数据分类分级国标出台

“‘三法一条例’（指《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》）带来了的很多概念，如个人信息、重要数据、一般数据的具体内涵，缺乏相对统一规范的界定，新的标准有利于规范各方的术语使用，降低不同主体之类的数据对接成本。”某互联网大厂法务在接受21世纪经济报道记者采访时说道。

具体标准来看，数据分级规则方面，根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为核心数据、重要数据、一般数据三个级别。影响数据分级的要素，包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等。

重要数据即特定领域、特定群体、特定区域或达到一定精度和规模的一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据，仅影响组织自身或公民个体的数据一般不作为重要数据。核心数据是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据，主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。核心数据、重要数据之外的其他数据则是一般数据。

根据标准，数据分类规则方面，数据按照先行业领域分类、再业务属性分类的思路进行分类。数据分类可根据数据管理和使用需求，结合已有数据分类基础、灵活选择业务属性将数据细化分类。如从数据描述对象角度出发，可将行业领域数据分为用户数据、业务数据、经营管理数据、系统运行和安全数据。

相关定义明晰之后，数据分类分级又该如何进行？

数据分类分级的流程主要分五步走，数据资产梳理；数据分类，需要对个人信息、敏感个人信息进行识别分类；数据分级；审核上报目录；动态更新管理五步。

对于数据处理者而言，应在遵循国家和行业领域数据分类分级要求的基础上开展数据分类分级工作。其中，数据分类分级相关管理工作并非一成不变，而是需要根据数据重要程度和可能造成的危害程度变化，对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单和标识等进行动态更新管理。

需要看到的是，标准出台不仅意味着企业数据安全的基底进一步打牢，更对企业数据合规乃至数据要素产业的发展起到非常关键的作用。

对于企业而言，数据分类分级是一项基础性合规义务。据了解，企业前期在完成分类分级工作的时候，主要还是基于各自对法律及相关标准的理解进行合规落地。“新的标准从整体上给出所有数据类型分类分级的具体方法，为企业数据合规及分类分级基础上的数据要素流通，提供了明确的方法论参考。后续也将参考标准，进一步调整内部的数据分类分级标准及对应的合规要求。”上述法务说道。

(作者：郑雪编辑：吴立洋）

(来源：21世纪经济报道)

数据分类分级国标出台