简析《数据安全法》中的数据分类分级保护制度

刘威扬

[摘  要]《数据安全法》自2021年9月施行以来受到国内各企事业单位的高度关注，承担了“以安全保发展、以发展促安全”的重要任务。针对数据这一非传统领域的国家安全风险与挑战提出了很多规制政策设计。其中“数据分类分级保护制度”便是极其重要的一项制度设计，而不论是法律行政法规还是部门规章，均只提出了建立数据分类分级保护制度的要求却没有提出具体可操作的规定或指引。只有正确理解数据的国家利益与社会公共利益价值，针对不同形式或内容的数据分别以敏感性为基础进行量化定级区别对待，才能理解该制度的意义，发挥制度作用，维护国家安全、数据主权和社会公共利益。

[关键词]数据分类分级;制度设计;设计原则;国际影响

中图分类号：F49           文献标识码：A           文章编号：1674-1722（2022）01-0085-03

2021年6月10日，习近平签署第八十四号中国人民共和国主席令：“《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议通过，现予公布，自2021年9月1日起施行。”因其与《网络安全法》同属《国家安全法》的下位法，其立法目的应当符合总体国家安全观的整体要求，即维护国家安全、数据主权和社会公共利益，促进数据经济和数据开放共享机制体制的健康发展。

从调整范围上来看，“数据”安全应当包括但不限于“电子数据”安全、“网络大数据”安全，任何同样与国家利益、社会利益密切相关的数据都应该被纳入到《数据安全法》的调整范围。换言之，只要数据足够重要，数据实际承载了国家安全利益信息、社会公共利益信息，就要以行业为刚、数据类型为要，同时保持灵活的思路对相关数据的敏感程度和行为进行科学合理的规范。《数据安全法》第二十一条：“国家建立数据分类分级保护制度”，就是旨在明确数据分类分级的框架，厘清一般数据、重要数据和核心数据之间的关系，即后一级要比前一级施以更加严格的管理。

但到底什么是数据分类分级保护制度，如何对数据进行分类分级，又怎样逐渐严格的管理，正是笔者希望弄清的重要问题。

一、数据分类分级保护制度的内涵

分类分级的思想早在网络和信息系统的安全治理工作之中就已经存在。“信息安全等级保护制度”早在网安法出台之前就已经作为基本制度在国家信息安全保障的体系中发挥作用。新时代背景下《数据安全法》中的数据分类分级保护制度必须适应新环境，发挥新作用。《数据安全法》中对数据进行分类分级的主体是国家，这种自上而下的制度设计要求国家根据数据的价值以及可能造成的危害后果来展开分类分级工作。

需要注意的是，当前我国法律、行政法规甚至规章都只是提出了对数据分类分级管理的要求，而没有提出具体可落实的分类分级方案。但在国家部委发布的指引性文件、国家和行业标准层面可以看到一些尝试或方案。如工业和信息化部对工业数据提出了分类和分级的标准，在分类方面提出了“工业企业工业数据分类维度包括但不限于研发数据域、生产数据域、运维数据域、管理数据域、外部数据域”。在分级方面根据可能造成的危害后果——“可能对工业生产、经济效益等带来的潜在影响”分为三级。证监会也曾出台过《证券期货业数据分类分级指引》，推荐以业务条线出发，对业务细分，再对数据细分，形成从总到分的树型逻辑体系结构。总的来说，就是要依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类[1]。

总而言之，从分类角度来看，数据分类是数据资产管理的第一步，就是把相同属性或特征的数据归集在一起，形成不同的类别，方便人们通过类别来对数据进行的查询、识别、管理、保护和使用。对于数据进行分类可以有很多维度，包括基于数据形式和数据内容等。基于数据形式可以按照数据的存储方式、数据更新频率、数据所处地理位置、数据量等进行分类;数据内容可以根据数据所涉及的主体、业务维度等多个维度进行分类。

从分级角度来看，数据分类是根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度，按照一定的原则和方法进行定义。数据分级更多是從安全合规性要求、数据保护要求的角度出发的，因此称之为数据敏感度分级似乎更为贴切，换言之就是从数据敏感维度进行分类。

数据的分级和分类其实是一条流水线上的上下游关系，没有明确的分类根本无从对数据的进行量化定级。因此，我们在数据安全治理或数据资产管理领域，都是将数据的分类和分级放在一起制定制度设计，统称为数据分类分级。

二、数据分类分级保护制度的意义

《数据安全法》的出台是为了国家更有效地管理数据资源，如前文所述数据分类是数据管理的第一步，如果企业不对数据进行分类分级，就谈不上数据治理和数据保护，甚至都不清楚企业到底有哪些数据，更别说要了解哪些是敏感数据，以及他们都存储在什么位置。具而言之，数据分类分级的重要性体现在以下几个方面。

1.数据查询、管理和保护。数据分类通过提供一定的原则和流程来识别和标记企业的数据，明确数据的位置并对其敏感度进行识别定义，支持企业对数据的查询、管理或实施保护。

2.提高数据安全，满足合规要求。通过数据分类分级，方便企业对数据实施保护措施来降低数据的泄露风险，加强对数据隐私的保护，主要体现在：控制敏感数据的访问，从而使数据安全更有效;了解不同类型数据的重要性，以便制定相应的保护措施和技术;根据不同的监管或法规要求，妥善处理敏感数据。

3.提升业务运营效率，降低业务风险。从数据的创建到销毁，数据分类分级可以帮助企业确保有效地管理、保护、存储和使用数据资产，赋能业务运营，提升运营效率，降低业务风险;更好地管理企业所有的数据资产，最大化共享和利用数据。

此外，放眼全球，美国依据数据立法基本围绕如何增强本国企业和控制企业的能力。欧盟近年来以市场作为政策施力点，要求所有面向欧盟提供产品或服务的实体均应受到欧盟的约束，以此对控制重要数据的跨国公司施加有效的规制[2]。可见数据分类分级虽然主要服务于境内的数据安全管理工作需要，但同时也能在构建我国“外向型”数据主权战略之中发挥重要作用。

1.对于国家主权、安全和发展利益至关重要的数据，经过分类分级和列入“重要数据目录”，便可以获得包括数据跨境流动规则等更高标准的安全保护。

2.在目前已经开展的自贸区试验中，出于实现更高水平的开放和融合的目标，赋予部分自贸试验区根据自身的产业结构、主要的商贸目的地、技术合作对象等因素，动态调整国家层面出台的“重要数据目录”的权力，发挥跨境规则、人才、资金等方面优势，取得特色产业集中落地的效果。

3.为服务我国“一带一路”倡议的实施，我国可以基于“一带一路”国家的实际情况，根据政治外交、商贸合作、人文交流等因素，制定面向不同国家的“重要数据目录”，有针对性地调适数据出境的范围宽窄和出境规则的松紧，以此取得对外合作的战略目标[3]。

三、构建数据分类分级保护制度

数据分类是一个系统的复杂工程，应当依据一些原则，遵循一定方法，从以下几个维度进行分类。

1.数据分类分级的原则。（1）科学性原则。应按照数据多维度特征和逻辑关联进行科学系统化的分类，且分类规则应相对稳定，不宜经常变更。（2）适用性原则。不应设置无意义的类目或级别，分类分级结果应符合普遍认知。（3）灵活性原则。支持各部门在归集和共享数据前，按照业务所需完成数据分类分级工作。（4）MECE原则。MECE（Mutually Exclusiv Collectively Exhaustive）的核心是“相互独立，完全穷尽”，简单来说，第一，所有的数据都得涵盖，不能遗留;第二，分类之间不允许重复和交叉;第三，同一级次分类的维度要统一，颗粒度要一致。

2.数据分类的方法。不同的组织、不同的业务场景，数据的分类方式也不同。因此，为满足企业不同的业务需要，可能需要建立多套数据分类体系。但无论如何应当以一定的关键词作为标准锚点进行分类，以及关键性、可用性、敏感性、完整性、合规性。在对组织数据进行充分摸底后，根据数据管理和使用的要求，从业务出发进行类别的划分。

3.数据分类的维度。（1）数据管理维度。根据数据的一些客观属性进行分类，便于数据管理机构对数据进行管理，便于数据管理系统的规划。（2）数据应用维度。根据数据内容的固有属性进行分类，便于数据理解和应用。（3）数据所涉及的对象维度。对数据内容的理解的维度，不过更偏向于支撑便于数据权属分析和数据安全管理。

数据分级是从数据安全、隐私保护和合规的角度来对数据的敏感程度进行等级划分。整体来看，建议在数据分类的基础上，根据某类数据的安全属性，集合数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用时，对国家安全、公共利益或者公民、组织合法权益造成的危害程度，结合自身组织情况将数据分为4到5个安全保护级别。

《数据安全法》以目录形式针对重要数据提出了更为严格和明确的保护制度，并明确国家数据安全工作协调机制，统筹协调有关部门制定重要数据目录。同时，以数据分类分级制度为基础，各地区、各部门还应当确定本地区、本部门以及相关行业、领域的重要数据具体目录。此外，为了实现国家和各地区、各部门之间在重要数据目录上的统一管理，应当先由国家层面确定重要数据的整体目录及标准，再由各地区、各部门根据国家层面的目录确定相关行业、领域的重要数据目录，以实现监管的一致性和协调性。重要数据的保护要求要强于一般数据类型。重要数据处理者除了要遵守所有针对一般数据规定的保护要求之外，还应当遵守以下针对性规定：一是明确数据安全负责人和管理机构，重要数据处理者应当在其内部作出明确的责任划分，落实数据安全保护责任;二是进行风险评估，重要数据处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。三是遵守跨境数据流动管理要求，《数据安全法》对重要数据的跨境数据流动管理进行了补充和完善，在《网络安全法》第三十七条基础之上，規定“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”核心数据要实行更加严格的管理制度[4]。

《数据安全法》要求对“关系国家安全、国民经济命脉、重要民生、重大公共利益等”国家核心数据实行更加严格的管理制度。对于违反国家核心数据管理制度，危害国家主权、安全和发展利益的，有关部门最高可处一千万元的罚款，并根据情况施以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等处罚;构成犯罪的，依法追究刑事责任。根据《数据安全法》的规定可以看出，核心数据位于数据分类分级制度的顶端，相比重要数据来说具有更高敏感性和关键性，在重要数据保护措施之上实行更加严格的管理制度。

四、数据分类分级保护的建议

数据分类分级工作作为数据分类分级保护制度的基础和核心，不仅是数据安全治理的第一步，也是当前数据安全治理的痛点和难点。《数据安全法》出台之后，数据分类分级具体保护要求的落实有待出台更加细化的配套规定。

一是要明确具体的数据分类分级标准。当前，行业和地方已经开展数据分级分类的探索和实践。例如，行业层面的《工业数据分类分级》《证券期货业数据分类分级》《金融数据安全数据安全分级指南》等，地方层面的《贵州省地方标准政府数据数据分类分级指南》《上海市公共数据开放分级分类指南（试行）》等都对公共数据的分级分类做了规定。但整体来看，数据如何分级分类、应当归为哪几类、分级标准如何确定等基础架构在国家层面还未明确。

二是更加细化落实重要数据保护要求的配套规定。什么是重要数据以及如何识别重要数据一直是落实相关要求的关键，也是迄今为止重要数据研究工作的焦点。2021年5月27日，国务院办公厅发布的《国务院2021年度立法工作计划》中明確将《数据安全管理条例》列入“拟制定、修订的行政法规”中。《数据安全管理条例》在制定中可以进一步落实《数据安全法》中关于重要数据的要求，细化重要数据的认定标准，配套建立更新维护、动态调整的管理机制。

三是加快核心数据安全监督与管理、评估与防护建设。在我国立法中，核心数据首次在《数据安全法》中被提出。《数据安全法》仅规定应对核心数据进行更加严格的管理，但何为更加严格的管理当前并没有可以参考的标准。相关部门在《数据安全法》出台后可以加快细化、补充、完善核心数据的安全保护规则，以实现对核心数据的进一步强化保护，维护我国整体数据安全。

五、结语

《数据安全法》重新确立了我国数据分类分级工作的大致方向。从前“自下而上”的数据安全治理已经过时，既不能完全满足数据种类数据量、分析技术、商业模式等发展所衍生的新安全风险，又不能适应国际新局势下的数据主权要求。如今的数据分类分级制度设计要求能够有效地吸收其数据处理行为所产生的负面外部性。在法律层面，《数据安全法》已经初步进行了对个人信息和重要数据的基本分类。任何与数据有关的企事业单位都应当高度关注国家制定的“重要数据目录”，相应地调整组织内部对数据分类分级的实践，并根据国家制定的个人信息和重要数据安全保护规则，更新组织所采用的安全保护措施。

从统筹安全和发展的角度来说，我国在开展数据分类分级工作和制定重要数据目录的时候，必须秉持科学、客观、动态的基本原则，以免数据纳入重要数据的保护范围之中时缺少重点。除此之外，面对愈演愈烈的数据资源的国际竞争，我国也必须以数据分类分级和重要数据目的等政策工具，制定灵活、合适的数据流动策略，使我国的主权、安全和发展利益最大化。

参考文献：

[1] 黄道丽，原浩，胡文华.《数据安全法（草案）》的立法背景、立法定位与制度设计[J].信息安全与通信保密，2020（08）：9-15.

[2] 洪延青.“法律战”旋涡中的执法跨境调取数据：以美国、欧盟和中国为例[J].环球法律评论，2021，43（01）：38-51.

[3] 洪延青.推进“一带一路”数据跨境流动的中国方案——以美欧范式为背景的展开[J].中国法律评论，2021（02）：30-42.

[4] 刘耀华.强化重要数据和核心数据保护  《数据安全法》构建数据分类分级制度[J].中国电信业，2021（09）：57-59.