买股票怎么加杠杆佰朔资本介绍-k线图形态24种经典图解-【东方资本】,股票配资交易app,配资炒股比例国家规定是多少,配资在线平台排行榜

2024年3月21日，全國網(wǎng)絡安全標準化技術(shù)委員會（以下簡稱“網(wǎng)安標委”）發(fā)布《GB/T 43697-2024 數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》（以下簡稱“《數(shù)據(jù)分類分級規(guī)則》”）?！稊?shù)據(jù)分類分級規(guī)則》作為網(wǎng)安標委發(fā)布的首份數(shù)據(jù)安全技術(shù)標準，涵蓋了數(shù)據(jù)分類分級、重要數(shù)據(jù)和國家核心數(shù)據(jù)識別等重要內(nèi)容。

本文對《數(shù)據(jù)分類分級規(guī)則》作出解讀，梳理、總結(jié)了數(shù)據(jù)分類分級的原則、流程和方法論，探討企業(yè)可能面臨的現(xiàn)實困境，并結(jié)合我們的既往經(jīng)驗提出企業(yè)識別重要數(shù)據(jù)的“六步法”，以期為企業(yè)開展數(shù)據(jù)分類分級和重要數(shù)據(jù)識別工作提供參考。

《數(shù)據(jù)分類分級規(guī)則》基本延續(xù)了網(wǎng)安標委于2022年09月14日發(fā)布的《信息安全技術(shù) 網(wǎng)絡數(shù)據(jù)分類分級要求（征求意見稿）》（以下簡稱“《網(wǎng)絡數(shù)據(jù)分類分級要求》”）的內(nèi)容，同時將“重要數(shù)據(jù)識別指南”作為規(guī)范性附錄G納入體系，形成了包含數(shù)據(jù)分類分級、重要數(shù)據(jù)識別和國家核心數(shù)據(jù)識別的完整體系。

（一）適用范圍

《數(shù)據(jù)分類分級規(guī)則》“適用于行業(yè)領(lǐng)域主管（監(jiān)管）部門參考制定本行業(yè)本領(lǐng)域的數(shù)據(jù)分類分級標準規(guī)范，也適用于各地區(qū)、各部門開展數(shù)據(jù)分類分級工作，同時為數(shù)據(jù)處理者進行數(shù)據(jù)分類分級提供參考?！?

《數(shù)據(jù)分類分級規(guī)則》作為普適性規(guī)則，既包含了數(shù)據(jù)分類分級的原則、框架、方法和流程，還提供了“重要數(shù)據(jù)識別指南”，行業(yè)領(lǐng)域主管（監(jiān)管）部門可以在《數(shù)據(jù)分類分級規(guī)則》的基礎(chǔ)上制定本行業(yè)本領(lǐng)域細分的數(shù)據(jù)分類分級標準，并參照重要數(shù)據(jù)識別指南制定本行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄，而數(shù)據(jù)處理者現(xiàn)階段可以先行參照《數(shù)據(jù)分類分級規(guī)則》開展數(shù)據(jù)分類分級工作和重要數(shù)據(jù)識別工作，并在行業(yè)領(lǐng)域主管（監(jiān)管）部門發(fā)布細分規(guī)則或重要數(shù)據(jù)目錄后，及時銜接加以適用。

（二）概念與原則

與《網(wǎng)絡數(shù)據(jù)分類分級要求》相比，《數(shù)據(jù)分類分級規(guī)則》添加了“敏感個人信息”和“公共數(shù)據(jù)”兩個術(shù)語概念。“敏感個人信息”銜接了《個人信息保護法》對敏感個人信息的定義，提示企業(yè)敏感個人信息保護作為立法、執(zhí)法和司法關(guān)注的重點領(lǐng)域，應在內(nèi)部分類分級的基礎(chǔ)上加強敏感個人信息保護工作；針對“公共數(shù)據(jù)”概念的明確，則是對數(shù)據(jù)要素行動與公共數(shù)據(jù)利用浪潮的回應，在創(chuàng)新公共數(shù)據(jù)管理新模式的進程中，推動落實公共數(shù)據(jù)分類分級要求，降低公共數(shù)據(jù)授權(quán)確權(quán)和流通交易障礙，釋放公共數(shù)據(jù)價值。

《數(shù)據(jù)分類分級規(guī)則》明確了科學實用、邊界清晰、就高從嚴、點面結(jié)合和動態(tài)更新等五項數(shù)據(jù)分類分級原則，行業(yè)領(lǐng)域主管（監(jiān)管）部門應按照數(shù)據(jù)所屬行業(yè)領(lǐng)域進行分類分級管理，并遵循數(shù)據(jù)分類分級原則制定細分規(guī)則，企業(yè)也應根據(jù)該等原則落實數(shù)據(jù)分類分級和重要數(shù)據(jù)識別管理工作。

（三）數(shù)據(jù)分類

《數(shù)據(jù)分類分級規(guī)則》提供了開展數(shù)據(jù)分類的框架和方法。各行業(yè)各領(lǐng)域主管（監(jiān)管）部門以及數(shù)據(jù)處理者均可以按照先行業(yè)領(lǐng)域分類，再業(yè)務屬性分類的方式進行。

各行業(yè)各領(lǐng)域主管（監(jiān)管）部門應對本行業(yè)本領(lǐng)域的數(shù)據(jù)進行整體識別，明確所處行業(yè)領(lǐng)域，如工業(yè)、電信、金融等，再根據(jù)本行業(yè)本領(lǐng)域業(yè)務屬性如業(yè)務領(lǐng)域、責任部門、描述對象等進行細化分類，如工業(yè)領(lǐng)域數(shù)據(jù)按照部門職責可以進一步分成原材料、裝備制造、消費品、電子信息制造、軟件和信息技術(shù)服務等類別。對于數(shù)據(jù)處理者而言，則首先應明確自身業(yè)務涉及的行業(yè)領(lǐng)域，并按照各行業(yè)各領(lǐng)域主管（監(jiān)管）部門的細分規(guī)則，根據(jù)數(shù)據(jù)管理和使用需求，結(jié)合已有數(shù)據(jù)分類基礎(chǔ)，靈活選擇業(yè)務屬性將數(shù)據(jù)細化分類。

此外，對于涉及法律法規(guī)有專門管理要求的數(shù)據(jù)類別（如個人信息、汽車數(shù)據(jù)等），應按照有關(guān)規(guī)定或標準對個人信息、敏感個人信息、汽車數(shù)據(jù)等進行識別和分類。

（四）數(shù)據(jù)分級

《數(shù)據(jù)分類分級規(guī)則》提供了數(shù)據(jù)分級的基本框架和思路，一般將數(shù)據(jù)從高到低分為核心、重要、一般三個級別，并通過“重要數(shù)據(jù)識別指南（規(guī)范性）”和“一般數(shù)據(jù)分級參考（資料性）”等附錄作出了更詳細的說明。

《數(shù)據(jù)分類分級規(guī)則》確定了數(shù)據(jù)分級的方法：

- 第一，確定數(shù)據(jù)分級的對象，如數(shù)據(jù)項、數(shù)據(jù)集、衍生數(shù)據(jù)、跨行業(yè)領(lǐng)域數(shù)據(jù)等；

- 第二，識別數(shù)據(jù)分級要素，如數(shù)據(jù)的領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度等；

- 第三，開展數(shù)據(jù)影響分析，結(jié)合數(shù)據(jù)分級要素識別情況，分析數(shù)據(jù)一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，可能影響的對象和影響程度；

- 第四，識別核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)，綜合確定數(shù)據(jù)級別。

（五）數(shù)據(jù)分類分級流程

區(qū)別于《網(wǎng)絡數(shù)據(jù)分類分級要求》，《數(shù)據(jù)分類分級規(guī)則》區(qū)分了各行業(yè)各領(lǐng)域主管（監(jiān)管）部門和數(shù)據(jù)處理者兩個角色，分別給出了數(shù)據(jù)分類分級流程。

針對各行業(yè)各領(lǐng)域主管（監(jiān)管）部門，應該在遵循國家有關(guān)規(guī)定要求的基礎(chǔ)上，制定本行業(yè)本領(lǐng)域的數(shù)據(jù)分類分級標準規(guī)范，重點明確行業(yè)數(shù)據(jù)分類細則，分析行業(yè)領(lǐng)域數(shù)據(jù)分級要素，確定重要數(shù)據(jù)和一般數(shù)據(jù)范圍，建議核心數(shù)據(jù)范圍。此外，各行業(yè)各領(lǐng)域主管（監(jiān)管）部門還應該組織并指導本行業(yè)本領(lǐng)域數(shù)據(jù)處理者開展具體的數(shù)據(jù)分類分級工作。

針對數(shù)據(jù)處理者，應該開展數(shù)據(jù)資產(chǎn)梳理，制定內(nèi)部數(shù)據(jù)分類分級細則并切實開展數(shù)據(jù)分類分級工作，對其中重要數(shù)據(jù)、核心數(shù)據(jù)等按照相關(guān)法律法規(guī)或各行業(yè)各領(lǐng)域主管（監(jiān)管）部門要求進行報送，并在后續(xù)工作進程中持續(xù)動態(tài)更新。

（一）確定衍生數(shù)據(jù)分級的“深度”要素，適應AI浪潮下的安全挑戰(zhàn)

根據(jù)《數(shù)據(jù)分類分級規(guī)則》第6.3條，影響數(shù)據(jù)分級的要素一般包括數(shù)據(jù)的領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度、重要性等，其中“深度”通常作為衍生數(shù)據(jù)的分級要素，是指“通過數(shù)據(jù)統(tǒng)計、關(guān)聯(lián)、挖掘或融合等加工處理，對數(shù)據(jù)描述對象的隱含信息或多維度細節(jié)信息的刻畫程度?！?

《數(shù)據(jù)分類分級規(guī)則》確定了衍生數(shù)據(jù)分級的“深度”要素，一方面是綜合考慮了當下人工智能（AI）技術(shù)和算法技術(shù)蓬勃發(fā)展的浪潮，提示各行業(yè)各領(lǐng)域主管（監(jiān)管）部門指導開展數(shù)據(jù)分類分級工作過程中，應充分考慮AI和算法技術(shù)浪潮帶來的數(shù)據(jù)安全挑戰(zhàn)；另一方面也提示企業(yè)注意在開展數(shù)據(jù)分類分級工作過程中，審慎確定衍生數(shù)據(jù)的類別和級別，匹配深度合成、算法推薦以及生成式人工智能等方面數(shù)據(jù)處理的監(jiān)管要求和合規(guī)義務。

（二）重要數(shù)據(jù)識別責任壓實，重要數(shù)據(jù)目錄呼之欲出

《數(shù)據(jù)安全法》第二十一條提出數(shù)據(jù)分類分級制度，要求各地區(qū)、各部門應當按照數(shù)據(jù)分類分級保護制度，確定本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)具體目錄。然而，由于《重要數(shù)據(jù)識別規(guī)則》未發(fā)布、重要數(shù)據(jù)識別因素難以界定等原因，各地區(qū)或部門頒布重要數(shù)據(jù)目錄的進程較為緩慢。

本次《數(shù)據(jù)分類分級規(guī)則》的頒布，一方面包含了附錄G“重要數(shù)據(jù)識別指南（規(guī)范性）”，作為正式文件，指導各行業(yè)各領(lǐng)域主管（監(jiān)管）部門并同數(shù)據(jù)處理者開展重要數(shù)據(jù)識別工作，另一方面，《數(shù)據(jù)分類分級規(guī)則》重申了各行業(yè)各領(lǐng)域主管（監(jiān)管）部門確定重要數(shù)據(jù)，頒布重要數(shù)據(jù)目錄的責任。可以預見，各行業(yè)各領(lǐng)域主管（監(jiān)管）部門將陸續(xù)頒布重要數(shù)據(jù)目錄，并進一步指導和組織企業(yè)開展重要數(shù)據(jù)識別和管理工作。

（三）核心數(shù)據(jù)逐漸清晰，識別機制多重聯(lián)動

《數(shù)據(jù)安全法》第二十一條提出國家核心數(shù)據(jù)的概念，但與重要數(shù)據(jù)類似，尚缺乏具體識別指引。本次《數(shù)據(jù)分類分級規(guī)則》明確了“核心數(shù)據(jù)”的概念，即“對領(lǐng)域、群體、區(qū)域具有較高覆蓋度或達到較高精度、較大規(guī)模、一定深度的，一旦被非法使或共享，可能直接影響政治安全的重要數(shù)據(jù)”，并給出了核心數(shù)據(jù)級別確定規(guī)則。根據(jù)該定義，核心數(shù)據(jù)將作為重要數(shù)據(jù)的子集。

根據(jù)《數(shù)據(jù)分類分級規(guī)則》，各行業(yè)各領(lǐng)域主管（監(jiān)管）部門應該分析并確定哪些數(shù)據(jù)屬于重要數(shù)據(jù)，并頒布重要數(shù)據(jù)目錄。與重要數(shù)據(jù)的識別相區(qū)分，對于核心數(shù)據(jù)，各行業(yè)各領(lǐng)域主管（監(jiān)管）部門可以明確本行業(yè)本領(lǐng)域核心數(shù)據(jù)識別細則，對哪些數(shù)據(jù)屬于核心數(shù)據(jù)提出建議，但無法直接認定。

（四）數(shù)據(jù)分級細節(jié)參考，2-4級“簡繁適宜”

《數(shù)據(jù)分類分級規(guī)則》對一般數(shù)據(jù)分級提供了靈活的適用方式，在確定重要數(shù)據(jù)和核心數(shù)據(jù)的基礎(chǔ)上，企業(yè)可以根據(jù)自身業(yè)務實踐情況，根據(jù)數(shù)據(jù)的類型、規(guī)模等選擇將一般數(shù)據(jù)劃分為2-4級。不過，《數(shù)據(jù)分類分級規(guī)則》對特定類型數(shù)據(jù)如個人信息、公共數(shù)據(jù)等進行了最低級別限制，如在4級框架下，敏感個人信息不應該低于4級，禁止開放/共享的公共數(shù)據(jù)不得低于4級，企業(yè)則可以在既有規(guī)則框架內(nèi)根據(jù)業(yè)務實際情況或變動動態(tài)調(diào)整。

《數(shù)據(jù)分類分級規(guī)則》規(guī)定了數(shù)據(jù)分類分級的原則、框架、方法和流程，其中不乏亮點和創(chuàng)新，并給出了“重要數(shù)據(jù)識別指南”，為企業(yè)開展重要數(shù)據(jù)識別工作揭開面紗。然而，正如《數(shù)據(jù)分類分級規(guī)則》提出的工作思路，“通過該規(guī)則指導行業(yè)領(lǐng)域主管（監(jiān)管）部門制定本行業(yè)本領(lǐng)域的數(shù)據(jù)分類分級規(guī)范、開展相應工作”。結(jié)合我們的觀察，以重要數(shù)據(jù)為例，網(wǎng)信作為數(shù)據(jù)安全工作主管（監(jiān)管）部門，與各具體行業(yè)領(lǐng)域主管（監(jiān)管）部門，現(xiàn)階段其針對重要數(shù)據(jù)處理者的監(jiān)管將可能存在交叉領(lǐng)域，并構(gòu)成相關(guān)企業(yè)履行合規(guī)義務的現(xiàn)實困境。

具體而言，根據(jù)《數(shù)據(jù)出境安全評估辦法》，企業(yè)如向境外傳輸重要數(shù)據(jù)，需向網(wǎng)信部門申報數(shù)據(jù)出境安全評估。與此同時，針對特殊類型數(shù)據(jù)（人遺、出口管制物項、測繪、金融等）的跨境傳輸，亦有相應行業(yè)領(lǐng)域的監(jiān)管要求，企業(yè)據(jù)此將面臨行業(yè)領(lǐng)域主管（監(jiān)管）部門及數(shù)據(jù)安全工作主管部門的雙重監(jiān)管困境。

以人類遺傳資源信息出境為例，根據(jù)《人類遺傳資源管理條例》第二十八條，將人類遺傳資源信息向外國組織、個人及其設(shè)立或者實際控制的機構(gòu)提供或者開放使用，應通過衛(wèi)健委[1]安全審查，或需要向衛(wèi)健委提交備案并提交信息備份。由于人類遺傳資源信息還可能構(gòu)成重要數(shù)據(jù)，進而可能還面臨向網(wǎng)信部門申報安全評估的義務。根據(jù)我們的了解，在基因行業(yè)開展人類遺傳資源信息出境業(yè)務或國際合作項目的企業(yè)，對于衛(wèi)健委的出境審查/備案程序已相對熟悉，但是否以及如何申報數(shù)據(jù)出境安全評估則為企業(yè)帶來額外成本及不確定性。就人類遺傳資源信息是否構(gòu)成重要數(shù)據(jù)，以及是否需申報安全評估，網(wǎng)信部門往往要求企業(yè)應先行尋求行業(yè)領(lǐng)域主管部門（例如衛(wèi)健委）的意見。

除人類遺傳資源信息出境外，其他交叉領(lǐng)域，例如出口管制物項相關(guān)的數(shù)據(jù)出境、測繪數(shù)據(jù)、金融數(shù)據(jù)出境等，都可能面臨類似的雙重監(jiān)管困境。考慮到重要數(shù)據(jù)識別及管控存在較強的行業(yè)屬性，結(jié)合網(wǎng)信部門的意見，可供參考的破題思路為：以行業(yè)監(jiān)管作為抓手，履行本行業(yè)關(guān)于出境的法定義務通常是必選項，關(guān)于是否需向網(wǎng)信辦申報出境安全評估，則需積極尋求行業(yè)主管部門的意見。

此外，數(shù)據(jù)正是在跨地域、跨行業(yè)、跨場景的流轉(zhuǎn)、匯總和分析中方能釋放更大的價值，這就對目前《數(shù)據(jù)分類分級規(guī)則》提及的行業(yè)、領(lǐng)域監(jiān)管縱向確定分類方式和重要數(shù)據(jù)目錄的思路提出了后續(xù)落地的挑戰(zhàn)，例如電信行業(yè)的數(shù)據(jù)用于個人征信部分的數(shù)據(jù)分類以及重要數(shù)據(jù)識別問題如何通過目前的縱向架構(gòu)解決？此問題仍待進一步觀察。

數(shù)據(jù)分類分級保護是企業(yè)在《數(shù)據(jù)安全法》項下的基礎(chǔ)性工作，針對一般數(shù)據(jù)，《數(shù)據(jù)分類分級規(guī)則》為企業(yè)留出了足夠的自決空間，針對核心數(shù)據(jù)，認定條件極高且需由行業(yè)領(lǐng)域主管（監(jiān)管）部門提出建議后由國家有關(guān)部門評估確定[2]。據(jù)此，重要數(shù)據(jù)識別和認定是企業(yè)順利開展數(shù)據(jù)分類分級的重要條件，同時也是企業(yè)履行重要數(shù)據(jù)安全管理法定義務的前提[3]。

（一）重要數(shù)據(jù)識別的責任：積極識別亦或被動識別？

對于數(shù)據(jù)處理者而言，關(guān)于企業(yè)所處理數(shù)據(jù)的重要數(shù)據(jù)識別責任，一直不甚清晰，一曰主動識別論，即企業(yè)有主動識別重要數(shù)據(jù)的責任，即使行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄尚未發(fā)布，亦應當按照重要數(shù)據(jù)的一般識別規(guī)則進行識別；一曰被動識別論，只有所在行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄清晰后，企業(yè)才具有識別重要數(shù)據(jù)（含國家核心數(shù)據(jù)）的義務。支持被動識別論的一方，最有利的依據(jù)當然是最近發(fā)布的《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》，其規(guī)定“未被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的，數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估”。

對于重要數(shù)據(jù)標準尚不清晰的行業(yè)領(lǐng)域，《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》免除數(shù)據(jù)處理者在數(shù)據(jù)跨境流動中的安全評估申報義務，并不當然能得出一般性結(jié)論，即：重要數(shù)據(jù)的識別義務是被動識別。首先，重要數(shù)據(jù)處理者的法律責任，比數(shù)據(jù)跨境合規(guī)的單一維度要廣闊的多，《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》并未免除重要數(shù)據(jù)處理者的其他法律義務；其次，即使某一主管（監(jiān)管）部門發(fā)布了某一具體行業(yè)領(lǐng)域的重要數(shù)據(jù)清單，也會存在需要個案裁量的空間，仍需要數(shù)據(jù)處理者要依照企業(yè)數(shù)據(jù)資源的實際狀況進行判斷。基于此，我們認為，數(shù)據(jù)處理者重要數(shù)據(jù)識別的行動義務，并不因為《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》的規(guī)定而免除，數(shù)據(jù)處理者應當主動履行數(shù)據(jù)分類分級和重要數(shù)據(jù)的行動義務，但如果因該行業(yè)領(lǐng)域的重要數(shù)據(jù)目錄尚未發(fā)布或已發(fā)布但不清晰而導致數(shù)據(jù)處理者無法識別的，并不因此承擔相應的法律后果。

（二）重要數(shù)據(jù)識別的方法論：六步法

實踐層面，上海通管局于2023年2月發(fā)布官方通報，探索工信領(lǐng)域監(jiān)管側(cè)識別、認定重要數(shù)據(jù)并形成重要數(shù)據(jù)目錄的路徑[4]，工信部、央行等主管部門亦在去年陸續(xù)開展重要數(shù)據(jù)識別和報送試點工作。前述認定實踐尚處于試點階段，目前仍有相當部分行業(yè)主管部門尚未開展此等試點工作，且即使開展，亦僅少數(shù)企業(yè)可深度參與至此等由監(jiān)管主導的重要數(shù)據(jù)識別工作中。

結(jié)合前述《數(shù)據(jù)分類分級規(guī)則》及我們幫助企業(yè)在重要數(shù)據(jù)識別與合規(guī)工作的經(jīng)驗，建議現(xiàn)階段企業(yè)可按照如下“六步法”開展自身數(shù)據(jù)資產(chǎn)盤點與重要數(shù)據(jù)識別工作：

第一步 數(shù)據(jù)資產(chǎn)盤點及數(shù)據(jù)分類

重要數(shù)據(jù)識別的最終目標是實現(xiàn)國家安全管控與企業(yè)數(shù)據(jù)資產(chǎn)分類分級管理的銜接。建議企業(yè)對自身數(shù)據(jù)處理活動按業(yè)務場景或按實體/部門等開展調(diào)查，以對所掌握的數(shù)據(jù)資產(chǎn)進行盤點和梳理，形成數(shù)據(jù)資產(chǎn)清單?？紤]到《數(shù)據(jù)分類分級規(guī)則》及現(xiàn)有規(guī)定對于重要數(shù)據(jù)的識別均強調(diào)行業(yè)特性和領(lǐng)域特性，故此階段還宜對數(shù)據(jù)資產(chǎn)清單進行分類，尤其是對行業(yè)和領(lǐng)域進行分類。此外，企業(yè)并非需對數(shù)據(jù)處理活動所涉及的全部數(shù)據(jù)負責，一般應對作為Data Owner的部分負責，故還需考慮數(shù)據(jù)處理關(guān)系。

合規(guī)提示：

- 數(shù)據(jù)資產(chǎn)盤點：如企業(yè)所涉及的實體/部門/業(yè)務場景較多，可考慮優(yōu)先開展高風險實體/場景（例如業(yè)務場景涉及數(shù)據(jù)跨境，或客戶涉及CIIO、政府部門等）作為開展“六步法”的Pilot，待形成較為成熟的方法論后，再推廣至其他實體/部門/業(yè)務場景。

- 數(shù)據(jù)分類：可參考《數(shù)據(jù)分類分級規(guī)則》第5條所提供的分類方法，按照先行業(yè)領(lǐng)域（工業(yè)、電信、金融、能源、交通運輸、自然資源、衛(wèi)生健康、教育、科學等）分類、再業(yè)務屬性（業(yè)務領(lǐng)域、責任部門、描述對象、環(huán)節(jié)流程、數(shù)據(jù)主體、內(nèi)容主題、數(shù)據(jù)用途、數(shù)據(jù)處理、數(shù)據(jù)來源）分類的思路進行分類，并就法律法規(guī)明確規(guī)定的數(shù)據(jù)類別（例如個人信息）按照相關(guān)規(guī)定進行分類。重點關(guān)注隸屬行業(yè)領(lǐng)域主管（監(jiān)管）維度的數(shù)據(jù)。

第二步 檢索行業(yè)規(guī)定/目錄，如有則直接認定

企業(yè)開展數(shù)據(jù)資產(chǎn)梳理及數(shù)據(jù)分類后，可對其中隸屬行業(yè)領(lǐng)域主管（監(jiān)管）維度的數(shù)據(jù)資產(chǎn)開展行業(yè)規(guī)定、目錄（以下稱“行業(yè)規(guī)則”）的檢索和匹配，并參照如下原則處理：

1）如本行業(yè)已出臺行業(yè)規(guī)則并明確列舉本行業(yè)重要數(shù)據(jù)類型或已出臺重要數(shù)據(jù)目錄，則可直接予以認定；針對某行業(yè)已出臺行業(yè)規(guī)則明確重要數(shù)據(jù)類型，且企業(yè)已掌握但未被明確作為“重要數(shù)據(jù)”列入此等行業(yè)規(guī)則的數(shù)據(jù)資產(chǎn)，可暫時不認定為重要數(shù)據(jù)；

2）如本行業(yè)尚未出臺重要數(shù)據(jù)具體規(guī)定/目錄，則進入第三步“梳理本行業(yè)關(guān)鍵要素”。

合規(guī)提示：

截止本文發(fā)布之日，除作為“監(jiān)管先行”的汽車行業(yè)在《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》（以下簡稱“《若干規(guī)定》”）第三條第六款[5]對汽車領(lǐng)域所涉及的重要數(shù)據(jù)類型進行了列舉；以及電信、工信等重要敏感行業(yè)已公開或內(nèi)部形成本行業(yè)的重要數(shù)據(jù)識別規(guī)則/指南外，大部分行業(yè)尚未公開發(fā)布的本行業(yè)重要數(shù)據(jù)目錄。

第三步 如無行業(yè)規(guī)則，則梳理本行業(yè)關(guān)鍵要素

如經(jīng)檢索無本行業(yè)的相應行業(yè)規(guī)則，則企業(yè)可通過“原則要素+定性定量要素”作為方法論，梳理本行業(yè)數(shù)據(jù)處理活動中與國家安全、經(jīng)濟運行、社會秩序、公共利益（如危害公共健康和安全）等的敏感要素，為第四步“形成企業(yè)內(nèi)部重要數(shù)據(jù)目錄”作準備。

1）原則要素：結(jié)合《數(shù)據(jù)分類分級規(guī)則》第6.5條規(guī)定，梳理本行業(yè)可能涉及的影響國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全的要素。例如是否屬于國家秘密相關(guān)的數(shù)據(jù)（非密數(shù)據(jù)）；是否屬于與國家安全（經(jīng)濟安全、科技安全、網(wǎng)絡安全、人工智能安全等）相關(guān)的數(shù)據(jù)；是否屬于與行業(yè)發(fā)展安全相關(guān)的數(shù)據(jù)；是否屬于與出口管制物項相關(guān)的數(shù)據(jù)等。

2）特定要素（“定性”+“定量”）：以本行業(yè)專業(yè)人士的視角（如果是法務或合規(guī)部門主導工作，可通過對業(yè)務部門同事進行訪談等形式，與業(yè)務部門共同確定哪些領(lǐng)域、哪些群體、哪些區(qū)域、何等重要程度、多高精度、多大規(guī)模和覆蓋度、多少深度的數(shù)據(jù)可考慮構(gòu)成重要數(shù)據(jù)）：

- “定性關(guān)鍵要素”：包括“領(lǐng)域”“群體”“區(qū)域”“重要性”，例如農(nóng)業(yè)需考慮糧食安全領(lǐng)域，基因行業(yè)需考慮科技倫理領(lǐng)域以及特定群體的基因安全等，自然資源行業(yè)需考慮敏感區(qū)域的測繪數(shù)據(jù)泄露后可能遭至的境外勢力軍事打擊等，數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度等；

- “定量關(guān)鍵要素”：包括“精度”“規(guī)?！薄案采w度”等，例如，多大精度（例如超過一定精度的地圖數(shù)據(jù)）、多大規(guī)模和覆蓋度（例如覆蓋面積超過全國多少省市的無人機影像數(shù)據(jù)）即考慮構(gòu)成重要數(shù)據(jù)，以避免因“泛保護”而阻礙企業(yè)正常業(yè)務的開展。

- “衍生數(shù)據(jù)關(guān)鍵要素”：包括“深度”，例如進行數(shù)據(jù)統(tǒng)計、關(guān)聯(lián)、挖掘或融合等加工后導致敏感程度上升。

合規(guī)提示：

針對大部分行業(yè)的企業(yè)，現(xiàn)階段無本行業(yè)規(guī)則并不代表企業(yè)可對所掌握的高敏感數(shù)據(jù)一直持“觀望”狀態(tài)，尤其是未來一旦被認定為重要數(shù)據(jù)，由于會受到數(shù)據(jù)本地化、出境安全評估、備案上報等合規(guī)要求的約束，將可能導致企業(yè)面臨業(yè)務模式的劇變，進而導致更多的成本投入。目前，《數(shù)據(jù)分類分級規(guī)則》已經(jīng)出臺，各行業(yè)加快重要數(shù)據(jù)識別和監(jiān)管已是大勢所趨，建議企業(yè)在現(xiàn)階段（尤其是針對高敏感數(shù)據(jù)且涉及出境等處理活動）即開展重要數(shù)據(jù)識別工作的部署和梳理，以合理成本平穩(wěn)地度過重要數(shù)據(jù)監(jiān)管的陣痛期。

第四步 形成企業(yè)內(nèi)部重要數(shù)據(jù)識別指南

通過對本行業(yè)涉及重要數(shù)據(jù)關(guān)鍵要素的梳理，企業(yè)可據(jù)此形成內(nèi)部的重要數(shù)據(jù)識別指南，該指南中的原則性內(nèi)容可參照《數(shù)據(jù)分類分級規(guī)則》進行起草。而針對企業(yè)所處行業(yè)的特定內(nèi)容，一方面可直接列入第二步所檢索的行業(yè)規(guī)則規(guī)定的數(shù)據(jù)類型（如有），另一方面可通過前述第三步所梳理的關(guān)鍵要素進行細化，盡可能在企業(yè)內(nèi)部設(shè)定相對明確的重要數(shù)據(jù)識別標準。

合規(guī)提示：

企業(yè)的數(shù)據(jù)處理活動是一個長期動態(tài)的過程，未來可能涉及業(yè)務屬性、數(shù)據(jù)類型、規(guī)模、處理方式、政策環(huán)境等的調(diào)整，建議企業(yè)先形成內(nèi)部可長效適用的重要數(shù)據(jù)識別指南，再對照自身所掌握的數(shù)據(jù)資產(chǎn)，形成企業(yè)內(nèi)部的重要數(shù)據(jù)資產(chǎn)清單，并隨自身數(shù)據(jù)處理活動及監(jiān)管環(huán)境的調(diào)整而不斷更新。

第五步 形成企業(yè)內(nèi)部重要數(shù)據(jù)資產(chǎn)清單，履行法定義務

形成企業(yè)內(nèi)部重要數(shù)據(jù)識別指南后，企業(yè)即可就目前所掌握的數(shù)據(jù)資產(chǎn)形成企業(yè)內(nèi)部重要數(shù)據(jù)資產(chǎn)清單，并據(jù)此確保企業(yè)對該部分數(shù)據(jù)資產(chǎn)的處理遵循重要數(shù)據(jù)處理者的合規(guī)要求，例如通過數(shù)據(jù)打標、嵌入企業(yè)數(shù)據(jù)安全管理流程、引入數(shù)據(jù)分類分級自動化工具等方式，確保該部分數(shù)據(jù)資產(chǎn)的安全合規(guī)處理。例如，針對重要數(shù)據(jù)處理者，應設(shè)置數(shù)據(jù)安全負責人及管理機構(gòu)[6]；重要數(shù)據(jù)備份及加密[7]；就重要數(shù)據(jù)處理活動開展風險評估并向主管部門報送風險評估報告[8]；申報數(shù)據(jù)出境安全評估[9]；開展重要數(shù)據(jù)目錄備案等義務[10]。

第六步 持續(xù)觀察監(jiān)管態(tài)勢，動態(tài)調(diào)整目錄及清單

重要數(shù)據(jù)合規(guī)并非一蹴而就的工作。建議企業(yè)緊密觀察本行業(yè)的重要數(shù)據(jù)目錄出臺情況，靈活調(diào)整自身重要數(shù)據(jù)識別指南及重要數(shù)據(jù)資產(chǎn)清單，積極參與行業(yè)主管部門的重要數(shù)據(jù)認定試點等，提前做好業(yè)務模式的安排（例如是否涉及出境），依法履行處理重要數(shù)據(jù)的合規(guī)義務，確保業(yè)務合規(guī)平穩(wěn)運行。