免费精品美女久久丨操美女免费网站丨免费国产网站丨国产精品久久免费视频丨国产视频网丨日韩视频一区丨国产精品久久人人看丨久久国内精品 GB/T43697-2024數據安全技術數據分類分級規則

本文件按照GB/T1.1-2020《標準化工作導則第1部分:標準化文件的結構和起草規則》的規 定 起草 。 請注意本文件的某些內容可能涉及專利。

本文件的發布機構不承擔識別專利的責任 。

本文件由全國網絡安全標準化技術委員會(SAC/TC260) 提出并歸口。

本文件起草單位:中國電子技術標準化研究院、中國科學技術大學、國家計算機網絡應急技術處理協調中心、 國家信息技術安全研究中心 、中國信息安全測評中心,中國網絡空間研究院、 中國網絡安全審查技術與認證中心 、國家工業信息安全發展研究中心、國家信息中心、北京市政務信息安全保障中心(北京信息安全測評中心)、公安部第三研究所、中國信息通信研究院、清華大學、中國人民公安大學、中國科 學院軟件研究所、交通運輸部科學研究院、杭州安恒信息技術股份有限公司、三六零數字安全科技集團有限公司、北京抖音信息服務有限公司、北京快手科技有限公司、中國核能行業協會、中國石油化工集團有限公司、中國銀聯股份有限公司、中國郵政儲蓄銀行股份有限公司、阿里巴巴(北京)軟件服務有限公司、螞蟻科技集團股份有限公司、華為技術有限公司、北京百度網訊科技有限公司、中國移動通信集團有限公司、中國電信集團有限公司、北京愛奇藝科技有限公司、數庫(上海)科技有限公司、北京奇虎科技有限公司、深信服科技股份有限公司、啟明星辰信息技術集團股份有限公司、奇安信科技集團股份有限公司。

本文件主要起草人:姚相振、左曉棟、胡影、周晨煒、吳夢婷、陳琦、周亞超、上官曉麗、盧磊、任英杰、陳特、晏慧、楊晨、楊曉偉、李文婷、卓子寒、邢瀟、楊韜、李敏、段靜輝、許靜慧、李媛、任衛紅、金波、胡振泉、耿貴寧、單博深、許皖秀、張敏、晏敏、都婧、楊光、姜偉、楊帥鋒、孫巖、劉蓓、郭明多、張夕夜、曹京、蘆天亮、楊驍涵、楊博龍、落紅衛、王昕、郝春亮、朱雪峰、沙睿、蔣楠、郭延玲、劉磊、田鑫、張放、朱晨紅、彭駿濤、 孫勇、白曉媛、彭晉,常新苗、李實、王海棠、鐘舒翔、張驍、張妍婷、江為強、范東媛、楊立寶、許琛超、樊慶君、 張宇光、藍宇娜、張屹、陸忠明、葉潤國、宋博韜、姚卓、宋曉鵬、劉前偉、安錦程。

2021年9月1日,中華人民共和國數據安全法正式施行,明確規定“國家建立數據分類分級保護 制度”,提出“根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、損毀、泄露或者非法獲取、非 法使用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護”。開展數據分類分級保護工作,首先需要對數據進行分類分級,識別涉及的重要數據和核心數據,然后建立相應的數據安全保護措施。

本文件在國家數據安全工作協調機制指導下,根據《中華人民共和國數據安全法X中華人民共和國網絡安全法叉中華人民共和國個人信息保護法及有關規定,給出了數據分類分級的通用規則,用于指導各行業領域、各地區、各部門和數據處理者開展數據分類分級工作。

本文件規定了數據分類分級的原則、框架、方法和流程,給出了重要數據識別指南。

本文件適用于行業領域主管(監管)部門參考制定本行業本領域的數據分類分級標準規范,也適 用

于各地區、各部門開展數據分類分級工作,同時為數據處理者進行數據分類分級提供參考 。

本文件不適用于涉及國家秘密的數據和軍事數據 。

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中,注日期的引用文 件,僅該日期對應的 GB/T 43697=2024

版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于 本文件GB T250692022 信息安全技術術 語

GB/T250692022界定的以及下列術語和定義適用于本文 件

3.1 數據 data

任何以電子或者其他方式對信息的記錄 。

3.2 重要數據 key data

特定領域、特定群體、特定區域或達到一定精度和規模的,一旦被泄露或篡改、損毀,可能直接危 害

國家安全、經濟運行、社會穩定、公共健康和安全的數據

注:僅影響組織自身或公民個體的數據一般不作為重要數 據

3.3 核心數據core data

對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的,一旦被非法使用或共

享,可能直接影響政治安全的重要數據

注:核心數據主要包括關系國家安全重點領域的數據,關系國民經濟命脈、重要民生、重大公共利益的數據,經國 家

有關部門評估確定的其他數 據

3.4 一般數據 general data

核心數據、重要數據之外的其他數據 。

3.5 個人信息 personal information

以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。

3.6 敏感個人信息 sensitivepersonal information

一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身財產安全受到危害的個人信息 。

3.7 行業領域數據 industrysector data

在某個行業領域內依法履行工作職責或開展業務活動中收集和產生的數據。

3.8 公共數據 public data

各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位,在依法履行公共事務管理職責

或提供公共服務過程中收集、產生的數據

3.9 組織數據 organization data

組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據 。

3.10 衍生數據 derived data

經過統計、關聯、挖掘、聚合、去標識化等加工活動而產生的數 據

3.11 數據處理者 data processor

在數據處理活動中自主決定處理目的、處理方式的組織、個 人

遵循國家數據分類分級保護要求,按照數據所屬行業領域進行分類分級管理,依據以下原則對數 據 進行分類分 級

a)科學實用原則:

從便于數據管理和使用的角度,科學選擇常見、穩定的屬性或特征作為數據 分 類的依據,并結合實際需要對數據進行細化分類

b) 邊界清晰原則:數據分級的各級別邊界清晰,對不同級別的數據采取相應的保護措施 。

C)就高從嚴原則:采用就高不就低的原則確定數據級別,當多個因素可能影響數據分級時,按 照 可能造成的各個影響對象的最高影響程度確定數據級 別

d) 點面結合原則:數據分級既要考慮單項數據分級,也要充分考慮多個領域、群體或區域的數 據 匯聚融合后的安全影響,綜合確定數據級別 。

e) 動態更新原則:根據數據的業務屬性、重要性和可能造成的危害程度的變化,對數據分類分級、重要數據目錄等進行定期審核更新。

5.1 數據分類框架

數據按照先行業領域分類、再業務屬性分類的思路進行分 類

a) 按照行業領域,將數據分為工業數據、電信數據、金融數據、能源數據、交通運輸數據、自然資源

數據、衛生健康數據、教育數據、科學數據等 。

b) 各行業各領域主管(監管)部門根據本行業本領域業務屬性,對本行業領域數據進行細化分類 。

常見業務屬性包括但不限于 :

1)業務領域:按照業務范圍、業務種類或業務功能進行細化分類 ;

2)責任部門:按照數據管理部門或職責分工進行細化分類 ;

3)描述對象:按照數據描述的對象進行細化分類 ;

注1:按照描述對象分為用戶數據、業務數據、經營管理數據、系統運維數據,見附錄A的 A.1

4)流程環節;按照業務流程、產業鏈環節進行細化分類 ;

注2: 能源數據按照流程環節分為探勘、開采、生產、加工、銷售、使用等數據

5)數據主體:按照數據主體或屬主進行細化分類 ;

注3:按照數據主體分為公共數據、組織數據、個人信息,見 A.2

6)內容主題:按照數據描述的內容主題進行細化分類;

7)數據用途:按照數據處理目的、用途進行細化分類 ;

8)數據處理;按照數據處理活動或數據加工程度進行細化分類 ;

9)數據來源:按照數據來源、收集方式進行細化分類 。

C) 如涉及法律法規有專門管理要求的數據類別(如個人信息等),應按照有關規定和標準進行 識 別和分類 。

注4:個人信息分類示例見附錄B,敏感個人信息識別和分類見敏感個人信息國家標 準

5.2 數據分類方法

數據分類可根據數據管理和使用需求,結合已有數據分類基礎,靈活選擇業務屬性將數據細化分類。具體參考以下步驟開展行業領域數據分類。

a) 明確數據范圍:按照行業領域主管(監管)部門職責,明確本行業本領域管理的數據范圍。

b) 細化業務分類;對本行業本領域業務進行細化分類,包括 :

1) 結合部門職責分工,明確行業領域或業務條線的分類 ;

注1: 工業領域數據,按照部門職責分成原材料、裝備制造、消費品、電子信息制造、軟件和信息技術服務 等類別

2) 按照業務范圍、運營模式、業務流程等,細化行業領域或明確各業務條線的關鍵業務分類。

注2: 原材料分為鋼鐵、有色金屬、石油化工等;裝備制造分為汽車,船舶、航空、航天、 工業母機 、工程機 械等。

c) 業務屬性分類:選擇合適的業務屬性,對關鍵業務的數據進行細化分類 。

d) 確定分類規則:梳理分析各關鍵業務的數據分類結果,根據行業領城數據管理和使用需求, 確 定行業領域數據分類規則,例如:

1) 可采取“業務條線關鍵業務一業務屬性分類”的方式給出數據分類規則。

注3:鋼鐵數據按照數據描述對象,分為用戶數據,業務數據、經營管理數據、系統運維數據等,業務數據細分為研發設計數據、控制信息、工藝參數等,其中研發設計數據類別能標識為“工業數據原材料數據鋼鐵數據業務數據研發設計數據”。

2) 也可對關鍵業務的數據分類結果進行歸類分析,將具有相似主題的數據子類進行歸類。

注4:工業領域數據也按照數據處理、流程環節等業務屬性進行分類,首先按照數據處理者類型分為工 業企業工業數據、平臺企業工業數據,再將工業企業工業數據分為研發數據、生產數據、運維數據、 管理數據、外部數據,然后按照數據主題將生產數據分為控制信息、工況狀態、工藝參數、系統日志等。

6.1 數據分級框架

根據數據在經濟社會發展中的重要程度,以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益造成的危害程度,將數據從高到低分為核心數據、重要數據、一般數據三個級別。

6.2 數據分級方法

數據分級是為了保護數據安全,具體可參考以下步驟進行數據分級 。

a)確定分級對象:確定待分級的數據,如數據項、數據集、衍生數據、跨行業領域數據等 。

注1:數據項通常表現為數據庫表某一列字段等。數據集是由多個數據記錄組成的集合,如數據庫表、數據 庫 一行或多行記錄集合、數據文件等 。

注2:跨行業領域數據是指某個行業領域收集或產生的數據流轉到另一個行業領域,以及兩個或兩個以上 行 業領城的數據融合加工產生的數 據

b)分級要素識別:結合自身數據特點,按照6.3識別數據涉及的分級要素情況 。

c)數據影響分析:結合數據分級要素識別情況,分析數據一旦遭到泄露、篡改、損毀或者非法 獲 取、非法使用、非法共享,可能影響的對象(見6.4.1)和影響程度(見 6.4.2)

d)綜合確定級別:按照6.5和6.6,綜合確定數據級別 。

6.3 數據分級要素

影響數據分級的要素,包括數據的領域、群體、區域、精度、規模、深度、覆蓋度、重要性等,其中領域、群體、區域、重要性通常屬于定性描述的分級要素,精度、規模、覆蓋度屬于定量描述的分級要素,深度通常作為衍生數據的分級要素。數據分級應首先識別以下數據分級要素情況,具體考慮因素見附錄C。

a) 領域;數據描述的業務或內容范疇。數據領域可識別數據描述的行業領域、業務條線、流程環

節、內容主題等因素 。

b) 群體:數據主體或描述對象集合。數據群體可識別數據描述的人群、組織、網絡和信息系統、資 源物資等因素。

c) 區域;數據涉及的地區范圍。數據區域可識別數據描述的行政區劃、特定地區等因素 。

d) 精度: 數據 的精確或準確程度。數據精度可識別數值精度、空間精度、時間精度等因素 。

e) 規模:數據規模及數據描述的對象范圍或能力大小。數據規模可識別數據存儲量、群體規模、

區域規模、 領域規模、生產加工能力等因素。

f) 深度;通過數據統計、關聯、挖掘或融合等加工處理,對數據描述對象的隱含信息或多維度細節 信息的刻畫程度。數據深度可識別數據在刻畫描述對象的經濟運行、發展態勢、行蹤軌跡、活動記錄、對象關系、歷史背景、產業供應鏈等方面的情況。

g) 覆蓋度:數據對領域、群體、區域時段等的覆蓋分布或疏密程度。數據覆蓋度可識別對領域 、 群體、區域時間段的覆蓋占比、覆蓋分布等因素。

h) 重要性 :數據在經濟社會發展中的重要程度。重要性可識別數據在經濟建設、政治建設、文 化 建設、社會建設、生態文明建設等方面的重要程度 。

6.4 數據影響分析

6.4.1影響對 象

影響對象是指數據面臨安全風險時,可能影響的對象。其中,安全風險主要考慮數據遭到泄露、篡改、損毀或者非法獲取、非法使用、非法 共享等風險,見附錄D 。影響對象通常包括國家安全、經濟運行、 社會秩序、公共利益、組織權益、個人權益,判斷影響對象的常見考慮因素見附錄E。

a)國家安全:影響國家政治、國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態、資源、核、

海外利益、太空、極地、深海、生物、人工智能等國家利益安全 。

b)經濟運行:影響市場經濟運行秩序、宏觀經濟形勢、國民經濟命脈、行業領域產業發展等經濟運

行機制 。

社會秩序:影響社會治安和公共安全、社會日常生活秩序、民生福祉、法治和倫理道德等社會秩序 。

c)公共利益:影響社會公眾使用公共服務、公共設施、公共資源或影響公共健康安全等公共利益 。

d)組織權益:影響組織自身或其他組織的生產運營、聲譽形象、公信力、知識產權等組織權益。

e)個人權益:影響自然人的人身權、財產權、隱私權、個人信息權益等個人權益 。

6.4.2影響程度

影響程度是指數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,可能造成的影響程度。影響程度從高到低可分為特別嚴重危害、嚴重危害、一般危害。對不同影響對象進行影響程度判 斷時,采取的基準不同。如果影響對象是國家安全、經濟運行、社會秩序或公共利益,則以國家、社會或 行業領域的整體利益作為判斷影響程度的基準。如果影響對象僅是組織或個人權益,則以組織或公民個人的權益作為判斷影響程度的基準。開展數據影響分析時,應按照以下規則確定影響程度,影響程度參考示例見附錄F。

a)當影響對象是國家安全時:

1) 如果直接影響政治安全,應將影響程度確定為特別嚴重危害 ;

2) 如果關系其他國家安全重點領域,應將影響程度確定為嚴重危害 :

3) 其他直接危害國家安全的情形,應將影響程度確定為一般危害 。

b)當影響對象是經濟運行時:

1) 如果關系國民經濟命脈,應將影響程度確定為特別嚴重危害 ;

2) 如果直接危害宏觀經濟運行,或對行業領域或地區的經濟發展造成嚴重危害,應將影響 程 度確定為嚴重危害 。

c)當影響對象是社會秩序時:

1) 如果關系重要民生,應將影響程度確定為特別嚴重危害 ;

2) 如果直接危害社會穩定,應將影響程度確定為嚴重危害

d)當影響對象是公共利益時:

1) 如果關系重大公共利益,應將影響程度確定為特別嚴重危害 ;

2) 如果直接危害公共健康和安全,應將影響程度確定為嚴重危害 。

a) 當影響對象是個人或組織權益時,如果影響大規模的個人或組織權益,需要同時研判是否會 對

國家安全、經濟運行、社會秩序或公共利益造成影響以及影響程度 。

6.5 級別確定規則

核心數據、重要數據、一般數據的確定規則如下,數據級別與影響對象、影響程度的對應關系見表1 。

a)滿足以下任一條件的數據,識別為核心數據 :

1) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對國家安全造 成 特別嚴重危害(如直接影響政治安全)或嚴重危害(如關系其他國家安全重點領域 ):

2) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對經濟運行造成 特別嚴重危害(如關系國民經濟命脈 );

3) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對社會秩序造 成 特別嚴重危害(如關系重要民生 );

4) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對公共利益造成 特別嚴重危害(如關系重大公共利益 );

5) 對領域、群體、區域具有較高覆蓋度,直接影響政治安全的重要數據 ;

6) 達到較高精度、較大規模、較高重要性或深度,直接影響政治安全的重要數據 ;

7) 經有關部門評估確定的核心數據 。

b) 滿足以下任一條件的數據,識別為重要數據:

1) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對國家安全造成 一般危害 ;

2) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對經濟運行造成 嚴重危害 ;

3) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對社會秩序造成 嚴重危害(如影響社會穩定 );

4) 數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對公共利益造成 嚴重危害(如危害公共健康和安全 );

5) 數據直接關系國家安全、經濟運行、社會穩定、公共健康和安全的特定領域、特定群體或 特 定區域 ;

6) 數據達到一定精度、規模、深度或重要性,直接影響國家安全、經濟運行、社會穩定、公共健 康和安全;

7) 經行業領域主管(監管)部門評估確定的重要數據。

c)未識別為核心數據、重要數據的其他數據,確定為一般數據。

表1 數據級別確定規則 表

6.6 綜合確定級 別

在分級要素識別、數據影響分析的基礎上,按照以下規則確定數據級別 。

a)應按照6.5 規定的數據級別確定規則,識別核心數據、重要數據和一般數據。

b) 重要數據的識別,在符合6.5b)的基礎上應按照附錄G 執行。

c)如待分級數據涉及多個要素、多個影響對象或影響程度,應按照就高從嚴原則確定數據級別 。

d)數據集級別可在數據項級別的基礎上,按照就高從嚴的原則,將數據集包含數據項的最高級 別 作為數據集默認級別,但同時也要考慮分級要素(如數據規模)變化可能需要調高級別。

注:數據集中各數據項級別與數據集級別不一定相同,其體要根據該數據項的影響對象和影響程度進行 判斷 。

e)在6.1規定的數據分級框架下,如還需對一般數據進行細化分級保護,可參考附錄H對一 般 數據進行分級

f)衍生數據級別可按照就高從嚴原則,在原始數據級別的基礎上,綜合考慮加工后的數據深度等分級要素對國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益的影響進行 確定,具體見附錄跨行業領域數據分級,原則上可按照數據來源的行業領域數據分級規則確定級別,如果存在 跨 行業領域數據融合加工,需考慮融合加工對數據分級要素的影響,按照衍生數據確定級別。

g)根據數據重要程度和可能造成的危害程度的變化,應對數據級別進行動態更新,更新情形見 附 錄J 。

7.1 行業領域數據分類分級流 程

行業領域主管(監管)部門在遵循國家有關規定要求的基礎上,可參考以下步驟開展行業領域數 據 分類分級工 作

a) 制定行業標準規范:按照國家數據分類分級保護有關要求,參照本文件制定本行業本領域的 數 據分類分級標準規范,重點可明確以下內容 :

1)明確行業數據分類細則,確定數據分類所依據的業務屬性,給出按照業務屬性劃分的數 據 類別 ;

2)分析行業領域數據的領域、群體、區域、精度、規模、深度、重要性等分級要素,明確本行業 本領域重要數據識別細則,確定哪些數據可確定為重要數據 ;

3)明確本行業本領域核心數據識別細則,提出哪些數據建議確定為核心數據 ;

4)明確本行業本領域一般數據范圍。

b) 開展數據分類分級:行業領域主管(監管)部門,根據本行業本領域的數據分類分級標準規范,組織本行業本領域數據處理者開展數據分類分級工作,指導數據處理者準確識別、及時報送重要數據和核心數據目錄信息。

7.2 處理者數據分類分級流程

數據處理者進行數據分類分級時,應在遵循國家和行業領域數據分類分級要求的基礎上,參考以 下 步驟開展數據分類分級工作 。

a) 數據 資產梳理;對數據資產進行全面梳理,確定待分類分級的數據資產及其所屬的行業領域。

b) 制定內部規則:按照行業領域數據分類分級標準規范,結合處理者自身數據特點,參考本文 件 制定自身的數據分類分級細則:

如行業領域主管部門已制定行業領域數據分類分級規則,處理者應結合自身實際參考 本 文件的數據分類分級方法,按照行業領域數據分類分級規則細行 ;

2) 如所屬行業領域沒有行業主管部門認可的數據分類分級標準規范的,或存在行業領域 規 范未覆蓋的數據類型,按照本文件進行數據分類分級 ;

3)如果業務涉及多個行業領域,可在參考本文件的基礎上,分別按照各個行業領域的數據 分 類分級標準規范細化執行。

c)實施數據分類:對數據進行分類,并對公共數據、個人信息等特殊類別數據進行識別和分類 。

d)實施數據分級:對數據進行分級,確定核心數據、重要數據和一般數據的范圍 。

注:由于一般數據涵蓋范圍較廣,數據處理者結合組織自身安全需求,參考附錄日對一般數據進行細化分級

e)審核上報目錄:對數據分類分級結果進行審核,形成數據分類分級清單、重要數據和核心數 據 目錄,并對數據進行分類分級標識,按有關程序報送目錄 。

f)動態更新管理:根據數據重要程度和可能造成的危害程度變化,對數據分類分級規則、重要 數

據和核心數據目錄、數據分類分級清單和標識等進行動態更新管理,動態更新情形見附錄J 。

(資料性)

基于描述對象與數據主體的數據分類參 考

A.1 基于描述對象的數據分類參 考

從數據描述對象角度,可將數據分為用戶數據、業務數據、經營管理數據、系統運維數據四個 類 別,數據分類參考示例見表 A.1

表 A.1 基于描述對象的數據分類參考示例 |

A.1 基于數據主體的數據分類參 考

從數據主體角度,可將數據分為公共數據、組織數據、個人信息三個類別,數據分類參考示例 見 表A.2 。

表 A.2 基于數據主體的數據分類參考示 例

(資料性 )

個人信息分類示 例

表B.1參考GB/T352732020給出了個人信息的一級類別、二級類別和典型數據示例 。

表B.1 個人信息分類參考示 例

表B.1 個人信息分類參考示例(續)

(資料性 )

數據分級要素識別常見考慮因 素

C.1數據領域、群體、區域考慮因 素

數據的領域、群體、區域識別常見考慮因素,包括但不限于以下內容。

數據領域識別的常見考慮因素,例如 :

行業領域 ; 業務條線、業務類目;

生產經營活動;

流程環節 ;

內容主題;

與國家安全、經濟運行、社會秩序、公共利益相關的領域等 。

數據群體識別的常見考慮因素,例如:

人 群

團體、單位、組織;

網絡、信息系統、數據中心;資源、原材料、物資;

元器件、設備; 項 目 基礎設施; 與國家安全、經濟運行、社會秩序、公共利益相關的群體等 。

數據區域識別的常見考慮因素,例如:

行政區劃;特定地區;地理環境;重要場所; 網絡空間 ;

與國家安全、經濟運行、社會秩序、公共利益相關的區域等 。

C.2數據精度考慮因素

數據精度識別的常見考慮因素,例如:

數值精度,如統計指標的精度等 ;

空間精度,如位置定位精度、數字地圖精度等 ;

時間精度,如年度、季度、月度、日度等 ;

生產工藝精密度,如集成電路精細度、機械加工精度等 ;

視頻圖像高清度;遙測遙感精度;儀器儀表精度

C.3數據規模考慮因 素

數據規模識別的常見考慮因素,例

數據存儲量 ;

企業市值(估值 );

設備或裝備容量 ;

生產、加工、控制、吞吐、輸送、儲存能力 ;

資源儲量;

交易量;

咩體規模,如用戶規模、系統或設備數量、生產加工單元數量、基礎設施數量、項目數量等。

C.4數據深度考慮因 素

數據深度識別的常見考慮因素,例如:

經濟運行情況統計 ;

產業發展態勢分析;

領域、群體或區域的特征分析,如人群或用戶特征分析 ;

行蹤軌跡;對象關系;歷史信息; 產業供應鏈

C,5 數據覆蓋度考慮因素

數據覆蓋度識別的常見考慮因素,例如 :

領域覆蓋分布或密度,如領域覆蓋占比、領域覆蓋分布、領域覆蓋密度等;

咩體覆蓋分布或密度,如群體覆蓋占比、咩體覆蓋分布、人口密度等 ;

區域覆蓋分布或密度,如行政區劃覆蓋度、區域覆蓋分布、區域覆蓋密度等 ;

時段覆蓋分布或密度,如時間段覆蓋度、時間段覆蓋分布、時間段覆蓋密度 等

C.6 數據重要性考慮因素

數據重要性識別常見考慮因素,例如 :

a）在數字經濟建設中的重要程度,如數字基礎設施建設、數據要素市場流通、產業數字化轉型、數 字化產業竟爭力等;

b) 在數字政府和政治建設中的重要程度,如政務數據共享、公共數據開放和開發利用、數字化政務服務、監管治理體系建設、政治制度、法律司法等:

C) 在文化建設中的重要程度,如教育、科學、文學藝術、新聞出版、廣播電視、衛生體育、圖書館、 博 物館、網絡空間等各項文化事業 ;

a)在社會建設中的重要程度,如公共服務數字化、智慧城市、數字生活建設、住建、數字農村等 ;

b)在生態文明建設中的重要程度,如自然資源、生態環境、交通、水利、氣象、林草、地震等 ;

在國家安全、維護社會穩定等工作的重要程度,如涉外數據對維護和塑造國家安全意 義重 大

(資料性)

安全風險常見考慮因素

數據影響分析通常考慮以下安全風險。

a)數據泄露:數據竊取、未授權訪問數據、違規導出數據等破壞數據保密性風險。

b)數據篡改:未授權修改、注入、仿冒、偽造數據等破壞數據完整性風險。

c)數據損毀:也稱數據破壞,數據被損毀、數據質量下降、數據訪問或使用中斷等破壞數據可用性風險

d)非法獲取數據:違反法律、行政法規等有關規定,超范圍收集、強制授權、非法獲取公民個人信息等違法違規收集數據風險。

非法使用數據:也稱非法利用數據,違反法律、行政法規

e)等有關規定,使用、加工、委托處理數據。

f)非法共享數據:違反法律、行政法規等有關規定,向他人提供、交換、轉移、交易、出境、公開數據。

(資料性 )

影響對象考慮因素

E.1 國家安全

判斷數據是否可能影響國家安全,常見考慮因素包括但不限于:

a) 影響國家政權安全、政治制度安全、意識形態安全,民族和宗教政策安全;

b) 影響領土安全、國家統一邊疆安全和國家海洋權益;

c) 影響基本經濟制度安全、供給側結構性改革、糧食安全、能源安全、重要資源安全、系統性金融風險、國際開放合作安全;

d) 影響國家科技實力、科技自主創新、關鍵核心技術、國際科技竟爭力、科技倫理風險、出口管制物項;

e) 影響社會主義核心價值觀、文化軟實力、中華優秀傳統文化等;

f) 影響國家社會治理體系、社會治安防控體系、應急管理體系等;

g) 影響生態環境安全、綠色生態發展、污染防治、生態系統質量和穩定性、生態環境 領域國家治理體系等;

h) 影響國防和軍隊現代化建設等,或者可被其他國家或組織利用發起對我國的軍事打擊;

i) )影響電磁空間、網絡空間安全、關鍵信息基礎設施安全、人工智能安全,或者可能被利用實施對關鍵信息基礎設施、核心技術設備等的網絡攻擊,可能導致特別重大或重大網絡安全和數據安全事件;

j) 影響核材料、核設施、核活動情況,或可被利用造成核破壞或其他核安全事件;

k) 影響國家生物安全治理體系、生物資源和人類遺傳資源安全、生命安全和生物安全領域的重大科技成果、疾病防控和公共衛生應急體系安全,或者可能導致重大傳染病、重大生物安全風險;

l) 影響在太空、深海、極地等領域的國家利益和國際合作安全;

m) m)影響海外重大項目和人員機構安全、海外能源資源安全、海上戰略通道安全等。

E.2 經濟運 行

判斷數據是否可能影響經濟運行,常見考慮因素包括但不限于 :

a) 影響市場準入、市場行為、市場結構、商品銷售、交換關系、生產經營秩序、涉外經濟關系等市 場 經濟運行秩序 ;

b) 影響社會總供給和總需求,國民經濟總值和增長速度、國民經濟中主要比例關系、物價總水平、 勞動就業總水平與失業率、貨幣發行總規模與增長速度、進出口貿易總規模與變動等宏觀經濟形勢;

c) 影響涉及國家安全的行業、支柱產業和高新技術產業中的重要骨干企業、提供重要公共產品 的 行業、重大基礎設施和重要礦產資源行業等國民經濟命脈 ;

d) 影響行業領域或地區的經濟發展、業務生產、技術進步、產業生態等。

E.3 社會秩 序

判斷數據是否可能影響社會秩序,常見考慮因素包括但不限于 :

a) 影響社會穩定,可能引發社會恐慌,導致重大突發事件、群體性事件、暴力恐怖活動、社會治 安 問題等;

b)影響人民群眾的民生保障或日常生活秩序,如扶貧、就業、收入、教育、文體、健康、養老、社保 等

c)民生事項或供電、供氣、供水等基本服務保障工程 影響國家機關、企事業單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫療衛生秩序;

d)影響各級政務部門依法履行公共管理和服務職能 ; 影響司法領域的公正、公信或權威性 ;

e)影響公共場所的活動秩序、公共交通秩 序

E.4 公共利 益

判斷數據是否可能影響公共利益,常見考慮因素包括但不限于 :

a) 影響對重大疾病(尤其是傳染病)的預防、監控和治療,或者可能引發突發公共衛生事件、造成 社會公眾健康危害;

b) 影響社會成員使用公共設施;

c) 影響社會成員獲取公開數據資源 ;

d) 影響社會成員接受公共服務等方面 ;其他影響公共利益、社會秩序的數據

E.5 組織權 益

判斷數據是否可能影響組織權益,常見考慮因素包括但不限于 :

a)導致組織遭到監管部門處罰、安全事件或法律訴訟 :

b) 影響組織的重要或關鍵業務生產經營 ;

c) 造成組織經濟損失 ;

d) 破壞組織聲譽形象、公信力等 ;

e) 影響組織的知識產權、商業秘密、技術損失等 ; 影響組織的公平竟爭利益 ;

g) 其他影響法人、非法人組織合法權益的數 據

E.6 個人權 益

判斷數據是否可能影響個人權益,常見考慮因素包括但不限于 :

a) 影響個人私人活動、私有領域、私密部位等個人隱私 ;

b) 影響自然人的人格尊嚴 ;

c) 影響自然人的人身安全;

d) 影響自然人的財產安全;

e) 影響個人在個人信息處理活動中的權利,如選擇權、知情權、拒絕權等 ;

f) 其他影響個人權益的數 據 。

表F.1給出了不同影響對象對應的影響程度參考示例。

表F.1影響程度參考示例

表F.1影響程度參考示例續

(規范性)

重要數據識別指南

重要數據識別應在符合6.5b)的基礎上,考慮如下因素 :

a)直接影響領土安全和國家統一,或反映國家自然資源基礎情況,如未公開的領陸、領水、領 空 數據 ;

b)可被其他國家或組織利用發起對我國的軍事打擊,或反映我國戰略儲備、應急動員、作戰等能力,如滿足一定精度指標的地理數據或與戰略物資產能、儲備量有關的數據;

c)直接影響市場經濟秩序,如支撐關鍵信息基礎設施所在行業、領域核心業務運行或重要經濟領 城生產的數據;

d)反映我國語言文字、歷史、風俗習慣、民族價值觀念等特質,如記錄歷史文化遺產的數據 ;

d)反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置,可被恐怖分子、犯罪分子利用實施破壞,如描述重點安保單位、重要生產企業、國家重要資產(如鐵路、輸油管道)的施工圖、內部結構、安防情況的數據;

e)關系我國科技實力、影響我國國際競爭力,或關系出口管制物項,如反映國家科技創新重大成 果,或描述我國禁止出口限制出口物項的設計原理、工藝流程、制作方法的數據,以及涉及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告的數據;

f)反映關鍵信息基礎設施總體運行、發展和安全保護情況及其核心軟硬件資產信息和供應鏈管理情況,可被利用實施對關鍵信息基礎設施的網絡攻擊,如涉及關鍵信息基礎設施系統配置信息、系統拓撲,應急預案,測評、運行維護、審計日志的數據;

涉及未公開的攻擊方法、攻擊工具制作方法或攻擊輔助信息,可被用來對重點目標發起供應鏈攻擊、社會工程學攻擊等網絡攻擊,如政府、軍工單位等敏感客戶清單,以及涉及未公開的產品和服務采購情況、未公開重大漏洞情況的數據;

g)) 反映 自然環境、生產生活環境基礎情況,或可被利用造成環境安全事件,如未公開的與土壤、氣 象觀測、環保監測有關的數據 ;

h)反映水資源、能源資源、土地資源、礦產資源等資源儲

i)備和開發、供給情況,如未公開的描述水 文觀測結果、耕地面積或質量變化情況的數據 ;

j)反映核材料、核設施、核活動情況,或可被利用造成核破壞或其他核安全事件,如涉及核電站 設 計圖、核電站運行情況的數據;

k)關系海外能源資源安全、海上戰略通道安全、海外公民和法人安全,或可被利用實施對我國參與國際經貿、文化交流活動的破壞或對我國實施歧視性禁止、限制或其他類似措施,如描述國際貿易中特殊物項生產交易以及特殊裝備配備、使用和維修情況的數據;

l)關系我國在太空、深海、極地等戰略新疆域的現實或潛在利益,如未公開的涉及對太空、深海 、 極地進行科學考察、開發利用的數據,以及影響人員在上述領域安全進出的數據;

m)反映生物技術研究、開發和應用情況,反映族群特征、遺傳信息,關系重大突發傳染病、動植物 疫情,關系生物實驗室安全,或可能被利用制造生物武器、實施生物恐怖襲擊,關系外來物種入侵和生物多樣性,如重要生物資源數據、微生物耐藥基礎研究數據;

n)反映全局性或重點領域經濟運行、金融活動狀況,關系產業竟爭力,可造成公共安全事故或影響公民生命安全,可引發群體性活動或影響群體情感與認知,如未公開的統計數據、重點企業商業秘密;

o)反映國家或地區群體健康生理狀況,關系疾病傳播與防治,關系食品藥品安全,如涉及健康 醫 療資源、批量人口診療與健康管理、疾控防疫、健康救援保障、特定藥品實驗、食品安全溯源 的 數據;

p)其他可能影響國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態、資源、核海外利益、 太 空、極地,深海、生物、人工智能等安全的數據 ;

注1:影響國家安全的考慮因素見 E,1

q)其他可能對經濟運行、社會秩序或公共利益造成嚴重危害的數據 。

注2:對經濟運行、社會秩序、公共利益造成嚴重危害的參考示例見表 F.1

具備以上因素之一的數據,可被識別為重要數據。

(資料性)

一般數據分級參考

H.1一般數據分4級參考

按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度,將一般數據從低到高分為1級、2級、3級、4級共四個級別。

a)1級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,不會對個人權益、組織權益等造成危害。1級數據具有公共傳播屬性,可對外公開發布、轉發傳播,但也需考慮公開的數據量及類別,避免由于類別較多或者數量過大被用于關聯分析。

b)2級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織權益造成一般危害。2級數據通常在組織內部、關聯方共享和使用,相關方授權后可向組織外部共享。

c)3級數據;數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織權益造成嚴重危害。3級數據僅可由授權的內部機構或人員訪問,如果要將數據共享到外部,需要滿足相關條件并獲得相關方的授權。

d)4級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織權益造成特別GB/T 43697=2024

嚴重危害,或對經濟運行、社會秩序、公共利益造成一般危害。4級數據按照批準的授權列表嚴格管理,僅能在受控范圍內經過嚴格審批、評估后才可共享或傳播。

H.2一般數據分3級參考

按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度,將一般數據從低到高分為1級、2級、3級共三個級別

a)1級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織權益造成一般危害或無危害。

b)2級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織權益造成嚴重危害。

c)3級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織合法權益造成特別嚴重危害,或者對經濟運行、社會秩序、公共利益造成一般危害。

H.3一般數據分2級參考

按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度,將一般數據從低到高分為1級、2級

a) 1級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織權益造成一般、嚴重危害或無危害。

b) 2級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織權益造成特別嚴重危害,或者對經濟運行、社會秩序、公共利益造成一般危害。

H.4最低參考級別

一般數據分級應對個人信息、公共數據等特定類型數據設置合理的數據級別,特定類型數據最低參 考級別如下

a) 在一般數據分4 級框架下,特定類型一般數據的最低參考級別為:

1) 敏感個人信息不低于4級,一般個人信息不低于2級 ;

2) 組織內部員工個人信息不低于2級 ;

3) 去標識化的個人信息不低于2級 ;

4) 個人標簽信息不低于2級 ;

5) 有條件開放/共享的公共數據級別不低于2級,禁止開放/共享的公共數據不低于4 級

b) 在一般數據3 級框架下,特定類型一般數據的最低參考級別為:

敏感個人信息不低于3級,一般個人信息不低于2級 ;

2) 有條件開放/共享的公共數據級別不低于2級,禁止開放/共享的公共數據不低于3 級。

C) 在一般數據2級框架下,敏感個人信息不低于2級,禁止開放/共享的公共數據不低于2級

(資料性)

衍生數據分級參 考

按照數據加工程度不同,數據通常可分為原始數據、 脫敏數據 、標簽數據、統計數據、融合數據,其 中 脫敏數據、標簽數據、統計數據、融合數據均屬于衍生數據,見表 1.1

表1.1 加工程度維度的數據分 類

衍生數據級別可參考原始數據級別,綜合考慮數據加工對分級要素、影響對象、影響程度的影響, 按

照第6章進行數據分級 :

脫敏數據級別可比原始數據級別降低 ;

標簽數據級別可比原始數據級別降低或升高; 統計數據級別可比原始數據級別降低或升高;

注:例如,反映國民經濟運行總體情況、行業領域產業發展態勢、影響國家宏觀調控能力的未公開統計數據,設置比原始數據級別更高的級別;又如,原始數據包含大量原始明細數據,而衍生數據是不敏感的統計特征,設置比原 始數據級別更低的級別。

融合數據級別要考慮數據匯聚融合結果,如果結果數據是對大量多維數據進行關聯、分析或挖 掘,匯聚了更大規模的原始數據或分析挖掘出更敏感、更深層的數據,級別可以升高,但如果 結 果數據降低了標識化程度等,級別可以降 低

(資料性)

動態更新情形參 考 數據分類分級完成后,當數據的業務屬性、重要程度和可能造成的危害程度變化時通常需要進行動 態更新,動態更新常見情形包括但不限于 :

a)數據規模變化,導致原有數據的安全級別不再適用 ; 數據內容未發生變化,但數據時效性、數據規模、數據應用場景、數據加工處理方式等發生顯著變化

b)多個原始數據直接合并,導致原有的安全級別不再適用合并后的數據 ;

c)因對不同數據選取部分數據進行合并形成的新數據,導致原有數據的安全級別不再適用合并 后的數據;

a) 不同數據類型經匯聚融合形成新的數據類別,導致原有的數據級別不再適用于匯聚融合后的 數據;

a) 數據進行脫敏或刪除關鍵字段,或者經過去標識化、匿名化處理 ;

b) 發生數據安全事件,導致數據敏感性發生變化;

c) 因國家或行業主管部門要求,導致原定的數據級別不再適用;

d) 需要對數據安全級別進行變更的其他情形。

[1]GB/T21063.4政務信息資源目錄體系第4部分:政務信息資源分類

[2]GB/T35273-2020信息安全技術個人信息安全規范

[3]GB/T39335-2020信息安全技術個人信息安全影響評估指南

[4]GB/T42012-2022信息安全技術即時通信服務數據安全要求

快遞物流服務數據安全要求

[5]GB/T42013-2022 信息安全技術

[6]GB/T42014-2022 信息安全技術網上購物服務數據安全要求

[7]GB/T42015-2022 信息安全技術網絡支付服務數據安全要求

[8]GB/T42016-2022信息安全技術網絡音視頻服務數據安全要求

[9]GB/T42017-2022信息安全技術網絡預約汽車服務數據安全要求

[10]JR/T0197-2020金融數據安全數據安全分級指南

[11]中華人民共和國數據安全法

[12]中華人民共和國網絡安全法

[13]中華人民共和國個人信息保護法。