现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
重要数据保护
核心法条
- 《数据安全法》第 2 条:本法所称数据,是指任何以电子或者其他方式对信息的记录;数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等 [现行有效]
- 《数据安全法》第 21 条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度及危害程度,对数据实行分类分级保护;国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护;关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度 [现行有效]
- 《数据安全法》第 27 条:数据处理者应当建立健全全流程数据安全管理制度;重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任 [现行有效]
- 《数据安全法》第 30 条:重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告 [现行有效]
- 《数据安全法》第 31 条:关键信息基础设施运营者在境内运营中收集和产生的重要数据的出境安全管理,适用网络安全法的规定 [现行有效]
- 《数据安全法》第 45—46 条:重要数据安全的法律责任(违反重要数据出境规定的,最高可处 1000 万元罚款并吊销营业执照) [现行有效]
- 《数据安全法》第 36 条:非经中华人民共和国主管机关批准,境内组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》施行 | 现行有效 |
| 2021-09-01 | 《数据安全法》施行 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》施行 | 现行有效 |
一、数据分类分级保护制度
制度基础
《数据安全法》第 21 条确立了数据分类分级保护制度,这是中国数据保护制度的核心基础之一:
- 分类:根据数据的性质、来源、用途等维度对数据进行分类
- 分级:根据数据的重要程度和危害程度进行分级
分级标准
数据分级主要考量以下两个维度:
- 数据在经济社会发展中的重要程度:数据价值和经济、社会影响
- 潜在危害程度:一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度
三级架构
| 级别 | 定义 | 保护要求 |
|---|---|---|
| 一般数据 | 除重要数据和核心数据以外的其他数据 | 基础安全保护义务 |
| 重要数据 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据 | 强化的专门保护义务 |
| 核心数据 | 关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据 | 最严格管理制度 |
二、重要数据的识别与目录管理
重要数据定义
依据《数据出境安全评估办法》第 19 条以及《数据安全法》的相关精神:
重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。
识别标准
重要数据的识别需要综合考虑以下要素:
- 国家安全维度:是否涉及国防、军事、外交、科技安全等领域
- 经济安全维度:是否涉及金融、能源、交通、农业等国民经济命脉
- 社会稳定维度:是否涉及公共卫生、社会治安、舆情管理
- 数据安全维度:数据规模、敏感程度、被滥用后可能造成的影响范围
目录管理制度
《数据安全法》第 21 条确立了两级目录管理:
- 国家层面:国家数据安全工作协调机制统筹协调有关部门制定重要数据目录
- 行业/地区层面:各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护
实务中,金融、医疗、交通、工业等行业主管部门正在制定本行业的重要数据识别指南和目录。
与个人信息的关系
重要数据与个人信息是两个重叠但不同的概念:
- 个人信息以个体可识别性为判断标准(《个人信息保护法》第 4 条)
- 重要数据以国家安全和社会影响为判断标准
- 大量个人信息经聚合后可能构成重要数据
- 某些重要数据可能包含个人信息,但不以个人信息为必要条件
三、重要数据处理者的专门保护义务
(一)组织管理义务
重要数据处理者必须履行以下专门义务(《数据安全法》第 27 条第 2 款):
- 明确数据安全负责人:指定专人负责数据安全工作
- 明确数据安全管理机构:建立专门的数据安全治理机构
- 落实数据安全保护责任:将责任分解到具体岗位和人员
区别于一般数据处理者仅需"建立健全全流程数据安全管理制度",重要数据处理者还必须"明确负责人和管理机构"。
(二)技术保护义务
所有数据处理者(含重要数据处理者)需履行的义务(第 27 条第 1 款):
- 建立健全全流程数据安全管理制度
- 组织开展数据安全教育培训
- 采取相应的技术措施和其他必要措施保障数据安全
- 利用互联网等信息网络开展数据处理活动的,应当在网络安全等级保护制度的基础上履行上述义务
(三)定期风险评估义务
重要数据处理者应当按规定对其数据处理活动定期开展风险评估并报送有关主管部门(《数据安全法》第 30 条):
风险评估报告应包含:
1. 处理的重要数据的种类、数量
2. 开展数据处理活动的情况
3. 面临的数据安全风险及其应对措施等
这是重要数据处理者独有的强制性义务。
(四)风险监测与应急处置
风险监测(《数据安全法》第 29 条):
- 开展数据处理活动应当加强风险监测
- 发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施
应急处置(《数据安全法》第 29 条、第 23 条):
- 发生数据安全事件时,应当立即采取处置措施
- 按照规定及时告知用户并向有关主管部门报告
- 国家建立数据安全应急处置机制,有关主管部门应当依法启动应急预案
四、重要数据出境管理
出境规则体系
重要数据的出境管理遵循以下规则:
| 数据类型 | 出境要求 | 法律依据 |
|---|---|---|
| CIIO 收集的重要数据 | 适用《网络安全法》第 37 条,进行安全评估 | 《数据安全法》第 31 条 |
| 非 CIIO 的重要数据 | 由国家网信部门会同国务院有关部门制定管理办法 | 《数据安全法》第 31 条 |
数据出境安全评估
依据《数据出境安全评估办法》:
- 数据处理者向境外提供重要数据的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估
- 此情形不受数据量门槛的限制——只要涉及重要数据出境就必须走安全评估
- 评估重点关注国家安全和公共利益风险
法律责任
违反规定向境外提供重要数据的(《数据安全法》第 46 条):
| 违法情节 | 企业罚款 | 直接责任人员罚款 | 其他处罚 |
|---|---|---|---|
| 一般 | 10 万—100 万元 | 1 万—10 万元 | 警告、责令改正 |
| 情节严重 | 100 万—1000 万元 | 10 万—100 万元 | 暂停业务、停业整顿、吊销营业执照 |
五、分类分级管理实务
分类分级的操作步骤
- 数据盘点:全面清查组织掌握的数据资产,建立数据资产清单
- 分类:根据数据类型(业务类别、来源、用途等)进行标签化分类
- 分级:依据国家和行业目录,对照识别标准进行分级判定
- 映射映射:在数据系统中对不同级别的数据打上相应标签
- 差别保护:对不同级别数据实施差异化安全措施和管理制度
- 持续更新:定期复核,根据法律法规和行业目录变化动态调整
分级保护差异化措施
| 措施维度 | 一般数据 | 重要数据 | 核心数据 |
|---|---|---|---|
| 安全负责人 | 建议指定 | 强制指定 | 强制指定 |
| 管理机构 | 建议设立 | 强制设立 | 强制设立 |
| 风险评估 | 建议实施 | 强制定期报送 | 强制定期报送 |
| 出境管理 | 标准合同/认证 | 强制安全评估 | 原则上禁止出境 |
| 加密存储 | 视情况 | 建议加密 | 强制加密 |
| 访问控制 | 基础控制 | 严格权限 | 最小授权 + 全程审计 |
与网络安全等级保护制度的衔接
《数据安全法》第 27 条要求利用互联网等信息网络开展数据处理活动的,应当在网络安全等级保护制度的基础上履行数据安全保护义务。这表明:
- 等保是数据安全的底线要求
- 数据分类分级保护是在等保之上的增强要求
- 重要数据处理者在完成等保测评的基础上,还需满足数据安全法的专门要求
六、与个人信息保护的交叉
保护制度差异
| 维度 | 重要数据保护 | 个人信息保护 |
|---|---|---|
| 核心法律 | 《数据安全法》 | 《个人信息保护法》 |
| 保护客体 | 国家安全、公共利益 | 个人权益、隐私 |
| 判断标准 | 对国家安全的影响 | 自然人可识别性 |
| 保护路径 | 分类分级 + 目录管理 | 合法性基础 + 个人权利 |
| 主要义务人 | 数据处理者 | 个人信息处理者 |
实务交叉场景
- 大规模个人信息聚合:个人信息经聚合处理后可能构成重要数据
- 健康医疗数据:既包含敏感个人信息,也可能构成重要数据
- 数据出境:需同时满足《个人信息保护法》与《数据安全法》的要求
- 安全评估:出境同时涉及个人信息和重要数据时,应当一并进行安全评估
七、常见合规风险与实务建议
高风险场景
- 重要数据识别不清:未按照国家或行业目录进行数据分级
- 未指定数据安全负责人:重要数据处理者未落实组织保障
- 未定期报送风险评估报告:违反《数据安全法》第 30 条
- 数据违规出境:重要数据未走安全评估即出境
- 未经批准向外国司法执法机关提供数据:违反《数据安全法》第 36 条
- 数据泄露事件:未及时采取措施和报告
合规实务清单
- 数据资产盘点:建立完整的数据资产清单
- 分类分级:按照国家及行业目录对数据进行分类分级
- 重要数据目录:编制内部重要数据目录并定期更新
- 人员与机构:明确数据安全负责人和管理机构
- 制度建设:建立健全全流程数据安全管理制度
- 风险评估:按规定定期开展风险评估并报送主管部门
- 出境合规:涉及境外传输的,严格走安全评估程序
- 安全监测:建立数据安全风险监测体系和应急响应机制
- 员工培训:开展数据安全教育培训和意识提升
- 供应商管理:对外包和委托处理进行数据安全保障
知识库原始资料索引
法律法规
- 中华人民共和国数据安全法
公众号资源
- 洪延青:国家安全视野中的数据分类分级保护
- 刘金瑞:我国重要数据认定制度的探索与完善
- 国家互联网信息办公室公布《数据出境安全评估办法》(附全文+答记者问)/国家互联网信息办公室公布_数据出境安全评估办法_(附全文_答记者问).md)
- 最新:数据安全法关键变化及合规提示