數(shù)據(jù)分類分級、重要數(shù)據(jù)識別是開展數(shù)據(jù)安全相關(guān)工作的重要前置事項，目前企業(yè)在實操過程中仍然存在困惑與挑戰(zhàn)，比如如何判斷重要數(shù)據(jù)，如何根據(jù)業(yè)務情況梳理企業(yè)內(nèi)部數(shù)據(jù)以及企業(yè)收集、處理的相關(guān)數(shù)據(jù)，如何對多源數(shù)據(jù)進行分類分級等。本篇文章將著重介紹數(shù)據(jù)的分類分級和重要數(shù)據(jù)的識別。

01國家數(shù)據(jù)分類分級保護制度

我國數(shù)據(jù)分類分級保護制度是由《數(shù)據(jù)安全法》確立的數(shù)據(jù)安全管理制度。《數(shù)據(jù)安全法》第二十一條規(guī)定：“國家建立數(shù)據(jù)分類分級保護制度，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護。”明確了數(shù)據(jù)分類分級的依據(jù)是數(shù)據(jù)的重要程度以及數(shù)據(jù)安全性遭到破壞時的危害程度，同時還提出加強對重要數(shù)據(jù)的保護，對于核心數(shù)據(jù)實行更加嚴格的管理制度。

《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》（以下簡稱“《條例》”）進一步明確了國家將數(shù)據(jù)分為三級，分別是一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，對于不同級別的數(shù)據(jù)采取不同的保護措施。同時條例還規(guī)定了對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行更加嚴格的保護。

此外，《個人信息保護法》第五十一條也要求個人信息的處理者對個人信息進行分類管理，同時《個人信息保護法》對于敏感個人信息提出了更嚴格的要求，目的是實施不同程度的保護。

國家確立數(shù)據(jù)分類分級保護制度，主要目的是為了對數(shù)據(jù)進行分類管理和分級保護，重點是通過數(shù)據(jù)分級厘清保護重點，對不同數(shù)據(jù)實施不同水平的保護，同時實現(xiàn)對數(shù)據(jù)的監(jiān)管力度差異化。

數(shù)據(jù)分類分級分為國家、行業(yè)、企業(yè)三個層面。從國家層面來看，法律和行政法規(guī)中不會劃定具體的數(shù)據(jù)類別與級別，但會有粗粒度的劃分，例如《數(shù)據(jù)安全法》將數(shù)據(jù)分為一般、重要和核心數(shù)據(jù)三級。針對數(shù)據(jù)分類，由于不同行業(yè)領(lǐng)域的數(shù)據(jù)差別較大，很難在頂層法律法規(guī)中明確具體的數(shù)據(jù)分類方法，這就需要各行業(yè)和各組織根據(jù)具體情況自行確定。

在行業(yè)層面，行業(yè)主管部門需要制定特定行業(yè)領(lǐng)域的數(shù)據(jù)分類分級標準規(guī)范或指南，指導企業(yè)在法律框架下開展相關(guān)工作，各個行業(yè)也可以在國家規(guī)定的三級基礎(chǔ)上作進一步細分。

在企業(yè)層面，企業(yè)組織應當建立起自己的數(shù)據(jù)資產(chǎn)清單、分類分級制度和標準，需要在國家和行業(yè)規(guī)定之下，根據(jù)自身的特點進行細化。企業(yè)在對數(shù)據(jù)定級時，在考慮企業(yè)自身合法權(quán)益之外，需兼顧國家安全、公共利益以及個人合法權(quán)益，更好地與國家重點監(jiān)管的內(nèi)容相銜接。

02行業(yè)數(shù)據(jù)分類分級方法

工信領(lǐng)域

目前工信部已經(jīng)發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》（公開征求意見稿）（以下簡稱“《辦法》”）對數(shù)據(jù)的分類分級已經(jīng)有了相關(guān)規(guī)定。第七條是關(guān)于分類分級工作的要求，劃分了工信部以及地方監(jiān)管機構(gòu)部門的職責，還要求工業(yè)和信息化領(lǐng)域的數(shù)據(jù)處理者應當定期梳理數(shù)據(jù)，按照相關(guān)標準和規(guī)范識別出重要數(shù)據(jù)和核心數(shù)據(jù)，并形成目錄，報監(jiān)管部門備案。第八條是關(guān)于工業(yè)和信息化領(lǐng)域分類分級方法的粗粒度的規(guī)定，提出數(shù)據(jù)的分類包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運行數(shù)據(jù)、管理數(shù)據(jù)、運維數(shù)據(jù)、業(yè)務服務數(shù)據(jù)等。在分級方面跟《條例》一樣分為三級，即一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，同時給予企業(yè)一定的權(quán)力，可以在三級劃分的基礎(chǔ)上對數(shù)據(jù)進行細分。

金融領(lǐng)域

金融領(lǐng)域的數(shù)據(jù)分類分級方法主要體現(xiàn)在《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》(JR/T0197—2020）和《證券期貨業(yè)數(shù)據(jù)分類分級指引》(JR/T0158-2018)中，前者將數(shù)據(jù)分成客戶數(shù)據(jù)、業(yè)務數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)三類，客戶數(shù)據(jù)又分為個人客戶和單位客戶，業(yè)務數(shù)據(jù)則根據(jù)不同的業(yè)務線再做細分，經(jīng)營管理數(shù)據(jù)包括營銷服務、運營管理、技術(shù)管理、綜合管理（員工、財務、行政、機構(gòu)信息）等。

電信領(lǐng)域

《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級方法》(YD/T3813-2020)將電信行業(yè)的數(shù)據(jù)劃分為用戶相關(guān)數(shù)據(jù)與企業(yè)自身相關(guān)數(shù)據(jù)兩大類，并在此之下進行細分。該分類方法可以為互聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)分類分級提供參考。

汽車領(lǐng)域

在汽車領(lǐng)域目前主要有三個可參考的標準。《車聯(lián)網(wǎng)信息服務 數(shù)據(jù)安全技術(shù)要求》(YD/T3751-2020)提供了車聯(lián)網(wǎng)領(lǐng)域數(shù)據(jù)分類分級的方法；《車聯(lián)網(wǎng)信息服務 用戶個人信息保護要求》(YD/T3746-2020)提供了車聯(lián)網(wǎng)領(lǐng)域個人信息的分類分級方法；《信息安全技術(shù) 汽車采集數(shù)據(jù)的安全要求》（征求意見稿）是對于汽車采集數(shù)據(jù)的初步分類，分為車外數(shù)據(jù)、座艙數(shù)據(jù)、運行數(shù)據(jù)、位置軌跡數(shù)據(jù)四類。

工業(yè)領(lǐng)域

《工業(yè)數(shù)據(jù)分類分級指南（試行）》（工信廳信發(fā)〔2020〕6號文）是針對工業(yè)企業(yè)數(shù)據(jù)分類分級方法的一個比較粗粒度的指引，同時企業(yè)也可以參考《智能制造 工業(yè)數(shù)據(jù) 分類原則》（報批稿），該標準針對智能制造領(lǐng)域的工業(yè)數(shù)據(jù)提供了數(shù)據(jù)分類的方法。

數(shù)據(jù)分級方法

數(shù)據(jù)分級主要考慮到數(shù)據(jù)安全性遭到破壞之后產(chǎn)生的影響，考量因素有兩個，一個是影響對象，另一個是影響程度。影響對象一般是三類對象，分別是國家安全和社會公共利益、企業(yè)利益（包括業(yè)務影響、財務影響、聲譽影響）、用戶利益（用戶財產(chǎn)、聲譽、生活狀態(tài)、生理和心理影響）。影響程度需要根據(jù)數(shù)據(jù)類型、特征、來源與規(guī)模等因素做數(shù)據(jù)安全性遭到破壞以后的安全影響評估，安全影響評估除了考慮三類影響對象外，還需要考慮數(shù)據(jù)的三個性質(zhì)，包括保密性、完整性和可用性，并分別對這三性屬性遭到破壞之后的影響程度進行評估。

企業(yè)應選取影響程度中的最高影響等級為該數(shù)據(jù)對象的重要敏感程度。同時，數(shù)據(jù)定級可根據(jù)數(shù)據(jù)的變化進行升級或降級，例如包括數(shù)據(jù)內(nèi)容發(fā)生變化、數(shù)據(jù)匯聚融合、國家或行業(yè)主管要求等情況引起的數(shù)據(jù)升降級。

03數(shù)據(jù)分類分級的建設(shè)思路

企業(yè)開展數(shù)據(jù)分類分級工作的流程可以分為4個步驟：前期準備、數(shù)據(jù)資產(chǎn)梳理、確定標準、落地實施。

前期準備：建立數(shù)據(jù)分類分級組織保障（牽頭部門、實施部門）；建立數(shù)據(jù)分類分級管理制度（涉及的角色、部門及相關(guān)職責；分類分級方法和具體要求；分類分級日常管理流程和操作規(guī)程；結(jié)果的確定、評審、批準、發(fā)布和變更機制）。

數(shù)據(jù)資產(chǎn)梳理：數(shù)據(jù)資源全面識別和盤點（包括數(shù)據(jù)表、數(shù)據(jù)項、數(shù)據(jù)文件），梳理數(shù)據(jù)基礎(chǔ)信息、數(shù)據(jù)處理情況、數(shù)據(jù)對外提供情況、安全防護措施等，形成數(shù)據(jù)資產(chǎn)清單。

確定標準：參考數(shù)據(jù)分類分級相關(guān)的國家、行業(yè)標準以及企業(yè)自身的業(yè)務特點，明確數(shù)據(jù)分類分級標準和方法，包括分類方法和分級方法。

落地實施：采用人工與技術(shù)手段相結(jié)合的方法，實現(xiàn)企業(yè)數(shù)據(jù)資源的梳理與分類分級，并進行數(shù)據(jù)分類分級標識，形成數(shù)據(jù)分類分級清單，并動態(tài)更新維護。

此外，對企業(yè)來說，數(shù)據(jù)分類分級工作量龐大，目前市場上也已經(jīng)有一些自動化的工具可以幫助企業(yè)減輕工作量。這類工具的功能包括：

對企業(yè)的所有數(shù)據(jù)源進行掃描，對IP和端口進行掃描，自動獲取數(shù)據(jù)庫信息；

通過內(nèi)置的規(guī)則去識別和發(fā)現(xiàn)數(shù)據(jù)，還可以內(nèi)置行業(yè)的分類分級模板，通過字段和級別類別進行綁定，實現(xiàn)自動化的分類分級標識；

通過內(nèi)置行業(yè)重要數(shù)據(jù)類別和重要數(shù)據(jù)識別規(guī)則對重要數(shù)據(jù)進行識別；

數(shù)據(jù)資產(chǎn)清單的導出和結(jié)果展示，包括敏感數(shù)據(jù)占比、敏感數(shù)據(jù)分布、分類分級總覽等；

04重要數(shù)據(jù)識別

重要數(shù)據(jù)的識別是國家在數(shù)據(jù)安全管理方面的重點工作，從《數(shù)據(jù)安全法》到《網(wǎng)絡數(shù)據(jù)安全管理條例》都要求對重要數(shù)據(jù)實行重點保護，《條例》里面也有一整章的內(nèi)容規(guī)定重要數(shù)據(jù)處理者的義務。

但是目前對于重要數(shù)據(jù)的概念還沒有統(tǒng)一。《條例》里面的重要數(shù)據(jù)是指其安全性遭到破壞以后，可能會危害國家安全和公共利益的數(shù)據(jù)，是以影響對象來判定其是否屬于重要數(shù)據(jù)。而在正在制定中的《信息安全技術(shù) 重要數(shù)據(jù)識別規(guī)則》（以下簡稱“《規(guī)則》”）中重要數(shù)據(jù)是指特定領(lǐng)域、特定群體、特定區(qū)域或達到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全（不包括國家秘密）。

對于重要數(shù)據(jù)的識別，國家制定重要數(shù)據(jù)識別總體要求（《信息安全技術(shù) 重要數(shù)據(jù)識別規(guī)則》正在制定），各行業(yè)依據(jù)國家有關(guān)規(guī)定和標準，制定本行業(yè)重要數(shù)據(jù)管理具體規(guī)定，包括明確重要數(shù)據(jù)識別細則。目前在汽車領(lǐng)域已經(jīng)發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，里面規(guī)定了汽車領(lǐng)域重要數(shù)據(jù)的5個類別，電信領(lǐng)域也出臺了行業(yè)標準《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識別指南》（以下簡稱“《指南》”）。另外，據(jù)悉，工信部正在制定工業(yè)和電信領(lǐng)域的重要數(shù)據(jù)識別指南。

重要數(shù)據(jù)處理者的義務

重要數(shù)據(jù)處理者需要履行一定的義務，《條例》里面有專門的一章規(guī)定重要數(shù)據(jù)處理者的義務：要明確數(shù)據(jù)安全負責人，成立數(shù)據(jù)安全管理機構(gòu)；向設(shè)區(qū)的市級網(wǎng)信部門備案；制定數(shù)據(jù)安全培訓計劃，每年培訓時間不少于20小時；優(yōu)先采購安全可信的網(wǎng)絡產(chǎn)品和服務；每年開展一次數(shù)據(jù)安全評估，并將年度報告報市級網(wǎng)信部門；共享、交易、委托處理重要數(shù)據(jù)，應當征得市級及以上主管部門同意；發(fā)生合并、重組、分立等情況的，涉及重要數(shù)據(jù)和一百萬人以上個人信息的，應當向設(shè)區(qū)的市級主管部門報告；處理重要數(shù)據(jù)的系統(tǒng)原則上應當滿足三級以上網(wǎng)絡安全等級保護和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護要求；數(shù)據(jù)處理者應當使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進行保護；發(fā)生重要數(shù)據(jù)或者十萬人以上數(shù)據(jù)安全事件時，應在8h內(nèi)報告事件信息，處置完畢5個工作日內(nèi)提交調(diào)查評估報告。

工信部發(fā)布的《辦法》是對工信領(lǐng)域重要數(shù)據(jù)的要求，在存儲和傳輸?shù)确矫嬗懈鼑栏竦囊螅矎娬{(diào)每年開展一次安全評估并上報報告。

重要數(shù)據(jù)的類型

什么類型的數(shù)據(jù)屬于重要數(shù)據(jù)？目前從國家層面來看，《重要數(shù)據(jù)識別規(guī)則》（征求意見稿）列出了一些重要數(shù)據(jù)識別的因素，如影響國家主權(quán)、政權(quán)安全、政治制度、意識形態(tài)安全、領(lǐng)土安全、軍事安全以及經(jīng)濟安全等的數(shù)據(jù)，重要場所位置的數(shù)據(jù)，關(guān)系到國家競爭力的專業(yè)技術(shù)的數(shù)據(jù)等。

在《網(wǎng)絡數(shù)據(jù)安全管理條例》（征求意見稿）里列舉的重要數(shù)據(jù)包括：出口管制的數(shù)據(jù)，國家經(jīng)濟運行的數(shù)據(jù)，還有達到一定規(guī)模的人口、健康、自然資源等數(shù)據(jù)。

從行業(yè)層面來看，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》列舉了5類重要數(shù)據(jù)，包括人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)以及涉及個人信息主體超過10萬人的個人信息等。在金融領(lǐng)域，關(guān)于重要數(shù)據(jù)目前還沒有明確的規(guī)則，但是在《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》里面提到了一些特征類型的數(shù)據(jù)是值得關(guān)注的，可能構(gòu)成重要數(shù)據(jù)。在基礎(chǔ)電信領(lǐng)域，《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識別指南》列舉了一些重要數(shù)據(jù)的示例，主要包括網(wǎng)絡與系統(tǒng)的建設(shè)與運行維護類數(shù)據(jù)、網(wǎng)絡安全數(shù)據(jù)以及企業(yè)的管理數(shù)據(jù)（包括重大決策、發(fā)展戰(zhàn)略等）等。在互聯(lián)網(wǎng)領(lǐng)域，暫時還沒有關(guān)于重要數(shù)據(jù)的明確規(guī)則或指南，但是需要關(guān)注一些類型的數(shù)據(jù)，包括企業(yè)的重大戰(zhàn)略規(guī)劃、重大事項決策、戰(zhàn)略風險評估信息等數(shù)據(jù)，以及能夠反映所在領(lǐng)域總體經(jīng)營發(fā)展情況的數(shù)據(jù)，預測行業(yè)未來的發(fā)展趨勢的數(shù)據(jù)，大規(guī)模用戶的網(wǎng)絡行為分析結(jié)果數(shù)據(jù)，大型企業(yè)的與網(wǎng)絡規(guī)劃建設(shè)、網(wǎng)絡運維、安全保障相關(guān)的網(wǎng)絡設(shè)施和信息系統(tǒng)數(shù)據(jù)等。企業(yè)需要持續(xù)關(guān)注自身是否擁有這些數(shù)據(jù)，以便在后續(xù)的合規(guī)過程中及時地履行重要數(shù)據(jù)處理者的相關(guān)義務。