数据分类分级和重要数据识别

数据分类分级、重要数据识别是开展数据安全相关工作的重要前置事项，目前企业在实操过程中仍然存在困惑与挑战，比如如何判断重要数据，如何根据业务情况梳理企业内部数据以及企业收集、处理的相关数据，如何对多源数据进行分类分级等。本篇文章将着重介绍数据的分类分级和重要数据的识别。

01国家数据分类分级保护制度

我国数据分类分级保护制度是由《数据安全法》确立的数据安全管理制度。《数据安全法》第二十一条规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。”明确了数据分类分级的依据是数据的重要程度以及数据安全性遭到破坏时的危害程度，同时还提出加强对重要数据的保护，对于核心数据实行更加严格的管理制度。

《网络数据安全管理条例（征求意见稿）》（以下简称“《条例》”）进一步明确了国家将数据分为三级，分别是一般数据、重要数据和核心数据，对于不同级别的数据采取不同的保护措施。同时条例还规定了对个人信息和重要数据进行重点保护，对核心数据实行更加严格的保护。

此外，《个人信息保护法》第五十一条也要求个人信息的处理者对个人信息进行分类管理，同时《个人信息保护法》对于敏感个人信息提出了更严格的要求，目的是实施不同程度的保护。

国家确立数据分类分级保护制度，主要目的是为了对数据进行分类管理和分级保护，重点是通过数据分级厘清保护重点，对不同数据实施不同水平的保护，同时实现对数据的监管力度差异化。

数据分类分级分为国家、行业、企业三个层面。从国家层面来看，法律和行政法规中不会划定具体的数据类别与级别，但会有粗粒度的划分，例如《数据安全法》将数据分为一般、重要和核心数据三级。针对数据分类，由于不同行业领域的数据差别较大，很难在顶层法律法规中明确具体的数据分类方法，这就需要各行业和各组织根据具体情况自行确定。

在行业层面，行业主管部门需要制定特定行业领域的数据分类分级标准规范或指南，指导企业在法律框架下开展相关工作，各个行业也可以在国家规定的三级基础上作进一步细分。

在企业层面，企业组织应当建立起自己的数据资产清单、分类分级制度和标准，需要在国家和行业规定之下，根据自身的特点进行细化。企业在对数据定级时，在考虑企业自身合法权益之外，需兼顾国家安全、公共利益以及个人合法权益，更好地与国家重点监管的内容相衔接。

02行业数据分类分级方法

工信领域

目前工信部已经发布的《工业和信息化领域数据安全管理办法（试行）》（公开征求意见稿）（以下简称“《办法》”）对数据的分类分级已经有了相关规定。第七条是关于分类分级工作的要求，划分了工信部以及地方监管机构部门的职责，还要求工业和信息化领域的数据处理者应当定期梳理数据，按照相关标准和规范识别出重要数据和核心数据，并形成目录，报监管部门备案。第八条是关于工业和信息化领域分类分级方法的粗粒度的规定，提出数据的分类包括但不限于研发数据、生产运行数据、管理数据、运维数据、业务服务数据等。在分级方面跟《条例》一样分为三级，即一般数据、重要数据和核心数据，同时给予企业一定的权力，可以在三级划分的基础上对数据进行细分。

金融领域

金融领域的数据分类分级方法主要体现在《金融数据安全 数据安全分级指南》(JR/T0197—2020）和《证券期货业数据分类分级指引》(JR/T0158-2018)中，前者将数据分成客户数据、业务数据、经营管理数据三类，客户数据又分为个人客户和单位客户，业务数据则根据不同的业务线再做细分，经营管理数据包括营销服务、运营管理、技术管理、综合管理（员工、财务、行政、机构信息）等。

电信领域

《基础电信企业数据分类分级方法》(YD/T3813-2020)将电信行业的数据划分为用户相关数据与企业自身相关数据两大类，并在此之下进行细分。该分类方法可以为互联网行业的数据分类分级提供参考。

汽车领域

在汽车领域目前主要有三个可参考的标准。《车联网信息服务 数据安全技术要求》(YD/T3751-2020)提供了车联网领域数据分类分级的方法；《车联网信息服务 用户个人信息保护要求》(YD/T3746-2020)提供了车联网领域个人信息的分类分级方法；《信息安全技术 汽车采集数据的安全要求》（征求意见稿）是对于汽车采集数据的初步分类，分为车外数据、座舱数据、运行数据、位置轨迹数据四类。

工业领域

《工业数据分类分级指南（试行）》（工信厅信发〔2020〕6号文）是针对工业企业数据分类分级方法的一个比较粗粒度的指引，同时企业也可以参考《智能制造 工业数据 分类原则》（报批稿），该标准针对智能制造领域的工业数据提供了数据分类的方法。

数据分级方法

数据分级主要考虑到数据安全性遭到破坏之后产生的影响，考量因素有两个，一个是影响对象，另一个是影响程度。影响对象一般是三类对象，分别是国家安全和社会公共利益、企业利益（包括业务影响、财务影响、声誉影响）、用户利益（用户财产、声誉、生活状态、生理和心理影响）。影响程度需要根据数据类型、特征、来源与规模等因素做数据安全性遭到破坏以后的安全影响评估，安全影响评估除了考虑三类影响对象外，还需要考虑数据的三个性质，包括保密性、完整性和可用性，并分别对这三性属性遭到破坏之后的影响程度进行评估。

企业应选取影响程度中的最高影响等级为该数据对象的重要敏感程度。同时，数据定级可根据数据的变化进行升级或降级，例如包括数据内容发生变化、数据汇聚融合、国家或行业主管要求等情况引起的数据升降级。

03数据分类分级的建设思路

企业开展数据分类分级工作的流程可以分为4个步骤：前期准备、数据资产梳理、确定标准、落地实施。

前期准备：建立数据分类分级组织保障（牵头部门、实施部门）；建立数据分类分级管理制度（涉及的角色、部门及相关职责；分类分级方法和具体要求；分类分级日常管理流程和操作规程；结果的确定、评审、批准、发布和变更机制）。

数据资产梳理：数据资源全面识别和盘点（包括数据表、数据项、数据文件），梳理数据基础信息、数据处理情况、数据对外提供情况、安全防护措施等，形成数据资产清单。

确定标准：参考数据分类分级相关的国家、行业标准以及企业自身的业务特点，明确数据分类分级标准和方法，包括分类方法和分级方法。

落地实施：采用人工与技术手段相结合的方法，实现企业数据资源的梳理与分类分级，并进行数据分类分级标识，形成数据分类分级清单，并动态更新维护。

此外，对企业来说，数据分类分级工作量庞大，目前市场上也已经有一些自动化的工具可以帮助企业减轻工作量。这类工具的功能包括：

对企业的所有数据源进行扫描，对IP和端口进行扫描，自动获取数据库信息；

通过内置的规则去识别和发现数据，还可以内置行业的分类分级模板，通过字段和级别类别进行绑定，实现自动化的分类分级标识；

通过内置行业重要数据类别和重要数据识别规则对重要数据进行识别；

数据资产清单的导出和结果展示，包括敏感数据占比、敏感数据分布、分类分级总览等；

04重要数据识别

重要数据的识别是国家在数据安全管理方面的重点工作，从《数据安全法》到《网络数据安全管理条例》都要求对重要数据实行重点保护，《条例》里面也有一整章的内容规定重要数据处理者的义务。

但是目前对于重要数据的概念还没有统一。《条例》里面的重要数据是指其安全性遭到破坏以后，可能会危害国家安全和公共利益的数据，是以影响对象来判定其是否属于重要数据。而在正在制定中的《信息安全技术 重要数据识别规则》（以下简称“《规则》”）中重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全（不包括国家秘密）。

对于重要数据的识别，国家制定重要数据识别总体要求（《信息安全技术 重要数据识别规则》正在制定），各行业依据国家有关规定和标准，制定本行业重要数据管理具体规定，包括明确重要数据识别细则。目前在汽车领域已经发布了《汽车数据安全管理若干规定（试行）》，里面规定了汽车领域重要数据的5个类别，电信领域也出台了行业标准《基础电信企业重要数据识别指南》（以下简称“《指南》”）。另外，据悉，工信部正在制定工业和电信领域的重要数据识别指南。

重要数据处理者的义务

重要数据处理者需要履行一定的义务，《条例》里面有专门的一章规定重要数据处理者的义务：要明确数据安全负责人，成立数据安全管理机构；向设区的市级网信部门备案；制定数据安全培训计划，每年培训时间不少于20小时；优先采购安全可信的网络产品和服务；每年开展一次数据安全评估，并将年度报告报市级网信部门；共享、交易、委托处理重要数据，应当征得市级及以上主管部门同意；发生合并、重组、分立等情况的，涉及重要数据和一百万人以上个人信息的，应当向设区的市级主管部门报告；处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求；数据处理者应当使用密码对重要数据和核心数据进行保护；发生重要数据或者十万人以上数据安全事件时，应在8h内报告事件信息，处置完毕5个工作日内提交调查评估报告。

工信部发布的《办法》是对工信领域重要数据的要求，在存储和传输等方面有更严格的要求，也强调每年开展一次安全评估并上报报告。

重要数据的类型

什么类型的数据属于重要数据？目前从国家层面来看，《重要数据识别规则》（征求意见稿）列出了一些重要数据识别的因素，如影响国家主权、政权安全、政治制度、意识形态安全、领土安全、军事安全以及经济安全等的数据，重要场所位置的数据，关系到国家竞争力的专业技术的数据等。

在《网络数据安全管理条例》（征求意见稿）里列举的重要数据包括：出口管制的数据，国家经济运行的数据，还有达到一定规模的人口、健康、自然资源等数据。

从行业层面来看，《汽车数据安全管理若干规定（试行）》列举了5类重要数据，包括人脸信息、车牌信息等的车外视频、图像数据以及涉及个人信息主体超过10万人的个人信息等。在金融领域，关于重要数据目前还没有明确的规则，但是在《金融数据安全 数据安全分级指南》里面提到了一些特征类型的数据是值得关注的，可能构成重要数据。在基础电信领域，《基础电信企业重要数据识别指南》列举了一些重要数据的示例，主要包括网络与系统的建设与运行维护类数据、网络安全数据以及企业的管理数据（包括重大决策、发展战略等）等。在互联网领域，暂时还没有关于重要数据的明确规则或指南，但是需要关注一些类型的数据，包括企业的重大战略规划、重大事项决策、战略风险评估信息等数据，以及能够反映所在领域总体经营发展情况的数据，预测行业未来的发展趋势的数据，大规模用户的网络行为分析结果数据，大型企业的与网络规划建设、网络运维、安全保障相关的网络设施和信息系统数据等。企业需要持续关注自身是否拥有这些数据，以便在后续的合规过程中及时地履行重要数据处理者的相关义务。