查看原文
其他

我国政务数据分类分级实施关键问题与实践研究

大数据期刊 大数据期刊
2024-09-17

我国政务数据分类分级实施关键问题与实践研究

王越,苏娜

中国信息通信研究院政务服务中心,北京 100036


摘要数据分类分级是保障数据安全流通、推动数据价值释放的基础前提。聚焦政务数据分类分级这一政府数字化改革中的关键任务,采用基于理论的案例研究方法,基于各省级地方及部委公开发布的方案,对我国政务数据分类分级实施情况进行系统梳理与量化分析。总结了我国政务数据分类分级实施的四大关键过程与五大特点;从政务数据分类分级的特殊复杂性出发,提出我国政务数据分类分级实施存在整体目标定位不清、分类分级对象各异、分类分级关系割裂、安全分级标准不一4个问题,并提供应对方案;基于国家某部委政务数据分类分级实践,验证应对方案的科学性、有效性,为构建全国统一的政务数据分类分级体系提供参考。

关键词数字政府 ; 政务数据 ; 分类分级实施

论文引用格式:

王跃, 苏娜. 我国政务数据分类分级实施关键问题与实践研究[J]. 大数据, 2024, 10(3): 16-26.

WANG Y, SU N. Research and practice on key issues in the implementation of government data classification and grading in China[J]. Big Data Research, 2024, 10(3): 16-26.


0 引言

2021年6月,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式发布,提出“对数据实行分类分级保护”“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录”。在此背景下,各地区、各部门聚焦政务数据(或公共数据),陆续制定出台数据分类分级方案。但在具体实施过程中,由于各地区、各部门定位不同、方案各异,深化推进我国政务数据分类分级工作仍存在一系列挑战。
围绕“数据分类分级”这一主题,学术界开展了一系列研究。在理论研究层面,陈祥玲从宏观视角提出“价值、体系、制度”三维分析框架,指出我国政府数据分类分级存在“价值博弈导致各方利益难以平衡,法律体系架构不合理致使分类分级标准混乱,法律制度缺位引致分类分级难以实现”三大整体性问题,并提出相关策略建议;朱千一建议以体系性思路,明确“分类分级面向安全保护与共享开放”二元导向,提出将分类与分级工作分开实施的相关建议;张敏等人从美英数据分类分级体系入手,指出我国面临分类分级标准不统一、重要数据识别不清晰等问题,并提出优化管理组织体系、完善标准规范体系、加快技术工具研发等建议。在法律制度层面,商希雪等人梳理了法律法规对分类与分级的界定,提出应突破单一的安全标准,在法律层面将数据分类定位为数据的开发利用与权益划分,并实现分类与分级之间的明确界分与协同适用;陈兵等人指出数据分类分级保护制度存在法律定位模糊、实施规则不清导致可操作性不强等问题,提出统筹数据的发展和安全,完善数据分类分级相关法律制度等建议;袁康等人提出以重要数据识别和管控为核心,以网络安全等级保护为制度衔接,从而优化数据分级体系的策略建议;滕宏庆等人指出构建国家层面统一政务数据分类分级制度规则和操作标准的必要性;徐婧欣等人则对已发布的数据分类分级政策进行分析,提出基层政策落实难、政策工具使用不平衡等问题。上述研究成果在理论和法律制度层面系统性地指出,我国政务数据分类分级工作正面临制度规定模糊、整体定位不清、类级关系不明、实施标准不一、落地执行困难、技术工具缺乏等突出问题,并提出一系列整体性策略建议。
在实践研究层面,相较企业数据等领域,政务数据领域分类分级实施在责任主体、目标定位、业务领域、数据类型、应用场景、组织链条、流动范围等方面具有特殊复杂性。高磊等人的研究成果虽然较为系统地提出了数据分类和数据分级相结合的通用路径,但难以在政务领域简单复用实施。部分研究结合细分领域特点,面向食品药品、监督、交通运输、公安交通管理、刑事司法等政务数据领域提出一系列定制实施方法,但难以指导政务数据整体分类分级。此外,现有实践研究成果并没有针对我国政务数据分类分级在理论和法律制度层面存在的一系列问题进行系统性优化完善。

1 整体情况分析

1.1 研究方法

本文从政府信息化体系中数据资源的分布与管理实际出发,全面梳理各省级地方及部委在《数据安全法》正式发布后制定的分类分级方案,归纳当前我国政务数据分类分级实施的关键过程。在此基础上,采用基于理论的案例研究方法,从学术界已有理论出发,首先梳理学术界在理论和法律制度层面提出的一系列关键性影响因素,并分析这些因素对分类分级实施关键过程的具体影响,进而在这些关键性影响因素维度下,细化设计研究分析项,从而深入剖析各省级地方及部委公开出台的分类分级方案,通过案例研究与数据分析,量化分析我国政务数据分类分级实施整体情况。针对政务数据领域分类分级面临的责任主体、目标定位、业务领域、数据类型、应用场景、组织链条、流动范围等方面的特殊复杂需求,提出我国政务数据分类分级在实施层面面临的主要问题,并基于国家某部委政务数据分类分级的实践,提出并验证应对方案的科学性、有效性。

1.2 分类分级关键过程

如图1所示,当前我国政务数据分类分级实施可细化为4个关键过程。

图1   政府数据分类分级实施关键过程

一是明确数据分类分级目标定位,以指导分类方案、分级方案等的具体设计。
二是明确数据分类分级对象,包括由业务部门管理的政务信息系统中的数据库表、数据项、数据集等结构化数据,由IT管理部门负责的在各类文件服务中存储的非结构化数据,以及通常由各地数据管理部门统一负责的共享、开放、公共等政务数据目录、数据项及其挂载的数据资源等。
三是实施数据分类,根据分类分级的目标定位,基于面分类法或线分类法,从一或多个维度对数据对象进行分类。
四是实施数据分级,面向选定的数据对象,根据影响对象、影响程度等多要素对数据进行定级。

1.3 分类分级现状分析

本文从学术界在理论与法律制度层面提出的制度规定模糊、整体定位不清、类级关系不明、实施标准不一、落地执行困难等关键性影响因素出发,将其与政务数据分类分级的实施关键过程进行关联对应,细化设计研究分析项(见表1),并在此基础上分析各省级地方及部委在《数据安全法》发布后公开发布的11项政务(公共)数据分类分级方案,从而量化分析当前我国政务数据分类分级实施整体情况。


当前我国政务数据分类分级实施整体呈现五大特点。
一是在整体定位方面,各省级地方普遍聚焦政务数据(或公共数据)领域并出台专门方案,且不同于《数据安全法》规定,约60%已公开出台方案的省级地方对分类分级工作的定位需要同时满足管理、使用与安全三大目标,因而多采用面分类法进行多维度分类,整体定位较为明晰、一致。而部委的定位偏向指导整个行业的数据安全分级工作,并兼顾政务数据领域,主要服务安全这一单一目标,因而主要采用线分类法进行多级细分。
二是在数据对象方面,政务数据资源在政府信息化体系中以目录、库表、接口、文件等多种形式呈现。但在实践中,约80%已公开出台方案的省级地方主要面向政务数据目录实施分类分级工作,主要覆盖政务业务(结果)数据及部分非结构化数据。共享、开放、公共等政务数据目录具有规范性、业务语义明确性等突出特点,同时作为跨部门流通使用主要形态,有较多的管理、使用与安全需求,因而成为各地方政务数据分类分级工作的优先选择。
三是在分类设计方面,各省级地方间方案差异巨大、分类维度各异,分类维度涵盖数据管理、业务应用、数据对象(个人、组织、客体)、数据主题、数据部门、数据行业等。部分地方将安全保护维度也纳入分类体系之中。部委则基于业务领域实施多级细分,并进一步将内部管理数据、运行和安全数据纳入分类范畴。
四是在“类”“级”关系方面,学界在理论与制度层面提出二者存在关系不明的重要问题,在上述方案中,个别地方虽强调分类为分级服务,但几乎100%已公开出台方案的省级地方将二者割裂开来分别实施。而部委主要基于多级细分的业务领域同步并行开展分类与分级工作,但可据此逐步建立唯一类别与级别关联。
五是在分级设计方面,在上述方案中,各省级地方与部委设置的分级影响因素各异,涉及影响范围、影响程度、影响对象、数据规模、数据精度等诸多维度,但在分级的数量上,大多数省份选择设置3级至4级的数据分级,以降低后续分级防护的复杂度,仅个别省份设置较多的细化分级。

2 关键问题分析

不同于其他数据领域,政务数据分类分级在责任主体、目标定位、业务领域、数据类型、应用场景、组织链条、流动范围等方面具有特殊复杂性。而当前我国政务数据分类分级实施方法各异,面对政务数据在全国范围内共享流转、跨主体流动等内在需求,尚未形成统一标准与方法体系,从而影响了分类分级工作价值的发挥。围绕着数据分类分级中明确定位、明确对象、实施分类、实施分级四大实施关键过程,结合分类分级工作内在特征与上述全国一体化要求,可进一步细化当前我国政务数据分类分级在“实施”整体推进视角下的关键问题。

2.1 分类分级整体目标定位未统一,在实施中直接影响分类分级策略设计

《数据安全法》明确了分类分级工作的安全目标导向,在实践中部委因其职能定位通常以此为政务数据分类分级的主要目标。而分类分级作为数据领域的一项基础性、先导性工作,众多研究[1-2]建议其应兼顾数据共享开放的应用需求,以促进数据要素的价值释放。在实践中,各省级地方纷纷将数据分级分类工作定位为兼顾管理、使用与安全三大目标或其中部分目标,并因此引入业务应用、共享开放等分类维度。目标定位的差异化,从根本上不利于我国政务数据统一分类分级体系,也会因目标单一导致后续重复实施分类分级,造成资源的巨大浪费。

2.2 分类分级对象各异,尚未实现面向全体政务数据资源的管理保护

政务数据责任主体复杂,组织链条冗长,涉及分类分级的政务数据范畴也尚未完全明晰,如涉密数据、政府内部管理数据、运维与安全数据、政务业务过程数据等,同时政务数据资源广泛分布于政府业务部门负责的政务信息系统、IT管理部门负责的统一文件服务、数据管理部门负责的政务大数据中心之中,并以库表、文件、目录等多种形态呈现。在此背景下,各省级地方及部委在实践中所明确的分类分级范畴与对象各异,当前主要面向政务数据目录实施分类分级,虽较好地满足了共享、开放、流通等数据应用方面的需求,但从安全保护、数据管理维度来看,政务数据资源覆盖范围不全,未能实现面向全体政务数据资源的有效管理与保护。

2.3 围绕多重目标,亟待建立主要面向安全分级并兼顾管理使用的数据分类方法

《数据安全法》提出实施分类分级。从理论与各行业实践来看,基于数据类别间接确定数据级别,可极大降低分类分级工作的长期整体性投入,有效保障数据安全。证券[14]、电力[15]等行业已按此方式开展大量实践,但目前在部分理论研究[4-6]和各省级地方的实践中,分类与分级普遍被分别设计实施,二者割裂并行推进,分类并未向分级提供有效支撑。
政务数据面临业务领域、数据类型繁杂、定级复杂度较其他数据领域更高的问题,从长期来看,分类与分级分开实施将极大增加实施成本。同时,政务数据涉及的责任主体复杂、数据类型庞杂,数据处理流转过程漫长,各类主体在各阶段、各场景中使用数据、管理数据需求多样,而当前各省级地方开展的实践中数据分类方案参差不一、分类维度差异巨大,未能在使用数据、管理数据等视角构建起科学合理的数据分类体系。

2.4 数据安全分级标准不一,亟待形成统一规范的数据安全防护体系

安全是数据流通的底线,政务数据在全国范围内共享流转、跨主体流通,需确保其在流动过程中得到规范的安全防护。而当前各地区、各部门数据分级标准互相割裂,分级影响因素不一、定级数量与要求各异:部分省级地方直接应用《数据安全法》,将数据分级设定为一般、重要、核心三级数据;部分省级地方进一步按数据敏感程度等扩展分级至四级,但对敏感的分级界定并不一致;个别省级地方进一步细化分级至七级。数据安全分级标准不一将给安全防护措施设计带来重大挑战。

3 实践映射分析

针对以上4个关键问题及学术界在理论与法律制度层面提出的关键性影响因素,本文在实施层面提出以下方案,并基于国家某部委政务数据分类分级实践,验证方案的科学性、有效性。

3.1 分类分级统一兼顾管理、应用、安全三大目标

分类分级是数据领域的基础性、先导性工作,全面落实整体工作量巨大,而当前各地区、各部门实施的分类分级任务需落实《数据安全法》的要求,保障安全是其核心定位。同时,2022年发布的《关于加强数字政府建设的指导意见》要求“深化数据高效共享”,2022年发布的《关于构建数据基础制度更好发挥数据要素作用的意见》要求全面推动“数据要素流通”。结合学术界研究及政府部门数据工作的实际需求,建议统一我国政务数据分类分级工作定位,同时兼顾政务数据“管理、应用、安全”三大目标,支撑后续各类政务数据工作任务,满足各方对政务数据的不同需求,减少后续因反复实施分类分级工作引起的巨大资源浪费,实现政务数据的精细化管理、精准化利用、精确化防护。

3.2 分类分级数据对象覆盖全体非涉密政务数据资源

除政务业务数据外,政府内部管理数据、运维与安全数据同样包括大量敏感信息,也应纳入分级分类工作范畴,而根据《数据安全法》规定,不应将涉密数据纳入管理,因此,政务数据分类分级应全面覆盖涉及政府的全体非涉密数据资源。在此基础上,分类分级对象实施范围应覆盖政府业务部门、IT管理部门、数据管理部门所管理的全部政务信息系统、统一文件服务、政务大数据中心的各类数据形态,而不仅仅面向数据使用、承载政务业务结果数据的各类政务数据目录。
某部委在政务数据分类分级实践中,提出“三步”策略以持续深化实施:一是从应用需求驱动角度,面向数据管理部门牵头负责的政务业务结果数据等政务数据目录,优先实施政务数据分类分级,因为其业务语义明确、格式标准规范,且安全风险较为突出,主要服务于跨部门流通;二是基于政务数据目录,索引政务信息系统数据库中的相关库表、统一文件服务中的非结构化数据等,参考目录分类分级情况实施分类、分级设置,并同步对运维与安全数据、个人敏感信息数据实施分类分级;三是在以上两步的基础上,组织政府业务部门等面向政府内部管理、政务业务过程数据等实施分类分级,并持续深化完善,以覆盖政府掌握的全部非涉密政务数据资源。按急用先行策略,长期持续推进工作,逐步完成面向全体政务数据资源的分类分级实施任务。

3.3 建立面向安全分级的主分类维度及兼顾管理使用的统一分类框架

保障安全是《数据安全法》指引下分类分级工作的核心定位,应设立面分类法下面向安全分级的主分类维度,以建立分类与分级的关联。分级主要从数据一旦泄露后的影响对象、影响范围等角度进行评估,本质是一种业务视角,而政务业务领域极为宽泛繁杂,因此,面向安全分级的分类方法必须同时满足充分细化及最终落实到业务特征这两个要求,以确保最小颗粒度分类具有基本统一或同类近似的分级条件。当前,在具体实施层面主要存在两种探索:一是基于数据表征的基础实体对象进行分类,并建立与业务的关系,当前广东、山西、贵州出台的方案面向基础数据进行细分,但仅浙江出台的方案初步建立个人、组织、客体等实体对象分类与分级的关联;二是基于数据表征的业务主题进行分类,广东、江西、山西、贵州、重庆等地出台的方案在此方向进行细分,但仅交通部出台的方案可逐步建立分类与分级的对应关系。两种探索均未能充分建立分类与安全分级的直接关联,原因在于省级地方政府及大部制部委的政务业务过于宽泛复杂,难以从业务视角充分细化类别,同时面对复杂冗长的组织链条,调动政府部门先期建立的类别与级别的关联映射关系较直接单独分级的实施复杂度更高。
鉴于此,在某部委政务数据分类分级实践中,其将当前分类与分级过程从并行开展、同步开展调整为先后开展,提出第3条实践路径:一是先期开展数据分类工作,从梳理政府各部门三定职责出发进行分类,进而细化建立业务条线、关键业务的多级分类体系,同时结合公开发布的行政许可清单、权责清单、政务服务目录、行政处罚清单等多类清单逐一梳理、核对补充,并组织政府各部门进行确认完善;二是分类分级方案研制团队应引入政府部门相关支撑单位业务专家提出的或自行研判的各细分类别与级别的映射关系建议,以进一步细化分类分级方案,指导政府部门后续分级(见表2);三是针对影响因素众多、过程较为复杂的数据分级工作,组织政府各部门参考业务专家提出的初步分级建议,主要基于类别进行判定。此方案充分调动政府部门整体力量,建立起细化业务分类及其与级别的映射,形成面向安全分级的数据分类方法,具有较好的通用性与操作性,但同时也对分类分级方案研制团队提出了较高的业务要求。

数据分类体系面向管理数据、使用数据两大目标的需求差异多样、难以穷尽,且主要定位于本地化,不存在全国范围内统一细化方案的强烈需求。在此背景下,我国政务数据分类体系应在整体分类维度层面进行统一,形成统一框架体系,而因其本地化特征暂未统一细化管理、使用分类的必要,仅需聚焦选取数据最稳定的特征进行设计,不应无限扩展分类体系。在某部委政务数据分类工作实践中,其选取数据表征的基础实体对象、数据管理、业务应用3个维度及安全主维度进行设计,并可按需扩展(如图2所示),以服务于“安全、管理、使用”三大目标。

3.4 构建分级中间映射标准实现基本统一的安全防护

全国各地区、各部门已基于各自标准规范开展了大量政务数据分级实践,而这些标准规范的分级因素尚未统一、互相冲突,因而实践中难以建立完全统一的政务数据分级标准及防护体系。在此背景下,针对政务数据在全国范围内共享流通亟须的统一标准安全防护需求,可考虑推进建立面向各地区、各部门差异化政务数据分级方案的政务数据分级中间映射标准,从而基于中间映射标准建立全国范围防护标准,实现基本统一的数据安全防护体系,确保政务数据在共享流转过程中的全生命周期安全,避免分级互相割裂,形成孤岛。中间标准的设计应充分参考各地方的差异化分级方案,以尽量简化映射难度,同时应基于数据安全领域国家权威法律规定进行设置。在某部委政务数据分类分级实践中,其将数据分级方案设置为四级(从高到低分别为四级、三级、二级、一级),将影响国家安全、公共利益的数据分别对应核心数据、重要数据设置为最高的四级与次高的三级,将影响个人与组织利益数据对应为一般数据,并依据《中华人民共和国个人信息保护法》《中华人民共和国统计法》《上市公司信息披露管理办法》规定的敏感与否设置为较低的二级与一级。按此方案,各地区、各部门差异化的分级方案可较简单地进行映射,从而在全国范围内面向政务数据共享流通实现分级保护标准的基本统一。

4 结束语

本文围绕政务数据分类分级这一数字政府建设基础性、关键性任务,梳理学术界在理论研究、法律制度研究、实践研究3个层面开展的系列探索,并聚焦“实施”视角,采用基于理论的案例研究方法,系统调研并量化分析《数据安全法》正式发布后我国各地区、各部门公开出台的政务数据分类分级实践方案,归纳我国政务数据分类分级实施关键过程与整体情况。在此基础上,立足政务数据分类分级的特殊复杂需求,指出当前我国政务数据分类分级实施方法各异,面对政务数据在全国范围内共享流转等内在需求,尚未形成统一标准与方法体系,影响了分类分级工作的价值发挥。本文提出我国政务数据分类分级实施工作正面临整体目标定位不清、分类分级对象各异、分类分级关系割裂、安全分级标准不一等关键问题,进一步围绕这些问题,提出一系列应对方案,并基于国家某部委政务数据分类分级工作实践进行验证。本文为全国各地区、各部门高效推进政务数据分类分级实施、建立全国一体化政务大数据体系,并快速推进数字政府建设提供了参考。
此外,本文从“实施”的整体推进视角对公开方案表征的全国总体情况进行研究,提出了一种较为通用的政务数据分类分级实施方法,但在具体落地执行过程中,还需要进一步立足政务数据实际情况进行调整优化与细化设计,同时也存在依据不同的目标定位与优先级差异化取舍考量的其他方法。未来可在两个方向进行研究:一是进一步研究其他可能的通用方法,并量化分析其与各地现行分类分级实施方案、本文提出方案之间的效果差异;二是进一步下沉到具体执行视角,研究在技术执行层面的微观关键问题(如自动识别业务分类),并提出解决方案。

作者简介


王跃(1983-),男,中国信息通信研究院政务服务中心副主任、高级工程师,主要研究方向为数据资源体系治理与应用、数字化转型与数字政府建设。
苏娜(1976-),女,中国信息通信研究院政务服务中心主任、高级工程师,主要研究方向为电子政务、数字政府建设运营。


联系我们:

Tel:010-53879208

       010-53859533

E-mail:bdr@bjxintong.com.cn 

http://www.infocomm-journal.com/bdr

http://www.j-bigdataresearch.com.cn/

转载、合作:010-53878078


大数据期刊

《大数据(Big Data Research,BDR)》双月刊是由中华人民共和国工业和信息化部主管,人民邮电出版社主办,中国计算机学会大数据专家委员会学术指导,北京信通传媒有限责任公司出版的期刊,已成功入选中国科技核心期刊、中国计算机学会会刊、中国计算机学会推荐中文科技期刊,以及信息通信领域高质量科技期刊分级目录、计算领域高质量科技期刊分级目录,并多次被评为国家哲学社会科学文献中心学术期刊数据库“综合性人文社会科学”学科最受欢迎期刊。

关注《大数据》期刊微信公众号,获取更多内容
继续滑动看下一个
大数据期刊
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存