議組成員、國家數(shù)字貿(mào)易專家工作組成員等學術(shù)職務。左曉棟認為，“在《數(shù)據(jù)安全法》中提出了一個重要的制度，引入了一個重要的概念，即數(shù)據(jù)分類分級保護制度和重要數(shù)據(jù)?！?/p>

《數(shù)據(jù)安全法》第二十一條規(guī)定國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)有關(guān)部門制定重要數(shù)據(jù)目錄，加強對重要數(shù)據(jù)的保護。

實際上，“重要數(shù)據(jù)”最早見諸法律是在《中華人民共和國網(wǎng)絡安全法》（以下簡稱《網(wǎng)絡安全法》，2017年6月1日開始施行）第三十七條中?！毒W(wǎng)絡安全法》提出了數(shù)據(jù)出境評估制度，關(guān)鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關(guān)部門制定的辦法進行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

為何此后出臺的《數(shù)據(jù)安全法》引入了“重要數(shù)據(jù)”的關(guān)鍵概念？左曉棟解釋道，“當時（《網(wǎng)絡安全法》出臺時）法律法規(guī)層面的解釋還沒有制定，所以真正在實質(zhì)意義上提出‘重要數(shù)據(jù)’的概念還是要看《數(shù)據(jù)安全法》?！?/p>

如何理解“重要數(shù)據(jù)”？需要回到分類分級制度的本質(zhì)內(nèi)涵。左曉棟分析道，“人們很容易認為數(shù)據(jù)分級分類制度是社會的普遍歸類，來源于不同級別的數(shù)據(jù)安全保護要求不一樣。但其實不是，我們對分類分級的理解首先是彌補國家安全制度的不足。也就是說，在非國家秘密領(lǐng)域，把影響國家安全的數(shù)據(jù)找出來，這類數(shù)據(jù)叫做‘重要數(shù)據(jù)’或‘核心數(shù)據(jù)’，其他的叫‘一般數(shù)據(jù)’?！?/p>

“這意味著分類分級工作推進也好，重要數(shù)據(jù)識別也好，一切都應該圍繞國家安全的根本訴求，它揭示了數(shù)據(jù)安全工作的出發(fā)點、數(shù)據(jù)安全監(jiān)管制度的監(jiān)管對象，也指向了這項工作的核心內(nèi)容?！弊髸詶澱f。

接下來的數(shù)據(jù)安全工作方向是什么？

左曉棟表示，“下一步，無論哪一項數(shù)據(jù)安全的重要制度，可能都要和數(shù)據(jù)分類分級制度產(chǎn)生強關(guān)聯(lián)。其中，關(guān)聯(lián)的核心是重要數(shù)據(jù)的識別和保護。因此，為了推動這項工作，全國信息安全標準化技術(shù)委員會陸續(xù)推出了兩個編制任務，一個是重要數(shù)據(jù)識別指南，一個是重要數(shù)據(jù)處理安全要求?！?/p>

這兩項編制工作都由左曉棟牽頭，在大會現(xiàn)場，左曉棟分享了這兩個標準的編制思路以及下一步工作的考慮。在重要數(shù)據(jù)處理安全要求中，主要有兩個考慮：其一，重要數(shù)據(jù)處理安全要求與基礎性網(wǎng)絡安全要求區(qū)別在哪里，怎么處理這個標準的著力點？其二，重要數(shù)據(jù)安全和普通數(shù)據(jù)安全或一般數(shù)據(jù)安全的區(qū)別在哪里？

在第一點中，左曉棟著重強調(diào)了數(shù)據(jù)安全的內(nèi)涵，首先是數(shù)據(jù)系統(tǒng)的網(wǎng)絡安全，也可以說環(huán)境安全、設施安全。第二是資產(chǎn)安全，包括可用性等，針對數(shù)據(jù)自身典型的數(shù)據(jù)加解密和數(shù)據(jù)脫敏。第三是合規(guī)問題，數(shù)據(jù)處理行為的安全。第四是生產(chǎn)要素安全，涉及確權(quán)問題、定價問題，更主要的是安全問題，數(shù)據(jù)交易雙方身份的驗證，開發(fā)、利用主體機構(gòu)的安全等。

對于第二點考慮所說的區(qū)別，左曉棟表示，“在安全保護的強度上，重要數(shù)據(jù)嚴格于普通數(shù)據(jù)；在管理制度上，重要數(shù)據(jù)嚴格于普通數(shù)據(jù)；在合規(guī)要求上，相關(guān)重要數(shù)據(jù)的法律法規(guī)有明確的要求；在配合監(jiān)管上，重要數(shù)據(jù)處理者有特定的法律義務?！?/p>

左曉棟透露，下一步的工作方向是圍繞重要數(shù)據(jù)發(fā)展一系列安全技術(shù)及相關(guān)的安全產(chǎn)品。

“我們講了那么多標準規(guī)范，但重要數(shù)據(jù)在哪里，怎么識別？不能靠文本一個個讀，肯定要有技術(shù)。技術(shù)涉及重要數(shù)據(jù)的特征是什么，核心是把由自然語言描述的重要數(shù)據(jù)轉(zhuǎn)變成可被計算的對象，從而使其可識別、可登記、可監(jiān)測、可上報，這是下一步工作努力的方向?！弊髸詶澱f。