··2024年11月7日，中国民用航空局（“民航局”）航空器适航审定司发布民航行业标准《民航领域数据分类分级要求（征求意见稿）》（以下简称“《要求》”），公开征求意见。

本文将从发布背景、主要内容、核心规则等方面对《要求》进行解读。

一、发布背景

2020年12月24日，民航局印发的《推动新型基础设施建设促进民航高质量发展实施意见》提出，要加强数据共享、数据安全、数权保护等规章制度研究建设，加大数据治理力度，形成数据分级分类管理机制，建立行业统一的、完善的规则和标准。

2021年12月24日，民航局印发的《“十四五”民用航空发展规划》提出，建立并完善民航网络分级分类管理办法，按数据安全敏感等级、开放范围等开展数据管理，制定数据共享机制、使用及管控要求。加强重要数据保护，防止泄露、损害、违法使用旅客个人信息。

2022年1月6日，民航局印发的《中国民用航空局关于印发智慧民航建设路线图》（2022年）提出，探索建立符合数据要素特点的制度体系，建立健全民航数据治理规范，编制民航数据中心建设运行管理办法、数据资源共享开放管理办法、数据资源分级分类方案、数据资源共享开放考核办法、数据安全保护等政策管理文件及技术标准，构建行业数据资源目录，支持民航大数据体系建设。

2022年10月9日，民航局印发的《关于民航大数据建设发展的指导意见》提出，到2025年（三步走第一阶段：夯实基础阶段），民航大数据数字化、标准化、资源化发展初见成效，建立统一的行业数据资源目录，实现行业数据分类分级治理，数据质量明显提升。建立民航数据分类分级保护制度，加强数据安全管理。

2023年6月14日，民航局印发的《智慧民航建设数据管理政策标准体系》（“《体系》”）构建了"1+3+4+N"智慧民航数据管理政策标准总体框架，即1部指导意见[1]、3部管理办法、4项制度、N部细则。1部指导意见为《关于民航大数据建设发展的指导意见》，3部管理办法为《民航数据管理办法》《民航数据共享管理办法》《民航数据安全管理办法》[2]，4项制度为《民航领域数据分类分级办法》[3]《民航数据目录管理制度》《民航数据安全信息通报办法》《民航数据全生命周期管理制度》。同时，《体系》还提出了69项智慧民航数据管理政策标准明细，包括行业通用级政策标准25项，业务领域级政策标准44项。

《要求》是《体系》中所提及的25项行业通用级标准之一（标准制定优先级：★★★），该标准的编制、发布及实施将为行业各主体单位开展民航领域一般数据、重要数据、核心数据的分类分级提供指导与参考。

二、内容概览

《要求》全文包括七个章节正文和四个附录。其中：

第1、2、3章，为标准的常规性描述，包括范围、规范性引用文件、术语和定义。

第4章规定了民航领域数据分类分级的基本原则；

第5章明确了数据分类的维度、方法和步骤；

第6章对数据分级规则进行描述；

第7章对民航领域数据分类分级的实施流程进行描述。

三、核心规则

（一）适用范围及术语定义

《要求》明确民航领域数据是指以电子或者其他方式在行业发展、监管执法、政务管理、生产运行、服务保障等过程中产生的，或通过收集、监测等方式获取的，用于民航业务活动的原始及其衍生业务数据。

《要求》民航领域数据处理者是指对民航领域数据开展收集、存储、使用、加工、传输、提供、公开、销毁等数据处理活动的组织或者个人。

同时，《要求》明确民航领域数据级别从高到低可分为核心数据、重要数据、一般数据三个级别。

解读与点评：

1. 《要求》不适用于涉及国家秘密的民航领域数据。

2. “个人信息”“敏感个人信息”“衍生数据”的定义延续国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》相关内容。

3. “民航数据”延续《民航数据管理办法》[4]《民航领域数据分类分级办法》[5]中关于民航数据的表述。

4. 与《民航领域数据分类分级办法》不同，《要求》没有将“处理民航领域数据的民航局机关相关部门”在“民航领域数据处理者”的定义中单独体现。

5. 延续《民航领域数据分类分级办法》，将超过1亿人的旅客数据界定为“核心数据”。将民用航空器事故相关的飞行数据记录器数据、驾驶舱语音记录器数据、航空器健康状况监测数据，以及超过100万人的旅客数据界定为“重要数据”。

（二）明确民航领域数据分类分级的原则

《要求》以国家数据分类分级保护要求为基础，构建适用于民航领域数据分类分级的“五原则”，即科学实用原则、边界清晰原则、就高从严原则、点面结合原则、动态更新原则。

解读与点评:

《要求》关于“数据分类分级的原则”完全照搬国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》相关内容，没有新的表述。

（三）明确民航领域数据的分类规则

《要求》对数据分类规则进行描述，明确了数据分类的维度、方法和步骤。

首先，数据分类的维度主要包括业务应用维度、数据管理维度和数据对象维度。业务应用维度以数据服务的具体业务为分类依据，分为业务领域、责任部门、上下游环节、数据主题、数据用途、数据来源、数据使用频率等；数据管理维度和数据对象维度则分别从元数据和数据描述主体角度进行分类[6]。

其次，数据分类方法应优先选择业务应用维度对数据进行分类。结合所属业务领域，将民航领域数据分为宏观调控数据、安全监管数据、市场管理数据、航空安全保卫数据、生产运行数据、航空服务数据、机场工程数据、空中交通管理数据、其他数据九个一级类别域。在此基础上，按照数据主题的不同，对一级类别域进行二级类别域划分，并将个人信息单独识别和归类。

最后，《要求》规定了数据分类的“四步走”，具体包括：

a）按照业务主管（监管）部门要求，明确本单位处理的民航领域数据范围；

b）按照所属业务领域的不同，对民航领域数据进行一级类别域划分，将难以界定业务领域的数据归为其他域；

c）按照数据管理需求、数据主体的不同，对民航领域一级类别域数据进行二级类别域划分，将难以界定业务领域的数据归为对应一级域内其他数据域；

d）民航领域数据处理者可根据《要求》5.3条的要求，对数据类别进一步细分，结合管理需求和实际情况，划分三级及以下数据类别。

解读与点评：

1. 《要求》延续《民航领域数据分类分级办法》，将民航领域数据按照一级类别分为宏观调控数据、安全监管数据、市场管理数据、航空安全保卫数据、生产运行数据、航空服务数据、机场工程数据、空中交通管理数据、其他数据[7]九个域，体现了民航领域的特色。

2. 数据分类是做好数据资产管理的第一要务，大范围内的数据分类是一个很复杂的问题，甚至可能涉及知识分类的问题。需要注意的是，数据分类一定是以各种各样的方式并存的，不存在唯一的分类方式，分类方法的采用因管理主体、管理目的、分类属性或维度的不同而不同。

3. 实务中，从一级类别的视角，可能会存在有些数据无法分到一个分类下，而有些数据又同属于两个分类的情况，这有赖于数据处理者构建更为结构化、规范化的二级、三级分类。

（四）明确民航领域数据的分级规则

按照《要求》，民航领域数据分级采取定量与定性相结合的方式，首先确定分级对象[8]，其次识别分级要素，再次展开数据影响分析，最终确定数据级别，并基于数据重要程度和可能造成的危害程度的变化对级别进行动态更新。

《要求》明确影响民航领域数据分级的要素主要包括群体、区域、重要性、精度、规模、覆盖度、深度等。其中，群体、区域、重要性属于定性的分级要素；精度、规模、覆盖度属于定量的分级要素；深度通常作为衍生数据的分级要素。

《要求》释明数据影响分析主要在于结合数据分级要素的识别情况，分析并综合判定数据一旦遭到泄露、篡改、损毁或者非法使用，可能造成的影响程度。其中，影响对象主要包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益；影响程度从高到低可分为严重危害、一般危害、轻微危害、无危害。

基于前述级别要素的影响分析，将“数据一旦遭到泄露、篡改、损毁或者非法使用，可能直接对国家安全造成严重危害或一般危害，或可能直接对经济运行、社会秩序、公共利益造成严重危害”的数据确定为核心数据；将“数据一旦遭到泄露、篡改、损毁或者非法使用，可能直接对国家安全造成轻微危害，或可能直接对经济运行、社会秩序、公共利益造成一般危害”的数据确定为重要数据；同时，将没有被确定为核心数据、重要数据的其他数据确定为一般数据。

解读与点评：

1. 《要求》延续目前上位法规《数据安全法》及国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》通行的一般、重要、核心的三级分级模式。

2. 需要注意的是，太过简单的分级会使得安全合规管控难以准确地落地，而过多的分级会给数据的高效应用带来困难。实务中应避免照搬照抄三级分级模式，以避免削弱对数据重要性的衡量粒度和量化能力。同时，也应避免使用过于复杂或太过随意的数据分级方法。

3. 实务中，可参考的最佳的数据分级实践是将数据按照敏感程度或受影响的程度划分成3~5个等级，民航领域可进一步参考金融、工业、电信、医疗和汽车等行业已出台的针对性的数据分类分级指南或技术规范。

（五）民航领域数据分类分级的具体流程

《要求》主要从建立组织保障、数据梳理、数据分类、数据分级、审核上报、动态更新管理六个环节，对开展数据分类分级的流程进行了详细规定。

在数据分类分级的组织保障方面，要求民航行业各单位明确本机构数据分类分级工作的领导组织，建立工作机制，并建立数据分类分级工作小组，明确管理、执行、监督人员及分工情况。

数据分类分级中的数据梳理要求“全面性”，即包括在生产、开发、测试、科研等过程中产生的各类数据。民航领域数据处理者需遵循“完整性、安全性、合规性、一致性”基本原则，根据数据形成民航领域数据资源清单，清单内容应包括数据名称、数据类别、数据载体、数据来源、数据处理者、信息系统名称等。

此外，数据审核上报应遵循民用航空局安全管理要求，对数据进行分类分级标识，定期上报各业务领域民航领域数据资源信息表。同时，基于合规性要求，对数据分类分级规则进行动态更新管理，重新发起分类分级实施流程，梳理并上报民航领域数据资源信息表。

解读与点评：

1. 《要求》从建立组织保障、数据梳理、数据分类、数据分级、审核上报、动态更新管理等六个环节实施数据分类分级，而实务中，数据分级分类的前期规划意义更加重大。

2. 数据处理者需时刻注意，数据分级分类的核心在于明确区分数据的重要性和敏感性，确保针对性保护措施的有效实施。同时，数据分类分级是一个持续的过程，而不是一次性的任务。因此，数据处理者需要定期评估和调整数据的分类和等级，了解自身数据分类分级工作开展是否能够满足合规需求和发展需要，以更好地适应企业业务的变化，并最终实现数据始终得到合适保护的目标。

四、结语

民航领域具有运行主体众多、业务流程复杂、业务的连续性与安全性要求高等特征。数字化时代下，民航领域数据需要在各运行主体和服务保障单位的平台系统间持续流转。《要求》的发布有助于推进我国民航业数据分级分类，建立更精细的数据安全管理体系，提高数据的安全性和隐私保护水平，同时有利于民航企事业单位更科学地分配安全管理资源，提高数据安全管理的效能，为整个民航数据安全体系的可持续发展提供有力支持。

特别声明：

大成律师事务所严格遵守对客户的信息保护义务，本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考，不代表大成律师事务所任何立场，亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源。未经授权，不得转载或使用该等文章中的任何内容。

— 往期推荐 —

1. 张建民：以授权运营促开发利用——《公共数据资源授权运营实施规范（试行）》（公开征求意见稿）之解读

本文作者

相关标签：