當今時代,數據已成為數字經濟時代最為活躍的新型生產要素,與此同時,數據安全(包括網絡數據安全)風險日益突出,已成為關系個人權益、公共利益和國家安全的重要因素。因此,加強數據安全的保護,亦日益重要和必要。特別是,隨著信息技術和人們生產生活交匯融合,數據處理活動更加頻繁,數據安全風險日益聚焦在網絡數據領域,違法處理網絡數據活動時有發生,給經濟社會發展和國家安全帶來嚴峻挑戰。因此,國家高度重視數據安全的保護,黨中央國務院要求提升政府的數據安全治理監管能力,建立高效便利安全的數據跨域(包括跨境)流動機制。重要數據的目錄管理和分類管理是國家數據安全管理機制之一。各行業各領域均應健全各自的重要數據的目錄和分類,以加強其安全保護。
一、引述
1、重要數據的概念
按國務院的《網絡數據安全管理條例》(中華人民共和國國務院令第790號)的規定,重要數據:是指特定領域、特定群體、特定區域或者達到一定精度和規模,一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。關于領域、群體、區域、精度和規模等術語的含義詳見下表1-1。
表 1-1:領域、群體、區域、精度和規模等術語的含義
按通信行業標準YD T 3867-2024《電信領域重要數據識別指南》中的規定,電信領域重要數據:是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國家安全、公共利益的電信數據(包括原始數據和匯聚、整合、分析等處理中以及處理后的衍生數據。僅影響電信數據處理者自身的電信數據一般不作為重要數據)。電信數據則是指在電信業務經營活動中產生和收集的數據。另外,該標準還給出了重要網絡設施和信息系統的概念,即是指一旦遭到破壞、喪失功能或者數據泄露,可能危害國家安全、國計民生、公共利益的網絡設施、信息系統等,下表1-2給出了這些設施和系統包含的種類。
表 1-2:重要網絡設施和信息系統的種類
2、法規要求
《中華人民共和國數據安全法》第二十一條規定:國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。各地區、各部門應當按照數據分類分級保護制度,確定本地區、本部門以及相關行業、領域的重要數據具體目錄,對列入目錄的數據進行重點保護。
欲具體了解《中華人民共和國數據安全法》內容的請進入。
國務院《網絡數據安全管理條例》(中華人民共和國國務院令第790號)第二十九條規定:網絡數據處理者應當按照國家有關規定識別、申報重要數據。對確認為重要數據的,相關地區、部門應當及時向網絡數據處理者告知或者公開發布。
欲具體了解《網絡數據安全管理條例》(國務院令第790號)內容的請進入。
為此,依據上述法律法規,工業和信息化部在2021年發布了通信行業標準YD/T 3867-2021《基礎電信企業重要數據識別指南》,在2024年又發布了其修訂版YD/T 3867-2024《電信領域重要數據識別指南》。在該標準中規定了電信領域重要數據目錄及分類。
二、電信領域重要數據分類
根據電信數據范圍、特點所涉及的業務類型等,結合數據屬性、影響范圍、程度等因素,將電信領域重要數據分為五類,包括:網絡規劃運維數據域、安全保障數據域、經濟運行與業務發展數據域、關鍵技術成果數據域和其它數據域,它們的釋義詳見下表2。
表 2:電信領域重要數據的分類
三、電信領域重要數據目錄
依據重要數據上述分類情況,YD/T 3867-2024分別給出了各類電信重要數據目錄,具體詳見下表3-1~表3-5所列。同時給出了重要數據識別規則,以指導數據處理者規范開展重要數據識別工作。
表 3-1:網絡規劃運維數據域的重要數據目錄
表 3-2:安全保障數據域的重要數據目錄
表 3-3:經濟運行與業務發展數據域的重要數據目錄
表 3-4:關鍵技術成果數據域的重要數據目錄
表 3-5:其它數據域的重要數據目錄
工作團隊定期排查企業重要數據情況,及時發現重要數據變更情況,對于存在重要數據基本情況、處理情況、安全情況等發生重大變化的,及時啟動重要數據目錄更新,按照數據分類、要素分析、影響分析等流程,完成相關重要數據識別,更新重要數據目錄。電信數據處理者在識別重要數據的同時,需對其在電信業務運營中收集和產生的1000萬人以上個人信息進行識別,以落實《網絡數據安全管理條例》第28條、30 條和32條的規定。《條例》的這三條收納在下表3-6中。
表 3-6:《條例》第28條、30 條和32條的內容
欲進一步了解《工業和信息化領域數據安全管理辦法》的請進入。
