7月3日，《数据安全法（草案）》正式公布，向社会公开征求意见。草案内容涉及7个章节，51条内容，主要包含数据安全发展、数据安全管理制度，落实数据活动发组织、个人的主体责任等。

数据安全本身就是国家安全的一个重要部分，在数据安全领域，欧洲有GDPR、美国有CCPA，我国的《网络安全法》对数据的自身安全也略有涉猎，如今出台的《数据安全法（草案）》对于当前的数据安全保护提出了新的要求。

本期话题讨论围绕即将出台的这一数据安全法展开，对于草案的具体解读可参见文章：数据安全怎么做？合规篇之数据安全法（草案）。

草案中提及数据应该分级分类管理，那么数据分级可以参考的维度有哪些？

@两块

1.分类分级，先分类还是先分级这个没有明确。

2.具体分类和分级，是按照行业部门监管自行在框架下分，还是统一化类别？分级的保护措施是有差别防护还是类似等保的就高不就低？

@Mark2019

《工业数据分类分级指南（试行）》其实给了我们一个思路，就是先分类再分级。很多标准都有提到数据的分类分级，如27001等，给了我们一个制定内部数据分类分级的思路。数据分类分级是数据治理和数据安全的基础，这个不制定，数据安全的很多工作开展都会有壁垒。最近我刚好在推公司内部的数据分类分级，定大类，归小类，小类对应不同的数据等级，类型尽可能细化，便于推动数据部门对数据字段进行打标签处理。

@LJ_Monica

数据分类分级，可以根据单位内部数据的类型进行分类，比如员工个人信息、客户信息、具体业务的信息等，分级可参照秘密、机密、绝密这些或者数字一二三四等，得自己把握。

@煜阳yuyang

数据分类维度，可参考CISSP。

@Doraemon

1.法案中有提到一点的是会根据数据可能造成的危害程度进行分级，但具体怎么分就没细说了。

2.这次的数据安全法分级分类的主体是国家，之前有些管理办法之类的是规范对象自身去划分，现在是自上而下了。

数据安全保护义务具体化，责任分明，为数据安全合规，后期企业可能会采取哪些措施？

@煜阳yuyang

出来之后肯定是要写在员工手册的，以及整体制度里，不过具体设定需要按照第一个分类制度一并推行，在新人培训中做一个科普，同时在几大开源平台监控商业信息是否泄露，给员工进行分级，核心非核心触碰的商业信息分级，以上是我暂时已经落地的。

@CyAnogeN

1.的确数据安全法草案基本确认要往大数据社会发展，内容较大篇幅是规范国家机关、政府的公民数据使用；并明确相关运营单位（政府/第三方）的责任，但是实际上对企业的限制，也就是收集数据合法，何种为合法，何为规范，不得窃取或以非法方式获取数据，这....大概自己都默认同意了多少协议了，你不用吗也不行，要求删除相关特征也没办法，只能默默接受tb推送的女装。

2.起码部分机关涉及的非法查询公民个人信息有法可依了，总的来说，感觉整个法案可能比较多是针对政府机关及为其提供服务的供应商？

@LJ_Monica

全员数据安全培训、考试。设置专人负责数据安全，类似gdpr中要求要设置数据安全保护官一职。要加大投入，业务系统需要整改。

草案明确了数据在利用过程中的原则和界限，哪些数据是需要重点关注的？

@煜阳yuyang

我在公司设置的分类级别：个人商业身份信息，包括手机号，地址等属于1级敏感信息，个人商业敏感信息包括身份证号，银行卡号等属于2级敏感信息，生物识别信息属于3级敏感信息。

@LJ_Monica

重点关注的数据，要按照分级的结果来定，做到有的放矢。

其他观点

@煜阳yuyang

其实这方面规定基本限制不到企业。企业该怎么样还是怎么样，该收集信息收集，就算泄露了也是扯皮。

@acstar

1.感觉里面的限制向境外执法机构提供数据，以及境外的管辖都厉害。但不知道会具体怎么实施。

2.既然是法律，更关注生效后执法的尺度是啥，什么情况下检查，怎么检查，查的多严。

@日影飞趣51

感觉处罚更详细量化了，方便对应的操作和执行，这样可以规避部分人钻空子和扯皮。

@IRONMAN娄大壮

1.草案中的一些条款其实都是商业机会和发展方向。

2.分级分类的工具配套的应该是安全工具了，是一个整体的联动效应，有利于带动带动安全产业的发展。

3.这种法和网安法类似，看的是大方向，需要后续配套的，有点像把网安法中的部分内容，单独拉出来，但它们都是彼此联系的。

对于《数据安全法（草案）》你有哪些看法呢？欢迎留言评论~

此外，FreeBuf会定期开展不同的精彩话题讨论，想了解更多话题和观点，快来扫码加入群聊吧~~

往期精彩话题速览：

话题讨论 | 聊聊即将实施的《网络安全审查办法》

话题讨论 | 那些攻防演练中的“骚套路”

话题讨论 | 国内白帽子“生存”现状