日前，国家层面频频公布有关数据和信息安全法令法规及相关配套准则，其严厉和密布程度令相关市场主体咋舌。许多有备无患的企业已开端咨询或是托付专业安排打开相关合规自查作业，咱们也接到一些客户的咨询，其间最受重视的一个问题便是怎么开端系统化的数据合规自查和整改作业，能否直接供给一个合规的作业方案和作业界容？而咱们今日的论题“数据分类分级”便是咱们了解的企业打开合规作业的逻辑起点，这也是企业了解自己把握数据家底的一个进程，只要对自己有明晰的知道，才干在逐渐趋严的数据监管环境下取得更长足的打开。

　　2021年9月，国家信息安全标准化技能委员会发布《数据分类分级指引（征求意见稿）》（以下简称“《指引》”），尽管该文件并未收效，但其规矩的相关内容依然具有严重学习含义。本文将依据该文件的相关分类分级办法，从企业实操层面动身供给合理的数据分类分级主张。

　　本文仅代表作者在现在实践中的一些个人的考虑，起到抛砖引玉的作用，欢迎留言沟通。

　　《网络安全法》、《数据安全法》、《个人信息维护法》（以下简称“三法”）三部法令对此规矩确有其含糊性，无论是对职责主体（《数据安全法》规矩为国家）的规矩仍是存在分级要求的遗失等。不过咱们以为，三法的连续施行，其实正阐明数据分类分级作业在详细运用场景中的职责主体和内容是不同的。一起，这也反应出顶层准则规划者对数据安全维护思路和作业途径慎重的情绪。

　　数据的分类分级办理并非新鲜事物，且不说最近几部相关范畴的分类分级标准性法令文件和征求意见稿现已公示，尤其是在《数据安全法》、《个人信息维护法》施行前后，许多部委现已对职业界的数据分类分级问题提出了办理要求。如：《工业数据分类分级攻略(试行)》、《科学数据办理办法》、《证券期货业数据分类分级指引》和本文要点剖析的未来有遍及适用价值的《数据分类分级指引（征求意见稿）》等等。

　　可见，咱们了解，现已由相关主管部分拟定标准性要求的，作为数据处理者的企业应实行数据分类分级的法定责任，关于暂时并未下发标准性文件的职业，咱们以为相关企业也应尽早完结数据分类分级作业。由于，在可期的未来相关法规和政策会逐渐履行和完善，未实行数据分类分级责任的企业或许会面对相关行政处罚。

　　上文说到的相似工业范畴、证券期货范畴等现已由职业监管部分颁行数据分类分级准则，是否有进一步调整或是从头分类的必要呢？

　　咱们以为是有必要的。先来看看证券范畴的规矩，《证券期货业数据分类分级指引》6.4条规矩：“本标准引荐的分类分级办法，从业务条线动身，首要对业务细分，其次对数据细分，构成从总到分的树形逻辑系统结构，最终，对分类后的数据承认等级”即数据分类“依据自身业务特色对发生、搜集、加工、运用或办理的数据进行分类”；数据分级“是以数据分类为根底，选用标准、明晰的办法区别数据的重要性和灵敏度差异，并承认数据等级”。此外，还有一些金融安排的相关数据分类分级标准要求也是采纳这种思路，在这儿能够一致总结为一种“自下而上”[2]的分类办法。即不逃避特别职业在运营中的安排办理流程和办理办法，并经过这种办法和流程来别离归类不同的数据，接着进一步依照重要性和灵敏度进行定级。这种办法从全体看是一种企业自发和非强监管方法的数据办理系统，重在准则建造和办理作用，与国家发起的“自上而下”（不扫除未来强制推广）的分类办理存在必定的不同（上文脚注部分说到的文章中有关于“自下而上”分类的了解和坏处，有爱好的能够自行查阅）。

　　《数据安全法》征求意见稿从前明晰要求各地区、各部分承认本地区、本部分以及相关职业、范畴的重要数据目录,对列入目录的数据进行要点维护。尽管后续正式稿仅是和谐有关部分拟定目录，也便是强制意味稍有缓释，可是从国家办理的趋势看，咱们以为“自上而下”的数据分类分级办法才是习惯国家监管意图数据办理方法。

　　因而，咱们主张现已有相关分类分级准则的职业或是企业依然需求留意学习“自上而下”的分类分级办理思路，结合职业要求从头进行数据分类作业。

　　咱们以为，数据分类分级并不只是限于重要数据，数据内容和系统杂乱多元，任何数据都有其代表的价值和法益。处理和运用数据时中触及不同主体不同层次的利益，不重要的信息并不意味着不会发生价值，不意味着在遭到损坏后不会发生实践的权益丢失。还有，相同安全程度的数据一旦数量、程度、维度、范畴等发生变化的，则极有或许具有与重要或中心数据相同的安全及经济价值。

　　《指引》中在准则部分将国家中心数据、重要数据（重要数据的定位紊乱，其到底是个类别的概念仍是等级概念？如《轿车数据安全办理若干规矩》[3]、《网络安全法》[4]、《数据安全法》[5]中表现其是个类别概念；而《工业和信息化范畴数据安全办理办法（试行）（征求意见稿）》[6]中则表现为一个等级概念；中心数据与此问题相似不再打开）与个人信息、法人数据并排（细则中6.3也将四个数据类型并排），归于类别概念的分类。而《指引》的详细细则和其展现的图1中，则将国家中心数据、重要数据归入等级概念的分类，假如这种状况不做调整，则会在实践中发生分类紊乱，主张未来在正式稿中进一步明晰。咱们了解从逻辑上剖析的话，国家中心数据、重要数据应是结合损害程度来承认的，归为等级概念更为合理。

　　《指引》规矩了关于个人信息的两个分类办法，咱们主张挑选依照个人信息的灵敏程度分类办法，即分为一般个人信息与灵敏个人信息。不主张挑选依照私密程度进行分类，是由于法规层面私密信息与个人隐私的根本人格权简单发生鸿沟混淆的状况，不利于分类作业打开。

　　《指引》附录A中还有对一般个人信息与灵敏个人信息的进一步分类（一级类别和二级类别）。咱们主张在二级分类层能够先依照这两个分支看展分类作业，不过从实践的分类作用看，大多数企业暂时没有必要针对个人信息进行更为杂乱的多层分类。

　　《指引》规矩公共数据中政务数据准则上优先参阅国家或当地的电子政务信息目录进行分类，也可参阅 GB/T 21063.4-2007《政务信息资源目录系统 第4部分：政务信息资源分类》[7]等相关电子政务国家标准等进行数据分类。其他公共数据则在存在公共数据目录的景象下，依照公共数据目录分类，如不存在的则依照服务职业范畴分类或是从公共数据敞开程度和条件的视点进行分类。

　　可见，公共数据分类的类别有其标准性要求，受国家、地方政府及职业公共数据揭露目录方法的束缚。

　　《指引》规矩法人数据可分为业务数据、运营办理数据、系统运转和安全数据三类，没有特别职业标准的能够参阅履行。一般的工业类企业能够参阅《工业数据分类分级攻略(试行)》的规矩从数据域范畴的分类维度打开，分为：研制数据域（研制规划数据、开发测试数据等）、出产数据域（操控信息、工况状况、工艺参数、系统日志等）、运维数据域（物流数据、产品售后服务数据等）、办理数据域（系统设备财物信息、客户与产品信息、产品供应链数据、业务统计数据等）、外部数据域（与其他主体同享的数据等）[8]；还有轿车范畴将车联网信息服务数据分为六大类[9]，然后每个大类又分若干小类。上述范畴在法人数据二级或是多级分类这个维度层面现已具有直接适用的根底，相关企业能够直接参阅。

　　还有一种分类办法，在适用时更为详尽，即从职业主体的视点考虑来进行职业细分，如：《互联网渠道分类分级攻略（征求意见稿）》中的相关分类办法，首要把互联网渠道这一特别职业的主体全体分红六大类，然后依据渠道的衔接特点和主要功能进一步承认渠道所属的详细二级类型。渠道类型承认后，在把上面的分类规矩结合二级分类中的特点，能够很轻松的完结渠道企业的数据分类作业。

　　需求留意的是，《指引》规矩法人数据仅用于安排的业务出产、运营办理及信息系统办理，并不包含客户的个人信息[10]。结合上文的数据分类就高准则，假如此刻混淆有个人信息的，则应归类为个人信息。

　　《指引》规矩，数据定级应针对国家安全公共利益、个人合法权益及安排合法权益这些损害目标，并依据损害程度（数据一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用后，所构成的损害的巨细）打开。《指引》罗列了四个程度的损害，从低到高可分为细微损害、一般损害、严重损害、特别严重损害。

　　《指引》依据数据一旦遭到篡改、损坏、走漏或许不合法获取、不合法运用，对国家安全、公共利益或许个人、安排合法权益构成的损害程度，将数据从低到高分红揭露级（1级）、内部级（2级）、灵敏级（3级）、重要级（4级）、中心级（5级）五个等级。

　　分级应在完结数据分类后的根底上，结合上述损害程度，进行一致断定。咱们这儿参阅《指引》罗列的参阅定级办法，也能够再细化：

　　需求留意的是，依据《指引》要求，国家中心数据归于中心级（5级）；重要数据的等级不低于4级；灵敏个人信息不低于4级，一般个人信息不低于3级，安排内部职工个人信息不低于2级（职工信息的走漏后的损害为何会低于一般个人信息？内部数据触及个人信息的咱们了解不应该不同化对待，此处主张修正），个人标签信息不低于2级；有条件敞开的公共数据等级不低于2级，制止敞开的公共数据不低于4级。咱们的疑问是，个人信息（3级）和公共数据（4级）这两种不同类型数据兼并后，依照个人信息处理的（就高准则）确以为个人数据，可是由于包含有4级的公共数据，那么从头承认的分类分级标准是否应为4级的个人信息呢？从《指引》规矩来看，这个定论是否可行有待调查，期望未来能够明晰。

　　《指引》明晰规矩了需求从头定级的几种景象[11]，而实践中的确有从头定级的必要。不过动态的处理景象过于冗杂，本文不再进一步谈论和剖析，企业主体能够先行完结静态分类分级作业，然后拟定相关分类分级的自查标准，结合《指引》内容定时进行数据的从头定级作业。

　　《指引》明晰要求企业需求安排安全、业务、数据等部分对数据分类分级成果进行评定和完善，最终才干发布施行，并应制作数据分类分级清单。一起对完结分类分级的数据财物进行标识，而后续需求依据标识出的不同类型等级的数据进行及时的维护、办理和定时更新。

　　评定和标识作业有利于保证数据分类分级的精确性，后期的办理离不开精确完结归类定级的数据。

　　《车联网信息服 数据安全技能要求》中对不同灵敏等级的数据在分级后又进一步的规矩了分级后的安全维护准则，是一种分级维护的思路：

　　而在金融范畴，《金融数据攻略》中并未直接规矩不同等级的金融数据的维护办法，而是要求5级-3级金融数据一般针对特定人员揭露,且仅为有必要知悉的目标拜访或运用;2级金融数据一般针对受限目标揭露,一般为内部办理且不宜广泛揭露;1级金融数据一般可被揭露或可被大众获悉、运用。直观感觉是在不同等级金融数据的特征的进程中直接提及了对金融数据在拜访和运用环节中应当留意的事项，并非一整套维护准则和针对性办法。

　　实操中，咱们主张未来企业能够参加数据分类的考量要素，依照类别和等级“纵横”安置的数据定位办法，别离就不同类别和等级的数据规划针对性的数据维护办法。

　　[1]从辞意直观了解，《指引》未就三类数据外再独自对无任何特点或价值的数据进行专门区别，可是《指引》全调需求分类的数据为数据财物，隐含着非财物价值的数据自身并无分类必要的意思。可是由于无效、无含义、无价值的数据是很多存在的，并且存在从头组合、康复的数据具有价值特点的或许，因而咱们建

　　[2] 摘自《洪延青：国家安全视界中的数据分类分级维护》，文章来历《我国法令谈论》2021年第5期专论（第71-78页）。

　　[3] 《轿车数据安全办理若干规矩》第三条规矩：本规矩所称轿车数据，包含轿车规划、出产、出售、运用、运维等进程中的触及个人信息数据和重要数据。

　　[4] 《网络安全法》第37条规矩：要害信息根底设施的运营者在中华人民共和国境内运营中搜集和发生的个人信息和重要数据应当在境内存储。

　　[5] 《数据安全法》没有将重要数据和个人信息并排进行描绘，可是全文通篇来看，仍是能够明晰的表现二者为并排的两个数据类型。

　　[6] 《工业和信息化范畴数据安全办理办法（试行）（征求意见稿）》第七条：工业和信息化部依照国家有关规矩，依据数据遭到篡改、损坏、走漏或许不合法获取、不合法运用，对国家安全、公共利益或许个人、安排合法权益等构成的损害程度，将工业和电信数据分为一般数据、重要数据和中心数据三级。

　　[7] 《政务信息资源目录系统 第4部分：政务信息资源分类》附录A做了相关分类，企业能够参阅进行数据分类：如：归纳政务；经济办理；国土资源、动力；工业、交通；信息产业；城乡建造、环境维护；农业、水利；财务；商业、交易；旅行、服务业；气候、水文、测绘、地震；对外业务；政法、督查；科技、教育；文明、卫生、体育；军事、国防；劳作、人事；民政、社区；文秘、行政；档案；归纳党团；归纳类

　　[9] 《车联网信息服务 数据安全技能要求》第5条“车联网信息服务分类”

　　[11] 《指引》6.4条规矩，数据安全定级完结后，呈现下列景象之一时，应从头进行定级：a）数据内容发生变化，导致原有数据的安全等级不再适用；b）数据内容未发生变化，但数据时效性、数据规划、数据运用场景、数据加工处理办法等发生变化；c）多个原始数据直接兼并，导致原有的安全等级不再适用兼并后的数据；d）因对不同数据选取部分数据进行兼并构成的新数据，导致原有数据的安全等级不再适用兼并后的数据；e）不同数据类型经会聚交融构成新的数据类别，导致原有的数据等级不再适用于会聚交融后的数据；f）因国家或职业主管部分要求，导致原定的数据等级不再适用；g）需求对数据安全等级进行改变的其他景象。

　　执业范畴包含网络安全和数据合规、信任、私募股权出资、房地产及建造工程、证券范畴（IPO、优先股、新三板、债券）、企业并购、PPP等范畴。