InchStack 和 Airflow、BI、DBA 工具或传统 ETL 有什么不同？

InchStack 不同于 Airflow、BI、DBA 工具或传统 ETL，更关注可复查的数据交付闭环，把业务问题、治理口径、模型建议、人工审批、质量验证、交付证据和回执组织到同一条可控链路中。

产品下载是否收费？

产品可在注册登录后免费下载。应用内 AI 任务、模型调用或高成本处理按账户余额或订阅权益消耗。

充值和订阅权益如何计费？

账户充值以人民币计量，可用于盈尺旗下应用内任务消耗。订阅权益按月提供使用额度，常规任务优先使用 DeepSeek Flash，高成本模型和长上下文按倍率扣减；用户应先登录 Surinch 账号再充值、开通订阅或预约服务。企业服务、私有化、培训、交付和运维按专业责任单独确认，支持微信支付、支付宝和对公转账。

私有化部署、发票、退款和 SLA 如何处理？

私有化部署、合同、发票、退款、SLA、安全审查和定制报价需要人工确认。服务预约后可通过微信支付、支付宝或对公转账付款；官网售前助手只提供公开政策范围内的初步说明，不构成正式承诺。

数据分类分级落地：企业数据安全的合规第一步

数据分类分级的合规现实

5000万

个人信息保护法最高罚款

来源：《个人信息保护法》

1000万

网络数据安全条例最高罚款

来源：《网络数据安全管理条例》

6个月+

日志留存法定最低期限

网络日志与个人信息处理记录

数据分类分级已从"可选项"变为"必选项"。监管检查越来越频繁，处罚力度越来越大，而分类分级正是所有数据安全义务的起点和基石。

一、法规与政策背景

近年来，我国密集出台数据安全相关法律法规，形成了以"一法一条例一标准"为核心的监管体系。数据分类分级不再是企业的自愿行为，而是法定的基础性义务，直接决定企业能否通过等保、密评、行业准入等合规评估。

《数据安全法》

2021

国家建立数据分类分级保护制度，对数据实行分类分级保护

适用范围：所有开展数据处理活动的组织

罚则：拒不改正最高可处10万元以上100万元以下罚款

《个人信息保护法》

2021

对个人信息实行分类管理，采取相应的加密、去标识化等安全技术措施

适用范围：处理自然人个人信息的组织

罚则：违法所得1倍以上10倍以下或5000万元以下罚款

GB/T 35273

2020修订

《个人信息安全规范》明确个人敏感信息识别与分级保护要求

适用范围：个人信息处理活动的安全管理参考标准

罚则：推荐性国标，违规将影响合规评估和行业准入

《网络数据安全管理条例》

2024

数据处理者应建立网络数据安全管理制度，对数据进行分类分级管理

适用范围：在中华人民共和国境内利用网络开展数据处理活动

罚则：最高可处1000万元以下罚款，并可责令停业整顿

行业监管规定

持续更新

金融、电信、能源、医疗等行业发布本行业数据分类分级指引

适用范围：关键信息基础设施运营者及行业重点企业

罚则：行业准入受限、监管通报、限期整改

二、合规要求逐条拆解：分类与分级

数据分类分级包含两个独立但相关的维度：分类按"是什么业务的数据"进行归类，分级按"泄露后有多大危害"划分级别。两者结合才能形成完整的数据安全防护策略。

分类

Classification

根据数据所归属的业务领域或数据资产属性进行归类。例如客户域、订单域、财务域、人力域、生产域等。

判定依据：按业务域 / 数据资产属性

核心问题：回答"这是什么业务的数据"

客户基本信息交易订单数据财务流水员工档案产品库存

三、企业落地六步法

数据分类分级落地是一个系统工程，不是一次性的文档工作。以下六步法是经过多家企业实践验证的可执行路径。

成立数据治理组织

2-4周

明确数据安全管理责任主体，建立跨部门数据治理委员会，指定首席数据官或数据安全负责人

明确数据安全负责人（通常由CISO或CIO担任）

组建数据治理委员会，涵盖业务、IT、法务、合规

明确各部门数据管理职责和审批权限

数据资产盘点

4-8周

全面梳理企业数据资产，建立数据资产目录，识别数据来源、存储位置、流转链路

扫描数据库、文件存储、SaaS应用等数据载体

记录数据字段、数据量、访问频次、使用部门

绘制数据流转图，标注数据采集、存储、使用、共享、销毁环节

制定分类分级标准

3-6周

结合行业指引和企业实际，制定可落地的数据分类分级规范，明确分类维度和分级判定条件

参照GB/T 35273和行业指引制定分类框架

明确每一级数据的判定条件和示例

发布《数据分类分级管理办法》并组织培训

数据标注与打标

6-12周

根据分类分级标准对盘点出的数据资产进行标注，形成数据资产分级清单

为每个数据表、字段打上分类分级标签

对存量和新增数据分别制定标注计划

建立分级清单的版本管理和变更审批机制

实施差异化防护

8-16周

根据数据级别落实差异化的安全防护措施，包括访问控制、加密、审计、脱敏、出境管控

按级别配置访问权限和加密策略

部署数据脱敏、防泄漏（DLP）等技术手段

建立数据出境安全评估和审批流程

持续运营与评审

持续进行

建立常态化的数据分类分级运营机制，定期评审、动态调整，确保数据资产清单与业务同步

每季度或半年开展一次数据资产复审

对新增业务系统实施分类分级准入审核

建立自动化巡检机制，发现分级缺失或配置偏差

四、常见踩坑与规避方案

根据我们对多家企业的调研，数据分类分级落地过程中存在六个高频踩坑点。提前识别并规避，可大幅提升落地成功率。

把分类分级做成一次性项目

症状做完报告就束之高阁，业务变化后分级清单完全失效

后果新增敏感数据未被识别，合规审计时出现重大盲区

对策建立持续运营机制，将分类分级纳入数据资产全生命周期管理

分级标准照搬照抄

症状直接套用国标或行业模板，不考虑企业业务实际

后果业务部门无法理解、无法执行，标准沦为纸面文件

对策结合企业业务场景定制判定条件和示例，让业务部门看得懂、用得上

只分级不防护

症状完成分级清单就认为合规完成，不落实差异化防护措施

后果监管检查时发现"有标准无执行"，被认定为形式合规

对策分级是手段，防护是目的，必须同步推进技术控制落地

忽视个人敏感信息识别

症状只关注业务数据分级，遗漏身份证号、银行卡号等个人敏感信息

后果触发《个人信息保护法》高罚则条款，单次违规可达5000万元

对策结合GB/T 35273建立个人敏感信息自动识别规则，重点标注

业务部门参与不足

症状IT或安全部门单打独斗，业务部门不配合或不提供业务语义

后果分类维度错误，分级判断失准，数据资产目录与业务脱节

对策由业务部门主导数据业务分类，安全部门主导敏感度分级

忽视数据出境场景

症状未识别跨境传输数据，未开展数据出境安全评估

后果违反《数据出境安全评估办法》，面临业务暂停和处罚

对策在分级流程中加入"是否出境"判定，提前进行出境申报

五、InchStack 合规与国产化能力

InchStack 是面向信创场景的新一代企业数据平台，内置数据分类分级、脱敏、审计等安全能力，全面适配国产操作系统和数据库，帮助企业高效满足《数据安全法》《个人信息保护法》等法规要求。

全栈国产化适配

兼容麒麟、统信UOS等国产操作系统，支持达梦、人大金仓、OceanBase等国产数据库

内置数据安全策略

内置数据分类分级、数据脱敏、访问审计、数据出境管控等安全能力，开箱即用

AI Agent 自动分级

AI Agent 自动识别敏感数据字段并推荐分级标签，将人工标注工作量示例估算降低70%以上

等保2.0与密评支持

满足等保2.0三级要求，支持国密算法（SM2/SM3/SM4），通过商用密码应用安全性评估

数据流转全程留痕

记录数据采集、存储、加工、共享、销毁全链路日志，满足合规审计和溯源需求

本地化私有部署

支持完全私有化部署，数据不出企业边界，满足关键信息基础设施和行业监管要求

AI Agent 自动化分级能力

敏感数据自动识别

基于正则、词典、机器学习模型自动识别身份证号、银行卡号、手机号、邮箱等个人敏感信息字段

识别准确率示例估算可达95%以上

数据资产自动盘点

自动扫描数据库、数仓、对象存储、数据湖，生成数据资产目录并持续更新

盘点效率示例估算较人工提升10倍以上

分级标签自动打标

根据预设规则对识别出的数据字段自动打上分类分级标签，生成分级清单

打标速度示例估算可在数小时内完成百万字段

分级偏差自动告警

持续监控数据访问和流转，对分级缺失、防护配置偏差实时告警

巡检覆盖率示例估算可达100%

六、数据分类分级落地自检清单

使用这份清单评估企业数据分类分级的落地进度。每个类别中的问题如果答案是否定的，说明存在相应的合规风险。命中3个以上未达标项建议尽快启动专项整改。

组织治理(3项)

是否已明确企业数据安全负责人？
是否建立跨部门数据治理委员会并定期召开会议？
是否明确各部门数据管理职责并纳入考核？

资产盘点(3项)

是否完成全企业数据资产盘点并形成目录？
数据资产目录是否覆盖结构化与非结构化数据？
数据资产目录是否与业务系统保持同步更新？

分类分级(3项)

是否发布《数据分类分级管理办法》？
分级标准是否参照GB/T 35273及行业指引？
是否对个人敏感信息进行专项识别与标注？

差异化防护(3项)

是否对不同级别数据实施差异化访问控制？
是否对重要及以上数据实施加密存储和传输？
是否部署数据脱敏和防泄漏技术措施？

合规审计(3项)

是否保留数据访问日志至少6个月？
是否定期开展数据安全合规内部审计？
是否完成数据出境安全评估（如适用）？

持续运营(3项)

是否建立数据资产分级定期复审机制？
是否对新上线业务系统实施分级准入？
是否具备自动化分级巡检与告警能力？

自检结果解读：未达标项少于2个，落地基本到位；3-6个未达标，存在明显合规风险，建议3个月内完成整改； 6个以上未达标，面临监管处罚风险，建议立即启动专项治理并寻求专业支持。

实战案例：某金融机构的合规整改

某金融机构因监管检查被通报数据分类分级不达标，限期3个月完成整改。传统人工方式难以在期限内完成，通过引入 InchStack 的 AI Agent 自动化分级能力，在6周内完成全量数据资产盘点与分级落地。（案例数据为示例估算，非真实公司披露信息）

整改前困境

• 某金融机构数据分散在30+系统，敏感数据字段清单长期缺失
• 人工盘点耗时12个月，覆盖率仅约40%，遗漏大量个人敏感信息
• 监管检查被通报，要求限期3个月完成整改，面临高额罚单风险
• 数据出境场景未识别，跨境调用敏感数据未做安全评估

整改后成果

• 引入 InchStack Agent 自动识别，6周完成全量数据资产盘点
• AI 自动识别敏感字段，覆盖率示例估算提升至98%以上
• 分级清单动态更新，监管复检顺利通过，整改按时完成
• 建立数据出境管控流程，跨境调用全部纳入安全评估

资产盘点覆盖率

40%98%+

盘点周期

12个月6周

敏感字段识别准确率

约60%95%+

人工标注工作量

100%减少70%+

你的企业是否已通过数据分类分级合规检查？

立即使用本文自检清单评估合规状况，InchStack 团队提供免费的数据安全合规诊断咨询，帮助你高效完成分类分级落地。

了解 InchStack 合规能力申请免费合规诊断

需要更多合规与数据治理资源？

浏览企业（B2B）数据治理与国产化资源库

浏览 B2B 资源库

常见问题解答

数据分类和数据分级有什么区别？

数据分类是按业务域或数据属性进行归类（如客户域、订单域、财务域），回答"这是什么业务的数据"；数据分级是按敏感度和泄露影响程度划分级别（如一般数据、重要数据、核心数据、个人敏感信息），回答"泄露了有多大危害"。分类解决"归属"问题，分级解决"防护力度"问题，两者结合才能形成完整的数据安全策略。

GB/T 35273 在数据分类分级中起什么作用？

GB/T 35273《信息安全技术个人信息安全规范》是企业识别个人敏感信息的重要参考标准。它明确了个人敏感信息的范围（如身份证号、银行卡号、生物识别信息等）和处理要求，为企业制定数据分级标准、识别L2及以上敏感数据提供权威依据。虽然是推荐性国标，但在个人信息保护合规评估中被广泛引用。

数据分类分级落地一般需要多长时间？

取决于企业数据规模和业务复杂度。中小型企业（数据源50个以内）通常3-6个月可完成首版分类分级落地；大型企业（数据源数百个、多业务线）通常需要6-12个月，且需要借助自动化工具加速资产盘点和打标。建议采取"分批次、分业务域"的方式，先在高风险业务线试点，再逐步推广。

InchStack 如何帮助企业实现数据分类分级？

InchStack 在三方面提供支持：1）AI Agent 自动识别敏感数据字段并推荐分级标签，将人工标注工作量示例估算降低70%以上；2）内置数据分类分级、数据脱敏、访问审计、数据出境管控等安全能力，开箱即用；3）兼容国产操作系统和数据库，支持国密算法，满足等保2.0和密评要求，适配信创场景下的合规需求。

数据分类分级必须用自动化工具吗？

不是强制要求，但强烈建议。当数据字段规模超过数千个时，人工盘点和标注的效率和准确率都难以保障，且难以持续更新。自动化工具可以在数小时内完成百万字段的扫描和打标，并持续监控分级配置偏差。对于关键信息基础设施运营者、处理大量个人信息的企业，自动化工具已成为合规落地的必备能力。

数据出境场景下，分类分级有什么特殊要求？

数据出境必须先完成分类分级。根据《数据出境安全评估办法》，重要数据出境必须申报安全评估；处理100万人以上个人信息的数据出境也需申报评估。在分类分级流程中应加入"是否涉及出境"的判定字段，对出境数据重点标注，并提前准备数据出境风险自评估报告，避免因流程遗漏导致业务暂停。

信创环境下的数据分类分级有哪些注意事项？

信创环境下需重点关注三点：1）选用的数据平台必须适配国产操作系统（麒麟、统信UOS）和数据库（达梦、人大金威、OceanBase等）；2）加密算法应优先使用国密算法（SM2/SM3/SM4），满足商用密码应用安全性评估要求；3）数据平台应满足等保2.0三级要求，并支持本地化私有部署，避免数据出域。InchStack已全面适配信创生态，可作为信创数据平台的首选方案。