浅谈重要数据识别重要性及与等级保护之间关系

2021年9月1日，《中华人民共和国数据安全法》正式施行，明确规定“国家建立数据分类分级保护制度”，提出“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。

开展数据分类分级保护工作，首先需要对数据进行分类分级，识别涉及的重要数据和核心数据，然后建立相应的数据安全保护措施。

数据分类分级是国际通用的数据管理的方法论，在《DAMA数据管理知识体系》中，探讨数据安全时，认为降低风险和促进业务增长是数据安全活动的主要驱动因素。确保组织数据安全，可降低风险并增加竞争优势。安全本身就是宝贵的资产。

数据安全风险与法规遵从性、企业和股东的信托责任、声誉以及员工保护、业务合作伙伴、客户隐私、敏感信息的法律、道德责任等有关。组织可能因不遵守法规和合同义务而被罚款。数据泄露会导致声誉和客户信心的丧失。业务增长包括实现并维持运营业务目标。数据安全问题、违规以及对员工访问数据不合理的限制会对成功运营造成直接影响。

随着数据法规的增多（通常是为应对数据盗窃和违规），合规性要求也随之增加。安全部门通常不仅负责管理IT合规性要求，还负责管理整个组织的策略、实践、数据分类分级和访问授权规则。

结合我国《数据安全法》要求的试行数据实行分类分级保护，识别数据的级别就非常重要。《数据安全法》在法律层面定义了一般数据、重要数据、核心数据的概念，也就是说数据分类分级首当其冲是先解决这三个大的级别，然后在此基础细化级别，并根据不同的安全级别开展数据安全防护。

在《信息安全技术 重要数据识别指南》（征求意见稿）中对重要数据的定义是：以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

在《数据安全技术 数据分类分级规则》中对重要数据定义是：以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。并且备注了仅影响组织自身或公民个体的数据一般不作为重要数据。打消了很多单位纠结的自身收集的个人数据，是不是重要数据的疑问。

本文结合现行的国家标准，探讨重要数据识别。

表1  数据分级矩阵表

探讨数据分类分级，也是为了更好的落实网络安全等级保护工作。同时，根据公安部公网安〔2025〕1001号文件精神，数据安全与等级保护将逐步融合。前期，在本公众号里，发表了《》，结合1001号文，我们可以初步看出如下一个对照关系。

注：本图借鉴1001号文。同时，由樊山老师第一版输出，特此说明！

满足以下任一条件的数据，识别为重要数据:

1)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成一般危害;

2)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成严重危害;

3)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成严重危害(如影响社会稳定);

4)数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成严重危害(如危害公共健康和安全);

5)数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;

6)数据达到一定精度、规模、深度或重要性，直接影响国家安全、经济运行、社会稳定、公共健康和安全;

7)经行业领域主管(监管)部门评估确定的重要数据。

在此基础之上，充分考虑如下因素：

a)直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据;

b)可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力，如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据;

c)直接影响市场经济秩序，如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据;

d)反映我国语言文字、历史、风俗习惯、民族价值观念等特质，如记录历史文化遗产的数据;

e)反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可被恐怖分子、犯罪分子利用实施破坏，如描述重点安保单位、重要生产企业、国家重要资产(如铁路、输油管道)的施工图、内部结构、安防情况的数据;

f)关系我国科技实力、影响我国国际竞争力，或关系出口管制物项，如反映国家科技创新重大成果，或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据，以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据;

g)反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况，可被利用实施对关键信息基础设施的网络攻击，如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据;

h)涉及未公开的攻击方法、攻击工具制作方法或攻击辅助信息，可被用来对重点目标发起供应链攻击、社会工程学攻击等网络攻击，如政府、军工单位等敏感客户清单，以及涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数据;

i)反映自然环境、生产生活环境基础情况，或可被利用造成环境安全事件，如未公开的与土壤、气象观测、环保监测有关的数据;

j)反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况，如未公开的描述水文观测结果、耕地面积或质量变化情况的数据;

k)反映核材料、核设施、核活动情况，或可被利用造成核破坏或其他核安全事件，如涉及核电站设计图、核电站运行情况的数据;

l)关系海外能源资源安全、海上战略通道安全、海外公民和法人安全，或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施，如描述国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据;

m)关系我国在太空、深海、极地等战略新疆域的现实或潜在利益，如未公开的涉及对太空、深海、极地进行科学考察、开发利用的数据，以及影响人员在上述领域安全进出的数据;

n)反映生物技术研究、开发和应用情况，反映族群特征、遗传信息，关系重大突发传染病、动植物疫情，关系生物实验室安全，或可能被利用制造生物武器、实施生物恐怖袭击，关系外来物种入侵和生物多样性，如重要生物资源数据、微生物耐药基础研究数据;

o)反映全局性或重点领域经济运行、金融活动状况，关系产业竞争力，可造成公共安全事故或影响公民生命安全，可引发群体性活动或影响群体情感与认知，如未公开的统计数据、重点企业商业秘密;

p)反映国家或地区群体健康生理状况，关系疾病传播与防治，关系食品药品安全，如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据;

q)其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全的数据;

r)其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。