數據分類分級及其發展路徑研究

張 敏，魏 偉，譚天怡，何 軼

(中國電子系統技術有限公司，北京 100089)

0 引言

進入新發展階段，數據安全逐步成為關注熱點。2019年，黨的十九屆四中全會首次提出將數據作為生產要素之一參與分配，數據價值持續顯現。在數字化背景下，強化數據安全是數字經濟、數據要素健康發展的基礎保障。2020年4月印發的《關于構建更加完善的要素市場化配置體制機制的意見》明確指出“加強數據資源整合和安全保護”[1]。2021年6月通過的《中華人民共和國數據安全法》具有重要意義，數據安全由此在法律層面提升至國家安全高度[2]。2021與2022年發布的政府工作報告均對網絡安全、數據安全和個人信息保護進行了強調。在此趨勢下，政策利好信號集中釋放，數據安全建設重要性日益凸顯。

近年來，面對爆炸式增長的海量數據，與數據安全、數據權益相關的爭議與案件頻發，亟需加速推動數據安全治理。2021年，滴滴網絡安全審查事件為數據安全敲響警鐘。工信部累計通報1 549款違規APP，下架514款拒不整改APP，主要涉及違法違規收集、使用個人信息等。公安部開展“凈網2021”專項行動，偵辦侵犯公民個人信息、黑客等重點案件超過1.8萬起。相關數據泄露、侵權等問題涉及民事、行政與刑事等多個領域，對數據主體權益、市場秩序建立與行業健康發展等均產生較大負面影響。切實推進數據安全治理工作、筑牢數據安全保護屏障，成為當前極具緊迫性和必要性的重大任務。

數據分類分級是數據安全治理的重要抓手。國內分類分級思想最初體現在網絡和信息系統安全治理工作中[3]，經逐步發展演化，不斷契合數據要素市場實際發展需求，目前數據分類分級主要強調對不同數據實施不同管理和保護舉措。其中，數據分類側重按照類別、種類的不同進行屬性劃分，數據分級側重依據某種標準按高低、大小進行級別劃分。在實踐中，數據分類分級有時存在混用情況。我國網絡空間治理和數據保護的 “三駕馬車”(《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》，簡稱《數據安全法》《個人信息保護法》《網絡安全法》)均針對數據分類分級作出專門規定，其中《數據安全法》明確提出“國家建立數據分類分級保護制度”[4]，進一步體現國家對數據分類分級工作開展的重視程度。總體而言，數據分類分級有利于厘清不同數據資源，提供差異化的存儲、流通、應用路徑，推動實現數據保護和利用之間的平衡，為來自政府、組織、企業及個人的多方數據提供有效利用、便捷管理和安全保護的可行途徑。

1 數據分類分級的國外實踐和經驗

國外政府數據分類分級管理的總體思路和框架設計與國內類似，但政策法規更具指向性，組織機構更為完善，且在實踐路徑上大多采用靈活多樣的數據授權協議，為我國政府數據分類分級管理提供積極參考。

1.1 案例：美國政府數據分類分級管理

在不同數據屬性和使用場景下，美國政府數據遵循差異化分類分級路徑。針對政府安全數據，2009年美國《國家安全信息分類》設立了一套針對國家安全信息分類、保護以及解密系統。按照信息的覆蓋領域，該體系中國家安全信息被劃分為8類，如圖1所示。在數據分級方面，按照信息泄露可能造成的后果，將國家安全信息劃分成三級：秘密、機密、最高機密。針對政府非涉密的敏感數據，《受控未分類信息》(Controlled Unclassified Information，CUI)規范了行政部門處理非機密信息的方式，數據分類包括關鍵基礎設施、防御、出口管制、金融、出入境、情報、國際協定、執法、法律、自然和文化資源、核、隱私、采購與供應鏈、專有業務信息、臨時信息、統計、稅務等。近年來，《受控未分類信息的實施與建議》《受控未分類信息的安全評估要求》《保護非聯邦系統和組織中的受控未分類信息》等陸續出臺，進一步細化了具體實施路徑[5]。針對政府開放數據，美國政府數據開放平臺主要從用戶的數據查詢等需求出發，建立氣候、農業、能源等“數據集”(即整合不同來源處所獲得的相關信息)，并提供9種分類方式，其中，以主題分類、數據集分類等形式為代表[6]。在數據分級上，平臺數據向所有公眾無差別開放，無需申請、授權等[7]。

圖1 美國國家安全信息分類示意圖

美國逐步完善政府數據分類分級管理的相關組織架構，推進分類分級落實落細。一是信息安全監督辦公室，主要對安全信息分類及CUI管理進行監督、制定政策、指導、培訓等，加快提升數據管理和安全保護效率；二是國家解密中心，主要職能為在維護國家安全前提下，推動信息解密、發布；三是跨部門安全分類申訴小組，主要作用在于對數據分類分級進行審查、定期或不定期召開公眾討論會，在開展信息保護的同時保障公民相關知情權；四是受控未分類信息辦公室，針對CUI制定相關政策和標準、建立并主持CUI委員會、開展相關培訓等，涵蓋管理、運行、服務等多項職能。此外，美國還設有州、地方、部落和私營部門政策咨詢委員會，以及國家工業安全計劃政策咨詢委員會等其他相關機構，多個部門密切配合協作[5]，共同推動美國政府數據分類分級有效執行、快速推廣。

美國采用多類型數據授權協議模式，為政府數據分類分級授權應用提供操作性強、便捷度高的合規實施路徑。針對聯邦政府數據，鑒于其不享有著作權，美國所采用的授權協議模式為知識共享CC0(Creative Commons Zero)許可，支持用戶可出于商業或者非商業目的使用該數據。針對非聯邦政府數據，則基于各地法律或主體意愿采用相對應的知識共享歸因許可(Creative Commons Attribution License)、開放數據庫許可(Open Database License)等[8]，促進開放數據的獲取與應用。

1.2 案例：英國政府數據分類分級管理

英國政府開放數據分類從“應用”視角出發，注重用戶實際使用需求。英國政府數據開放門戶將數據分為商業與經濟、犯罪、國防、教育、環境、政府、政府支出、健康、地圖、社會、城鎮、交通12類，將“自上而下”的政府發布機制與“自下而上”的市場牽引機制充分結合，在傳統宏觀維度之外，關注政府開放數據是否滿足數據使用者需求，凸顯對民生、安全等領域的重視[9]。英國根據政府數據的敏感度和相關權益制定分級策略，核心是加強安全保障。英國《政府安全分類》名為“分類”，實則體現了分級原則和方法，而《最低網絡安全標準》對分級防護舉措進一步細化。具體而言，英國從維持信息的機密性、完整性和可用性出發，將政府數據劃分為官方、秘密和絕密三個級別，并針對各級別在結果、人員安全、物理安全、信息安全等方面進行詳細說明。

英國政府數據授權協議形式靈活，支持同一對象在不同環境或條件下的授權使用。在政府許可框架下，其主要包含6種方式，對象涵蓋數據、數據庫及其內容、軟件源代碼等。其中，最為普遍適用的是開放政府許可，支持用戶出于商業或者非商業目的獲取并使用開放數據。開放軟件許可為一系列授權協議，協議數量眾多，為政府部門開放相關軟件源代碼提供協助。為能最大限度拓展政府數據應用范圍、激發數據價值，該框架為同一對象(或類型)提供了多樣化授權協議，包括開放最高法院許可、開發者許可、非商業政府許可、收費許可等[8]。

1.3 發展經驗與借鑒意義

針對政府數據的分類分級管理，美國和英國的分類分級設計思路、總體管理機制設置、授權協議應用手段等有效平衡了數據利用和數據安全之間的關系，對我國推動政府數據分類分級管理工作具有借鑒意義。

一是協調統一、內容健全的政策法規為分類分級提供指引保障。美、英為政府數據分類分級提供體系化政策指引，并根據實際發展持續迭代更新。美國政府安全數據、政府非涉密的敏感數據、政府開放數據等相關法規、標準、舉措之間總體形成相輔相成關系，共同支撐政府數據分類分級管理運轉。

二是職責清晰、分工明確的組織機構為分類分級提供管理樞紐。美國針對政府數據分類分級設立了專業化管理、執行、協調等機構[5]，打造高效運轉的分類分級組織架構，推動政府充分落實分類分級制度，鼓勵企業和民眾等在合規前提下對符合條件的政府數據開展積極應用。

三是形式靈活、模式合規的授權協議為分類分級提供應用路徑。美、英針對政府數據分類分級授權協議展開積極探索和實踐，美國知識共享CC0授權協議的許可條件較少，且具備較強兼容性，為用戶獲取并應用政府開放數據提供便捷途徑。英國授權協議涵蓋范圍廣闊，為不同應用場景下的政府數據、軟件源代碼等提供靈活多樣的許可支持[8]，打造高效、合規的分類分級實際應用路徑。

2 數據分類分級的國內實踐經驗與問題

2.1 相關法律與數據分類分級

我國正在逐步構建數據安全保障、發展利用和有序流動的數據法律體系。其中最先發布的《網絡安全法》主要針對網絡自身的安全，而隨后出臺的《數據安全法》重點關注的側重數據安全，統籌安排數據要素在經濟和國家安全的角色，《個人信息保護法》則注重的是個人信息安全、保護與利用。《數據安全法》與《網絡安全法》緊密銜接，完善數據相關制度體系建設，《數據安全法》同時對數據分類分級保護制度進行了提綱挈領的規定，但分類分級制度仍需要其他相關配套法規規章進一步落實和明確。同時《數據安全法》要求國家建立數據分類分級保護制度并制定重要數據目錄，由此可見，未來將會出臺一系列的配套制度以明確重要數據目錄的內容、標準等。近期征求意見的《網絡數據安全管理條例》[10]是三大數據法規在執行層面重要的配套法規，其中明確提出將數據分為一般數據、重要數據和核心數據，表明現在數據分類分級方面的工作逐步進入具體執行階段。

2.2 政府數據、公共數據分類分級

目前，如貴州省、浙江省、福建省、杭州市、武漢市等一些省市出臺了涉及政府數據、公共數據和數據資源等分類分級規范，取得一定建設成果，為其他地區起到了設計參考作用。其中主題、行業和開放共享屬性分類是最常用的分類維度，而分級包括客體影響、敏感程度和數據特征等。

在政府數據方面，貴州省在全國率先發布了《政府數據 數據分類分級指南》[11]，明確了政府數據的范圍，為政府數據的開放和共享提供指導，該指南采用多維度和線分類法相結合的方法，從主題、行業、服務的維度對貴州省政府數據進行分類，同時按照政府數據的敏感程度劃分為公開、內部和涉密數據。杭州市出臺《數據資源管理第3部分：政務數據分類分級》[12]，依據應用場景、數據來源進行分類。

在公共數據方面，涉及兩類的標準：公共數據分類分級標準和公共數據開放分類分級標準。如浙江省出臺的《數字化改革 公共數據分類分級指南》[13]根據公共數據具有的共同屬性或特征，從數據管理(包括產生頻率、生產方式、結構化特征、存儲方式、質量要求)、業務應用(包括生產來源、所屬行業、應用領域、使用頻率、共享屬性、開放屬性)、安全保護(包括核心數據、重要數據、一般數據)、數據對象(包括個人、組織、客體)四大維度來進行劃分。根據公共數據遭泄露、破壞后，對國家、社會、公眾以及對公民、法人、組織的合法權益造成的危害程度來劃分安全級別。在公共數據開放分類分級方面，如武漢市出臺《公共數據資源開放核心元數據標準(試行)》和《公共數據資源開放分級分類指南(試行)》[14]，并在全國首次將有條件開放明確分為實名認證開放和審核開放兩種情況。

2.3 行業數據分類分級

國內部分行業，如工業、金融、醫療和電信等開展領域內先行先試，研究發布數據分類分級指南、規定等，嘗試對行業數據開展標準化管理。行業數據的分類強調學科和行業屬性，專業性較強，定級則多從安全角度出發。在金融領域，證監會發布了《證券期貨業數據分類分級指引》[15]，該指引提出從業務進行細分，隨后對數據進行細分，最后對分類后的數據確定級別，同時推薦確定數據形態。隨后發布的 《金融數據安全 數據安全分級指南》[16]，該指南不再對如銀行、保險、證券等行業進行細分，表明金融行業正在探索統一的數據標準體系。在工業領域，工信部發布了《工業數據分類分級指南(試行)》[17]，并在隨后開展的應用試點中，根據各地區、各行業的推薦建議，遴選出一批分類分級優秀案例，為工業數據的發展奠定了重要基礎。在電信領域，《基礎電信企業數據分類分級方法》[18]根據基礎電信企業業務運營特點和企業內部管理方法，收集企業內所有部門的數據資源，并對所有數據資源進行梳理。其他領域如醫療和機械也分別出臺了國家標準《信息安全技術 健康醫療數據安全指南》[19]《機械 科學數據 第1部分 分級分類方法》[20]等。

2.4 數據分類分級面臨的主要問題

一是缺少統一的分類分級標準。國家尚未出臺數據分類分級的國家規范，雖然現在部分地區、部門和行業已經出臺了數據分類分級的標準規范或管理辦法，但是絕大多數地區、部門和行業仍然在摸索階段，因此造成很多地方政府、組織或企業在開展數據相關的工作時缺少重要的指導。

二是核心數據和重要數據的區分不清晰。《網絡數據安全管理條例》中“按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度”來判斷數據屬于哪個級別，但是具體判斷標準并不清晰，同時也有觀點提出將核心數據納入涉密數據的管轄范疇，造成現在數據級別劃分界線模糊。

三是行業對數據分類分級尚缺乏認識。行業數據分類分級目前只有在部分領域處于制定狀態，同時細分行業出臺數據分類分級的難度較大，不同屬性的各類行業面臨不同問題。并且許多行業僅為了企業合規的目的開展數據分類分級工作，對國家數據分類分級要求落實尚缺少積極性。

3 完善路徑

一是完善數據分類分級管理相關法律法規體系。加快出臺國家層面的分類分級核心標準，并在此基礎上，將相關規定融入到各地方、各部門的數據管理工作中。進一步完善地區、部門和行業數據分類分級規章制度，有序開展相關數據管理活動。修訂涉密數據相關規定，與現有的數據安全相關法律法規進一步銜接，完善數據分類分級管理的法律法規體系。

二是健全政府分類分級管理的組織體系。《數據安全法》雖然規定了國家不同部門的相關職責，尚未具體規定部門之間如何開展數據分類分級的管理工作。各地方相關數據管理部門負責所在城市與政府數據資源的管理、城市與政府信息化建設等工作，需在此基礎上進一步明確開展數據分類分級的權責體系。

三是加快重要數據、核心數據的管理工作。加快推進重要數據、核心數據的識別工作，進一步明晰重要數據、核心數據的認定標準，完善重要數據、核心數據的存儲管理，配套建立重要數據、核心數據的更新維護、動態調整的管理機制。

四是加快研發數據分類分級的智能化工具和產品。當前的數據分類分級主要是通過人工和自動化軟件兩種方式開展，但是隨著數據規模的快速增長，現有手段難以滿足日益增長的數據處理需求，亟需結合快速發展的人工智能和機器學習等技術，通過研發智能化的分類分級平臺來提升數據分類分級的整體效能。

4 結論

數字經濟時代，數據分類分級作為數據要素管理、應用、保護的關鍵環節和有效抓手，其重要性日益凸顯。以美國、英國為代表的國外實踐案例和發展經驗為我國數據分類分級設計思路、落地推進等提供了有益參考。當前，我國數據分類分級管理工作總體仍處于起步探索階段，一方面，相關政策法律體系正逐步健全，政府數據、公共數據和行業數據分類分級管理工作初現成效。另一方面，實踐中仍存在分類分級相關國家級標準未統一、數據級別劃分界線不清、行業落實數據分類分級內驅不足等阻力。針對上述問題，未來建議從完善法律法規體系、健全管理組織機制、推進數據認定與管理、研發智能工具產品四方面入手，為我國數據分類分級工作的高效推進提供有力保障。