2024年3月21日，全國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（以下簡稱“網(wǎng)安標(biāo)委”）發(fā)布《GB/T 43697-2024 數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級(jí)規(guī)則》（以下簡稱“《數(shù)據(jù)分類分級(jí)規(guī)則》”）?！稊?shù)據(jù)分類分級(jí)規(guī)則》作為網(wǎng)安標(biāo)委發(fā)布的首份數(shù)據(jù)安全技術(shù)標(biāo)準(zhǔn)，涵蓋了數(shù)據(jù)分類分級(jí)、重要數(shù)據(jù)和國家核心數(shù)據(jù)識(shí)別等重要內(nèi)容。

本文對(duì)《數(shù)據(jù)分類分級(jí)規(guī)則》作出解讀，梳理、總結(jié)了數(shù)據(jù)分類分級(jí)的原則、流程和方法論，探討企業(yè)可能面臨的現(xiàn)實(shí)困境，并結(jié)合我們的既往經(jīng)驗(yàn)提出企業(yè)識(shí)別重要數(shù)據(jù)的“六步法”，以期為企業(yè)開展數(shù)據(jù)分類分級(jí)和重要數(shù)據(jù)識(shí)別工作提供參考。

《數(shù)據(jù)分類分級(jí)規(guī)則》基本延續(xù)了網(wǎng)安標(biāo)委于2022年09月14日發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求（征求意見稿）》（以下簡稱“《網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求》”）的內(nèi)容，同時(shí)將“重要數(shù)據(jù)識(shí)別指南”作為規(guī)范性附錄G納入體系，形成了包含數(shù)據(jù)分類分級(jí)、重要數(shù)據(jù)識(shí)別和國家核心數(shù)據(jù)識(shí)別的完整體系。

（一）適用范圍

《數(shù)據(jù)分類分級(jí)規(guī)則》“適用于行業(yè)領(lǐng)域主管（監(jiān)管）部門參考制定本行業(yè)本領(lǐng)域的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)規(guī)范，也適用于各地區(qū)、各部門開展數(shù)據(jù)分類分級(jí)工作，同時(shí)為數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)分類分級(jí)提供參考。”

《數(shù)據(jù)分類分級(jí)規(guī)則》作為普適性規(guī)則，既包含了數(shù)據(jù)分類分級(jí)的原則、框架、方法和流程，還提供了“重要數(shù)據(jù)識(shí)別指南”，行業(yè)領(lǐng)域主管（監(jiān)管）部門可以在《數(shù)據(jù)分類分級(jí)規(guī)則》的基礎(chǔ)上制定本行業(yè)本領(lǐng)域細(xì)分的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)，并參照重要數(shù)據(jù)識(shí)別指南制定本行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄，而數(shù)據(jù)處理者現(xiàn)階段可以先行參照《數(shù)據(jù)分類分級(jí)規(guī)則》開展數(shù)據(jù)分類分級(jí)工作和重要數(shù)據(jù)識(shí)別工作，并在行業(yè)領(lǐng)域主管（監(jiān)管）部門發(fā)布細(xì)分規(guī)則或重要數(shù)據(jù)目錄后，及時(shí)銜接加以適用。

（二）概念與原則

與《網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求》相比，《數(shù)據(jù)分類分級(jí)規(guī)則》添加了“敏感個(gè)人信息”和“公共數(shù)據(jù)”兩個(gè)術(shù)語概念。“敏感個(gè)人信息”銜接了《個(gè)人信息保護(hù)法》對(duì)敏感個(gè)人信息的定義，提示企業(yè)敏感個(gè)人信息保護(hù)作為立法、執(zhí)法和司法關(guān)注的重點(diǎn)領(lǐng)域，應(yīng)在內(nèi)部分類分級(jí)的基礎(chǔ)上加強(qiáng)敏感個(gè)人信息保護(hù)工作；針對(duì)“公共數(shù)據(jù)”概念的明確，則是對(duì)數(shù)據(jù)要素行動(dòng)與公共數(shù)據(jù)利用浪潮的回應(yīng)，在創(chuàng)新公共數(shù)據(jù)管理新模式的進(jìn)程中，推動(dòng)落實(shí)公共數(shù)據(jù)分類分級(jí)要求，降低公共數(shù)據(jù)授權(quán)確權(quán)和流通交易障礙，釋放公共數(shù)據(jù)價(jià)值。

《數(shù)據(jù)分類分級(jí)規(guī)則》明確了科學(xué)實(shí)用、邊界清晰、就高從嚴(yán)、點(diǎn)面結(jié)合和動(dòng)態(tài)更新等五項(xiàng)數(shù)據(jù)分類分級(jí)原則，行業(yè)領(lǐng)域主管（監(jiān)管）部門應(yīng)按照數(shù)據(jù)所屬行業(yè)領(lǐng)域進(jìn)行分類分級(jí)管理，并遵循數(shù)據(jù)分類分級(jí)原則制定細(xì)分規(guī)則，企業(yè)也應(yīng)根據(jù)該等原則落實(shí)數(shù)據(jù)分類分級(jí)和重要數(shù)據(jù)識(shí)別管理工作。

（三）數(shù)據(jù)分類

《數(shù)據(jù)分類分級(jí)規(guī)則》提供了開展數(shù)據(jù)分類的框架和方法。各行業(yè)各領(lǐng)域主管（監(jiān)管）部門以及數(shù)據(jù)處理者均可以按照先行業(yè)領(lǐng)域分類，再業(yè)務(wù)屬性分類的方式進(jìn)行。

各行業(yè)各領(lǐng)域主管（監(jiān)管）部門應(yīng)對(duì)本行業(yè)本領(lǐng)域的數(shù)據(jù)進(jìn)行整體識(shí)別，明確所處行業(yè)領(lǐng)域，如工業(yè)、電信、金融等，再根據(jù)本行業(yè)本領(lǐng)域業(yè)務(wù)屬性如業(yè)務(wù)領(lǐng)域、責(zé)任部門、描述對(duì)象等進(jìn)行細(xì)化分類，如工業(yè)領(lǐng)域數(shù)據(jù)按照部門職責(zé)可以進(jìn)一步分成原材料、裝備制造、消費(fèi)品、電子信息制造、軟件和信息技術(shù)服務(wù)等類別。對(duì)于數(shù)據(jù)處理者而言，則首先應(yīng)明確自身業(yè)務(wù)涉及的行業(yè)領(lǐng)域，并按照各行業(yè)各領(lǐng)域主管（監(jiān)管）部門的細(xì)分規(guī)則，根據(jù)數(shù)據(jù)管理和使用需求，結(jié)合已有數(shù)據(jù)分類基礎(chǔ)，靈活選擇業(yè)務(wù)屬性將數(shù)據(jù)細(xì)化分類。

此外，對(duì)于涉及法律法規(guī)有專門管理要求的數(shù)據(jù)類別（如個(gè)人信息、汽車數(shù)據(jù)等），應(yīng)按照有關(guān)規(guī)定或標(biāo)準(zhǔn)對(duì)個(gè)人信息、敏感個(gè)人信息、汽車數(shù)據(jù)等進(jìn)行識(shí)別和分類。

（四）數(shù)據(jù)分級(jí)

《數(shù)據(jù)分類分級(jí)規(guī)則》提供了數(shù)據(jù)分級(jí)的基本框架和思路，一般將數(shù)據(jù)從高到低分為核心、重要、一般三個(gè)級(jí)別，并通過“重要數(shù)據(jù)識(shí)別指南（規(guī)范性）”和“一般數(shù)據(jù)分級(jí)參考（資料性）”等附錄作出了更詳細(xì)的說明。

《數(shù)據(jù)分類分級(jí)規(guī)則》確定了數(shù)據(jù)分級(jí)的方法：

- 第一，確定數(shù)據(jù)分級(jí)的對(duì)象，如數(shù)據(jù)項(xiàng)、數(shù)據(jù)集、衍生數(shù)據(jù)、跨行業(yè)領(lǐng)域數(shù)據(jù)等；

- 第二，識(shí)別數(shù)據(jù)分級(jí)要素，如數(shù)據(jù)的領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度等；

- 第三，開展數(shù)據(jù)影響分析，結(jié)合數(shù)據(jù)分級(jí)要素識(shí)別情況，分析數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，可能影響的對(duì)象和影響程度；

- 第四，識(shí)別核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)，綜合確定數(shù)據(jù)級(jí)別。

（五）數(shù)據(jù)分類分級(jí)流程

區(qū)別于《網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)要求》，《數(shù)據(jù)分類分級(jí)規(guī)則》區(qū)分了各行業(yè)各領(lǐng)域主管（監(jiān)管）部門和數(shù)據(jù)處理者兩個(gè)角色，分別給出了數(shù)據(jù)分類分級(jí)流程。

針對(duì)各行業(yè)各領(lǐng)域主管（監(jiān)管）部門，應(yīng)該在遵循國家有關(guān)規(guī)定要求的基礎(chǔ)上，制定本行業(yè)本領(lǐng)域的數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)規(guī)范，重點(diǎn)明確行業(yè)數(shù)據(jù)分類細(xì)則，分析行業(yè)領(lǐng)域數(shù)據(jù)分級(jí)要素，確定重要數(shù)據(jù)和一般數(shù)據(jù)范圍，建議核心數(shù)據(jù)范圍。此外，各行業(yè)各領(lǐng)域主管（監(jiān)管）部門還應(yīng)該組織并指導(dǎo)本行業(yè)本領(lǐng)域數(shù)據(jù)處理者開展具體的數(shù)據(jù)分類分級(jí)工作。

針對(duì)數(shù)據(jù)處理者，應(yīng)該開展數(shù)據(jù)資產(chǎn)梳理，制定內(nèi)部數(shù)據(jù)分類分級(jí)細(xì)則并切實(shí)開展數(shù)據(jù)分類分級(jí)工作，對(duì)其中重要數(shù)據(jù)、核心數(shù)據(jù)等按照相關(guān)法律法規(guī)或各行業(yè)各領(lǐng)域主管（監(jiān)管）部門要求進(jìn)行報(bào)送，并在后續(xù)工作進(jìn)程中持續(xù)動(dòng)態(tài)更新。

（一）確定衍生數(shù)據(jù)分級(jí)的“深度”要素，適應(yīng)AI浪潮下的安全挑戰(zhàn)

根據(jù)《數(shù)據(jù)分類分級(jí)規(guī)則》第6.3條，影響數(shù)據(jù)分級(jí)的要素一般包括數(shù)據(jù)的領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度、重要性等，其中“深度”通常作為衍生數(shù)據(jù)的分級(jí)要素，是指“通過數(shù)據(jù)統(tǒng)計(jì)、關(guān)聯(lián)、挖掘或融合等加工處理，對(duì)數(shù)據(jù)描述對(duì)象的隱含信息或多維度細(xì)節(jié)信息的刻畫程度?！?

《數(shù)據(jù)分類分級(jí)規(guī)則》確定了衍生數(shù)據(jù)分級(jí)的“深度”要素，一方面是綜合考慮了當(dāng)下人工智能（AI）技術(shù)和算法技術(shù)蓬勃發(fā)展的浪潮，提示各行業(yè)各領(lǐng)域主管（監(jiān)管）部門指導(dǎo)開展數(shù)據(jù)分類分級(jí)工作過程中，應(yīng)充分考慮AI和算法技術(shù)浪潮帶來的數(shù)據(jù)安全挑戰(zhàn)；另一方面也提示企業(yè)注意在開展數(shù)據(jù)分類分級(jí)工作過程中，審慎確定衍生數(shù)據(jù)的類別和級(jí)別，匹配深度合成、算法推薦以及生成式人工智能等方面數(shù)據(jù)處理的監(jiān)管要求和合規(guī)義務(wù)。

（二）重要數(shù)據(jù)識(shí)別責(zé)任壓實(shí)，重要數(shù)據(jù)目錄呼之欲出

《數(shù)據(jù)安全法》第二十一條提出數(shù)據(jù)分類分級(jí)制度，要求各地區(qū)、各部門應(yīng)當(dāng)按照數(shù)據(jù)分類分級(jí)保護(hù)制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。然而，由于《重要數(shù)據(jù)識(shí)別規(guī)則》未發(fā)布、重要數(shù)據(jù)識(shí)別因素難以界定等原因，各地區(qū)或部門頒布重要數(shù)據(jù)目錄的進(jìn)程較為緩慢。

本次《數(shù)據(jù)分類分級(jí)規(guī)則》的頒布，一方面包含了附錄G“重要數(shù)據(jù)識(shí)別指南（規(guī)范性）”，作為正式文件，指導(dǎo)各行業(yè)各領(lǐng)域主管（監(jiān)管）部門并同數(shù)據(jù)處理者開展重要數(shù)據(jù)識(shí)別工作，另一方面，《數(shù)據(jù)分類分級(jí)規(guī)則》重申了各行業(yè)各領(lǐng)域主管（監(jiān)管）部門確定重要數(shù)據(jù)，頒布重要數(shù)據(jù)目錄的責(zé)任?？梢灶A(yù)見，各行業(yè)各領(lǐng)域主管（監(jiān)管）部門將陸續(xù)頒布重要數(shù)據(jù)目錄，并進(jìn)一步指導(dǎo)和組織企業(yè)開展重要數(shù)據(jù)識(shí)別和管理工作。

（三）核心數(shù)據(jù)逐漸清晰，識(shí)別機(jī)制多重聯(lián)動(dòng)

《數(shù)據(jù)安全法》第二十一條提出國家核心數(shù)據(jù)的概念，但與重要數(shù)據(jù)類似，尚缺乏具體識(shí)別指引。本次《數(shù)據(jù)分類分級(jí)規(guī)則》明確了“核心數(shù)據(jù)”的概念，即“對(duì)領(lǐng)域、群體、區(qū)域具有較高覆蓋度或達(dá)到較高精度、較大規(guī)模、一定深度的，一旦被非法使或共享，可能直接影響政治安全的重要數(shù)據(jù)”，并給出了核心數(shù)據(jù)級(jí)別確定規(guī)則。根據(jù)該定義，核心數(shù)據(jù)將作為重要數(shù)據(jù)的子集。

根據(jù)《數(shù)據(jù)分類分級(jí)規(guī)則》，各行業(yè)各領(lǐng)域主管（監(jiān)管）部門應(yīng)該分析并確定哪些數(shù)據(jù)屬于重要數(shù)據(jù)，并頒布重要數(shù)據(jù)目錄。與重要數(shù)據(jù)的識(shí)別相區(qū)分，對(duì)于核心數(shù)據(jù)，各行業(yè)各領(lǐng)域主管（監(jiān)管）部門可以明確本行業(yè)本領(lǐng)域核心數(shù)據(jù)識(shí)別細(xì)則，對(duì)哪些數(shù)據(jù)屬于核心數(shù)據(jù)提出建議，但無法直接認(rèn)定。

（四）數(shù)據(jù)分級(jí)細(xì)節(jié)參考，2-4級(jí)“簡繁適宜”

《數(shù)據(jù)分類分級(jí)規(guī)則》對(duì)一般數(shù)據(jù)分級(jí)提供了靈活的適用方式，在確定重要數(shù)據(jù)和核心數(shù)據(jù)的基礎(chǔ)上，企業(yè)可以根據(jù)自身業(yè)務(wù)實(shí)踐情況，根據(jù)數(shù)據(jù)的類型、規(guī)模等選擇將一般數(shù)據(jù)劃分為2-4級(jí)。不過，《數(shù)據(jù)分類分級(jí)規(guī)則》對(duì)特定類型數(shù)據(jù)如個(gè)人信息、公共數(shù)據(jù)等進(jìn)行了最低級(jí)別限制，如在4級(jí)框架下，敏感個(gè)人信息不應(yīng)該低于4級(jí)，禁止開放/共享的公共數(shù)據(jù)不得低于4級(jí)，企業(yè)則可以在既有規(guī)則框架內(nèi)根據(jù)業(yè)務(wù)實(shí)際情況或變動(dòng)動(dòng)態(tài)調(diào)整。

《數(shù)據(jù)分類分級(jí)規(guī)則》規(guī)定了數(shù)據(jù)分類分級(jí)的原則、框架、方法和流程，其中不乏亮點(diǎn)和創(chuàng)新，并給出了“重要數(shù)據(jù)識(shí)別指南”，為企業(yè)開展重要數(shù)據(jù)識(shí)別工作揭開面紗。然而，正如《數(shù)據(jù)分類分級(jí)規(guī)則》提出的工作思路，“通過該規(guī)則指導(dǎo)行業(yè)領(lǐng)域主管（監(jiān)管）部門制定本行業(yè)本領(lǐng)域的數(shù)據(jù)分類分級(jí)規(guī)范、開展相應(yīng)工作”。結(jié)合我們的觀察，以重要數(shù)據(jù)為例，網(wǎng)信作為數(shù)據(jù)安全工作主管（監(jiān)管）部門，與各具體行業(yè)領(lǐng)域主管（監(jiān)管）部門，現(xiàn)階段其針對(duì)重要數(shù)據(jù)處理者的監(jiān)管將可能存在交叉領(lǐng)域，并構(gòu)成相關(guān)企業(yè)履行合規(guī)義務(wù)的現(xiàn)實(shí)困境。

具體而言，根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》，企業(yè)如向境外傳輸重要數(shù)據(jù)，需向網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估。與此同時(shí)，針對(duì)特殊類型數(shù)據(jù)（人遺、出口管制物項(xiàng)、測繪、金融等）的跨境傳輸，亦有相應(yīng)行業(yè)領(lǐng)域的監(jiān)管要求，企業(yè)據(jù)此將面臨行業(yè)領(lǐng)域主管（監(jiān)管）部門及數(shù)據(jù)安全工作主管部門的雙重監(jiān)管困境。

以人類遺傳資源信息出境為例，根據(jù)《人類遺傳資源管理?xiàng)l例》第二十八條，將人類遺傳資源信息向外國組織、個(gè)人及其設(shè)立或者實(shí)際控制的機(jī)構(gòu)提供或者開放使用，應(yīng)通過衛(wèi)健委[1]安全審查，或需要向衛(wèi)健委提交備案并提交信息備份。由于人類遺傳資源信息還可能構(gòu)成重要數(shù)據(jù)，進(jìn)而可能還面臨向網(wǎng)信部門申報(bào)安全評(píng)估的義務(wù)。根據(jù)我們的了解，在基因行業(yè)開展人類遺傳資源信息出境業(yè)務(wù)或國際合作項(xiàng)目的企業(yè)，對(duì)于衛(wèi)健委的出境審查/備案程序已相對(duì)熟悉，但是否以及如何申報(bào)數(shù)據(jù)出境安全評(píng)估則為企業(yè)帶來額外成本及不確定性。就人類遺傳資源信息是否構(gòu)成重要數(shù)據(jù)，以及是否需申報(bào)安全評(píng)估，網(wǎng)信部門往往要求企業(yè)應(yīng)先行尋求行業(yè)領(lǐng)域主管部門（例如衛(wèi)健委）的意見。

除人類遺傳資源信息出境外，其他交叉領(lǐng)域，例如出口管制物項(xiàng)相關(guān)的數(shù)據(jù)出境、測繪數(shù)據(jù)、金融數(shù)據(jù)出境等，都可能面臨類似的雙重監(jiān)管困境?？紤]到重要數(shù)據(jù)識(shí)別及管控存在較強(qiáng)的行業(yè)屬性，結(jié)合網(wǎng)信部門的意見，可供參考的破題思路為：以行業(yè)監(jiān)管作為抓手，履行本行業(yè)關(guān)于出境的法定義務(wù)通常是必選項(xiàng)，關(guān)于是否需向網(wǎng)信辦申報(bào)出境安全評(píng)估，則需積極尋求行業(yè)主管部門的意見。

此外，數(shù)據(jù)正是在跨地域、跨行業(yè)、跨場景的流轉(zhuǎn)、匯總和分析中方能釋放更大的價(jià)值，這就對(duì)目前《數(shù)據(jù)分類分級(jí)規(guī)則》提及的行業(yè)、領(lǐng)域監(jiān)管縱向確定分類方式和重要數(shù)據(jù)目錄的思路提出了后續(xù)落地的挑戰(zhàn)，例如電信行業(yè)的數(shù)據(jù)用于個(gè)人征信部分的數(shù)據(jù)分類以及重要數(shù)據(jù)識(shí)別問題如何通過目前的縱向架構(gòu)解決？此問題仍待進(jìn)一步觀察。

數(shù)據(jù)分類分級(jí)保護(hù)是企業(yè)在《數(shù)據(jù)安全法》項(xiàng)下的基礎(chǔ)性工作，針對(duì)一般數(shù)據(jù)，《數(shù)據(jù)分類分級(jí)規(guī)則》為企業(yè)留出了足夠的自決空間，針對(duì)核心數(shù)據(jù)，認(rèn)定條件極高且需由行業(yè)領(lǐng)域主管（監(jiān)管）部門提出建議后由國家有關(guān)部門評(píng)估確定[2]。據(jù)此，重要數(shù)據(jù)識(shí)別和認(rèn)定是企業(yè)順利開展數(shù)據(jù)分類分級(jí)的重要條件，同時(shí)也是企業(yè)履行重要數(shù)據(jù)安全管理法定義務(wù)的前提[3]。

（一）重要數(shù)據(jù)識(shí)別的責(zé)任：積極識(shí)別亦或被動(dòng)識(shí)別？

對(duì)于數(shù)據(jù)處理者而言，關(guān)于企業(yè)所處理數(shù)據(jù)的重要數(shù)據(jù)識(shí)別責(zé)任，一直不甚清晰，一曰主動(dòng)識(shí)別論，即企業(yè)有主動(dòng)識(shí)別重要數(shù)據(jù)的責(zé)任，即使行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄尚未發(fā)布，亦應(yīng)當(dāng)按照重要數(shù)據(jù)的一般識(shí)別規(guī)則進(jìn)行識(shí)別；一曰被動(dòng)識(shí)別論，只有所在行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄清晰后，企業(yè)才具有識(shí)別重要數(shù)據(jù)（含國家核心數(shù)據(jù)）的義務(wù)。支持被動(dòng)識(shí)別論的一方，最有利的依據(jù)當(dāng)然是最近發(fā)布的《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》，其規(guī)定“未被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的，數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報(bào)數(shù)據(jù)出境安全評(píng)估”。

對(duì)于重要數(shù)據(jù)標(biāo)準(zhǔn)尚不清晰的行業(yè)領(lǐng)域，《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》免除數(shù)據(jù)處理者在數(shù)據(jù)跨境流動(dòng)中的安全評(píng)估申報(bào)義務(wù)，并不當(dāng)然能得出一般性結(jié)論，即：重要數(shù)據(jù)的識(shí)別義務(wù)是被動(dòng)識(shí)別。首先，重要數(shù)據(jù)處理者的法律責(zé)任，比數(shù)據(jù)跨境合規(guī)的單一維度要廣闊的多，《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》并未免除重要數(shù)據(jù)處理者的其他法律義務(wù)；其次，即使某一主管（監(jiān)管）部門發(fā)布了某一具體行業(yè)領(lǐng)域的重要數(shù)據(jù)清單，也會(huì)存在需要個(gè)案裁量的空間，仍需要數(shù)據(jù)處理者要依照企業(yè)數(shù)據(jù)資源的實(shí)際狀況進(jìn)行判斷?；诖耍覀冋J(rèn)為，數(shù)據(jù)處理者重要數(shù)據(jù)識(shí)別的行動(dòng)義務(wù)，并不因?yàn)椤洞龠M(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》的規(guī)定而免除，數(shù)據(jù)處理者應(yīng)當(dāng)主動(dòng)履行數(shù)據(jù)分類分級(jí)和重要數(shù)據(jù)的行動(dòng)義務(wù)，但如果因該行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄尚未發(fā)布或已發(fā)布但不清晰而導(dǎo)致數(shù)據(jù)處理者無法識(shí)別的，并不因此承擔(dān)相應(yīng)的法律后果。

（二）重要數(shù)據(jù)識(shí)別的方法論：六步法

實(shí)踐層面，上海通管局于2023年2月發(fā)布官方通報(bào)，探索工信領(lǐng)域監(jiān)管側(cè)識(shí)別、認(rèn)定重要數(shù)據(jù)并形成重要數(shù)據(jù)目錄的路徑[4]，工信部、央行等主管部門亦在去年陸續(xù)開展重要數(shù)據(jù)識(shí)別和報(bào)送試點(diǎn)工作。前述認(rèn)定實(shí)踐尚處于試點(diǎn)階段，目前仍有相當(dāng)部分行業(yè)主管部門尚未開展此等試點(diǎn)工作，且即使開展，亦僅少數(shù)企業(yè)可深度參與至此等由監(jiān)管主導(dǎo)的重要數(shù)據(jù)識(shí)別工作中。

結(jié)合前述《數(shù)據(jù)分類分級(jí)規(guī)則》及我們幫助企業(yè)在重要數(shù)據(jù)識(shí)別與合規(guī)工作的經(jīng)驗(yàn)，建議現(xiàn)階段企業(yè)可按照如下“六步法”開展自身數(shù)據(jù)資產(chǎn)盤點(diǎn)與重要數(shù)據(jù)識(shí)別工作：

第一步 數(shù)據(jù)資產(chǎn)盤點(diǎn)及數(shù)據(jù)分類

重要數(shù)據(jù)識(shí)別的最終目標(biāo)是實(shí)現(xiàn)國家安全管控與企業(yè)數(shù)據(jù)資產(chǎn)分類分級(jí)管理的銜接。建議企業(yè)對(duì)自身數(shù)據(jù)處理活動(dòng)按業(yè)務(wù)場景或按實(shí)體/部門等開展調(diào)查，以對(duì)所掌握的數(shù)據(jù)資產(chǎn)進(jìn)行盤點(diǎn)和梳理，形成數(shù)據(jù)資產(chǎn)清單?？紤]到《數(shù)據(jù)分類分級(jí)規(guī)則》及現(xiàn)有規(guī)定對(duì)于重要數(shù)據(jù)的識(shí)別均強(qiáng)調(diào)行業(yè)特性和領(lǐng)域特性，故此階段還宜對(duì)數(shù)據(jù)資產(chǎn)清單進(jìn)行分類，尤其是對(duì)行業(yè)和領(lǐng)域進(jìn)行分類。此外，企業(yè)并非需對(duì)數(shù)據(jù)處理活動(dòng)所涉及的全部數(shù)據(jù)負(fù)責(zé)，一般應(yīng)對(duì)作為Data Owner的部分負(fù)責(zé)，故還需考慮數(shù)據(jù)處理關(guān)系。

合規(guī)提示：

- 數(shù)據(jù)資產(chǎn)盤點(diǎn)：如企業(yè)所涉及的實(shí)體/部門/業(yè)務(wù)場景較多，可考慮優(yōu)先開展高風(fēng)險(xiǎn)實(shí)體/場景（例如業(yè)務(wù)場景涉及數(shù)據(jù)跨境，或客戶涉及CIIO、政府部門等）作為開展“六步法”的Pilot，待形成較為成熟的方法論后，再推廣至其他實(shí)體/部門/業(yè)務(wù)場景。

- 數(shù)據(jù)分類：可參考《數(shù)據(jù)分類分級(jí)規(guī)則》第5條所提供的分類方法，按照先行業(yè)領(lǐng)域（工業(yè)、電信、金融、能源、交通運(yùn)輸、自然資源、衛(wèi)生健康、教育、科學(xué)等）分類、再業(yè)務(wù)屬性（業(yè)務(wù)領(lǐng)域、責(zé)任部門、描述對(duì)象、環(huán)節(jié)流程、數(shù)據(jù)主體、內(nèi)容主題、數(shù)據(jù)用途、數(shù)據(jù)處理、數(shù)據(jù)來源）分類的思路進(jìn)行分類，并就法律法規(guī)明確規(guī)定的數(shù)據(jù)類別（例如個(gè)人信息）按照相關(guān)規(guī)定進(jìn)行分類。重點(diǎn)關(guān)注隸屬行業(yè)領(lǐng)域主管（監(jiān)管）維度的數(shù)據(jù)。

第二步 檢索行業(yè)規(guī)定/目錄，如有則直接認(rèn)定

企業(yè)開展數(shù)據(jù)資產(chǎn)梳理及數(shù)據(jù)分類后，可對(duì)其中隸屬行業(yè)領(lǐng)域主管（監(jiān)管）維度的數(shù)據(jù)資產(chǎn)開展行業(yè)規(guī)定、目錄（以下稱“行業(yè)規(guī)則”）的檢索和匹配，并參照如下原則處理：

1）如本行業(yè)已出臺(tái)行業(yè)規(guī)則并明確列舉本行業(yè)重要數(shù)據(jù)類型或已出臺(tái)重要數(shù)據(jù)目錄，則可直接予以認(rèn)定；針對(duì)某行業(yè)已出臺(tái)行業(yè)規(guī)則明確重要數(shù)據(jù)類型，且企業(yè)已掌握但未被明確作為“重要數(shù)據(jù)”列入此等行業(yè)規(guī)則的數(shù)據(jù)資產(chǎn)，可暫時(shí)不認(rèn)定為重要數(shù)據(jù)；

2）如本行業(yè)尚未出臺(tái)重要數(shù)據(jù)具體規(guī)定/目錄，則進(jìn)入第三步“梳理本行業(yè)關(guān)鍵要素”。

合規(guī)提示：

截止本文發(fā)布之日，除作為“監(jiān)管先行”的汽車行業(yè)在《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（以下簡稱“《若干規(guī)定》”）第三條第六款[5]對(duì)汽車領(lǐng)域所涉及的重要數(shù)據(jù)類型進(jìn)行了列舉；以及電信、工信等重要敏感行業(yè)已公開或內(nèi)部形成本行業(yè)的重要數(shù)據(jù)識(shí)別規(guī)則/指南外，大部分行業(yè)尚未公開發(fā)布的本行業(yè)重要數(shù)據(jù)目錄。

第三步 如無行業(yè)規(guī)則，則梳理本行業(yè)關(guān)鍵要素

如經(jīng)檢索無本行業(yè)的相應(yīng)行業(yè)規(guī)則，則企業(yè)可通過“原則要素+定性定量要素”作為方法論，梳理本行業(yè)數(shù)據(jù)處理活動(dòng)中與國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)秩序、公共利益（如危害公共健康和安全）等的敏感要素，為第四步“形成企業(yè)內(nèi)部重要數(shù)據(jù)目錄”作準(zhǔn)備。

1）原則要素：結(jié)合《數(shù)據(jù)分類分級(jí)規(guī)則》第6.5條規(guī)定，梳理本行業(yè)可能涉及的影響國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全的要素。例如是否屬于國家秘密相關(guān)的數(shù)據(jù)（非密數(shù)據(jù)）；是否屬于與國家安全（經(jīng)濟(jì)安全、科技安全、網(wǎng)絡(luò)安全、人工智能安全等）相關(guān)的數(shù)據(jù)；是否屬于與行業(yè)發(fā)展安全相關(guān)的數(shù)據(jù)；是否屬于與出口管制物項(xiàng)相關(guān)的數(shù)據(jù)等。

2）特定要素（“定性”+“定量”）：以本行業(yè)專業(yè)人士的視角（如果是法務(wù)或合規(guī)部門主導(dǎo)工作，可通過對(duì)業(yè)務(wù)部門同事進(jìn)行訪談等形式，與業(yè)務(wù)部門共同確定哪些領(lǐng)域、哪些群體、哪些區(qū)域、何等重要程度、多高精度、多大規(guī)模和覆蓋度、多少深度的數(shù)據(jù)可考慮構(gòu)成重要數(shù)據(jù)）：

- “定性關(guān)鍵要素”：包括“領(lǐng)域”“群體”“區(qū)域”“重要性”，例如農(nóng)業(yè)需考慮糧食安全領(lǐng)域，基因行業(yè)需考慮科技倫理領(lǐng)域以及特定群體的基因安全等，自然資源行業(yè)需考慮敏感區(qū)域的測繪數(shù)據(jù)泄露后可能遭至的境外勢力軍事打擊等，數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度等；

- “定量關(guān)鍵要素”：包括“精度”“規(guī)?！薄案采w度”等，例如，多大精度（例如超過一定精度的地圖數(shù)據(jù)）、多大規(guī)模和覆蓋度（例如覆蓋面積超過全國多少省市的無人機(jī)影像數(shù)據(jù)）即考慮構(gòu)成重要數(shù)據(jù)，以避免因“泛保護(hù)”而阻礙企業(yè)正常業(yè)務(wù)的開展。

- “衍生數(shù)據(jù)關(guān)鍵要素”：包括“深度”，例如進(jìn)行數(shù)據(jù)統(tǒng)計(jì)、關(guān)聯(lián)、挖掘或融合等加工后導(dǎo)致敏感程度上升。

合規(guī)提示：

針對(duì)大部分行業(yè)的企業(yè)，現(xiàn)階段無本行業(yè)規(guī)則并不代表企業(yè)可對(duì)所掌握的高敏感數(shù)據(jù)一直持“觀望”狀態(tài)，尤其是未來一旦被認(rèn)定為重要數(shù)據(jù)，由于會(huì)受到數(shù)據(jù)本地化、出境安全評(píng)估、備案上報(bào)等合規(guī)要求的約束，將可能導(dǎo)致企業(yè)面臨業(yè)務(wù)模式的劇變，進(jìn)而導(dǎo)致更多的成本投入。目前，《數(shù)據(jù)分類分級(jí)規(guī)則》已經(jīng)出臺(tái)，各行業(yè)加快重要數(shù)據(jù)識(shí)別和監(jiān)管已是大勢所趨，建議企業(yè)在現(xiàn)階段（尤其是針對(duì)高敏感數(shù)據(jù)且涉及出境等處理活動(dòng)）即開展重要數(shù)據(jù)識(shí)別工作的部署和梳理，以合理成本平穩(wěn)地度過重要數(shù)據(jù)監(jiān)管的陣痛期。

第四步 形成企業(yè)內(nèi)部重要數(shù)據(jù)識(shí)別指南

通過對(duì)本行業(yè)涉及重要數(shù)據(jù)關(guān)鍵要素的梳理，企業(yè)可據(jù)此形成內(nèi)部的重要數(shù)據(jù)識(shí)別指南，該指南中的原則性內(nèi)容可參照《數(shù)據(jù)分類分級(jí)規(guī)則》進(jìn)行起草。而針對(duì)企業(yè)所處行業(yè)的特定內(nèi)容，一方面可直接列入第二步所檢索的行業(yè)規(guī)則規(guī)定的數(shù)據(jù)類型（如有），另一方面可通過前述第三步所梳理的關(guān)鍵要素進(jìn)行細(xì)化，盡可能在企業(yè)內(nèi)部設(shè)定相對(duì)明確的重要數(shù)據(jù)識(shí)別標(biāo)準(zhǔn)。

合規(guī)提示：

企業(yè)的數(shù)據(jù)處理活動(dòng)是一個(gè)長期動(dòng)態(tài)的過程，未來可能涉及業(yè)務(wù)屬性、數(shù)據(jù)類型、規(guī)模、處理方式、政策環(huán)境等的調(diào)整，建議企業(yè)先形成內(nèi)部可長效適用的重要數(shù)據(jù)識(shí)別指南，再對(duì)照自身所掌握的數(shù)據(jù)資產(chǎn)，形成企業(yè)內(nèi)部的重要數(shù)據(jù)資產(chǎn)清單，并隨自身數(shù)據(jù)處理活動(dòng)及監(jiān)管環(huán)境的調(diào)整而不斷更新。

第五步 形成企業(yè)內(nèi)部重要數(shù)據(jù)資產(chǎn)清單，履行法定義務(wù)

形成企業(yè)內(nèi)部重要數(shù)據(jù)識(shí)別指南后，企業(yè)即可就目前所掌握的數(shù)據(jù)資產(chǎn)形成企業(yè)內(nèi)部重要數(shù)據(jù)資產(chǎn)清單，并據(jù)此確保企業(yè)對(duì)該部分?jǐn)?shù)據(jù)資產(chǎn)的處理遵循重要數(shù)據(jù)處理者的合規(guī)要求，例如通過數(shù)據(jù)打標(biāo)、嵌入企業(yè)數(shù)據(jù)安全管理流程、引入數(shù)據(jù)分類分級(jí)自動(dòng)化工具等方式，確保該部分?jǐn)?shù)據(jù)資產(chǎn)的安全合規(guī)處理。例如，針對(duì)重要數(shù)據(jù)處理者，應(yīng)設(shè)置數(shù)據(jù)安全負(fù)責(zé)人及管理機(jī)構(gòu)[6]；重要數(shù)據(jù)備份及加密[7]；就重要數(shù)據(jù)處理活動(dòng)開展風(fēng)險(xiǎn)評(píng)估并向主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告[8]；申報(bào)數(shù)據(jù)出境安全評(píng)估[9]；開展重要數(shù)據(jù)目錄備案等義務(wù)[10]。

第六步 持續(xù)觀察監(jiān)管態(tài)勢，動(dòng)態(tài)調(diào)整目錄及清單

重要數(shù)據(jù)合規(guī)并非一蹴而就的工作。建議企業(yè)緊密觀察本行業(yè)的重要數(shù)據(jù)目錄出臺(tái)情況，靈活調(diào)整自身重要數(shù)據(jù)識(shí)別指南及重要數(shù)據(jù)資產(chǎn)清單，積極參與行業(yè)主管部門的重要數(shù)據(jù)認(rèn)定試點(diǎn)等，提前做好業(yè)務(wù)模式的安排（例如是否涉及出境），依法履行處理重要數(shù)據(jù)的合規(guī)義務(wù)，確保業(yè)務(wù)合規(guī)平穩(wěn)運(yùn)行。