数据分类分级及其发展路径研究

张 敏，魏 伟，谭天怡，何 轶

(中国电子系统技术有限公司，北京 100089)

0 引言

进入新发展阶段，数据安全逐步成为关注热点。2019年，党的十九届四中全会首次提出将数据作为生产要素之一参与分配，数据价值持续显现。在数字化背景下，强化数据安全是数字经济、数据要素健康发展的基础保障。2020年4月印发的《关于构建更加完善的要素市场化配置体制机制的意见》明确指出“加强数据资源整合和安全保护”[1]。2021年6月通过的《中华人民共和国数据安全法》具有重要意义，数据安全由此在法律层面提升至国家安全高度[2]。2021与2022年发布的政府工作报告均对网络安全、数据安全和个人信息保护进行了强调。在此趋势下，政策利好信号集中释放，数据安全建设重要性日益凸显。

近年来，面对爆炸式增长的海量数据，与数据安全、数据权益相关的争议与案件频发，亟需加速推动数据安全治理。2021年，滴滴网络安全审查事件为数据安全敲响警钟。工信部累计通报1 549款违规APP，下架514款拒不整改APP，主要涉及违法违规收集、使用个人信息等。公安部开展“净网2021”专项行动，侦办侵犯公民个人信息、黑客等重点案件超过1.8万起。相关数据泄露、侵权等问题涉及民事、行政与刑事等多个领域，对数据主体权益、市场秩序建立与行业健康发展等均产生较大负面影响。切实推进数据安全治理工作、筑牢数据安全保护屏障，成为当前极具紧迫性和必要性的重大任务。

数据分类分级是数据安全治理的重要抓手。国内分类分级思想最初体现在网络和信息系统安全治理工作中[3]，经逐步发展演化，不断契合数据要素市场实际发展需求，目前数据分类分级主要强调对不同数据实施不同管理和保护举措。其中，数据分类侧重按照类别、种类的不同进行属性划分，数据分级侧重依据某种标准按高低、大小进行级别划分。在实践中，数据分类分级有时存在混用情况。我国网络空间治理和数据保护的 “三驾马车”(《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》，简称《数据安全法》《个人信息保护法》《网络安全法》)均针对数据分类分级作出专门规定，其中《数据安全法》明确提出“国家建立数据分类分级保护制度”[4]，进一步体现国家对数据分类分级工作开展的重视程度。总体而言，数据分类分级有利于厘清不同数据资源，提供差异化的存储、流通、应用路径，推动实现数据保护和利用之间的平衡，为来自政府、组织、企业及个人的多方数据提供有效利用、便捷管理和安全保护的可行途径。

1 数据分类分级的国外实践和经验

国外政府数据分类分级管理的总体思路和框架设计与国内类似，但政策法规更具指向性，组织机构更为完善，且在实践路径上大多采用灵活多样的数据授权协议，为我国政府数据分类分级管理提供积极参考。

1.1 案例：美国政府数据分类分级管理

在不同数据属性和使用场景下，美国政府数据遵循差异化分类分级路径。针对政府安全数据，2009年美国《国家安全信息分类》设立了一套针对国家安全信息分类、保护以及解密系统。按照信息的覆盖领域，该体系中国家安全信息被划分为8类，如图1所示。在数据分级方面，按照信息泄露可能造成的后果，将国家安全信息划分成三级：秘密、机密、最高机密。针对政府非涉密的敏感数据，《受控未分类信息》(Controlled Unclassified Information，CUI)规范了行政部门处理非机密信息的方式，数据分类包括关键基础设施、防御、出口管制、金融、出入境、情报、国际协定、执法、法律、自然和文化资源、核、隐私、采购与供应链、专有业务信息、临时信息、统计、税务等。近年来，《受控未分类信息的实施与建议》《受控未分类信息的安全评估要求》《保护非联邦系统和组织中的受控未分类信息》等陆续出台，进一步细化了具体实施路径[5]。针对政府开放数据，美国政府数据开放平台主要从用户的数据查询等需求出发，建立气候、农业、能源等“数据集”(即整合不同来源处所获得的相关信息)，并提供9种分类方式，其中，以主题分类、数据集分类等形式为代表[6]。在数据分级上，平台数据向所有公众无差别开放，无需申请、授权等[7]。

图1 美国国家安全信息分类示意图

美国逐步完善政府数据分类分级管理的相关组织架构，推进分类分级落实落细。一是信息安全监督办公室，主要对安全信息分类及CUI管理进行监督、制定政策、指导、培训等，加快提升数据管理和安全保护效率；二是国家解密中心，主要职能为在维护国家安全前提下，推动信息解密、发布；三是跨部门安全分类申诉小组，主要作用在于对数据分类分级进行审查、定期或不定期召开公众讨论会，在开展信息保护的同时保障公民相关知情权；四是受控未分类信息办公室，针对CUI制定相关政策和标准、建立并主持CUI委员会、开展相关培训等，涵盖管理、运行、服务等多项职能。此外，美国还设有州、地方、部落和私营部门政策咨询委员会，以及国家工业安全计划政策咨询委员会等其他相关机构，多个部门密切配合协作[5]，共同推动美国政府数据分类分级有效执行、快速推广。

美国采用多类型数据授权协议模式，为政府数据分类分级授权应用提供操作性强、便捷度高的合规实施路径。针对联邦政府数据，鉴于其不享有著作权，美国所采用的授权协议模式为知识共享CC0(Creative Commons Zero)许可，支持用户可出于商业或者非商业目的使用该数据。针对非联邦政府数据，则基于各地法律或主体意愿采用相对应的知识共享归因许可(Creative Commons Attribution License)、开放数据库许可(Open Database License)等[8]，促进开放数据的获取与应用。

1.2 案例：英国政府数据分类分级管理

英国政府开放数据分类从“应用”视角出发，注重用户实际使用需求。英国政府数据开放门户将数据分为商业与经济、犯罪、国防、教育、环境、政府、政府支出、健康、地图、社会、城镇、交通12类，将“自上而下”的政府发布机制与“自下而上”的市场牵引机制充分结合，在传统宏观维度之外，关注政府开放数据是否满足数据使用者需求，凸显对民生、安全等领域的重视[9]。英国根据政府数据的敏感度和相关权益制定分级策略，核心是加强安全保障。英国《政府安全分类》名为“分类”，实则体现了分级原则和方法，而《最低网络安全标准》对分级防护举措进一步细化。具体而言，英国从维持信息的机密性、完整性和可用性出发，将政府数据划分为官方、秘密和绝密三个级别，并针对各级别在结果、人员安全、物理安全、信息安全等方面进行详细说明。

英国政府数据授权协议形式灵活，支持同一对象在不同环境或条件下的授权使用。在政府许可框架下，其主要包含6种方式，对象涵盖数据、数据库及其内容、软件源代码等。其中，最为普遍适用的是开放政府许可，支持用户出于商业或者非商业目的获取并使用开放数据。开放软件许可为一系列授权协议，协议数量众多，为政府部门开放相关软件源代码提供协助。为能最大限度拓展政府数据应用范围、激发数据价值，该框架为同一对象(或类型)提供了多样化授权协议，包括开放最高法院许可、开发者许可、非商业政府许可、收费许可等[8]。

1.3 发展经验与借鉴意义

针对政府数据的分类分级管理，美国和英国的分类分级设计思路、总体管理机制设置、授权协议应用手段等有效平衡了数据利用和数据安全之间的关系，对我国推动政府数据分类分级管理工作具有借鉴意义。

一是协调统一、内容健全的政策法规为分类分级提供指引保障。美、英为政府数据分类分级提供体系化政策指引，并根据实际发展持续迭代更新。美国政府安全数据、政府非涉密的敏感数据、政府开放数据等相关法规、标准、举措之间总体形成相辅相成关系，共同支撑政府数据分类分级管理运转。

二是职责清晰、分工明确的组织机构为分类分级提供管理枢纽。美国针对政府数据分类分级设立了专业化管理、执行、协调等机构[5]，打造高效运转的分类分级组织架构，推动政府充分落实分类分级制度，鼓励企业和民众等在合规前提下对符合条件的政府数据开展积极应用。

三是形式灵活、模式合规的授权协议为分类分级提供应用路径。美、英针对政府数据分类分级授权协议展开积极探索和实践，美国知识共享CC0授权协议的许可条件较少，且具备较强兼容性，为用户获取并应用政府开放数据提供便捷途径。英国授权协议涵盖范围广阔，为不同应用场景下的政府数据、软件源代码等提供灵活多样的许可支持[8]，打造高效、合规的分类分级实际应用路径。

2 数据分类分级的国内实践经验与问题

2.1 相关法律与数据分类分级

我国正在逐步构建数据安全保障、发展利用和有序流动的数据法律体系。其中最先发布的《网络安全法》主要针对网络自身的安全，而随后出台的《数据安全法》重点关注的侧重数据安全，统筹安排数据要素在经济和国家安全的角色，《个人信息保护法》则注重的是个人信息安全、保护与利用。《数据安全法》与《网络安全法》紧密衔接，完善数据相关制度体系建设，《数据安全法》同时对数据分类分级保护制度进行了提纲挈领的规定，但分类分级制度仍需要其他相关配套法规规章进一步落实和明确。同时《数据安全法》要求国家建立数据分类分级保护制度并制定重要数据目录，由此可见，未来将会出台一系列的配套制度以明确重要数据目录的内容、标准等。近期征求意见的《网络数据安全管理条例》[10]是三大数据法规在执行层面重要的配套法规，其中明确提出将数据分为一般数据、重要数据和核心数据，表明现在数据分类分级方面的工作逐步进入具体执行阶段。

2.2 政府数据、公共数据分类分级

目前，如贵州省、浙江省、福建省、杭州市、武汉市等一些省市出台了涉及政府数据、公共数据和数据资源等分类分级规范，取得一定建设成果，为其他地区起到了设计参考作用。其中主题、行业和开放共享属性分类是最常用的分类维度，而分级包括客体影响、敏感程度和数据特征等。

在政府数据方面，贵州省在全国率先发布了《政府数据 数据分类分级指南》[11]，明确了政府数据的范围，为政府数据的开放和共享提供指导，该指南采用多维度和线分类法相结合的方法，从主题、行业、服务的维度对贵州省政府数据进行分类，同时按照政府数据的敏感程度划分为公开、内部和涉密数据。杭州市出台《数据资源管理第3部分：政务数据分类分级》[12]，依据应用场景、数据来源进行分类。

在公共数据方面，涉及两类的标准：公共数据分类分级标准和公共数据开放分类分级标准。如浙江省出台的《数字化改革 公共数据分类分级指南》[13]根据公共数据具有的共同属性或特征，从数据管理(包括产生频率、生产方式、结构化特征、存储方式、质量要求)、业务应用(包括生产来源、所属行业、应用领域、使用频率、共享属性、开放属性)、安全保护(包括核心数据、重要数据、一般数据)、数据对象(包括个人、组织、客体)四大维度来进行划分。根据公共数据遭泄露、破坏后，对国家、社会、公众以及对公民、法人、组织的合法权益造成的危害程度来划分安全级别。在公共数据开放分类分级方面，如武汉市出台《公共数据资源开放核心元数据标准(试行)》和《公共数据资源开放分级分类指南(试行)》[14]，并在全国首次将有条件开放明确分为实名认证开放和审核开放两种情况。

2.3 行业数据分类分级

国内部分行业，如工业、金融、医疗和电信等开展领域内先行先试，研究发布数据分类分级指南、规定等，尝试对行业数据开展标准化管理。行业数据的分类强调学科和行业属性，专业性较强，定级则多从安全角度出发。在金融领域，证监会发布了《证券期货业数据分类分级指引》[15]，该指引提出从业务进行细分，随后对数据进行细分，最后对分类后的数据确定级别，同时推荐确定数据形态。随后发布的 《金融数据安全 数据安全分级指南》[16]，该指南不再对如银行、保险、证券等行业进行细分，表明金融行业正在探索统一的数据标准体系。在工业领域，工信部发布了《工业数据分类分级指南(试行)》[17]，并在随后开展的应用试点中，根据各地区、各行业的推荐建议，遴选出一批分类分级优秀案例，为工业数据的发展奠定了重要基础。在电信领域，《基础电信企业数据分类分级方法》[18]根据基础电信企业业务运营特点和企业内部管理方法，收集企业内所有部门的数据资源，并对所有数据资源进行梳理。其他领域如医疗和机械也分别出台了国家标准《信息安全技术 健康医疗数据安全指南》[19]《机械 科学数据 第1部分 分级分类方法》[20]等。

2.4 数据分类分级面临的主要问题

一是缺少统一的分类分级标准。国家尚未出台数据分类分级的国家规范，虽然现在部分地区、部门和行业已经出台了数据分类分级的标准规范或管理办法，但是绝大多数地区、部门和行业仍然在摸索阶段，因此造成很多地方政府、组织或企业在开展数据相关的工作时缺少重要的指导。

二是核心数据和重要数据的区分不清晰。《网络数据安全管理条例》中“按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度”来判断数据属于哪个级别，但是具体判断标准并不清晰，同时也有观点提出将核心数据纳入涉密数据的管辖范畴，造成现在数据级别划分界线模糊。

三是行业对数据分类分级尚缺乏认识。行业数据分类分级目前只有在部分领域处于制定状态，同时细分行业出台数据分类分级的难度较大，不同属性的各类行业面临不同问题。并且许多行业仅为了企业合规的目的开展数据分类分级工作，对国家数据分类分级要求落实尚缺少积极性。

3 完善路径

一是完善数据分类分级管理相关法律法规体系。加快出台国家层面的分类分级核心标准，并在此基础上，将相关规定融入到各地方、各部门的数据管理工作中。进一步完善地区、部门和行业数据分类分级规章制度，有序开展相关数据管理活动。修订涉密数据相关规定，与现有的数据安全相关法律法规进一步衔接，完善数据分类分级管理的法律法规体系。

二是健全政府分类分级管理的组织体系。《数据安全法》虽然规定了国家不同部门的相关职责，尚未具体规定部门之间如何开展数据分类分级的管理工作。各地方相关数据管理部门负责所在城市与政府数据资源的管理、城市与政府信息化建设等工作，需在此基础上进一步明确开展数据分类分级的权责体系。

三是加快重要数据、核心数据的管理工作。加快推进重要数据、核心数据的识别工作，进一步明晰重要数据、核心数据的认定标准，完善重要数据、核心数据的存储管理，配套建立重要数据、核心数据的更新维护、动态调整的管理机制。

四是加快研发数据分类分级的智能化工具和产品。当前的数据分类分级主要是通过人工和自动化软件两种方式开展，但是随着数据规模的快速增长，现有手段难以满足日益增长的数据处理需求，亟需结合快速发展的人工智能和机器学习等技术，通过研发智能化的分类分级平台来提升数据分类分级的整体效能。

4 结论

数字经济时代，数据分类分级作为数据要素管理、应用、保护的关键环节和有效抓手，其重要性日益凸显。以美国、英国为代表的国外实践案例和发展经验为我国数据分类分级设计思路、落地推进等提供了有益参考。当前，我国数据分类分级管理工作总体仍处于起步探索阶段，一方面，相关政策法律体系正逐步健全，政府数据、公共数据和行业数据分类分级管理工作初现成效。另一方面，实践中仍存在分类分级相关国家级标准未统一、数据级别划分界线不清、行业落实数据分类分级内驱不足等阻力。针对上述问题，未来建议从完善法律法规体系、健全管理组织机制、推进数据认定与管理、研发智能工具产品四方面入手，为我国数据分类分级工作的高效推进提供有力保障。