专家解读 |《数据安全法》第二十一条【数据分类分级保护】 解读与合规实践探究

●核心目的：建设中央和地方两个层面的数据分类分级制度；

●中央层面：建立数据分类分级保护制度，统筹加强对重要数据和核心数据的保护。中央层面的国家数据安全工作协调机制负责统筹协调，实现由中央国家安全机构通过国家数据安全工作协调有关地区、部门制定重要数据目录工作，确保推动重要数据统一认定标准的建立；

●地方层面：

（1）各地区、各部门建立重要数据具体目录，将需要重点保护的数据列入目录中；

（2）各地区、各部门承担确定本地区、本部门的重要数据目录职责；

（3）各地区、各部门负责重要数据和核心数据的具体实施；

●“中央层面”与“地方层面”的关联：自上而下原则（中央层面建立数据分类分级保护制度，负责统筹协调各地区、各部门制定重要数据目录工作，确保统一认定标准建立）；

●数据分类：

（1）目的：方便数据的查阅、识别、管理、保护和使用；

（2）前置条件：根据数据的属性或特征等开展；

（3）法律界定：《数据安全法》将数据分为一般数据和重要数据、《个人信息保护法》界定敏感个人信息、《网络数据安全管理条例（征求意见稿）》专章规定“个人信息保护”和“重要数据安全”；

（4）双轨化路径：将数据从总体上看，我国分为“个人信息”和“重要数据”，规制模式采取个人信息与重要数据保护体系双轨化模式；

（5）总分原则：从数据分类法益保护的角度来看，我国数据分类遵循总分原则，先按归属主体、影响对象、影响范围、影响程度对数据进行类别划分，再通过对业务和数据进行细分；

●数据分级：

（1）目的：便于根据数据的不同安全等级采取相匹配的保护措施；

（2）前置条件：基于数据的重要程度和发生危害时的影响程度等进行开展；

（3）总体要求：根据数据的敏感程度、数据泄露、破坏后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度，将其确定不同安全等级；

（4）细化要点：基于数据使用行为的危害性进行划分、基于数据自身的关键性程度及对于业务的影响进行定级、基于数据所适用的司法管辖区进行划分等；

●“数据分类”与“数据分级”关联性：

（1）监管角度：数据分级是监管要求内的一种数据分类；

（2）安全角度：数据分类是为了方便数据保护的一种分级；

（3）目标角度：数据分类与数据分级均承担保障数据安全的目标；

●我国数据分类分级领域现状：我国在数据分类分级领域已形成国家法律、部门规章、标准规范三类政策文件共同构建的制度规范雏形，特别在技术标准与行业规范中具备较为体系化的数据分类分级要求，但法规层面尚未得以完整落实；

●“合规义务”转化为“特殊义务”：基于数据分类分级保护制度的建立，可将数据处理者的合规义务向数据处理者履行自身的特殊义务进行转化，从而实现对数据的针对性管理；

●“重要数据”后果先知：

（1）危害国家安全、国防利益等；

（2）损害国家财产、社会公共利益和个人合法利益；

（3）影响国家预防和打击经济与军事间谍、政治渗透、有组织规范等；

（4）影响行政机关依法调查处理违法、渎职或涉嫌违法、渎职行为；

（5）干扰政府部门依法开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责；

（6）危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全；

（7）影响或危害国家经济秩序和金融安全；

（8）可分析出国家秘密或敏感信息；

（9）影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等国家安全事项等；

●不同国家数据分类方法：

（1）欧盟：个人数据和非个人数据；

（2）澳大利亚：一般数据、敏感数据；

（3）印度：一般数据、敏感数据、关键数据；

（4）美国：敏感数据、非敏感数据。

一、政策演化：基于数据分类分级的政策演变

• 政策发展起步阶段（2001~2009年）

数据分类分级政策最早政策文件由《重庆市人民政府关于印发重庆市电子商务发展纲要和数字重庆地理信息系统发展纲要的通知》，提出数据安全、数据共享等理念，标志我国数据分类分级政策发展步入起步期。

• 政策发展调整期（2010~2014年）

以政策发展规律及数据治理为时代背景，数据分类分级政策数量发布较少，但各级政府已开始探索数据分类分级政策发展储备理论、技术、人才等。

• 政策发展加速期（2015年~至今）

数据分类分级政策数量呈上涨趋势，逐步向更多领域扩展实施，如国家“十三五”、“十四五”规划、《数据安全法》、《网络数据安全管理条例（征求意见稿）》、《重要数据识别指南（征求意见稿）》等，标志数据分类分级工作越发受到相关部门重视。同时，也符合我国高质量发展的大原则。当前我国数据分类分级政策涉及的应用领域具体如下：

二、标准实施侧：以“数据二十条”强调的数据环节为导向、以数据分类分级基础，对标准实施方向性进行探究

以“数据二十条”内涵为导向、以数据分类分级为基础的标准编制推演。“数据二十条”核心内涵在于以盘活数据经济价值为核心的权属关系确立上，在权属关系上“数据二十条”体现出淡化所有权、强调使用权、聚焦数据使用权流动。同时，在制度架构上，体现出三权分置（即：数据资源持有权、数据加工使用权、数据产品经营权）。因此，需要结合“数据二十条”内涵认识把握数据的基本规律（即：产权、流通、交易、使用、分配、治理、安全等），通过基本规律找寻不同规律点的共性要点内容，通过数据基本规律可看出，围绕在各环节的共性要点在于“确权”、 “定价”、“可信” 、“管理”方向上。

结合推演逻辑，推理标准制定方向。在融合“数据二十条”找寻的共性中，不能摒弃掉之前已形成数据分类分级基础沉淀，应以国家出台相关标准（如：《数据安全法》第21、25、27、30、31条；《网络安全法》第27、37条 ；《重要数据识别指南（征求意见稿）》对重要数据的分类；《网络安全等级保护定级指南》第4.2条；《网络安全标准实践指南——网络数据分类分级指引》等）为基础，去叠加融合“数据二十条”共性要点，通过上述的推演，建议在此处可首先融合“管理”与“确权”（即：《数据分类分级管理要求》、《数据分类分级确权要求》），因为，“管理”层面之前的标准更多强调对数据的共性管理，当基于数据分类分级时，就应更多强调对特性的管理；确权层面一直缺少可助推国家建立合理标准的可行指引。因此，基于当前国家标准现状， “管理”、“确权”将成为下一步的可能方向点。

基于确定的标准方向，构思融合方法。

（一）《数据分类分级管理要求》。之前对数据的管理，主要强调对数据的共性管理，当以数据分类分级为基础时，就应围绕数据分类、数据分级强调对特性的管理，具有层次结构。如：数据分类划分的行业，哪些为关基行业、哪些为非关基行业、哪些为与国家经济命脉相关行业等，对不同的分类应实行不同的对数据管理要求（如：在组织结构、人员能力、战略规划、数据技术、数据流动、数据脱敏、数据加密等进行逐层考虑）；

（二）《数据分类分级确权要求》。从数据流动性的角度来看，越高级别的数据反倒在确权上越变得容易（即：越高级别的数据流动条件越多，牵扯外延关联越少）。因此，基于数据分类分级的确权应是一种逆向思维模式，并按照三大类（即：公共数据、企业数据、个人数据）进行划分，这三类都可进行独立推演及制定要求，并运用产权分置运行机制、结合洛克财产权劳动论赋予的生命力及相关法律标准进行展开。

三、重要数据识别侧：以《重要数据识别指南（征求意见稿）》核心思想为出发点，量化重要数据识别核心要点

《重要数据识别指南（征求意见稿）》（以下简称“此指南”）量化的维度并不是对国家安全系统进行分类，而是更多的关注在可能产生的影响角度进行的描述与细分。此指南从聚焦安全影响、突出保护重点、衔接既有规定、综合考虑风险、定量定性结合、以及动态识别复评为六大核心原则。具体如下：

• 如何理解重要数据定义？

此指南定义：以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

电子方式  危害  安全

洞   察

什么是数据？通过此指南定义前半句可以看出（即：以电子方式存在的），只要以电子方式存在的即为数据，但这里的数据实际即包含了一般数据、重要数据，也包含了核心数据等，实际是一个比较宽泛的范围，这就衍生出如何界定重要数据。

如何在数据中界定重要数据？这里可对应到本文在思想侧所提到“更多关注可能产生的影响”角度。再回到此指南定的后半句（即：一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据）。在数据中寻找重要数据需要观察数据重要程度、数据关联因素、数据影响范围、定性及定量等。（注：数据是否为国家关键信息基础设施数据、数据是否与国家关键基础设施进行关联、数据天生是否与国家安全相关（即：天生影响因子数就很高，并与国家安全、社会稳定、公共健康、经济运行等强相关）、数据通过量变是否达到质变（即：天生影响因子数并不高，单独存在并非为重要数据，但持续的单独数据进行积累汇聚，当数据达到一定量级发生泄漏、破坏后会影响到国家安全、社会稳定时可能变为重要数据））。

• 如何识别重要数据？

本文基于此指南从数据流动侧、安全风险影响侧进行回答。

重要数据是否可以进行数据流动（数据流动侧）？从释放数据价值角度进行考量，本文认为无论是什么样的数据都需要进行数据流动（即：数据流动是释放数据价值的必要手段），只不过不同等级数据流动的方式不同，有些可以是“无序”的数据流动、有些需要是“有序”的数据流动。相对一般数据来讲，重要数据就需要建立在有序流动的基础上进行释放数据价值，安全能力防护上需要满足高安全防护能力等级（如：等保2.0的3级以上标准），引入数据分类分级保护制度，通过对数据的分级明确安全保护重点，使数据分级和数据流动进行关联。因此，数据是在高安全防护等级标准中进行有序流动的数据，根据映射的国家安全影响情况可纳入重要数据范畴。

重要数据遭受破坏会造成哪些影响（安全风险影响侧）？重要数据安全影响侧要规避本位思考局限性，更多上升到国家安全层面（即：组织自身的重要或敏感数据不属于此指南的重要数据；重要数据要从国家安全、经济运行、社会稳定、公共健康影响范围角度进行识别）。此指南对如下相关场景包含的重要数据进行举例：战略物资产能、储备量；反映关键信息基础设施网络安全方案、系统配置信息、核心软硬件设计信息、系统拓扑、应急预案等情况的数据；描述出口管制物项的设计原理、工艺流程、制作方法等的信息以及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告；反映重点安保单位、重要生产企业、国家重要资产（如铁路、输油管道）的施工图、内部结构、安防等情况的数据，以及未公开的专用公路、未公开的机场等的信息；未公开的水情信息、水文观测数据、气象观测数据、环保监测数据；以及描述与国防、国家安全相关的知识产权的数据等等。

四、实施目标侧：以“安全保护”为数据分类分级的共性目标

从数据分类与数据分级的概念角度出发，数据分级主要是针对适用于安全保障目标场景中以及对应监管保护标准，数据分级实际是支撑监管体系下的一种数据分类。数据分类实际是为了数据的保护进行的数据分级。以安全保护为目标的数据分类与数据分级就变成从属关系，因此，数据分类与数据分级规范体系均担负保障数据安全的目标。具体目标如下：

本文以《数据安全法》第二十一条 要求为出发点，整体按照合规解读、实施指南、法律关联三个方面进行展开，在合规解读侧，从本条映射出的核心目的、中央与地方职责、中央与地方的关系、数据分类、数据分级、分类与分级的关系、我国数据分类分级现状、合规义务转化、重要数据、国外现状角度进行探究与分析；在实施指南侧，从政策的演化、标准的实施方向、重要数据识别、分类与分级的共性目标进行探究分析；并在法律关联侧将我国当前的法律法规、标准、指南与本条有映射关系的条款进行量化。

（本文作者：杭州美创科技股份有限公司 王泽）