新石油开发记②:数据分类分级——数据资产走进市场的关键一役
21世纪经济报道记者 何妨 王俊 北京报道 编者按:已然来临的数字时代,数据是核心驱动要素。围绕数据的开发利用,一场新的生产与认知革命正在展开。想要了解这个时代,必须要先认识数据。南方财经全媒体·21世纪经济报道策划了数据要素市场系列报道,以期为行业和社会公众提供理解数据的敲门砖。 “让安全的归安全,发展的归发展”,谈及数据分类分级,21世纪经济报道采访的多位学者都提到了这一目标。 但说来简单,实践却颇多难点。数据资产遍及各行各业,散落在现代社会生活的各个场景中,数据的来源、使用与共享场景亦成千上万,想要有一套放置各行各业都行得通、用得好的分类分级标准,几乎是“不可能完成的任务”。 尽管如此,让原始、孤立的数据能安全进入市场、流动起来仍是现下数据资产理论界与实务界最重要的工作之一。做好分类分级,无疑是数据转化为资产,走进市场的关键一役。 始于安全 不止安全从2017年《网络安全法》提出“数据分类”,到2021年9月正式生效的《数据安全法》对“数据分类分级”做出详尽要求,国内数据分类分级观念与实践都在“安全”这一语境下孕育、成熟。 值得注意的是,《数据安全法》中明确提出“国家建立数据分类分级制度”,意即数据分类分级应由国家主导进行。 对此,北京理工大学法学院教授洪延青曾撰文分析,这种制度安排一方面是考虑到“外部性因素”,即行业或组织进行数据分类分级时常常只能考虑到内部利益,但涉及到国家安全与国家利益时,则需要国家对外部性很强的数据给予更高级别的保护;另一方面则是因为一套分类分级的标准不仅需要在一个行业内使用,还需要在各个行业内适用,因此需要进行更高级别的整体规划。 因此,尽管涉及行业众多、场景复杂,分类分级需要将“安全”视为核心考虑,以顶层设计为切入点自上而下进行。 但这并不意味着,在安全与发展中,天平会完全倒向安全一边。 《数据安全法》中,“安全与发展”被单列一章,紧随总则。其中明确:以数据安全保障数据开发利用和产业发展。 “数据的安全与发展,从开始就是放在一个语境下考虑的,这一点目前业界已有共识”,南开大学竞争法研究中心主任、法学院教授陈兵在接受21世纪经济报道采访时表示。 外界认为,过去的几年是监管对数据隐私“用重典”的几年,相关部委先后启动针对互联网产品的多轮测评与通报,从收集、使用、删除等多个环节进行规管,相关标准与指南也相继出台。 在此背景下,业内不免担心,“今后数据是不是会被管得越来越紧?”、“发展业务,数据还能不能用了?” 陈兵认为,这几年的“重招实招”,正是因为中央下定决心要摆脱从前的低质量、不合规发展,倒逼行业使用安全合规的数据。划好底线,正是为了更好地发展,而实现这一点,做好数据的分类分级就是关键一步。 分级明确 分类多维自上而下的架构能有效应对外部性因素,但分类分级面临另一个难题:如何针对不同行业不同场景制定统一有效的整体架构? 于2021年12月31日发布的《网络安全标准实践指南——网络数据分类分级指引》(以下简称“指引”)对此指出了方向:分级明确、分类多维。 根据“指引”,我国对网络数据既进行分级,也进行分类。其中,分级的目的是为了保护数据安全,分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。 《数据安全法》将数据遭到非法获取利用,会对国家安全、公共利益或个人、组织合法权益遭受危害的程度,将数据从低到高分成:一般数据、重要数据、核心数据三个级别。 其中,核心数据与重要数据的识别和划分需要严格按照国家与行业数据目录执行,相关要求明确清晰,这与数据分级主要目的是“保护”相适应。 在上述三级数据中,重要数据相较核心、一般数据的划分更复杂。据中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋在近日的一次演讲中介绍,目前我国正在建立重要数据安全监管制度。 左晓栋同时表示,国家层面对于重要数据的识别是原则性的,具有指导性的,到了各个部门,各个行业要制定自己的地方或行业的标准规范,制定自己的工作文件,然后根据国家标准制定标准规范,在本地区本行业组织重要数据的识别。 相较数据分级而言,数据分类会给予业界更多空间,可具有多重视角和维度,“指引”亦指出,数据分类可从便于数据管理和使用的角度,考虑国家、行业、组织等多个视角的分类方式。 现下较为常见的分类包括从“行业视角”的数据分类,如工业数据、金融数据、交通数据等;从“管理视角”的数据分类,如公共数据、个人数据、政务数据等。 建议使用人工+智能的方式做分类分级尽管国际层面对于数据分类分级有了周密的安排,但上述分类分级的原则尚只是框架,还需要在各行业各场景中与实践结合,进行精准地细化与落地,这需要有技术与模式的创新与突破。 “目前国内数据分类分级工作依然面对很多挑战”,四川大学网络空间安全学院院长陈兴蜀近日参加“2022 西湖论剑·网络安全大会”时,总结了数据分类分级面临的挑战,她表示,首先就是合规性的遵从与实践,虽然信息安全相关法律文件不断推出,但真正理清却并非易事。 在数据体量巨大的情况下,如何针对相应的分类分级做标签,如何有更多的技术手段,如何提高工作人员的安全意识等都有待解决。 此外,目前数据分类分级的最佳实践经验不足,很多做法缺乏迁移性,“你可能在一个单位做得很好了,但想把经验搬到别的单位就发现挑战很大”,陈兴蜀建议,用人工+智能来实施数据的分类分级,才能够真正有效。 “什么样的分类分级是好的?它要能充分释放数据市场的活力,而不是分类分级后行业企业什么都不敢做了”,陈兵认为,在具体实践中,可以给行业更多的空间与时间,不断调整对数据分类分级的认识,逐渐摸索出一条有中国市场特点的分类分级方式。
|
热点推荐