數(shù)據(jù)分類分級(jí)、重要數(shù)據(jù)識(shí)別是開展數(shù)據(jù)安全相關(guān)工作的重要前置事項(xiàng)，目前企業(yè)在實(shí)操過(guò)程中仍然存在困惑與挑戰(zhàn)，比如如何判斷重要數(shù)據(jù)，如何根據(jù)業(yè)務(wù)情況梳理企業(yè)內(nèi)部數(shù)據(jù)以及企業(yè)收集、處理的相關(guān)數(shù)據(jù)，如何對(duì)多源數(shù)據(jù)進(jìn)行分類分級(jí)等。本篇文章將著重介紹數(shù)據(jù)的分類分級(jí)和重要數(shù)據(jù)的識(shí)別。

01國(guó)家數(shù)據(jù)分類分級(jí)保護(hù)制度

我國(guó)數(shù)據(jù)分類分級(jí)保護(hù)制度是由《數(shù)據(jù)安全法》確立的數(shù)據(jù)安全管理制度。《數(shù)據(jù)安全法》第二十一條規(guī)定：“國(guó)家建立數(shù)據(jù)分類分級(jí)保護(hù)制度，根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。”明確了數(shù)據(jù)分類分級(jí)的依據(jù)是數(shù)據(jù)的重要程度以及數(shù)據(jù)安全性遭到破壞時(shí)的危害程度，同時(shí)還提出加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)，對(duì)于核心數(shù)據(jù)實(shí)行更加嚴(yán)格的管理制度。

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見(jiàn)稿）》（以下簡(jiǎn)稱“《條例》”）進(jìn)一步明確了國(guó)家將數(shù)據(jù)分為三級(jí)，分別是一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，對(duì)于不同級(jí)別的數(shù)據(jù)采取不同的保護(hù)措施。同時(shí)條例還規(guī)定了對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)核心數(shù)據(jù)實(shí)行更加嚴(yán)格的保護(hù)。

此外，《個(gè)人信息保護(hù)法》第五十一條也要求個(gè)人信息的處理者對(duì)個(gè)人信息進(jìn)行分類管理，同時(shí)《個(gè)人信息保護(hù)法》對(duì)于敏感個(gè)人信息提出了更嚴(yán)格的要求，目的是實(shí)施不同程度的保護(hù)。

國(guó)家確立數(shù)據(jù)分類分級(jí)保護(hù)制度，主要目的是為了對(duì)數(shù)據(jù)進(jìn)行分類管理和分級(jí)保護(hù)，重點(diǎn)是通過(guò)數(shù)據(jù)分級(jí)厘清保護(hù)重點(diǎn)，對(duì)不同數(shù)據(jù)實(shí)施不同水平的保護(hù)，同時(shí)實(shí)現(xiàn)對(duì)數(shù)據(jù)的監(jiān)管力度差異化。

數(shù)據(jù)分類分級(jí)分為國(guó)家、行業(yè)、企業(yè)三個(gè)層面。從國(guó)家層面來(lái)看，法律和行政法規(guī)中不會(huì)劃定具體的數(shù)據(jù)類別與級(jí)別，但會(huì)有粗粒度的劃分，例如《數(shù)據(jù)安全法》將數(shù)據(jù)分為一般、重要和核心數(shù)據(jù)三級(jí)。針對(duì)數(shù)據(jù)分類，由于不同行業(yè)領(lǐng)域的數(shù)據(jù)差別較大，很難在頂層法律法規(guī)中明確具體的數(shù)據(jù)分類方法，這就需要各行業(yè)和各組織根據(jù)具體情況自行確定。

在行業(yè)層面，行業(yè)主管部門需要制定特定行業(yè)領(lǐng)域的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)規(guī)范或指南，指導(dǎo)企業(yè)在法律框架下開展相關(guān)工作，各個(gè)行業(yè)也可以在國(guó)家規(guī)定的三級(jí)基礎(chǔ)上作進(jìn)一步細(xì)分。

在企業(yè)層面，企業(yè)組織應(yīng)當(dāng)建立起自己的數(shù)據(jù)資產(chǎn)清單、分類分級(jí)制度和標(biāo)準(zhǔn)，需要在國(guó)家和行業(yè)規(guī)定之下，根據(jù)自身的特點(diǎn)進(jìn)行細(xì)化。企業(yè)在對(duì)數(shù)據(jù)定級(jí)時(shí)，在考慮企業(yè)自身合法權(quán)益之外，需兼顧國(guó)家安全、公共利益以及個(gè)人合法權(quán)益，更好地與國(guó)家重點(diǎn)監(jiān)管的內(nèi)容相銜接。

02行業(yè)數(shù)據(jù)分類分級(jí)方法

工信領(lǐng)域

目前工信部已經(jīng)發(fā)布的《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法（試行）》（公開征求意見(jiàn)稿）（以下簡(jiǎn)稱“《辦法》”）對(duì)數(shù)據(jù)的分類分級(jí)已經(jīng)有了相關(guān)規(guī)定。第七條是關(guān)于分類分級(jí)工作的要求，劃分了工信部以及地方監(jiān)管機(jī)構(gòu)部門的職責(zé)，還要求工業(yè)和信息化領(lǐng)域的數(shù)據(jù)處理者應(yīng)當(dāng)定期梳理數(shù)據(jù)，按照相關(guān)標(biāo)準(zhǔn)和規(guī)范識(shí)別出重要數(shù)據(jù)和核心數(shù)據(jù)，并形成目錄，報(bào)監(jiān)管部門備案。第八條是關(guān)于工業(yè)和信息化領(lǐng)域分類分級(jí)方法的粗粒度的規(guī)定，提出數(shù)據(jù)的分類包括但不限于研發(fā)數(shù)據(jù)、生產(chǎn)運(yùn)行數(shù)據(jù)、管理數(shù)據(jù)、運(yùn)維數(shù)據(jù)、業(yè)務(wù)服務(wù)數(shù)據(jù)等。在分級(jí)方面跟《條例》一樣分為三級(jí)，即一般數(shù)據(jù)、重要數(shù)據(jù)和核心數(shù)據(jù)，同時(shí)給予企業(yè)一定的權(quán)力，可以在三級(jí)劃分的基礎(chǔ)上對(duì)數(shù)據(jù)進(jìn)行細(xì)分。

金融領(lǐng)域

金融領(lǐng)域的數(shù)據(jù)分類分級(jí)方法主要體現(xiàn)在《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》(JR/T0197—2020）和《證券期貨業(yè)數(shù)據(jù)分類分級(jí)指引》(JR/T0158-2018)中，前者將數(shù)據(jù)分成客戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營(yíng)管理數(shù)據(jù)三類，客戶數(shù)據(jù)又分為個(gè)人客戶和單位客戶，業(yè)務(wù)數(shù)據(jù)則根據(jù)不同的業(yè)務(wù)線再做細(xì)分，經(jīng)營(yíng)管理數(shù)據(jù)包括營(yíng)銷服務(wù)、運(yùn)營(yíng)管理、技術(shù)管理、綜合管理（員工、財(cái)務(wù)、行政、機(jī)構(gòu)信息）等。

電信領(lǐng)域

《基礎(chǔ)電信企業(yè)數(shù)據(jù)分類分級(jí)方法》(YD/T3813-2020)將電信行業(yè)的數(shù)據(jù)劃分為用戶相關(guān)數(shù)據(jù)與企業(yè)自身相關(guān)數(shù)據(jù)兩大類，并在此之下進(jìn)行細(xì)分。該分類方法可以為互聯(lián)網(wǎng)行業(yè)的數(shù)據(jù)分類分級(jí)提供參考。

汽車領(lǐng)域

在汽車領(lǐng)域目前主要有三個(gè)可參考的標(biāo)準(zhǔn)。《車聯(lián)網(wǎng)信息服務(wù) 數(shù)據(jù)安全技術(shù)要求》(YD/T3751-2020)提供了車聯(lián)網(wǎng)領(lǐng)域數(shù)據(jù)分類分級(jí)的方法；《車聯(lián)網(wǎng)信息服務(wù) 用戶個(gè)人信息保護(hù)要求》(YD/T3746-2020)提供了車聯(lián)網(wǎng)領(lǐng)域個(gè)人信息的分類分級(jí)方法；《信息安全技術(shù) 汽車采集數(shù)據(jù)的安全要求》（征求意見(jiàn)稿）是對(duì)于汽車采集數(shù)據(jù)的初步分類，分為車外數(shù)據(jù)、座艙數(shù)據(jù)、運(yùn)行數(shù)據(jù)、位置軌跡數(shù)據(jù)四類。

工業(yè)領(lǐng)域

《工業(yè)數(shù)據(jù)分類分級(jí)指南（試行）》（工信廳信發(fā)〔2020〕6號(hào)文）是針對(duì)工業(yè)企業(yè)數(shù)據(jù)分類分級(jí)方法的一個(gè)比較粗粒度的指引，同時(shí)企業(yè)也可以參考《智能制造 工業(yè)數(shù)據(jù) 分類原則》（報(bào)批稿），該標(biāo)準(zhǔn)針對(duì)智能制造領(lǐng)域的工業(yè)數(shù)據(jù)提供了數(shù)據(jù)分類的方法。

數(shù)據(jù)分級(jí)方法

數(shù)據(jù)分級(jí)主要考慮到數(shù)據(jù)安全性遭到破壞之后產(chǎn)生的影響，考量因素有兩個(gè)，一個(gè)是影響對(duì)象，另一個(gè)是影響程度。影響對(duì)象一般是三類對(duì)象，分別是國(guó)家安全和社會(huì)公共利益、企業(yè)利益（包括業(yè)務(wù)影響、財(cái)務(wù)影響、聲譽(yù)影響）、用戶利益（用戶財(cái)產(chǎn)、聲譽(yù)、生活狀態(tài)、生理和心理影響）。影響程度需要根據(jù)數(shù)據(jù)類型、特征、來(lái)源與規(guī)模等因素做數(shù)據(jù)安全性遭到破壞以后的安全影響評(píng)估，安全影響評(píng)估除了考慮三類影響對(duì)象外，還需要考慮數(shù)據(jù)的三個(gè)性質(zhì)，包括保密性、完整性和可用性，并分別對(duì)這三性屬性遭到破壞之后的影響程度進(jìn)行評(píng)估。

企業(yè)應(yīng)選取影響程度中的最高影響等級(jí)為該數(shù)據(jù)對(duì)象的重要敏感程度。同時(shí)，數(shù)據(jù)定級(jí)可根據(jù)數(shù)據(jù)的變化進(jìn)行升級(jí)或降級(jí)，例如包括數(shù)據(jù)內(nèi)容發(fā)生變化、數(shù)據(jù)匯聚融合、國(guó)家或行業(yè)主管要求等情況引起的數(shù)據(jù)升降級(jí)。

03數(shù)據(jù)分類分級(jí)的建設(shè)思路

企業(yè)開展數(shù)據(jù)分類分級(jí)工作的流程可以分為4個(gè)步驟：前期準(zhǔn)備、數(shù)據(jù)資產(chǎn)梳理、確定標(biāo)準(zhǔn)、落地實(shí)施。

前期準(zhǔn)備：建立數(shù)據(jù)分類分級(jí)組織保障（牽頭部門、實(shí)施部門）；建立數(shù)據(jù)分類分級(jí)管理制度（涉及的角色、部門及相關(guān)職責(zé)；分類分級(jí)方法和具體要求；分類分級(jí)日常管理流程和操作規(guī)程；結(jié)果的確定、評(píng)審、批準(zhǔn)、發(fā)布和變更機(jī)制）。

數(shù)據(jù)資產(chǎn)梳理：數(shù)據(jù)資源全面識(shí)別和盤點(diǎn)（包括數(shù)據(jù)表、數(shù)據(jù)項(xiàng)、數(shù)據(jù)文件），梳理數(shù)據(jù)基礎(chǔ)信息、數(shù)據(jù)處理情況、數(shù)據(jù)對(duì)外提供情況、安全防護(hù)措施等，形成數(shù)據(jù)資產(chǎn)清單。

確定標(biāo)準(zhǔn)：參考數(shù)據(jù)分類分級(jí)相關(guān)的國(guó)家、行業(yè)標(biāo)準(zhǔn)以及企業(yè)自身的業(yè)務(wù)特點(diǎn)，明確數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)和方法，包括分類方法和分級(jí)方法。

落地實(shí)施：采用人工與技術(shù)手段相結(jié)合的方法，實(shí)現(xiàn)企業(yè)數(shù)據(jù)資源的梳理與分類分級(jí)，并進(jìn)行數(shù)據(jù)分類分級(jí)標(biāo)識(shí)，形成數(shù)據(jù)分類分級(jí)清單，并動(dòng)態(tài)更新維護(hù)。

此外，對(duì)企業(yè)來(lái)說(shuō)，數(shù)據(jù)分類分級(jí)工作量龐大，目前市場(chǎng)上也已經(jīng)有一些自動(dòng)化的工具可以幫助企業(yè)減輕工作量。這類工具的功能包括：

對(duì)企業(yè)的所有數(shù)據(jù)源進(jìn)行掃描，對(duì)IP和端口進(jìn)行掃描，自動(dòng)獲取數(shù)據(jù)庫(kù)信息；

通過(guò)內(nèi)置的規(guī)則去識(shí)別和發(fā)現(xiàn)數(shù)據(jù)，還可以內(nèi)置行業(yè)的分類分級(jí)模板，通過(guò)字段和級(jí)別類別進(jìn)行綁定，實(shí)現(xiàn)自動(dòng)化的分類分級(jí)標(biāo)識(shí)；

通過(guò)內(nèi)置行業(yè)重要數(shù)據(jù)類別和重要數(shù)據(jù)識(shí)別規(guī)則對(duì)重要數(shù)據(jù)進(jìn)行識(shí)別；

數(shù)據(jù)資產(chǎn)清單的導(dǎo)出和結(jié)果展示，包括敏感數(shù)據(jù)占比、敏感數(shù)據(jù)分布、分類分級(jí)總覽等；

04重要數(shù)據(jù)識(shí)別

重要數(shù)據(jù)的識(shí)別是國(guó)家在數(shù)據(jù)安全管理方面的重點(diǎn)工作，從《數(shù)據(jù)安全法》到《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》都要求對(duì)重要數(shù)據(jù)實(shí)行重點(diǎn)保護(hù)，《條例》里面也有一整章的內(nèi)容規(guī)定重要數(shù)據(jù)處理者的義務(wù)。

但是目前對(duì)于重要數(shù)據(jù)的概念還沒(méi)有統(tǒng)一。《條例》里面的重要數(shù)據(jù)是指其安全性遭到破壞以后，可能會(huì)危害國(guó)家安全和公共利益的數(shù)據(jù)，是以影響對(duì)象來(lái)判定其是否屬于重要數(shù)據(jù)。而在正在制定中的《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別規(guī)則》（以下簡(jiǎn)稱“《規(guī)則》”）中重要數(shù)據(jù)是指特定領(lǐng)域、特定群體、特定區(qū)域或達(dá)到一定精度和規(guī)模的數(shù)據(jù)，一旦被泄露或篡改、損毀，可能直接危害國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全（不包括國(guó)家秘密）。

對(duì)于重要數(shù)據(jù)的識(shí)別，國(guó)家制定重要數(shù)據(jù)識(shí)別總體要求（《信息安全技術(shù) 重要數(shù)據(jù)識(shí)別規(guī)則》正在制定），各行業(yè)依據(jù)國(guó)家有關(guān)規(guī)定和標(biāo)準(zhǔn)，制定本行業(yè)重要數(shù)據(jù)管理具體規(guī)定，包括明確重要數(shù)據(jù)識(shí)別細(xì)則。目前在汽車領(lǐng)域已經(jīng)發(fā)布了《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》，里面規(guī)定了汽車領(lǐng)域重要數(shù)據(jù)的5個(gè)類別，電信領(lǐng)域也出臺(tái)了行業(yè)標(biāo)準(zhǔn)《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南》（以下簡(jiǎn)稱“《指南》”）。另外，據(jù)悉，工信部正在制定工業(yè)和電信領(lǐng)域的重要數(shù)據(jù)識(shí)別指南。

重要數(shù)據(jù)處理者的義務(wù)

重要數(shù)據(jù)處理者需要履行一定的義務(wù)，《條例》里面有專門的一章規(guī)定重要數(shù)據(jù)處理者的義務(wù)：要明確數(shù)據(jù)安全負(fù)責(zé)人，成立數(shù)據(jù)安全管理機(jī)構(gòu)；向設(shè)區(qū)的市級(jí)網(wǎng)信部門備案；制定數(shù)據(jù)安全培訓(xùn)計(jì)劃，每年培訓(xùn)時(shí)間不少于20小時(shí)；優(yōu)先采購(gòu)安全可信的網(wǎng)絡(luò)產(chǎn)品和服務(wù)；每年開展一次數(shù)據(jù)安全評(píng)估，并將年度報(bào)告報(bào)市級(jí)網(wǎng)信部門；共享、交易、委托處理重要數(shù)據(jù)，應(yīng)當(dāng)征得市級(jí)及以上主管部門同意；發(fā)生合并、重組、分立等情況的，涉及重要數(shù)據(jù)和一百萬(wàn)人以上個(gè)人信息的，應(yīng)當(dāng)向設(shè)區(qū)的市級(jí)主管部門報(bào)告；處理重要數(shù)據(jù)的系統(tǒng)原則上應(yīng)當(dāng)滿足三級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求；數(shù)據(jù)處理者應(yīng)當(dāng)使用密碼對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行保護(hù)；發(fā)生重要數(shù)據(jù)或者十萬(wàn)人以上數(shù)據(jù)安全事件時(shí)，應(yīng)在8h內(nèi)報(bào)告事件信息，處置完畢5個(gè)工作日內(nèi)提交調(diào)查評(píng)估報(bào)告。

工信部發(fā)布的《辦法》是對(duì)工信領(lǐng)域重要數(shù)據(jù)的要求，在存儲(chǔ)和傳輸?shù)确矫嬗懈鼑?yán)格的要求，也強(qiáng)調(diào)每年開展一次安全評(píng)估并上報(bào)報(bào)告。

重要數(shù)據(jù)的類型

什么類型的數(shù)據(jù)屬于重要數(shù)據(jù)？目前從國(guó)家層面來(lái)看，《重要數(shù)據(jù)識(shí)別規(guī)則》（征求意見(jiàn)稿）列出了一些重要數(shù)據(jù)識(shí)別的因素，如影響國(guó)家主權(quán)、政權(quán)安全、政治制度、意識(shí)形態(tài)安全、領(lǐng)土安全、軍事安全以及經(jīng)濟(jì)安全等的數(shù)據(jù)，重要場(chǎng)所位置的數(shù)據(jù)，關(guān)系到國(guó)家競(jìng)爭(zhēng)力的專業(yè)技術(shù)的數(shù)據(jù)等。

在《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》（征求意見(jiàn)稿）里列舉的重要數(shù)據(jù)包括：出口管制的數(shù)據(jù)，國(guó)家經(jīng)濟(jì)運(yùn)行的數(shù)據(jù)，還有達(dá)到一定規(guī)模的人口、健康、自然資源等數(shù)據(jù)。

從行業(yè)層面來(lái)看，《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》列舉了5類重要數(shù)據(jù)，包括人臉信息、車牌信息等的車外視頻、圖像數(shù)據(jù)以及涉及個(gè)人信息主體超過(guò)10萬(wàn)人的個(gè)人信息等。在金融領(lǐng)域，關(guān)于重要數(shù)據(jù)目前還沒(méi)有明確的規(guī)則，但是在《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》里面提到了一些特征類型的數(shù)據(jù)是值得關(guān)注的，可能構(gòu)成重要數(shù)據(jù)。在基礎(chǔ)電信領(lǐng)域，《基礎(chǔ)電信企業(yè)重要數(shù)據(jù)識(shí)別指南》列舉了一些重要數(shù)據(jù)的示例，主要包括網(wǎng)絡(luò)與系統(tǒng)的建設(shè)與運(yùn)行維護(hù)類數(shù)據(jù)、網(wǎng)絡(luò)安全數(shù)據(jù)以及企業(yè)的管理數(shù)據(jù)（包括重大決策、發(fā)展戰(zhàn)略等）等。在互聯(lián)網(wǎng)領(lǐng)域，暫時(shí)還沒(méi)有關(guān)于重要數(shù)據(jù)的明確規(guī)則或指南，但是需要關(guān)注一些類型的數(shù)據(jù)，包括企業(yè)的重大戰(zhàn)略規(guī)劃、重大事項(xiàng)決策、戰(zhàn)略風(fēng)險(xiǎn)評(píng)估信息等數(shù)據(jù)，以及能夠反映所在領(lǐng)域總體經(jīng)營(yíng)發(fā)展情況的數(shù)據(jù)，預(yù)測(cè)行業(yè)未來(lái)的發(fā)展趨勢(shì)的數(shù)據(jù)，大規(guī)模用戶的網(wǎng)絡(luò)行為分析結(jié)果數(shù)據(jù)，大型企業(yè)的與網(wǎng)絡(luò)規(guī)劃建設(shè)、網(wǎng)絡(luò)運(yùn)維、安全保障相關(guān)的網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)數(shù)據(jù)等。企業(yè)需要持續(xù)關(guān)注自身是否擁有這些數(shù)據(jù)，以便在后續(xù)的合規(guī)過(guò)程中及時(shí)地履行重要數(shù)據(jù)處理者的相關(guān)義務(wù)。