饒 偉，李碧秋，任宸瑩，謝玉霞

隨著信息技術(shù)的發(fā)展及其應(yīng)用的加深，各行各業(yè)在生產(chǎn)、經(jīng)營(yíng)過(guò)程中產(chǎn)生的信息逐步以不同形式轉(zhuǎn)化為數(shù)據(jù)資產(chǎn)，在不同網(wǎng)絡(luò)與系統(tǒng)之間流轉(zhuǎn)，促進(jìn)了數(shù)據(jù)價(jià)值鏈的動(dòng)態(tài)循環(huán)與數(shù)據(jù)增值［1］。但是，在享受數(shù)據(jù)紅利的同時(shí)，也不可避免地面臨著數(shù)據(jù)安全治理的拷問(wèn)。如何在充分發(fā)揮數(shù)據(jù)價(jià)值的同時(shí)，確保數(shù)據(jù)的安全性，已成為社會(huì)普遍關(guān)注的問(wèn)題。而傳統(tǒng)“一視同仁”的安全思路無(wú)法平衡數(shù)據(jù)的利用與保護(hù)問(wèn)題，急需一套新的解決方案來(lái)滿足需求。

近年來(lái)，國(guó)家出臺(tái)了多項(xiàng)數(shù)據(jù)安全法律法規(guī)，制定了數(shù)據(jù)安全制度，要求各地區(qū)、各部門對(duì)數(shù)據(jù)實(shí)施分類分級(jí)保護(hù)，以保障數(shù)據(jù)的合法有效利用，護(hù)航數(shù)字經(jīng)濟(jì)發(fā)展。同時(shí)，國(guó)家發(fā)布了多項(xiàng)數(shù)據(jù)安全標(biāo)準(zhǔn)，指導(dǎo)地方、行業(yè)進(jìn)行數(shù)據(jù)安全能力建設(shè)。部分企業(yè)已展開(kāi)了對(duì)數(shù)據(jù)分類分級(jí)保護(hù)的探索，并取得了一定的成果。但由于相關(guān)研究相對(duì)匱乏，且實(shí)踐時(shí)間較短、實(shí)踐效果有待驗(yàn)證，因此制定出一套科學(xué)、有效的、符合企業(yè)自身發(fā)展需求的數(shù)據(jù)分類分級(jí)保護(hù)方案還有很長(zhǎng)的路要走。

本文通過(guò)梳理相關(guān)法律法規(guī)對(duì)數(shù)據(jù)安全的保護(hù)要求，分析國(guó)家、行業(yè)標(biāo)準(zhǔn)規(guī)范，探求行業(yè)數(shù)據(jù)分類分級(jí)保護(hù)規(guī)律，力求為鐵路行業(yè)的數(shù)據(jù)安全治理提供思路。

1 數(shù)據(jù)分類分級(jí)保護(hù)相關(guān)法律法規(guī)

為規(guī)范數(shù)據(jù)處理活動(dòng)，保障數(shù)據(jù)安全，我國(guó)相繼頒布實(shí)施了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》［2］（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國(guó)數(shù)據(jù)安全法》［3］（以下簡(jiǎn)稱《數(shù)據(jù)安全法》）、《中華人民共和國(guó)個(gè)人信息保護(hù)法》［4］（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法》）等法律法規(guī)，對(duì)數(shù)據(jù)領(lǐng)域展開(kāi)全方位的保護(hù)與監(jiān)管。

2017年6月1日《網(wǎng)絡(luò)安全法》正式施行，是我國(guó)網(wǎng)絡(luò)安全管理方面的第一部基礎(chǔ)性立法，確立了國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，以制度建設(shè)加強(qiáng)網(wǎng)絡(luò)空間治理，規(guī)范網(wǎng)絡(luò)信息傳播秩序。該法首次提出重要數(shù)據(jù)的概念，已體現(xiàn)出對(duì)數(shù)據(jù)實(shí)施分類分級(jí)保護(hù)的思路［5］，并制定了保障網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)用戶信息安全等措施，強(qiáng)化數(shù)據(jù)安全保障，對(duì)構(gòu)建數(shù)據(jù)安全保障體系有著重要的意義。

2021年9月1日《數(shù)據(jù)安全法》正式施行，構(gòu)建了關(guān)于數(shù)據(jù)的基本制度框架，將分類分級(jí)策略由“系統(tǒng)”擴(kuò)展至“數(shù)據(jù)”，并對(duì)各類數(shù)據(jù)提出了豐富的保護(hù)規(guī)則。此外，《數(shù)據(jù)安全法》還提出“核心數(shù)據(jù)”這一全新的數(shù)據(jù)類型，并規(guī)定對(duì)核心數(shù)據(jù)實(shí)行更加嚴(yán)格的管理制度，這也對(duì)數(shù)據(jù)處理者提出了更高的要求［6］。

2021年11月1日《個(gè)人信息保護(hù)法》正式施行，要求個(gè)人信息處理者依據(jù)個(gè)人信息的敏感度分類施措，避免個(gè)人信息的越權(quán)收集和使用，充分保障個(gè)人信息權(quán)益。該法為實(shí)現(xiàn)個(gè)人信息的精細(xì)化管理和保護(hù)提供了有效途徑。

國(guó)家法律對(duì)數(shù)據(jù)的分類分級(jí)保護(hù)做出原則性規(guī)定，地方、行業(yè)需滿足上述法律規(guī)定的要求，并在此基礎(chǔ)上細(xì)化數(shù)據(jù)分類分級(jí)保護(hù)工作。

2 數(shù)據(jù)分類分級(jí)保護(hù)國(guó)家標(biāo)準(zhǔn)

2.1 數(shù)據(jù)分類分級(jí)規(guī)則

2021年12月，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實(shí)踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)指引》（TC260-PG-20212A）［7］，緊密銜接《數(shù)據(jù)安全法》，充分考慮各行各業(yè)數(shù)據(jù)分類分級(jí)的兼容性，給出網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)的原則、框架和方法，分析數(shù)據(jù)遭破壞后的影響程度，并據(jù)此對(duì)數(shù)據(jù)進(jìn)行分級(jí)。具體分級(jí)規(guī)則見(jiàn)表1。

表1 數(shù)據(jù)分級(jí)規(guī)則

2.2 數(shù)據(jù)分類分級(jí)保護(hù)要求

技術(shù)標(biāo)準(zhǔn)是安全建設(shè)的“尺子”。近年來(lái)，國(guó)家發(fā)布了多項(xiàng)數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)及指南，對(duì)法律法規(guī)中較為原則性的規(guī)定給予相應(yīng)的指導(dǎo)。

《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》（GB/T 41479—2022）［8］提出了網(wǎng)絡(luò)運(yùn)營(yíng)者在網(wǎng)絡(luò)數(shù)據(jù)處理活動(dòng)中應(yīng)遵循的安全總體要求、安全技術(shù)要求及安全管理要求，以對(duì)可能存在的風(fēng)險(xiǎn)進(jìn)行控制和消除?！缎畔踩夹g(shù) 關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》（GB/T 39204—2022）［9］提出了整體防控、動(dòng)態(tài)防護(hù)、協(xié)同聯(lián)動(dòng)的安全保護(hù)原則，明確了通信網(wǎng)絡(luò)、計(jì)算環(huán)境、供應(yīng)鏈、數(shù)據(jù)等方面的安全防護(hù)要求，以支撐業(yè)務(wù)的連續(xù)運(yùn)行，并給出從風(fēng)險(xiǎn)識(shí)別到風(fēng)險(xiǎn)處置整個(gè)過(guò)程的系列要求。

針對(duì)個(gè)人信息，《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020）明確了個(gè)人信息在收集、存儲(chǔ)、使用等環(huán)節(jié)的通用安全要求，以及個(gè)人敏感信息在傳輸、存儲(chǔ)環(huán)節(jié)的特殊要求［10］。2022年，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員發(fā)布了步態(tài)識(shí)別數(shù)據(jù)、基因識(shí)別數(shù)據(jù)、聲紋識(shí)別數(shù)據(jù)等12 項(xiàng)個(gè)人信息安全保護(hù)要求，對(duì)個(gè)人信息安全保護(hù)做出進(jìn)一步說(shuō)明。

雖然數(shù)據(jù)安全保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范在逐步豐富，但是安全保護(hù)要求仍不夠細(xì)致、具體。一方面，安全技術(shù)要求較為寬泛，相關(guān)標(biāo)準(zhǔn)只提出應(yīng)采取加密、訪問(wèn)控制等措施，未詳細(xì)說(shuō)明應(yīng)采用哪種加密算法或訪問(wèn)控制方法等；另一方面，規(guī)范對(duì)象粒度較粗，僅對(duì)重要數(shù)據(jù)、個(gè)人信息等提出相關(guān)要求，未對(duì)一般數(shù)據(jù)做相應(yīng)規(guī)定，各行業(yè)、領(lǐng)域需在此基礎(chǔ)上結(jié)合自身實(shí)際細(xì)化保護(hù)規(guī)范，合理保障數(shù)據(jù)安全。

3 地方及行業(yè)數(shù)據(jù)分類分級(jí)保護(hù)實(shí)踐分析

3.1 數(shù)據(jù)分類分級(jí)保護(hù)具有行業(yè)屬性

由于不同行業(yè)之間的信息化發(fā)展水平不同，以及對(duì)數(shù)據(jù)分類分級(jí)保護(hù)的認(rèn)知存在差異，導(dǎo)致在數(shù)據(jù)安全治理中行業(yè)屬性十分突出。

3.1.1 數(shù)據(jù)分類分級(jí)規(guī)則方面

實(shí)行數(shù)據(jù)分類分級(jí)是保障數(shù)據(jù)安全的前提。為推進(jìn)數(shù)據(jù)分類分級(jí)保護(hù)工作的落實(shí)，各地方、行業(yè)紛紛制定相關(guān)標(biāo)準(zhǔn)規(guī)范，明確數(shù)據(jù)分類分級(jí)方法。地方出臺(tái)的標(biāo)準(zhǔn)指南更多聚焦于政務(wù)數(shù)據(jù)和公共數(shù)據(jù)的分類分級(jí)，可以將其視為以政府?dāng)?shù)據(jù)為切入點(diǎn)所做的初步嘗試［11］。各行業(yè)的數(shù)據(jù)分類分級(jí)規(guī)則在突出行業(yè)特色的同時(shí)不斷更新。其中，通信行業(yè)數(shù)據(jù)分級(jí)實(shí)踐較早，后期在實(shí)踐中逐漸查漏補(bǔ)缺、有所補(bǔ)充；金融行業(yè)從《證券期貨數(shù)據(jù)分類分級(jí)指引》（JR/T 0158—2018）［12］到《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級(jí)指南》（JR/T 0197—2020）［13］，在努力探索統(tǒng)一的數(shù)據(jù)分級(jí)體系。地方（以北京為例）、行業(yè)數(shù)據(jù)分級(jí)方法對(duì)比見(jiàn)表2。

表2 地方、行業(yè)數(shù)據(jù)分級(jí)方法對(duì)比

可以看出，隨著認(rèn)識(shí)與實(shí)踐的不斷推進(jìn)，各行業(yè)數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)在逐步完善，通過(guò)明確分類分級(jí)工作的原則、方法、定義，進(jìn)一步細(xì)化國(guó)家關(guān)于數(shù)據(jù)分類分級(jí)工作的要求。但不同行業(yè)標(biāo)準(zhǔn)在一般數(shù)據(jù)的定級(jí)考量上存在差異，影響對(duì)象、影響范圍、影響程度等方面的具體規(guī)定不一致，級(jí)別劃分?jǐn)?shù)量并不相同。

3.1.2 數(shù)據(jù)分類分級(jí)保護(hù)方面

數(shù)據(jù)分類分級(jí)保護(hù)轉(zhuǎn)變了傳統(tǒng)數(shù)據(jù)安全保護(hù)理念，對(duì)不同重要性和風(fēng)險(xiǎn)等級(jí)的數(shù)據(jù)采取強(qiáng)弱有別的管控措施，以應(yīng)對(duì)數(shù)據(jù)大規(guī)模流轉(zhuǎn)處理下的新型數(shù)據(jù)安全風(fēng)險(xiǎn)，兼顧數(shù)據(jù)安全保障和數(shù)據(jù)開(kāi)發(fā)利用的雙重需求。不同行業(yè)的數(shù)據(jù)分類分級(jí)保護(hù)及其特點(diǎn)如下。

1）地方政務(wù)更關(guān)注數(shù)據(jù)的開(kāi)放和共享安全。中共中央、國(guó)務(wù)院于2020年3月30日發(fā)布《關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體制機(jī)制的意見(jiàn)》，指出“推進(jìn)政府?dāng)?shù)據(jù)開(kāi)放共享”。北京、長(zhǎng)春等地在數(shù)據(jù)分級(jí)保護(hù)標(biāo)準(zhǔn)中，將數(shù)據(jù)共享開(kāi)放要求作為一個(gè)章節(jié)單獨(dú)列出，且數(shù)據(jù)共享開(kāi)放條件相對(duì)寬松，如北京政務(wù)數(shù)據(jù)一級(jí)數(shù)據(jù)無(wú)條件共享，二、三級(jí)數(shù)據(jù)原則上有條件共享（如不予共享，應(yīng)當(dāng)有法律、行政法規(guī)的規(guī)定或者相關(guān)政策為依據(jù)），最高級(jí)別的數(shù)據(jù)不予共享或允許可用不可見(jiàn)的共享，以促進(jìn)政務(wù)數(shù)據(jù)的充分共享。

2）以用戶為中心的服務(wù)型行業(yè)更關(guān)注個(gè)人信息的安全。金融、通信、醫(yī)療等以用戶為中心的服務(wù)型行業(yè)對(duì)個(gè)人信息重點(diǎn)保護(hù)，金融、通信行業(yè)除了制定通用的行業(yè)數(shù)據(jù)安全保護(hù)標(biāo)準(zhǔn)外，均還專門制定了個(gè)人信息保護(hù)規(guī)范；醫(yī)療行業(yè)雖未制定個(gè)人信息保護(hù)規(guī)范，但是標(biāo)準(zhǔn)所指的健康醫(yī)療數(shù)據(jù)是個(gè)人健康醫(yī)療數(shù)據(jù)，以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)數(shù)據(jù)，實(shí)際上也是主要針對(duì)個(gè)人信息的保護(hù)。

3.2 數(shù)據(jù)分類分級(jí)保護(hù)實(shí)踐共性研究

通過(guò)具體分析行業(yè)標(biāo)準(zhǔn)對(duì)各級(jí)數(shù)據(jù)生命周期的安全防護(hù)要求，可發(fā)現(xiàn)其中蘊(yùn)含著一定的規(guī)律：同類數(shù)據(jù)即使數(shù)據(jù)級(jí)別不同，其保護(hù)要求也具有一致性。

以個(gè)人信息為例，對(duì)于用戶鑒別信息，雖然金融行業(yè)將該類數(shù)據(jù)定為4 級(jí)（JR/T 0223—2021），通信行業(yè)將該類數(shù)據(jù)定為5 級(jí)（YD/T 2782—2014），但是2 部標(biāo)準(zhǔn)均要求該類數(shù)據(jù)在采集環(huán)節(jié)應(yīng)采取嚴(yán)格加密、接口限制等措施保證數(shù)據(jù)的機(jī)密性；傳輸環(huán)節(jié)應(yīng)對(duì)傳輸鏈路加密，保證信息不被攔截或盜用；存儲(chǔ)環(huán)節(jié)應(yīng)采用加密、細(xì)粒度的訪問(wèn)控制等措施，確保該類信息不被越權(quán)訪問(wèn)［17］。對(duì)于個(gè)人基本信息，金融業(yè)、北京政務(wù)雖對(duì)其定級(jí)也不同，但都要求采集環(huán)節(jié)需確保采集數(shù)據(jù)符合法律規(guī)定，傳輸環(huán)節(jié)應(yīng)采用校驗(yàn)技術(shù)保證數(shù)據(jù)的完整性，存儲(chǔ)環(huán)節(jié)應(yīng)具備本地?cái)?shù)據(jù)備份與恢復(fù)功能，保證數(shù)據(jù)的可用性。

另外，對(duì)于企業(yè)內(nèi)部信息，如企業(yè)發(fā)展戰(zhàn)略及規(guī)劃數(shù)據(jù)，金融及通信業(yè)都提出采集環(huán)節(jié)需對(duì)采集設(shè)備或系統(tǒng)進(jìn)行增強(qiáng)驗(yàn)證；傳輸環(huán)節(jié)應(yīng)采用鏈路加密或數(shù)據(jù)內(nèi)容加密措施實(shí)現(xiàn)傳輸保密；存儲(chǔ)環(huán)節(jié)應(yīng)采用加密或其他保護(hù)措施保障數(shù)據(jù)的保密性和完整性，能夠檢測(cè)重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性是否受到破壞，并在完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施［18］。

以上說(shuō)明同類數(shù)據(jù)在不同行業(yè)中可能受到同等保護(hù)，因此，在對(duì)某類數(shù)據(jù)制定保護(hù)規(guī)范時(shí)，可參考行業(yè)標(biāo)準(zhǔn)對(duì)該類數(shù)據(jù)的保護(hù)規(guī)范。

4 鐵路數(shù)據(jù)分類分級(jí)保護(hù)

4.1 鐵路數(shù)據(jù)分類分級(jí)規(guī)則

安全是鐵路工作的永恒主題［19］。鐵路印發(fā)了數(shù)據(jù)分類分級(jí)相關(guān)指南，對(duì)鐵路數(shù)據(jù)分類分級(jí)方法做了詳細(xì)說(shuō)明，給出鐵路數(shù)據(jù)分類分級(jí)的原則、框架和方法，為鐵路相關(guān)單位管理數(shù)據(jù)、保護(hù)數(shù)據(jù)提供指引。

數(shù)據(jù)類別由業(yè)務(wù)歸屬分類和業(yè)務(wù)擴(kuò)展分類兩部分組成。首先確定業(yè)務(wù)歸屬分類，用于明確所屬系統(tǒng)的業(yè)務(wù)類型；其次確定業(yè)務(wù)擴(kuò)展分類，采用線分類法在業(yè)務(wù)歸屬分類的基礎(chǔ)上對(duì)數(shù)據(jù)進(jìn)一步細(xì)分，將業(yè)務(wù)屬性、特征相同或相似的一組數(shù)據(jù)進(jìn)行歸類，形成多層數(shù)據(jù)類。這種從粗到細(xì)、層層細(xì)化的分類方法，有助于得到清晰的數(shù)據(jù)分類視圖，便于業(yè)務(wù)數(shù)據(jù)的管理。

在數(shù)據(jù)分類的基礎(chǔ)上，從數(shù)據(jù)安全保護(hù)的角度，通過(guò)確定影響對(duì)象、影響程度2 個(gè)分級(jí)要素進(jìn)行分級(jí)，基本分級(jí)規(guī)則與數(shù)據(jù)分級(jí)國(guó)家標(biāo)準(zhǔn)一致。實(shí)施鐵路數(shù)據(jù)分級(jí)時(shí)，首先確定分級(jí)對(duì)象，選擇數(shù)據(jù)分類的任一層級(jí)數(shù)據(jù)作為分級(jí)對(duì)象；其次確定分級(jí)對(duì)象受到危害后的影響對(duì)象及影響程度；最后根據(jù)影響對(duì)象和影響程度確定數(shù)據(jù)級(jí)別。

在指南TC260-PG-20212A 提出的分級(jí)框架下，行業(yè)間數(shù)據(jù)分級(jí)規(guī)則存在對(duì)應(yīng)關(guān)系。對(duì)比鐵路數(shù)據(jù)分類分級(jí)方法與金融業(yè)標(biāo)準(zhǔn)JR/T 0223—2021數(shù)據(jù)分類分級(jí)方法，鐵路S1 級(jí)數(shù)據(jù)和金融業(yè)1 級(jí)數(shù)據(jù)在受到破壞后對(duì)各影響對(duì)象均無(wú)危害，鐵路S1 級(jí)數(shù)據(jù)與金融業(yè)1 級(jí)數(shù)據(jù)對(duì)應(yīng)。同理，鐵路S2～S4 級(jí)數(shù)據(jù)可分別與金融業(yè)2～4 級(jí)對(duì)應(yīng)。對(duì)比鐵路數(shù)據(jù)分類分級(jí)方法與通信行業(yè)YD/T 3813—2020 數(shù)據(jù)分類分級(jí)方法，鐵路數(shù)據(jù)S1～S4 級(jí)與通信行業(yè)第1 級(jí)至第4 級(jí)一一對(duì)應(yīng)，這種對(duì)應(yīng)關(guān)系為鐵路借鑒行業(yè)數(shù)據(jù)分級(jí)保護(hù)實(shí)踐提供了參考路徑。

4.2 鐵路數(shù)據(jù)分類分級(jí)保護(hù)思路

4.2.1 以國(guó)家要求為基礎(chǔ)

嚴(yán)格遵守國(guó)家數(shù)據(jù)安全相關(guān)法律法規(guī)及國(guó)家標(biāo)準(zhǔn)強(qiáng)制性要求，將對(duì)不同級(jí)別數(shù)據(jù)全生命周期的安全保護(hù)要求作為鐵路數(shù)據(jù)安全保護(hù)的前提和基礎(chǔ)，深化鐵路數(shù)據(jù)安全治理體系，形成從數(shù)據(jù)管理到數(shù)據(jù)運(yùn)營(yíng)全流程的安全框架，確保鐵路數(shù)據(jù)安全“合規(guī)”而行。

4.2.2 以行業(yè)標(biāo)準(zhǔn)為參考

1）研究分析鐵路與其他行業(yè)在同類數(shù)據(jù)級(jí)別上的對(duì)應(yīng)關(guān)系。各行業(yè)在生產(chǎn)、經(jīng)營(yíng)、管理的過(guò)程中產(chǎn)生的數(shù)據(jù)類別既有重合也有不同，對(duì)比研究行業(yè)特色及數(shù)據(jù)分級(jí)保護(hù)規(guī)范，從數(shù)據(jù)分級(jí)要素的定義、級(jí)別劃分的規(guī)則，或數(shù)據(jù)內(nèi)容本身2 個(gè)角度尋找鐵路與其他行業(yè)同類數(shù)據(jù)在級(jí)別上的對(duì)應(yīng)關(guān)系。

2）在數(shù)據(jù)級(jí)別對(duì)應(yīng)關(guān)系的基礎(chǔ)上，參考其他行業(yè)數(shù)據(jù)安全分級(jí)保護(hù)規(guī)范。整合各類數(shù)據(jù)所有可參考的行業(yè)數(shù)據(jù)生命周期分級(jí)保護(hù)要求，對(duì)每一級(jí)別的數(shù)據(jù)選擇大部分行業(yè)都規(guī)定的要求作為本行業(yè)數(shù)據(jù)應(yīng)滿足的要求。

參考行業(yè)標(biāo)準(zhǔn)舉例：從數(shù)據(jù)定級(jí)方法出發(fā)，鐵路對(duì)S1～S4 級(jí)數(shù)據(jù)的保護(hù)可參考金融行業(yè)1～4 級(jí)數(shù)據(jù)、通信行業(yè)1～4 級(jí)數(shù)據(jù)的保護(hù)規(guī)范。從數(shù)據(jù)內(nèi)容本身出發(fā)，鐵路對(duì)個(gè)人信息、企業(yè)發(fā)展戰(zhàn)略及規(guī)劃等數(shù)據(jù)的保護(hù)，可參考金融、通信等行業(yè)對(duì)這些數(shù)據(jù)的分類分級(jí)保護(hù)要求。按此思路，找到鐵路數(shù)據(jù)與各行業(yè)數(shù)據(jù)在等級(jí)或類別上存在的對(duì)應(yīng)關(guān)系，并參考相應(yīng)的數(shù)據(jù)保護(hù)規(guī)范，在各級(jí)數(shù)據(jù)保護(hù)規(guī)范的參考結(jié)果中取交集。

4.2.3 以自身需求為導(dǎo)向

結(jié)合鐵路業(yè)務(wù)特征、數(shù)據(jù)應(yīng)用場(chǎng)景等，補(bǔ)充符合本行業(yè)發(fā)展需求的個(gè)性化安全要求。鐵路相較其他行業(yè)，不僅產(chǎn)生和積累了大量旅客出行、貨運(yùn)物流等相關(guān)數(shù)據(jù)，還涉及調(diào)度指揮、生產(chǎn)作業(yè)等相關(guān)數(shù)據(jù)，因此，需要在參考行業(yè)實(shí)踐的基礎(chǔ)上，有針對(duì)性地增加其他保護(hù)措施。另外，跨國(guó)鐵路聯(lián)運(yùn)業(yè)務(wù)打破了相關(guān)國(guó)家之間的信息交互壁壘［20］，同時(shí)面臨著數(shù)據(jù)跨境傳輸?shù)陌踩珕?wèn)題，需監(jiān)控跨境數(shù)據(jù)流轉(zhuǎn)路徑和動(dòng)態(tài)流向。在整個(gè)數(shù)據(jù)流轉(zhuǎn)過(guò)程中，制定相應(yīng)的安全策略，定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)隱患并消除，確保鐵路數(shù)據(jù)的保密性、完整性和可用性。

最后，需在長(zhǎng)期實(shí)踐中持續(xù)修正、動(dòng)態(tài)調(diào)整數(shù)據(jù)生命周期安全分級(jí)保護(hù)規(guī)范，優(yōu)化數(shù)據(jù)安全防護(hù)策略［21］，以滿足國(guó)家要求及業(yè)務(wù)場(chǎng)景需求。

5 結(jié)束語(yǔ)

通過(guò)對(duì)數(shù)據(jù)安全保護(hù)相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范的解讀，分析了數(shù)據(jù)安全合規(guī)性要求以及地方、行業(yè)已開(kāi)展的實(shí)踐，探究了數(shù)據(jù)分類分級(jí)保護(hù)的發(fā)展變化與實(shí)踐規(guī)律，提出行業(yè)實(shí)踐參考路線。

雖然當(dāng)前數(shù)據(jù)分類分級(jí)保護(hù)相關(guān)理論研究和實(shí)施制度已有部分成果，但實(shí)際操作仍有很大挑戰(zhàn)。比如數(shù)據(jù)分級(jí)過(guò)程中，人工依據(jù)定級(jí)規(guī)則確定數(shù)據(jù)級(jí)別存在一定的主觀性，后續(xù)需研究敏感數(shù)據(jù)發(fā)現(xiàn)技術(shù)［22］和數(shù)據(jù)自動(dòng)分類分級(jí)工具，對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)識(shí)別與打標(biāo)，并基于已分類分級(jí)的數(shù)據(jù)資產(chǎn)結(jié)果集進(jìn)行機(jī)器學(xué)習(xí)建模，智能預(yù)測(cè)大規(guī)模數(shù)據(jù)的分類分級(jí)打標(biāo)，快速建立數(shù)據(jù)分類分級(jí)清單，推動(dòng)數(shù)據(jù)分類分級(jí)的有效落實(shí)；在實(shí)施數(shù)據(jù)安全保護(hù)時(shí)，需持續(xù)研究數(shù)據(jù)安全保護(hù)手段，以應(yīng)對(duì)新技術(shù)發(fā)展帶來(lái)的安全風(fēng)險(xiǎn)，支撐智能鐵路的發(fā)展［23］。