当今时代,数据已成为数字经济时代最为活跃的新型生产要素,与此同时,数据安全(包括网络数据安全)风险日益突出,已成为关系个人权益、公共利益和国家安全的重要因素。因此,加强数据安全的保护,亦日益重要和必要。特别是,随着信息技术和人们生产生活交汇融合,数据处理活动更加频繁,数据安全风险日益聚焦在网络数据领域,违法处理网络数据活动时有发生,给经济社会发展和国家安全带来严峻挑战。因此,国家高度重视数据安全的保护,党中央国务院要求提升政府的数据安全治理监管能力,建立高效便利安全的数据跨域(包括跨境)流动机制。重要数据的目录管理和分类管理是国家数据安全管理机制之一。各行业各领域均应健全各自的重要数据的目录和分类,以加强其安全保护。
一、引述
1、重要数据的概念
按国务院的《网络数据安全管理条例》(中华人民共和国国务院令第790号)的规定,重要数据:是指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。关于领域、群体、区域、精度和规模等术语的含义详见下表1-1。
表 1-1:领域、群体、区域、精度和规模等术语的含义
按通信行业标准YD T 3867-2024《电信领域重要数据识别指南》中的规定,电信领域重要数据:是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的电信数据(包括原始数据和汇聚、整合、分析等处理中以及处理后的衍生数据。仅影响电信数据处理者自身的电信数据一般不作为重要数据)。电信数据则是指在电信业务经营活动中产生和收集的数据。另外,该标准还给出了重要网络设施和信息系统的概念,即是指一旦遭到破坏、丧失功能或者数据泄露,可能危害国家安全、国计民生、公共利益的网络设施、信息系统等,下表1-2给出了这些设施和系统包含的种类。
表 1-2:重要网络设施和信息系统的种类
2、法规要求
《中华人民共和国数据安全法》第二十一条规定:国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。
欲具体了解《中华人民共和国数据安全法》内容的请进入。
国务院《网络数据安全管理条例》(中华人民共和国国务院令第790号)第二十九条规定:网络数据处理者应当按照国家有关规定识别、申报重要数据。对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布。
欲具体了解《网络数据安全管理条例》(国务院令第790号)内容的请进入。
为此,依据上述法律法规,工业和信息化部在2021年发布了通信行业标准YD/T 3867-2021《基础电信企业重要数据识别指南》,在2024年又发布了其修订版YD/T 3867-2024《电信领域重要数据识别指南》。在该标准中规定了电信领域重要数据目录及分类。
二、电信领域重要数据分类
根据电信数据范围、特点所涉及的业务类型等,结合数据属性、影响范围、程度等因素,将电信领域重要数据分为五类,包括:网络规划运维数据域、安全保障数据域、经济运行与业务发展数据域、关键技术成果数据域和其它数据域,它们的释义详见下表2。
表 2:电信领域重要数据的分类
三、电信领域重要数据目录
依据重要数据上述分类情况,YD/T 3867-2024分别给出了各类电信重要数据目录,具体详见下表3-1~表3-5所列。同时给出了重要数据识别规则,以指导数据处理者规范开展重要数据识别工作。
表 3-1:网络规划运维数据域的重要数据目录
表 3-2:安全保障数据域的重要数据目录
表 3-3:经济运行与业务发展数据域的重要数据目录
表 3-4:关键技术成果数据域的重要数据目录
表 3-5:其它数据域的重要数据目录
工作团队定期排查企业重要数据情况,及时发现重要数据变更情况,对于存在重要数据基本情况、处理情况、安全情况等发生重大变化的,及时启动重要数据目录更新,按照数据分类、要素分析、影响分析等流程,完成相关重要数据识别,更新重要数据目录。电信数据处理者在识别重要数据的同时,需对其在电信业务运营中收集和产生的1000万人以上个人信息进行识别,以落实《网络数据安全管理条例》第28条、30 条和32条的规定。《条例》的这三条收纳在下表3-6中。
表 3-6:《条例》第28条、30 条和32条的内容
欲进一步了解《工业和信息化领域数据安全管理办法》的请进入。
