2024年3月21日，全國(guó)網絡安(ān)全标準化技(jì )術委員會（以下簡稱“網安(ān)标委”）發布《GB/T 43697-2024 數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》（以下簡稱“《數據分(fēn)類分(fēn)級規則》”）。《數據分(fēn)類分(fēn)級規則》作(zuò)為(wèi)網安(ān)标委發布的首份數據安(ān)全技(jì )術标準，涵蓋了數據分(fēn)類分(fēn)級、重要數據和國(guó)家核心數據識别等重要内容。

本文(wén)對《數據分(fēn)類分(fēn)級規則》作(zuò)出解讀，梳理(lǐ)、總結了數據分(fēn)類分(fēn)級的原則、流程和方法論，探讨企業可(kě)能(néng)面臨的現實困境，并結合我們的既往經驗提出企業識别重要數據的“六步法”，以期為(wèi)企業開展數據分(fēn)類分(fēn)級和重要數據識别工(gōng)作(zuò)提供參考。

《數據分(fēn)類分(fēn)級規則》基本延續了網安(ān)标委于2022年09月14日發布的《信息安(ān)全技(jì )術 網絡數據分(fēn)類分(fēn)級要求（征求意見稿）》（以下簡稱“《網絡數據分(fēn)類分(fēn)級要求》”）的内容，同時将“重要數據識别指南”作(zuò)為(wèi)規範性附錄G納入體(tǐ)系，形成了包含數據分(fēn)類分(fēn)級、重要數據識别和國(guó)家核心數據識别的完整體(tǐ)系。

（一）适用(yòng)範圍

《數據分(fēn)類分(fēn)級規則》“适用(yòng)于行業領域主管（監管）部門參考制定本行業本領域的數據分(fēn)類分(fēn)級标準規範，也适用(yòng)于各地區(qū)、各部門開展數據分(fēn)類分(fēn)級工(gōng)作(zuò)，同時為(wèi)數據處理(lǐ)者進行數據分(fēn)類分(fēn)級提供參考。”

《數據分(fēn)類分(fēn)級規則》作(zuò)為(wèi)普适性規則，既包含了數據分(fēn)類分(fēn)級的原則、框架、方法和流程，還提供了“重要數據識别指南”，行業領域主管（監管）部門可(kě)以在《數據分(fēn)類分(fēn)級規則》的基礎上制定本行業本領域細分(fēn)的數據分(fēn)類分(fēn)級标準，并參照重要數據識别指南制定本行業領域的重要數據目錄，而數據處理(lǐ)者現階段可(kě)以先行參照《數據分(fēn)類分(fēn)級規則》開展數據分(fēn)類分(fēn)級工(gōng)作(zuò)和重要數據識别工(gōng)作(zuò)，并在行業領域主管（監管）部門發布細分(fēn)規則或重要數據目錄後，及時銜接加以适用(yòng)。

（二）概念與原則

與《網絡數據分(fēn)類分(fēn)級要求》相比，《數據分(fēn)類分(fēn)級規則》添加了“敏感個人信息”和“公(gōng)共數據”兩個術語概念。“敏感個人信息”銜接了《個人信息保護法》對敏感個人信息的定義，提示企業敏感個人信息保護作(zuò)為(wèi)立法、執法和司法關注的重點領域，應在内部分(fēn)類分(fēn)級的基礎上加強敏感個人信息保護工(gōng)作(zuò)；針對“公(gōng)共數據”概念的明确，則是對數據要素行動與公(gōng)共數據利用(yòng)浪潮的回應，在創新(xīn)公(gōng)共數據管理(lǐ)新(xīn)模式的進程中(zhōng)，推動落實公(gōng)共數據分(fēn)類分(fēn)級要求，降低公(gōng)共數據授權确權和流通交易障礙，釋放公(gōng)共數據價值。

《數據分(fēn)類分(fēn)級規則》明确了科(kē)學(xué)實用(yòng)、邊界清晰、就高從嚴、點面結合和動态更新(xīn)等五項數據分(fēn)類分(fēn)級原則，行業領域主管（監管）部門應按照數據所屬行業領域進行分(fēn)類分(fēn)級管理(lǐ)，并遵循數據分(fēn)類分(fēn)級原則制定細分(fēn)規則，企業也應根據該等原則落實數據分(fēn)類分(fēn)級和重要數據識别管理(lǐ)工(gōng)作(zuò)。

（三）數據分(fēn)類

《數據分(fēn)類分(fēn)級規則》提供了開展數據分(fēn)類的框架和方法。各行業各領域主管（監管）部門以及數據處理(lǐ)者均可(kě)以按照先行業領域分(fēn)類，再業務(wù)屬性分(fēn)類的方式進行。

各行業各領域主管（監管）部門應對本行業本領域的數據進行整體(tǐ)識别，明确所處行業領域，如工(gōng)業、電(diàn)信、金融等，再根據本行業本領域業務(wù)屬性如業務(wù)領域、責任部門、描述對象等進行細化分(fēn)類，如工(gōng)業領域數據按照部門職責可(kě)以進一步分(fēn)成原材料、裝(zhuāng)備制造、消費品、電(diàn)子信息制造、軟件和信息技(jì )術服務(wù)等類别。對于數據處理(lǐ)者而言，則首先應明确自身業務(wù)涉及的行業領域，并按照各行業各領域主管（監管）部門的細分(fēn)規則，根據數據管理(lǐ)和使用(yòng)需求，結合已有(yǒu)數據分(fēn)類基礎，靈活選擇業務(wù)屬性将數據細化分(fēn)類。

此外，對于涉及法律法規有(yǒu)專門管理(lǐ)要求的數據類别（如個人信息、汽車(chē)數據等），應按照有(yǒu)關規定或标準對個人信息、敏感個人信息、汽車(chē)數據等進行識别和分(fēn)類。

（四）數據分(fēn)級

《數據分(fēn)類分(fēn)級規則》提供了數據分(fēn)級的基本框架和思路，一般将數據從高到低分(fēn)為(wèi)核心、重要、一般三個級别，并通過“重要數據識别指南（規範性）”和“一般數據分(fēn)級參考（資料性）”等附錄作(zuò)出了更詳細的說明。

《數據分(fēn)類分(fēn)級規則》确定了數據分(fēn)級的方法：

- 第一，确定數據分(fēn)級的對象，如數據項、數據集、衍生數據、跨行業領域數據等；

- 第二，識别數據分(fēn)級要素，如數據的領域、群體(tǐ)、區(qū)域、精(jīng)度、規模、深度等；

- 第三，開展數據影響分(fēn)析，結合數據分(fēn)級要素識别情況，分(fēn)析數據一旦遭到洩露、篡改、損毀或者非法獲取、非法使用(yòng)、非法共享，可(kě)能(néng)影響的對象和影響程度；

- 第四，識别核心數據、重要數據和一般數據，綜合确定數據級别。

（五）數據分(fēn)類分(fēn)級流程

區(qū)别于《網絡數據分(fēn)類分(fēn)級要求》，《數據分(fēn)類分(fēn)級規則》區(qū)分(fēn)了各行業各領域主管（監管）部門和數據處理(lǐ)者兩個角色，分(fēn)别給出了數據分(fēn)類分(fēn)級流程。

針對各行業各領域主管（監管）部門，應該在遵循國(guó)家有(yǒu)關規定要求的基礎上，制定本行業本領域的數據分(fēn)類分(fēn)級标準規範，重點明确行業數據分(fēn)類細則，分(fēn)析行業領域數據分(fēn)級要素，确定重要數據和一般數據範圍，建議核心數據範圍。此外，各行業各領域主管（監管）部門還應該組織并指導本行業本領域數據處理(lǐ)者開展具(jù)體(tǐ)的數據分(fēn)類分(fēn)級工(gōng)作(zuò)。

針對數據處理(lǐ)者，應該開展數據資産(chǎn)梳理(lǐ)，制定内部數據分(fēn)類分(fēn)級細則并切實開展數據分(fēn)類分(fēn)級工(gōng)作(zuò)，對其中(zhōng)重要數據、核心數據等按照相關法律法規或各行業各領域主管（監管）部門要求進行報送，并在後續工(gōng)作(zuò)進程中(zhōng)持續動态更新(xīn)。

（一）确定衍生數據分(fēn)級的“深度”要素，适應AI浪潮下的安(ān)全挑戰

根據《數據分(fēn)類分(fēn)級規則》第6.3條，影響數據分(fēn)級的要素一般包括數據的領域、群體(tǐ)、區(qū)域、精(jīng)度、規模、深度、覆蓋度、重要性等，其中(zhōng)“深度”通常作(zuò)為(wèi)衍生數據的分(fēn)級要素，是指“通過數據統計、關聯、挖掘或融合等加工(gōng)處理(lǐ)，對數據描述對象的隐含信息或多(duō)維度細節信息的刻畫程度。”

《數據分(fēn)類分(fēn)級規則》确定了衍生數據分(fēn)級的“深度”要素，一方面是綜合考慮了當下人工(gōng)智能(néng)（AI）技(jì )術和算法技(jì )術蓬勃發展的浪潮，提示各行業各領域主管（監管）部門指導開展數據分(fēn)類分(fēn)級工(gōng)作(zuò)過程中(zhōng)，應充分(fēn)考慮AI和算法技(jì )術浪潮帶來的數據安(ān)全挑戰；另一方面也提示企業注意在開展數據分(fēn)類分(fēn)級工(gōng)作(zuò)過程中(zhōng)，審慎确定衍生數據的類别和級别，匹配深度合成、算法推薦以及生成式人工(gōng)智能(néng)等方面數據處理(lǐ)的監管要求和合規義務(wù)。

（二）重要數據識别責任壓實，重要數據目錄呼之欲出

《數據安(ān)全法》第二十一條提出數據分(fēn)類分(fēn)級制度，要求各地區(qū)、各部門應當按照數據分(fēn)類分(fēn)級保護制度，确定本地區(qū)、本部門以及相關行業、領域的重要數據具(jù)體(tǐ)目錄。然而，由于《重要數據識别規則》未發布、重要數據識别因素難以界定等原因，各地區(qū)或部門頒布重要數據目錄的進程較為(wèi)緩慢。

本次《數據分(fēn)類分(fēn)級規則》的頒布，一方面包含了附錄G“重要數據識别指南（規範性）”，作(zuò)為(wèi)正式文(wén)件，指導各行業各領域主管（監管）部門并同數據處理(lǐ)者開展重要數據識别工(gōng)作(zuò)，另一方面，《數據分(fēn)類分(fēn)級規則》重申了各行業各領域主管（監管）部門确定重要數據，頒布重要數據目錄的責任。可(kě)以預見，各行業各領域主管（監管）部門将陸續頒布重要數據目錄，并進一步指導和組織企業開展重要數據識别和管理(lǐ)工(gōng)作(zuò)。

（三）核心數據逐漸清晰，識别機制多(duō)重聯動

《數據安(ān)全法》第二十一條提出國(guó)家核心數據的概念，但與重要數據類似，尚缺乏具(jù)體(tǐ)識别指引。本次《數據分(fēn)類分(fēn)級規則》明确了“核心數據”的概念，即“對領域、群體(tǐ)、區(qū)域具(jù)有(yǒu)較高覆蓋度或達到較高精(jīng)度、較大規模、一定深度的，一旦被非法使或共享，可(kě)能(néng)直接影響政治安(ān)全的重要數據”，并給出了核心數據級别确定規則。根據該定義，核心數據将作(zuò)為(wèi)重要數據的子集。

根據《數據分(fēn)類分(fēn)級規則》，各行業各領域主管（監管）部門應該分(fēn)析并确定哪些數據屬于重要數據，并頒布重要數據目錄。與重要數據的識别相區(qū)分(fēn)，對于核心數據，各行業各領域主管（監管）部門可(kě)以明确本行業本領域核心數據識别細則，對哪些數據屬于核心數據提出建議，但無法直接認定。

（四）數據分(fēn)級細節參考，2-4級“簡繁适宜”

《數據分(fēn)類分(fēn)級規則》對一般數據分(fēn)級提供了靈活的适用(yòng)方式，在确定重要數據和核心數據的基礎上，企業可(kě)以根據自身業務(wù)實踐情況，根據數據的類型、規模等選擇将一般數據劃分(fēn)為(wèi)2-4級。不過，《數據分(fēn)類分(fēn)級規則》對特定類型數據如個人信息、公(gōng)共數據等進行了最低級别限制，如在4級框架下，敏感個人信息不應該低于4級，禁止開放/共享的公(gōng)共數據不得低于4級，企業則可(kě)以在既有(yǒu)規則框架内根據業務(wù)實際情況或變動動态調整。

《數據分(fēn)類分(fēn)級規則》規定了數據分(fēn)類分(fēn)級的原則、框架、方法和流程，其中(zhōng)不乏亮點和創新(xīn)，并給出了“重要數據識别指南”，為(wèi)企業開展重要數據識别工(gōng)作(zuò)揭開面紗。然而，正如《數據分(fēn)類分(fēn)級規則》提出的工(gōng)作(zuò)思路，“通過該規則指導行業領域主管（監管）部門制定本行業本領域的數據分(fēn)類分(fēn)級規範、開展相應工(gōng)作(zuò)”。結合我們的觀察，以重要數據為(wèi)例，網信作(zuò)為(wèi)數據安(ān)全工(gōng)作(zuò)主管（監管）部門，與各具(jù)體(tǐ)行業領域主管（監管）部門，現階段其針對重要數據處理(lǐ)者的監管将可(kě)能(néng)存在交叉領域，并構成相關企業履行合規義務(wù)的現實困境。

具(jù)體(tǐ)而言，根據《數據出境安(ān)全評估辦(bàn)法》，企業如向境外傳輸重要數據，需向網信部門申報數據出境安(ān)全評估。與此同時，針對特殊類型數據（人遺、出口管制物(wù)項、測繪、金融等）的跨境傳輸，亦有(yǒu)相應行業領域的監管要求，企業據此将面臨行業領域主管（監管）部門及數據安(ān)全工(gōng)作(zuò)主管部門的雙重監管困境。

以人類遺傳資源信息出境為(wèi)例，根據《人類遺傳資源管理(lǐ)條例》第二十八條，将人類遺傳資源信息向外國(guó)組織、個人及其設立或者實際控制的機構提供或者開放使用(yòng)，應通過衛健委[1]安(ān)全審查，或需要向衛健委提交備案并提交信息備份。由于人類遺傳資源信息還可(kě)能(néng)構成重要數據，進而可(kě)能(néng)還面臨向網信部門申報安(ān)全評估的義務(wù)。根據我們的了解，在基因行業開展人類遺傳資源信息出境業務(wù)或國(guó)際合作(zuò)項目的企業，對于衛健委的出境審查/備案程序已相對熟悉，但是否以及如何申報數據出境安(ān)全評估則為(wèi)企業帶來額外成本及不确定性。就人類遺傳資源信息是否構成重要數據，以及是否需申報安(ān)全評估，網信部門往往要求企業應先行尋求行業領域主管部門（例如衛健委）的意見。

除人類遺傳資源信息出境外，其他(tā)交叉領域，例如出口管制物(wù)項相關的數據出境、測繪數據、金融數據出境等，都可(kě)能(néng)面臨類似的雙重監管困境。考慮到重要數據識别及管控存在較強的行業屬性，結合網信部門的意見，可(kě)供參考的破題思路為(wèi)：以行業監管作(zuò)為(wèi)抓手，履行本行業關于出境的法定義務(wù)通常是必選項，關于是否需向網信辦(bàn)申報出境安(ān)全評估，則需積極尋求行業主管部門的意見。

此外，數據正是在跨地域、跨行業、跨場景的流轉、彙總和分(fēn)析中(zhōng)方能(néng)釋放更大的價值，這就對目前《數據分(fēn)類分(fēn)級規則》提及的行業、領域監管縱向确定分(fēn)類方式和重要數據目錄的思路提出了後續落地的挑戰，例如電(diàn)信行業的數據用(yòng)于個人征信部分(fēn)的數據分(fēn)類以及重要數據識别問題如何通過目前的縱向架構解決？此問題仍待進一步觀察。

數據分(fēn)類分(fēn)級保護是企業在《數據安(ān)全法》項下的基礎性工(gōng)作(zuò)，針對一般數據，《數據分(fēn)類分(fēn)級規則》為(wèi)企業留出了足夠的自決空間，針對核心數據，認定條件極高且需由行業領域主管（監管）部門提出建議後由國(guó)家有(yǒu)關部門評估确定[2]。據此，重要數據識别和認定是企業順利開展數據分(fēn)類分(fēn)級的重要條件，同時也是企業履行重要數據安(ān)全管理(lǐ)法定義務(wù)的前提[3]。

（一）重要數據識别的責任：積極識别亦或被動識别？

對于數據處理(lǐ)者而言，關于企業所處理(lǐ)數據的重要數據識别責任，一直不甚清晰，一曰主動識别論，即企業有(yǒu)主動識别重要數據的責任，即使行業領域的重要數據目錄尚未發布，亦應當按照重要數據的一般識别規則進行識别；一曰被動識别論，隻有(yǒu)所在行業領域的重要數據目錄清晰後，企業才具(jù)有(yǒu)識别重要數據（含國(guó)家核心數據）的義務(wù)。支持被動識别論的一方，最有(yǒu)利的依據當然是最近發布的《促進和規範數據跨境流動規定》，其規定“未被相關部門、地區(qū)告知或者公(gōng)開發布為(wèi)重要數據的，數據處理(lǐ)者不需要作(zuò)為(wèi)重要數據申報數據出境安(ān)全評估”。

對于重要數據标準尚不清晰的行業領域，《促進和規範數據跨境流動規定》免除數據處理(lǐ)者在數據跨境流動中(zhōng)的安(ān)全評估申報義務(wù)，并不當然能(néng)得出一般性結論，即：重要數據的識别義務(wù)是被動識别。首先，重要數據處理(lǐ)者的法律責任，比數據跨境合規的單一維度要廣闊的多(duō)，《促進和規範數據跨境流動規定》并未免除重要數據處理(lǐ)者的其他(tā)法律義務(wù)；其次，即使某一主管（監管）部門發布了某一具(jù)體(tǐ)行業領域的重要數據清單，也會存在需要個案裁量的空間，仍需要數據處理(lǐ)者要依照企業數據資源的實際狀況進行判斷。基于此，我們認為(wèi)，數據處理(lǐ)者重要數據識别的行動義務(wù)，并不因為(wèi)《促進和規範數據跨境流動規定》的規定而免除，數據處理(lǐ)者應當主動履行數據分(fēn)類分(fēn)級和重要數據的行動義務(wù)，但如果因該行業領域的重要數據目錄尚未發布或已發布但不清晰而導緻數據處理(lǐ)者無法識别的，并不因此承擔相應的法律後果。

（二）重要數據識别的方法論：六步法

實踐層面，上海通管局于2023年2月發布官方通報，探索工(gōng)信領域監管側識别、認定重要數據并形成重要數據目錄的路徑[4]，工(gōng)信部、央行等主管部門亦在去年陸續開展重要數據識别和報送試點工(gōng)作(zuò)。前述認定實踐尚處于試點階段，目前仍有(yǒu)相當部分(fēn)行業主管部門尚未開展此等試點工(gōng)作(zuò)，且即使開展，亦僅少數企業可(kě)深度參與至此等由監管主導的重要數據識别工(gōng)作(zuò)中(zhōng)。

結合前述《數據分(fēn)類分(fēn)級規則》及我們幫助企業在重要數據識别與合規工(gōng)作(zuò)的經驗，建議現階段企業可(kě)按照如下“六步法”開展自身數據資産(chǎn)盤點與重要數據識别工(gōng)作(zuò)：

第一步 數據資産(chǎn)盤點及數據分(fēn)類

重要數據識别的最終目标是實現國(guó)家安(ān)全管控與企業數據資産(chǎn)分(fēn)類分(fēn)級管理(lǐ)的銜接。建議企業對自身數據處理(lǐ)活動按業務(wù)場景或按實體(tǐ)/部門等開展調查，以對所掌握的數據資産(chǎn)進行盤點和梳理(lǐ)，形成數據資産(chǎn)清單。考慮到《數據分(fēn)類分(fēn)級規則》及現有(yǒu)規定對于重要數據的識别均強調行業特性和領域特性，故此階段還宜對數據資産(chǎn)清單進行分(fēn)類，尤其是對行業和領域進行分(fēn)類。此外，企業并非需對數據處理(lǐ)活動所涉及的全部數據負責，一般應對作(zuò)為(wèi)Data Owner的部分(fēn)負責，故還需考慮數據處理(lǐ)關系。

合規提示：

- 數據資産(chǎn)盤點：如企業所涉及的實體(tǐ)/部門/業務(wù)場景較多(duō)，可(kě)考慮優先開展高風險實體(tǐ)/場景（例如業務(wù)場景涉及數據跨境，或客戶涉及CIIO、政府部門等）作(zuò)為(wèi)開展“六步法”的Pilot，待形成較為(wèi)成熟的方法論後，再推廣至其他(tā)實體(tǐ)/部門/業務(wù)場景。

- 數據分(fēn)類：可(kě)參考《數據分(fēn)類分(fēn)級規則》第5條所提供的分(fēn)類方法，按照先行業領域（工(gōng)業、電(diàn)信、金融、能(néng)源、交通運輸、自然資源、衛生健康、教育、科(kē)學(xué)等）分(fēn)類、再業務(wù)屬性（業務(wù)領域、責任部門、描述對象、環節流程、數據主體(tǐ)、内容主題、數據用(yòng)途、數據處理(lǐ)、數據來源）分(fēn)類的思路進行分(fēn)類，并就法律法規明确規定的數據類别（例如個人信息）按照相關規定進行分(fēn)類。重點關注隸屬行業領域主管（監管）維度的數據。

第二步 檢索行業規定/目錄，如有(yǒu)則直接認定

企業開展數據資産(chǎn)梳理(lǐ)及數據分(fēn)類後，可(kě)對其中(zhōng)隸屬行業領域主管（監管）維度的數據資産(chǎn)開展行業規定、目錄（以下稱“行業規則”）的檢索和匹配，并參照如下原則處理(lǐ)：

1）如本行業已出台行業規則并明确列舉本行業重要數據類型或已出台重要數據目錄，則可(kě)直接予以認定；針對某行業已出台行業規則明确重要數據類型，且企業已掌握但未被明确作(zuò)為(wèi)“重要數據”列入此等行業規則的數據資産(chǎn)，可(kě)暫時不認定為(wèi)重要數據；

2）如本行業尚未出台重要數據具(jù)體(tǐ)規定/目錄，則進入第三步“梳理(lǐ)本行業關鍵要素”。

合規提示：

截止本文(wén)發布之日，除作(zuò)為(wèi)“監管先行”的汽車(chē)行業在《汽車(chē)數據安(ān)全管理(lǐ)若幹規定（試行）》（以下簡稱“《若幹規定》”）第三條第六款[5]對汽車(chē)領域所涉及的重要數據類型進行了列舉；以及電(diàn)信、工(gōng)信等重要敏感行業已公(gōng)開或内部形成本行業的重要數據識别規則/指南外，大部分(fēn)行業尚未公(gōng)開發布的本行業重要數據目錄。

第三步 如無行業規則，則梳理(lǐ)本行業關鍵要素

如經檢索無本行業的相應行業規則，則企業可(kě)通過“原則要素+定性定量要素”作(zuò)為(wèi)方法論，梳理(lǐ)本行業數據處理(lǐ)活動中(zhōng)與國(guó)家安(ān)全、經濟運行、社會秩序、公(gōng)共利益（如危害公(gōng)共健康和安(ān)全）等的敏感要素，為(wèi)第四步“形成企業内部重要數據目錄”作(zuò)準備。

1）原則要素：結合《數據分(fēn)類分(fēn)級規則》第6.5條規定，梳理(lǐ)本行業可(kě)能(néng)涉及的影響國(guó)家安(ān)全、經濟運行、社會穩定、公(gōng)共健康和安(ān)全的要素。例如是否屬于國(guó)家秘密相關的數據（非密數據）；是否屬于與國(guó)家安(ān)全（經濟安(ān)全、科(kē)技(jì )安(ān)全、網絡安(ān)全、人工(gōng)智能(néng)安(ān)全等）相關的數據；是否屬于與行業發展安(ān)全相關的數據；是否屬于與出口管制物(wù)項相關的數據等。

2）特定要素（“定性”+“定量”）：以本行業專業人士的視角（如果是法務(wù)或合規部門主導工(gōng)作(zuò)，可(kě)通過對業務(wù)部門同事進行訪談等形式，與業務(wù)部門共同确定哪些領域、哪些群體(tǐ)、哪些區(qū)域、何等重要程度、多(duō)高精(jīng)度、多(duō)大規模和覆蓋度、多(duō)少深度的數據可(kě)考慮構成重要數據）：

- “定性關鍵要素”：包括“領域”“群體(tǐ)”“區(qū)域”“重要性”，例如農業需考慮糧食安(ān)全領域，基因行業需考慮科(kē)技(jì )倫理(lǐ)領域以及特定群體(tǐ)的基因安(ān)全等，自然資源行業需考慮敏感區(qū)域的測繪數據洩露後可(kě)能(néng)遭至的境外勢力軍事打擊等，數據在經濟社會發展中(zhōng)的重要程度等；

- “定量關鍵要素”：包括“精(jīng)度”“規模”“覆蓋度”等，例如，多(duō)大精(jīng)度（例如超過一定精(jīng)度的地圖數據）、多(duō)大規模和覆蓋度（例如覆蓋面積超過全國(guó)多(duō)少省市的無人機影像數據）即考慮構成重要數據，以避免因“泛保護”而阻礙企業正常業務(wù)的開展。

- “衍生數據關鍵要素”：包括“深度”，例如進行數據統計、關聯、挖掘或融合等加工(gōng)後導緻敏感程度上升。

合規提示：

針對大部分(fēn)行業的企業，現階段無本行業規則并不代表企業可(kě)對所掌握的高敏感數據一直持“觀望”狀态，尤其是未來一旦被認定為(wèi)重要數據，由于會受到數據本地化、出境安(ān)全評估、備案上報等合規要求的約束，将可(kě)能(néng)導緻企業面臨業務(wù)模式的劇變，進而導緻更多(duō)的成本投入。目前，《數據分(fēn)類分(fēn)級規則》已經出台，各行業加快重要數據識别和監管已是大勢所趨，建議企業在現階段（尤其是針對高敏感數據且涉及出境等處理(lǐ)活動）即開展重要數據識别工(gōng)作(zuò)的部署和梳理(lǐ)，以合理(lǐ)成本平穩地度過重要數據監管的陣痛期。

第四步 形成企業内部重要數據識别指南

通過對本行業涉及重要數據關鍵要素的梳理(lǐ)，企業可(kě)據此形成内部的重要數據識别指南，該指南中(zhōng)的原則性内容可(kě)參照《數據分(fēn)類分(fēn)級規則》進行起草(cǎo)。而針對企業所處行業的特定内容，一方面可(kě)直接列入第二步所檢索的行業規則規定的數據類型（如有(yǒu)），另一方面可(kě)通過前述第三步所梳理(lǐ)的關鍵要素進行細化，盡可(kě)能(néng)在企業内部設定相對明确的重要數據識别标準。

合規提示：

企業的數據處理(lǐ)活動是一個長(cháng)期動态的過程，未來可(kě)能(néng)涉及業務(wù)屬性、數據類型、規模、處理(lǐ)方式、政策環境等的調整，建議企業先形成内部可(kě)長(cháng)效适用(yòng)的重要數據識别指南，再對照自身所掌握的數據資産(chǎn)，形成企業内部的重要數據資産(chǎn)清單，并随自身數據處理(lǐ)活動及監管環境的調整而不斷更新(xīn)。

第五步 形成企業内部重要數據資産(chǎn)清單，履行法定義務(wù)

形成企業内部重要數據識别指南後，企業即可(kě)就目前所掌握的數據資産(chǎn)形成企業内部重要數據資産(chǎn)清單，并據此确保企業對該部分(fēn)數據資産(chǎn)的處理(lǐ)遵循重要數據處理(lǐ)者的合規要求，例如通過數據打标、嵌入企業數據安(ān)全管理(lǐ)流程、引入數據分(fēn)類分(fēn)級自動化工(gōng)具(jù)等方式，确保該部分(fēn)數據資産(chǎn)的安(ān)全合規處理(lǐ)。例如，針對重要數據處理(lǐ)者，應設置數據安(ān)全負責人及管理(lǐ)機構[6]；重要數據備份及加密[7]；就重要數據處理(lǐ)活動開展風險評估并向主管部門報送風險評估報告[8]；申報數據出境安(ān)全評估[9]；開展重要數據目錄備案等義務(wù)[10]。

第六步 持續觀察監管态勢，動态調整目錄及清單

重要數據合規并非一蹴而就的工(gōng)作(zuò)。建議企業緊密觀察本行業的重要數據目錄出台情況，靈活調整自身重要數據識别指南及重要數據資産(chǎn)清單，積極參與行業主管部門的重要數據認定試點等，提前做好業務(wù)模式的安(ān)排（例如是否涉及出境），依法履行處理(lǐ)重要數據的合規義務(wù)，确保業務(wù)合規平穩運行。