为什么监管总是从数据分类分级开始？——数据治理的第一性原理

为什么分类分级总是流于形式？

——从监管要求到组织实践的断层

近几年，“数据分类分级”几乎成了数据安全管理办法里的标配。从金融、能源、交通、医疗到电信、互联网，每一个高风险行业的监管文件都以它为开端。

于是，很多企业做完了数据分级分类表格、制定了制度、开了培训会，就觉得完成了任务。但一问到“你们的敏感数据具体在哪”“谁在访问这些数据”“发生泄露能追溯到源头吗”，往往答不上来。甚至业务部门想通过分析数据指导业务发展都不知道去哪里找数据。

分类分级成了一种仪式——做过，但没落地。

为什么会这样？为什么监管总是从分类分级开始，而企业又总是走到这一步就止步不前？要回答这些问题，得先回到数据治理的“第一性原理”。

一、为什么监管总是从分类分级开始？

在《数据安全法》体系下，无论是国家层面的总体办法，还是行业管理细则，第一步几乎都写着同一句话：

“应当根据数据的重要程度和敏感程度，开展数据分类分级管理。”

比如，中国人民银行在今年发布的《中国人民银行业务领域数据安全管理办法》就明确提出：企业要识别业务数据的业务关联性、敏感性和可用性，落实分级保护要求。对于存储重要数据的系统，要达到三级等保标准；对于存储核心数据的系统，要达到四级等保或关键信息基础设施保护要求。同时还要求：

• 高敏感性数据项原则上须加密存储与传输；

• 需制定脱敏处理策略；

• 应建立日志留存、访问控制、特权账号管理等全链路机制。

这已经远远超出了《数据安全法》的抽象层面。监管的逻辑其实很清晰：

1. 只有知道你拥有什么数据，才能谈保护。

2. 只有知道哪些数据更重要，才能分配有限资源。

分类分级，是监管希望企业“摸清家底”的方式。它不只是文件要求，而是一种治理思维的起点。

二、企业为什么总是“知其然，不知其所以然”？

尽管监管意图明确，但在企业内部，分类分级往往变成了一次性的合规项目。很多企业在文件层面完成了“制度制定”，甚至有了Excel 表格、打了“密级标签”，但数据安全团队和IT 运维之间几乎没有真正的联动。

常见的问题包括：

• “纸上分级”：制度中写了四级分类标准（普通、内部、敏感、核心），但没有对应的技术实现。数据库、接口、备份都未同步打标。

• “一刀切”：业务部门为避免麻烦，把所有数据都标成“敏感”，导致系统负担过重，反而无人真正落实。

• “合规孤岛”：合规部门负责文档、IT 负责系统，安全策略无法映射到具体资产。

• “缺乏动态更新”：数据新增、系统调整后，分类分级表不再更新，三个月后就失效。

本质上，这种落差反映出一个结构性问题：

企业把分类分级当成了“静态制度”，而不是“动态过程”。

分类分级不是一个项目，而是一种持续迭代的过程。它要求组织不断回答：“我们现在的数据版图是什么样的？”而这恰恰是许多企业最欠缺的能力。

三、监管视角下的趋势：从制度到执行

事实上，监管层其实已经在有意识地推动“形式化合规”向“实质化执行”过渡。

例如，今年某两个公司先后因未对收集的个人信息采取加密、去标识化等安全技术措施，被国家计算机病毒应急处理中心通报，以及被公安机关依据《个人信息保护法》处罚。

这说明：监管已经不再满足于“企业有没有制度”，而是开始看“制度有没有落实”。这也是为什么近两年各地公安、网信部门频繁要求企业进行数据安全自查的原因。

实际上，监管部门的逻辑是渐进式的：

1. 先看企业有没有分类分级的制度（形式合规）；

2. 再看是否落实到系统层面（实质合规）；

3. 最终要实现风险闭环管理（持续合规）。

这意味着未来检查不会只看文件，而会问：

• 敏感数据是否加密？

• 数据字段是否打标？

• 分类分级是否触发技术策略？

分类分级只是起点，而不是终点。

四、从IT视角看：为什么难以落地？

从技术视角看，分类分级之所以难落地，是因为它牵涉三层复杂性：

1. 数据资产不清晰

企业往往存在多个系统：CRM、ERP、财务、人力、APP、小程序、供应链系统……数据分散在不同环境中，甚至有历史遗留系统、接口不明的外包系统。当你连“资产台账”都不完整，谈分类分级只能停留在纸上。

2. 标签与系统脱节

很多企业的分类分级标签存在于Excel 中，但系统并不会根据分级分类规则来运转。数据库、API、日志系统、存储设备都没有被同步打标，结果是安全策略无法自动触发。换句话说，标签不能“落地到代码”。

3. 缺少自动化机制

企业缺乏元数据管理平台或自动扫描工具，每次更新都要人工核对，成本高、效果差。一旦业务上线频繁，分类分级体系就会被现实“打败”。

这就是为什么很多企业做了制度、培训、表格，最后仍然“看不见数据”的原因。

五、华为的实践：让分类分级真正“动起来”

过去几年，华为在推进数字化转型的同时，启动了系统性的数据治理工程。他们发现：要真正实现数据价值，前提是先实现数据清晰、可控、可信。

于是，华为做了三件事：

（1）摸清家底：数据湖+ 元数据注册

建立统一数据湖，要求所有入湖数据必须符合一系列标准：

• 明确数据owner；

• 发布数据标准；

• 定义数据密级；

• 确认数据源；

• 进行数据质量评估；

• 完成元数据注册。

分类分级不再是Excel 表，而是“入湖门槛”。数据只有被识别、标注、注册，才能进入共享体系。这样，打标动作与数据流动自然绑定，不再是额外负担。

（2）动态治理：元数据驱动的安全框架

华为的数据安全治理以“元数据”为基础，建立了持续扫描与动态防护机制：

• 持续扫描：系统自动识别并更新数据资产信息。

• 持续风险检测：实时监测隐私和合规风险。

• 策略联动：当数据密级变化，系统自动调整访问控制、加密或脱敏规则。

• 数据可视化：生成“数据地图”，直观呈现数据分布、流向与使用频率。

这让分类分级从静态表格变成了“可运行系统”。一旦标签具备技术意义，就能触发真实的安全行为。

（3）从安全到价值：安全是发展的前提

华为提出“数据充分共享、价值驱动”的治理目标。分类分级和安全管理不是阻碍，而是确保数据能“放心流通”的前提。

他们认为：

“数据安全治理不是一套IT工具的堆叠，而是从决策层到技术层的完整链路。”

这正好回应了监管与企业的分歧：监管要求“安全优先”，企业追求“效率优先”，而华为的做法是在制度、技术、流程三层之间建立桥梁——用分类分级让安全与业务真正协同。

最后，华为的数据治理体系值得借鉴，但对大多数中小企业来说，照搬并不现实。资源、人手、认知都有限，更需要找到“轻量化落地”的方式。

首先，抓重点、守底线。从高风险环节入手，比如会员系统、客户数据库、支付系统，先搞清楚有哪些个人信息、谁能访问、有没有加密或脱敏。这些是监管最容易查、风险最高的地方。

其次，借助现成能力。很多云服务都提供数据发现、脱敏、访问控制等功能，中小企业无需自建平台，只要配置好已有工具，就能实现“可展示的合规”。

数据治理不必一步登天，它更像是从混沌中逐渐建立秩序的过程。华为的做法是目标参照，而中小企业的关键，是从一点点可见、可管、可控的数据出发。

— THE END —

--------------------------------------------------------