基于《数据安全法》的数据分类分级方法研究

高 磊 赵章界 林野丽 翟志佳

1(北京市大数据中心 北京 100101)

2(北京市鑫诺律师事务所 北京 100053)

3(中电长城网际系统应用有限公司 北京 102209)

《数据安全法》的出台具有重要里程碑意义：一方面标志着数据安全已在法律层面上升为国家安全，和国防安全、网络安全同等重要；另一方面标志着数字经济野蛮生长的时代已经过去，安全合规将成为未来发展的必然趋势.《数据安全法》第二十一条明确规定，国家建立数据分类分级保护制度，对数据实行分类分级保护.也就意味着在法律层面，数据分类分级工作已成为政府、企事业单位等行业开展数据处理活动必须遵守的义务.

近年来，关于数据分类分级保护的研究一直持续升温，如基于业务和数据敏感度的[1]、基于美国的受控非密信息管理制度的[2]和基于元数据管理的[3]，在金融[4-5]、医疗[6-7]、政务[8-10]等领域也有相关研究基础.以上数据分类分级方法一般是根据数据的敏感属性和安全保护要求等因素对数据的类别和级别进行划分，具有一定的参考价值.本文在《数据安全法》的基础上，从数据处理活动的合规性视角出发，针对数据分类和数据分级分别提出较为细粒度的原则和方法，并以数据项为基础单元给出数据分类和数据分级相结合的实施路径和实践经验，以期达到更好的数据分类分级实施效果.

1 数据分类分级的意义

根据《数据安全法》第七、第十一、第十三条等有关规定，对数据进行分类分级具有重要的现实意义：

1) 促进数字经济发展的稳定因素.数据资源是重要的生产要素，安全、合规、有序地利用好数据资源是推进数字经济蓬勃发展的重要保证.数据分类分级能够对数据进行精细化、规范化管理，避免陷入杂乱无序的状态.

2) 建立数据流通规则的先决条件.数据只有流动起来才会具有价值，明确数据流通的要求、流程和要点，建立配套的流通规则是开展各项工作的前提条件.数据分类分级又是这一前提的先决条件，因为规则的制定要与数据的类型和级别相对应.

3) 开展数据安全保护的最佳实践.数据分类分级是数据安全保护的重要抓手，目前我国部分行业和地区已经开始了数据分类分级制度的建设和实践，并取得较大突破和进展[11].根据数据类型特点、数据级别高低确定对数据应当采取的技术手段和管理措施，能够很好地实现数据安全与充分利用的有效平衡.

数据分类分级工作意义重大，需要科学、合理地进行规划和设计，提出切实可行的原则和方法，并在实施过程中兼顾数据应用场景、业务需要、安全属性、合规性保护等方面.

2 数据分类方法

2.1 数据分类思路

可以根据多种维度对数据进行分类.例如，根据数据的主体可分为个人信息、党政机关数据、企业数据、社会团体数据等；根据应用场景可分为金融数据、交通数据、医疗数据、教育数据、政务数据等；根据敏感属性可分为高敏感数据、较敏感数据和低敏感数据等；根据重要程度可分为关键数据、重要数据、一般数据等.无论根据何种维度，数据的分类应服务于业务应用和安全保护，且不能随意分类，应当遵循一定的分类原则.

2.2 数据分类原则

为确保数据分类的科学性、合规性和适用性，便于各行业参考实施，应当遵循以下原则：

1) 法律属性原则.数据分类应首先考虑现有法律、法规及规章层面对数据的既有分类，即首先考虑不同数据的法律属性，以明确和落实相关主体对不同法律属性的数据进行处理时的合法性或限制性要求.

2) 体系性原则.数据分类应建立层层划分、层层隶属、从整体到部分的分类体系，体系中划分在不同类型的数据相对独立，同一层级的数据类别之间相斥.

3) 稳定性原则.应选择分类对象最稳定的本质特征作为数据分类的基础和依据，不改变政府机关、企事业单位、社会团体等组织开展业务的方式和流程，客观描述在方式和流程中所处理、 产生的数据.

4) 规范性原则.数据分类应遵循国家法律法规、标准规范以及行业条例和行业标准，符合组织内部的管理制度和安全策略.

5) 可扩展性原则.数据分类结果应可根据法律法规的新增规定或新颁布的法律进行相应扩展，即可在基本分类的基础上划分出特定类型.

2.3 数据类型划分

根据《数据安全法》第二十一条：“……国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护……”,重要数据是首先区分出的数据类型，因此可作为一类.个人信息由于其明显的可识别特征也可作为一类.我国“十四五”规划和2035年远景目标纲要提出了公共数据开放共享相关要求，标志着公共数据开放已成为国家重要战略规划内容之一[12].对于公共数据管理主体(本文指通过依法履行职责、提供公共服务而产生或处理各类数据的各级行政机关以及具有公共管理和服务职能的企事业单位)来说，应当识别出需要开放的公共数据，释放公共数据的社会价值；对于其他数据处理者来说，基于其获得公共开放数据是有条件还是无条件，也需要遵循不同的合规义务.因此公共开放数据也可作为一类.此外，还存在组织内部业务数据、商业秘密等既非重要数据，又不是个人信息，也不涉及公共开放的数据，这些数据可归为其他数据.综上，数据可划分为重要数据、个人信息、公共开放数据、其他数据4种基本类型，各类型数据的描述如表1所示：

表1 数据基本分类及其描述

数据分类是体系化结构，基本分类还可继续划分为子类、子类的子类等.例如，根据《数据安全法》第二十一条：“……关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度……”，重要数据可分为核心数据和非核心数据，核心数据还可根据不同地区、行业等再进行细分；根据《信息安全技术 个人信息安全规范》附录A[13]，个人信息可分为个人身份信息、个人生物识别信息、个人健康生理信息等10余个类型，还可根据敏感属性分为高敏感、较敏感和低敏感个人信息等；根据数据开放的风险程度，可将公共开放数据分为无条件开放、有条件开放2类；根据行业标准[14]、地方法规、组织内部规章制度等，可将其他数据分门别类.

3 数据分级方法

3.1 数据分级思路

对于结构化数据，数据级别是指数据项(数据库表的某一列)或数据项集合(数据库表的多个列)的级别；对于非结构化数据，数据级别一般是指某个文件或文件集合的级别.数据分级的颗粒度不能太粗，如仅分为2个级别，容易导致“一刀切”，缺乏精细化.也不能太细，实施起来较为复杂，缺乏可操作性.因此数据级别以4～5级为宜.数据级别的取值在遵循法律法规及相应标准规范的基础上可以灵活处理.例如，采用问卷调查的方式[15]，根据调研结果适当调整，这样会具有较好的应用效果.

数据级别的判定应综合考虑数据的应用场景、重要程度、遭受破坏后的影响等多个因素，并采用定性和定量相结合的方法，力求数据级别准确合理.如果没有特殊指出，本文所讨论的数据级别都是指数据的安全级别.

3.2 数据分级原则

数据分级应遵循以下原则：

1) 安全属性原则.数据分级的主要目的是为了实施数据安全保护，因此数据级别应与数据的安全属性(如保密性、完整性、可用性)密切关联.

2) 结果导向原则.数据级别应与数据遭受破坏后的结果相吻合，结果越严重，数据级别越高.

3) 综合判定原则.数据级别应充分考虑数据应用场景、数据项组合情况、数据量大小等因素，力求数据分级准确合理.

4) 弃低取高原则.针对数据项的定级，应取该数据项所有判定结果中级别的最高值；针对数据项集合的定级，应取该数据项集合中所有数据项级别的最高值.

3.3 数据级别判定

数据级别主要取决于数据发生泄露、篡改、丢失或滥用后的影响对象、影响广度、影响深度等因素，各因素及其相关描述如下.

3.3.1 影响对象

由《数据安全法》第二十一条“……根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护……”可知，影响对象包括国家安全、公共利益、个人合法权益和组织合法权益4类，相关描述如表2所示：

表2 影响对象及其描述

需要指出的是，本文中的影响对象是抽象概念，需要现实中的具体对象来进行对应.国家安全对应的是社会稳定、经济运行等可衡量的宏观指标；公共利益对应的是公众；个人合法权益对应的是每个自然人；组织合法权益对应的是政府机关、企事业单位以及其他组织等.

3.3.2 影响广度

影响广度可理解为影响规模，根据规模大小可分为较小范围、较大范围和超大范围，相关描述如表3所示.

表3 影响广度及其描述

较小范围不涉及国家安全和公共利益，仅对个人、组织合法权益造成影响，但能够影响的组织数量相当有限，影响的自然人数量不会超过一定规模.对影响的自然人数量的界定参考了《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中的第五条：“非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的‘情节严重’： ……(三)非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的；(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的；(五)非法获取、出售或者提供第三项、第四项规定以外的公民个人信息五千条以上的……”[16]，并将各情形的数量和数据敏感度相对应.较大范围不涉及国家安全，但涉及公共利益，即影响的组织及数量与公共利益存在直接或间接的关系，影响的自然人数量也具有一定规模.超大范围是一个宏观概念，涉及国家安全，对影响的自然人数量的界定参考了《网络安全审查办法(修订草案征求意见稿)》中第六条：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查.”[17]

3.3.3 影响深度

根据事件的严重性，数据的安全性遭到破坏后可能对影响对象造成轻微、一般、严重和特别严重4种深度的影响，相关描述如表4所示：

表4 影响深度及其描述

影响深度的判定带有一定的主观性，应根据数据的应用场景、重要程度、流通性等进行综合评判，各行业还应结合行业标准给出具体判定准则和裁量依据.

3.4 数据级别与影响因素的对应关系

综上所述，数据的安全性遭到破坏后，根据影响对象、影响广度、影响深度的不同，可对数据的级别进行区分.本文采用矩阵法将数据级别与影响因素一一对应，具体对应关系如图1所示.

图1 数据级别与影响因素的对应关系

本文将数据级别分为4级，级别越高，数据越重要，对其安全性要求就越高.由于较小范围不涉及公共利益，较小范围、较大范围不涉及国家安全，因此相应情形做不适用处理, 用“N/A”表示.结合表1和图1，得出如表5所示的数据类型和数据级别的对应关系.

表5 数据类型和数据级别的对应关系

如表5所示，重要数据由于影响国家安全，其数据级别至少为三级，其他类型的数据均涵盖一至四级.在实际分级中，考虑到应用场景、数据敏感度等因素，建议公共开放数据和其他数据的级别范围定为一至三级，如果需要特别指出或重点防护，可定为四级，但同时应采取配套的安全措施.

4 数据分类分级实践

4.1 数据分类分级实施路径

由本文给出的数据分类和数据分级方法可知，开展数据分类分级工作的最小实施单元是数据项，在梳理和分析数据项类型和级别的基础上建立完善的数据分类分级台账，如图2所示.

图2 数据分类分级台账

具体实施路径(步骤)如下：

1) 识别数据范围.通过调研分析理清家底，明确数据分类分级的数据项范围.

2) 形成数据初始台账.根据业务应用情况，汇总梳理各数据项名称、数据量大小、数据安全属性等基本要素.

3) 划分数据基本类型、子类.根据是否属于国家或行业、地区重要数据目录中的数据类别，是否属于个人信息，以及是否应予开放(主要针对公共数据管理主体)等条件将数据项(或数据项集合)划分为4个基本类型，再根据各类型特点继续划分为若干子类.

4) 补充完善数据台账.根据数据类型、子类划分情况，形成数据分类台账，补充完善数据台账，使各数据项和数据类型一一对应.

5) 初步判定数据级别.将子类中的每个数据项逐一进行级别判定.首先判定影响对象(1个数据项可能有多个影响对象)，其次判定影响广度(1个影响对象对应1个影响广度)，最后判定影响深度(1个影响对象对应1个影响深度)，形成数据项级别(可能有多个级别)清单.数据级别中各影响因素的判定方法包括专家研判、内部评审、以往案例参考等.

6) 确定数据项最终级别.根据弃低取高的原则，某个数据项(或数据项集合)的最终级别为所有判定结果中数值最高的那个级别.

7) 形成数据分类分级台账.根据最终的数据项级别，补充完善数据台账，使各数据项的类型和级别相对应.

值得注意的是，数据的类型和级别可能会在处理(脱敏、去标识、聚合分析等)过程中发生变化，这时应当按照图2的实施路径对涉及的数据项(或数据项集合)的类型和级别进行重新判定和更新，并更新相应的数据分类分级台账信息.

4.2 典型业务应用场景实践

为检验该实施路径的可行性，选取了某企业快递业务为试点应用场景，梳理了该业务涉及的数据范围，利用本文提出的数据分类和数据分级方法逐步建立了数据分类分级台账，收到良好效果.具体结果如图3所示:

图3 某企业快递业务数据分类分级实践示例

如图3所示，该业务应用场景涉及的数据可分为个人信息、公共开放数据和其他数据3类(由于本地区、本行业尚未出台重要数据目录，因此暂不考虑重要数据).由于该企业非公共数据管理主体，在判定影响对象时，仅考虑个人和组织合法权益，对公共利益、国家安全的影响暂不考虑.针对个人信息，该企业用户数量超过1 000万，因此部分个人信息的影响广度判定为超大范围，其他个人信息根据实际数量进行影响广度的判定.影响深度的判定结合专家经验以及在与该企业相关负责人充分沟通的基础上进行.根据矩阵法确定各类数据的数据项级别，最终形成该业务场景下的数据分类分级台账.

5 结束语

数字经济蓬勃发展的今天，数据分类分级显得尤为重要，它是一个值得学者们不断推敲完善的研究方向.本文基于《数据安全法》的有关规定，以数据遭受破坏后的影响对象、影响广度和影响深度为抓手，提出了较为细粒度的数据分类、数据分级的原则和方法，并给出数据分类与数据分级相结合的实施路径，对各行业落地实施数据分类分级工作起到了一定的指导作用.