一、引 言

2019 年 10 月，黨的十九屆四中全會通過的《中共中央關于堅持和完善中國特色社會主義制度、推進國家治理體系和治理能力現代化若干重大問題的決定》首次將“數據”作為一類生產要素提出。2020 年 4 月，中共中央、國務院《關于構建更加完善的要素市場化配置體制機制的意見》（以下簡稱“《意見》”）發布，其中就包括“數據”要素的市場化，數據作為土地、勞動力、資本、技術之外第五大生產要素將在國民經濟發展和體制運行中發揮新的巨大作用。在網絡信息時代下，數據不僅是信息自身所包含的具體內容，通過數據呈現出來的應用價值才是隱藏在數據內容背后的真正“寶藏”。要素市場化配置追求的是要素的自由流動和價格發現，目標是使有限的要素配置在最恰當的位置發揮出最優效用。數據流動是數字經濟的血液，而數字經濟說到底是傳統社會經濟在數字信息技術發展帶動下的產物。數據成為新的生產要素，是數字時代社會轉型過程中生產模式和生產力升級變化的必然結果。

然而，社會制度本質上作為一套為了某種社會目的而共同活動所引起的社會關系，由成文的法律法規、行業規則和不成文的道德習慣以及相應的配套設施等組成，具有自身的內部結構和穩定狀態，其在由技術迭代引發的生產力躍進時通常無法靈活調整而呈現出整體滯后性。當前階段，我國數字經濟發展現狀和相應的社會配套制度之間呈現出結構上不相適應、功能上無法協同等問題，由此引發數字侵權、隱私泄露、不正當競爭乃至涉及國家、網絡安全等方面的亂象迭出。

《意見》以及“十四五”規劃綱要中均有關于“完善適用于大數據環境下的數據分類分級保護制度”的內容。2022 年 12 月，中共中央、國務院《關于構建數據基礎制度更好發揮數據要素作用的意見》（以下簡稱“《數據二十條》”）中提出要“建立公共數據、企業數據、個人數據的分類分級確權授權制度”。黨的二十大報告中有“深化要素市場化改革”“強化數據安全保障體系建設”等要求。數字經濟中實現對數據要素的有效利用、充分挖掘數據要素的潛在市場價值，首要任務是明確數據要素的具體類型，對不同等級的數據類型進行體系設定，明確價值目標、具體使用方式和限制等，從而為保障數據安全、整頓數字經濟市場、促進新時代數字經濟體制有序運行提供前提。

二、當前數據要素分類分級管理的模式分析

我國早在 2017 年 6 月開始實施的《網絡安全法》第 21 條明確規定：“國家實行網絡安全等級保護制度”“網絡運營者應當按照網絡安全等級保護制度的要求采取數據分類、重要數據備份和加密等措施”；2021 年 9 月實施的《數據安全法》中有“國家建立數據分類分級保護制度”等規定；2021 年 11 月實施的《個人信息保護法》中也有關于“對個人信息實行分類管理”的規定等。此外，在具體的行業領域內，相繼由不同部門牽頭出臺了若干關于數據分類分級的規范性文件，如中國人民銀行發布的《金融數據安全 數據安全分級指南》（以下簡稱“《金融指南》”）、中國證監會發布的《證券期貨業數據分類分級指引》（以下簡稱“《證券指引》”）、工信部發布的《工業數據分類分級指南》（以下簡稱“《工業指南》”）、國標委發布的《網絡安全標準實踐指南——網絡數據分類分級指引》（以下簡稱“《網安指引》”）《信息安全技術健康醫療數據安全指南》（以下簡稱“《醫療指南》”）、《重要數據識別指南（征求意見稿）》（以下簡稱“《識別指南》”）等。

（一）數據要素的類型劃分及其依據

數據是信息載體。有學者指出，數據分類分級是“通過描述數據的多維度特征和內容敏感程度，為制定數據資源的開放和共享策略提供支撐”?！邦愋汀笔菃蝹€具有相同或類似屬性的個體或元素的集合，類型化思維在學術研究和社會實踐中廣泛存在，是對某一具體事物由大化小、由整體細化為部分從而參與具體實施的必要環節。實際上，與土地、勞動力、資本、技術等概念一樣，“數據”一詞也是一個宏觀性概念，是對所有領域、不同層次數據內容的統稱。從不同的角度，可以對數據進行不同的劃分。

按照表現形式對數據進行劃分，日常應用中可以見到文字數據、圖形數據、圖像數據、音頻數據、視頻數據等不同的呈現形式；按照數據的權益歸屬，可以將數據劃分為個人數據、企業或單位數據、國家數據等類型；按照數據的行業屬性，可以將其劃分為行政數據、司法數據、醫療數據、工業數據、金融數據、地產數據、教育數據等；從計算機專業的角度，可以將數據分為整型、浮點型、邏輯型、字符型等，其中整型又包含字節型（Byte）、長整型（Long）、短整型（Short）等，浮點型包含單浮點型（Float）和雙浮點型（Double）；按照數據的變動特性，可分為靜態數據、動態數據和準靜態數據等等。

同時，對于以上根據不同數據的特征、從不同角度所作的類型劃分，在具體領域或工作中又可根據實踐需要進一步細化，如：《金融指南》中將涉及金融業務的數據信息細分出股東數據信息、管理層數據信息、營銷服務標簽數據信息、企業稅務數據信息等；《證券指引》中將證券期貨市場交易數據信息細分為證券市場交易數據信息、期貨市場交易數據信息、基金交易數據信息、其他衍生品交易數據信息等。

（二）數據要素分級保護的主要原則

數據安全問題的客觀評價離不開現實的技術檢測、分析與評估。所謂對要素數據的分級保護，是在對數據進行橫向分類的基礎上，根據數據內容的重要程度或遭受泄露、侵害后將出現的損害后果大小進行的保護性需求評估，并按照一定的分級原則對分類后的組織數據進行定級。同時，作為生產要素的數據具有流通性，因此對數據流通性的限制應當與數據類型和級別存在相關關系。數據要素分級的直接目的是對不同大、小類型的數據進行重要性程度分析，從而設定相應的流通限制、進行針對性保護，其主要原則可總結如下：

1. 明確性原則

數據分級以實現有效保護為目標，本著明確的原則對不同數據進行等級劃分，首要條件是應當保證分類明確而不模棱兩可。不同數據應當按照明確的劃分標準進行分類，對其確定專屬的名稱，并保證每一等級數據都有清晰的外延，避免類型混同；同時，確保上下等級數據間是嚴格的包含與被包含關系，等級越高外延越大、范圍越宏觀，反之則越小，最低等級的數據應當指向具體的業務內容。

2. 實用性原則

所謂實用性原則，即要求數據分級工作應當以數據保護的實際需要，按照便捷、有效的分級方式對不同類型數據設定級別，它指向數據分級的實踐性。同時，由于具體的工作、業務差異，不同領域、單位所關涉的數據內容各有側重，呈現出明顯的行業屬性。如《金融指南》《證券指引》《工業指南》等就是分別根據各自領域的業務特點和工作內容，具體設定的數據分級體系。

3. 合規性原則

現代意義的合規是在合法基礎之上要求更為具體的規范化模式，前提是在保證不觸犯法律的框架下，追求一致的行業標準，從而提高業務效率。當前，不同領域的行政部門牽頭出臺了各自行業的數據分級指導性文件，目的就是為各領域的行政管理和市場參與主體能夠按照統一的標準和要求，對各自運營過程中所經手的數據進行分類分級，不僅確保數據分級工作的切實推進，更要強調其作為新的行業規范在標準上的一致性和科學性。

4. 開放性原則

數據分類分級是近年來基于數據安全管理的需要而提出的新要求。一方面，當前數據分類分級工作尚處于初步的探索階段，對不同數據內容的性質、內涵和潛在價值認識并不充分；另一方面，隨著互聯網技術、人工智能、數據技術的不斷迭代和升級，新的數據類型仍在出現。在目前的客觀條件下，無法對所有數據徹底羅列，因此更為明智的選擇是保持一種開放的數據分級模式，對新出現或重新認識的數據根據實際需要逐步添加。

（三）當前數據分類分級體系的缺陷性檢視

數據分類分級是數據安全治理的起點，而目前我國對數據安全治理的認識和統籌正處于初始階段，從整體的分類模式、分級體系到規范性文件本身的效力位階等方面，尚存在諸多不足之處。

1. 缺乏橫向統一的數據分類分級安排

就目前階段來看，我國數據分類分級工作開展的依據主要是《網絡安全法》《數據安全法》中對數據分類分級要求的綱領性條款，其中《數據安全法》第 21 條第 3 款更是明確規定：“各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。”循此內容，我國有關部門如中國人民銀行、工信部、國標委等便牽頭在本領域出臺了關涉數據分類分級工作的規范性文件。

然而，這種由各部門根據各自業務需求制定的分級分類標準具有明顯的行業特征。如：《金融指南》在對數據進行分級時遵循“數據資產梳理→安全定級準備→安全級別判定→安全級別審核→安全級別批準”的流程，將數據安全影響程度區分為非常嚴重、嚴重、中等、輕微四個等級，在數據類別上則由五級體系構成，其中第五級指涉具體的業務數據；《證券指引》則是以業務線為參照，在業務分類分級之下確定數據分類分級。盡管不同行業依據各自的分級分類指南可在本領域內實現一定程度的對標，但數據的分級分類作為一個整體的宏觀作業，無法在橫向上統一參照系。如：同樣是關涉客戶或投資人姓名、性別、民族、出生日期、聯系方式、婚姻狀況等個人信息的數據內容，《金融指南》將其數據級別評定為三級；而《證券指引》則評定為四級，且具體的定級標準和級別內涵也存在差異。

即便部分地方政府嘗試在本區域范圍內出臺統一、規范的數據分類分級標準，如 2019 年 11 月上海市經濟和信息化委員會的《上海市公共數據開放分類分級指南（試行）》、2021 年 7 月浙江省市場監督管理局的《數字化改革公共數據分類分級指南》、2022 年 4 月北京市市場監督管理局的《政務數據分級與安全保護規范》、2023 年 6 月四川省依據《全國一體化政務大數據體系建設指南》制定的《政務數據 數據分類分級指南》等。但一方面，這些文件側重于政務管理，主要是出于行政層面的方便，而欠缺對市場生產、要素流通、法律合規等方面的考量；另一方面，在缺乏全國統一性數據要素市場化分類分級安排機制的前提下，地方政府僅立足本區域與地區間的橫向溝通和協調，其數據分類分級的具體標準偏差較大，更容易造成數據市場混亂。

2. 在具體分類分級模式上仍不夠規范

在行業屬性的基礎上，數據分類分級還存在法益價值的衡量標準，因此呈現出形式上的多樣性。前已述及，實用性原則是當前數據分類分級的重要導向。注重實用性價值的原因在于：一方面受我國目前數據分類分級工作的階段性限制、上層建筑的政策引領和底層實踐的具體嘗試同向進行，而中間起著銜接作用的規范性制度文件并不成熟、嚴密；另一方面，由數據分類分級的試驗性工作反向檢驗政策性指南是否科學、合理，便于以某一具體領域內的數據分類分級實踐為模板，推廣拓展從而形成整個制度性框架。

（1）程序機制操作性弱。對數據進行分類分級本質上是一種程序性操作，需要詳細、明確的操作步驟，然而現有規范在具體的分類分級程序上卻顯得十分宏觀。如《證券指引》在業務細分步驟中確定管理主體時，要求“管理主體的確定宜適當，范圍過小可能導致對應業務劃分顆粒度過細，范圍過大可能導致對應業務劃分顆粒度過粗”，然而并未進一步明確具體范圍，導致對管理主體范圍大小難以實際把握。又如《網安指引》對識別的數據類別進行區分標識時，強調要從公共個人、公共管理、信息傳播等不同維度進行，但對公共個人、公共管理、信息傳播等維度的確定卻僅作了原則性規定，并未明確具體識別細節。

（2）實體標準較為模糊。實用性和規范性通常呈負相關關系，實用要求靈活變通而不拘泥于刻板套路，規范則要求因循制度規定及其內在邏輯而避免過度游離。如《金融指南》中關于安全影響評估的規定，盡管將評估層面分為了保密性評估和可用性評估兩大類，但對于具體的評估標準皆無明確性規定，無法通過確切的明文依據來判斷何為“可能造成”的各類損害及其嚴重程度。又如《工業指南》和《識別指南》，前者全文包括總則在內僅有 16 條，字數不足 2000 字；而后者則更為籠統，主體內容僅 3 頁，根本無法對數據分類分級進行具體、明細地規則劃分。

（3）缺少應用場景設定。數字經濟下作為生產要素的數據是流動的，實現數據流動的基礎條件是由數字市場中各領域和各行業的串、并聯。因此，對數據進行有效分類分級應當立足于具體的行業視角、應用場景進行設定。對此，盡管《證券指引》中以業務線嘗試對數據進行分類分級，如將“交易”業務細分為二級子類“交易管理”“結算管理”“機構管理”等，但由于忽視對具體應用場景下的數據類型安排，由此導致對數據的分類分級止于靜態分析，缺乏市場流通視角下對要素化數據的觀察聚焦。

概言之，當前關于數據分類分級的制度性文件在內容上存在規定不細、標準不嚴、規范不清的問題，盡管在宏觀指引上具有一定的方向性、靈活性，但無法提供明確、具體的依據和思路。

3. 相關的規范性文件缺乏強制執行力

根據是否具有強制執行力，可以區分法律和一般的規范性文件。法律作為社會中各類關系的最高調節器，其維系判定結果和系統性目標達成、價值實現的主要保障就是其法律強力，這區別于一般的社會道德、行業準則或團體章程。此外，對于規則制定的機構、程序以及效力范圍等也可進行效力位階上的區分。

（1）法律效力位階較低。就我國目前關涉數據分類分級的規范性文件而言，除了《網絡安全法》《數據安全法》《個人信息保護法》屬于由全國人大常委會通過的狹義上的法律性文件外，中國人民銀行、證監會、工信部、國標委等部門出臺的《金融指南》《證券指引》《工業指南》《網安指引》等，以及部分地方政府出臺的地區數據分類分級指南皆屬于行業標準、政務指引及業務指導性質類文件，不具備法律上的強制力。

（2）文件性質定位軟化。從其名稱即可看出，指南、指引性文件側重于業務上的指導和技術性參考，而非一種硬性的工作要求或命令，且在一定程度上具有試驗性。誠然，這種指導建議式的運行模式與不成熟的外部客觀環境相契合，“摸著石頭過河”的探索過程必然具備各自不確定因素，經驗的積累是日后出臺更為規范、科學規則的必要前提。然而，從另一角度看，由于強制執行力的缺失，文件在具體的落地實施上便無法保證實際效果和實施力度，從而也會折損規范、執行效果。

（3）實際監管機制缺失。線索、監管、執行三者通常是一體化關系，即對于某類管理事項的實施，必然存在特定的管理（監管）主體，通過監管過程發現需要執行的線索情報，進而推進對該事項的執行。正是由于目前對數據分類分級僅處于嘗試階段，且規范性文件法律效力位階低、缺乏強制執行力，由此導致對數據分類分級具體工作開展的實際監管缺位。同時，對數據分類分級實際開展效果監管的不足，又反過來反映、加劇了相關規范性文件的制度軟化。

三、數據要素的分級分類保護的必要性分析

數據分級分類只是一個業務規范和參考標準，重點是實際業務中的管控。換言之，數據分類分級是為了在數據要素的市場流通和應用過程中更好地管控數據，有針對性地保護數據安全，同時兼顧公共安全和市場效益。在數字經濟中，數據要素的流通過程關涉不同的利益主體，由此決定了對數據要素進行分類分級保護的現實必要。

（一）持有者權利：數據確權機制的構建需求

在數據持有者層面，數據權利方不僅包含原始數據的創造者，還涉及數據在后續流轉過程中所歸屬的所有者或持有者。

數據是反映客觀事物屬性的記錄，是信息的具體表現。原始數據創造伊始，存在一個確權的過程。然而，當前數據確權機制還不完善，仍然處在傳統線下環境的授權模式中，無法適應網絡形態下高速增長的數據量。數據在原始生成之后，對于繼受取得，無論是買賣互易，還是贈與、遺贈、繼承等，數據經過合法方式從數據原始所有者到下一任繼受者，繼受者即依法取得相應的數據權利。然而，對于流轉授權的確認，存在同數據生成階段的原始確權類似的問題，即傳統模式下的確權機制與數字確權的實際需求不相適應。

數據生成伊始，其創造者享有天然的法定權利，如作為知識成果的數據內容，根據《著作權法》的規定：“中國公民、法人或者非法人組織的作品，不論是否發表，依照本法享有著作權?！弊鳛閭€人信息的數據內容，根據《個人信息保護法》的規定：“自然人的個人信息受法律保護，任何組織、個人不得侵害自然人的個人信息權益?！睌祿鬓D發生權利轉讓后，法律層面并不缺乏制度上對相關權利方的認定規則，關鍵在于如何從技術上實現切實可行的保護?！稊祿畻l》中提出的數據產權結構性分置，以及在公共數據、企業數據、個人信息數據等方面的具體確權授權，需要建立在對數據進行有效、合理分類分級的基礎上。與互聯網大數據的體量規模相比，能夠參與數據權利保護工作的人力、物力均有限，這決定了數據確權應當具有針對性，具體實施時應以完善、合理的數據分類分級機制為先導，按照數據的重要程度以及受損敏感度，對重要數據及時確權，設計最為嚴格、高效、縝密的授權程序，依次確立不同等級數據的確權模式，從而實現周延、高效、體系化的數據授權。

（二）數據傳播過程：數據交互的安全保護需求

在數據傳播過程中，保障傳輸安全和數據不可篡改、刪除等尤為關鍵。如果說在持有者層面數據是基于“點對點”式的存在形態的話，那么在“點”與“點”之間需要一條“線”來連接，這條“線”便是數據信息的傳輸。

數據傳輸過程的管控應當以技術為抓手，從身份識別、訪問權限、傳輸途徑、加密手段等方面，對數據內容的私密性、原始性、穩定性保駕護航，提升數據安全傳輸能力。就私密性而言，數據應當僅對居于訪問權限的用戶開放，而能有效阻隔其他非權限訪問者，從而防止數據信息泄露；就原始性而言，數據在傳輸過程中應當保持內容的原貌，保證傳輸前的數據內容和傳輸后的內容相一致，從而保證數據內容可靠、真實而不被篡改；就穩定性而言，應當提高數據傳輸硬件系統性能，防止因客觀外部環境的影響而導致傳輸速度、時間、范圍等出現大幅波動。例如，2016 年歐盟《通用數據保護條例》（General Data Protection Regulation，GDPR）和 2018 年歐盟《非個人數據自由流動框架條例》（Free Flow of non-personal Data Regulation，FFDR）分別對個人數據和非個人數據的流動、處理規則等作出了規定，其中就包含相應的技術要求。

然而，就目前來看，無論是添加水印、設置密碼鎖等，均有相應的技術手段可以反向破解。相對而言，“區塊鏈”技術似乎具有一定程度的安全性，但也不是萬無一失，且其技術成本和技術難度不是一般使用者可以匹配的。因此，一方面，研發具有絕對安全性和普適性的數據存儲和原始保持技術十分必要；另一方面，在當前現有的技術條件下，鑒于不同保護技術的適用門檻、成本等因素，針對數據的不同重要、敏感程度而進行區別化對待，有助于充分利用技術資源、實現保護力度的等價供給。

（三）市場規則機制：要素流通的限度安排需求

數據要素的價值在于市場流通。關于數據要素的市場規則機制構建，通常在數據確權和穩定傳輸之后的流轉過程中，應當保證后續包括使用者、所有者等在內的各方利益相關人的法定數據權益不被侵犯，此時對訪問者權限或數據公開范圍進行嚴格設定就成為必然。

然而，數據內容的開放性與流動性之間存在密切關聯。通常，數據的開放程度越高，能夠接觸到數據的用戶就越多，進而數據被傳輸、擴散的可能性就大；反之，則傳輸、擴散可能性越低。加密技術、用戶認證、身份識別等措施在發揮保護數據安全作用的同時，也在一定程度上限制了數據要素的流通潛力，從而壓縮了數據的市場價值效益。因此，數據要素流通的市場規制機制構建，重點在于如何尋求數據安全保護和市場流動之間的最佳平衡點。

在數據使用管控過程中，應該按照各類數據內容的特性、使用方式、關涉主體等進行靈活安排。對于保護級別要求高的數據類型，應當重在強調數據保護；而對于保護級別要求低的數據類型，則應在保證數據內容安全的基礎上促進市場流通、循環，進而創造價值。

（四）公共管理層面：秩序、效益和公民權利的均衡需求

在公共管理秩序上，應當按照數據類型和級別的設定進行有針對性監管?！胺彩浅橄蟮暮陀篮愕恼x沒有使之成為法律的東西，人間就不會有一種權力，能夠使之成為法律?！狈傻纳谟趯嵤欢蛨谭ǘ?，執法隊伍和執法力度是有限的，網絡時代下的數字工作又是一項宏大的統籌性安排。對于數字使用情況的執法監督也要遵循有區別的針對性原則，在數據分類分級基礎上，按照數據內容的類型安排和級別設定，進行靈活、高效地規劃和系統性實施，提高數據執法的精準度和社會效果。

《數據二十條》中就提出，要“合理降低市場主體獲取數據的門檻，增強數據要素共享性、普惠性，激勵創新創業創造”，“形成依法規范、共同參與、各取所需、共享紅利的發展模式”。政府作為公共秩序管理的統籌主體和市場經濟的宏觀調控方，其實踐不僅要求國家層面的系統性政府數據分類分級治理架構和領導機制，從而自上而下地解決政府數據開放分類分級問題，在遵循上位法的前提下為政府數據提供相應的開放利用條件，最大限度滿足公民信息需求，保障公民對公共數據的知悉以及對個人數據使用、處分等合法權利還需要在數字經濟環境下引導傳統行業向數字領域平穩、有序轉型，充分挖掘數據的市場經濟價值，推動數據要素市場化配置，在有效保障數據要素安全的同時不斷促進數字經濟向前發展（見圖 1）。

四、數據要素分類分級管理機制的規范化展開

結合前文關于當前數據分類分級現狀的分析，應當有針對性地對已有經驗進行梳理，從形成整體性的統一標準和具體規則入手，明確數據要素分類分級的綱領性章程，通過流程規范化和責任具體化兩個方面共同推進數據分類分級工作的全面展開。

（一）數據要素分類分級管理的規范立法

法是由事物性質產生出來的必然關系，而這種關系通常由私人關系和公共關系兩大類組成。毫無疑問，數據要素從最初產生到后續的流轉、使用，涉及私人和公共兩個層面的交叉組合。立法作為一個規模性國家行為，其發動通常關涉“動機”和“法則”兩個因素。數據要素的安全及其使用形式的復雜性要求為立法者提供了充足的立法動機，而目前的問題在于法律規則的統一性、規范性和可執行度。

1. 立法模式：在充分論證、考察的基礎上出臺規范性的法律文件

數據分級分類工作不是某一部門或個別領域的任務，涉及全面的社會轉型、生產和行業管理模式的迭代升級，是一個時代性命題，覆蓋面廣。由于缺乏實踐經驗，無法按照從上到下的方式一開始就進行命令式調度。因此，應當遵循由具體行業或業務的反向經驗積累以推動法律出臺的思路，統籌各行業具體的業務內容、工作特點等不斷摸索。具體步驟包括：

（1）通過試驗探索最有效的數據分類分級模式。試驗是經驗積累的前提，實際上前述《金融指南》《證券指引》《網絡指引》等規范性文件皆具有試驗性的實踐意義。由于《網絡安全法》《數據安全法》中對數據分類分級僅有概括性的規定，對于如何進行數據分類分級并沒有具體展開，因此《金融指南》《證券指引》《網絡指引》中的具體制度安排是獨創性的，但又因缺乏上位法的統一規范而各有差異，在對具體領域里數據分類分級實踐的指導上顯得各行其是?！稊祿畻l》中就強調構建數據基礎制度要“積極鼓勵試驗探索”“堅持頂層設計與基層探索結合”，支持“有條件的行業、企業先行先試”等。

（2）通過調研的方式發現新的問題和可操作思路。沒有調查就沒有發言權，調查研究是解決問題的前提和發現矛盾的直接手段。數據分類分級的具體實踐中究竟存在哪些問題，如何更有效、科學、合理地進行類型、等級劃分及其展開實施，部分通過制度試驗可以探明，而調研的過程則是對問題的深入剖析、追蹤問題的來源和根本矛盾所在。

（3）時機成熟時由全國人大常委會出臺針對數據分類分級的專門法律。立法性決定是全國人大常委會立法工作的重要內容，國家的立法活動基于國家治理、社會約束和秩序規范的角度，是在充分必要性的前提下才予開展。針對數據分類分級的法律出臺需要在試驗、調研等前置手段基礎上形成草案文本，進一步經過系統的合憲性、合法性和合理性論證，討論、修改完善后表決通過。

2. 實體立法：統一標準，實現法律標準、業務標準和安全級別相協調

法律的有效實現需要精細化的內容規范，對于數據分類分級的指標、評估、級別設定及層次劃分等，應當作出具體的類型安排及等級認定，而不是僅確定一些籠統的原則或注意性事項，但同時要注意行業區分。對此，在實體立法上可按照“三大類 + 三大級”的思路予以展開。

（1）橫向上實現行業整合，建立數據類型和等級認定的通用標準。當前數據分類分級最明顯的特征是基于實踐性導向下不同領域、行業的指導獨立，而在行業與行業之間實現橫向的標準對接。這種行業間的壁壘性安排盡管是出于試驗期不同領域業務特征而作的臨時性安排，一定程度上能夠滿足實踐靈活性的要求，但法律不是規定某一具體行業或業務的片面制度，而是在適用中的法律應當是一種詳細且明晰的創設行為。因此，法律的發揮應在對數據分類分級作出具體、明確的制度安排時，也能對數字領域這一宏觀任務作出統一、上位的統籌性規劃。具體而言，應當在專用術語上概括出能夠通用的名詞、名稱，如：《金融指南》主要針對的是金融機構及其服務對象，其中的數據分類有金融機構名稱、金融類業務內容、金融服務類型等；而《網絡指引》則側重于網絡管理、服務者及其用戶的數據分類，包括用戶姓名、網絡服務或交易類型等，統一標準時就可以取其上位概念個人姓名、單位名稱、服務或交易類型等，而不必具體到行業屬性。同時，對數據分級也要進行統一定檔，避免不同領域出現等級混亂、交叉的現象。其中，重點內容在于明確“兩頭”，即禁止流通的國家重要數據和完全自由的公共開放數據，“兩頭”之間即是有條件的限制流通數據類型。

一方面，重點領域的數據類型應當在法律文本中予以強調，即所謂的國家“重要數據”，如涉及國防、經濟、政治安全等的數據內容。國家重要數據是數據分類分級制度催生的概念 ，在《網絡安全法》《數據安全法》等規范性文件中均有強調。無論什么領域或行業，一旦涉及國家和社會安全的數據內容，都要作為各領域、行業的最重要、敏感且保護級別最高的數據類型。例如，美國《國家安全信息分類》（Classified National Security Information，CNSI）就將關涉軍事秘密、武器軍工、國防情報、外交關系、核心科技等內容的信息列為國家最高機密數據類型。對于已經確認的重要數據類型，是不允許市場流通的，而僅能在國家相關機關內部數據庫進行有條件保存、傳輸、使用。

另一方面，對于政府或企業需依法公開的數據、公共交通信息、公共資金使用情況、國家法律法規或其他涉及社會公眾利益應當公開的內容等，橫向立法上應當對這些數據類型進行明確規定，允許自由流通，從而避免不合理的數據壟斷，激活數字市場中數據要素的流動活力，同時保障公民對相關數據信息的知情權。

（2）縱向上考量各領域或行業業務的屬性差異，防止“一刀切”。在橫向上明確數據大類以及宏觀等級標準的同時，應當為具體行業或部門數據分類分級的實際操作留出自主裁量空間，允許在法律所作出的數據類型和等級劃分之下，根據不同行業的業務屬性和實際需求進一步細分，從而有利于實現業務標準和數據保護需求的良好對接。

其中，重點內容在于確定國家重要數據和公共開放數據“兩頭”之間有限流通數據的具體類型及等級安排，主要考量依據是不同行業領域及其業務的屬性、內容差異。對此，較為合理的方式是以行業為單位作為第一大類的分類集合，由此進一步縱向展開對數據的等級劃分，在實體立法上可統一規定為三大等級：第一等級數據重要性程度最高，受侵害后危害后果及其影響最大，可將涉及公共或多數群體重大利益、易引發區域性事件、嚴重擾亂數字市場秩序、關涉個人重要信息或重要隱私權益等數據列為第一等級，對此等級數據的使用或轉讓應當實行審批或授權制，對其市場流通進行嚴格把關；第二等級數據重要性程度中等，受侵害后可能造成較大的危害后果，可將涉及公共或多數群體較為重要利益以及對數字市場秩序具有較大關聯、涉及個人較為重要信息或隱私權益等數據列為第二等級，對此等級數據的使用或轉讓應當實施登記或備案制，對其流通及時追蹤和記錄；第三等級數據重要性程度較低，可將關涉個別單位或企業利益、易產生輕微違法事件、關涉個人一般數據信息等數據列為第三等級，對此等級數據則可僅作為企業數據合規的一部分，允許企業進行自主安排，但在出現糾紛或違法事件后需要承擔相關法律或行業責任。

此外，除了行業、業務差異外，對于數據指涉主體或不同主體的數據也可以遵循多種價值取舍而有所區別，如關涉兒童隱私、特殊群體數據等，在上位法的規定范圍內予以特殊保護。

3. 程序立法：強化可行性，規范數據分類分級的具體流程和操作細節

通常而言，重要領域的法律法規不僅有明確的實體性規定，還在相應的程序上進行詳細安排，如《刑事訴訟法》《民事訴訟法》《行政訴訟法》等。有學者指出：“數據分類以‘屬性’為標準，數據分級則以‘后果’為標準?！比欢瑹o論是屬性的確定還是結果的輸出，都需要遵循特定的程序邏輯。

（1）關于數據要素的準確識別。數據作為一種生產要素，具有特定的涵攝外延，并不是一切網絡空間里的內容都可作為生產要素的數據，如《證券指引》就明確劃定了文本適用的數據范圍，即“證券期貨行業經營和管理活動中產生、采集、加工、使用或管理的網絡數據或非網絡數據”。然而，問題就在于如何發現和確認各領域中真正具有生產價值、值得保護的數據，并進行類型劃分。通常而言，橫向上在法律層面可以通過大類型的規定模式確定主要的數據類型，而縱向上各領域在具體生產作業、業務操作上盡可能涵蓋所有具有保護價值的數據內容卻具有一定難度。因此，數據要素的識別同時也是一個業務識別，即根據各行業、部門的工作經驗并在法律規定的數據大類之下確定實際需要保護的數據內容及其類型。

（2）關于數據要素的級別設定。數據要素級別設定是確定各數據類型重要程度、易受侵害敏感程度或受侵害后危害程度的過程。然而，數據的重要程度本質上在于其所關涉的內容，數據本身作為字符或像素等基本因子的組合并不存在客觀上的差異。換言之，數據的重要程度是基于客觀內容上主觀判斷的結果。同時，數據易受侵害程度或受侵害后的危害程度等也難以通過定量試驗加以衡量，根本上也是一個經驗判斷。質言之，數據要素的級別設定是一個“經驗 + 事實”的不精確劃定，而工作的重點就在于在其本身并非定量特性上如何保障精確度最大化。因此，數據要素的級別設定應當遵循價值衡量、經驗判斷、類型對比以及反復檢驗的思路，在確定數據類型集群的基礎上，盡可能精確地對比不同數據類型的需保護程度，進而確定等級劃分。

具體而言，對數據要素的識別和級別設定需注重數據應用的場景化、動態化觀察。數字經濟下數據本質上是一個動態概念，即“流通的數據”，數據只有流通起來才能參與市場循環從而創造經濟價值。正因如此，對數據的識別和認定就無法脫離具體的應用場景，同一內容的數據在不同場景下所發揮的作用及其重要性程度會呈現出差異性。例如：同樣是公民的個人信息，如果僅存儲在公民電腦中則只是一種靜態的原始數據，無法成為生產要素參與循環；而互聯網企業在經過公民許可后將其收集并在法律允許的范圍內作為一種定向商業推廣的信息資源，則便具有了市場價值。同時，若該信息指向的當事人身份或地位特殊，則會又呈現出不同的敏感度和重要性。英國在對數據分類分級的實踐上就比較注重場景化分析，在數據大類上分為商業、國防、教育、環境、政府、健康、城鎮、交通等，并按照級別設定“自上而下”地進一步進行場景化細分。對數據要素的場景化、動態化識別又與具體行業、業務等息息相關，因此，兩者通常需相互結合、并行不悖（見圖 2）。

（二）數據要素分類分級管理的實施過程

數據分類分級管理是推動數據要素化發展工作的重要步驟，也是數據安全治理的重要抓手。數據分類分級工作的實施需遵循嚴格、規范的原則和路徑具體展開。

1. 數據要素分類分級的實踐原則

（1）責任明確。數據要素分類分級制度得到法律確認后，需要具體的執行主體，而該執行主體即對數據分類分級工作整體統籌并全權負責。責任主體的落實意味著數據類型的確認、等級的劃分都有相應的責任部門及其人員專門負責，而不僅僅作為普遍性的工作指導方向、難以具體化。同時，責任明確也是保證數據分類分級任務高質量完成以及事后追責的必要前提。

（2）論證嚴格。當前數據要素的分類分級作為一種嘗試性導向的機制安排，無法從根本上保證制度構建的科學性、合理性，必要的論證過程是提高制度設計完善度的前置性程序。論證的目的主要有兩個方面：一是確保法律合規；二是保證實踐方便。而在這兩個過程中，既要尋求專家、管理者的專業性指導，還要重視具體業務線鏈上實務操作者的意見，從而保證專業標準和實踐標準的雙向契合。

（3）機制聯動。數據分類分級是一個動態的集群歸屬問題，當前面臨的數據亂象概括起來可以表述為：內容混亂、類型交叉、管理失范。這主要是社會轉型下數據工作規劃落后于市場實踐，“有形的手”跟不上“無形的手”而引發的規范性問題。體系性問題不是單一部門、機構能夠獨立解決的，要建立一套各領域協同、上下步調一致的聯動工作機制，發動整體性的力量予以應對。

（4）體系完整。在具體的制度性規范上，應當以法律實施為第一依據。然而，作為上位法的橫向規定，目的是為執行主體在縱向實施上提供統一、明確的權威指引，固然在保證宏觀指導性上也要提供具體、細致的操作流程，但無法觸及具體的業務細節。數據分類分級的體系性保障，需要遵循在法律橫向規定的框架邏輯下實現各行業、領域乃至各部門的規則疏通、契合。

2. 數據要素分類分級的實施路徑

數據要素分類分級工作的實際推動，需要以行業需求為導向，將其融入實際的業務操作中，同時由于分級分類工作尚處于起始階段，反饋、協調機制的構建尤為必要。

（1）授權全國統一的數據合規單位負責整體統籌。數據分類分級及其后續的使用管理是一項基于“數據”這一核心內容的整體性工作，如同行政管理一樣，盡管具體的行政管理任務包括民生、政務、教育、城建、公安等不同方面，但基于行政屬性而同屬于各級行政機關即政府統籌管轄。前文已述及，數據工作是新形勢下為適應網絡數字經濟轉型及社會生活發展而出現的新任務要求，需要實現不同領域、行業、機構從線下到線上數據管理的多層次協調，已超越局部性安排所能統攝的業務范圍。在具體安排上，由于數據分類分級隸屬于數據管理的總任務和目標，且數據管理關涉網絡安全、數據安全乃至國家安全，同時數據作為生產要素參與市場循環亦關聯到國家經濟部門，因此，鑒于工作任務的綜合性、交叉性，應當由各相關部門抽調專門人員組成獨立機構——中央數據合規局，由國家行政機關下轄，實現全國范圍內各領域、地區、行業數據分類分級的整體布局和規劃。

（2）各地區、行業、單位根據實踐需求具體實施。保證數據分級過程規范、合理，必須確定各業務單位負責數據分級工作的特定主體，明確工作流程和責任歸屬，才能將數據分級機制落實到位。一方面，在主體資格上，各行業、單位應當確定直接負責數據分級的工作部門，并對數據分級工作承擔主體責任，同時該專門部門應當與其他各業務部門保持數據對接上的消息暢通和資源共享，確保數據在產生后的第一時間就能得到類型和保護級別上的確認，從而進行相應的針對性保護；另一方面，在具體程序上，保證數據分級過程科學、嚴謹是首要標準，數據分級應當經過嚴格的評估、論證和試驗程序，而評估和論證指標則包括關涉主體、影響范圍、敏感程度等不同因素，嚴格按照各要素之間的主次以及要素之內的性質對比進行數據分級。

（2）各行業、單位內部數據分類分級的協調機制。數據要素之所以產生價值，主要原因是其在市場參與過程中的流動性特征。數據作為一個名詞本身屬于靜止態描述，但作為要素參與市場循環和社會生產而言，其生產價值在于數據流動。由于數據作為一個概念描述，具體參與生產的是各特定類型的數據，而同樣的數據內容在不同場合或應用中所呈現出的作用、功能有時是不同的。因此，對于數據分類分級工作的具體展開，應當與數據要素自身的流動性特征相適應、配合。在具體機制上，應當暢通數據轉換和溝通、反饋渠道，尤其是要關注同種數據在不同應用場合下所表現出的敏感度、保護需求性，以及不同數據在市場參與過程中或具體業務操作流程中的類型轉換，從而能夠及時在數據類型和等級設定上適時進行動態調整，避免機制僵化而與數據保護和生產實踐需求相脫節（見表 1）。

3. 注意性事項

數據保護是數據分類分級工作的重要目標之一。但反過來講，數據分類分級關涉的不僅是數據可保護性問題，還會涉及數據自身的其他性質，如是否屬于個人隱私或商業秘密，以及數據的大小、辨識度和流動性程度等。因此，法律層面上的數據分類分級只是一個立足于宏觀社會管理和法律機制構建的角度進行的大類劃分，以及關涉國家、社會安全等方面的等級設定。而在各領域、行業、地區的市場和制度實踐中，由于行業屬性、地區差異、經營環境等因素，在秩序、安全、市場等維度之外，還應結合數據來源、業務歸屬、交易模式、流通渠道等業務細節有針對性實施。

（三）數據要素分類分級管理的責任承擔

數據分類分級制度的構建目標是要建成合規體制的一部分，而非僅作為一種業務上的輔助性參考、指南而存在，首要任務是落實主體責任，實現責任各方的義務分工，并探索具體可行的構建模式和方法。

1. 數據要素分類分級管理工作的責任主體

（1）行業自治。在具體行業領域內的數據分類分級，一方面作為總體性數據管理工作的下轄分支，另一方面也屬于特定行業內部的具體任務，具有雙重屬性。而作為行業內部的工作任務之一，必然需要遵循行業規范，此時，諸如行業協會、商業聯合組織等主體就應作為行業內部對本領域內數據分類分級工作承擔相應責任，發揮行業規范的內部協調功能，實現數據分類分級與行業規范的高度契合。

（2）企業合規。企業合規是西方商業領域近年來提出的一個概念，英文是“Corporate Compliance”。從積極的層面來看，企業合規是指“企業在經營過程中要遵守法律和遵循規則，并督促員工、第二方以及其他商業合作伙伴依法依規進行經營活動”。毫無疑問，一旦法律確定數據分類分級的基本義務后，企業作為直接接觸、管理數據的社會實體，其合規工作理應將其納入其中并作為重要環節予以把關，具體可由數據合規政策和數據合規管理流程兩大部分組成。

（3）行政監管。無論是行業自治還是企業合規，均具有自主能動性特征，屬于行業或企業內部自身的一種機制紓解，很大程度上取決于行業或企業決策層的主觀意愿，如果缺乏外部硬性的強行機制保障實施，則很難落實到位。因此，作為執法者，在履行行政監管的職責過程中，應當著重對行業或企業數據分類分級工作的開展程度和實際效果進行監督，并對違反法律要求或操作失范的企業進行處罰及引導。

（4）司法處罰。當企業合規上升到司法層面，較為嚴厲的就成了刑事合規，即企業在合規過程中避免相關行為帶來刑事責任的一系列計劃或措施。企業刑事合規本質上是一種企業業務刑事風險預防策略，側重于刑事司法領域的企業自我審查、管理。企業在數據分級分類過程中的操作不當而引發后續的刑事問題將面臨單位刑責。同時，除了刑事領域之外亦不乏關于數據的商業、民事糾紛，這些都需要經過司法機關的司法審判才能最終定奪。

2. 模式構建：法律責任和行業責任相統一

確定了責任主體之后，就要確定具體的責任承擔和分配模式。數據合規具有道德規范與法律規范、“軟法”和“硬法”兩個層次的倫理屬性，行業規則側重于基于行業倫理道德而通過“軟法”的形式對行業內部各主體進行彈性約束，而狹義的法律則作為一種社會治理手段，是通過“硬法”的方式對數據分類分級工作進行強制性規范。

數據分類分級的責任模式應當將“硬法”和“軟法”結合起來，在上位法層次上通過法律的強制性規定予以剛性約束，而在行業領域內同時發揮好行業規則的道德和業務約束。

（1）基于行業發展具體階段激發企業主動性。行業自治作為我國市場經濟運行過程中行業領域內部的自我管理活動，必然要以國家法律為根本框架，行業規則的內容不得與上位法相沖突。企業合規以法律規范和行業規范為依據制定企業自身的合規計劃，既不能違反法律的強行性規定，也需要遵循行業協會的規則以及行業道德要求。行業秩序和企業運營是一個基于法律強制和行業約束下的自主能動過程，其中，行業的整體發展狀況和企業決策領導層的主觀意識至關重要。

對于微觀視角下某一具體行業領域而言，其產生和發展不是一個完全內生的過程，是社會整體背景和科技水平綜合作用的結果。在過去傳統經濟環境下，數據不具有產生經濟價值的客觀土壤，僅僅作為一種靜態的表示符號而存在。在網絡數字技術推動下，數據因其流通而發揮出生產要素的作用，不同數據因重要性程度、敏感度、利害關系性等原因而具有不同的保護需求。同時，行業的整體發展狀況又會對數據分類分級的細節產生反作用，即不同行業領域以及同一行業領域在不同發展階段對數據分類分級的實際需要不同，由此影響法律責任和行業責任的具體契合機制。

而對于特定企業的運營而言，企業決策層尤其是執掌人的價值理念和經營方略會左右企業整體的發展方向。將數據分類分級管理工作落到實處，必然要求得到企業領導層的支持和推動。創新意識是企業家精神的核心內容，數字經濟和數據作為生產要素參與循環，是傳統經濟模式由線下到線上整體轉型的產物，而數據分類分級管理正是順應新的經濟生產模式而出現的體制創新。保障數字經濟和數據流通安全、實現高效針對性的管理，必須區分不同數據類型、明確具體數據的實際保護需求，從而有的放矢、精準配置相應的行業責任，因此應當將其列為到企業家的重點關注事項。

（2）數據分類分級管理失范行為的追責機制。規范強制力是保障數據分類分級管理工作有效實施的外部手段?！败浄ā敝饕揽科髽I領導層的主觀意志推動，其開展效果通常隨企業家意識所左右，具有不穩定性；而“硬法”的實施具備相應的強制執行力，依據既成規定對于違反規則的失范行為進行嚴格追責，通過反向懲戒來達到規范目的。

當行業或企業在其運行過程中出現故意或過失違反數據分類分級規則而造成危害后果的，負責市場監督以及行政執法的機關應當根據行為的性質、嚴重程度、影響范圍等發動相應的行政或移交司法程序，通過行政制裁或司法處罰使得相應的違規違法事項得到法律層面的硬性規制。

同時，法律責任的判定和承擔不是排除行業責任的依據和理由，法律責任和行業責任從根本上說是具體責任承擔的不同層級。行業責任以業內道德和包括企業規定在內的非規范性法律文件為主要依據，依靠行業和企業的內部規定及非法律強制手段督促落實，且存在討價還價的余地；而法律責任一旦生成則意味著法律強制力的配套安排，違法者必須受到成文法的制裁。法律標準是最低的道德標準，在數據分類分級管理過程中，法律責任和行業責任兩者并行統一、不相排斥，共同配合發揮數據合規的責任追究功能。

3. 具體方法：企業合規和業務考核相銜接

企業生產決策是企業在國家規定的權限內對企業的生產目標、行動方案進行分析和選擇 ，企業生產目標的執行歸根結底需要落實到具體的業務上去。數據分類分級成為企業合規的組成內容之后，其具體實現必然也需與企業的業務相結合，從而形成對是否違規、如何違規、違反規定的具體條款、違規程度等事項的具體判斷標準。

法律責任和行業責任的實現，對應到市場經濟實踐中分別為企業合規和業務考核兩個方面。就法律責任而言，判斷企業行為是否合法合規實際上就是考察合規計劃的執行程度和執行效果。企業的實際運營偏離合規計劃過大，自然會出現偏離法律框架的違法行為。一般而言，企業行為的法律契合度與合規計劃的完善程度成正比。而就行業責任而言，行業和企業自身的發展在于市場口碑和主要業務的優劣高低。數據分類分級在法律和行業兩個層次的責任統一，需要具體為合規計劃和企業業務之間的良好銜接。

根據現代企業理論，現行的企業考核機制主要包括績效、基本工作、企業激勵等不同部分，而導向型企業內部存在激勵機制效率低、激勵機制單一等問題。同時，對于大多數國有企業來說，企業業績包括經濟效益和社會效益兩個方面。數據分類分級及其上位的數據合規作為當前市場經濟中企業運營需要重點關注的新內容，具有經濟和社會的雙向戰略意義。因此，在具體實施中，可將數據分類分級的機制安排、工作效率和完善程度等作為員工考核的指標內容，從而提高業務實操中的可行性，將數據分類分級管理執行到實處。

然而，在此過程中需要注意企業責任與員工責任之間的關系和界限。一方面，企業合規計劃的具體落實需要依靠各業務流程中對數據分類分級管理要求的推進和執行，而企業內部業務的開展則必然需要由各責任人員和事項承擔者具體負責。因此，員工在業務操作上對數據分類分級規范的遵守程度，直接影響企業在數據分類分級管理方面的合規程度。另一方面，企業合規計劃的執行程度對企業和員工的直接影響不同。根據企業合規計劃激勵理論，企業合規的作用機制是在企業合規計劃的具體執行和企業法律責任之間建立一種正向促進關系，即若企業事先制定并實際執行了合規計劃，則在發生非主觀故意違法行為時即可阻卻相應的過失責任。反之，則無法阻卻甚至成為一種加重處罰的事由，其中企業合規計劃的完善程度和執行情況則影響責任阻卻的具體效果。因此，企業合規直接影響企業對法律責任的實際承擔。而對于員工個人而言，除領導層對于企業決策、發展等具有決定權的管理者或直接責任人之外，影響普通員工業績考核的主要是其對企業內部所制定的業務指標達成度，通常包括業績量、業務效果、業務質量、客戶滿意度等內容。

概言之，企業是否合規與員工在數據分類分級具體業務上是否達標之間不存在必然聯系，員工以企業內部規定為依據承擔個人業務責任，而企業則是根據法律及相關行政規定、行業規范等承擔法律責任和行業責任。

五、結 語

數據要素市場化是發展數字經濟的關鍵，而數據分類分級則是數據要素市場化配置的前提和基礎。同時，作為保障網絡安全的重要防護手段，數據分類分級也是國家安全戰略的重要組成部分。對數據按照特定標準和流程進行分級，既符合上層建筑的宏觀管理需求，又是數字經濟環境下資源配置的先決條件。只有在數據持有者權利、數據傳播、市場規則、公共管理等不同維度，按照數據內容的類型特征以及保護需求高低進行“上下分層”“行業聯動”的針對性管控設計，才能構建更為周延、系統、完善的全過程保護機制。

就數據要素分類分級管理的規則制定而言，數據分類分級應當從橫、縱兩個向度進行合理安排，既要考慮在法律宏觀層面的統一規范、發揮制度引領的作用，同時也要注意不同行業領域、業務內容的具體差異，兼顧公共安全和市場效益，允許法律框架下根據不同情形的合理細分。在類型劃分上，明確不同數據的表現形式、屬性特征，劃歸不同的數據集群；在級別設定上，從實體和程序上完善定級機制，按照不同類型數據的重要程度、敏感程度等設定安全保護級別。具體可遵循“三大類+三大級”的思路展開：首先，明確“兩頭”，即禁止流通的國家重要數據和完全自由的公共開放數據；其次，“兩頭”之間即是有條件的限制流通數據類型，按照重要性和敏感性程度將其劃分為三個等級，其市場流通性和重要、敏感性程度呈負相關關系，從第一等級數據到第三等級數據流通性逐漸增強。

就數據要素分類分級管理的具體實施而言，應當組建并授權全國統一的數據合規單位，負責數據分類分級工作的整體統籌，且在既定規則范圍內允許各地區、行業、單位根據各自實踐需求靈活調整、具體實施。同時，在具體機制上暢通數據轉換和溝通、反饋渠道，從而確保能夠根據數字市場和數據性質自身的客觀變化而在類型和級別設定上及時調整，避免機制僵化。在責任承擔方面，應當充分發揮行業組織、企業自身、行政部分和司法機關等各自的參與作用，在行業發展的不同階段激發企業家主觀能動性，根據實際需求積極推動數據分類分級管理方面法律責任和行業責任的統一；在具體方法上，將企業合規計劃的執行與企業員工的內部考核相掛鉤，實現從法律法規對企業的外部強制到企業內部規定對員工業績要求的有效轉換，從而促進數據要素分類分級管理工作的具體落實。

來源：上海政法學院學報