饶 伟，李碧秋，任宸莹，谢玉霞

随着信息技术的发展及其应用的加深，各行各业在生产、经营过程中产生的信息逐步以不同形式转化为数据资产，在不同网络与系统之间流转，促进了数据价值链的动态循环与数据增值［1］。但是，在享受数据红利的同时，也不可避免地面临着数据安全治理的拷问。如何在充分发挥数据价值的同时，确保数据的安全性，已成为社会普遍关注的问题。而传统“一视同仁”的安全思路无法平衡数据的利用与保护问题，急需一套新的解决方案来满足需求。

近年来，国家出台了多项数据安全法律法规，制定了数据安全制度，要求各地区、各部门对数据实施分类分级保护，以保障数据的合法有效利用，护航数字经济发展。同时，国家发布了多项数据安全标准，指导地方、行业进行数据安全能力建设。部分企业已展开了对数据分类分级保护的探索，并取得了一定的成果。但由于相关研究相对匮乏，且实践时间较短、实践效果有待验证，因此制定出一套科学、有效的、符合企业自身发展需求的数据分类分级保护方案还有很长的路要走。

本文通过梳理相关法律法规对数据安全的保护要求，分析国家、行业标准规范，探求行业数据分类分级保护规律，力求为铁路行业的数据安全治理提供思路。

1 数据分类分级保护相关法律法规

为规范数据处理活动，保障数据安全，我国相继颁布实施了《中华人民共和国网络安全法》［2］（以下简称《网络安全法》）、《中华人民共和国数据安全法》［3］（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》［4］（以下简称《个人信息保护法》）等法律法规，对数据领域展开全方位的保护与监管。

2017年6月1日《网络安全法》正式施行，是我国网络安全管理方面的第一部基础性立法，确立了国家实行网络安全等级保护制度，以制度建设加强网络空间治理，规范网络信息传播秩序。该法首次提出重要数据的概念，已体现出对数据实施分类分级保护的思路［5］，并制定了保障网络运行安全、网络用户信息安全等措施，强化数据安全保障，对构建数据安全保障体系有着重要的意义。

2021年9月1日《数据安全法》正式施行，构建了关于数据的基本制度框架，将分类分级策略由“系统”扩展至“数据”，并对各类数据提出了丰富的保护规则。此外，《数据安全法》还提出“核心数据”这一全新的数据类型，并规定对核心数据实行更加严格的管理制度，这也对数据处理者提出了更高的要求［6］。

2021年11月1日《个人信息保护法》正式施行，要求个人信息处理者依据个人信息的敏感度分类施措，避免个人信息的越权收集和使用，充分保障个人信息权益。该法为实现个人信息的精细化管理和保护提供了有效途径。

国家法律对数据的分类分级保护做出原则性规定，地方、行业需满足上述法律规定的要求，并在此基础上细化数据分类分级保护工作。

2 数据分类分级保护国家标准

2.1 数据分类分级规则

2021年12月，全国信息安全标准化技术委员会发布了《网络安全标准实践指南——网络数据分类分级指引》（TC260-PG-20212A）［7］，紧密衔接《数据安全法》，充分考虑各行各业数据分类分级的兼容性，给出网络数据分类分级的原则、框架和方法，分析数据遭破坏后的影响程度，并据此对数据进行分级。具体分级规则见表1。

表1 数据分级规则

2.2 数据分类分级保护要求

技术标准是安全建设的“尺子”。近年来，国家发布了多项数据安全保护标准及指南，对法律法规中较为原则性的规定给予相应的指导。

《信息安全技术 网络数据处理安全要求》（GB/T 41479—2022）［8］提出了网络运营者在网络数据处理活动中应遵循的安全总体要求、安全技术要求及安全管理要求，以对可能存在的风险进行控制和消除。《信息安全技术 关键信息基础设施安全保护要求》（GB/T 39204—2022）［9］提出了整体防控、动态防护、协同联动的安全保护原则，明确了通信网络、计算环境、供应链、数据等方面的安全防护要求，以支撑业务的连续运行，并给出从风险识别到风险处置整个过程的系列要求。

针对个人信息，《信息安全技术 个人信息安全规范》（GB/T 35273—2020）明确了个人信息在收集、存储、使用等环节的通用安全要求，以及个人敏感信息在传输、存储环节的特殊要求［10］。2022年，全国信息安全标准化技术委员发布了步态识别数据、基因识别数据、声纹识别数据等12 项个人信息安全保护要求，对个人信息安全保护做出进一步说明。

虽然数据安全保护相关标准规范在逐步丰富，但是安全保护要求仍不够细致、具体。一方面，安全技术要求较为宽泛，相关标准只提出应采取加密、访问控制等措施，未详细说明应采用哪种加密算法或访问控制方法等；另一方面，规范对象粒度较粗，仅对重要数据、个人信息等提出相关要求，未对一般数据做相应规定，各行业、领域需在此基础上结合自身实际细化保护规范，合理保障数据安全。

3 地方及行业数据分类分级保护实践分析

3.1 数据分类分级保护具有行业属性

由于不同行业之间的信息化发展水平不同，以及对数据分类分级保护的认知存在差异，导致在数据安全治理中行业属性十分突出。

3.1.1 数据分类分级规则方面

实行数据分类分级是保障数据安全的前提。为推进数据分类分级保护工作的落实，各地方、行业纷纷制定相关标准规范，明确数据分类分级方法。地方出台的标准指南更多聚焦于政务数据和公共数据的分类分级，可以将其视为以政府数据为切入点所做的初步尝试［11］。各行业的数据分类分级规则在突出行业特色的同时不断更新。其中，通信行业数据分级实践较早，后期在实践中逐渐查漏补缺、有所补充；金融行业从《证券期货数据分类分级指引》（JR/T 0158—2018）［12］到《金融数据安全 数据安全分级指南》（JR/T 0197—2020）［13］，在努力探索统一的数据分级体系。地方（以北京为例）、行业数据分级方法对比见表2。

表2 地方、行业数据分级方法对比

可以看出，随着认识与实践的不断推进，各行业数据分级标准在逐步完善，通过明确分类分级工作的原则、方法、定义，进一步细化国家关于数据分类分级工作的要求。但不同行业标准在一般数据的定级考量上存在差异，影响对象、影响范围、影响程度等方面的具体规定不一致，级别划分数量并不相同。

3.1.2 数据分类分级保护方面

数据分类分级保护转变了传统数据安全保护理念，对不同重要性和风险等级的数据采取强弱有别的管控措施，以应对数据大规模流转处理下的新型数据安全风险，兼顾数据安全保障和数据开发利用的双重需求。不同行业的数据分类分级保护及其特点如下。

1）地方政务更关注数据的开放和共享安全。中共中央、国务院于2020年3月30日发布《关于构建更加完善的要素市场化配置体制机制的意见》，指出“推进政府数据开放共享”。北京、长春等地在数据分级保护标准中，将数据共享开放要求作为一个章节单独列出，且数据共享开放条件相对宽松，如北京政务数据一级数据无条件共享，二、三级数据原则上有条件共享（如不予共享，应当有法律、行政法规的规定或者相关政策为依据），最高级别的数据不予共享或允许可用不可见的共享，以促进政务数据的充分共享。

2）以用户为中心的服务型行业更关注个人信息的安全。金融、通信、医疗等以用户为中心的服务型行业对个人信息重点保护，金融、通信行业除了制定通用的行业数据安全保护标准外，均还专门制定了个人信息保护规范；医疗行业虽未制定个人信息保护规范，但是标准所指的健康医疗数据是个人健康医疗数据，以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据，实际上也是主要针对个人信息的保护。

3.2 数据分类分级保护实践共性研究

通过具体分析行业标准对各级数据生命周期的安全防护要求，可发现其中蕴含着一定的规律：同类数据即使数据级别不同，其保护要求也具有一致性。

以个人信息为例，对于用户鉴别信息，虽然金融行业将该类数据定为4 级（JR/T 0223—2021），通信行业将该类数据定为5 级（YD/T 2782—2014），但是2 部标准均要求该类数据在采集环节应采取严格加密、接口限制等措施保证数据的机密性；传输环节应对传输链路加密，保证信息不被拦截或盗用；存储环节应采用加密、细粒度的访问控制等措施，确保该类信息不被越权访问［17］。对于个人基本信息，金融业、北京政务虽对其定级也不同，但都要求采集环节需确保采集数据符合法律规定，传输环节应采用校验技术保证数据的完整性，存储环节应具备本地数据备份与恢复功能，保证数据的可用性。

另外，对于企业内部信息，如企业发展战略及规划数据，金融及通信业都提出采集环节需对采集设备或系统进行增强验证；传输环节应采用链路加密或数据内容加密措施实现传输保密；存储环节应采用加密或其他保护措施保障数据的保密性和完整性，能够检测重要数据在存储过程中的完整性是否受到破坏，并在完整性错误时采取必要的恢复措施［18］。

以上说明同类数据在不同行业中可能受到同等保护，因此，在对某类数据制定保护规范时，可参考行业标准对该类数据的保护规范。

4 铁路数据分类分级保护

4.1 铁路数据分类分级规则

安全是铁路工作的永恒主题［19］。铁路印发了数据分类分级相关指南，对铁路数据分类分级方法做了详细说明，给出铁路数据分类分级的原则、框架和方法，为铁路相关单位管理数据、保护数据提供指引。

数据类别由业务归属分类和业务扩展分类两部分组成。首先确定业务归属分类，用于明确所属系统的业务类型；其次确定业务扩展分类，采用线分类法在业务归属分类的基础上对数据进一步细分，将业务属性、特征相同或相似的一组数据进行归类，形成多层数据类。这种从粗到细、层层细化的分类方法，有助于得到清晰的数据分类视图，便于业务数据的管理。

在数据分类的基础上，从数据安全保护的角度，通过确定影响对象、影响程度2 个分级要素进行分级，基本分级规则与数据分级国家标准一致。实施铁路数据分级时，首先确定分级对象，选择数据分类的任一层级数据作为分级对象；其次确定分级对象受到危害后的影响对象及影响程度；最后根据影响对象和影响程度确定数据级别。

在指南TC260-PG-20212A 提出的分级框架下，行业间数据分级规则存在对应关系。对比铁路数据分类分级方法与金融业标准JR/T 0223—2021数据分类分级方法，铁路S1 级数据和金融业1 级数据在受到破坏后对各影响对象均无危害，铁路S1 级数据与金融业1 级数据对应。同理，铁路S2～S4 级数据可分别与金融业2～4 级对应。对比铁路数据分类分级方法与通信行业YD/T 3813—2020 数据分类分级方法，铁路数据S1～S4 级与通信行业第1 级至第4 级一一对应，这种对应关系为铁路借鉴行业数据分级保护实践提供了参考路径。

4.2 铁路数据分类分级保护思路

4.2.1 以国家要求为基础

严格遵守国家数据安全相关法律法规及国家标准强制性要求，将对不同级别数据全生命周期的安全保护要求作为铁路数据安全保护的前提和基础，深化铁路数据安全治理体系，形成从数据管理到数据运营全流程的安全框架，确保铁路数据安全“合规”而行。

4.2.2 以行业标准为参考

1）研究分析铁路与其他行业在同类数据级别上的对应关系。各行业在生产、经营、管理的过程中产生的数据类别既有重合也有不同，对比研究行业特色及数据分级保护规范，从数据分级要素的定义、级别划分的规则，或数据内容本身2 个角度寻找铁路与其他行业同类数据在级别上的对应关系。

2）在数据级别对应关系的基础上，参考其他行业数据安全分级保护规范。整合各类数据所有可参考的行业数据生命周期分级保护要求，对每一级别的数据选择大部分行业都规定的要求作为本行业数据应满足的要求。

参考行业标准举例：从数据定级方法出发，铁路对S1～S4 级数据的保护可参考金融行业1～4 级数据、通信行业1～4 级数据的保护规范。从数据内容本身出发，铁路对个人信息、企业发展战略及规划等数据的保护，可参考金融、通信等行业对这些数据的分类分级保护要求。按此思路，找到铁路数据与各行业数据在等级或类别上存在的对应关系，并参考相应的数据保护规范，在各级数据保护规范的参考结果中取交集。

4.2.3 以自身需求为导向

结合铁路业务特征、数据应用场景等，补充符合本行业发展需求的个性化安全要求。铁路相较其他行业，不仅产生和积累了大量旅客出行、货运物流等相关数据，还涉及调度指挥、生产作业等相关数据，因此，需要在参考行业实践的基础上，有针对性地增加其他保护措施。另外，跨国铁路联运业务打破了相关国家之间的信息交互壁垒［20］，同时面临着数据跨境传输的安全问题，需监控跨境数据流转路径和动态流向。在整个数据流转过程中，制定相应的安全策略，定期进行风险评估，识别数据安全风险隐患并消除，确保铁路数据的保密性、完整性和可用性。

最后，需在长期实践中持续修正、动态调整数据生命周期安全分级保护规范，优化数据安全防护策略［21］，以满足国家要求及业务场景需求。

5 结束语

通过对数据安全保护相关法律法规、标准规范的解读，分析了数据安全合规性要求以及地方、行业已开展的实践，探究了数据分类分级保护的发展变化与实践规律，提出行业实践参考路线。

虽然当前数据分类分级保护相关理论研究和实施制度已有部分成果，但实际操作仍有很大挑战。比如数据分级过程中，人工依据定级规则确定数据级别存在一定的主观性，后续需研究敏感数据发现技术［22］和数据自动分类分级工具，对数据资产进行分类分级识别与打标，并基于已分类分级的数据资产结果集进行机器学习建模，智能预测大规模数据的分类分级打标，快速建立数据分类分级清单，推动数据分类分级的有效落实；在实施数据安全保护时，需持续研究数据安全保护手段，以应对新技术发展带来的安全风险，支撑智能铁路的发展［23］。