洪伟 任剑洪 徐丽娜 胡强 李文晶

摘   要：数智时代，数据作为重要的生产要素，在推动社会经济发展进步的同时，也面临诸多安全风险。随着《中华人民共和国数据安全法》的实施，数据安全开始步入有法可依、有序管理的时代。数据分类分级是数据安全和数据治理领域的基础性工程。为数据尤其是重要数据制定分类分级管理规范，对提升数据管理效能、强化数据安全保障、促进数字经济发展具有重要意义。与此同时，我国教育信息化在“十三五”阶段发展成效显著，网上教学、“人人通”等应用在提升教学水平的同时，也积累了大量个人信息甚至是敏感信息，面临愈发严峻的安全风险，亟待通过数据分类分级实施差异化的安全防护。文章在回顾国内外相关研究的基础上，阐述教育数据分类分级的必要性及面临的主要问题，探索教育数据分类分级的实施路径，以期为教育行业深入开展数据分类分级制度研究提供参考。

关键词：数据分类分级;体系架构;数据安全法

中图分类号：TP393;G434      文献标志码：A      文章编号：1673-8454（2022）03-0041-10

一、引言

在数智时代，随着大数据等信息技术的发展和广泛运用，整个社会的数字化水平得到显著提升。据中国信息通信研究院数据，2020年我国数字经济规模占GDP比重达38.6%，成为国民经济的重要支柱。数据作为关键生产要素，能够通过流动、共享、分析和挖掘产生巨大价值，但也面临着严重的安全风险，如个人隐私泄露、商业秘密数据违规使用等[1]。在保护数据隐私和提高数据价值利用率的博弈中，数据分类分级作为一项基础工程，其重要性日渐凸显。2021年9月1日，《中华人民共和国数据安全法》（以下简称《数据安全法》）正式施行。《数据安全法》提出要建立数据分类分级保护制度，并根据重要和影响程度对数据实行分类分级保护，尤其是重要数据目录中的数据资源[2]。透过相关政策可以看出，未来一段时间，数据分类分级保护制度或将成为数据安全的基本制度，数据分类分级工作也将成为各地区、各部门加强网络安全建设的重点工作[3]。

教育数据是对教育规划、教育教学、教育科研、教育管理等行为过程及输入输出的真实反映，涉及大量公共数据及个人隐私信息。教育行业经过20多年的信息化发展，已经积累了大量数据资源，随着新冠肺炎疫情防控期间在线教学实践的普及，教育数据的内容和数量较之以前都更加丰富。机器学习、人工智能的深入运用，使得数据背后蕴含的信息得以被挖掘，如不采取必要的安全措施，很可能导致公共数据及个人隐私泄漏，对社会及公众带来一定的影响甚至危害。因此，实施教育数据分类分级，有助于教育部门理清数据现状，根据数据的特性，实行差异化管理，在安全可控的前提下，促进数据的有序共享开放和深入运用。

目前，数据分类分级尚未形成统一定义，为方便理解，本文对数据分类分级定义如下：数据分类是根据数据的属性（或特征），按照特定的方法和维度进行划分并形成分类目录清单的过程;数据分级是根据设定的规则，对分类后的数据按照大小、高低顺序进行排列和级别的划分。两者紧密联系，互为补充。

二、国内外发展现状

目前，国内外在数据分类分级领域已有实践，并形成了一定的标准规范。美国出台相关政策文件，将政府数据主要分为国家安全信息、非涉密敏感数据及开放数据三类[4]。其中，根据信息泄漏可能造成的影响，将国家安全信息依次分为机密、秘密和最高机密，并定义了其范围和类别;对于非涉密的敏感数据，则强调需要采取特定的政策、程序和方式来进行保护;对于政府开放数据，则采用知识共享许可协议（Creative Commons）许可授予用户无需申请条件下，出于商业或非商业目的使用数据的权利[5]。可以发现，国家安全信息及非涉密敏感信息使用的限制和保护要求明显高于开放数据。欧盟发布的《通用数据保护条例》（General Data Protection Regulation）将个人信息分为一般类个人数据和特殊类个人数据，对于能识别自然人政治立场、种族背景、健康状态等特征的特殊类数据需要严格限制使用范围，同时予以最严密的保护措施。

国内的数据分类分级工作起步较晚，但近几年地方和行业陆续出台了相关标准和指南。贵州省作为大数据领域的先行者，在2016年率先发布了《政府数据 数据分类分级指南》。该指南运用线分类法，从行业、主题等视角对政府数据进行了划分，并要求各政府部门根据数据敏感程度，将数据按照公开、内部和涉密三级进行自主定级。但该指南在分类和分级结合方面稍显不足，并没有给出各类型数据的具体安全级别[6]。《青岛市公共数据分级分类指南（征求意见稿）》在介绍数据分类分级方法和流程的基础上，以数据共享和开放为导向指导数据分类分级工作，并给出了1～4级数据的特征及示例[7]。青岛市较之贵州省有两方面的进步：一是数据级别的设置更加合理，可以有效避免将所有数据集中划分到一两个级别中，而其他级别则没有数据;二是给出了不同级别数据的共享策略、开放策略和使用要求，使得数据分类分级在落地性上得到较大提升。《上海市公共数据开放分级分类指南（试行）》根据数据描述的对象，分别从个人、组织和客体三个维度给出了分级规则，并明确数据集的开放类型由数据集中级别更高的维度决定。北京市印发的《政务数据分级与安全保护规范（试行）》创造性地引入数据发生安全事件后的可控程度这一变量，运用定量分析和定性识别相结合的方法，给出了数据安全1～4级的判断标准;另外，针对数据共享、开放、加工、分析等不同场景，规范了不同级别数据的管理规定和安全防护要求，其相关示例对各级部门开展公共数据分级具有较强的指导意义。

行业部门具有业务聚焦性强、数据颗粒度细等特点，因而数据分类分级标准的制定需要更加精细和可操作。中国证监会发布的《证券期货业数据分类分级指引》在引入组织保障、管理制度的基础上，以业务条线划分为抓手，系统性提出了由业务细分到数据细分的分类方法和流程，形成从总到分的树形数据体系框架，并根据数据泄漏及滥用的影响对象、影响范围和影响程度给出了数据分级规则表，为证券期货业数据分类分级的实施提供指南[8]。中国人民银行发布的《金融数据安全 数据安全分级指南》在体系化梳理银行业务的基础上，从客户、业务、经营管理和监管4个领域对数据进行了逐级划分，并引入5级安全分级规则表，给出各子类数据的最低安全级别参考。另外，该指南描述了影响数据安全级别变化的相关事宜，使分级结果兼具动态性和稳定性，为各级机构开展安全防护和自查工作提供了参考[9]。中国通信标准化协会发布的《基础电信企业数据分类分级方法》根据电信企业业务运营管理和数据安全管理的特点，将数据分为用户数据和企业自身相关数据两个大类，并分别给出两个大类数据的详细分类示例;同時按照数据对象的重要敏感程度，设定4个安全级别，通过精准匹配完成基础电信数据的分类分级[10]。

教育行业目前可借鉴的数据分类分级相关案例不多。据有关报道，深圳大学从数据业务属性出发，对全校数据进行不同类型的划分;根据重要程度和影响程度对数据进行分级，依次分为最高级别数据、重要敏感数据、内部数据和可公开数据;计划出台《数据安全管理办法》，提升全校数据整体的安全防护和应用能力。

三、教育数据分类分级的必要性

（一）加强数据资产管理的内在需求

分类分级工作的开展，是提升教育行业数据管理能力的有效途径。《数据管理能力成熟度评估模型》明确将数据分类分级作为数据管理能力第2至5级的基本要求。通过全域业务梳理，为数据资产管理提供最基本也是最核心的元数据及敏感数据分类信息，并在此之上构建数据资产目录。基于数据资产可视化视图，直观地展示当前业务下的数据分布、数据流向和数据资源目录等信息，方便教育部门、广大师生和各类教育数据需求者掌握数据资产现状。借助数据标注和分類，推动教育数据管理由“烟囱式”走向“治理化”，解决传统数据管理过程中敏感数据资产不可见、不可联的问题。

（二）构筑数据安全体系的基石

在当前典型的教育数据分析挖掘场景中，数据广泛存在于数据全生命周期流程，为了更好地平衡数据使用的便捷性和数据防护的安全性，促进数据安全体系建设降本增效，通常需要通过数据分类分级，识别不同类型数据在教育行业的重要程度，以便采用精细化的安全管控手段保护数据的完整性、保密性和可用性，避免“一刀切”。例如，政务数据根据共享特性可分为秘密数据、内部数据和公开数据，除公开数据外，秘密数据和内部数据具有一定的敏感性，因泄漏、滥用等造成的影响程度也高于公开数据。组织需要采用“分而治之”的理念，通过额外投入和特定安全防护策略来管理数据，避免因敏感信息的非法访问、违规滥用给组织带来不必要的影响。

（三）加强个人信息保护的前提

随着移动互联网等信息技术的飞速发展，各类数字应用已广泛应用于教育领域，广大师生和家长在享受大数据带来便利的同时，也意识到其所带来的个人信息安全问题。据统计，相当一部分教育信息系统和App对用户注册的个人信息防护不足，如果个人信息落到不法分子手中，轻则造成电话骚扰，重则出现诈骗现象。近年来，数据安全事件的频发，不断刺激着师生和家长的神经。2021年11月1日，《中华人民共和国个人信息保护法》正式施行，其中第51条规定：个人信息处理者应当根据个人信息的种类以及可能存在的安全风险等，对个人信息实行分类管理。可以发现，个人信息安全风险本质上是安全防护要求和当前安全防护水平不一致导致的，需要通过数据分类分级，识别不同应用场景下的个人信息保护级别，并明确相应的防护要求和措施。

（四）发展数字政府的重要支撑

分类分级有助于推进部门间数据的共享和开放[11]，对发展数字政府起重要支撑作用。近年来，各地陆续开展数字政府建设，形成一批典型应用。特别是新冠肺炎疫情期间，“一网通办”“不见面审批”“健康码”等应用深入人心，政务服务整体反响颇佳。数字政府本质上可以理解为政府治理的数字化转型，背后的核心驱动力是数据共享开放。政务数据具有质量高、范围广等特性，出于维护国家安全和社会公共利益的考虑，目前共享和开放程度有限。为了促进政务数据进一步融入要素市场，更好地共享开放，释放政务数据的潜在价值，需要鼓励各要素部门在已建立的政务数据资源目录基础上，进一步落实数据分类分级保护机制，通过差异化的安全保护措施，兼顾数据流动和风险防控，保障政务数据在共享开放中释放价值。

四、当前存在的主要问题

（一）管理制度不健全

美国通过搭建自上而下的组织架构、明确职责分工等方式，有效地推动了政府数据分类分级工作的开展。当前，我国教育信息化普遍存在重建设、轻安全的现象，虽然大部分教育行政部门已成立网络安全和信息化工作领导小组，但对于如何构建高质量教育数据安全防护体系，多数单位还是感到力不从心。这背后反映的是管理制度、组织架构、人才队伍的不足，当面对呈指数增长的数据时，更是不知道如何开展分类分级工作。可见，健全数据分类分级制度、搭建组织架构、明确各参与方的主体责任是当前需要解决的主要问题。

（二）数据缺乏治理

教育信息化近年来经历了高速发展，“三通两平台”目标任务已全面完成，各类信息系统也积累沉淀了大量业务数据。但由于职能划分的问题，数据以“孤岛”形态分散存储在各自的业务系统中，大量数据尚未实现互联互通。分类分级工作的顺利开展依赖于数据治理，虽然两者目标不同，但数据治理工作所形成资源目录能够为数据安全治理提供数据资产清单，为分类分级明确范围和重点。由于目前教育行业整体数据治理水平不高，导致系统是否存储了重要数据、数据分布状况如何、数据由何业务产生、数据被何业务使用、是否有相应的安全防护措施等一系列问题无法解答。

（三）分类标准缺失

数据分类工作作为一项既涉及业务知识，又需要数据专业支撑的复合型课题，由于教育行业目前暂无统一的分类标准，导致一些单位在实施中缺乏指导。对于教育数据划分可以有多种视角，包括技术选型、业务选型和应用场景选型。基于技术选型，可以从产生频率、结构化特征、存储方式、产生方式等对教育数据进行划分;基于业务选型，可以将教育数据分为基础数据、行为数据、资源数据和状态数据;基于应用场景选型，可以将教育数据分为不予共享数据、有条件共享数据和无条件共享数据。不同视角各有价值，如何选择分类维度需要视场景而定，但标准规范的缺失，容易导致各地分类方法存在差异，最终造成分类结果百花齐放。因此，明确教育部门数据划分的方法和标准、数据资产分类树的基本形态显得尤为迫切。

（四）分级难以“落地”

已往实践发现数据分级难以“落地”，主要面临以下问题：首先是目前数据分级方法呈多样化形式，如何根据教育数据的内在特征，选择恰当的分级维度值得深入探讨研究。其次是确定分级对象的问题，即分级对象是数据项，还是数据项集合。再次是分级级数的问题，即部分已出台的标准规范将数据级别划分为公开数据、内部数据和秘密数据。但在实践过程中我们可以发现，并非所有非秘数据都适合流入要素市场，也不是所有内部数据都不允许共享;大量数据被分到内部级，而公开级、秘密级的数据则较少，致使效率和安全管控难以平衡。最后是数据分级定量的问题，即一些标准规范定义了数据分级的要素，但是缺乏对分级要素的定量描述，如影响程度严重如何定义、影响范围的本机构是机构内一个部门还是若干部门等，而这些模糊不清的描述，容易造成实施人员在数据分级中无法准确判断数据级别。

五、实施路径

教育数据分类分级工作可以按以下几个步骤进行：首先，调研梳理各业务领域的数据资产，确定分类分级的实施范围;其次，根据特定目标选择合适的维度对数据资产进行划分，形成数据分类清单;再次，根据设定的分级要素对分类后的数据进行定级;最后，根据数据应用场景形成相适应的安全策略。下面就教育数据分类分级的实施路径进行详细描述。

（一）建立组织保障

数据分类分级是一项需要单位各部门通力协作的工作，而有效的组织架构是分类分级走向成功的有力保障。为推动落实相关工作，教育部门需要搭建相应的组织架构，明确各参与方的职责分工。数据分类分级的组织架构主要分为决策层、管理层和执行层。决策层负责对数据分类分级工作的目标、内容、标准规范等内容进行决策，审批和发布数据分类分级相关管理制度、流程和标准规范;管理层对上向决策层负责、对下指导执行层的具体实践，主要负责牵头推动数据分类分级工作的开展，牵头制定相关的管理办法、实施细则、流程制度和标准规范，协调解决分类分级过程中的问题，制定检查和评价指标;执行层包含业务部门和技术部门，主要负责按照相关标准规范完成本部门数据资源的梳理并提交管理层，配合管理层完成相关数据资产的分类分级工作。

（二）梳理数据资产

根据教育行业特征，建议从业务梳理入手，自上而下地开展数据资产梳理。数据一般因业务而产生，并最终被业务使用，如果没有业务需求，自然也就没有数据产生和使用。因此首先要厘清业务需求，才能理解业务背后产生的具体数据。管理层牵头全面梳理单位内部的业务条线，以业务梳理带动数据梳理。通过对接相关数据资产部门，对各类基础数据进行全面的调研和梳理，确认数据的内容和应用场景;在逻辑汇聚所有部门数据基础上，合并形成统一的数据资产清单。之所以强调基础数据，主要是因为过程数据、统计数据和结果数据一般可由基础数据加工得到，数据内容并没有增加或减少。梳理的范围以物理或电子形式保存的数据表、数据文件、数据报告等为主，内容主要包含数据业务含义、数据存储位置、数据管理主体、数据存储容量、数据应用现状、数据现有安全防护措施等。只有在完成梳理资产摸底的基础上，结合数据特征和相关法律法规要求，才能进一步确定合适的分类分级策略。

（三）明确数据分类

1.分类维度

数据分类的目的是便于数据的管理和应用，因秉持客观、合理、稳定的原则，即根據明确的业务目标，确定逻辑清晰的分类维度，保持类外部区别性和内部同质性。目前先发领域比较常见的分类维度有数据管理维度、业务属性维度和数据应用维度，根据教育行业业务特性和数据现状，建议以业务属性视角为主对数据进行分类，既反映教育数据资产的内在关联性，又方便数据需求者理解和使用。根据业务属性，教育数据可分为自然人域、法人域、教学域、科研域、综合管理域和公共域6个数据域;域不是数据的产生部门，而是数据的所属类别，是按照数据的内在属性和应用场景来定义的。每个域下面又可以细分成数据大类、一级子类、二级子类等，具体级数视情况而定。例如，自然人域可以细分成学生、教师、干部等数据大类，其中学生数据大类根据业务属性进一步细分成基本信息、教育经历信息、就业信息、资助信息和考试信息等，最小数据子类可以视作属性相同或近似的数据项集合。本文以自然人域为例，展示相关数据分类层级情况，如表1所示。

2.分类方法

常用的数据分类方法包括线分类法、面分类法等[12]。考虑到分类维度是单一维度，本文建议按照线分类法为主的思路开展数据分类。线分类法旨在将全部数据资产按照业务属性分为若干数据域，然后按照数据域内部的隶属关系，逐次分为若干层级，每个层级包含不同的子类。同层级的子类属并列关系，跨层级的子类属主从关系。下面以全国学生资助管理信息系统数据为例，展示线分类法的基本形态。通过逐层细分，形成一棵由“数据项—数据子类—数据域”组成的数据资产分类目录树，叶子结点是最小数据类，其他节点为中间类别，如图1所示。当单一分类维度无法实现多个目标场景时，可考虑根据实际需要，适当增加分类维度并运用面分类法，强化分类结果的弹性。

（四）推动数据分级

在形成数据资产分类目录树后，可以开始数据分级工作。数据分级一般需要经历定级准备、级别判定、级别审核和级别批准等环节，以下就最为关键的两个环节——定级准备和级别判定进行详细介绍。

1.明确分级对象

在进行数据分级时，首要考虑的问题是明确分级对象的颗粒度。从数据资产分类目录树来看，可以对数据项定级，也可以对最小数据子类定级，还可以对两者同时定级。需要设置合理的分级颗粒度，既达到差异化保护的目的，又不影响具体业务。本文建议从两方面进行评估：首先，考虑数据的应用场景，比如政务数据共享开放过程中，共享开放的每一个字段都应该是兼具业务可用性和安全可管控性的，这个时候分级颗粒度可以设置得细一点;其次，考虑数据在系统中的存储形态和处理方式，结构化、半结构化数据的分级颗粒度建议是数据子类，而非结构化数据的分级颗粒度建议是数据项（文件），相关原则如表2所示。

2.识别分级要素

数据分级要基于分级要素综合判定，根据《数据安全法》第21条要求，可从数据的重要性和影响性两方面来设置分级要素。

（1）重要性

数据的重要性侧重于描述数据对教育事业发展的价值程度，可从规模性、可识别性和共享性进行判定。规模性主要反映数据量与数据价值的关系，数据涵盖的范围越广、质量越好，其背后隐藏的有用信息自然越大，反之亦然。可识别性侧重于描述数据直接或间接识别出特定自然人活动的程度，可根据关联信息的多少区分强弱;教育行业因其业务特性，已存储了大部分可直接识别出特定师生和家长的数据。共享性主要描述数据的孤立程度和需求程度，数据孤立程度越低，反映存储数据的系统越多，涉及的业务越广，数据重要程度自然就高;同理，数据的需求程度越旺盛，则反映业务对数据的依赖性越大，数据的重要程度也就比较高。为了便于定量评价，按照5级计分制对规模性、可识别性和共享性进行量化处理，分数越低代表指标对应的程度越低，5分最高。

（2）影响性

数据的影响性指数据一旦遭到泄露、破坏和违规获取利用等情况，对特定对象造成的危害程度，需要从影响对象、影响范围和影响程度综合考虑。根据教育行业业务特性，数據安全主要影响的对象涉及自然人、法人、社会秩序、国家安全等。影响范围可以分为较小范围和较大范围，如果影响对象为社会秩序和国家安全，默认影响范围较大;如果影响对象为自然人且人数不多，则影响范围较小。数据因安全事件造成的影响程度可以分为低、中、高三级，但由于影响程度是一个定性指标，在事件造成实质影响之前，无法用具体的量化指标来衡量，而且在实践中，事件造成直接影响和间接影响也难以简单衡量，因此这里我们仅给出影响程度的参考标准，如表3所示。

影响对象、影响范围和影响程度的有机结合，可以产生不同的影响性。为了统一定量标准，对影响性也进行1～5分赋值处理，分数越高代表影响性越高，具体规则如表4所示。

3.区分分级级数

据美国高德纳公司报告可知，数据级数宜设置在3～5级之间，这样既有利于数据分级管控，又不会造成大量的管理负担。根据教育行业业务特性和数据特征，可将数据级数设置成4级：重要数据、敏感数据、内部数据和公开数据，各级数据的特征如表5所示。

在确定分级要素及其取值的前提下，可以运用统计或数据挖掘算法得出数据等级的综合数值，本文以加权平均法介绍基本思路。假设数据在规模性、可识别性、共享性和影响性方面的得分向量为[X1，X2，X3，X4]，同样4个属性的权重向量为4/5[a1，a2，a3，a4]，两向量相乘并四舍五入取整，得到各教育数据的等级，1～4分依次代表公开数据、内部数据、敏感数据和重要数据。

4.级别的变更

数据级别并非是一成不变的，当遇到以下场景时，数据级别可能会发生变化。首先，数据的聚合效应一般会导致数据信息量增大，此时聚合数据的级别不应低于聚合的原始数据的最高级别;其次，数据加工汇总过程中会减弱数据的可识别性，同样间接降低了数据的影响性;再次，实时性数据的重要性随时间推移呈下降趋势，建议设置动态安全级别;最后，因数据具备流动性，一般而言，数据的安全级别与系统的等级保护级别无必然联系，但如果低级别数据流入高级别系统，并对业务运行产生了正向影响，则该数据的级别需要重新设定。因此，通常情况下还需要设置一些数据级别的升降原则，以保证数据分类分级结果的科学性、落地性和可拓展性。

（五）设定安全防护要求

数据分类分级的完成不是终点，根据各级别数据配置相应的安全防护措施才是最终目标。本文依据个人信息安全规范及相关标准要求，给出各级数据的基本安全防护要求。对于公开级数据，应采用“口令认证”等方式进行身份认证，建立基于角色的授权机制及访问控制，做好日志保存和数据全生命周期环节的监测，保证数据使用的正确性。对于内部级数据，除上述要求外，还应做好数据备份、数据追踪溯源、数据安全状况定期评估等。对于敏感级数据，在满足上述要求的基础上，还应采取措施对数据资产进行治理、具备异常和高危数据操作的预警和自动化干预能力、运用密码技术保证数据的完整性等。对于重要级数据，应配备专门的数据安全员，并定期做好安全审查;运用态势感知等技术，对潜在的数据安全风险进行分析预警;严控数据的访问和使用，防止数据外泄等。

（六）全过程跟踪管理

数据分类分级是一项复杂而漫长的工作，并非所有的困难都能在项目启动时被预知，因此需要确保政策定义包含了对数据分类分级全过程跟踪管理的职责，一旦进度与计划偏离较多，需要及时暂停项目并了解具体原因，必要时对已完成的内容进行修正[13]。例如，参与人员对数据分类分级职责分工及具体内容理解不清时，需要通过项目启动会对参与人员进行指导和培训;预设的数据级别不能很好适应实际业务时，开展进一步的业务调研和专家论证会，以期确定合适的数据级别;因数据等级相对的安全防护措施影响了业务流程时，及时了解情况，必要时更改策略或增加其他技术支持，避免业务部门“舍安全、保效率”，进而避开某些数据分类分级的问题。

六、总结与建议

数据是数智时代重要的生产要素，数据安全对于加强新时代教育信息化至关重要。做好教育数据分类分级工作，既是数据安全治理的基础，又是加快数字化转型、促进数据有序流动应用的内生动力，更是落实《数据安全法》要求的关键举措。缺乏数据分类分级的数据安全体系，如同地基不牢的大厦，隐患时刻存在。随着《数据安全法》的实施，各行业将开始推动本领域数据的分类分级、发布重要数据目录，教育行业作为政务数据和个人信息的主要产出部门，需要在制度、标准和技术上做好保障。在制度上，积极探索建设本领域的数据分类分级制度，明确各参与方的主体责任，避免各地区无序盲目的实践。在标准上，出台适应数智时代的教育行业数据分类分级标准规范，对分类标准、分级要素、定级标准等进行统一，能量化评价的要明确评价标准。另外，目前业界大多数据分类分级实践还是以人工为主，具有周期长、效率慢等缺点，虽然也存在相应的工具和产品，但效果上也表现一般。因此，在技术上，需要积极探索人工智能、机器学习等在数据分类分级上的应用，借助智能化、自动化的方式，提升数据分类分级的整体应用水平。

参考文献：

[1]新华社.中共中央 国务院关于构建更加完善的要素市场化配置体制机制的意见[EB/OL].（2020-04-09）[2021- 08-31]. https：//baijiahao.baidu.com/s？id=1663501481384538233 &wfr=spider &for=pc.

[2]中华人民共和国数据安全法[EB/OL].（2021-06-10）[2021-08-31]. http：//ggzy.gzlps.gov.cn/zfxxgkml/zcfg/202107/ t20210730_ 69354088.html.

[3]陈兴跃.数据分级分类正式入法具有重大实践指导意义[J].信息安全研究，2020，6（10）：949-952.

[4]王真.数据分级分类研究——从《中华人民共和国数据安全法（草案）》第19条第1款出发[D].北京：北京外国语大学，2021.

[5]完颜邓邓，陶成煦.美国政府数据分类分级管理的实践及启示[J].情报理论与实践，2020，43（12）：172-177.

[6]贵州省质量技术监督局.政府数据 数据分类分级指南：DB 52/T 1123—2016[S/OL].（2018-06-20）[2021-08-31].http：//www.gzzn.gov.cn/sj/bzgf/201806/W020180620564717587 187.pdf.

[7]关于对青岛市公共数据分类分级指南（征求意见稿）》公开征求意见的通知[EB/OL].（2020-09-07）[2021-11-30].http：//jndata.sd.gov.cn/odweb/news/newsDetail.htm？news_id =118.

[8]中国证券监督管理委员会.证券期货业数据分类分级指引：JR/T 0158—2018[S/OL].（2018-10-22）[2021-08-31].http：//www.csrc.gov.cn/csrc/c101862/c1022471/1022471.

[9]中国人民银行.金融数据安全 数据安全分级指南：JR/T 0197—2020[S/OL].（2020-10-03）[2021-11-30].https：//www.sohu.com/a/ 422568157_653604.

[10]中国通信标准化协会.基础电信企业数据分类分级方法：YD/T 3813—2020[S/OL].（2020-12-09）[2021-11-30].https：//www.doc 88.com/p-27187034626292.html？r=1.

[11]赵润娣.我国政府数据开放分类分级研究——基于开放政府数据平台教育类数据的调查[J].现代情报，2021，41（4）：90-100.

[12]刘莉，陈先来，李忠民.精准医学大数据应用安全分类分级研究[J].医学信息学杂志，2021，42（1）：9-15.

[13]张雪莹，杨帅锋，王冲华.工业互联网数据安全分类分级防护框架研究[J].信息技术与网络安全，2021，40（1）：2-9.

作者简介：

洪伟，江西省教育评估监测研究院中级统计师，邮箱：1556577730@qq.com;

任剑洪、徐丽娜、李文晶，江西省教育评估监测研究院高级工程师;

胡强，江西省教育评估监测研究院助理研究员。

Classification of Educational Data under the Background of Data Security Law

Wei HONG， Jianhong REN， Lina XU， Qiang HU， Wenjing LI

（Jiangxi Institute of Education Evaluation and Monitoring， Nanchang Jiangxi 330000）

Abstract： In the digital intelligence era， data is an important factor in promoting social and economic development and progress. However， it has faced many security risks. With the implementation of the Data Security Law of the People’s Republic of China， data security has begun to be protected by law and orderly management. As a basic project in the field of data security and governance， data classification is of great significance in improving data management efficiency， strengthening data security， and promoting the development of digital economy. Meanwhile， China educational informatization has been developed greatly at the “13th five-year plan” stage. Online teaching and the application on connectivity greatly improved teaching， while accumulating the a large amount of personal information， and even sensitive information. To deal with the increasing security risks， it is urgent to implement different security protection through data classification. Based on literature review， this paper expounds the necessity and the problems of educational data classification， and explores the implementation path of educational data classification， aiming to provide some suggestions for further research on data classification system in the era of post-education industry.

Keywords： Data classification; Architecture;Data Security Law

編辑：王晓明   校对：李晓萍