何为重要数据，不久后或将有国家标准。近日，“网络安全法实施三周年暨网络安全法前沿法律问题研讨会”在线上召开。

中国信息安全研究院副院长、中国信息安全法律大会专家委员会顾问委员左晓栋发表主题为“重要数据识别研究进展”的演讲。他透露初步计划以国家标准的形式提出“重要数据识别指南”。

2017年6月1日，《网络安全法》正式实施。其中第三十七条规定：关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当存储在境内。

《网络安全审查办法》于今年6月1日正式实施，其中规定，网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，包括“重要数据被窃取、泄露、毁损的风险”。此外，正在制定之中的《数据安全管理办法》对收集重要数据提出了备案要求。

值得注意的是，虽然上述规定都涉及重要数据，然而我国目前并没有明确对重要数据做出定义。对此，左晓栋表示：“明确重要数据的定义和分类是当务之急。”

他还透露说，去年起受国家有关部门委托开始研究这个课题，初步计划是以国家标准的形式提出重要数据识别指南，“工作一直在进展之中”。

结合国内已有的政策和国外对数据分类的相关做法，左晓栋表示，他在起草“重要数据识别指南”的过程中明确了三个原则。首先是聚焦国家安全，避免范围扩大。重要数据应该仅仅围绕国家安全、公共利益的角度衡量，范围应尽可能小，不包括个人信息、企业自身经营和内部管理的信息以及国家秘密信息。同时他强调，一部分商业领域的信息属于重要数据。

其次是遵循国外惯例，反映中国特色。在界定重要数据时应着眼于全球化发展需要，要促进数据安全有序流动，为此需充分借鉴国外已有做法；同时要适应国情，如国内蓬勃发展的移动互联网应用和互联网业态远比国外复杂，大量重要数据分布于商业领域。

最后是以定性定量相结合的方式识别重要数据，反对单纯定性或定量的方法。

随后，左晓栋还解释了与重要数据识别有关的六个理论问题，包括管理重要数据的出发点（重要数据面临的威胁），重要数据与国家秘密信息的区别，如何看待数据汇聚、整合、分析后的安全风险，重要数据由谁认定，重要数据如何分布，重要数据的重要性时效。

在主题演讲的最后阶段，左晓栋给出了一套重要数据基本分类的方法。他建议将重要数据分为八类，分别是国民经济运行类、安保类、自然资源与环境类、健康类、敏感技术类、用户类（或应用服务类）、政府工作秘密类和其他类。为了更好地推动实际工作，他还提出了刻画重要数据几个维度，比如类别等级、对国家安全和公共利益的影响、面临的主要安全威胁、涉及行业、主管部门、主要分布、主要特征、重要性时效等。

比如国民经济运行类的重要数据的子类数据包括战略储备数据、工业生产数据、金融数据等；战略储备数据（国民经济运行类的二级子类）还可以分为粮食储备数据、物资储备数据、能源储备数据等；粮食储备数据（国民经济运行类的三级子类）对国家安全和公共利益的影响体现为它能反映国家宏观调控能力和应对战争或重大灾害的能力，该数据的主管部门是国家粮食和物资储备局。

文/南都个人信息保护研究中心研究员 尤一炜

编辑：尤一炜

对这篇文章有想法？跟我聊聊吧

尤一炜1.27亿

南方都市报记者