2.第二章：政策法规与标准体系

---

相关专栏：数据分类的艺术

---

2.1 全球数据治理政策概览

2.1.1 欧盟GDPR

欧盟《通用数据保护条例》(GDPR)是全球最严格的数据保护法规之一，于2018年5月正式实施。GDPR对数据分类有明确要求，特别是对个人数据的识别和保护。根据GDPR，企业需要知道他们持有什么类型的数据，存储在何处，以及如何保护这些数据。

GDPR引入了"数据最小化"原则，要求企业只收集和处理实现特定目的所必需的数据。这一原则促使企业必须对数据进行分类，明确哪些数据是必要的，哪些是可以删除的。

GDPR将个人数据分为一般个人数据和特殊类别个人数据（敏感数据）。特殊类别个人数据包括揭示种族或民族出身、政治观点、宗教或哲学信仰、工会成员身份的数据，以及基因数据、生物识别数据、健康数据、性生活或性取向数据。这种分类直接影响数据处理的法律基础和保护措施的严格程度。

GDPR还引入了"可问责性原则"，要求数据控制者能够证明其遵守了GDPR的各项规定，这促使企业建立完善的数据分类机制，作为合规的基础工作。数据控制者必须维护一份处理活动记录，其中包括处理的数据类别，这也要求企业对数据进行分类整理。

2.1.2 美国数据法规

美国采取了行业特定的监管方式，如《健康保险可携性和责任法案》(HIPAA)针对医疗健康数据，《格拉姆-里奇-比利雷法案》(GLBA)针对金融数据，《儿童在线隐私保护法》(COPPA)针对儿童数据。

这种分散的监管方式要求企业建立灵活的数据分类体系，能够适应不同行业和不同类型数据的监管要求。

深入探讨各法规的数据分类要求：

HIPAA：将健康数据分为受保护的健康信息(PHI)和非PHI。PHI是指可以识别个人身份的健康信息，包括18种标识符，如姓名、地址、社会安全号码、医疗记录号等。医疗机构需要对PHI实施严格的安全控制措施，包括物理、技术和管理措施。

GLBA：要求金融机构保护客户的"非公开个人信息"(NPI)，包括个人识别信息(PII)和金融交易信息。金融机构需要实施适当的安全措施来保护这些信息，并向客户披露信息共享实践。

COPPA：规定了收集13岁以下儿童个人信息的特殊要求，包括获取父母同意、披露信息收集和使用方式、维护信息的保密性和安全性等。网站和在线服务需要识别和特殊处理儿童数据。

此外，2020年实施的《加州消费者隐私法》(CCPA)和2023年实施的《加州隐私权法》(CPRA)为美国隐私立法树立了新标准，明确了个人信息的定义，并引入了敏感个人信息的概念，包括社会安全号码、精确地理位置、种族或民族信息等。

2.1.3 亚太地区数据法规

中国、日本、韩国、新加坡等亚太国家近年来陆续颁布了数据保护法规。以中国为例，《网络安全法》、《数据安全法》、《个人信息保护法》构成了数据治理的"三驾马车"，全面规范了数据的收集、存储、使用、处理、传输、提供、公开等活动。

这些法规对数据分类提出了具体要求，如《数据安全法》明确提出建立数据分类分级保护制度，对数据进行分类分级管理。

其他亚太国家的数据分类规定：

日本：《个人信息保护法》将个人数据分为一般个人数据和要求特别关注的个人数据（如医疗、犯罪记录等）。2020年修订版引入了"匿名加工信息"和"假名加工信息"的概念，为数据分类增加了新维度。

韩国：《个人信息保护法》区分一般个人信息和敏感信息，对敏感信息的处理设置了更高门槛。此外，《信息通信网络法》对在线服务提供商收集的个人信息提出了特殊要求。

新加坡：《个人数据保护法》没有明确区分数据类别，而是采用基于风险的方法，要求组织根据数据敏感性和潜在风险实施合理的安全措施。

印度：尚未通过全面的数据保护法，但《信息技术法》及其规则对敏感个人数据提供了一定保护。正在讨论中的《个人数据保护法案》将借鉴GDPR，引入个人数据和敏感个人数据的分类。

2.2 国际标准体系

2.2.1 ISO/IEC 27001

ISO/IEC 27001是信息安全管理体系的国际标准，其中包含了对数据分类的要求。该标准要求组织根据法律要求、价值、关键性和敏感性对信息进行分类，以确保信息得到适当级别的保护。

标准附录A.8.2专门讨论信息分类，提出了三项具体控制措施：

• A.8.2.1：信息分类——根据法律要求、价值、关键性和对未授权披露或修改的敏感性对信息进行分类
• A.8.2.2：信息标记——根据组织采用的信息分类方案制定信息标记程序
• A.8.2.3：信息处理——根据组织制定的信息分类方案开发和实施信息处理程序

ISO/IEC 27001建议的分类维度包括：

• 机密性：信息未经授权的披露可能导致的损害
• 完整性：信息被未经授权修改可能导致的损害
• 可用性：信息不可用可能导致的损害

该标准不规定特定的分类级别，而是让组织根据自身需求确定适当的分类级别，通常为3-5个级别，如公开级、内部级、机密级等。

2.2.2 NIST框架

美国国家标准与技术研究院(NIST)提供了多个关于数据管理和安全的框架，如NIST 800-53、NIST隐私框架等。这些框架提供了数据分类的指导原则和实施建议。

NIST SP 800-53：《联邦信息系统和组织的安全与隐私控制》提供了全面的安全控制目录。其中，RA-2（风险评估 - 信息分类）控制措施要求组织：

• 根据信息系统的使命/业务需求，对信息和信息系统按照影响级别进行分类
• 记录信息和信息系统的安全分类决策
• 定期审查和更新安全分类

NIST SP 800-60：《信息和信息系统分类指南》专门指导联邦机构如何根据《联邦信息安全管理法》(FISMA)的要求对信息和信息系统进行分类。该指南提出了一个两步：

1. 识别信息类型
2. 根据每种信息类型对机密性、完整性和可用性的潜在影响，确定临时性和最终的安全分类

NIST隐私框架：提出了识别-管控-保护-响应-恢复的隐私风险管理流程，要求组织识别处理的数据及其隐私敏感性，作为实施适当保护措施的基础。

2.2.3 DAMA DMBOK

数据管理协会(DAMA)的《数据管理知识体系》(DMBOK)是数据管理领域的重要参考，其中包含了数据分类的最佳实践和指导原则。

DMBOK 2.0在数据安全管理章节中，将数据分类作为实施数据安全计划的核心环节。DMBOK建议的数据分类方法包括：

分类要素：

• 数据敏感性：数据被未授权访问、使用或披露的风险
• 数据关键性：数据对组织运营的重要性
• 数据价值：数据对组织业务的价值和潜在价值
• 合规要求：适用于数据的法律、法规和合同要求

分类流程：

1. 制定分类政策和标准
2. 识别和编目数据资产
3. 评估数据敏感性、关键性和价值
4. 分配分类级别
5. 标记数据
6. 实施保护措施
7. 监控和维护分类

DMBOK还强调，数据分类应与数据生命周期管理、元数据管理和数据质量管理等其他数据管理领域紧密结合。

2.2.4 其他国际标准

ISO/IEC 27002：作为ISO/IEC 27001的配套实施指南，提供了更详细的信息分类建议，包括分类方案设计、信息标记和信息处理规程。

ISO/IEC 27701：隐私信息管理体系扩展，专门针对个人数据保护，提供了个人数据识别和分类的指南。

CSA STAR：云安全联盟安全信任和保障注册计划，为云服务提供商提供了数据分类和控制的最佳实践。

PCI DSS：支付卡行业数据安全标准，对支付卡数据（持卡人数据和敏感认证数据）提出了明确的分类和保护要求。

2.3 中国数据治理法规体系

2.3.1 《网络安全法》

《网络安全法》是中国网络空间的基础性法律，于2017年6月1日正式实施。该法首次提出了"重要数据"的概念，要求对关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据进行本地存储。

《网络安全法》第三十七条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”

虽然该法没有明确定义"重要数据"，但这一概念标志着中国数据分类体系的初步形成，将数据分为普通数据、个人信息和重要数据三大类。"重要数据"的概念为后续《数据安全法》中的数据分类分级制度奠定了基础。

2021年11月发布的《网络数据安全管理条例（征求意见稿）》进一步明确了重要数据的范围，将其定义为"一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据，不包括国家秘密信息"。

2.3.2 《数据安全法》

《数据安全法》于2021年9月1日实施，是中国第一部专门针对数据安全的法律。该法第二十一条明确规定：“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。”

国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。相关部门按照数据分类分级保护制度，确定本部门、本行业、本地区重要数据具体目录，对列入目录的数据进行重点保护。

该法第二十二条规定了建立健全国家核心数据制度和对国家核心数据实行重点保护，正式提出了"核心数据"概念。从而形成了普通数据、重要数据和核心数据的三级数据分类体系。

《数据安全法》还提出了数据安全风险评估、监测预警和应急处置机制，规定重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任，开展风险评估，并向有关主管部门报送风险评估报告。

2021年10月发布的《数据出境安全评估办法（征求意见稿）》基于《数据安全法》，明确规定重要数据和关键信息基础设施运营者收集和产生的个人信息向境外提供，需要进行安全评估。

2.3.3 《个人信息保护法》

《个人信息保护法》于2021年11月1日实施，是中国首部专门针对个人信息保护的法律。该法将个人信息分为一般个人信息和敏感个人信息，对后者提出了更严格的处理要求。

敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

该法第二十八条至三十二条对敏感个人信息的处理设置了特殊规则：

• 只有在具有特定目的和充分必要性的情况下，方可处理敏感个人信息
• 处理敏感个人信息应当取得个人的单独同意
• 处理敏感个人信息应当向个人告知处理的必要性和对个人权益的影响
• 法律、行政法规规定处理敏感个人信息应当取得相关行政许可或者适用其他限制的，从其规定

《个人信息保护法》还规定了个人信息跨境提供的条件和安全评估要求，与《数据安全法》形成互补，共同构建了中国数据分类保护的法律框架。

2.3.4 其他相关法规政策

《网络安全审查办法》：2022年2月15日实施，明确掌握超过100万用户个人信息的运营者赴国外上市必须申报网络安全审查，体现了对大规模个人信息的特殊保护要求。

《关键信息基础设施安全保护条例》：2021年9月1日实施，进一步细化了关键信息基础设施运营者对重要数据的保护义务。

《数据安全管理办法》：2022年9月1日实施，对网络运营者数据处理活动提出了更详细的分类分级管理要求。

《数据出境安全评估办法》：2022年7月7日发布，2022年9月1日实施，细化了数据出境安全评估的条件和程序，包括对重要数据和大规模个人信息出境的评估要求。

2.4 行业数据治理规范

2.4.1 金融行业

中国人民银行发布的《金融数据安全 数据安全分级指南》，将金融数据分为五级：公开级、内部级、秘密级、机密级和绝密级。该指南详细规定了金融机构应如何对数据进行分类分级。

具体分级标准如下：

• 公开级：可对外公开，不会对金融机构造成任何损害的数据
• 内部级：仅限于金融机构内部使用，未经授权泄露可能会对金融机构造成轻微损害的数据
• 秘密级：未经授权泄露可能会对金融机构造成一定损害的数据
• 机密级：未经授权泄露可能会对金融机构造成严重损害的数据
• 绝密级：未经授权泄露可能会对金融机构造成特别严重损害的数据

银保监会发布的《银行业金融机构数据治理指引》要求银行业金融机构建立数据分类分级管理机制，对数据实施差异化管控。指引要求：

• 建立数据分类分级标准，识别敏感数据和重要数据
• 根据数据类别和级别，采取相应的管控措施
• 定期评估数据分类分级结果的准确性和适用性

中国证监会发布的《证券期货业数据分类分级指引》提出了行业数据分类分级的基本原则和方法，将数据分为基础类、重要类和核心类三个级别，并根据数据价值、敏感程度和影响范围进行细分。

2.4.2 医疗行业

国家卫健委发布的《健康医疗大数据安全管理办法（试行）》要求医疗机构对健康医疗数据进行分类分级管理，特别强调对患者隐私数据的保护。

该办法将健康医疗大数据分为：

• 一般健康医疗数据：泄露后对患者隐私构成一定影响但不会造成严重后果的数据
• 敏感健康医疗数据：泄露后可能损害患者声誉或心理健康，造成歧视性后果的数据，如传染病、精神疾病、遗传病等信息
• 特殊健康医疗数据：泄露后可能严重危害患者合法权益的数据，如基因数据、生物识别数据等

《医疗数据分类与代码 第1部分：总则》行业标准（WS 445.1-2014）提供了医疗数据的分类框架，包括患者基本信息、临床诊疗信息、医院管理信息等多个维度。

《电子病历系统功能规范》要求医疗机构建立电子病历数据分级保护机制，对不同级别的患者数据采取差异化保护措施。

2.4.3 互联网行业

工信部发布的《电信和互联网行业数据安全标准体系建设指南》提出了构建数据分类分级体系的要求，指导互联网企业对数据进行科学分类。

该指南提出了以下数据分类维度：

• 按数据主体：个人数据、企业数据、政府数据、社会数据等
• 按数据内容：身份识别数据、行为数据、位置数据、交易数据等
• 按数据形态：结构化数据、半结构化数据、非结构化数据
• 按数据敏感度：公开数据、内部数据、保密数据、高度保密数据

《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》明确了各类APP在提供基本服务功能时可收集的必要个人信息类型和范围，为互联网企业数据分类提供了实践指引。

《互联网平台个人信息保护合规指引》针对大型互联网平台提出了个人信息分类分级及差异化保护的要求，将个人信息按敏感程度分为一般个人信息、敏感个人信息和核心个人信息。

2.4.4 其他行业

能源行业：国家能源局发布的《能源行业数据安全管理办法（试行）》要求能源企业建立数据分类分级管理体系，对能源生产、传输、消费等关键数据实施重点保护。

教育行业：教育部发布的《教育数据安全管理规定（试行）》对学生信息、教师信息、教学资源等数据提出了分类管理要求，特别强调对未成年人个人信息的特殊保护。

交通行业：交通运输部发布的《交通运输行业数据资源共享开放实施方案》对交通数据进行了分类，包括公共数据、内部数据和涉密数据，为行业数据分类提供了框架。

制造行业：工信部发布的《工业数据分类分级指南（试行）》将工业数据分为研发数据、生产数据、运维数据、管理数据和销售数据五大类，并根据敏感程度分为一般数据、重要数据和核心数据三个级别。

2.5 合规要求与实施路径

2.5.1 合规要求分析

面对复杂的法规环境，企业需要全面分析适用于自身的法律法规和标准，识别出数据分类的具体要求，包括：

• 必须划分的数据类别（如个人信息、敏感个人信息、重要数据等）
• 各类数据的保护要求
• 数据处理活动的限制条件
• 跨境数据传输的规定

合规要求矩阵：
企业可以创建一个合规要求矩阵，横轴为适用的法规和标准，纵轴为数据类别，在矩阵中填入各法规对不同数据类别的具体要求，以全面掌握合规要求。

合规差距分析：
通过对照适用的法规要求和企业现有数据分类实践，识别合规差距：

• 法规要求但尚未实施的数据类别划分
• 数据保护措施不符合法规要求的数据类别
• 数据处理活动可能违反法规限制的情况
• 数据跨境传输不符合法规要求的场景

2.5.2 分类合规实施路径

实施符合法规要求的数据分类，企业可以采取以下步骤：

1. 梳理适用的法律法规和标准要求
2. 对标识别企业现有数据与法规要求的差距
3. 设计符合法规要求的数据分类标准
4. 实施数据发现和分类工作
5. 根据分类结果制定差异化的数据保护措施
6. 定期审核和更新分类结果，确保持续合规

详细实施步骤：

第一阶段：法规要求梳理与分析

• 成立跨部门工作组，包括法务、IT、安全、业务等部门代表
• 识别适用的法律法规和行业标准
• 提取各法规中与数据分类相关的具体要求
• 汇总形成合规要求清单和矩阵

第二阶段：现状评估与差距分析

• 调研企业现有数据资产目录和分类方法
• 评估现有分类方法与法规要求的符合度
• 识别需要改进的方面和优先级
• 形成差距分析报告和改进建议

第三阶段：分类标准设计

• 制定数据分类分级政策，明确分类目标和原则
• 确定分类维度（如数据类型、敏感度、重要性等）
• 设计分类方法和流程
• 定义分类结果的标记和标签方法
• 制定各类数据的处理规则和保护要求

第四阶段：分类工具选型与实施

• 评估并选择适合的数据发现和分类工具
• 部署工具并进行配置和测试
• 对关键系统和数据库进行数据发现
• 根据分类标准对发现的数据进行分类
• 对分类结果进行审核和确认

第五阶段：保护措施实施

• 根据数据分类结果，制定差异化的访问控制策略
• 为不同级别的数据配置相应的加密保护措施
• 实施数据使用监控和审计机制
• 建立数据泄露事件响应流程
• 针对高敏感度数据实施特殊保护措施

第六阶段：持续审核与更新

• 建立定期审核机制，验证分类结果的准确性
• 跟踪法规变化，及时更新分类标准
• 针对新业务和新数据，及时进行分类评估
• 根据审核结果和法规变化，持续优化分类方法和工具