文章总结： 文章探讨了数据分类分级的历史遗留问题，指出旧标准与新法在重要数据及敏感个人信息术语上存在冲突，强调需修正以符合法定要求。阐述了分类分级旨在释放数据价值、实现精准防护及优化运营，建议从业者依据新法更新认知，开展差异化数据治理。 综合评分： 86 文章分类： 数据安全,政策法规,安全建设

关于数据分类分级历史问题的思考

祺印说信安

2026年1月28日 00:00 河南

以下文章来源于豫说网数安 ，作者何威风

豫说网数安 .

网络安全人人有责，贯彻网络安全为人民，网络安全靠人民。网络安全和信息化是相辅相成的。安全是发展的前提，发展是安全的保障，安全和发展要同步推进。

《数据安全法》发布实施后不久，我曾与不少人交流，其实并没有多少人真正理解数据分类分级。可以说在《数据安全法》发布之前，国家及各行业标准对“核心数据”“重要数据”“一般数据”这三个法定概念并没有对应内容及解读。虽然《网络安全法》曾提到“重要数据”，并要求“采取数据分类、重要数据备份和加密等措施”，但这一概念并未引起足够重视和深入理解。因此，如何将以往“过时”的标准与《数据安全法》等新法对齐，成为一道难题。比如，很多专业的数据安全公司，用20年的标准《信息安全技术 健康医疗数据安全指南》GB/T 39725-2020时，如何安放“重要数据”这个法定概念，就变成了一个无法解决的问题。

即便在《数据安全法》施行后发布的许多相关国家标准，对于这三个法定级别的界定和处理，依然存在模糊不清、令人困惑的情况。过去的许多分类分级工作，往往围绕“敏感级”展开，未能准确把握这三个法定级别的实质内涵。甚至一些行业主管部门发布的顶层指导文件，也存在同样问题。从合规角度来看，忽视这三个法定级别的分类分级工作，其合规价值实际上是大打折扣的。如果随意定义“重要数据”，后期重要数据安全保护将变得复杂困难，引发过度保护的可能性；如果“重要数据”应识别而未识别，仍然面临合规风险。

到了《个人信息保护法》，法定的术语是“个人信息”与“敏感个人信息”。我在协助几家单位审校文件时，多次见到“个人敏感信息”这一表述，甚至不少出自所谓的“专业”数据安全公司之手。这些公司往往被视为业内“专业”服务商，也会如此荒唐。另外，更值得注意的是，此前的国家标准如《信息安全技术 个人信息安全规范》GB/T 35273-2020也使用了“个人敏感信息”的表述。但这与现行法律已不相符，并对许多数据安全从业者，包括这些“专业”数据安全公司产生了极大的误导，在一些场合里甚至有人引经据典，搬出来该标准为依据争论不休，而《个人信息保护法》作为上位法律已经定义为“敏感个人信息”，所以标准已经不适应法律要求，应及时修订以与法律保持一致。

事实上，早在2017年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》（法释〔2017〕10号）中就已明确使用“公民个人信息”。我认为，“个人信息”已经是一个固定术语，不应在“个人”与“信息”之间插入“敏感”二字，这样的语序容易引发误解。

2020年，网安周期间遇到过这个问题，我统一都给他修改成了“敏感个人信息”这个术语来描述。

2023年，在担任北方某省国网电力合规顾问期间，我特别强调：“敏感个人信息”具有客观属性，而“个人敏感信息”则带有明显的主观倾向。举例来说，如果我因自卑而对身高信息敏感，这对我而言属于“个人敏感信息”；但其他人或许乐于公开自己的身高信息，以博取好感！因此，个人信息仅分为两大类，通过定量进行分级。《数据安全法》与《个人信息保护法》是两部不同的法律，彼此既有衔接又有区别，概念不应简单等同。

为什么要做数据分类分级？很多人告诉我说是“合规驱动”，那为什么要在法律里明确数据分类分级要求，难道只是为了合规而合规吗？

首先，数据自身有价值。之所以要进行数据分类分级，是数据自身具有价值，也是为了数据价值释放，促进数据能够安全流通与使用，在确保安全前提下，为数据在组织内外授权使用、市场化流通、开放共享提供基础。数据分类分级是为了赋能数据资产化，是数据确权、估值、入表和交易的前提，帮助将数据转化为资产。

其次，对数据精准安全防护。既然数据有价值，就会受到一些人的觊觎，所以分类分级的另一个价值就是识别与聚焦重点，帮助组织厘清保护重点（如核心数据、重要数据），将资源优先用于最关键的资产。对不同级别数据（核心/重要/一般）采取差异化保护措施，做到安全防护措施精准防护。

再次，提高数据运营优化。数据分类分级能够实现运营优化，提升管理效率与精细化，让海量数据变得有序，支持精细化的数据治理、权限管控和生命周期管理。进一步优化资源配置，避免数据安全投入“一刀切”，实现安全成本与风险等级的合理匹配。

所以，基于数据本身的价值，以及有价值的事物被攻击窃取破坏的可能性，存在安全风险进而需要防护，杂乱的数据不利于安全运营，容易“一刀切”，要么造成浪费，要么造成防护不当等问题。所以，才需要通过法律来明确这项工作，也就是“合规”。可以说，所有的合规工作，其实都是其他工作的基础和前提。

所谓“瘦死的骆驼比马大”，只有同类数据之间，才具备价值可比性。分类学由来已久，利用到数据领域也由来已久，以法律形式固定下来则是《数据安全法》颁布实行之后。在不断碰撞中，逐渐认识更清晰。值得欣慰的是，目前很多新发布的数据安全管理类文件已逐渐对法定要求作出更准确的回应。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 《关于数据分类分级历史问题的思考》