数据分类分级是构建完善数据要素市场的必要前提。近日，中共中央、国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称《数据二十条》），对我国构建数据基础制度作出详细部署安排，并多处提及数据分类分级。基于现有法律法规，强调数据分类分级对数据基础制度建设的重要意义，厘清分类分级的具体举措，对下一步充分落实《数据二十条》相关部署要求，加快建立健全数据基础制度具有极强的理论意义和现实价值。

  一、分类分级对于数据基础制度建设具有重要意义

  数据分类分级不仅是完善数据产权、规范数据交易的前提条件，也是维护数据安全的必要手段。国家和地方制定出台系列法律政策和标准规范，如《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例（征求意见稿）》《工业数据分类分级指南（试行）》等，为数据分类分级提供上位法和操作指导。

  一是有利于推动完善数据要素产权制度构建。数据分类分级是对数字经济时代社会分工更为精细化的一种回应，有利于结构分置运行的数据产权制度有效落实。一方面，公共数据、企业数据、个人数据的分类分级机制，对不同数据主体在不同数据类型上的权限进行了界定，明确了不同数据主体之间的权责利。数据要素由于具有非排他性、可复制性等区别于传统要素的特征，同一数据上可能承载多个主体的数据权利，数据分类分级对相应权利内容作出明确规定，有助于从法理上对数据产权进行明晰。另一方面，数据分类分级机制根据公共数据、企业数据、个人数据特征建立不同分级标准和使用规范，有助于数据权利进一步细化保护。数据所承载的信息敏感程度不同，随应用场景变化，数据安全级别也会发生相应转变，对应的数据权利内容随之更新，数据分类分级有助于数据产权动态调整。

  二是有利于促进数据要素规范有序流通。数据分类分级有利于更加有效地管理数据，推动数据开放共享和流通。一方面，数据分类分级是在数据流通交易过程中根据使用场景和用途用量，结合数据流通范围、影响程度和潜在风险，对数据安全定级的过程。数据流通过程涉及多个环节且每个环节的主体不同，分类分级有助于明确各环节各主体的使用范围和使用边界，消除公共数据、企业数据和个人数据的开放共享顾虑，进而提高数据要素市场供给，是数据要素市场充分流通的先决条件。另一方面，分类分级有效促进了对数据的挖掘利用。分类分级机制在保障安全前提下，推动数据处理者依法依规对原始数据进行开发利用，有利于数据处理者行使数据应用相关权利，促进数据使用价值复用与充分利用，进一步推动数据使用权交换和市场化流通。

  三是有利于优化数据要素治理体系。数据分类分级是数据全流程动态保护的基本前提，不仅是数据安全治理的第一步，也是当前数据安全治理的痛点和难点。一方面，数据分类分级明确了不同级别数据的安全水平，并对不同数据的处理活动作出详细规定，如不同类别和级别的数据可以在何种情景下被使用，针对一般数据、重要数据和核心数据采取不同的保护措施，数据出境安全评估和审查等，为各主体开展数据交易活动提供依据，同时也大大降低了数据泄露风险。另一方面，数据分类分级对不同级别数据遭到泄露、篡改后的惩罚机制作出详细规定。对于危害国家安全和个人隐私的核心数据泄露问题，根据危害程度处以罚款、暂停整顿等处罚。此外，针对数据跨境流通和监管，数据分类分级也给予了详细指导，为有效监管数据要素市场提供了可靠抓手。

  二、《数据二十条》在多处明确数据分类分级落实要求

  数据分类指根据数据的属性或特征，按照一定的原则和方法进行区分和归类，并建立起一定的分类体系和排列顺序，以便更好的管理和使用数据的过程。数据分级是根据数据的敏感程度和遭到篡改、破坏、泄露或非法利用后对国家安全、企业利益和个人隐私的影响程度，按照一定的原则和方法进行定级的过程。数据分类分级是安全防护的基础，我国积极探索数据分类分级实施细则，《数据二十条》分别从数据产权、数据流通和数据治理三方面系统阐述了数据分类分级落实举措。

  （一）以数据分类分级，建立保障权益、合规使用的数据产权制度

  《数据二十条》提出要建立公共数据、企业数据、个人数据的分类分级确权授权制度。对于公共数据，要加强汇聚共享和开放开发，强化集中授权使用和管理，推进互联互通，打破“数据孤岛”。统筹公共数据授权运营管理，明确开放政策和规则，建立公共数据开放平台，允许公共服务机构根据行业特征、数据类型等有针对性实施分类开放。由于公共数据大多涉及个人隐私安全和国家安全，应根据影响个人隐私和公共安全程度，采取不同的开放利用政策，并按照“原始数据不出域、数据可用不可见”的要求，以模型、核验等产品和服务形式向社会提供。对于企业数据，《数据二十条》提出要保障市场主体依法依规享有持有、使用、获取收益的权益，保障其投入的劳动和其他要素贡献获得合理回报，鼓励探索企业数据授权使用新模式，只有如此才能充分调动企业挖掘利用数据的积极性。企业数据确权授权打通了企业数据利用壁垒，促进了数据在不同企业间的流通共享，有效增加了数据要素市场供给，推动完善数据要素市场建设。对于个人数据，《数据二十条》提出要规范个人信息数据处理活动，不得采取“一揽子授权”、强制同意等方式过度收集个人信息，探索由受托者代表个人利益，监督市场主体对个人信息数据进行采集、加工、使用的机制。

  （二）以数据分类分级，建立合规高效、场内外结合的数据要素流通制度

  数据分类分级是实现数据要素市场化配置的基础，同时也是数据安全高效流通的前提。一方面，《数据二十条》提出要区分使用场景和用途用量，建立数据分类分级授权使用规范，保障数据产品安全合规使用。分类分级是数据交易的重要基础，如果不结合具体的交易方式和场景，数据分类分级的研究往往也难以深入进行。因此，在数据交易流通中，应依托具体应用场景，对数据要素采取分类分级处理，针对不同敏感级别采取相应的交易模式。此外，数据要素的定价、资产评估等各个环节也需结合特定应用场景，在数据分类分级基础上开展相应工作。另一方面，《数据二十条》也提出探索建立跨境数据分类分级管理机制。数据安全事关国家安全，我国在《网络安全法》中首次以国家法律形式明确了数据跨境流动基本政策，后续相继出台《个人信息出境安全评估办法（征求意见稿）》、《数据出境安全评估办法》等对跨境数据流通做出严格限制，数据跨境流通应保护个人信息安全和国家主权安全。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施，并建立重要数据保护目录和风险评估报告制度，为数据安全跨境流通提供保障。

  （三）以数据分类分级，建立安全可控、弹性包容的数据要素治理制度

  《数据二十条》提出要加强数据分类分级管理，把该管的管住、该放的放开，积极有效防范和化解各种数据风险，形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。一方面，数据安全建设需针对数据采集、存储、使用、加工、传输、公开等各个环节，进行数据安全风险的监测、评估和防护。只有做好了数据分类分级工作，才能进行后续数据安全建设。不同安全级别的数据在不同的活动场景下，安全防护的手段和措施也不同。如关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，将实行更加严格的管理制度。另一方面，我国近年来相继出台多项数据分类分级标准规范，行业层面金融、工业等行业监管制定相关配套标准指引，如《金融数据安全 数据安全分级指南》、《工业数据分类分级指南（试行）》等；地方层面上海、浙江、贵州等多地分别发布公共数据开放分类分级试行指南，加强对政务数据的保护，为落实数据分类分级管理提供指导性参考，同时也为公共数据治理提供了保障。

  三、加快推进我国数据分类分级建设的三大着力点

  总体看，我国数据分类分级仍面临一些痛点难点，结合《数据二十条》相关规定，相关标准、机制和实施办法亟待完善健全。

  一是完善数据要素产权制度，加快数据分类分级标准建设。数据要素分类分级授权制度建设是一项面广量大的系统工程，是个既复杂又有诸多不确定的难题，需采取“标准配套、领域落地、快速迭代”的策略。在数据要素产权制度探索进程中，鼓励各行业政府部门与数据流通交易机构联合，对重点应用领域率先开展数据产品流通和使用的分类分级标准的建设，尽快形成行业标准或地方标准，为建立中国特色的数据要素分类分级授权机制提供基础。

  二是优化数据要素流通制度，推进数据分类分级机制设计。针对数据采集、存储、处理和流通的关键环节，建立全流程、动态可追溯的分类分级标识体系，针对原始数据、存储处理过程中的数据以及交易流通过程中的数据予以分类分级标识，并随数据处理过程实时更新。明确数据分类分级的主要负责部门和负责人，统筹数据处理活动的分类分级管理和监督。建立跨部门数据分类分级协调机制，将不同部门数据统一协调进行分类分级管理。建立完善的数据分级流程，明确数据分类分级在业务工作中的重要位置，加强分类分级知识培训，以保障分类分级制度能够有效落实。

  三是健全数据要素治理体系，细化数据分类分级实施办法。明确相应监管主体与要求，规范不同类型不同级别的数据交易过程，将治理体系落实到数据要素生产流程各环节、各层级及各相关责任主体。加快建立数据分类分级保护、重要数据识别和目录备案、跨境数据流动监管、数据安全检测评估等基本规则。进一步明晰重要数据、核心数据的认定标准，加快推进重要数据、核心数据的识别工作，完善重要数据、核心数据的存储管理，配套建立重要数据、核心数据的更新维护、动态调整的管理机制。合理分配各部门调整范畴的分工、系统构建各监管部门衔接与协同共治体系。(李书品、王伟玲，作者分别系中国电子信息产业发展研究院助理研究员、研究员)