7月28日，中国信息安全研究院副院长左晓栋在第九届互联网安全大会的“网络空间安全治理前沿峰会”上表示，目前《信息安全技术 重要数据识别指南》（下称《指南》）已完成草稿。按目前的草稿，对重要数据的分类不再按照行业，而是从国家安全影响等角度进行，共分为八类。

左晓栋的发言主题为《关于重要数据识别工作》，主要针对《指南》制定工作的进展及相关内容进行了介绍。

一直以来，重要数据的定义和分类都是各方广泛关注的问题。此前有多位专家对南都·隐私护卫队表示，目前国内并没有数据分类分级的统一标准，未来需要出台专门的细则进行规范。

事实上，目前已有不少法律法规和标准规范对重要数据的界定与分类提出要求。

2017年，国家标准《信息安全技术 数据出境安全评估指南》征求意见稿中以规范性附录的形式给出了“重要数据识别指南”，首次提出了重要数据的完整定义，并列举了28个行业的重要数据类型、范围。这个附录当时并未引起大范围关注。而即将于今年9月1日正式实施的《数据安全法》则规定，国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护，并初步提出了重要数据处理者的若干责任义务，由此使重要数据的定义成为一个重要议题。

在左晓栋看来，对重要数据的界定和分类是国家建立一系列重要数据管理制度的基础，因此起草《指南》的意义重大。同时，随着数据出境评估制度等制度的实施，以及各项法律制度建设工作推进，重要数据识别工作也变得前所未有的敏感和重要。

在会上，他介绍了《指南》的五个原则，分别为以国家安全等角度定义重要数据、促进数据安全有序流动、衔接地方既有规定、综合考虑风险以及根据数据具体情况将定量定性相结合。

左晓栋强调，重要数据是从国家安全、经济运行、社会稳定、公共健康和安全等角度定义的数据，那些“只对组织自身而言重要或敏感的数据”不属于重要数据，即个人信息、企业敏感数据等应与重要数据区分开来。

此外，他认为综合考虑风险也是重要原则之一。“为何把某些数据认定为重要数据？是因为它们不能随随便便被人知悉，例如出境应当受到管控。然而实际上，也有一些数据的保密性可能不是主要关切，却存在着其他顾虑。”

“比如天气预报数据是公开的，但这些数据不是什么人都可以发布，而且数据不能被篡改，否则后果很严重。”左晓栋打了个比方，“这意味着我们对重要数据属性的理解与政府的监管手段有直接关联。目前，我们关注重要数据的缘由主要还是保密性，其实还应综合考虑其他风险。”

据悉，目前《指南》的草案稿不再延用2017年版本对行业分类的方式。左晓栋表示，重要数据分类是从国家安全影响的角度进行，并非天然属于某个行业。因此没有必要从交通、能源、电信、金融等行业角度制定重要数据标准。

“‘铁路沿线的安保措施’与‘银行金库的安保措施’都是对关键基础设施物理安全的保护措施要求，无须在不同行业分别规定。然而，由于将来的管理趋势必定是行业及地区各自制定自己的重要数据目录，那么不从行业角度分类就会为管理带来一定困难。因此，这是一个两难问题。”他说。

左晓栋透露，目前重要数据被分成八类，包括与经济运行相关，与人口和健康相关，与自然资源及环境相关，与科学技术相关，与安全保护相关，与应用服务相关，与政务活动相关以及其他。他强调，这并非对重要数据进行分类，而是描述重要数据的特征。

此外，左晓栋还提出了各行业、各地方制定重要数据目录的统一规范要求，即重要数据的描述格式。首先要进行分类，各组织上报重要数据时应明确本行业的监管要求和目前适用的管理政策；其次，要对数据的重要性进行描述，如国家影响、面临的主要安全威胁以及时效等方面。最后，各组织要明确重要数据的来源、用途、共享交换情况、保护措施等，再按程序上报。

文/南都个人信息保护课题组 樊文扬

编辑：蒋琳

本文作者

樊文扬

3642W

南方都市报记者