数据安全法对企业的影响——数据分类分级和重要数据出境

一、数据安全法——中国数据治理的宪法时刻

2025年9月1日，《中华人民共和国数据安全法》（DSL）正式施行。如果说《网络安全法》划定了网络空间运行的安全基线，《个人信息保护法》保护了个人对其信息的主体权利，那么《数据安全法》则从国家安全的宏观高度，建立了数据作为生产要素和战略资源的管理秩序。三部法律共同构成了中国数据治理的三大支柱，而DSL因其"国家视角"而对企业的影响最为深远。

DSL的核心逻辑可以从三个层面理解。第一层是数据分类分级——法律要求国家建立数据分类分级保护制度，而企业则必须对其处理的数据进行分类分级管理。这是数据安全治理的起点，没有分类分级就没有差异化的安全投入和精准的风险管控。第二层是重要数据和核心数据的特别保护——对于关乎国家安全、国民经济命脉、重大公共利益的数据，国家实行更加严格的管理制度，包括重要数据出境的安全评估和核心数据的额外保护措施。第三层是数据处理活动的全面监管——从数据收集、存储、使用、加工、传输、提供、公开到出境，全生命周期都在法律监管之下。

对于企业而言，DSL不是一部可以交给法务部门"研究研究就行"的法律——它的条款直接转化为对企业技术架构、管理制度和业务流程的硬性要求。本章围绕DSL中对企业影响最直接的两个领域——数据分类分级和重要数据出境——展开深度分析。

二、数据分类分级保护制度——企业必须建立的数据资产管理体系

DSL第二十一条明确规定，国家建立数据分类分级保护制度。这不仅是政府的制度设计，更是企业的法定义务。企业必须根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据进行分类分级管理。

企业在实施数据分类分级时，最大的困惑往往在于"分到什么粒度才够"。实践中，数据分类分级有三个层次。第一层次是业务分类——按照数据所属的业务领域进行分类，如客户数据、财务数据、研发数据、人力资源数据、运营数据等。业务分类的价值在于明确了每类数据的"所有权"——谁负责定义数据的级别、谁审批数据的访问、谁为数据的安全负责。第二层次是法律分级——按照DSL的框架确定数据属于一般数据、重要数据还是核心数据。法律分级的标准由国家各行业主管部门分别制定，企业不应自行判断，而应密切关注所在行业的配套规定。第三层次是安全控制映射——为每个级别数据设定对应的技术保护措施、访问控制策略、加密要求和审计标准。

企业面临的现实挑战是：正在征求意见的各行业"重要数据目录"对于大多数企业来说，并不是一个一目了然的Checklist。例如，"能源行业重要数据目录"中可能包括"区域级以上电网拓扑结构数据"和"重要能源基础设施的详细地理位置信息"——对于从事能源行业SaaS服务的企业来说，它们需要判断自己存储的客户数据中是否包含这些内容。这个判断过程不是纯技术问题，而是需要业务和技术团队共同参与的治理过程。

三、重要数据出境——安全评估不是一道选择题

DSL第三十一条规定，关键信息基础设施的运营者（CIIO）在境内运营中收集和产生的重要数据的出境安全管理，适用《网络安全法》的规定；其他数据处理者在境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。随后出台的《数据出境安全评估办法》和《促进和规范数据跨境流动规定》进一步完善了重要数据出境管理。一句话总结：如果企业处理的数据被认定为重要数据，那么这些数据的出境必须经过安全评估——这不是可选的，而是法定的。

企业在判断是否需要申报安全评估时，应遵循以下步骤。第一步，确认本企业是否被认定为CIIO。CIIO由行业主管部门根据业务的重要性和影响范围认定，金融、能源、交通、通信等关键行业的头部企业被认定的可能性较高。如果企业是CIIO，那么其向境外提供任何数据——不论是否被标记为重要数据——都可能触发安全评估义务。第二步，排查企业处理的数据中是否包含重要数据。重要数据的认定以行业主管部门发布的目录为准，而不是企业自行判断。如果企业不确定某类数据是否属于重要数据，标准做法是向行业主管部门咨询确认。

对于AI平台企业来说，重要数据出境还有一层特殊的含义。如果AI模型的训练数据、模型参数或推理结果中包含重要数据——例如，一个训练在能源行业数据上的AI模型，其权重参数可能已被重要数据"污染"——那么将模型部署到境外或允许境外用户使用该模型，是否构成重要数据出境？这是一个目前法律和学术层面仍在讨论的前沿问题。保守的做法是：如果训练数据中包含重要数据，那么模型本身也应按照重要数据的标准管理其跨境流动。

四、数据安全审查制度——国家安全视角下的企业数据并购

DSL第二十四条建立了数据安全审查制度——国家对影响或者可能影响国家安全的数据处理活动进行国家安全审查。这一制度在直接涉及数据资产的企业并购、上市和跨境交易中尤为关键。

数据安全审查的典型触发场景包括：外资企业收购持有关键数据资产的中国企业、中国企业向境外提供大量重要数据或敏感行业数据、关键领域的大规模数据融合和共享项目、数据处理者赴境外上市所涉及的数据安全问题。审查的核心关注点包括：数据处理活动是否可能对国家安全构成威胁、数据是否可能被外国政府或境外组织不当获取和利用、数据的规模和类型是否达到触发国家安全关切的门槛。

数据安全审查制度的实施给企业并购交易带来了新的不确定性和时间成本。传统并购的尽职调查关注法律、财务和业务层面，但现在数据资产的"安全属性"必须被纳入尽职调查的范围。收购方需要评估：目标公司持有哪些类型和规模的数据、这些数据是否属于重要数据或核心数据、数据处理活动是否符合DSL的要求、是否存在未被披露的数据安全事件、是否正在进行或需要申报数据出境安全评估。对于涉及跨境因素的并购交易，数据安全审查可能成为交易能否完成的关键条件之一。

五、数据处理者的法定安全义务——从制度到技术的全面要求

DSL第四章用了整整一章的篇幅规定了数据处理者的安全保护义务。这些义务不是可选的"最佳实践"，而是具有法律约束力的强制性要求，涵盖了制度建设、技术措施、人员管理和风险监测四大领域。

制度建设层面，企业必须建立健全全流程数据安全管理制度，包括数据分类分级制度、数据安全教育培训制度、数据安全事件应急预案和通报制度、数据安全风险评估和报告制度。制度的制定不能是"法务写好锁在柜子里"——必须在组织内部得到培训和执行，并有相应的考核机制确保落实。

技术措施层面，企业应采取技术手段保障数据安全。法律没有穷举具体的技术措施，但通过行业标准给出了方向：身份认证和访问控制、数据加密和脱敏、数据防泄漏（DLP）、操作审计和日志管理、异常行为监测和告警。特别值得注意的是，DSL要求数据处理者"组织开展数据安全教育培训"——这确保了安全意识不只是技术团队的功课，而是全员的基础素质。

人员管理层面，DSL提出了"数据安全负责人和重要数据的处理者应当明确数据安全负责人和管理机构"的要求。这意味着数据安全在企业内部需要一个明确的组织锚点——不能是"大家都有责任但没人真正负责"。数据安全负责人应具有足够的权限和独立性，能够直接向企业主要负责人报告。

风险监测层面，DSL要求数据处理者"加强风险监测，发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当按照规定及时告知用户并向有关主管部门报告"。再次印证了持续监控和快速响应的法定地位。

六、EIOS能力：数据安全法合规的智能化落地

DSL对企业的影响是全方位的，涉及制度、技术、人员和管理四个维度。宝软数字EIOS平台将这四个维度的要求转化为可执行、可度量和可持续改进的技术能力。

数据资产自动发现与分类是EIOS在DSL合规领域的基础能力。平台通过自动化的数据发现引擎建立企业数据资产全景地图，并通过AI驱动的分类推荐引擎为每项数据资产推荐初始的业务分类和法律分级。分类结果不是"一次性交付"——引擎持续运行，动态追踪数据分类的变化，确保分类标签始终反映数据的最新状态。

重要数据识别与监控是第二个核心能力。EIOS内置了各行业已发布的重要数据目录规则库，能够自动扫描企业数据环境，识别符合重要数据特征的数据集。对于已确认的重要数据存储，平台实施增强的访问控制和操作审计，所有对重要数据的访问和操作都记录在不可篡改的审计日志中。

数据出境合规监控是第三个关键能力——在本文第二部分已有详述。EIOS平台将DSL的数据出境要求与《数据出境安全评估办法》等配套规则整合为统一的合规监控体系，为企业提供从出境发现到路径判定到合规监控的端到端能力。