重要数据,如何重要

“重要数据”是一个法律概念。

在《网络安全法》中,“重要数据”被不止一次提到:第二十一条要求网络运营者应当按照网络安全等级保护制度的要求,采取数据分类、重要数据备份和加密等措施;第三十七条要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。

重要数据直接关系到等级保护与数据跨境传输两大制度,不可谓不重要,但在《网络安全法》却缺少相应的定义。

在信标委征求意见的《信息安全技术 数据出境安全评估指南(征求意见稿)》(“评估指南”)中,将重要数据定义为:“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。”并且将政府信息公开渠道合法公开的数据,排除出重要数据的范围。评估指南还以附录的形式,列了非常详细的重要数据识别指南。

近日,中央网络安全和信息化委员会办公室、工业和信息化部开展“个人信息和重要数据安全专项调查”,在中国互联网协会的《专项调查问题列表与答复》(“答复”)重要数据是指:不涉及国家秘密,但如果泄露、窃取、篡改、毁损、丢失和非法使用可能危害国家安全、国计民生、公共利益的未公开数据,包括:
(1)地理、自然资源、重要物资储备等数据;
(2)基因、生物特征、疾病等数据;
(3)宏观统计等重要经济数据;
(4)网络信息系统的缺陷、漏洞、防范措施等数据;
(5)人群导航位置、大型设备目标位置和移动数据;
(6)法律法规规定的其他重要数据。

较之于评估指南中事无巨细的27大类,答复只分了6大类,即使算细分也只有11类,无疑是缩小了重要数据的范围。但还是需要注意,答复并不是正式的法律文件,不具有法律效力。答复只是提供了未来重要数据划定范围的一个趋势。

《公安机关互联网安全监督检查规定》解读

2018年9月30日,公安部发布了《公安机关互联网安全监督检查规定》(”检查规定”),该检查规定曾在2018年4月公开征求意见,并将于2018年11月1日正式生效。

尽管新规颁布,并不是从“0”到“1”,公安部门对网络安全进行检查是早已有之。早在1994年公安部门就有《计算机信息系统安全保护条例》,而在网络安全领域也一直都是重要的监管部门。在2011年CSDN数据泄漏事件中,北京警方就以CSDN未履行等级保护义务而处以警告处罚。《网络安全法》生效后的大量执法案件里,公安部门也一直都是重要的执法力量。 继续阅读《公安机关互联网安全监督检查规定》解读

法律合规视角下的等级保护条例

一、重装上阵

近日,公安部发布了《网络安全等级保护条例(征求意见稿)》(简称“保护条例”),等级保护制度的更新可谓是“千呼万唤始出来”。自从2017年6月《网络安全法》生效以来,各种配套法规不完善一直为各方所诟病,而等级保护制度作为《网络安全法》中的核心制度之一,更是迫切需要尽快完善。

等级保护制度可谓历史悠久,早在1994年国务院颁布的《计算机信息系统安全保护条例》中就规定计算机信息系统实行安全等级保护,随后有多部法规、国家标准对信息安全进行了规定。因此,等级保护虽然需要完善,但并不是一片空白。在《网络安全法》生效后,就有大量因未履行等级保护义务而受到处罚执法案例。

《网络安全法》生效前等级保护是指“信息安全”等级保护,直到2013年开始《网络安全法》提上议事日程,“网络安全”等级保护才取代了信息安全等级保护。从“信息”到“网络”的转变,从侧面反映出保护对象从硬件中的信息拓展至信息的载体。

在保护条例中,最为重要的主体是“网络运营者”,也是《网络安全法》中的常见概念。因为“网络”的范围是如此之宽泛,导致几乎所有的企事业单位都可以被划入网络运营者的范畴,故等级保护制度有必要得到所有单位的重视。

在保护条例中,对《网络安全法》中部分义务进行了扩张,比如安全技术措施在《网络安全法》中只是要求关键信息基础设施运营者承担同步规划、同步建设、同步使用的义务,在保护条例中将该义务扩张至所有的网络运营者。虽然同步进行安全保护是应有之意,但保护条例如此规定仍有越位的嫌疑。 继续阅读法律合规视角下的等级保护条例

区块链证据获法院认可:起跑很棒,但这是跳高比赛

2018年6月28日,杭州市互联网法院对一起侵害作品信息网络传播权纠纷案进行公开宣判,首次对采用区块链技术存证的电子数据法律效力予以确认,并明确区块链电子存证的审查判断方法。

简而言之:

原告公司为证明被告的侵权行为,在诉讼前,直接通过第三方存证平台,对侵权网页进行了自动抓取及侵权页面的源码识别,并将该两项内容和调用日志等的压缩包,计算成哈希值(可理解为对数据进行压缩后产生的随机固定字长数据值)上传至Factom区块链和比特币区块链中作为证据保存,并在起诉时作为证据向法院提交。

法院认为,通过可信度较高的自动抓取程序进行网页截图、源码识别,能够保证电子数据来源真实;采用符合相关标准的区块链技术对上述电子数据进行了存证固定,确保了电子数据的可靠性。

对于区块链存证来说,看上去是一个好的开始,但仅此而已。这和法院认可数字签名、加密存证没有太大的区别。 继续阅读区块链证据获法院认可:起跑很棒,但这是跳高比赛

健康医疗数据监管:拉开帷幕

2018年9月13日,国家卫生健康委员会发布了《国家健康医疗大数据标准、安全和服务管理办法(试行)》(“管理办法”),标志着健康医疗数据监管的靴子基本落地。

在范围上,该管理办法适用于中国公民在中国境内产生的健康医疗数据,该规范既遵循属地原则,也遵循属人原则。换言之,中国人在境外产生的医疗健康数据,或是外国人在中国境内产生的医疗健康数据,均不适用本管理办法。而健康医疗大数据,被定义为“人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据”。这样的定义方式缺乏示例,大数据也并非严谨的法律概念,在实践中更是难以运用。根据这个定义,大量生理数据也会被纳入其中,比如智能手环、手机或App所收集的心率、每日步数、睡眠情况都可以被纳入健康医疗大数据的范畴,而收集这些数据的企业,自然也成为了责任单位。 继续阅读健康医疗数据监管:拉开帷幕