杨建军：数据分类分级标准与实践

当前,我国不断完善数据出境政策、规范数据出境活动,明确数据出境安全管理的必要前提是开展数据分类分级。《中华人民共和国数据安全法》(以下简称《数据安全法》)明确规定国家建立数据分类分级保护制度,对数据实行分类分级保护。《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出,要在国家数据分类分级保护制度下,推进数据分类分级确权授权使用和市场化流通交易。通过对数据进行分类分级管理,对不同级别的数据实施相应的保护,有助于厘清数据保护重点,防控数据安全风险,促进数据跨境流动,更好释放数据要素价值。

为贯彻落实《数据安全法》关于建立数据分类分级保护制度的要求,按照国家数据安全工作协调机制工作部署,中央网信办指导全国网络安全标准化技术委员会研究制定了国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》,用于规范和指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。

2024年3月,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》正式发布。

标准基本情况

第一,标准功能定位。

标准规定了数据分类分级的原则、框架、方法和流程,给出了重要数据识别指南,重点解决当前数据分类分级规则不一致、重要数据界定模糊、缺少方法指引等问题。

该标准的功能作用主要表现在:一是贯彻落实《数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及国家数据分类分级保护工作有关要求,提出数据分类分级统一规则,为国家数据安全管理工作提供技术支撑;二是为各行业领域开展数据分类分级提供基础规范,行业领域主管(监管)部门可参考国标制定本行业本领域的数据分类分级标准规范;三是提出通用的数据分类分级方法,对数据分类分级共性问题给出指引,为各地区、各部门和数据处理者开展数据分类分级提供方法论指导。

第二,标准主要内容。

标准正文含7个章节,第1至3章说明标准主要内容和适用范围,明确核心数据、重要数据、一般数据等概念定义;第4至7章分别规定数据分类分级应遵循的基本原则,提出数据分类框架和分类方法,给出数据分级框架和分级方法,并从行业领域主管部门和数据处理者两个角度,描述数据分类分级工作的参考流程。

标准还给出10个附录,其中,重要数据识别指南是规范性附录,提出重要数据识别常见考虑因素,其他附录分别给出数据分类参考示例、个人信息分类示例、数据分级要素识别常见考虑因素、影响对象考虑因素、影响程度参考示例、一般数据分级、衍生数据分级、动态更新情形等内容。

······

(编辑:户静凝)