数据分类分级管理
最后更新:2026-04-06 | 由 LLM 基于知识库原始资料编译
关联概念:数据分类分级 | 重要数据保护 | 数据处理者义务与责任 | 个人信息保护
现行基准: 以《数据安全法》第21条和《网络数据安全管理条例》(2024年施行)为基准
核心法条
- 《数据安全法》第21条:国家建立数据分类分级保护制度,对数据实行分类分级保护 [现行有效]
- 《数据安全法》第17条:数据处理者应当按照数据分类分级制度,建立健全全流程数据安全管理制度 [现行有效]
- 《网络数据安全管理条例》(2024年施行):细化数据处理者分类分级要求 [现行有效]
- 《工业数据分类分级指南(试行)》(工信部,2020年发布):工业领域数据分类分级参考 [现行有效]
规则沿革
| 时间节点 |
变化内容 |
依据 |
| 2017-06-01 |
《网络安全法》施行 |
现行有效 |
| 2021-09-01 |
《数据安全法》施行 |
现行有效 |
| 2021-11-01 |
《个人信息保护法》施行 |
现行有效 |
一、数据分类分级的制度框架
数据分级
| 分级 |
定义 |
保护要求 |
| 一般数据 |
不涉及国家安全、公共利益的数据 |
基本安全保护 |
| 重要数据 |
关系国家安全、经济命脉、社会稳定、公众健康的数据 |
严格安全保护,需备案 |
| 核心数据 |
对国家安全、国民经济命脉具有重大影响的数据 |
最严格保护 |
个人信息分级
| 分级 |
范围 |
法律依据 |
| 一般个人信息 |
除敏感个人信息外的个人信息 |
《个保法》 |
| 敏感个人信息 |
生物识别、宗教信仰、金融账户、行踪轨迹、14岁以下未成年人信息等 |
《个保法》第28-32条 |
二、数据分类分级管理的要求
企业数据处理者的义务
- 建立分类分级制度:制定内部数据分类分级管理制度
- 标识管理:对数据进行分类分级标识
- 差异化保护:根据数据级别采取不同的安全保护措施
- 目录备案:重要数据目录应当向行业主管部门备案
- 定期审查:定期审查数据分类分级情况
重要数据的特殊要求
| 要求 |
说明 |
| 目录管理 |
各地区各部门制定本地区本部门重要数据具体目录 |
| 备案制度 |
数据处理者应当将重要数据目录向行业主管部门备案 |
| 风险评估 |
定期开展风险评估并报送风险评估报告 |
| 出境限制 |
重要数据出境须经过安全评估 |
| 安全审查 |
可能影响国家安全的数据处理活动须通过国家安全审查 |
三、各行业的分类分级标准
工业领域
《工业数据分类分级指南》将工业数据分为:
| 分级 |
级别 |
典型数据 |
| 一级数据 |
一般 |
一般生产数据 |
| 二级数据 |
重要 |
重要工艺参数、质量控制数据 |
| 三级数据 |
核心 |
核心技术、重大装备相关数据 |
金融领域
金融行业数据分为:
| 分级 |
范围 |
| 客户数据 |
客户身份信息、账户信息、交易记录 |
| 业务数据 |
产品定价、风险评估模型 |
| 经营管理数据 |
财务报表、经营策略 |
医疗健康领域
| 分级 |
范围 |
| 一般健康数据 |
的公开统计数据 |
| 重要健康数据 |
流行病监测数据、重要科研数据 |
| 敏感个人信息 |
患者病历、基因数据、生理体征数据 |
四、律师实务建议
- 制度建设:帮助企业建立数据分类分级管理制度
- 重要数据识别:对照行业主管部门的重要数据目录,准确识别重要数据范围
- 安全合规评估:根据数据分类分级结果评估安全保护措施是否适当
- 出境审查:重要数据出境前确保已完成安全评估
- 动态管理:随着业务发展定期更新分类分级管理
知识库原始资料索引
权威法条
行业指南