数据分类分级监管要求适配与落地

主题专家 张玉明先生是IBM副合伙人，IBM Consulting金融核心锐变团队数据转型与创新负责人，主要关注于金融行业数据中台、大数据战略与分析咨询、数字化战略转型、企业级数据治理及数据资产管理解决方案等方面。张玉明先生拥有超过15年的数据咨询与实施项目经验，领导过多个金融企业的大数据分析与人工智能技术应用、大数据应用架构、数据运营体系、业务咨询乃至系统实施项目。 张玉明 IBM副合伙人，IBM Consulting金融核心锐变团队数据转型与创新负责人zhangyum@cn.ibm.com 孙怡然女士是IBM Consulting金融核心锐变团队的高级咨询顾问。她拥有8年以上的金融行业数据战略规划、数据治理、数据资产咨询经验，为银行、保险、资管、金融基础设施等多元化金融机构提供企业级的数字化转型、数据治理、数据管控、数据分析解决方案。 孙怡然 IBM Consulting金融核心锐变团队数据转型与创新高级咨询顾问Yi.Ran.Sun@ibm.com 谢晨希女士是IBM Consulting金融核心锐变团队的咨询顾问，在金融行业数据治理、数据安全、数据战略规划、人工智能应用领域具备5年以上的管理咨询经验，旨在为金融企业提供专业性数字化转型服务。 谢晨希 IBM Consulting金融核心锐变团队数据转型与创新咨询顾问Chen.Xi.Xie@ibm.com 王莉女士是IBM商业价值研究院的高级咨询经理，担任IBM全球高管调研项目和对标分析项目的大中华区项目负责人。她拥有15年以上的管理咨询和管理研究经验。王莉女士目前所关注的研究领域包括数字化转型、无边界企业、人工智能等，旨在帮助各行业客户创造新的商业机会、发现和传递价值。 王莉 IBM商业价值研究院高级咨询经理gbswangl@cn.ibm.com 摘要 数据分类分级工作箭在弦上，但存在难点 数据分类分级面临两大难点：如何适配各类外部要求、如何落地实施。 数据分类分级落地五步走 五大关键步骤：解读权威、选准载体、多方合作、智能工具、成果应用。 数据分类分级未来趋势 三大趋势：“动静结合”落地实施、智能化工具应用、业务部门高度参与。 前言 数据作为新兴生产要素正崭露头角，近年来备受关注。数据在不断被生产、挖掘、加工、利用并产生价值的同时，随之而来的是时刻需要面临的数据安全挑战。 继我国在2017年正式实施《中华人民共和国网络安全法》1以来，陆续出台各项与数据安全相关的法律法规，筑建起以《数据安全法》2、《个人信息保护法》3、《网络安全法》为主的数据安全法律框架。在2023年十四届全国人大会议中发布《2023年政府工作报告》4，公开表明“加强网络、数据安全和个人信息保护”，以“深入推进国家安全体系和能力建设”。今年已是连续第三年把数据安全和个人信息保护列入政府工作报告中，由此可见，数据安全逐渐成为社会和企业发展的重要引擎，进一步而言更是与国家命脉紧密相连。 如何在数据安全被高度重视的背景之下脚踏实地走好每一步路，数据分类分级在其中扮演着尤为关键的角色。数据分类分级是指依据数据本身的内容、属性、特征以及不同的数据管理目的，将不同数据按照其所需要的安全保护等级，进行阶梯化归类与划分，是数据安全保护的基础工作之一。 通过数据分类分级，企业可以更加清晰地了解所拥有的数据资产中，各类数据的重要性和敏感程度，从而有针对性地制定数据安全管控策略与措施，保障数据从采集为起点，所需经历的生命周期各个阶段都能得到有效的防护；通过嵌入可落地的数据审批流程，基于数据级别开展差异性的权限统筹与管理5，使得数据资源能在企业各部门间被合理且正确地访问、传输与使用。特别是在数据对外开放、数据跨境等企业外部应用场景中，为数据流通建筑合法合规屏障，能在避免“一刀切”的同时，又能达到“因地制宜、分而治之”的效果，确保企业在利用大数据产生大价值的过程中不触碰法律红线、不挑战道德底线。 现状 箭在弦上难点犹存 数据分类分级的工作迫在眉睫。然而，金融机构在实际操作过程中存在两大难点：一是需要适配和兼容各类外部要求；二是面对海量数据，分类分级如何落、怎么用。 难点1：各类外部要求需适配和兼容 数据分类分级工作须应对多种监管视角产生的管理要求，面临多种分级体系，以金融行业为例：中国人民银行、银保监会分别颁布了《金融数据安全数据安全分级指南》6（下称《指南》）、《银行保险机构数据安全办法》（下称《办法》）两份文件，其中对于数据分类与数据分级的侧重点有所不同，无法简单地通过把两套分类分级体系进行合并去重达到无缝衔接的目标。 因此，面对日趋严苛的法律法规、纵横交错的各类监管发文与要求，企业应如何求同存异、兼收并蓄，形成一套能够适配兼容各外部要求的数据分类分级体系的建设需求迫在眉睫。 难点2：面对海量数据，分类分级如何落、怎么用 随着互联网和技术日新月异，数据量以指数级增长，字段、表、数据集合等各类粒度的数据如何分类分级，企业应该如何在效益最大化地在目标与规划指引下开展数据分类分级落地实施工作，如何推动企业内部各方协同参与其中，如何展现分类分级成果让企业真正用起来等众多落地问题，是需要企业通过深思熟虑加以解决的难点。难以落地的纸上谈兵式分类分级方案对于企业来说毫无价值，非长久之计。 实践 五步推进有序落地 IBM将在数据分类分级规划与落地实践过程中的经验加以沉淀归纳，形成目标明确、落地指导性强的路线图（见图1），总结为以下五步：一、解读权威，求同存异；二、选准载体，梳理逻辑；三、多方合作，认定数据分类分级；四、智能工具，提质提效；五、成果应用，促进数据安全共享。 第一步：解读权威，求同存异 如何落好数据分类分级的第一步棋，首先是需要企业充分掌握并深入理解各类外部规范和监管发文的要求，寻找共性、紧抓重点、兼容差异，有的放矢地指导落地实施工作。如果盲目按部就班只停留在要求的表面意思，而未理解其中的深意与逻辑，则后续工作开展难以实现稳抓稳打，数据分类分级落地效果亦可能差强人意。 案例 在与某股份制银行合作开展数据分类分级规划与落地过程中，IBM充分结合行内外有关要求与现状，围绕《指南》、《办法》等多项监管要求进行详细地解读与分析，寻找各文件的内在联系与对应关系（见图2），从而打造出一套适配各类监管来源的数据分类分级框架，为某股份制银行后续开展打标工作的提供清晰、明确、可操作性强的指导。 案例 第二步：选准载体，梳理逻辑 在某股份制银行开展数据分类分级落地工作中，IBM对该行的数据标准、C模型等载体进行摸查并结合企业特色，综合考虑所需投入的人力与物力因素及产出效益，建议选择企业级数据字典作为载体开展后续分类分级的落地。通过企业级数据字典打标的方式全方位覆盖该银行所涉及的业务范围，实现系统在新增数据项时能与已形成的数据分类分级规则正确映射、应落尽落。同时，通过元模型设计将两套不同视角的分类分级标签打到字典项，通过系统间的流转实现分类分级落地。 数据分类分级的落地实施需要通过打标载体，将分类分级标签流转到具体库表当中，是数据分类分级落地过程中重要的影响因素，因此选准载体不仅能够推动数据分类分级在系统中的落地成效，也能加速分类分级标签在系统间的流转效率。企业应全面调研自身系统建设情况，评估自身企业架构是否完备、数据标准建设是否成熟等因素，选择最合适的载体作为分类分级工作开展的主体，审慎平衡成本与效益。IBM总结出常见的四种数据分类分级打标载体的实施特点和前置条件（见表1）。 第三步：多方合作，认定数据分类分级 第四步：智能工具，提质提效 数据分类分级落地工作不是仅凭数据管理部门一己之力能够完成的，需要多方携手共同推进。首先，应立足于企业组织架构与部门职责分工，在明晰各部门对数据的范围划分与责任归属的基础之上，协同调动对应业务部门参与到数据分类分级的工作中，对管辖数据的分类分级进行判定与确认；其次，数据分类分级工作需要与技术部门通力合作，将数据分类分级标签落地工作嵌入开发流程，由IT部门数据模型设计人员、系统开发人员在库表中将分类分级标签灌入各自应用系统，执行落地打标。 面对企业产生、存储的庞大数据量，实现分类分级落地必然离不开智能化工具的运用。目前市场上大多支持分类分级的打标工具通常是采用正则表达的方式，在人工智能热潮的推动下，打标工具正在朝着应用AI算法的方向迭代演进。 智能化工具的介入无疑加速了数据分类分级落地打标的效率，然而使用智能化工具不可避免“冷启动”阶段，需要企业投入一定的成本以顺利渡过“磨合期”，例如，智能化工具前期需要通过人工打标的方式，产出准确率较高的分类分级结果并作为工具的输入样本；在工具调优过程中，需要人工介入对智能化生成的结果进行再次校正，反哺给工具实现升级与迭代。但值得注意的是，在人工打标过程中因分类分级无明确可量化的评判标准，亦可能出现多人打标结果不一致、质量层次不齐的情况。 因此，IBM建议企业在引入、训练智能化工具过程中，不仅要有技术人员对算法参数进行优化，亦应配备分类分级打标专家加以协同。基于专家沉淀的工作方法与经验，规范化人工打标原则，逐步引导人工打标结果趋于统一，同时亦可作为构建或优化智能化工具的灵感，促使工具能更真实地模拟人工打标过程中的思考方法和判断逻辑。 案例 在某股份制银行落地过程中，数据分类分级打标结果通过企业数据资产平台进行发布和展示，一方面在找数用数的过程中，约束用户必须遵守数据安全差异化保护的有关规定；另一方面也提升业务人员的数据安全意识。与此同时，将数据分类分级标签贯入企业级模型和元数据管理平台，便于开发人员在数据加工过程中引用带有数据分类分级标签的数据项，保证数据分类分级工作能够充分落地执行。此外，数据分类分级与数据权限管理进行结合，在确保数据使用者安全合规的前提下，企业可根据不同的用户角色、部门、数据范围等条件进行授权，满足不同用户的需求。 第五步：成果应用，促进数据安全共享 如何真正把成果使用起来是落地实践的最后一环，也是充分体现数据分类分级重要价值的高光时刻。数据分类分级的落地应用为企业统筹数据权限管理，更好地实现数据共享机制铺平道路，助力企业更好地保障数据不被乱用、不被乱看，从而增强企业内部的数据资源共享意识，促进数据通畅流通。 趋势 动静结合AI赋能业务深化 随着数据分类分级和数据安全保护的各类“办法”、“政策”、“指南”的相继出台，IBM预计监管部门也将陆续从实操层面披露实施细则和相关说明。企业需要密切追踪监管动态，使得数据分类分级工作落实到数据安全保护具体工作中时更加有据可依。 立足于对市场的独特洞察与丰富的实践经验总结，IBM对数据分类分级未来工作展望概括为以下三个趋势： 趋势1：数据分类分级工作将“动静结合” 实时的、动态的数据加工、使用、共享涉及的数据，其量级和内容都无法“事前”知晓，因此除了当前主要开展的对已知的增量或存量数据进行“事中”和“事后”的分类分级以外，未来还需建立动态分析数据分类分级的机制，例如，动态地计算数据集合所包含的数据量级、动态识别体现数据集合特征的关键属性信息/代码取值等，用以在数据加工、使用、共享时通过“动静结合”的方式完成数据分类分级工作。 趋势3：业务部门参与程度逐步加深 趋势2：智能化工具的应用程度逐渐加深 业务数据是数据分类分级工作重点关注的内容，在《中国人民银行业务领域数据安全管理办法（征求意见稿）》7一文中明确指出“谁管业务，谁管业务数据，谁管数据安全”，并要求逐级压实数据安全责任。数据分类分级落地离不开多方的参与合作，离不开边界清晰的数据认责体系作为坚强的后盾。一方面，数据分类分级管理方应牵头组织掌握数据定义和提出数据需求的业务部门，充分参与到数据分类分级制定工作中，并对制定结果进行确认；另一方面，数据分类分级结果是数据授权和数据安全共享的必要输入之一，将对业务部门使用数据的权限、方式、范围等产生重要影响，所以业务部门对数据分类分级维护工作（包括新增、修改）的参与程度也将逐渐深入。 自动化