数据分类分级原则

《数据安全法》中对于数据分类分级给出了基本的划分准则，即根据数据在经济社会发展中的重要程度，以及数据在遭到篡改、破坏、泄露或者非法获取、非法利用后造成的危害程度。目前金融、电信、工业以及政务等行业领域在分类分级实施中给出了关键原则。

1、通用分类原则

（1）科学性和系统性原则

该原则目的是确保数据的类别划分科学全面，分类的数据类目之间具有层次性和系统性，以揭示出数据不同类别之间的联系和区别。科学性体现在数据分类需充分考虑所有数据的多维特征、行业特点和具体的业务实际情况，结合有利于数据安全管控的角度，按照相互间客观存在的内在逻辑关联对数据进行科学分类。系统性体现在基于对行业业务特点的考量，建立一个层层划分、层层隶属、从总到分的分类体系，确保每一次划分有单一、明确的依据。数据类目的排列依据数据类目主题之间的内在联系，遵循概念逻辑，遵循最大效用原则，将全部类目系统地组织起来，形成具有隶属和并列关系的分类体系。

（2）规范性和明确性原则

该原则的目的是确保分类后的类目表达准确、界限分明。规范性体现在所使用的词语或短语能确切表达数据类目的实际内容范围，其内涵、外延清楚；在表达相同的概念时，保持用语一致；在不影响数据类目涵义表达的情况下，保证用语简洁。明确性原则体现在同一层级的数据类目间界限分明。当数据类目名称不能明确各自界限时，可以用注释来加以明确。

（3）稳定性和实用性原则

该原则的目的是确保分类后的类目在实际使用中是稳定的且具有实用性。稳定性体现在选择分类对象的最稳定的本质特征和属性作为数据分类的基础和依据。实用性体现在：数据类目划分符合用户对数据分类的普遍认识，类别划分在实际业务应用中是可执行的。

（4）扩展性原则

该原则的目的是实现数据类别划定之后，能够随着业务应用的不断发展、新类型数据不断产生及其他实际需求，支持数据类目的扩展。扩展性原则体现在数据分类方案在总体上应具有概括性和包容性，能够实现各种类型数据的分类，以及满足将来可能出现的数据类型。在数据类目的设置或层级的划分上，不改变已划定类型的前提下，利于数据分类的扩展。

2、通用分级原则

（1）合法合规性原则

该原则目的是确保在满足法律法规的前提下对数据合理划分级别。体现在数据级别划分应满足相关法律、法规、行业规定及监管要求。

（2）合理性和可执行性原则

该原则目的是确保级别的划分是合理的且在实际执行中是可行的。合理性体现在可根据数据敏感程度、遭到破坏后带来的影响程度等差异对数据进行分级，级别的差异性是易于理解的；同时避免有些级别中数据过于集中而有些级别中没有数据的情况，级别划定过低可能导致数据不能得到有效保护，级别划定过高可能导致不必要的管理开销。可执行性体现在避免对数据进行过于复杂的分级规划，保证数据分级使用和执行的可行性。

（3）自主性原则

该原则强调数据分级要结合机构自身的数据管理需要进行，例如战略需要、业务需要、对风险的接受程度等。按照数据分类原则进行分类之后，按照数据分级方法为数据定级。

（4）时效性和动态性原则

该原则强调数据级别不是一成不变的，效性体现在数据的分会随着时间、数据累积量、关联效应等因素变化。时级具有一定有效期，随着时间变化，数据级别可能按照安全策略对数据级别进行及时调整。动态性体现在对于非敏感数据关联后可能产生敏感数据的场景，关联后的数据级别可能发生变化。

（5）数据安全管控原则

该原则强调可从利于数据安全管控的角度对数据进行分级。级别确定后，应该明确该级别的数据的开放和共享求，数据分发范围，脱敏处理等安全措施。不同级别的数据被同时处理时，应按照其中级别最高的要求来实施保护。