全文共6302個字，建議閱讀10分鐘

數據是信息的載體，數據不是死的，而是在不斷地流動，并產生了巨大的商業價值。對數據而言，開放才有意義，但開放的前提則是安全。由于不同類型的數據，其級別和價值均不同，不能等同視之，應根據數據的重要性、價值指數，予以區別對待，因此數據安全法提出建立數據分類分級保護制度。

數據分類是為了規范化關聯，分級是安全防護的基礎，不同安全級別的數據在不同的活動場景下，安全防護的手段和措施也不同。比如關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據，將實行更加嚴格的管理制度。

分類分級是數據全流程動態保護的基本前提，不僅是數據安全治理的第一步，也是當前數據安全治理的痛點和難點。數據安全建設需要針對數據的收集、存儲、使用、加工、傳輸、公開等各個環節，進行數據安全風險的監測、評估和防護等，需要用到權限管控、數據脫敏、數據加密、審計溯源等多種技術手段。只有做好了數據分類分級工作，才能進行后續數據安全建設。

01 數據分類分級的痛點問題和挑戰1、數據分類面臨的痛點問題和挑戰

1）如何選擇分類維度的問題

對于數據進行分類可以有很多維度，包括基于數據形式和數據內容等。基于數據形式可以按照數據的存儲方式、數據更新頻率、數據所處地理位置、數據量等進行分類；數據內容可以根據數據所涉及的主體、業務維度等多個維度進行分類。不同維度各有價值，如何選擇一個維度對數據進行分類需要考慮數據分類的目的，但很多時候大家都希望通過一個分類維度實現多個目標，或者將兩個分類維度混合進行分類。分類維度的不清晰會導致后續基于分類的很多操作都存在問題。

2）單一分類維度下的類別劃分問題例如，基于內容進行分類的維度，面臨數據可能分類不全、類別不清晰的問題。主要原因是大范圍內的內容分類是一個很復雜的問題，甚至可能涉及知識分類的問題，這在目前還是一個較為難以解決的問題。類別劃分有問題會導致有些數據無法分到一個分類下，而有些數據又同屬于兩個分類。

2、數據分級面臨的痛點問題和挑戰

1）定性到定量的問題針對信息資源的分級，需要根據信息內容確定。目前尚無科學的方法和范式支撐構建信息內容的數學模型，因此很難準確定量地進行數據內容描述。舉個例子，我國目前已有一些針對政務信息資源的安全級別描述，如下表。其中有按損害影響程度進行的數據定級，但沒有關于影響程度定量的描述，所謂針對公民的損害，是造成財產損失還是身體傷害？造成什么量級的財產損失？這樣的描述難以在實際操作過程中給定級的人員準確的依據去判斷政務信息資源屬于哪一個級別。

信息來源：《信息系統安全等級保護定級指南》、《中華人民共和國保守國家秘密法》

2）分級的級數問題在政府部門進行政務信息資源分級時，需要找到一個合適的級數，使得在使用過程中達到效率和安全管控的平衡。過多的分級會給實際使用帶來困難，太少的分級又會使得管控難以準確地約束數據。目前針對不涉密的政務信息資源主要分為非密和內部兩級，但是在實際使用過程中這兩個級別并不能滿足對于數據處理的需求，并不是所有非密的數據都適合讓公眾知曉，也不是所有內部數據都只能政府部門使用，因此將不涉密的的政務信息資源只簡單的分為兩級是不合適的。

3）分級的粒度問題

在進行分級的時候，分級的粒度是影響分級效果的主要因素之一。以什么樣的粒度進行分級才可以既達到分級防護的目的，同時不影響正常的業務仍是一個有待進一步研究明確的問題。政府部門的信息資源涉及各行各業，數據存儲的格式眾多，有文件、表、行列、字段等不同的數據粒度。不同行業中影響信息資源級別的屬性要素也不一，例如地理信息資源地圖的比例尺和所包含的地圖元素是影響信息資源的級別的關鍵因素。

4）分級的有效落實問題有些地方政府專門成立了大數據管理部門，來規范政府部門對信息資源的共享使用，也出臺了相關的數據共享條例、數據安全保障條例等，但是還缺乏完整的流程和環節來完成從數據梳理、數據分類分級到數據存儲保護、數據共享使用。現有的數據使用模式，是以部門為單位，各自負責自己所擁有的數據，因此相應的規章制度更多注重部門內部，缺乏跨部門的數據使用規范。目前相對成熟的跨部門的具體數據規范主要是公安部門的人口庫信息，但是其他部門相對較弱。

5）數據的升降級方法問題

政務信息資源是動態變化的，因此數據會發生合并、摘抄等簡單操作，也會進行分析融合等復雜操作。這些操作會對已經進行了分級的政務信息資源的級別產生變化。而由于政務信息資源眾多，不同部門對信息資源的使用方式、需求粒度都不統一，信息資源的級別發生變化時，人工重新判定的標準難以統一，也無法完全以自動化的方式進行。

02 數據分類概念解析

在數安法和條例（征求意見稿）里都沒有對分類和分級進行定義，在一些標準或指南里也是直接提出分類和分級的方式，但沒有對其進行定義。我梳理了一下有定義的一些標準，有：

標準	相關定義
ISO 15489-1:2016 信息和文檔-記錄管理-第1部分：概念和原則?ISO/DIS 4669 文檔管理-信息分類、標記和處理	classification:?依據邏輯結構約定、方法和過程規則，系統化地對業務活動/記錄/信息資產進行識別和/或安排到類別中
國家標準《GB/T 38667-2020 信息技術-大數據-數據分類指南》	大數據分類big data classification: 根據大數據的屬性或特征,將其按一定的原則和方法進行區分和歸類,并建立起一定的分類體系和排列順序的過程
貴州地方標準《DB 52/T 1123-2016 政府數據-數據分類分級指南》	政府數據分類?government?data categorization:?根據政府數據的屬性或特征，將其按照一定的原則和方法進行區分和歸類，并建立起一定的分類體系和排列順序，以便更好的管理和使用政府數據的過程

綜合以上的定義或表述，可以將數據分類的定義歸納為：根據數據的屬性或特征，按照一定的原則和方法進行區分和歸類，并建立起一定的分類體系和排列順序，以便更好的管理和使用數據的過程。因為數據天然具備不同的屬性和特征，也必然存在不同的管理主體，出于不同的管理目的、基于不同的數據屬性或特征對數據采用不同的分類方法。例如：對于一個打工人的數據來說，有畢業學校及專業、工作部門、戶籍地址等等各種各樣的屬性，出于不同的管理目的，可以用不同的屬性來作為數據管理的主分類方式： 就學校來說：院系、專業、班級等可以作為學生管理數據的一個主分類方式； 就工作單位來說：工作部門的層級（一級部門、二級部門…）可以是員工管理的一個主分類方式； 就社區來說：居住省份、地市、區縣、社區、居委會可以是居住人員管理的一種主分類方式。 因此數據分類一定是以各種各樣的方式并存的，不存在唯一的分類方式，分類方法的采用因管理主體、管理目的、分類屬性或維度的不同而不同。因此，我們在實踐中可以看到各種各樣的分類，例如： 從業務開展使用數據的視角，看到的是數據的業務特征，比如某企業內有研發、制造、銷售、人力資源等部門，大量數據的產生天然就具備業務相關的特征，很自然的數據分類方式就是按業務分類：研發數據、制造數據、銷售數據等等。 從IT部門/數據管理部門視角，關注的不是業務分工，而是數據自身在IT系統里如何承載、管理、呈現，所以有IT/數據管理部門將數據分類為結構化數據、非結構化數據，主數據、交易數據、元數據等。 工信部《工業數據分類分級指南（試行）》里提到的分類方式是：”工業數據分類維度包括但不限于研發數據域（研發設計數據、開發測試數據等）、生產數據域（控制信息、工況狀態、工藝參數、系統日志等）、運維數據域（物流數據、產品售后服務數據等）、管理數據域（系統設備資產信息、客戶與產品信息、產品供應鏈數據、業務統計數據等）、外部數據域（與其他主體共享的數據等）“

在組織內，業務部門有業務部門的數據分類方法，作為安全管理部門來說，數據分類必然也是要服務于安全管理的目的，而最重要的安全管理目的就是能夠指導對數據進行分級，然后基于分級進行相應的安全防護和管控。

03 數據分級概念解析

先看看分級是如何定義或表述的：數據安全法第二十一條　國家建立數據分類分級保護制度，根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。 網絡數據安全管理條例（征求意見稿）第五條 國家建立數據分類分級保護制度。按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度，將數據分為一般數據、重要數據、核心數據，不同級別的數據采取不同的保護措施。 在國家標準《GB/T 25069-2010信息安全技術術語》中，沒有定義信息或數據分級，但有安全分級的定義，其內涵實際上是包括了信息的分級：安全分級（security classification）:根據業務信息和系統服務的重要性和受損影響，確定實施某種程度的保護，并對該保護程度給以命名。依據訪問數據或信息需求，而確定的保護程度，同時賦予相應的保護等級。例：“絕密”、“機密”、“秘密”。 單從分級的定義和表述來看，非常明確，數據分級就是依據數據的重要程度和影響程度進行的，分級的結果就是區分出了不同等級，進而進行不同等級的保護。

但將分類分級放在一起談的時候，就引起了分類和分級之間關系的爭議和分歧。

04 數據分類與數據分級關系看上面引用的關于分類分級的條文，不知是否注意到了一個細節，同樣是在講分類分級保護制度： 數據安全法里第21條的提法是分類分級 而到了網絡數據安全管理條例（征求意見稿）的第5條里，只提了分級而沒提分類 另外，在網絡安全法提到數據保護時，以及個人信息保護法里，都是沒有提分級，只提了分類。 網絡安全法第21條第四款：采取數據分類、重要數據備份和加密等措施 個人信息保護法等51條第二款：對個人信息實行分類管理 可以看到在法律法規、標準指南里有時提分類、有時提分級、有時分類分級并提，這正是對于分類和分級引起困惑和討論的地方。從本文前面的分析得出的結論：分類是根據數據的屬性或特征進行的，也必然存在不同的管理主體，出于不同的管理目的、基于不同的數據屬性或特征對數據進行不同的分類方法。再看一下數據安全法第21條和網絡數據安全條例（征求意見稿）第5條的表述，都提到了依據數據的重要程度和影響程度，重要程度和影響程度正是安全監管部門（對于國家來說）和安全管理部門（對于組織來說）關注的，重要和影響程度是數據的眾多屬性之一，分級的目的是分等級保護和管控。因此，筆者認為可以得出結論：

1. 首先從分類分級的目的和概念上、跳出安全管理范疇站在更高的視角來說： 分類和分級并非簡單并列的關系，分類是外延更廣、應用范圍更廣泛的概念，分類可以有多種依據。 分級是安全管理部門、為了安全保護和管控的目的，依據重要性和影響程度而進行的分類，這種分類結果有等級差異。 其它管理主體、為了其它管理目的、依據其它屬性和特征進行分類是一般意義上的分類，這種分類結果是沒有等級差異的。 換個表達方式說，依據數據的重要性和影響程度進行的分類就是分級，分級是多種分類方式中的一種。 基于上面的認識，當我們默認是在安全保護語境內談論數據安全問題時，分類分級實質上是一回事，安全分類=分級。這或許正是有時講分類、有時講分級、有時合并一起講分類分級，雖然沒有定義，但都知道在說什么的原因。“分級是分類的一種方式”的看法，從DAMA （國際數據管理協會）的DMBOK (DAMA數據管理知識體系）里的表述可以得到印證。DMBOK沒有對數據分類進行定義，但在說明數據分類時表示：任何管理系統都需要對被管理對象進行分類，數據可以依據數據類型 （type of data，例如：事務數據、參考數據、主數據、元數據等）、或數據內容（例如：數據主題領域）、或數據格式、或數據所需的保護級別，也可以依據如何以及哪里保存和訪問數據來分類。 從上面這段話可以看出，DMBOK認為分類可以有多種依據，其中之一就是數據所需的保護級別。DOMBOK說的依據數據所需的保護級別，與前面分析中提到的依據數據的重要性和影響程度實質是一回事，如果實在要說區別，可以說依據重要性和影響程度可以得出所需保護級別。總之，這里的含義就是：依據數據所需保護級別進行分類就是分級，分級是多種分類方式中的一種。既然說安全分類=分級，是否可以只談分類或分級？筆者認為這涉及到另一個視角的問題了。

2. 其次，在安全管理的視角、開展工作層面來說，不論是分類還是分級，目的都只是一個，區分出保護等級。

場景1：在安全管理視角下，只談分類或只談分級，這種場景下的分類默認是安全分類，談分類等于談分級例如在個人信息保護法中，只提出了要對個人信息進行分類管理，雖然沒有明確說如何分類，但實際是分了兩類：一般個人信息、敏感個人信息。從對敏感個人信息的定義上可以看出，本質上是依據對個人影響程度的等級差異，因此這個既是分類，也是分級，其結果也是需要進行分等級的保護和管控。如處理敏感個人信息需要取得個人的單獨同意就是比一般個人信息要求更高的管控；在實踐中，對敏感個人信息通常也會采取比一般個人信息更高等級的安全保護措施，包括更嚴格的訪問控制、加密等。

場景2：在安全管理視角下，將分類和分級視為兩個不同的活動，那么這種場景下分類是過程或方法，分級是結果或目的。例如在美國的國家安全保密信息總統行政令里，對于classification有兩個概念，一個是classification ?categories(分類目錄)，文件中給出了軍事、情報、科技等8個類別；另一個是classification level（分類級別/分級），就是絕密、機密、秘密3個等級。并且明確指出將政府信息列入classified必須滿足的條件之一就是落入8個指定目錄類別中的一個或多個。在這里，分類顯然是分級的一個條件或前置步驟。這8個分類目錄顯然并非是政府信息的目錄類別的全部。比如，在受控非機密信息（CUI，Controlled Unclassified Information）中，信息的分類目錄就有20個大類（如能源、金融等）和125個子類。因此，我認為，從安全管理視角的分類目的是為了方便將業務數據進行分級的一個步驟或過程，其分類和業務的總體分類有很強的相關性，但不一定完全等同。根據數據安全法的要求，各地區、各部門需要制定重要數據目錄，可以認為，這個目錄就是分類目錄。因為后來又出來個核心數據。那么對于組織來說，根據核心數據、重要數據目錄去識別具體的數據是核心數據、重要數據還是一般數據的過程就是定級過程。通信行業行標《YD/T 3751-2020 車聯網信息服務-數據安全技術要求》中，是先將數據分類為基礎屬性類、車輛工況類、環境感知類等以及若干子類，然后每類數據中都再分了一般數據、重要數據、敏感數據三個等級（注，此重要數據非數安法里的重要數據）。對于個人信息保護方面，通信行業行標《YD/T 2781-2014 電信和互聯網服務-用戶個人信息保護-定義及分類》中將用戶個人信息先分為用戶身份證明類信息、用戶數據和服務內容信息、用戶服務相關信息等3大類6子類13細類，然后在《YD/T 2782-2014 電信和互聯網服務-用戶個人信息保護-分級指南》里對每個細類分配給5個不同的敏感等級，比如用戶身份證明細類中的身份證復印件分級為最高的敏感等級5級，用戶級別資料細類中的身份證號分級為到敏感等級4級。

05 總結在當前的研究和實踐中，一般可將數據分為涉密數據、重要數據和個人信息三大類。《數據安全法》著重提到了對重要數據的保護。“國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。”

重要數據有特定的屬性。結合本法對“國家核心數據”的規范，以及《數據安全管理辦法（征求意見稿）》、《重要數據識別指南》等相關標準和制度工作中對“重要數據”的闡述，一般是指：關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據，一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全，例如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等。

<END>