1. 哪些數據需要關注

在解讀數據安全法規之前，首先要講清楚的問題就是“什么樣的數據需要考慮安全問題？不同數據的安全要求有何不同？”。這里引用一幅摘自網絡的數據分類圖來說明。這幅圖中將數據從大的范圍分為兩部分：個人數據與商業數據，再細分為不同類別。針對不同類別數據，各有其對應的法律法規保護。

1)個人數據

針對個人數據這塊，可概括分為個人基礎數據、個人隱私數據、個人行為數據。

個人基礎數據即無需與任何平臺或企業交互即可知的基礎數據，如一個人的性別、身高、體重、年齡等。

個人隱私數據個人隱私，在民法典和個人信息保護法中的表述又不盡相同，分別叫私密信息和敏感個人信息，兩者并不能完全等同。民法典“隱私”范疇中的“私密信息”既在主觀上“不愿為他人知悉”的部分，又在客觀上能夠識別自然人的才是“個人信息”；而“敏感個人信息”則未必具備隱私權屬性。

個人行為數據是要與平臺或企業產生交互才會產生的數據。這也不難理解，因為數據是在數字世界中存在的生產要素，因此，個人行為數據中的“行為”，指的是個人在數字世界中的行為，人需要通過企業或平臺進入數字世界，因此必然產生交互。

2)商業數據

針對商業數據這塊，可概括分為：公共數據、平臺數據與企業數據。

• 企業數據企業數據，指企業業務系統中的數據。與平臺數據關系上，一般來說企業有的數據，平臺理論上都有。當然，不排除有些企業不愿公開給平臺的數據，通過加密方式傳送，導致平臺沒有，而企業有。
• 平臺數據一個平臺上會有多個企業，比如金融行業，貸款超市上的每個借貸產品，交通出行行業，聚合打車平臺上面有多個打車企業的產品。
• 公共數據公共數據涵蓋的范圍最廣，當然，也會有部分數據，由于企業或平臺不愿公開，而無法成為公共數據。

3).理解要點

? 如何理解個人數據與企業數據的交叉?

個人行為數據這塊，既屬于個人數據，又屬于商業數據，為個人與企業共有。如企業或平臺需使用（產生此數據的企業或平臺），需征得個人的授權同意；如第三方企業或平臺需使用，則需征得產生此數據的企業或平臺，以及個人雙方/三方的授權同意。

? 如何理解“重要數據和核心數據”？

在圖中標注的重要數據和核心數據，是在數據安全法規中提到的。這兩類數據，和之前的分類并不在一個維度。重要數據，是指個人數據（除個人隱私外的部分）與企業、平臺乃至公共數據的結合，通過大量數據的匯聚、關聯、映射而產生數據價值及增值。例如之前頗受關注的滴滴事件，所暴露出數據匯聚后所產生的巨大價值，其泄露等也會造成巨大安全風險。重要數據中的核心部分，即為核心數據。

? 如何理解保護數據的法律法規？

針對不同類數據，有對應的法律法規來保護。這部分后面會詳細談及。

• 民法典保護個人隱私，以私密信息為主體。
• 個人信息保護法同樣保護個人隱私，以敏感個人信息為主體，并且還涵蓋其他個人信息。
• 數據安全法范圍最廣，涵蓋所有的數據。
• 網絡安全法涉及所有線上的重要數據。
• 國家安全法涉及所有的核心數據。

2. 數據分類與分級

1).分類分級概念

數據的分類與分級，是談到數據安全的重要概念。我們可以先簡單理解下，參照上面的圖中，按照縱向的行業劃分，即為數據分類；在每個行業內，再將數據按照敏感程度分為不同層級即為數據分級。數據的分類分級管理應該貫穿于企業發展的始終，數據的類別、級別也應依據相關要求實時進行變化、更新。在企業業務發展的進程中，必然會面臨數據量增長和擴展更多數據域。按照業務發展需求和法規標準的要求對數據的分類分級“量體裁衣”才能適應日益多樣化的數據使用場景和復雜的數據使用維度，為公司業務數據劃分完整的分類分級標準，為公司業務發展提供高效的數據支撐。

• 數據分類從業務角度出發，梳理哪些元數據屬于哪個業務范疇，也就是類別。這個業務范疇囊括的范圍可大可小，完全依托于企業前期基于業務的梳理結果。做數據分類，并不是業務越細分越好，大部分細分之后的數據均具有多重屬性，會導致數據的多重劃分，這是典型分類失敗的體現。反之，如果分類過于粗獷，對于企業的指導意義也明顯下降，找到分類顆粒度的平衡點，這很重要。
• 數據分級不同于數據分類，對于大多數企業來說，更多是從滿足監管要求的角度出發。數據分級屬于數據安全領域，或許稱其為敏感等級更為貼切。企業中的數據密級程度有的高、有的低、有的可公開、有的不可公開，敏感等級不同的數據對內使用時受到的保護策略不同，對外共享開放的程度也不同。如果企業對自己內部的數據沒有一個明確的認識，會為企業的運營帶來嚴重的隱患。

2)分類分級實踐：電信

下面以電信企業為例，說明如何進行數據分類分級。

 ? 數據分類分級原則

• 安全性原則：從利于數據安全管控的角度對數據進行分類分級。
• 穩定性原則：分類分級設置在相當長一個時期內是穩定的，對各類數據涵蓋廣，包容性強。
• 可執行原則：為保障數據分類分級后續的可操作性,數據分類分級應貼近企業實際運營情況，不應過于復雜或過于粗獷。企業的安全防護要求均應在此分類分級基礎上進行展開。
• 時效性原則：數據的級別會依據相關要求進行動態變化和更新，企業應預留一定的管理和技術儲備，以便應對數據級別變化產生的影響。
• 自主性原則：基礎電信企業可依據電信企業自身的特點，根據企業的戰略目標、轉型方向、風險識別的結果等進行數據安全分類分級。但分級結果應符合就高不就低原則，不應未經評估將高等級數據降低為低等級數據。
• 完整性原則：對數據狀態描述的全面程度，完整的數據應基于業務全流程進行全面劃分。
• 就高不就低原則：不同級別的數據被同時處理、應用時且無法精細化管控時應按照其中級別最高的要求來實施保護。
• 關聯疊加效應原則：對于非敏感數據關聯后可能產生敏感數據的場景，關聯后的數據級別應高于原始數據。

? 數據分類方法

根據基礎電信企業業務運營特點和企業內部管理方法收集企業內所有部門的數據資源，梳理所有數據資源。按照線分類法，按照業務屬性（或特征），將基礎電信企業數據分為若干數據大類，然后按照大類內部的數據隸屬邏輯關系，將每個大類的數據分為若干層級，每個層級分為若干子類，同一分支的同層級子類之間構成并列關系，不同層級子類之間構成隸屬關系。所有數據類及數據子類構成數據資源目錄樹，如下圖所示。目錄樹的所有葉子節點是最小數據類。最小數據類是指屬性（或特征）相同或相似的一組數據。為便于對數據進行統一管理及應用，根據基礎電信企業生產經營管理現狀和企業自身管理特點，將基礎電信企業掌握的數據整合納入兩大類。

? 數據分級方法

在數據分類基礎上，根據基礎電信企業數據重要程度以及泄露后對國家安全、社會秩序、企業經營管理和公眾利益造成的影響和危害程度，對基礎電信企業網絡數據資源進行分級。數據分級按照下圖所示的步驟和方法進行，具體如下。

根據數據對象對客體的影響程度，取影響程度中的最高影響等級為該數據對象的重要敏感程度。例如，若某數據對象發生安全事件時對國家安全和社會公共利益的影響程度為低，對企業利益影響程度為低，對用戶利益影響程度為高，則該數據對象的重要敏感程度取三者中最高，即為高。按照數據對象的重要敏感程度，可以將基礎電信企業網絡數據資源分為四個安全級別，其對應的安全要求逐級遞減，分別為第四級、第三級、第二級和第一級。

• 第四級數據：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業利益或用戶利益造成特別嚴重影響的數據，安全管控要求最高。
• 第三級數據：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業利益或用戶利益造成嚴重影響的數據，應實施較強的安全管控。
• 第二級數據：一旦丟失、泄露、被篡改、被損毀會對國家安全、社會公共利益或企業利益或用戶利益造成一定程度影響的數據，執行基本的安全管控。
• 第一級數據：一旦丟失、泄露、被篡改、被損毀對國家安全、社會公共利益或企業利益或用戶利益造成影響較小或無影響的數據，對安全管控不作要求。

3. 解讀法規與標準

1)多層次法規與標準

隨著對數據安全重視不斷加強，國家/地區、行業出臺一系列法律法規與標準引導數據安全建設。總體來說，可分為三個層面：法律、行政法規和國家或地方標準，如下圖。

? 法律

在法律層面，國家陸續出臺包括國家安全法、數據安全法、個人信息保護法、網絡安全法及密碼法等一系列法律來規范指導。下圖摘自安全廠商-煉石科技的對外公開資料。

其中2015年施行的《國家安全法》第25條明確提出“實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控”。在2017年施行的《網絡安全法》將數據安全納入網絡安全范疇，網絡安全等級保護制度、關鍵信息基礎設施保護制度、個人信息保護制度等為保障數據安全提供重要制度支撐。2021年實施的《數據安全法》則全面貫徹落實總體國家安全觀，確立國家數據安全工作體制機制，構建數據安全協同治理體系，明確預防、控制和消除數據安全風險的一系列制度、措施，提升國家整體數據安全保障能力。

? 行政法規

各行業根據自身特點，出臺系列帶有行業屬性的規范、指引等，粗略整理如下：

? 國家或地方標準

在標準方面出臺一系列國家或地方標準，粗略整理如下：

2).解讀：GB/T 35273-2020 《 個人信息安全規范》

下面以國家標準-個人信息安全規范為例，說明如何定義（分類分級）及約束數據及相關行為。

? 數據定義（分類分級）

• 個人信息 personal information

個人信息，是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定。自然人身份或者反映特定自然人活動情況的各種信息，如姓名、出生日期、身份證件號碼、個人生物識別信息、住址、通信通訊聯系方式、通信記錄和內容、賬號密碼、財產信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息等。判定某項信息是否屬于個人信息，應考慮以下兩條路徑：一是識別，即從信息到個人，由信息本身的特殊性識別出特定自然人。個人信息應有助于識別出特定個人。二是關聯，即從個人到信息，如已知特定自然人，由該特定自然人在其活動中產生的信息(如個人位置信息、個人通話記錄、個人瀏覽記錄等)即為個人信息。符合上述兩種情形之一的信息，均應判定為個人信息。

• 個人敏感信息 personal sensitive information?

個人敏感信息，是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14歲以下(含)兒童的個人信息和涉及自然人隱私的信息屬于個人敏感信息。可從以下角度判定是否屬于個人敏感信息：

- 泄露：個人信息一旦泄露，將導致個人信息主體及收集、使用個人信息的組織和機構喪失對個人信息的控制能力，造成個人信息擴散范圍和用途的不可控。某些個人信息 在泄漏后，被以違背個人信息主體意愿的方式直接使用或與其他信息進行關聯分析，可能對個人信息主體權益帶來重大風險，應判定為個人敏感信息。例如，個人信息主體的身份證復印件被他人用于手機號卡實名登記、銀行賬戶開戶辦卡等。

- 非法提供：某些個人信息僅因在個人信息主體授權同意范圍外擴散，即可對個人信息主體權益帶來重大風險，應判定為個人敏感信息。例如,性取向、存款信息、傳染病史等。

- 濫用：某些個人信息在被超出授權合理界限時使用(如變更處理目的、擴大處理范圍等)，可能對個人信息主體權益帶來重大風險，應判定為個人敏感信息。例如，在未取得個人信息主體授權時，將健康信息用于保險公司營銷和確定個體保費高低。

? 約束行為

4. 落地痛點分析及解法

企業在數據安全領域落地，是存在一系列痛點與難點。這里主要來自兩個方面：一是對安全法規及標準的解讀；二是如何結合企業自身情況，制定并落地數據安全改進。針對前者，通過上面一系列內容的解讀，相信讀者已對數據安全法規及標準有了大致的認識，在具體操作上可遵循先法律法規、后標準規范，先國家行業、后區域地方的原則進行解讀，摸清企業數據應遵循的安全原則。很多安全或咨詢公司，也提供此類安全咨詢服務，幫助企業做好政策解讀。針對后者，則相對較為復雜，一方面需要摸清企業數據家底，一方面需建立數據全生命周期安全規劃，根據前面的解讀，有針對性地采取一系列安全改造措施。如下圖是個人簡單整理的數據生命周期的各階段所涉及的主要安全能力，包括從數據識別、傳輸、存儲、使用、銷毀多環節。

上述安全能力在具體構建上，是需要有一系列技術支撐才能完成。受限于對數據安全認識不足，大部分企業并沒有在早期就有這個意識去構建，因而存在邊上馬邊改造，邊摸索邊實施的問題。這也是困擾很多企業數據安全工作的痛點。特別是針對數據重要載體-數據庫方面，企業存在多數據庫棧林立、各產品安全能力各異、云與非云環境并存等痛點，無法建立統一的數據安全治理體系。通常的思路是在企業應用層去解決上述問題，但又會對應用系統開發造成很大困擾，因而在數據庫與應用之間構建這一能力成為“必然”。針對這一實踐理念，個人有些實踐，感興趣的小伙伴可與我聯系。