电信和互联网行业重要数据识别探索

　　自《数据安全法》颁布以来，行业内一直在摸索重要数据的认定方式以及等待地区监管部门依法确定本地区、本部门以及相关行业、领域的重要数据具体目录。重要数据的识别是数据分类分级的一环，是企业做好数据安全管理的一项基础性工作。今年，部分地方监管部门开始组织辖区内企业进行数据安全专项行动，要求企业自行梳理并上报重要数据及核心数据目录，可见，地方重要数据目录的制定迈出了第一步。

　　主要事件：

　　2023年2月22日，上海市通信管理局发布《关于开展“浦江护航”2023年电信和互联网行业数据安全专项行动的通知》。

　　2023年4月12日，江苏省通信管理局发布《关于开展2023年“数安护航”电信和互联网行业数据安全专项行动的通知》。

　　两个通知中均提到了落实重要数据和核心数据识别认定及目录管理工作。电信和互联网行业数据处理者须依据相关标准规范对本单位重要数据和核心数据进行识别认定，并形成具体目录，通过填写指定的填报工具提交备案申请，备案内容包括但不限于数据来源、类别、级别、规模、载体、处理目的和方式、使用范围、责任主体、对外共享情况、跨境传输情况、安全保护措施等基本情况，不包括数据内容本身。

　　本文将从重要数据的定义、重要数据的类别、数据处理者等维度探索重要数据识别的流程和方式，为企业开展重要数据识别工作提供参考。

　　一、重要数据的定义

　　关于“重要数据”定义的相关法律法规条文梳理如下：

　　《数据安全法》第二十一条，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。

　　《汽车数据安全管理若干规定（试行）》第三条，重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据。

　　《数据出境安全评估办法》第十九条，本办法所称重要数据，是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。

　　《工业和信息化领域数据安全管理办法（试行）》第十条，危害程度符合下列条件之一的数据为重要数据：……（三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；……（五）经工业和信息化部评估确定的其他重要数据。

　　《信息安全技术重要数据识别规则》（2022年5月12日）术语和定义，3.1重要数据，特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

　　《信息安全技术网络数据分类分级要求》（2022年12月6日）术语和定义，3.2重要数据，特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。注1:仅影响组织自身或公民个体的数据一般不作为重要数据。注2:国家秘密信息不属于重要数据。

　　上海和江苏的试点，主要依据的文件为《电信领域重要数据和核心数据识别指南（试行）》（以下简称“识别指南”）。

　　综上，相关法律法规和标准文件，在描述重要数据识别因素时，侧重于从后果角度，而不是从数据类型角度。

　　二、重要数据类别识别

　　电信领域重要数据分为五类，包括：网络规划运维数据、安全保障数据、经济运行与业务发展数据、关键技术成果数据、其他重要数据。其他重要数据中主要是涉及一定规模以上的个人信息或特征群体的数据，实践中，大部分企业可能会涉及的也是达到了一定个人信息规模而被认定为处理重要数据。

　　三、电信数据处理者的识别电信数据处理者是指取得电信业务经营许可证，且在电信数据处理活动中自主决定处理目的、处理方式的电信业务经营者，包括基础电信业务经营者和互联网数据中心、互联网接入服务、在线数据处理与交易处理、互联网信息服务等增值电信业务经营者。数据处理活动包括但不限于数据收集、存储、使用、加工、传输、提供、公开等活动。

　　实践中，企业申报电信重要数据时应先判断自己是否属于电信数据处理者，判断依据为工业和信息化部发布的《电信业务分类目录》，也可以在工信部网站进行查询。如为电信数据处理者，应根据《识别指南》，对重要数据进行识别认定。

　　四、重要网络设施和信息系统识别

　　在实践中，企业往往只考虑收集和处理了哪些数据而忽视了自身因业务搭建的相关网络设施和信息系统而形成的数据。在重要数据识别中我们也需要关注重要网络设施和信息系统相关数据。重要网络设施和信息系统包括骨干网、卫星通信网、域名解析系统，或者市值、用户活跃度达到一定数量的数据处理者的三级以上网络设施和信息系统（通信网络定级，非公安等保定级）。部分尚在制定中的标准，还将具有一定存储量、服务器的数据中心，电信领域关键信息基础设施，列入考虑的范围。

　　如果涉及重要网络设施和信息系统，相关的网络规划运维数据、安全保障数据会被认定为重要数据，此时需要申报的数据是系统本身的数据，并非储存在系统中的数据。

　　五、重要数据目录备案填报

　　参考上海和江苏的实践，重要数据目录备案表需填报共计48项内容，主要包括数据基本情况、责任主体、数据处理情况、数据安全情况四大类，与《信息安全技术重要数据识别规则》中规定的内容一致。

　　数据基本情况中，需要填写数据类别，需按照《识别指南》的类别进行填写，其他还包括数据的领域、精度和规模等情况。责任主体情况中，主要涉及企业的基本信息，需要注意数据安全负责人应为管理层人员。数据处理场景中，需要关注数据出境和数据对外提供的情况。同时，涉及重要网络设施和信息系统的企业，需要上报相关数据。另外还涉及数据安全风险评估的情况，目前数据安全风险评估的依据主要参考行业标准YD/T 3956-2021《电信网和互联网数据安全评估规范》开展评估工作。

　　本文作者：

　　孙鹏程 大成中国区数字业务中心理事、数据安全共同体计划专家

　　沈鑫瑶 北京大成（杭州）律师事务所律师