数字经济时代对于数据资源的保护与利用能力，已成国家的核心竞争力。在数据层面，国家秘密与公共数据之间一直存在灰色地带，此地带数据不属于国家秘密，但发生危害可能对国家安全造成影响；此地带数据也不属于公共数据，但发生危害可能对公共利益造成影响。随着《中华人民共和国数据安全法》《中华人民共和国网络安全法》的颁布与实施，对此灰色地带进行明确要求，并将其定位为数据分级中的重要数据。随之出台了包含重要数据的相关标准、办法、条例、指南、要求等，明确重要数据处理者应满足的要求及履行的义务，明确重要数据识别和使用、管理和保护的相关要求。

本文围绕我国出台的法律、法规、标准、办法、条例、指南、要求涉及的重要数据部分进行提炼分析，明确重要数据涉及要点、边界、方法。并借鉴五级数据分级方法、数据全生命周期威胁与脆弱性，与重要数据安全能力建设进行关联，明确重要数据实践路径。

我国出台的法律、法规、标准等

涉及“重要数据”要点

我国早在2017年6月1日实施的《中华人民共和国网络安全法》中就已对重要数据进行了要求，但当时的要求仅限于对重要数据存储限制和安全备份的要求。随着国家秘密与公共数据之间存在的灰色地带的盲区(即:有些数据不属于国家秘密，也不属于公共数据，但一旦遭到破坏、泄露等会对国家安全、社会稳定、公共利益造成影响的数据)，定义了重要数据，并持续出台相应法规、标准、办法、条例等予以衔接，并对涉及重要数据部分进行明确。

《中华人民共和国网络安全法》强调网络运营者在针对重要数据的安全层面需要进行备份，针对在境内收集和产生的重要数据原则上需要在境内进行存储。

《数据安全管理办法(征求意见稿)》从监管、网络运营者涉及收集重要数据、明确责任人、安全能力建设上、涉及对重要数据的相关动作、重要数据的含义明确上进行了明确要求。

《中华人民共和国数据安全法》在重要数据目录指定、明确负责人和机构、明确需开展风险评估、涉及出境动作、违规出境惩罚角度进行了明确约束。

《网络数据安全管理条例(征求意见稿)》从数据分级、重要数据涉及的系统、对发生重要数据安全事件、 数据处理者向第三发共享交易和委托处理重要数据、重要数据目录、重要数据处理者成立的数据安全管理机构职责、重要数据备案、数据安全培训、处理重要数据或者赴境外上市、 向境外提供重要数据、重要数据含义的角度进行了明确要求。

《关键信息基础设施保护条例》提到关键信息基础设施涉 及其他重要数据泄露的，保护工作部门应当在收到报告后，及时向国家网信部门、国务院公安部门报告。

《网络安全审查办法》强调“重要数据”被窃取、泄露、损毁以及非法利用、非法出境，上市存在重要数据被外国政府影响、控制、恶意利用的风险，定义为国家安全风险因素之一。并强调需要对涉及国家安全风险的进行网络安全审查重点评估。

《数据出境安全评估办法》从向境外提供重要数据情形、评估有效期内变动情形、重要数据定义的角度进行了明确强调。

综上对我国出台相应法规、标准、办法、条例等进行比对分析，涉及重要数据的重点要求如下 :

表1 重要数据涉及要点提炼分析

基于重要数据本体

明确重要数据范围

通过上述对我国出台相应法规、标准、办法、条例等的梳理分析，可从中明确对涉及重要数据主体的具体要求，但当重要数据主体围绕重要数据本体开展相应动作时(如：收集、处理、共享、交换、流转等)，在范围层面会出现盲区、无从下手等问题。

因此，本文对《重要数据识别指南(征求意见稿)》的定义、原则进行分析，从中可洞察到重要数据的范围，为重要数据主体开展工作提供支撑。

从中可以看出，定义中所依附的主体是“电子方式存在的数据”，此主体被篡改、破坏、泄漏等，通过“可能”危害其他主体（如: 国家安全、公共利益）的方式将“电子方式存在的数据”范围进行了缩小。此范围通过“可能”的方式又在危害国家安全或公共利益的范围内进行了扩大，应包括“肯定会危害”和“可能会危害”的范围。

从外部攻击者发起攻击的角度来看，一般会对肯定会危害国家安全、公共利益的电子方式存在的数据发起攻击；对“可能会危害”一般针对较少，更多的是在对“电子方式存在的数据”发起攻击后，导致了“可能会危害”的情形发生。或者从法规遵循的角度来看，拥有电子方式存在的数据主体，对自身“肯定会危害”和“有可能危害”国家安全或公共利益的数据了解的情况应比外部攻击者了解更多。

所以，外部攻击者对重要数据发起的攻击，一般会聚焦在“肯定会危害”的数据上。当发生了对“可能会危害”的情况，很有可能是对电子方式存在的数据的范围攻击导致(或是侥幸或是小概率)。由于内部相关人员对“肯定会危害”和“有可能危害” 情况了解最清楚，发起攻击的数据范围是可以针对到“肯定危害”和“有可能危害”国家安全或公共利益的数据上，而大部分无需直接面对以“电子方式存在的数据”范围。

另外，在定义的注释中，明确强调了重要数据不包括“国家秘密”和“个人信息”，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。也就是说个人信息层面，涉及基于个人信息本体、直接关联的数据都不是重要数据范畴(无论是个人基本信息、个人敏感信息，直接与个人信息本体相连的数据，都可断定为非重要数据)。基于个人信息本体直接关联的数据而衍生出的数据，或者基于个人信息本体直接关联的统计数据，有可能属于重要数据范畴。

在《重要数据识别指南(征求意见稿)》原则性内容中，本指南强调对重要数据的识别需要从可能对国家安全、经济运行、社会稳定、公共健康带来威胁的角度去进行识别，并基于此强调重要数据不等于重要的数据，自身认为重要的数据并非重要数据，需要将重要的内涵上升到可能带来的风险角度进行明确；强调重要数据也是可以进行流动的，但需要满足安全保护的前提下有序流动；强调重要数据的识别工作，需要结合地方、行业、部门相关的自身特色及法律法规与本指南进行结合使用开展重要数据识别工作；针对数据本身，需要重点考虑在遭受风险后，对数据的保密性、完整性、可用性、真实性、准确性带来的影响的角度进行开展；强调对重要数据的识别需要定量与定性进行综合考虑，将天生重要与后天可能重要的数据进行结合考量;强调重要数据并非一成不变，会随着数据用途、共享方式、重要性等的变化而发生变化，需要对重要数据定期进行复查。

通过上述《重要数据识别指南(征求意见稿)》的定义与原则进行分析可看出，重要数据不等于重要的数据、重要数据不包括个人信息(但基于海量个人信息形成的统计数据、衍生数据可能属于重要数据)、重要数据不包括国家秘密信息、重要数据不包括公共数据。借鉴祝高峰，在“认识与识别: 重要数据的界定及其规制路径选择”中提到的重要数据的种类及其识别标准，对重要数据与其他数据内容进行比对分析， 重要数据具有明显的特点。具体如下:

表2 重要数据与个人信息对比

表3  重要数据与商业秘密比对(重要数据不等于重要的数据)

表4  重要数据与国家秘密比对