GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》于2025年11月1日正式生效实施，重点是在解决敏感个人信息界定不清、合规义务落实困难等现实问题，对敏感个人信息的大类进行调整，比如“居民身份证照片”被单独列为敏感个人信息，而身份证、护照等证件的号码本身则不再一律视为敏感个人信息。

上个月，朋友公司花了整整半年时间推进的数据分类分级项目，最终被悄悄叫停了。

项目组的小伙伴们面面相觑，没人敢问为什么。但我心里清楚得很——这玩意儿从一开始就是个美丽的陷阱。

回想起来，我们都被“完美理论”绑架了

还记得三年前第一次听到数据分类分级这个概念时，我激动得不行。什么核心数据、重要数据、一般数据，分得清清楚楚；什么访问权限、加密等级、存储策略，设计得明明白白。

理论上完美无缺，实际上...哎。

我们花了两个月时间开会讨论分类标准。财务说客户信息是核心数据，技术说代码才是核心资产，业务说销售数据最重要。每次会议都是三小时起步，最后谁也说服不了谁。

你知道最搞笑的是什么吗？我们为了给“数据分类标准”这个文档定级，又开了一次分级讨论会。

现实比想象残酷得多

项目进行到第三个月，问题开始暴露：

• 数据太多了：光是用户表就有200多个字段，每个字段都要分级？开玩笑吧

• 边界太模糊：用户的手机号算敏感信息，那脱敏后的手机号算什么级别？

• 变化太频繁：业务迭代这么快，今天的一般数据明天可能就是核心数据了

最要命的是，分完级之后呢？

系统还是那个系统，权限还是那套权限，加密还是原来的加密。除了多了一堆标签和文档，啥也没变。

聪明人早就换思路了

前两天和一个大厂的朋友聊天，他告诉我一个秘密：

“我们去年也搞过数据分级，搞了半年发现根本落不了地。现在改成数据血缘追踪和动态权限管控了，效果好太多。”

这话点醒了我。我们一直在解决一个伪问题。

真正的数据安全不是靠提前分类，而是靠：

• 实时监控谁在访问什么数据，因为所有数据在背景条件成立的情况下，都是敏感数据

• 动态调整访问权限

• 自动识别异常行为

• 快速响应安全事件

分类分级？那是上个时代的思维了。

为什么大家还在坚持这条路？

说白了，惯性思维害死人。

监管要求数据分类？那就做个样子给他们看。领导觉得这个概念很先进？那就包装一个项目出来。咨询公司说这是最佳实践？那就花钱买个心安。

但是......

有几个人真正思考过，这套理论在自己公司到底适不适用？

我见过太多公司，花上百万做数据分级项目，最后就是多了几个Excel表格和一堆开不完的会。数据还是那些数据，风险还是那些风险。

那我们应该怎么办？

别再纠结什么核心数据、重要数据了。换个角度思考问题：

1. 关注数据流动，而不是数据本身

追踪数据从哪来、到哪去、谁在用，比给它贴标签有用多了。

2. 建立动态防护，而不是静态分级

根据访问行为实时调整安全策略，而不是一刀切的权限控制。

3. 投资检测能力，而不是分类能力

把钱花在异常检测、行为分析上，比花在开会讨论分级标准上划算。

4. 简化而不是复杂化

最好的安全策略是大家都能理解和执行的策略。

写在最后

我不是说数据安全不重要，恰恰相反，正因为它太重要了，我们才不能把时间浪费在这种形式主义上。

真正聪明的人，早就跳出了分类分级的思维陷阱，开始探索更实用的解决方案了。

你呢？还在为数据分级开会吗？还是已经找到了更好的路？

​

阅读原文：https://mp.weixin.qq.com/s/IT-9PP196tvAu3q1_KV7LQ