《公共数据安全要求》解读
一、为什么编制《公共数据安全要求》
一是落实《中华人民共和国数据安全法》、《中华人民共和国
个人信息保护法》的要求。近年来,国家对数据安全要求不断提升,
特别是随着数据作为生产要素,其经济价值和社会影响不断提升,
更成为了国家和社会关注的重点。今年《中华人民共和国数据安全
法》和《中华人民共和国个人信息保护法》陆续发布,如何平衡发
展数字经济与保护个人数据、数据开发利用与数据安全之间的关系,
如何通过合理可行的标准落实国家法律法规,是本标准制定的重要
目标。
二是为《深圳经济特区数据条例》的落地提供指导。《深圳
经济特区数据条例》于2021年6月29日发布,自2022年1月1
日起实施,其中全面规范公共数据的开放和使用,并对公共数据安
全也提出了明确的要求。各公共管理和服务机构如何在自身的公共
数据管理中,有效实现对条例要求的落地,确保公共数据安全,也
随着条例正式实施而成为了越发急迫的需求。因此,需要从公共数
据安全的专业视角,为公共数据安全管理进行统一的指导,也是本
标准制定的意义之一。
三是将数据安全与网络安全等级保护要求有效衔接。本标准在
编制时,充分参考了网络安全等级保护的相关要求和各公共管理和
服务机构现有的安全管理要求,同时对数据安全最新政策法规要求
承接,实现了将公共数据安全和网络安全等级保护体系的有效衔接,
在不影响各公共管理和服务机构已有安全要求的基础上,进行公共
数据安全层面的扩展,更突出本标准的落地能力。
四是全面覆盖数据安全管理、技术及数据处理活动各环节。实
现公共数据安全要求的落地,一方面要从合规性出发,遵从国家政
策法规、标准规范及《深圳经济特区数据条例》中的安全要求,另
一方面也要从可操作性出发,在进行安全管理要求分解和细化的同
时,提供相应的技术及数据处理活动安全能力要求,为落地提供标
准参考和指导。本标准编制全面覆盖了公共数据安全的管理、技术
及数据处理活动各环节,能全面指导各公共管理和服务机构参照本
标准保障其公共数据安全。
二、本标准的总体内容说明
(一)范围
本文件规定了公共数据安全要求,主要包括总体安全原则和要求、
总体框架、数据分级方法、通用管理安全要求、通用技术安全要求及
数据处理活动安全要求。
本文件适用于公共管理和服务机构数据安全能力的建设、评估与
监管,也适用于处理大量个人信息的服务平台数据安全能力的建设与
评估。
(二)规范性引用文件
GB/T20984—2022信息安全技术信息安全风险评估方法
GB/T22239—2019信息安全技术网络安全等级保护基本要求
GB/T22240—2020信息安全技术网络安全等级保护定级指南
GB/T35273—2020信息安全技术个人信息安全规范
GB/T37988—2019信息安全技术数据安全能力成熟度模型
GB/T39477—2020信息安全技术政务信息共享数据安全技
术要求
GB/T39786—2021信息安全技术信息系统密码应用基本要求
(三)术语和定义
本文件定义了公共数据、数据安全、公共管理和服务机构、敏感
个人信息、重要数据、匿名化、数据合作方、安全多方计算、第三方
应用相关术语定义。
(四)总体安全原则和要求
本文件明确了总体安全原则及安全要求,总体安全原则包括合法
正当、权责明确、目的明确、明示同意、最小必要、公开透明、动态
调整、全程可控;总体安全要求公共管理和服务机构应在符合国家相
关法律法规基础上,落实本标准安全要求,承载公共数据的信息系统
应按GB/T22239—2019描述的基本要求,同步规划、建设、运营信
息系统,并对信息系统组织开展定级备案、等级测评、安全整改工作;
数据处理过程涉及的密码技术应按GB/T39786—2021描述的密码应
用基本要求执行;涉及关键信息基础设施信息系统安全要求应遵照相
关法律法规执行;法律、行政法规另有规定的,从其规定。
(五)总体框架
(六)数据分级方法
本文件明确了数据定级对象为数据库和数据子类,也可为数据子
类下的具体数据字段,将对客体的侵害程度分为无损害、一般损害、
严重损害、特别严重损害四类。数据库定级分为一至五级,按照
GB/T22240—2020中4.3规定的定级要素及安全保护等级的关系,
以及6.1规定的业务信息安全定级方法;数据子类或数据字段定级分
为1-4级(见本文件附录B),本文件还明确了数据定级对象的定级
步骤、级别变更及不同级别安全要求。
(七)通用管理安全要求
规范了总体数据安全策略、数据安全管理机构与人员、数据安全
管理制度体系的安全要求,主要技术标准依据相关法律法规、GB/T
37988—2019等。
(八)通用技术安全要求
规范了在技术层面,实现数据分类分级保护、数据安全评估、数
据安全风险监测、数据安全管控、数据