2024年3月15日,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》(以下简称为“该标准”)对外发布,并将于2024年10月1日开始实施。
《中华人民共和国数据安全法》规定要建立数据分类分级保护制度,并根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,初步将国家秘密之外的数据划分为国家核心数据、重要数据和一般数据。同时,《中华人民共和国数据安全法》还要求有关部门制定重要数据目录,加强对重要数据的保护。
目前大部分行业领域的重要数据目录至今都还没有公布,这导致数据处理者在实践中很难判别自身所处理的数据是否涉及重要数据,是否需要额外履行相应的数据保护责任,包括但不限于有关重要数据出境的相关法律义务。
虽然2023年国家互联网信息办公室出台的《促进和规范数据跨境流动规定》中明确规定了未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估。但是在相关部门公布重要数据目录之前,数据处理者仍然需要对于如何自行判断和识别重要数据有一定的参考依据,以便做好相应的合规准备工作。该标准则可以满足数据处理者的上述需求。
该标准中规定了数据分类分级的原则、框架、方法和流程,并给出了重要数据的识别指南。但请注意,该标准不适用于涉及国家秘密的数据和军事数据。
该标准实施后,不仅可以用于行业领域主管部门参考指导行业领域数据的分类分级和重要数据识别工作、各地区和部门参考制定重要数据目录,还可以用于数据处理者根据自身处理数据的业务属性,按照业务所属行业领域的数据分类分级规范,及时开展数据分类分级工作并识别和报送重要数据目录。