数据分类分级
现行基准: 网络安全法(2017)+ 数据安全法(2021)+ 个人信息保护法(2021)
最后更新:2026-04-05 | 由 LLM 基于知识库原始资料编译
关联概念:个人信息保护 | 重要数据保护 | 网络安全
核心法条
- 《数据安全法》第 21 条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度及危害程度,对数据实行分类分级保护 [现行有效]
- 《数据安全法》第 27 条:重要数据的处理者应当明确数据安全负责人和管理机构 [现行有效]
- 《数据安全法》第 30 条:重要数据处理者应定期开展风险评估并报送有关主管部门 [现行有效]
- 《网络安全法》第 21 条:网络运营者应当采取数据分类、重要数据备份和加密等措施 [现行有效]
- 《网络安全法》第 37 条:关键信息基础设施运营者在境内收集和产生的重要数据和个人信息的本地存储义务 [现行有效]
- 《企业数据合规指引》(上海杨浦区)第 3 条:企业应当建立数据分类分级保护制度 [现行有效(地方指引)] [现行有效]
- 《工业数据分类分级指南(试行)》:工信部 2020 年 2 月发布,工业数据分类分级标准 [现行有效]
规则沿革
| 时间节点 | 变化内容 | 依据 |
|---|---|---|
| 2017-06-01 | 《网络安全法》实施,确立网络安全等级保护制度及数据分类要求 | 现行有效 |
| 2018-03 | 《科学数据管理办法》要求法人单位对科学数据进行分级分类 | 国务院发 |
| 2020-02 | 工信部发布《工业数据分类分级指南(试行)》 | 现行有效 |
| 2020-02 | 央行发布《个人金融信息保护技术规范》(JR/T 0171-2020) | 现行有效 |
| 2021-09-01 | 《数据安全法》实施,确立自上而下的国家数据分类分级保护制度 | 现行有效 |
| 2021-11-01 | 《个人信息保护法》实施,个人信息处理规则体系确立 | 现行有效 |
| 2022-02-07 | 《企业数据合规指引》(上海杨浦区)发布 | 现行有效(地方指引) |
一、数据分类分级的法律基础
《数据安全法》确立的"自上而下"模式
2021 年 9 月 1 日生效的《数据安全法》创造性地提出了"自上而下"的数据分类分级路径,标志着国家对数据作为基础性战略资源的认识和管理思路的升级。
《数据安全法》第 21 条规定:
"国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。"
"国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。"
"自上而下" vs "自下而上":
- 《网络安全法》时代("自下而上"):网络运营者自行对数据进行分类,属于组织内部视角
- 《数据安全法》时代("自上而下"):由国家制定分类分级标准和目录,属于国家治理视角
北京理工大学洪延青教授分析指出,"自上而下"的数据分类分级制度设计的重大意义,可以与《网络安全法》第 21 条的"国家实行网络安全等级保护制度"做类比,凸显了国家对数据作为基础性战略资源的认识和管理思路的升级。
"自下而上"模式的局限性
"自下而上"的数据分类分级存在三个核心问题:
- 保护水平由企业自行决定:企业出于自身利益考虑,可能对个人信息的保护水平达不到社会和个人期待的水平
- "外部性"问题:掌握在企业手中的数据对国家、社会、个人的价值可能远高于对企业本身的价值(如剑桥分析事件中 8700 万 Facebook 用户数据被用于政治目的)
- 缺乏互操作性:不同行业、不同组织之间的数据分类分级无法互通,监管部门难以统一管理
二、数据分类的标准与体系
一般数据的分类
根据《工业数据分类分级指南(试行)》和《证券期货业数据分类分级指引》,企业可以从业务条线出发,对数据进行分类梳理:
工业企业数据分类维度(《工业数据分类分级指南(试行)》第 6 条):
- 研发数据域:研发设计数据、开发测试数据等
- 生产数据域:控制信息、工况状态、工艺参数、系统日志等
- 运维数据域:物流数据、产品售后服务数据等
- 管理数据域:系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等
- 外部数据域:与其他主体共享的数据等
分类方法:依据自身业务特点对产生、采集、加工、使用或管理的数据进行分类,采取"实然"路径——不改变企业实际组织生产的方式和流程,客观描述业务流程中所收集、产生出的数据类型。
重要数据的界定
《数据安全法》并未直接定义"重要数据",但在相关法规和标准中有清晰的界定。
定义回顾:
- 2017 年《网络安全法》首次提出"重要数据"(由三审稿的"重要业务数据"删"业务"两字)
- 2021 年《汽车数据安全管理若干规定(试行)》第 3 条:重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据
- 2021 年《基础电信企业重要数据识别指南》:涉及国家安全、经济发展、社会稳定以及公共利益密切相关的数据
判定核心标准:
- 放弃从"谁掌握数据"着手
- 从数据可能影响的价值、利益来判断
- 涉及国家安全、国计民生、公共利益的数据即为重要数据
核心数据
《数据安全法》第 21 条第 3 款规定:关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。
核心数据是最高级别的数据保护类别,实行更加严格的管理制度,包括但不限于数据跨境流动的严格管控。
三、数据分级的标准与体系
数据分级的一般原则
根据《工业数据分类分级指南(试行)》和部门规章,数据分级通常采用三级体系,以数据发生"篡改、破坏、泄露或非法利用"后可能造成的危害程度为依据:
| 级别 | 判定标准 | 保护措施 |
|---|---|---|
| 一般数据 | 对组织内部管理、运营有一定影响的数据 | 基本保护措施,符合《网络安全法》第 21 条要求 |
| 重要数据 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据 | 需明确安全负责人、定期风险评估并报送 |
| 核心数据 | 关系国家安全、国民经济命脉、重要民生、重大公共利益的数据 | 实行更加严格的管理制度 |
《企业数据合规指引》的数据分级要求
上海杨浦区《企业数据合规指引》第 3 条规定:
"企业应当建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度进行分类分级,针对不同类别级别的数据采取相应的保护措施。"
这意味着企业在实际操作中应当:
- 分类:按照业务领域和数据用途进行分类
- 定级:根据数据对国家安全、公共利益的影响程度确定级别
- 保护措施:针对不同类别和级别的数据采取差异化的保护措施
行业特定标准举例
| 行业 | 标准文件 | 分级体系 |
|---|---|---|
| 工业 | 《工业数据分类分级指南(试行)》 | 三级分类(按危害程度分) |
| 证券期货 | 《证券期货业数据分类分级指引》 | 从业务条线出发,按重要性和敏感度分级 |
| 个人金融 | 《个人金融信息保护技术规范》(JR/T 0171-2020) | 三级分类(C1/C2/C3) |
| 电信和互联网 | 工信部专项行动方案 | 建立网络数据分类分级保护制度 |
四、分类分级的配套保护措施
重要数据处理者的特别义务
根据《数据安全法》:
- 明确责任(第 27 条):重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任
- 定期风险评估(第 30 条):重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告
- 风险评估报告内容:应包括重要数据的种类、数量、收集、存储方式、处理和使用情况,面临的数据安全风险及其应对措施等
一般数据的保护义务
《网络安全法》第 21 条规定,网络运营者应当:
- 采取数据分类措施(作为网络安全等级保护制度的基本义务之一)
- 重要数据备份和加密等措施
- 防止网络数据泄露或者被窃取、篡改
《企业数据合规指引》第三章详细规定了企业数据风险识别的要求:
- 识别数据全生命周期各阶段中可能存在的风险(未授权访问、数据滥用、数据泄漏等)
- 识别侵犯个人信息、非法获取计算机信息系统数据、非法出售或非法向他人提供数据等违法风险
- 识别侵犯知识产权、非法跨境提供数据等刑事犯罪风险
数据合规管理体系
《企业数据合规指引》对企业数据合规管理提出了系统性要求:
- 合规责任人:企业的最高管理者是数据合规的第一责任人
- 合规管理部门:鼓励设置专门的数据合规管理部门,不建议仅由法务部门履行
- 管理职责:包括制定数据合规管理策略、推动数据合规计划实施、评估合规风险、组织培训等
跨境数据流动的特别规则
《数据安全法》第 31 条规定:
- 关键信息基础设施运营者在境内收集和产生的重要数据的出境安全评估适用《网络安全法》的规定
- 其他数据处理者收集和产生的重要数据的出境安全管理办法由国家网信部门会同国务院有关部门制定
跨境提供个人信息还须:
- 向个人告知境外接收方的名称、联系方式、处理目的、方式等
- 取得个人的单独同意
- 事先开展数据出境风险自评估
五、数据分类分级在企业合规中的实施
数据合规管理体系建设
上海杨浦区《企业数据合规指引》为企业建立数据合规管理体系提供了参考框架:
第一步:建立合规组织架构
- 最高管理者作为第一责任人
- 数据合规独立或与现有合规体系融合
- 董事会直接领导数据合规
第二步:数据风险识别
- 对数据全生命周期进行风险排查
- 按照"分类—分级—保护措施"的逻辑建立管理体系
- 识别禁止从事的数据活动(危害国家安全、窃取数据、非法出售等)
第三步:风险评估与处置
- 对数据风险进行分级评估
- 建立数据安全事件应急预案与风险处置机制
- 对识别的各类数据风险设置恰当的控制和应对措施
- 发生数据泄露、篡改、丢失等事件立即通知监管部门
第四步:合规运行与保障
- 建立便捷的投诉举报渠道,公开披露投诉处理情况
- 进行数据合规培训,培养数据合规文化
- 将数据合规纳入企业绩效考核体系
实务建议
对数据合规从业者:
- 关注"重要数据目录":国家数据安全工作协调机制将统筹制定重要数据目录,企业应根据目录调整内部数据分类
- 区分个人数据与重要数据的边界:同一份数据可能既是个人信息,也可能因规模和敏感度被认定为重要数据
- 跨境数据流动合规:提前准备数据出境安全评估材料,特别是涉及重要数据的跨境传输
- 数据分类分级文档化:形成完整的数据资产清单和分类分级台账,应对监管检查
- 技术保障配套:采用分级加密、访问控制、审计监控等技术手段落实分类分级保护
六、数据分类分级的国际竞争意义
从国际视角看,数据分类分级不仅是国内治理工具,更是数据主权竞争的基石:
美国模式:以增强本国企业获得和控制数据的能力为目标
欧盟模式:以整个欧盟市场作为政策施力点,以高水平数据保护规则抬高数据流出门槛,实现数据掌控能力
中国模式:通过自上而下的数据分类分级和重要数据目录,实现对重要数据要素的控制,同时可以灵活调整数据跨境流动规则
洪延青教授提出三个方向的设想:
1. 通过分类分级和"重要数据目录"配合数据跨境流动规则,实现对重要数据要素的控制
2. 在自贸试验区试验中赋予部分试验区根据当地特点动态调整"重要数据目录"的权力
3. 服务"一带一路"战略,制定面向不同国家的数据目录,有针对性地调适数据出境范围宽窄和规则松紧
知识库原始资料索引
法律
- 《中华人民共和国数据安全法》
学术文章
- 洪延青:国家安全视野中的数据分类分级保护
法院/地方规范
- 企业数据合规指引(上海杨浦区)
行业指引
- 工业和信息化部《工业数据分类分级指南(试行)》
- 中国人民银行《个人金融信息保护技术规范》(JR/T 0171-2020)
- 证监会《证券期货业数据分类分级指引》
- 银保监会《关于开展银行业和保险业网络安全专项治理工作的通知》