给数据做分类分级，比如“人口普查”，建分类，编目录，定等级，才好做规划。

　　此前，《数据安全法（草案一次审议稿）》（以下简称“一审稿”）即提出“对数据施行分类维护”，但并未提及“分级”，也未进一步阐释怎么“分类”。

　　二审稿在此根底上，清晰提出“国家树立数据分类分级维护准则”、“对数据施行分类分级维护”“承认重要数据目录”“加强对重要数据的维护”，而且给出两个判别是否归于“重要数据”的规范：重要程度、危害程度。

　　即将于9月1日施行的《数据安全法》采用了这一规范，但仍无更详细的分类分级阐明。

　　下述国家规范、工作规范虽不具有强制性效能，但会在必定程度上反映监管情绪，可为相关工作、企业的数据分类分级供给更具有操作性的指引。

　　2019.12.17工业和信息化部办公厅-工业互联网企业网络安全分类分级攻略（试行）（征求意见稿）

　　数据出境前需先走一道安全自评价流程，如评价后续主管部门一致，还需要走一道主管部门评价流程。

　　评价攻略草案清晰了个人信息、个人灵敏信息、重要数据[1]的概念，给出了个人信息特色及重要数据特色的评价关键：类型（和灵敏程度）、数量、规划、技能处理情况，据此承认影响等级。

　　除了数据、规划、技能处理情况三个批改要素外，评价时还可以依据实践景象参加相应的批改要素，如某个特定年纪、工作的集体个人信息，是否对个人权益构成额定影响，重要数据的生成时刻、数据源特色，是否可与其他信息会聚对国家安全、经济发展和社会公共利益构成额定影响。

　　此外，还给出了一份“重要数据辨认攻略”，详细列举了27个工作（范畴）及其重要数据规划供参阅，而且在最终以兜底条款的方法规矩了其他工作判别重要数据的10个规范。这意味着，在对数据出境进行安全评价时，检查规划应适当做扩展解说。

　　不过，据媒体报道，我国信息安全研究院副院长左晓栋曾在7月28日的第九届互联网安全大会上表明，《信息安全技能 重要数据辨认攻略》已完结草稿，按现在的草稿，对重要数据的分类不再依照工作，而是从国家安全、经济运转、社会安稳、公共健康和安全等视点共分为八类，那些“只对安排本身而言重要或灵敏的数据”不归于重要数据。[2]

　　数据分类分级的条件是要树立数据分类分级的安排保证、管理准则，以及数据财物分类分级清单。

　　其间，管理准则中除了要有根底准则和操作流程外，还要有“数据等级的相关改变准则及改变后的告诉准则”、“数据财物分类分级清单的审阅与修订周期和准则”等规矩；树立数据财物分类分级清单的办法中也特别着重，要对其进行定时修订（数据财物整理办法可参阅《证券期货工作数据模型》的办法）。

　　之所以特别着重改变、修订，是因为数据分类分级不是原封不动的，跟着内部事务与外部环境的改变，企业及企业律师要能做出动态调整。

　　关于不同等级的数据特征，指引给出的“数据等级标识表”“数据定级规矩表”可供参阅：

　　2.许多数据聚合宜晋级，组织内的数据仓库、大数据分析用的数据，宜专门区分类别，且考虑晋级。

　　3.国家、工作主管部门或监管组织界说的大型、特大型组织，宜参照附录A所列模板中的最低参阅数据等级从高定级。

　　4.从时效性考虑，前史买卖数据、前史结算数据可以考虑降1级处理，但需有清晰前史数据的界说，并标明某时段之间数据。

　　5.信息经揭露发表后，可降级。依据信息内容重要性，信息在发表前，可以将特定数据类型在发表前承认的数据等级高于附录A所列模板中的最低参阅数据等级。

　　工业和信息化部办公厅-工业互联网企业网络安全分类分级攻略（试行）（征求意见稿）

　　分类上，联网工业企业按所属工作网络安全影响程度，由低到高别离区分为一类、二类和三类，依照“联网工业企业所属工作网络安全分类辅导目录”，三类工作有6个，例如钢铁、船只及海洋工程配备等，二类工作有7个，例如机械、轿车、医药等，一类工作3个，例如食物。

　　关于一起具有联网工业企业、渠道企业、工业互联网根底设施运营企业中两种以上特色的企业，依照其事务活动触及的不同特色别离定级。

　　评分目标有四个，别离是企业地点工作网络安全影响程度（40分）、企业规划（10分）、企业运用工业互联网程度（30分）、企业一旦产生网络安全事情的影响程度（20分）：

　　现在，工业和信息化部现已挑选要点工作或区域展开分类分级试点，以进一步细化“联网工业企业分级鉴定参阅规矩”，更好地辅导实操。

　　在第二章数据分类中，企业结合工作要求、事务规划、数据杂乱程度等实践情况，环绕数据域进行类别整理，构成分类清单。

　　在第三章数据分级中，依照每类工业数据遭篡改、损坏、走漏或不合法利用后或许带来的潜在影响，将数据区分为一级、二级、三级等3个等级：

　　攻略清晰了6个数据安全定级基本准则：合法合规性、可执行性、时效性、自主性、差异性、客观性。时效性准则指的是，数据安全等级具有必定的有效期限，金融业组织宜依照等级改变战略对数据等级进行及时调整。关于这一点，在近期的国家规范、工作规范甚至法律法规中都越来越着重。

　　承认数据安全等级的重要判别依据，主要是影响目标与影响程度（数据安全性遭到损坏后或许形成的影响），详细可参阅下表：

　　2.数据内容未产生改变，但因数据时效性、数据规划、数据运用场景、数据加工处理方法等产生改变，导致原定的数据安全等级不再适用。

　　健康医疗数据可以分为个人特色数据、健康情况数据、医疗运用数据、医疗付出数据、卫生资源数据以及公共卫生数据等类别：

　　依据数据重要程度和危险等级以及对个人健康医疗数据主体或许形成的危害以及影响的等级，医疗数据攻略主张可区分为5级：

　　大数据年代，人人都在谈数据合规，你赶上趟了吗？客户有许多实操问题，你都能处理吗？扫名，听听国际500强企业信息安全总监和红圈合伙人一起打磨的课程。

　　[1]个人信息：以电子或许其他方法记载的可以独自或与其他信息结合辨认自然人个人身份或许反映特定自然人活动情况的各种信息，包含但不限于自然人的名字、出生日期、身份证号码、通讯通讯联系方法、个人生物辨认信息、住址、账号密码、产业情况、方位和行为信息等。

　　个人灵敏信息：一旦走漏、不合法供给或乱用或许危害人身和产业安全、危害个人声誉和身心健康、导致歧视性待遇等的个人信息。

　　[2]拜见：南都个人信息维护课题组 樊文扬，《南方都市报》，，拜访日期2021年8月11日。