2024
数据合规系列文章之(三)
企业数据合规第一步——数据分类分级
编者按:
当前我国从政策方面将数据作为新型生产要素,鼓励数据入表及数据交易,上市公司及非上市公司积极推进数据入表工作,在财务报告中列示了数据资源。企业将数据资源纳入财务报表将有利于寻找适合自身的数据资源应用场景,进而盘活数据资产,拓展融资渠道并降低融资成本,实现数据资产的保值与增值。
数据入表的前提是数据合规,而数据合规需要企业在法律要求与商业利益之间进行平衡。在法律层面,数据领域的法律规范众多且持续更新;在企业实践层面,数据成为生产要素需要技术、产品、法律、业务等多方共同参与。
本系列文章作者北京市东卫(济南)律师事务所王晨帆、尹鲜鱼两位律师,以数据入表为切入点,集中探讨围绕数据入表所涉及的数据合规方面的相关法律和实践问题,希望为企业具体实施数据入表工作,构建数据合规管理体系提供有益参考。
本篇为数据合规系列文章之(三)企业数据合规第一步——数据分类分级。
数据的分类分级是企业构建数据合规制度的基石。2024年9月30日颁布的《网络数据安全管理条例》明确规定国家建立数据分类分级保护制度。然而,数据分类分级究竟是什么?应如何操作?这些问题已然成为企业在开展数据合规制度建设过程中面临的棘手难题。
01
数据分类分级的概念
数据分类
NO.1
根据《信息技术-大数据-数据分类指南》(GB/T 38667-2020)定义,数据分类是指根据数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序的过程。[1]这一过程旨在将具有共同属性或特征的数据归并在一起,通过类别的属性或特征来对数据进行区别,从而形成一个有条理的分类系统,以便更好地管理和使用组织数据的过程。
数据分级
NO.2
根据《 数据安全技术-数据分类分级规则》(GB/T 43697-2024),数据分级是指根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、一般数据三个级别。[2]这一过程旨在确保数据得到与其重要性和影响程度相适应的级别保护,防止数据泄露、篡改或非法使用,保障国家安全、社会稳定和个人隐私。
02
数据分类分级的意义
满足企业数据合规义务要求
NO.1
数据分类分级是必须履行的法定责任,也是企业履行个人信息保护、数据收集与使用、数据出境、重要数据等各类数据合规义务的前提。《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规明确规定企业应对数据进行分类分级,否则将可能受到信用惩戒、公开曝光、没收违法所得、罚款、暂停营业、停业整顿、关闭网站、吊销业务许可证或者吊销营业执照等行政处罚;构成犯罪的, 依法追究刑事责任。具体法律法规规定如下:
降低数据泄露风险
NO.2
企业通过梳理数据资产,根据企业数据管理和使用需求对数据进行分类,为数据打上不同的标签,如个人数据、系统日志数据、企业经营管理数据等;根据数据一旦泄露对企业、用户、国家影响对数据进行分级。根据数据所属的类别、级别,企业可以明确数据是否可以使用、对外提供、不同等级的数据在不同场景使用的安全策略及技术方法,从而降低数据泄露带来的风险。
03
数据分类分级的实施
明确数据分类分级标准
NO.1
企业在具体实施数据分类分级时,应首先了解国家数据分类分级保护要求,及所属行业领域对数据分类分级管理的具体要求,在本行业特殊数据监管要求的基础上明确自身的数据分类分级管理制度,包括分类分级的规则标准、操作流程。
目前已颁布的国家标准和行业部门颁布的符合其行业特性的数据分类分级标准、指引和规范,如下表:
数据分类分级原则
NO.2
《数据安全技术数据分类分级规则》(GB/T43697-2024)就数据分类分级,给出了明确的原则[3],具体如下:
1.科学实用原则。从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据 分类的依据,并结合实际需要对数据进行细化分类。
2.边界清晰原则。数据分级的各级别应边界清晰,对不同级别的数据采取相应的保护措施。
3.就高从严原则。采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。
4.点面结合原则。数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。
5.动态更新原则。根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级,重要数据目录等进行定期审核更新。
数据分类方法
NO.3
企业进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,则应从业务属性角度进行分类;企业在选择合适的业务属性之后,可根据本企业数据管理和使用需求,确定具体数据分类规则。常见业务属性包括:[4]
1.业务领域:按照业务范围、业务种类或业务功能进行细化分类;
2.责任部门:按照数据管理部门或职责分工进行细化分类;
3.描述对象:按照数据描述的对象进行细化分类;如:用户数据、业务数据、经营管理数据、系统运维数据。
4.流程环节:按照业务流程、产业链环节进行细化分类;如:软件产品数据按照业务流程可分为:研发数据、测试数据、运营数据、分析加工数据等;
5.数据主体:按照数据主体或属主进行细化分类;如:根据数据主体可将数据分为公共数据、组织数据、个人信息。
6.内容主题:按照数据描述的内容主题进行细化分类;如:财务数据、人事数据等。
7.数据用途:按照数据处理目的、用途进行细化分类;如:营销广告数据;
8.数据处理:按照数据处理活动或数据加工程度进行细化分类;如:原始数据,去标识后数据、匿名化数据;
9.数据来源:按照数据来源、收集方式进行细化分类。如:自行收集数据、授权数据、爬取数据。
数据分级方法
NO.4
数据分级旨在保护数据安全,企业通过数据分类、数据分级要素识别、数据影响分析,并在此基础上最终确定数据级别。
数据分级要素识别指通过分析数据描述的业务或内容、数据主体或描述对象、数据涉及的地区范围、数据的精确或准确程度、数据规模、数据深度及覆盖度等数据关键属性和特征来识别数据的重要程度。数据影响分析是指评估数据泄露、篡改、损毁、非法获取、非法共享或非法使用等情况下可能对国家安全、经济运行、经济秩序、社会利益、组织利益、个人权益的影响及影响程度。数据级别确定规则如下[5]:
04
注释
[1]GB/T 38667-2020 信息技术-大数据-数据分类指南3.3
[2]GB/T 43697-2024 数据安全技术-数据分类分级规则6.1
[3]GB/T 43697-2024 数据安全技术-数据分类分级规则4
[4]GB/T 43697-2024 数据安全技术-数据分类分级规则5.1
[5]GB/T 43697-2024 数据安全技术-数据分类分级规则6.5
05
作者简洁
北京市东卫(济南)律师事务所隐私保护与数据合规团队曾为多家互联网公司、金融企业提供隐私保护和数据合规法律支持工作。团队成员熟悉欧盟及成员国、美国加州关于个人信息保护相关法律规定(GDPR,CCPA)及操作实践;熟悉中国关于个人信息保护的各项法律法规、标准,及App专项治理工作流程;擅长产品隐私合规评估、信息安全规章制度搭建、数据全生命周期保护机制建立、数据合规培训等。
王晨帆律师简介
王晨帆:北京市东卫(济南)律师事务所资深律师,东北财经大学硕士。拥有十多年公司内部法务工作经验,擅长公司治理,数据合规及互联网产品合规风控,其专业、细致、认真的工作风格获得客户一致好评。
专业领域:争议解决、隐私保护与数据合规、公司与金融、企业合规与风险防控。
Tel:13301184381
尹鲜鱼律师简介
尹鲜鱼:北京市东卫(济南)律师事务所律师,中央财经大学硕士,曾为国有企业、商业银行等提供金融产品内控合规法律服务,业务娴熟,勤勉高效。
专业领域:争议解决、企业合规与风险防控、数据合规。
Tel:18813192013
(信息来源于:东卫济南律师事务所)
版权归原作者所有,如有侵权,请及时联系我们予以删除
制作:韩 雪
审核:冯发海
北京市东卫律师事务所成立于2002年。经过20余年发展,现已成为一家专业齐全、服务优质、极具口碑的大型综合性律师事务所。业务涵盖刑事辩护、民商事诉讼与仲裁、银行保险、股权投资、资本市场、企业改制、政府法律顾问、知识产权、建筑与房地产、破产清算、国际贸易与投资、公益法律援助领域等各个领域。2022年6月,东卫组织形式变更为特殊普通合伙。
东卫北京总部现位于首都核心区,目前在全国拥有1200余名人员,其中近百名为博士后、博士律师,十多名法学专家教授为兼职律师,并聘请全国知名学府法学专家、多名实务专家担任东卫专家顾问委员会成员,能够为客户提供权威、及时、前沿、有效的解决方案。
东卫以“学院派”为特色,成立有多个法律智库平台,设有齐全的专业机构,举办多次高端论坛,专业能力领先同行。同时,东卫还与多个海外法律服务机构保持长期合作关系,能为客户提供全方位、多样化、国际化的法律服务与支持。
Main Honor
北京市律师行业先进律师事务所党组织
律所卓越品牌影响力
中国律所品牌价值100强
北京商务服务业创新品牌100强
全国商联法律维权服务中心律师团成员
中国中小企业协会企业合规评价建设单位
北京市市级行政事业单位法律定点服务单位
全国律师行业优秀共产党员
北京榜样·十大律师楷模
北京市优秀律师
三八红旗奖章
北京市司法行政系统先进集体
“今日头条”年度最佳合作律所
中国优秀知识产权律师榜TOP50
北京市破产管理人协会优秀团队
中国房地产业营销协会副会长单位
《中国版权》理事会理事单位
助力金融风险防范机构
北京市优秀共产党员
全国优秀律师
北京市百名优秀刑辩律师
ALB十五佳
Professional institutions
东卫民商研究院
东卫刑事研究院
全国刑事业务研究中心
全国金融业务研究中心
全国刑民交叉业务研究中心
全国涉外法律业务研究中心
全国知识产权业务研究中心
全国合规与风控业务研究中心
全国环境与资源业务研究中心
全国公司与并购重组业务研究中心
全国证券与投资基金业务研究中心
全国破产重整与清算业务研究中心
全国行政与政府顾问业务研究中心
全国劳动与人力资源业务研究中心
全国互联网与数字经济业务研究中心
全国建设工程与不动产业务研究中心
全国诉讼/仲裁/调解多元争议解决中心
全国婚姻家事与家族财富管理业务研究中心
全国特殊资产暨重大执行案件业务研究中心
Branches
Contact us
法律咨询:dongweiad@dongweilawyer.com
人才引进:hr@dongweilawyer.com
媒体合作:dongweifirm@dongweilawyer.com
联系电话:010-65542826/27
总部地址:北京市东城区朝阳门北大街8号富华大厦D座三、五、六层
Follow us
官方网站:https://dongweilawyer.com
微信公众号:东卫律师事务所
微信视频号:东卫律师事务所
点击关注
东卫律所
Statement
本公众号所载文章仅代表作者本人观点或仅为提供法律信息,不应视为本所出具的法律意见。任何依照所载内容实施行为(包括作为或不作为)所产生的后果,本所及作者本人均不承担任何法律责任。原创文章未经许可禁止转载,如需转载请联系本公众号获取授权。
Map