交通運輸行業標準《交通運輸數據安全分級和保護要求》解讀
交通運輸部于2024年11月8日批準發布了推薦性行業標準《交通運輸數據安全分級和保護要求》(JT/T 1522—2024),自2025年3月1日起實行。
一、制定背景
研究制定綜合交通運輸數據分類分級標準規范是《推進綜合交通運輸大數據發展行動綱要(2020-2025年》提出的一項重要任務。開展數據安全管理不能對所有數據都采用“一刀切”式的允許或者禁止使用,而是要對數據進行區分管理,劃清不同敏感級別數據的界限,針對性地提出相應級別的安全保護要求。因此,為貫徹落實國家和部數據安全要求,提升行業數據安全管理水平,交通運輸部組織相關單位開展了行業標準《交通運輸數據安全分級和保護要求》的制定工作。
二、標準的定位和作用
本標準規定了公路水路交通運輸數據安全分級和數據保護的要求,適用于公路水路交通運輸數據處理者開展非涉密數據的安全分級和保護。
本標準是解決當前行業貫徹國家有關要求、實施數據分級保護迫切需要的標準,能夠為行業各級數據處理部門在數據安全管理過程中開展數據分級和數據分級保護提供指導和參考,幫助其了解數據分級方法,指導分級保護落地實施,從而有效解決數據分級保護沒有依據的難題。標準的出臺實施,能夠提升行業數據安全治理和數據資產防護能力,推動數據資源充分利用和安全管理的有效平衡,對交通運輸行業數據安全有序利用具有重要的現實意義。
三、標準主要內容
(一)數據安全分級要求
1.分級原則
根據數據安全相關法律法規要求,遵照數據分級管理和保護的思路,同時結合數據不斷變化和流通的實際情況,本標準提出邊界清晰、就高從嚴、綜合研判和適時調整四項數據安全分級原則。
2. 分級級別
在確定分級原則后,本標準首先明確分級級別,提出三個基本級別,即一般數據、重要數據、核心數據。由于交通運輸數據具有涵蓋范圍廣、覆蓋領域多等特點,且絕大多數數據屬于一般數據級別,按照上述基本框架的粗獷劃分方式還遠不能滿足行業數據安全精細化保護需求,因此考慮一般數據進一步進行分級。
3. 分級要素和安全風險分析
本標準則結合行業數據特點和實際分級需求,將國家標準中提出的規模、精度和深度作為分級要素,在要素分析基礎上再進行安全風險的綜合分析,進而確定數據安全級別。
本標準提出了采用定性定量相結合方式,綜合判定數據一旦遭到泄露、篡改、毀損、非法使用或共享所危害的對象及危害的程度的安全風險分析方法,并對安全風險進行了詳細描述,提出了判斷危害國家安全、經濟運行、社會穩定、公共健康和安全程度的具體指標。
4. 分級方法
基于分級要素和安全風險分析,本標準形成了基本分級規則和一般數據細化分級規則,明確了各級別與安全風險的判定關系,最終形成對照表格,確保分級的科學性適用性。
(1)基本分級規則
按照核心數據、重要數據和一般數據的定義,本標準將一旦遭到泄露、篡改、毀損、非法使用或共享,對國家安全產生嚴重危害的數據判定為核心數據;對國家安全產生輕微危害,對經濟運行、社會穩定、公共健康和安全產生嚴重危害的數據判定為重要數據;其余數據為一般數據。
(2)一般數據分級
本標準依據國家標準,借鑒其他行業數據分級實踐,統籌考慮數據分層級安全防護策略的可實施性,選擇將一般數據級別劃分明確為1、2、3三個級別。
(3)重要數據和核心數據分級
有關法律法規和國家標準都未提出對重要數據和核心數據進一步分級的要求,考慮交通運輸行業的重要數據和核心數據種類不多,無需進一步分級管理,本標準不再對其細分。
(4)個人信息分級規則
本標準參照國家個人信息保護的法律和標準要求對個人信息分級提出了更詳細的參考規則,并在相應附錄中給出個人信息的識別方法、個人信息舉例、個人信息分級示例等。
5. 數據分級工作開展步驟
本標準制定了數據分級工作的開展步驟,首先明確數據分級對象,接下來識別重要數據,不屬于重要數據的判定為一般數據并進一步分級,接著在識別的重要數據基礎上進一步識別核心數據,屬于核心數據的判定為核心數據,不屬于核心數據的判定為重要數據。
6. 數據級別適時調整
隨著數據規模、時效性等因素變化的影響,數據級別應當重新確定,因此本標準對數據分級提出適時調整要求,給出了應對數據級別進行適時調整的七類情形。
(二)數據保護要求
1. 保護原則
本標準在提出數據安全分級方法后,圍繞數據處理全流程的各個關鍵階段,進一步提出差異化的數據保護要求,依據數據安全級別采用分級保護思路,保護措施貫穿數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等數據處理過程環節。
2. 管理制度
按照數據安全法,本標準將數據處理全過程劃分為數據收集、存儲、使用、加工、傳輸、提供、公開和刪除,提出將數據安全分級防護要求貫穿至數據處理全過程各環節的保護要求。針對不同安全級別的數據,數據處理者應依據相應的法規制度建立必要的安全管理制度、審批制度、應急處置制度。
3.分級保護要求
數據的安全保護在滿足保護原則和管理制度要求的前提下,還要滿足數據安全級別對的分級保護要求,本標準將保護的等級對應數據安全級別劃分為5級,由低到高依次為:“一般1級數據保護要求”、“一般2級數據保護要求”、“一般3級數據保護要求”、“重要數據保護要求”以及“核心數據保護要求”,每一級要求都是在上一級要求之上層層“加碼”,以指導相關部門在實際工作中快速定位不同級別、不同階段的數據安全保護具體要求。
四、實施注意事項。
因為行業標準《交通運輸信息資源目錄體系 第4部分: 公路水路信息資源分類》(JT/T 747.4—2020)和《交通運輸部辦公廳關于印發<公路水路交通運輸數據分類分級指南>的通知》(交辦科技〔2022〕44號)都對數據分類做了規定,本標準中只規定了數據安全分級和保護要求。因此,本標準實施過程中,與上述兩個文件配套使用。
文稿編纂:交通運輸部科學研究院 王濤
文稿審核:交通運輸信息通信及導航標準化技術委員會 田士海