標準工作歷程：

2020年3月，形成標準草案第一稿，開展標準申報。

2020年5月，獲得立項。

2020年10月，形成標準草案第二稿和第三稿。

2020年11月，形成標準草案第四稿。

2022年1月7日，形成正式征求意見稿。

1.      為什么要制定《信息安全技術 重要數據識別指南》

（1）《網絡安全法》在法律層面首次提出“重要數據”的概念

2017年6月1日起實施的《網絡安全法》第三十七條規定：關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

（2）《數據安全法》從三個層面對“重要數據”做出規定

從數據安全制度層面規定：國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄，加強對重要數據的保護。各地區、各部門應當按照數據分類分級保護制度，確定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。（《數據安全法》第二十一條第一、三款）

從數據安全保護義務層面規定：重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括處理的重要數據的種類、數量，開展數據處理活動的情況，面臨的數據安全風險及其應對措施等。關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理，適用《中華人民共和國網絡安全法》的規定；其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。（《數據安全法》第二十七條第二款、第三十條、第三十一條）

從法律責任層面規定了違反《數據安全法》向境外提供重要數據的法律責任。（《數據安全法》第六章）

（3）《網絡數據安全管理條例（征求意見稿）》細化對“重要數據”的相關規定

《網絡數據安全管理條例（征求意見稿）》從總則、一般規定、個人信息保護、數據跨境安全管理、監督管理、法律責任等層面共計32次提到重要數據。

專設第四章“重要數據安全”，從數據安全管理機構職責和責任人要求、重要數據處理者備案內容、數據安全培訓計劃、采購安全可信的網絡產品和服務、數據安全評估開展要求及報告內容、上報主管部門等細化重要數據的相關規定。

另外，也提到數據處理者應當按照網絡安全等級保護的要求，加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護，處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求，處理核心數據的系統依照有關規定從嚴保護。數據處理者應當使用密碼對重要數據和核心數據進行保護。（《網絡數據安全管理條例（征求意見稿）》第九條第二款、第三款）

然而，重要數據的定義、范圍和識別方法沒有定論，對重要數據的識別方法和途徑尚未形成實踐指引。2021年11月14日，國家互聯網信息辦公室對《網絡數據安全管理條例》公開征求意見，提出了重要數據的定義，并設立了一系列重要數據安全監管制度。這意味著，我國正在通過立法建立重要數據安全監管制度，重要數據處理者應履行一系列法定義務。因此，識別出什么是“重要數據”，成為我國數據安全工作中急迫需要解決的問題。

2.      什么是重要數據

《網絡數據安全管理條例（征求意見稿）》和國家標準《信息安全技術 重要數據識別指南》（征求意見稿）（以下簡稱《指南》）將重要數據定義為以電子方式存在的，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。值得注意的是，《指南》明確重要數據不包括國家秘密和個人信息，但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。重要數據不包括個人信息，主要是考慮到國家已通過專門立法對個人信息進行保護，且對個人信息的監管顆粒度已經非常細致。

3.      如何識別重要數據

首先，遵循識別重要數據的基本原則；其次，梳理重要數據的識別因素，具備以下表格中任一重要數據識別要素的都是重要數據；最后，落實重要數據的描述。

根據《網絡數據安全管理條例（征求意見稿）》要求，各地區、各部門將制定自己的重要數據識別細則，因此，《指南》必須通過原則性的、流程的方式，不能通過窮舉的方式深入到各地區、各部門的具體數據類別之中。目前，《指南》對重要數據識別取消了對重要數據的“特征”說明，因為這些特征依然不可避免地涉及行業分類，對各地方、各部門制定部門、本行業以及本系統、本領域的重要數據識別細則帶來了不必要的約束?！吨改稀肺諊鴥韧庵匾獢祿踩Ｗo經驗，參考 NIST SP 800-60《將信息和信息系統映射到安全類別的指南》、NIST SP 800-171《保護非聯邦系統和機構的受控非密信息》等國外指南，重點借鑒了美國國家標準和技術研究院（NIST）在2003年與國防部聯合制定并頒布的 NIST SP800-59《國家安全系統識別指南》。美國《國家安全系統識別指南》不是通過對國家安全系統進行細致分類，而是從其可能產生的影響角度描述其重要特征。

4.      總結

《指南》給出了識別重要數據的基本原則、考慮因素、流程以及重要數據描述格式。首先，《指南》能夠為各地區、各部門制定本地區、本部門以及相關行業、領域的重要數據具體目錄提供參考，為重要數據安全保護工作提供支撐，也可供各類組織在識別本組織重要數據時參考。其次，《指南》將為我國數據安全保護特別是重要數據安全管理工作提供基本依據，有助于防范數據安全重大風險、完善我國網絡安全頂層設計，具有重大社會效益。最后，有助于數據出境安全評估制度的科學實施，從而便利數據跨境流動、促進國際貿易，有利于經濟發展與國際合作。