企业数据合规如何迈出第一步——网络数据分类分级新规解读

信安标委近日发布了《网络数据分类分级指引》，规定了网络数据分类分级的原则，框架，方法和流程。

2021年9月1日，《中华人民共和国数据安全法》（“数据安全法”）正式生效。数据安全法规定，国家将建立数据分类分级保护制度（“数据分类分级制度”）。为落实数据分类分级制度，全国信息安全标准化技术委员会（“信安标委”）于2021年12月发布了《网络安全标准实践指南——网络数据分类分级指引》（“《实践指南》”）。《实践指南》细化规定了网络数据（定义见下文）分类分级的原则、框架、方法和实施流程，并提供了分类参考示例，如部分行业网络数据的分类分级示例，个人信息（定义见下文）的分类示例，以及组织经营维度网络数据的分类示例。这些示例为数据处理者开展网络数据分类分级工作，以及为主管监管部门进行相关网络数据分类分级管理提供了参考。

I.《实践指南》的适用范围是什么？

《实践指南》仅适用于网络数据分类分级工作。“网络数据”是指任何以电子方式对信息的记录。[1]

II.网络数据分类分级的原则是什么？

(a) 合法合规原则

在一些行业内，已存在符合其行业特性的数据分类分级行业标准、指引和规范（“行业标准”）。从事这些行业的数据处理者应首先遵守这些行业标准。现有的主要行业标准如下：

《实践指南》明确了部分行业标准中的数据分级规则与《实践指南》中的分级规则之间的对应关系[2]。例如，《工业数据分类分级指南（试行）》中规定的“工业数据三级”对应的是《实践指南》分级规则下的“核心数据”（定义见下文），“工业数据二级”对应的是“重要数据”（定义见下文），“工业数据一级”对应的是“一般数据”（定义见下文）。

(b) 分类多维原则

网络数据的分类分级应考虑多种视角和维度。从不同的视角和维度出发，可对网络数据进行多种分类。《实践指南》中的网络数据分类分级框架（详见下文第III部分）就是这一原则的绝佳范例。

(c) 分级明确原则

数据分级的各级别应界限分明。数据处理者应针对不同级别的数据采取不同的保护措施。

(d) 就高从严原则

若一个数据集包含多个级别的数据项，那么应按照数据集中最高级别的数据项对数据集进行认定。例如，如果一个数据集包含核心数据、重要数据和一般数据，那么这个数据集就应当被认定为“核心数据”。

(e) 动态调整原则

数据的分类和级别并非是一成不变的静态定论，而是会根据相关政策、特定安全事件的发生等而发生改变。

III. 网络数据分类分级的框架和方法

(a) 网络数据分类的框架和方法

根据分类多维原则，网络数据可以基于不同维度进行分类。

如上图所示[3]，所在行业存在行业标准的数据处理者应优先遵循行业标准。所在行业没有行业标准的，可以依照上图从组织经营的维度对数据进行分类。

(b) 网络数据分级的框架和方法

i. 分级的基本规则

在对网络数据进行分级时，数据处理者应综合考虑两个因素，即可能受影响的对象和影响程度。根据《实践指南》，网络数据会被划分为三个基本等级：“核心数据[4]”“重要数据[5]”和“一般数据[6]”。一般数据则可以进一步细分为1级到4级。分级的框架如下：

《实践指南》进一步针对各个危害对象的危害程度进行了描述。[7]例如，如果数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，会涉及到一个或多个省市的大部分地区，引起社会动荡，对经济建设有极其恶劣的负面影响，则该数据视为对公众利益造成严重危害，应视其为核心数据。

在对网络数据进行分级时，数据处理者首先应对照国家标准和行业标准，判断该数据是属于核心数据还是重要数据。如果国家标准或行业标准中尚未提及，数据处理者可以结合数据被篡改、破坏、泄露、非法获取或利用造成的影响程度，参照现有的识别核心数据或重要数据的标准和规定，以此判断该数据是属于核心数据还是重要数据。如果数据构成数据集，数据处理者应当遵循前述“就高从严原则”加以判断。

ii. 个人信息分级

《中华人民共和国个人信息保护法》（简称“个保法”）明确了个人信息[8]和敏感个人信息的定义[9]。在上述定义的基础上，《实践指南》通过提供具体个人信息分类分级的例子，进一步阐释了个人信息分类的机理。[10]《实践指南》还为特定的个人信息划定了评级最低参考级别。例如，敏感个人信息的最低参考级别应不低于一般数据4级，一般个人信息应不低于一般数据2级；组织内部员工个人信息应不低于一般数据2级；任何去标识化的个人信息[11]应不低于一般数据2级，任何匿名化的个人信息[12]应不低于一般数据1级。

iii. 衍生数据的定级

根据数据加工程度不同，网络数据可分为原始数据、脱敏数据、标签数据、统计数据和融合数据，除原始数据外统称为“衍生数据”。衍生数据可能会被重新定级。例如，与原始数据相比，脱敏数据和标记数据可能会被降级；与原始数据相比，统计数据，如反映大规模群体特征或行动轨迹，可能会被升级。

iv. 重新定级

当数据内容、规模、应用场景或其他情况发生变化时，数据应随之重新定级。

IV.网络数据分类分级实施流程

数据处理者应遵循以下步骤，对数据资产进行分类分级：

(a) 对组织的数据资产进行全面梳理、盘点，形成数据资产清单。

(b) 根据行业标准或其他数据分类规则，从不同的维度上对其数据资产进行分类。

(c) 分别鉴别核心数据、重要数据、不同级别的一般数据和不同级别的个人信息，并完成对其数据资产的分级。

(d) 审核上述分类分级结果，形成数据资产分类分级清单，并及时更新。

(e) 根据不同级别数据的不同要求，采取有区别的保护措施，对数据实施全流程分类分级管理和保护。

V.关键要点

数据的分类分级是中国法下开展数据合规工作的第一步，《实践指南》通过细化规则和提供参考示例的方式，为网络数据的分类和分级提供了标准化实践指引。虽然它仅适用于网络数据，但也同时为非网络数据的分类分级提供了重要参考。因此，相关企业应遵循《实践指南》和相关法律法规的指引，对其数据资产进行自查，并采取相应措施保护，确保其数据资产安全。

[注]

[1]《实践指南》第2.1条。

[2]《实践指南》附录C.4。

[3]《实践指南》第5.1条图表1 “数据分类流程”。

[4] 核心数据是指 “关系国家安全、国民经济命脉、重要民生、重大公共利益”的数据。"--《数据安全法》第21条。

[5] 重要数据是指 “一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。”--《实践指南》第2.2条。

[6] 一般数据是指 “一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对个人、组织合法权益造成危害，但不会危害国家安全、公共利益的数据。”--《实践指南》第2.4条。

[7]《实践指南》第6.1b)表3 “影响对象的影响程度描述”。

[8] 个人信息是指 “以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”--《个保法》第4条。

[9] 敏感个人信息是指“一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”-- 《个保法》第28条。

[10]《实践指南》附录B。

[11] “去标识化”是指 “个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程”--《个保法》第73条（三）。

[12] “匿名化”是指 “个人信息经过处理无法识别特定自然人且不能复原的过程”--《个保法》第73条（四）。

来源：中伦视界  作者：蔡荣伟 杨杰