聚焦：数据分类分级进行时：上海召开试点工作会议，相关国家标准已到送审稿阶段2022-08-29 09:00:03 | 来源：21经济网 | 查看： | 评论：0

21世纪经济报道 记者郭美婷 实习生罗喜英

近日，上海市委网信办、市政府办公厅组织16家试点单位约50人召开数据分类分级、制定重要数据目录试点工作会议。会议培训了数据分类分级及重要数据识别相关标准、方法，指出结合业务属性、数据量、融合应用、使用场景、政策环境的变化动态调整数据分类分级规则。

自《数据安全法》明确对数据实行分类分级保护后，国家和地方都在加紧该项工作的进行。据行业专家透露，目前国家标准《信息安全技术 重要数据识别指南》（现改名为“规则”）已经到送审稿阶段，而国标《信息安全技术 重要数据处理安全要求》也已完成草稿，正在立项过程之中。21世纪经济报道记者梳理发现，今年以来，山西、辽宁、浙江、广东、北京等多地都在地方立法、政策文件或相关工作会议中提到了数据分类分级的推进情况。

(资料图片)

今年1月1日，《上海市数据条例》正式施行，其中提到“建立健全数据分类分级保护制度，推动数据安全治理工作。建立重要数据目录管理机制，对列入目录的数据进行重点保护。”

为促进数据共享应用，推进数据分类分级保护和重要数据目录制定工作，8月24日，上海市委网信办、市政府办公厅组织16家试点单位约50人召开数据分类分级、制定重要数据目录试点工作会议。

会议介绍了试点工作实施方案，培训了数据分类分级及重要数据识别相关标准、方法，各单位围绕试点工作当前进展、存在困难、相关诉求等方面进行讨论，试点工作组提了具体工作要求。

会议指出，数据分类分级、制定重要数据目录是一个长期、动态的过程，要考虑业务基础和数据本身特点，并结合业务属性、数据量、融合应用、使用场景、政策环境的变化动态调整数据分类分级规则；同时强调，数据分类分级、制定重要数据目录的生命力在于应用，要更加着眼于数据的“用”，以安全促发展。

“上海市此次开展试点，是一种积极作为。”中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋向21世纪经济报道记者评价道。

由于国家层面的制度只对数据分“一般、重要、核心”三级，且不规定具体分类。到了地方和行业层面，需要给出数据的分类方法，必要时可以在以上三级数据内进一步划分级别。但这与多种因素相关，目前仍处在研究之中。此次上海市提到的动态调整数据分类分级规则也是出于上述考虑的一次探索。

据悉，下一步，试点工作组将及时掌握并处理重点难点问题，结合实际需求适时开展培训，力争遴选一批优秀单位、典型案例，形成可推广做法，推动试点成果转化应用，提升全市数据安全保护水平。

数据分类分级和重要数据目录制定工作是《数据安全法》的要求。去年6月，《数据安全法》通过，第二十一条第3款指出：“各地区、各部门应当按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据进行重点保护。”

作为国家标准《信息安全技术 重要数据识别指南》（现改名为“规则”，下称《指南》）牵头起草人，左晓栋还在研究起草国标《信息安全技术 重要数据处理安全要求》（下称《要求》）。他透露，目前《指南》已经到送审稿阶段，但从工作实际需求出发，还需继续加快进程。而《要求》正在立项过程之中，编制组已经完成草稿，走完立项程序后将抓紧形成征求意见稿。

同步于国家层面的制度制定，各地也在紧锣密鼓地推进数据分类分级和重要数据识别工作。今年以来，山西、辽宁、浙江、北京等多地都在地方立法、政策文件或相关工作会议中提到了数据分类分级的推进情况。

“重要数据的识别是各地当前工作的难点。”左晓栋指出，国家标准较为原则，不可能采取列举和分类方式进行穷尽，地方和行业亟需制定更明确和可操作性更强的标准规范。

若各地、各行业或部门的数据分类分级标准不同，如何进行跨部门的数据流动？左晓栋解释，如果一个地方的数据局需要汇聚来自不同委办局的数据，而这些数据在汇聚前已经根据不同标准确定了不同的类别和级别，此时数据治理平台需要根据部门、行业等对数据标记不同的索引，分别描述其类别和级别。

由于政务数据和公共数据的权属问题相对容易解决，且这部分数据是开发利用和数据要素流动的主要对象，梳理发现，目前已有的数据分类分级的探索中，政务数据和公共数据领域的实践较多。例如，去年8月5日，浙江省正式实施《数字化改革 公共数据分类分级指南》省级地方标准，指南提出数据分类需按照数据具有的某种共同属性或特征，从四个维度（数据管理、业务应用、安全保护、数据对象）30余个子项进行区分和归类。上海、浙江、福建、重庆等地也出台了公共数据开放分级分类试行指南。今年6月30日，山西省地方标准《政务数据分类分级要求》正式实施。

此外，不少部门也出台了相关行业、领域数据分类分级保护规定，如中国人民银行在2020年9月发布了《金融数据安全 数据安全分级指南》；工业和信息化部于2021年9月发布了《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》，并于今年2月再次公开征求意见；今年7月15日，团体标准《广东省医疗健康数据安全分类分级管理技术规范》正式实施。