浙江等多地探索公共数据分类分级 地方尝试或为国家标准提供经验

2021-07-25 16:36 新浪财经综合 原文链接:点击获取

来源:21世纪经济报道

原标题:浙江等多地探索公共数据分类分级,地方尝试或为国家标准提供经验

近日,浙江省针对公共数据分级分类发布首个省级地方标准——《数字化改革 公共数据分类分级指南》(下称《指南》),并将于8月5日起在全省范围内正式实施。

随着《数据安全法》落地,建立数据分类分级保护制度、实行分类分级保护等规定逐渐渗透到了日常的数据管理中。公共数据资源的开放和利用是培育数据要素市场的重要举措,因而针对其分类分级制度的探索也已在多地展开。

公共数据该如何分类分级?各地基于自身发展制定的规则是否会对数据市场流通造成阻碍?受访专家向21世纪经济报道记者表示,数据分类分级往往基于业务实践和应用场景的归纳总结。尽管关于数据市场割裂的担忧一直存在,但在短期内难以出台全国性法规的背景下,地方率先的尝试,或可为未来的国家标准提供经验。

分类分级已成共识

大数据时代,数据的分类分级已成共识。9月1日即将实施的《数据安全法》明确,国家建立数据分类分级保护制度、对数据实行分类分级保护、制定重要数据目录等。

“分类分级是数据全流程动态保护的基本前提。”北京师范大学网络法治国际中心执行主任吴沈括向21世纪经济报道记者解释,分类分级能对海量的数据要素做出必要的价值区分,从而有效判别其保护手段和流转规则。

北京派客动力科技有限公司首席技术官(CTO)兼副总经理蒙奎冰则强调分类分级对数字化转型的重要意义,“实现数字化转型无非考虑三件事:一是提升数字质量(数据资产化的本质),数据分类是其基础;二是保障全数据生命周期的安全,数据分级是其前提;三是让数据提供服务,也即数据赋能。”

早在2016年,贵州省出台《政府数据分类分级指南》,定义了政府数据的分类分级原则和方法。此后,我国针对证券、工业、金融等领域,于2018年发布《证券期货业数据分类分级指引》,2020年相继出台《工业数据分类分级指南(试行)》和《金融数据安全 数据安全分级指南》等。

而公共数据领域的探索稍晚。今年2月和4月,上海市和武汉市分别发布了公共数据开放分级分类的试行指南,此次浙江出台的《指南》相比之前则更加细化。

在吴沈括看来,相比起垂直领域的数据,公共数据的分类分级难度更高,应用场景也更为复杂。

“公共数据的采集主体、对象和过程都具有特殊性。具体而言,主体一般是政府机关或提供公共服务的企事业单位;对象涉及到企业、个人和其他各类组织;手段往往具备一定强制性。所以,其数据类型丰富、范围广泛、质量高、敏感度也高。”吴沈括说。

但促进公共数据资源的开发利用却是繁荣数据要素市场的应有之义。“政府需要通过分类分级把握尺度,在合法合规的前提下释放数据,让中小微企业或创新型企业得以利用并实现数字化创新。”上海交通大学数据法律研究中心执行主任何渊表示。

四大维度分类

在数据分类上,浙江省的《指南》从数据管理、业务应用、安全保护、数据对象四大维度,将公共数据分成了30余个子项。

“想象一下,分类后的数据长什么样?”蒙奎冰将之比作“一棵枝繁叶茂的大树”,每一大分支下都有父类、子类、孙子类、曾孙子类等。

蒙奎冰表示,上述四个维度仅是数据分类的第一步,也是“大树”最大的分支,几乎囊括了基础的方面。其中,数据管理是纯技术维度,它展现出数据的具体属性,如产生频率、方式,结构化特征,存储方式等;业务应用考虑数据的使用场景,如数字政府、数字经济、数字社会等;安全保护区分数据的敏感度或重要程度,如核心数据、重要数据、一般数据等;数据对象则从使用者的角度分析,如个人、组织和客体。

“但这只是其中一种方式,并非绝对答案。”吴沈括认为,之所以选择以四个维度对公共数据进行分类,是因为其涵盖范围广泛,需要有效、多维的分类基准。但《指南》的做法也是基于制定机关对当地目前公共数据生态的把握,从业务实践中归纳总结而来。未来可能有更多的实践探索不断扩充与完善。

蒙奎冰指出,数据分类分级中,分类难于分级。因为数据分级一般只有四到五级,且近年来法律法规中对敏感数据的界定已经较为完善。

分类则不然,它常常依托于业务本身,如数字政府、数字经济、数字社会等。业务是动态性的,数据也随着业务的发展而持续变化。以姓名张三为例,它既属于个人信息,也属于法人信息,在其他业务场景下还可能出现新的分类标签。

“我们往往是知道了要做什么,比如,是从数据资产化的角度顺序做,还是从数据服务的角度逆序做,是搭建数据仓库,还是建立数据中台,然后才决定要获取哪些公共数据,再进行分类。”蒙奎冰说。

若后续出台公共数据的分类标准,是否会趋向更加细致详尽?蒙奎冰认为这很难实现。首先是因为公共数据体量庞大,其次,做数据分类前最忌固定思维。

“有了第一步分类的启示,再往下就是见仁见智了。数据在不同的应用场景下应该有不同的分类。”蒙奎冰表示。

数据级别可变更

《指南》根据公共数据破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益(受侵害客体)的危害程度来确定数据的安全级别,共分为4级,由高至低分别为:敏感数据(L4级)、较敏感数据(L3级)、低敏感数据(L2级)、不敏感数据(L1级)。

“数据分级是数据安全策略的前提。”蒙奎冰分析,不同敏感等级的数据明确了在应用前是需脱敏、加密,还是使用数据水印、防火墙等。

在何渊看来,目前《指南》的分级颗粒度仍不够细。如,敏感数据(L4级)的判断标准为对全社会、多个行业、行业内多个组织造成严重影响,对单个组织的正常运作造成极其严重影响,对人身和财产安全、个人名誉造成严重损害;而较敏感数据(L3级)的判断标准则是对全社会、多个行业、行业内多个组织造成中等程度的影响,对单个组织的正常运作造成严重影响,对个人名誉造成中等程度的损害。

“数据分级要真正落地,概念需界定清楚,不可抽象主观。目前来看,对于《指南》中提到的‘严重损害’、‘中等程度损害’等标准,尚需要进一步的示范明确。”何渊说。

关于数据级别的变更是《指南》数据分级中的一大亮点。具体而言,数据级别变更的主要因素包括聚合因素、体量因素、时效因素和加工因素。以聚合和加工因素为例,因业务需要将相同或不同级别的公共数据汇聚并进行分析、处理的,聚合数据的部门应对数据重新定级,且聚合数据安全级别一般不应低于所汇聚的原始数据的最高级别;对公共数据进行汇总、分析、加工后产生的,与原始数据存在较大差异的公共数据,在对其重新定级时,结果可高于、等于或低于原始数据。

“数据分级也取决于具体应用场景,只有在场景中才能更精准地定位数据级别。”吴沈括认为,上述做法能够解决实务中同样的数据集在不同的数据应用场景,可能产生的敏感度和价值变化问题。

同时,《指南》的附录还规定了公共数据分级保护基本要求,明确了不同敏感等级的数据,在数据采集、传输、存储、访问、共享、开放、销毁全流程的加密方式或保护策略。如在数据采集阶段,敏感数据(L4级)相比于较敏感数据(L3级),其保护手段除安全认证、校验、加密等外,还添了水印溯源等技术,对数据泄露风险及行为进行追踪,可定位到责任人等。

或可为国家标准提供经验

“作为公共数据开放分类分级的具体标准化省级文件,浙江省此次走在了全国前列。”浙江垦丁律师事务所合伙人李晋沅评价,《指南》的适用范围较广,也具一定落地的前瞻性。在全国探索数字化转型的背景下,每一个文件的出台,都是为将来更细致的工作铺垫。

目前,广东、天津等多地都已重视公共数据资源分类分级规则的制定。如去年7月《天津市公共数据资源开放管理暂行办法》规定市互联网信息主管部门组织制定公共数据资源分类分级规则;日前印发的《广东省数据要素市场化配置改革行动方案》亦指出,建立公共数据资源分类分级管理制度。

各地制定不同的公共数据分类分级规则是否会阻碍数据要素市场的自由流动?

“基于数据要素的特殊性,我们必须强调数据要素市场统一、全国一盘棋。”吴沈括指出,目前各地在数据治理、数据分类分级领域的积极实践意义值得肯定,但在实务中也要注意各地数据烟囱的不良倾向,通过有效的制度和国家顶层设计,及时解决数据山头主义。只有在国家统一部署下,才能实现数据要素的有序自由流动。

何渊则表示,尽管关于数据市场割裂的担忧一直存在,但从我国的立法经验而言,短期内仍难以出台全国性的法规。地方率先的尝试,或可为未来的国家标准提供经验。

在李晋沅看来,数据市场流通最大的阻碍是混乱而非规则。若数据管理无序,缺乏统一的标准,既在法律层面增加不确定性,又在技术层面阻碍数据流通。一些率先推行公共数据分类分级制度的地市和省份,往往是智慧城市建设发展达到一定阶段,由此孕育出来的必然产物。

他预测,未来各地的方案,应都遵循着国家统一上位法的指导,结合地方特色,整体框架相似,具体的数据分类子类目录百花齐放。

“随着全国逐步开展智慧城市、数字中国的建设,先行者的经验能起到很充分的指导作用,帮助其他地区摸着石头过河,更好更快地建设数字中国。”李晋沅说。

(作者:见习记者郭美婷,实习生孙菁遥 编辑:曹金良)