重要数据是监管核查核心、处罚高发点,也是企业分级的最大难点。多数企业无法精准界定,要么漏判引发风险,要么误判抬高管控成本。
合规依据:《网络数据安全管理条例》第六十二条、《数据安全法》第三十一条、各行业重要数据识别目录
律师实操解答:企业不能单纯靠主观判断,应遵循“目录优先+风险兜底”的实操判定法则,精准且合规:
1.优先对照行业专属目录:金融、医疗、教育、物流等均有官方重要数据目录,目录列明的数据直接认定为重要数据和核心数据,必须重点保护;
金融行业:金融行业是数据分类分级规范落地最早、体系最为完善的行业之一。2020年实施的《金融数据安全 数据安全分级指南》(JR/T 0197-2020)将金融数据分为5级,重点保护客户非公开个人信息及金融交易信息。《数据安全管理办法》进一步补充拓展了金融数据分类分级的标准。《金融信息服务数据分类分级指南(征求意见稿)》则将金融信息服务数据根据业务属性进行分类。其中一级分类分为业务数据、用户数据和企业数据3类,进一步细分为二级分类9类、三级分类66类。对66类数据进行了详细的分级,确定了核心数据、重要数据、敏感一般数据的范围。
工业领域:工业领域数据安全标准体系已初具规模。《工业领域重要数据识别指南》(YD/T 4981-2024)提出了重要数据识别的四阶段流程:数据资产梳理、重要数据识别、形成重要数据清单、定期复查。该《指南》强调,识别重要数据不应过度识别,原则上应聚焦数据的安全影响,对于仅影响企业自身的数据不应认定为重要数据。
能源行业:2025年发布的《能源行业数据安全管理办法(试行)》作为行业首个数据安全规范性文件,将非涉密能源数据分三级,建立分类分级保护、重要数据目录等机制,要求核心/重要数据处理者每年至少一次风险评估。根据数据重要性、精度、规模、安全风险等,能源行业数据分为一般、重要、核心三级,国家能源局负责组织制定和发布能源行业数据分类分级标准规范。
汽车行业:《汽车数据安全管理若干规定(试行)》对汽车领域重要数据识别和分类分级管理作出专门规定,已施行三年有余。《汽车数据出境安全指引(2026版)》对于汽车行业六大具体场景,即研发设计、生产制造、驾驶自动化、软件升级、联网运行及其他,并明确列出BOM表、源代码、算法参数等为重要数据。
教育行业:教育部在2025年发布的《教育数据分类分级指南》(JY/T0661-2025)中对教育行业数据分为六大类十六个子类五个级别。
医疗行业:2026年2月14日,国家卫生健康委会同公安部、国家网信办等部门联合印发了《医疗卫生机构数据安全和个人信息保护管理办法(试行)》,该《办法》明确要求医疗卫生机构数据按照核心数据、重要数据和一般数据三个类别落实分类分级保护制度,并对不同类别予以差异化保护。国家层面确立了总体制度框架之后,重庆市、上海市、天津市、湖南省等地在医疗健康数据分类分级领域的实践探索迅速展开,形成了各具特色的地方性方案也具有参考价值。
电信行业:2020年工信部发布的《基础电信企业数据分类分级方法》(YD/T3813-2020)明确9项分类分级原则(含安全性、就高不就低等),覆盖网络数据与非网络数据,规范了分类分级流程、组织保障及标识要求。
水利行业:2026年水利部发布的《水利数据分类分级规则》(SL/T864-2026)将水利数据明确划分为水利基础、业务、地理空间、管理、个人信息及其他六大一级类别,并将数据级别从高到低细化为五级,同时对于特殊的数据进行了列举式,并给出了最低级别的定级要求。
电力行业:2023年发布的《电力行业数据安全分级要求》(T/CSEE 0368-2023)将电力行业的数据依据影响对象、影响范围、关联性等因素分为五级。《能源工业互联网平台 发电侧电力数据的分类分级规范》(T/CSEIA1003-2023)将相关数据分为三级,并提供了不同级别数据的保护策略。
2.无行业目录的企业,按风险结果兜底判定:数据一旦泄露、 非法使用,是否会造成大量用户权益受损、企业重大经济损失、行业秩序混乱、公共利益受损,满足其一即可认定为重要数据。
无目录企业对于自身数据分级的判定可根据以下维度进行重要数据识别和判断: