《中華人民共和國數據安全法(草案)》公開征求意見：數據分級分類正式入法

陳興躍

一、數據安全立法恰逢其時

人類社會已經邁入數字經濟時代，數據在社會經濟中的重要性越來越凸顯。數據是新的生產要素，是國家基礎性和戰略性資源。數據安全問題影響國家發展與安全，關系公眾利益，也與公民個人權益密切相關，需要在法律層面對數據的安全保護作出規范。

數據作為特殊的生產資料和市場要素，其價值體現需要經過數據的流動，即對數據的流轉、分享、加工和使用，數據在流動的過程中被交易、加工和使用，數據價值由此得以體現，并且隨著數據的加工和使用，數據價值將被不斷挖掘和放大。

2020年6月28日，《中華人民共和國數據安全法（草案）》（以下簡稱“《數據安全法（草案）》”）初次提請十三屆全國人大常委會第二十次會議審議。7月3日，《數據安全法（草案）》在中國人大網公布，公開征求意見。《數據安全法（草案）》中體現了維護數據安全和促進數據開發利用并重的立法思想，這也體現了對數據要素內在特性的科學認知。數據安全是數據產業健康發展前提和基本保障，既要避免過于僵化的“一管就死”，數據喪失了流動性就無法產生價值，也就無法發揮市場要素的作用，也要避免盲目的“一放就亂”，對數據不進行分級分類，缺失針對性的管理制度與技術手段而導致巨大的安全風險。在《數據安全法（草案）》中首次對數據的分級分類保護做出明確要求，這對于指導和落實數據安全保護工作具有重要意義。

二、如何實施數據分級分類

針對數據要素充分發揮價值必須要流動這一特性，需要在數據采集、數據傳輸、數據存儲、數據處理（包括清洗、計算、分析、可視化等）、數據交換、數據銷毀等數據全生命周期中關注并切實落實安全保障。數據的分級分類管理是實施數據全生命周期安全保護的重要基礎。只有在科學、規范的分級分類管理基礎上，才能夠有效地平衡數據的安全要求與使用需求，才能夠較好地實現數據的風險管理成本與利用效益的平衡，從而為數據產業的快速健康、可持續發展奠定堅實基礎。

接下來，探討數據分級分類的基本方法。

《數據安全法（草案）》第十九條明確了數據分級分類的基本標準：

① 數據在經濟社會發展中的重要程度；

② 數據在遭到篡改、破壞、泄露或者非法獲取、非法利用后造成的危害程度。

數據分類主要依據是根據“關系”，從業務角度出發，在組織（企事業單位、政府部門等）理清數據家底后，理解數據的本質、屬性、權屬及其相關關系，清晰了解各個數據是如何被使用的，明確哪些數據屬于哪個業務范疇，也就是類別。數據分類是按照數據資產管理形式，對數據進行劃分。數據分類常用的維度有：監管與合規、業務體系、功能單元、項目等。分類的覆蓋范圍需要與業務范疇相一致。分類的顆粒度要適合，不能太粗放而導致部分數據不能準確歸類，因而達不到精細管理的要求，也不能過于細微而導致出現無數據可進行歸類的情況，另外，分類還有考慮到業務的發展性，能夠進行擴展或兼容未來的新數據。

數據分級主要依據是根據“特征”，是從數據安全、隱私保護和合規要求的角度進行分級。常用的數據分級方法有：根據數據使用過程中的敏感程度對數據進行分級，例如根據數據泄露或被破壞所造成的影響范圍、影響對象、影響程度來進行劃分；根據數據的關鍵性程度對數據進行分級，例如根據數據對業務的重要程度進行劃分；根據數據的司法管轄要求對數據進行分級，依據國內外相關法律的要求進行劃分，例如歐盟通用數據保護條例（GDPR，General Data Protection Regulation）對于任何收集、傳輸、保留或處理涉及到歐盟所有成員國內的個人信息的機構組織均提出規范要求，我國對中國公民個人信息的跨境流動也做了規范要求。敏感程度不同的數據在內部使用時受到的保護策略不同，對外共享開放的程度也有差異。對于涉密數據，遵循國家相關法規標準進行分級和管理。

對數據分級要先梳理敏感數據域，在常見的梳理方法中，會將敏感數據域劃分為公共敏感數據域（法律角度）、行業敏感數據域（行業規范角度）、組織敏感數據域（內部規范角度）。公共敏感數據域和行業敏感數據域的定義可參考相關法規和標準，對組織敏感數據域的梳理工作就需要依靠參與人員對業務系統的理解，如果已經具備了元數據（Metadata）管理的工作基礎與能力，這將大幅度提升敏感數據域梳理工作的效率和準確性。

數據分級分類覆蓋的數據范圍包括：結構化數據（例如數據庫）、非結構化數據（例如文檔、電子郵件、圖片、聲音、影像等）、半結構化數據（例如日志文件、XML文檔、JSON文檔、Email等），在物理形態上包括電子化數據和非電子化數據。本文主要針對電子化數據。

數據分級分類工作的主要實施步驟：

1. 確定數據管理責任。

2. 創建數據分類清單。

3. 定義數據分級標準。

4. 評估數據安全風險。

5. 制定分級控制策略。

6. 建立數據分級目錄。

7. 啟動安全控制措施。

8. 持續監控和運營維護。

數據分級分類管理應當是一項持續性工作，可納入數據及數據資產運營管理的范疇。隨著數據量的增長、數據域的擴展，以及伴隨著業務發展的數據使用場景和復雜度的增加，數據分級分類需按照業務發展需求和法規標準的要求進行適時調整。

需要特別指出的是，數據分級分類管理絕不只是為了滿足合規需求，同時也是組織業務運營的要求。數據分級分類管理是提升組織自身信息化水平和業務運營能力的有效手段，契合組織業務特性的數據分類可以更好地將數據資產化，為組織業務發展提供精準、高效的數據能力支撐；同時數據分級明確了各個級別數據的使用范圍、管理方式，以及不同級別的數據在不同場景采取何種安全策略，從而在數據安全角度為組織業務保駕護航。

三、結語

隨著大數據技術的快速推廣，并與云計算、物聯網、5G等新技術融合發展，數據集中成為大趨勢。數據集中伴隨著安全風險的聚集，一方面，數據集中后數據本身的價值得到大幅度提升，不法分子有更大的潛在利益誘惑對數據進行泄露、盜取、篡改、破壞。

另一方面，對于集中的重要數據，如果由于管理制度不完善、技術手段薄弱、組織安全意識薄弱等內部因素而導致的數據泄露、損毀、丟失等事故，必將對關鍵系統與核心業務的穩定、安全運行產生巨大負面影響，并引發嚴重損失。而與國計民生、國家戰略資源及核心能力等密切相關的數據資料或資產則關系到國家安全與發展。數據安全保護在個人生命財產與數字權益保護、社會組織機構網絡安全保障、網絡空間主權與國家安全這三個層面將扮演更重要的角色。

希望《中華人民共和國數據安全法》能順利通過審議盡快頒布，大力強化全民數據安全保護意識，推動國家數據安全監管能力和企事業單位數據安全防護能力的提升，大幅減少個人信息、重要數據安全事件，為我國數字經濟快速健康發展提供強有力的支撐！