数据识别和数据分级分类（数据安全之数据分类分级管理）

1. 前言

《数据安全法》已于2021年9月1日起正式施行，与《网络安全法》《个人信息保护法》共同构成我国网络安全领域的三大基础性法律。《数据安全法》的施行，标志着我国以数据安全保障数据开发利用和产业发展全面进入法治化轨道。

“第二十一条　国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。”

《数据安全法》落实的首要问题就是数据分类分级管理。数据应用在不断发展创新，粗放式“一刀切”管理会带来严峻的数据安全挑战，过度保护又不利于数据应用的健康发展，所以数据分类分级保护成为必然选择的策略。通过对数据进行分类分级，实现数据资源的精细化管理和保护，既能避免“一刀切”带来的问题，又能确保数据应用和数据保护的有效平衡。

2. 国家标准

2022年9月，全国信息安全标准化技术委员会发布了《信息安全技术网络数据分类分级要求（征求意见稿）》。该标准旨在支撑《中华人民共和国数据安全法》第二十一条提出的数据分类分级保护制度的贯彻落实，解决由于缺乏国家统一的数据分类分级规则，导致相关国家数据安全制度、数据分类分级保护要求不易落地的问题。该标准阐述了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等内容。

该标准根据数据的重要程度和造成的影响程度，将数据从高到低分为核心、重要、一般三个级别。

2.1. 核心数据

满足以下任一条件的数据，可考虑确定为核心数据：

1) 数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能直接对国家安全造成特别严重危害（如直接影响政治安全）或严重危害（如关系国家安全重点领域）；

2) 数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能直接对经济运行造成特别严重危害（如关系国民经济命脉）；

3) 数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能直接对社会稳定造成特别严重危害（如关系重要民生）；

4) 数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能直接对公共利益造成特别严重危害（如关系重大公共利益）；

5) 对领域、群体或区域具有较高覆盖度，可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益的重要数据；

6) 达到较高精度、较大规模或一定深度，可能直接影响政治安全、国家安全重点领域、国民经济命脉、重要民生、重大公共利益的重要数据；

7) 经有关部门评估确定的核心数据。

2.2. 重要数据

满足以下任一条件的数据，可考虑确定为重要数据：

1) 数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能直接对国家安全造成一般危害；

2) 数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能直接对经济运行造成严重危害或一般危害；

3) 数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能直接对社会稳定造成严重危害；

4) 数据一旦被泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能直接对公共利益造成严重危害（如危害公共健康和安全）；

5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域；

6) 数据达到一定精度、规模或深度，可能直接影响国家安全、经济运行、社会稳定、公共健康和安全；

7) 经行业领域主管（监管）部门评估确定的重要数据。

2.3. 一般数据

满足以下任一条件的数据，可定级为一般数据：

1) 数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用、非法共享，仅可能对社会稳定造成一般危害；

2) 数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用、非法共享，仅可能对公共利益造成一般危害；

3) 数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用、非法共享，仅影响组织合法权益；

4) 数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用、非法共享，仅影响公民合法权益；

5) 经国家有关部门、各行业各领域主管（监管）部门和各地区、各部门等评估，均未被确定为核心数据和重要数据的数据。

3. 金融行业标准

2020年9月，全国金融标准化技术委员会发布了《JR/T0197—2020金融数据安全数据安全分级指南》。为落实中共中央、国务院加强数据资源整合和安全保护相关工作要求，指导金融业机构合理开展金融数据安全定级工作，有效落实金融数据生命周期全过程安全管理策略，进一步提高金融业数据管理和安全防护水平，确保金融数据的安全应用，编制该标准。

该标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5级、4级、3级、2级、1级，一般具有如下特征：

3.1. 5级数据

5级数据特征如下：

1) 重要数据，通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。

2) 数据安全性遭到破坏后，对国家安全造成影响，或对公众权益造成严重影响。

3.2. 4级数据

4级数据特征如下：

1) 数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。

2) 个人金融信息中的C3类信息。

3) 数据安全性遭到破坏后，对公众权益造成一般影响，或对个人隐私或企业合法权益造成严重影响，但不影响国家安全。

3.3. 3级数据

3级数据特征如下：

1) 数据用于金融业机构关键或重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。

2) 个人金融信息中的C2类信息。

3) 数据的安全性遭到破坏后，对公众权益造成轻微影响，或对个人隐私或企业合法权益造成一般影响，但不影响国家安全。

3.4. 2级数据

2级数据特征如下：

1) 数据用于金融业机构一般业务使用，一般针对受限对象公开，通常为内部管理且不宜广泛公开的数据。

2) 个人金融信息中的C1类信息。

3) 数据的安全性遭到破坏后，对个人隐私或企业合法权益造成轻微影响，但不影响国家安全、公众权益。

3.5. 1级数据

1级数据特征如下：

1) 数据一般可被公开或可被公众获知、使用。

2) 个人金融信息主体主动公开的信息。

3) 数据的安全性遭到破坏后，可能对个人隐私或企业合法权益不造成影响，或仅造成微弱影响但不影响国家安全、公众权益。

4. 电信行业标准

2020年12月，中国通信标准化协会发布了《YD/T 3813-2020 基础电信企业数据分类分级方法》。该标准规定了基础电信企业数据分类分级原则、数据分类工作流程和方法，数据分级方法，并给出基础电信企业数据分类分级示例。

该标准按照数据对象的重要敏感程度，将基础电信企业网络数据资源分为四个安全级别，其对应的安全要求逐级递减，分别为第四级、第三级、第二级和第一级。

4.1. 第四级数据

第四级数据特征如下：

一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成特别严重影响的数据，安全管控要求最高；

4.2. 第三级数据

第三级数据特征如下：

一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成严重影响的数据，应实施较强的安全管控；

4.3. 第二级数据

第二级数据特征如下：

一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成一定程度影响的数据，执行基本的安全管控；

4.4. 第一级数据

第一级数据特征如下：

一旦丢失、泄露、被篡改、被损毁对国家安全、社会公共利益或企业利益或用户利益造成影响较小或无影响的数据，对安全管控不作要求。

5. 总结

经过对当前已发布的有关数据分类分级标准的分析可以看出，数据分级的因素基本都是数据自身重要性和造成的影响度。安全级别数量从3-5个等级不定，等级越多意味着管理颗粒度就越细。

笔者建议企业组织应以《信息安全技术网络数据分类分级要求（征求意见稿）》为主要参考，制定本组织的数据分类准则，开展数据分级工作，建立数据的分类分级清单，制定数据分级保护策略。

建立数据安全分级准则初期，建议分为三个安全等级。安全等级过多，又无法匹配不同等级的控制措施，数据分级就变得没有价值了。

,