适用场景
所有在中国境内收集、产生并处理数据的中国出海企业,尤其是在关键信息基础设施领域、或涉及经济运行、人口健康、自然资源、科技研发、安全防护、政务服务等行业的企业,在进行数据资产管理、数据跨境传输或规划数据合规体系时,需要重点关注并进行重要数据识别。
核心要点
1. 重要数据核心定义与范围
重要数据是指一旦遭到篡改、破坏、泄露或非法获取、利用,可能危害国家安全、公共利益的数据。它明确排除了国家秘密和个人信息,但基于大量个人信息形成的统计数据和衍生数据,仍可能被认定为重要数据。
2. 识别重要数据的六大原则
企业在识别重要数据时,需关注其对国家和公共安全的影响,而非仅限于企业自身利益;应在确保安全的前提下促进数据合理流动;识别工作需与现有区域和行业法规协调;需综合评估数据的保密性、完整性、可用性、真实性、准确性及潜在风险;同时兼顾数据的性质和数量;并建立定期审查机制。
3. 重要数据的八类特征
指南列举了可能被识别为重要数据的八大类特征,涵盖了与经济运行、人口与健康、自然资源与环境、科学技术、安全防护、服务提供、政务活动相关的数据,以及其他可能危害国家安全和公共利益的信息。
4. 重要数据识别的规范流程
识别工作分为三个层面:首先,区域和行业主管机关将制定更具体的识别规则;其次,各组织需依据这些规则,通过数据资产盘点、安全影响评估、初步识别、复核和目录编制等步骤,形成自身的重要数据目录;最后,企业需将识别结果报送相关主管机关,并在数据类型、用途或共享方式发生变化时及时更新报告。
5. 法规背景与指南效力
“重要数据”概念源于《网络安全法》,并在《数据安全法》中得到进一步明确。尽管《重要数据识别指南》目前是国家标准草案,不具强制执行力,但其一旦生效,将成为各级部门制定重要数据目录以及企业开展自查自纠的重要依据。
实务建议
- 积极关注并深入研究《重要数据识别指南》的最终版本及其配套的地方、行业细则,及时调整内部合规策略。
- 全面梳理企业内部所有数据资产,建立详细的数据清单,明确数据的类型、来源、存储位置、处理方式和使用目的。
- 定期开展数据安全风险评估,识别并评估数据一旦被破坏、泄露或滥用可能对国家安全和公共利益造成的影响,作为重要数据识别的基础。
- 依据指南的识别原则和特征,结合企业所处行业特点,制定并实施内部重要数据识别标准和管理制度,形成企业自身的重要数据目录。
- 建立重要数据识别结果的动态管理和定期审查机制,确保数据用途、共享方式等发生变化时能及时重新评估和报告。
- 对于已识别的重要数据,严格按照《数据安全法》等法规要求,采取更高级别的安全保护措施,尤其是在涉及跨境传输时,务必履行数据出境安全评估等合规义务。
风险提示
- 过度识别风险:误将所有敏感数据或对企业自身重要的商业数据都认定为重要数据,可能导致过度保护,不必要地限制数据流动和利用效率。
- 识别不足风险:仅凭数据性质判断,忽视数据量积累或与其他数据结合后可能产生的“质变”,导致未能识别出潜在的重要数据,留下合规漏洞。
- 忽视草案指导性:认为指南作为草案或国家标准不具强制力而忽视其指导作用,可能在未来正式规定出台时措手不及,面临合规风险。
- 跨境传输挑战:重要数据的跨境传输面临更为严格的法律要求和审查程序,未充分准备可能导致业务中断或法律责任。
- 未及时更新风险:数据类型、用途、共享方式等可能随业务发展而变化,未能定期审查和更新重要数据目录及报告,将增加违规风险。