我国《数据安全法》已于2021年9月1日起施行。该法第二十一条规定，国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。

为落实《数据安全法》，我国将数据分为一般、重要、核心数据。在数据分类分级制度之下，国家正在建立重要数据安全监管制度，我院左晓栋教授是上述制度的基础标准《信息安全技术 重要数据识别规则》的项目负责人，该标准正在制定之中。

日前，中国信息协会信息安全专业委员会发布《数据防泄露（DLP）技术指南》。在发布会上，围绕我国数据安全工作整体情况，特别是数据分类分级制度建设情况，光明网记者对我院左晓栋教授进行了专访。

在光明网专访《左晓栋：对重要数据识别问题应更多强调国家安全属性》中，左晓栋教授主要回应了以下社会关注的热点问题。

一是关于如何理解数据分类分级制度实施与行业特性之间的关系。建立重要数据目录是我国《数据安全法》提出的法定任务。国家会对重要数据的识别给出统一规定，即重要数据识别规则。不同行业需根据国家标准的原则性规定，制定反映自身行业特性的重要数据识别细则。虽然数据分级已经明确（按一般数据、重要数据、核心数据划分），但目前未制定数据统一分类方法。即国家层面只分级不分类，在行业和地方层面则可自行根据实际情况确定分类方法。原因是，分类与数据重要性没有直接关系，某种程度上是为了监管需要，而监管需求因行业而异。具体执行时，不同行业在已识别其重要数据的前提下，还可进一步细分数据级别，例如将重要数据划分为三级或五级，这也由行业自行决定。

二是关于数据安全的内涵。包括四方面：环境安全，即数据所在的网络与系统的安全，数据安全与所处网络和系统密切相关，网络和系统如被侵入则是“皮之不存毛将焉附”；数据资产安全，主要体现为数据自身防攻击、窃取、篡改需求；合规问题，即数据处理过程应符合法律法规规定，一个机构即使对数据做到了很好的保护，确保其不会受到外部威胁，但如果其自身对数据滥采滥用则会产生严重后果；生产要素安全，数据是新的生产要素，这一要素的作用发挥涉及到数据确权、数据授权、数据定价等一系列新问题。左晓栋教授认为，目前我国已经基本解决了第一类问题，但第二类问题的解决还处在初级阶段，后两类问题解决得更不理想。

三是关于数据与国家安全的关系。以前，个人数据、企业数据主要体现为对个人权益、企业商业利益的影响，但目前已经越来越关系国家安全。根据形势变化和国家需求，在数据分类分级特别是对重要数据识别问题上，应当更多强调数据的国家安全和公共利益属性。在研究制定国家标准的过程中，目前主要思路是从对国家安全的影响后果角度去判断重要数据。例如，算法推荐、定向推荐具有舆论动员能力，则用户推送地址、用户特征、用户画像等，都可能成为信息推送、舆论引导、社会动员的实施条件，这时便应当认定上述数据属于重要数据。

左晓栋教授透露，为落实《数据安全法》提出的“建立健全全流程数据安全管理制度，……，采取相应的技术措施和其他必要措施，保障数据安全”的要求，全国信息安全标准化技术委员会在2022年国家标准需求清单中列出的第一项标准，就是《信息安全技术 重要数据处理安全要求》。目前，中国科大正在牵头开展该标准的研究起草。

（公共事务学院）