簡析《數據安全法》中的數據分類分級保護制度

劉威揚

[摘? 要]《數據安全法》自2021年9月施行以來受到國內各企事業單位的高度關注，承擔了“以安全保發展、以發展促安全”的重要任務。針對數據這一非傳統領域的國家安全風險與挑戰提出了很多規制政策設計。其中“數據分類分級保護制度”便是極其重要的一項制度設計，而不論是法律行政法規還是部門規章，均只提出了建立數據分類分級保護制度的要求卻沒有提出具體可操作的規定或指引。只有正確理解數據的國家利益與社會公共利益價值，針對不同形式或內容的數據分別以敏感性為基礎進行量化定級區別對待，才能理解該制度的意義，發揮制度作用，維護國家安全、數據主權和社會公共利益。

[關鍵詞]數據分類分級;制度設計;設計原則;國際影響

中圖分類號：F49? ? ? ? ? ?文獻標識碼：A? ? ? ? ? ?文章編號：1674-1722（2022）01-0085-03

2021年6月10日，習近平簽署第八十四號中國人民共和國主席令：“《中華人民共和國數據安全法》已由中華人民共和國第十三屆全國人民代表大會常務委員會第二十九次會議通過，現予公布，自2021年9月1日起施行。”因其與《網絡安全法》同屬《國家安全法》的下位法，其立法目的應當符合總體國家安全觀的整體要求，即維護國家安全、數據主權和社會公共利益，促進數據經濟和數據開放共享機制體制的健康發展。

從調整范圍上來看，“數據”安全應當包括但不限于“電子數據”安全、“網絡大數據”安全，任何同樣與國家利益、社會利益密切相關的數據都應該被納入到《數據安全法》的調整范圍。換言之，只要數據足夠重要，數據實際承載了國家安全利益信息、社會公共利益信息，就要以行業為剛、數據類型為要，同時保持靈活的思路對相關數據的敏感程度和行為進行科學合理的規范。《數據安全法》第二十一條：“國家建立數據分類分級保護制度”，就是旨在明確數據分類分級的框架，厘清一般數據、重要數據和核心數據之間的關系，即后一級要比前一級施以更加嚴格的管理。

但到底什么是數據分類分級保護制度，如何對數據進行分類分級，又怎樣逐漸嚴格的管理，正是筆者希望弄清的重要問題。

一、數據分類分級保護制度的內涵

分類分級的思想早在網絡和信息系統的安全治理工作之中就已經存在。“信息安全等級保護制度”早在網安法出臺之前就已經作為基本制度在國家信息安全保障的體系中發揮作用。新時代背景下《數據安全法》中的數據分類分級保護制度必須適應新環境，發揮新作用。《數據安全法》中對數據進行分類分級的主體是國家，這種自上而下的制度設計要求國家根據數據的價值以及可能造成的危害后果來展開分類分級工作。

需要注意的是，當前我國法律、行政法規甚至規章都只是提出了對數據分類分級管理的要求，而沒有提出具體可落實的分類分級方案。但在國家部委發布的指引性文件、國家和行業標準層面可以看到一些嘗試或方案。如工業和信息化部對工業數據提出了分類和分級的標準，在分類方面提出了“工業企業工業數據分類維度包括但不限于研發數據域、生產數據域、運維數據域、管理數據域、外部數據域”。在分級方面根據可能造成的危害后果——“可能對工業生產、經濟效益等帶來的潛在影響”分為三級。證監會也曾出臺過《證券期貨業數據分類分級指引》，推薦以業務條線出發，對業務細分，再對數據細分，形成從總到分的樹型邏輯體系結構。總的來說，就是要依據自身業務特點對產生、采集、加工、使用或管理的數據進行分類[1]。

總而言之，從分類角度來看，數據分類是數據資產管理的第一步，就是把相同屬性或特征的數據歸集在一起，形成不同的類別，方便人們通過類別來對數據進行的查詢、識別、管理、保護和使用。對于數據進行分類可以有很多維度，包括基于數據形式和數據內容等。基于數據形式可以按照數據的存儲方式、數據更新頻率、數據所處地理位置、數據量等進行分類;數據內容可以根據數據所涉及的主體、業務維度等多個維度進行分類。

從分級角度來看，數據分類是根據數據的敏感程度和數據遭到篡改、破壞、泄露或非法利用后對受害者的影響程度，按照一定的原則和方法進行定義。數據分級更多是從安全合規性要求、數據保護要求的角度出發的，因此稱之為數據敏感度分級似乎更為貼切，換言之就是從數據敏感維度進行分類。

數據的分級和分類其實是一條流水線上的上下游關系，沒有明確的分類根本無從對數據的進行量化定級。因此，我們在數據安全治理或數據資產管理領域，都是將數據的分類和分級放在一起制定制度設計，統稱為數據分類分級。

二、數據分類分級保護制度的意義

《數據安全法》的出臺是為了國家更有效地管理數據資源，如前文所述數據分類是數據管理的第一步，如果企業不對數據進行分類分級，就談不上數據治理和數據保護，甚至都不清楚企業到底有哪些數據，更別說要了解哪些是敏感數據，以及他們都存儲在什么位置。具而言之，數據分類分級的重要性體現在以下幾個方面。

1.數據查詢、管理和保護。數據分類通過提供一定的原則和流程來識別和標記企業的數據，明確數據的位置并對其敏感度進行識別定義，支持企業對數據的查詢、管理或實施保護。

2.提高數據安全，滿足合規要求。通過數據分類分級，方便企業對數據實施保護措施來降低數據的泄露風險，加強對數據隱私的保護，主要體現在：控制敏感數據的訪問，從而使數據安全更有效;了解不同類型數據的重要性，以便制定相應的保護措施和技術;根據不同的監管或法規要求，妥善處理敏感數據。

3.提升業務運營效率，降低業務風險。從數據的創建到銷毀，數據分類分級可以幫助企業確保有效地管理、保護、存儲和使用數據資產，賦能業務運營，提升運營效率，降低業務風險;更好地管理企業所有的數據資產，最大化共享和利用數據。

此外，放眼全球，美國依據數據立法基本圍繞如何增強本國企業和控制企業的能力。歐盟近年來以市場作為政策施力點，要求所有面向歐盟提供產品或服務的實體均應受到歐盟的約束，以此對控制重要數據的跨國公司施加有效的規制[2]。可見數據分類分級雖然主要服務于境內的數據安全管理工作需要，但同時也能在構建我國“外向型”數據主權戰略之中發揮重要作用。

1.對于國家主權、安全和發展利益至關重要的數據，經過分類分級和列入“重要數據目錄”，便可以獲得包括數據跨境流動規則等更高標準的安全保護。

2.在目前已經開展的自貿區試驗中，出于實現更高水平的開放和融合的目標，賦予部分自貿試驗區根據自身的產業結構、主要的商貿目的地、技術合作對象等因素，動態調整國家層面出臺的“重要數據目錄”的權力，發揮跨境規則、人才、資金等方面優勢，取得特色產業集中落地的效果。

3.為服務我國“一帶一路”倡議的實施，我國可以基于“一帶一路”國家的實際情況，根據政治外交、商貿合作、人文交流等因素，制定面向不同國家的“重要數據目錄”，有針對性地調適數據出境的范圍寬窄和出境規則的松緊，以此取得對外合作的戰略目標[3]。

三、構建數據分類分級保護制度

數據分類是一個系統的復雜工程，應當依據一些原則，遵循一定方法，從以下幾個維度進行分類。

1.數據分類分級的原則。（1）科學性原則。應按照數據多維度特征和邏輯關聯進行科學系統化的分類，且分類規則應相對穩定，不宜經常變更。（2）適用性原則。不應設置無意義的類目或級別，分類分級結果應符合普遍認知。（3）靈活性原則。支持各部門在歸集和共享數據前，按照業務所需完成數據分類分級工作。（4）MECE原則。MECE（Mutually Exclusiv Collectively Exhaustive）的核心是“相互獨立，完全窮盡”，簡單來說，第一，所有的數據都得涵蓋，不能遺留;第二，分類之間不允許重復和交叉;第三，同一級次分類的維度要統一，顆粒度要一致。

2.數據分類的方法。不同的組織、不同的業務場景，數據的分類方式也不同。因此，為滿足企業不同的業務需要，可能需要建立多套數據分類體系。但無論如何應當以一定的關鍵詞作為標準錨點進行分類，以及關鍵性、可用性、敏感性、完整性、合規性。在對組織數據進行充分摸底后，根據數據管理和使用的要求，從業務出發進行類別的劃分。

3.數據分類的維度。（1）數據管理維度。根據數據的一些客觀屬性進行分類，便于數據管理機構對數據進行管理，便于數據管理系統的規劃。（2）數據應用維度。根據數據內容的固有屬性進行分類，便于數據理解和應用。（3）數據所涉及的對象維度。對數據內容的理解的維度，不過更偏向于支撐便于數據權屬分析和數據安全管理。

數據分級是從數據安全、隱私保護和合規的角度來對數據的敏感程度進行等級劃分。整體來看，建議在數據分類的基礎上，根據某類數據的安全屬性，集合數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用時，對國家安全、公共利益或者公民、組織合法權益造成的危害程度，結合自身組織情況將數據分為4到5個安全保護級別。

《數據安全法》以目錄形式針對重要數據提出了更為嚴格和明確的保護制度，并明確國家數據安全工作協調機制，統籌協調有關部門制定重要數據目錄。同時，以數據分類分級制度為基礎，各地區、各部門還應當確定本地區、本部門以及相關行業、領域的重要數據具體目錄。此外，為了實現國家和各地區、各部門之間在重要數據目錄上的統一管理，應當先由國家層面確定重要數據的整體目錄及標準，再由各地區、各部門根據國家層面的目錄確定相關行業、領域的重要數據目錄，以實現監管的一致性和協調性。重要數據的保護要求要強于一般數據類型。重要數據處理者除了要遵守所有針對一般數據規定的保護要求之外，還應當遵守以下針對性規定：一是明確數據安全負責人和管理機構，重要數據處理者應當在其內部作出明確的責任劃分，落實數據安全保護責任;二是進行風險評估，重要數據處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。三是遵守跨境數據流動管理要求，《數據安全法》對重要數據的跨境數據流動管理進行了補充和完善，在《網絡安全法》第三十七條基礎之上，規定“其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。”核心數據要實行更加嚴格的管理制度[4]。

《數據安全法》要求對“關系國家安全、國民經濟命脈、重要民生、重大公共利益等”國家核心數據實行更加嚴格的管理制度。對于違反國家核心數據管理制度，危害國家主權、安全和發展利益的，有關部門最高可處一千萬元的罰款，并根據情況施以責令暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等處罰;構成犯罪的，依法追究刑事責任。根據《數據安全法》的規定可以看出，核心數據位于數據分類分級制度的頂端，相比重要數據來說具有更高敏感性和關鍵性，在重要數據保護措施之上實行更加嚴格的管理制度。

四、數據分類分級保護的建議

數據分類分級工作作為數據分類分級保護制度的基礎和核心，不僅是數據安全治理的第一步，也是當前數據安全治理的痛點和難點。《數據安全法》出臺之后，數據分類分級具體保護要求的落實有待出臺更加細化的配套規定。

一是要明確具體的數據分類分級標準。當前，行業和地方已經開展數據分級分類的探索和實踐。例如，行業層面的《工業數據分類分級》《證券期貨業數據分類分級》《金融數據安全數據安全分級指南》等，地方層面的《貴州省地方標準政府數據數據分類分級指南》《上海市公共數據開放分級分類指南（試行）》等都對公共數據的分級分類做了規定。但整體來看，數據如何分級分類、應當歸為哪幾類、分級標準如何確定等基礎架構在國家層面還未明確。

二是更加細化落實重要數據保護要求的配套規定。什么是重要數據以及如何識別重要數據一直是落實相關要求的關鍵，也是迄今為止重要數據研究工作的焦點。2021年5月27日，國務院辦公廳發布的《國務院2021年度立法工作計劃》中明確將《數據安全管理條例》列入“擬制定、修訂的行政法規”中。《數據安全管理條例》在制定中可以進一步落實《數據安全法》中關于重要數據的要求，細化重要數據的認定標準，配套建立更新維護、動態調整的管理機制。

三是加快核心數據安全監督與管理、評估與防護建設。在我國立法中，核心數據首次在《數據安全法》中被提出。《數據安全法》僅規定應對核心數據進行更加嚴格的管理，但何為更加嚴格的管理當前并沒有可以參考的標準。相關部門在《數據安全法》出臺后可以加快細化、補充、完善核心數據的安全保護規則，以實現對核心數據的進一步強化保護，維護我國整體數據安全。

五、結語

《數據安全法》重新確立了我國數據分類分級工作的大致方向。從前“自下而上”的數據安全治理已經過時，既不能完全滿足數據種類數據量、分析技術、商業模式等發展所衍生的新安全風險，又不能適應國際新局勢下的數據主權要求。如今的數據分類分級制度設計要求能夠有效地吸收其數據處理行為所產生的負面外部性。在法律層面，《數據安全法》已經初步進行了對個人信息和重要數據的基本分類。任何與數據有關的企事業單位都應當高度關注國家制定的“重要數據目錄”，相應地調整組織內部對數據分類分級的實踐，并根據國家制定的個人信息和重要數據安全保護規則，更新組織所采用的安全保護措施。

從統籌安全和發展的角度來說，我國在開展數據分類分級工作和制定重要數據目錄的時候，必須秉持科學、客觀、動態的基本原則，以免數據納入重要數據的保護范圍之中時缺少重點。除此之外，面對愈演愈烈的數據資源的國際競爭，我國也必須以數據分類分級和重要數據目的等政策工具，制定靈活、合適的數據流動策略，使我國的主權、安全和發展利益最大化。

參考文獻：

[1] 黃道麗，原浩，胡文華.《數據安全法（草案）》的立法背景、立法定位與制度設計[J].信息安全與通信保密，2020（08）：9-15.

[2] 洪延青.“法律戰”旋渦中的執法跨境調取數據：以美國、歐盟和中國為例[J].環球法律評論，2021，43（01）：38-51.

[3] 洪延青.推進“一帶一路”數據跨境流動的中國方案——以美歐范式為背景的展開[J].中國法律評論，2021（02）：30-42.

[4] 劉耀華.強化重要數據和核心數據保護? 《數據安全法》構建數據分類分級制度[J].中國電信業，2021（09）：57-59.