DB4403T 271-2022 公共數(shù)據(jù)安全要求

ICS35.240.01CCSL67

DB4403深 圳 市 地 方 標(biāo) 準(zhǔn)DB4403/T271—2022公共數(shù)據(jù)安全要求發(fā)布深圳市市場(chǎng)監(jiān)督管理局發(fā)布深圳市市場(chǎng)監(jiān)督管理局2022-12-012022-11-14DB4403/T271—2022DB4403/T271—2022DB4403/T271—2022DB4403/T271—2022目??次前言 IV圍 1范引用文件 1語和定義 1總體安全原則和要求 2總體安全原則 2總體安全求 3總體框架 3數(shù)據(jù)分級(jí)方法 4分級(jí)概述 4確定定級(jí)對(duì)象 4定級(jí)要素 4受侵害的客體 4客體的侵害程度 4級(jí)要素與等級(jí)關(guān)系 4定級(jí)步驟 5級(jí)別更 5級(jí)別求 5用管理安全要求 6體據(jù)安全策略 6本全要求 6級(jí)增強(qiáng)安全要求 6四級(jí)增強(qiáng)安全要求 6數(shù)據(jù)全管理機(jī)構(gòu)與人員 6本安全要求 6級(jí)增強(qiáng)安全要求 7四級(jí)增強(qiáng)安全要求 7據(jù)安全管理制度體系 8本安全要求 8級(jí)增強(qiáng)全要求 8四級(jí)增強(qiáng)安全要求 8通用術(shù)安全要求 8據(jù)類分級(jí)護(hù) 8本安全要求 8級(jí)增強(qiáng)安全要求 9四級(jí)增強(qiáng)安全要求 9數(shù)據(jù)安全評(píng)估 9I本安全要求 9級(jí)增強(qiáng)安全要求 9四級(jí)增強(qiáng)安全要求 9數(shù)據(jù)安全風(fēng)險(xiǎn)測(cè) 9本全要求 9級(jí)增強(qiáng)安全要求 10四級(jí)增強(qiáng)安全要求 10數(shù)據(jù)安全管控 10本全要求 10級(jí)增強(qiáng)安全要求 10級(jí)增強(qiáng)安全求 11數(shù)據(jù)安全應(yīng)急處置 11本安全要求 11級(jí)增強(qiáng)安全要求 12級(jí)增強(qiáng)安全要求 12數(shù)據(jù)安全計(jì) 12本安全要求 12級(jí)增強(qiáng)安全要求 12四級(jí)增強(qiáng)安全要求 12數(shù)據(jù)處理活動(dòng)安全要求 12據(jù)收集 12本安全要求 12級(jí)增強(qiáng)全要求 13四級(jí)增強(qiáng)安全要求 13據(jù)存儲(chǔ) 13本安全求 13級(jí)增強(qiáng)安全要求 13四級(jí)增強(qiáng)安全要求 13數(shù)據(jù)傳輸 13本安全要求 13級(jí)增強(qiáng)安全要求 13四級(jí)增強(qiáng)安全要求 14數(shù)據(jù)使用 14本安全要求 14級(jí)強(qiáng)安全要求 14四級(jí)增強(qiáng)安全要求 14據(jù)加工 14本安全要求 14級(jí)增強(qiáng)全要求 15四級(jí)增強(qiáng)安全要求 15據(jù)開放共享 15本全要求 15級(jí)增強(qiáng)安全要求 15II四級(jí)增強(qiáng)安全要求 15數(shù)據(jù)易 15本安全要求 15級(jí)增強(qiáng)安全要求 15四級(jí)增強(qiáng)安全要求 16數(shù)據(jù)出境 16本安全求 16級(jí)增強(qiáng)安全要求 16四級(jí)增強(qiáng)安全要求 16數(shù)據(jù)銷毀與刪除 16本安全要求 16級(jí)增強(qiáng)全要求 16級(jí)強(qiáng)全要求 16A（資性B（規(guī)范性

公共數(shù)據(jù)類分級(jí)清單示例 17公共數(shù)據(jù)子類或數(shù)據(jù)字段定級(jí)及級(jí)別要求 18定級(jí)要素與等級(jí)關(guān)系 18級(jí)別要求 20C（資性

共數(shù)據(jù)類方法 23類方法及示例 23不同行業(yè)類方法 23D（資性

常見人信息類級(jí)參考表 24參考文獻(xiàn) 27III前??言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則定起草。

1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)IV本文件由深圳市政務(wù)服務(wù)數(shù)據(jù)管理局提出并歸口。IV本文件起草單位深圳市信息安全管理中（杭州有限責(zé)任公司金磚國家未來網(wǎng)絡(luò)研究院中國分院深圳市智慧城市科技發(fā)展集團(tuán)有限公司華為技術(shù)有限公司蟻科技集團(tuán)股份有限公司。本文件主要起草人李董安波林宇群穆端端軒豪男趙劍方興周頓科魏鳳玲姚冬炎、董亮、宮昊、林楨、劉慧洋、王志、常新苗、白曉媛。公共數(shù)據(jù)安全要求范圍本文件規(guī)定了公共數(shù)據(jù)安全要求主要包括總體安全原則和要求總體框架數(shù)據(jù)分級(jí)方法通用管理安全要求、通用技術(shù)安全要求及數(shù)據(jù)處理活動(dòng)安全要求。本文件適用于公共管理和服務(wù)機(jī)構(gòu)數(shù)據(jù)安全能力的建設(shè)評(píng)估與監(jiān)管適用于處理量個(gè)人信息的服務(wù)平臺(tái)數(shù)據(jù)安全能力的建設(shè)與評(píng)估。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版（包括所有的修改單適用于本文件。GB/T20984—2022GB/T22239—2019GB/T22240—2020GB/T35273—2020GB/T37988—2019

信息安全技信息安全技信息安全技信息安全技信息安全技

信息安全風(fēng)險(xiǎn)評(píng)估方法網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南個(gè)人信息安全規(guī)范數(shù)據(jù)安全能力成熟度模型GB/T39477—2020

信息安全技

數(shù)據(jù)安全技術(shù)要求GB/T39786—2021

信息安全技

信息系統(tǒng)密碼應(yīng)用基本要求術(shù)語和定義GB/T35273—2020、GB/T37988—2019界定的以及下列術(shù)語和定義適用于本文件。公共數(shù)據(jù) commondata公共管理和服務(wù)機(jī)構(gòu)及處理大量個(gè)人信息的服務(wù)平臺(tái)在依法履行公共管理職責(zé)或者提供公共服務(wù)過程中產(chǎn)生、處理的數(shù)據(jù)。注：本文件提及的數(shù)據(jù)均指公共數(shù)據(jù)。數(shù)據(jù)安全 datasecurity通過采取必要措施確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)以及具備保障持續(xù)安全狀態(tài)的能力。公共管理和服務(wù)機(jī)構(gòu) publicadministrationandserviceinstitutions本市國家機(jī)關(guān)、事業(yè)單位和其他依法管理公共事務(wù)的組織，以及提供教育、衛(wèi)生健康、社會(huì)福利、供水、供電、供氣、環(huán)境保護(hù)、公共交通和其他公共服務(wù)的組織。敏感個(gè)人信息 personalsensitiveinformation1注1：敏感個(gè)人信息包括公民身份號(hào)碼、個(gè)人生物特征信息、銀行賬號(hào)、通信記錄和內(nèi)容、財(cái)產(chǎn)信息、征信信息、行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個(gè)人信息等。注2：個(gè)人信息處理者通過個(gè)人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個(gè)人名譽(yù)、身心健康受到損害或歧視性待遇等的個(gè)人信息，也屬于敏感個(gè)人信息。[來源：GB/T25069—2022，3.195，有修改]重要數(shù)據(jù) keydata一旦泄露可能直接影響國家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的數(shù)據(jù)。營管理信息等。[來源：GB/T41479—2022，3.9，有修改]匿名化 anonymization公共數(shù)據(jù)中涉及的個(gè)人信息經(jīng)過處理無法識(shí)別特定自然人且不能復(fù)原的過程。數(shù)據(jù)合作方 datacooperator與公共管理和服務(wù)機(jī)構(gòu)進(jìn)行業(yè)務(wù)合作、提供技術(shù)支撐和數(shù)據(jù)服務(wù)等，并可能接觸到公共數(shù)據(jù)的外部單位。安全多方計(jì)算 securemulti-partycomputation第三方應(yīng)用 thirdpartyapplication第三方提供的產(chǎn)品或服務(wù)，以及被接入或嵌入公共管理和服務(wù)機(jī)構(gòu)產(chǎn)品或服務(wù)中的自動(dòng)化工具。注：包括但不限于軟件開發(fā)工具包、第三方代碼、組件、腳本、接口、算法模型、小程序等。[來源：GB/T41479—2022，3.12，有修改]總體安全原則和要求總體安全原則目的明確原則：數(shù)據(jù)處理活動(dòng)具有明確、清晰、具體的目的；2明示同意原則數(shù)據(jù)相關(guān)主體擁有對(duì)其個(gè)人信息的處理目的方式范圍等規(guī)則的知情在進(jìn)行數(shù)據(jù)處理活動(dòng)前應(yīng)向數(shù)據(jù)相關(guān)主體明示并獲得授權(quán)同意法律行政法規(guī)另有規(guī)定的例外情況，從其規(guī)定；最小必要原則：數(shù)據(jù)處理活動(dòng)僅處理可滿足特定公共服務(wù)為目的所需的最少數(shù)據(jù)類型和數(shù)量；公開透明原則以明確易懂和合理的方式公開個(gè)人信息處理的范圍目的規(guī)則等并接受外部監(jiān)督，法律、行政法規(guī)另有規(guī)定的例外情況，從其規(guī)定；動(dòng)態(tài)調(diào)整原則：數(shù)據(jù)安全等級(jí)隨著數(shù)據(jù)對(duì)客體侵害程度的變化進(jìn)行動(dòng)態(tài)調(diào)整，數(shù)據(jù)重要程度、數(shù)據(jù)處理活動(dòng)過程、數(shù)據(jù)安全管控措施等的變更可能引起數(shù)據(jù)對(duì)客體侵害程度的變化；全程可控原則取必要管控措施確保數(shù)據(jù)處理活動(dòng)各環(huán)節(jié)的可控性防止未授權(quán)訪問及處理公共數(shù)據(jù)，記錄數(shù)據(jù)處理活動(dòng)各環(huán)節(jié)過程，記錄內(nèi)容清晰可追溯。總體安全要求承載公共數(shù)據(jù)的信息系統(tǒng)應(yīng)按GB/T22239—2019描述的基本要求同步規(guī)建設(shè)運(yùn)營信息系統(tǒng)，并對(duì)信息系統(tǒng)組織開展定級(jí)備案、等級(jí)測(cè)評(píng)、安全整改工作；數(shù)據(jù)處理過程涉及的密碼技術(shù)應(yīng)按GB/T39786—2021描述的密碼應(yīng)用基本要求執(zhí)行?？傮w框架總體框架圖35.2 安全要求類別圖1 總體框架總體框架如圖135.2 安全要求類別圖1 總體框架在總體安全要求基礎(chǔ)上，公共數(shù)據(jù)安全要求由如下兩大類構(gòu)成：數(shù)據(jù)通用安全要求明確通用管理安全要求及通用技術(shù)安全要求從管理及技術(shù)角度分級(jí)闡述公共數(shù)據(jù)安全要求；數(shù)據(jù)處理活動(dòng)安全要求數(shù)據(jù)處理活動(dòng)圍繞數(shù)據(jù)收集數(shù)據(jù)存儲(chǔ)數(shù)據(jù)傳輸數(shù)據(jù)使用數(shù)據(jù)加工、數(shù)據(jù)開放共享、數(shù)據(jù)交易、數(shù)據(jù)出境、數(shù)據(jù)銷毀與刪除9個(gè)過程，分級(jí)闡述公共數(shù)據(jù)安全要求。數(shù)據(jù)分級(jí)方法分級(jí)概述公共管理和服務(wù)機(jī)構(gòu)應(yīng)對(duì)數(shù)據(jù)進(jìn)行分類管理在數(shù)據(jù)分類基礎(chǔ)上根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度以及一旦遭到篡改破壞泄露或者被非法獲取非法利用國家安全社會(huì)秩序和公共利益或者個(gè)人信息主體、公共管理和服務(wù)機(jī)構(gòu)合法權(quán)益造成的損害程度，對(duì)數(shù)據(jù)分級(jí)。確定定級(jí)對(duì)象數(shù)據(jù)定級(jí)對(duì)象應(yīng)包括數(shù)據(jù)庫和數(shù)據(jù)可為數(shù)據(jù)下的具體數(shù)據(jù)字段數(shù)據(jù)定級(jí)對(duì)象分級(jí)方法不適用于半結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)。定級(jí)要素4受侵害的客體；對(duì)客體的侵害程度4受侵害的客體；對(duì)客體的侵害程度。受侵害的客體數(shù)據(jù)定級(jí)對(duì)象受到破壞所侵害的客體包括以下三個(gè)方面：個(gè)人信息主體及公共管理和服務(wù)機(jī)構(gòu)的合法權(quán)益；社會(huì)秩序和公共利益；國家安全。對(duì)客體的侵害程度對(duì)客體的侵害程度應(yīng)根據(jù)數(shù)據(jù)定級(jí)對(duì)象遭受篡改破壞泄露或者被非法獲取非法利用時(shí)涉及的數(shù)據(jù)類型、數(shù)據(jù)量、數(shù)據(jù)影響面綜合判定。對(duì)客體造成的侵害程度歸結(jié)為以下四種：無損害；一般損害；嚴(yán)重?fù)p害；特別嚴(yán)重?fù)p害。6.4 定級(jí)要素與等級(jí)關(guān)系1形B。表1數(shù)據(jù)庫定級(jí)要素與安全等級(jí)關(guān)系受侵害的客體對(duì)客體的侵害程度一般損害嚴(yán)重?fù)p害特別嚴(yán)重?fù)p害個(gè)人信息主體及公共管理和服務(wù)機(jī)構(gòu)的合法權(quán)益第一級(jí)第二級(jí)第二級(jí)社會(huì)秩序和公共利益第二級(jí)第三級(jí)第四級(jí)國家安全第三級(jí)第四級(jí)第五級(jí)6.5 定級(jí)步驟5級(jí)別變更5級(jí)別變更。級(jí)別要求數(shù)據(jù)庫安全等級(jí)與其安全要求的對(duì)應(yīng)關(guān)系見表2，數(shù)據(jù)子類或數(shù)據(jù)字段安全等級(jí)與其安全要求的對(duì)應(yīng)關(guān)系應(yīng)符合附錄B。2表2數(shù)據(jù)庫安全等級(jí)與安全要求關(guān)系數(shù)據(jù)庫安全等級(jí)安全要求第一級(jí)基本安全要求第二級(jí)基本安全要求第三級(jí)基本安全要求、三級(jí)增強(qiáng)安全要求第四級(jí)基本安全要求、三級(jí)增強(qiáng)安全要求、四級(jí)增強(qiáng)安全要求第五級(jí)第五級(jí)為非常重要的監(jiān)督管理對(duì)象，其安全要求不在本文件描述通用管理安全要求總體數(shù)據(jù)安全策略6公共數(shù)據(jù)安全管理應(yīng)作為重點(diǎn)內(nèi)容，納入總體安全管理范疇。三級(jí)增強(qiáng)安全要求應(yīng)定期對(duì)數(shù)據(jù)安全策略的合理性及適用性進(jìn)行論證和審定，動(dòng)態(tài)調(diào)整。6公共數(shù)據(jù)安全管理應(yīng)作為重點(diǎn)內(nèi)容，納入總體安全管理范疇。三級(jí)增強(qiáng)安全要求應(yīng)定期對(duì)數(shù)據(jù)安全策略的合理性及適用性進(jìn)行論證和審定，動(dòng)態(tài)調(diào)整。四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。數(shù)據(jù)安全管理機(jī)構(gòu)與人員基本安全要求機(jī)構(gòu)管理機(jī)構(gòu)管理包括如下要求：應(yīng)設(shè)立數(shù)據(jù)安全管理機(jī)構(gòu)，明確數(shù)據(jù)安全責(zé)任人，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任；應(yīng)按照相關(guān)法律、法規(guī)、規(guī)章的要求編制公共數(shù)據(jù)資源目錄，加強(qiáng)數(shù)據(jù)安全保護(hù)；數(shù)據(jù)安全責(zé)任人履行職責(zé)包括但不限于：數(shù)據(jù)安全管理機(jī)構(gòu)應(yīng)明確數(shù)據(jù)管理員數(shù)據(jù)安全管理員數(shù)據(jù)安全審計(jì)員等崗位職責(zé)實(shí)崗位人員，保障數(shù)據(jù)安全管理與審計(jì)工作開展。相關(guān)崗位職責(zé)應(yīng)包括：；；。處理個(gè)人信息達(dá)到國家網(wǎng)信部門規(guī)定數(shù)量的負(fù)責(zé)對(duì)個(gè)人信息處理活動(dòng)以及采取的保護(hù)措施等進(jìn)行監(jiān)督將個(gè)人信息保護(hù)負(fù)責(zé)人的姓名、聯(lián)系方式等報(bào)送履行個(gè)人信息保護(hù)職責(zé)部門；應(yīng)針對(duì)數(shù)據(jù)類別級(jí)別變更數(shù)據(jù)權(quán)限變更重大數(shù)據(jù)操作及外部系統(tǒng)接入等事項(xiàng)建立審批程序，按照審批程序執(zhí)行審批過程；涉及數(shù)據(jù)合作方的機(jī)構(gòu)應(yīng)與數(shù)據(jù)合作方簽訂合作協(xié)議及數(shù)據(jù)安全保密協(xié)明確雙方數(shù)據(jù)安全保密責(zé)任與義務(wù)宜定期審核數(shù)據(jù)合作方資質(zhì)背景數(shù)據(jù)安全保障能力等并組織動(dòng)態(tài)合規(guī)評(píng)估。人員管理人員管理包括如下要求：應(yīng)加強(qiáng)人員管理明確規(guī)定人員錄用人員培人員考核保密協(xié)離崗離職外部人員管理等方面管理要求并嚴(yán)格落實(shí)；離崗保密要求、保密期限、違約責(zé)任等，有效約束操作行為；應(yīng)制定數(shù)據(jù)安全培離崗保密要求、保密期限、違約責(zé)任等，有效約束操作行為；應(yīng)制定數(shù)據(jù)安全培內(nèi)、；宜組織數(shù)據(jù)崗位人員考取相關(guān)資質(zhì)證書。三級(jí)增強(qiáng)安全要求機(jī)構(gòu)管理機(jī)構(gòu)管理包括如下要求：應(yīng)針對(duì)重大數(shù)據(jù)處理活動(dòng)建立逐級(jí)審批機(jī)制；應(yīng)定期審查審批事項(xiàng)，及時(shí)更新需授權(quán)和審批的項(xiàng)目、審批部門和審批人等信息。人員管理人員管理包括如下要求：應(yīng)配備專職安全管理員承擔(dān)數(shù)據(jù)安全管理員工作；應(yīng)針對(duì)不同數(shù)據(jù)崗位制定不同的培訓(xùn)計(jì)劃，對(duì)數(shù)據(jù)安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；應(yīng)定期對(duì)不同數(shù)據(jù)崗位人員進(jìn)行技能考核。四級(jí)增強(qiáng)安全要求機(jī)構(gòu)管理四級(jí)無增強(qiáng)安全要求。7人員管理人員管理包括如下要求：關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理；應(yīng)從內(nèi)部人員中選拔從事關(guān)鍵數(shù)據(jù)崗位的人員。數(shù)據(jù)安全管理制度體系基本安全要求數(shù)據(jù)安全管理制度體系包括如下要求：；數(shù)據(jù)分類分級(jí)、交；提供重要互聯(lián)網(wǎng)平臺(tái)服務(wù)；8數(shù)據(jù)分類分級(jí)保護(hù)基本安全要求數(shù)據(jù)分類分級(jí)保護(hù)包括如下要求：應(yīng)結(jié)合數(shù)據(jù)資產(chǎn)識(shí)別技術(shù)手段關(guān)聯(lián)系統(tǒng)、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等；8 通用技術(shù)安全要求置措施；GB/T35273—20208數(shù)據(jù)分類分級(jí)保護(hù)基本安全要求數(shù)據(jù)分類分級(jí)保護(hù)包括如下要求：應(yīng)結(jié)合數(shù)據(jù)資產(chǎn)識(shí)別技術(shù)手段關(guān)聯(lián)系統(tǒng)、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等；8 通用技術(shù)安全要求置措施；GB/T35273—2020不；；制度進(jìn)行修訂。三級(jí)增強(qiáng)安全要求應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的數(shù)據(jù)安全管理制度體系。四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。應(yīng)明確數(shù)據(jù)分類標(biāo)準(zhǔn)，相關(guān)示例見附錄C；應(yīng)明確數(shù)據(jù)對(duì)象安全等級(jí)應(yīng)在數(shù)據(jù)分類分級(jí)基礎(chǔ)上，形成數(shù)據(jù)資產(chǎn)清單，相關(guān)示例見附錄A，落實(shí)不同數(shù)據(jù)安全等級(jí)差異化防護(hù)措施要求數(shù)據(jù)庫安全等級(jí)差異化防護(hù)要求依據(jù)本文件第7至9章落實(shí)執(zhí)行數(shù)據(jù)子類或數(shù)據(jù)字段安全等級(jí)差異化防護(hù)措施應(yīng)符合附錄B；應(yīng)定期評(píng)審數(shù)據(jù)對(duì)象的類別和級(jí)別如需變更數(shù)據(jù)所屬類型或級(jí)別應(yīng)依據(jù)變更審批流程執(zhí)行變更。三級(jí)增強(qiáng)安全要求應(yīng)采取數(shù)據(jù)安全防護(hù)措施，對(duì)重要數(shù)據(jù)和敏感個(gè)人信息進(jìn)行重點(diǎn)保護(hù)。四級(jí)增強(qiáng)安全要求應(yīng)建立數(shù)據(jù)資產(chǎn)識(shí)別技術(shù)能力，對(duì)數(shù)據(jù)對(duì)象進(jìn)行標(biāo)記與跟蹤，構(gòu)建數(shù)據(jù)血緣關(guān)系。數(shù)據(jù)安全評(píng)估基本安全要求數(shù)據(jù)安全評(píng)估包括如下要求：應(yīng)結(jié)合自身數(shù)據(jù)安全要求；在出現(xiàn)法律法規(guī)重大更改或增刪數(shù)數(shù)據(jù)安全管理方針發(fā)生變化等重大；行業(yè)存在數(shù)據(jù)安全合規(guī)監(jiān)管要求的機(jī)構(gòu)并向有關(guān)主管部門報(bào)送合規(guī)性評(píng)估報(bào)告；涉及敏感個(gè)人信息處理其他對(duì)個(gè)人權(quán)益有重大影響的個(gè)人信息處理活動(dòng)等少。三級(jí)增強(qiáng)安全要求應(yīng)定期開展數(shù)據(jù)安全自評(píng)估工作涉及處理敏感個(gè)人信息及國家規(guī)定的重要數(shù)據(jù)的機(jī)構(gòu)門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)基本安全要求數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)包括如下要求：9應(yīng)具備常態(tài)化數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)能持續(xù)監(jiān)測(cè)數(shù)據(jù)安全風(fēng)險(xiǎn)風(fēng)險(xiǎn)類型包括但不限于賬號(hào)風(fēng)險(xiǎn)、權(quán)限風(fēng)險(xiǎn)、異常操作行為、數(shù)據(jù)出境風(fēng)險(xiǎn)、數(shù)據(jù)暴露面風(fēng)險(xiǎn)等；應(yīng)加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)閉環(huán)管理，持續(xù)提升數(shù)據(jù)安全風(fēng)險(xiǎn)處置能力。三級(jí)增強(qiáng)安全要求數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)包括如下要求：應(yīng)建立數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)預(yù)警機(jī)制，制定合理有效的風(fēng)險(xiǎn)監(jiān)測(cè)指標(biāo)；應(yīng)對(duì)數(shù)據(jù)安全事件和可能引發(fā)數(shù)據(jù)安全事件的風(fēng)險(xiǎn)隱患進(jìn)行收集、分析判斷和持續(xù)監(jiān)控預(yù)警，建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警流程，有效保障業(yè)務(wù)系統(tǒng)所承載數(shù)據(jù)資產(chǎn)的機(jī)密性、完整性、可用性；應(yīng)配備專人負(fù)責(zé)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)工作，定期出具風(fēng)險(xiǎn)監(jiān)測(cè)報(bào)告；應(yīng)定期對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測(cè)工作的有效性、全面性進(jìn)行審核驗(yàn)證。四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。數(shù)據(jù)安全管控基本安全要求數(shù)據(jù)訪問權(quán)限管控?cái)?shù)據(jù)訪問權(quán)限管控包括如下要求：應(yīng)根據(jù)不同數(shù)據(jù)級(jí)別明確數(shù)據(jù)管理審計(jì)類賬號(hào)權(quán)限開通分配使用變更注銷等安全管理要求，賬號(hào)關(guān)聯(lián)對(duì)象包括機(jī)構(gòu)內(nèi)部及數(shù)據(jù)合作方人員；應(yīng)對(duì)賬號(hào)及對(duì)應(yīng)權(quán)限進(jìn)行記錄權(quán)限發(fā)生變更時(shí)及時(shí)更新重點(diǎn)關(guān)注離職人員賬號(hào)回收、管理權(quán)限變更、沉默賬號(hào)、復(fù)活賬號(hào)；應(yīng)嚴(yán)格控制賬號(hào)訪問、操作權(quán)限，明確賬號(hào)權(quán)限審批流程；應(yīng)對(duì)賬號(hào)進(jìn)行統(tǒng)一身份認(rèn)證、操作行為記錄；應(yīng)對(duì)業(yè)務(wù)系統(tǒng)之間的數(shù)據(jù)訪問采取身份鑒別、訪問控制、安全審計(jì)、資源控制等技術(shù)措施；應(yīng)對(duì)數(shù)據(jù)批量下載上傳刪除共享和銷毀等重大操作行為設(shè)置內(nèi)部審批流程并記錄操作行為。數(shù)據(jù)防泄露管控應(yīng)在網(wǎng)絡(luò)層面對(duì)數(shù)據(jù)流轉(zhuǎn)、泄露和濫用情況進(jìn)行監(jiān)控，及時(shí)對(duì)異常數(shù)據(jù)操作行為進(jìn)行預(yù)警。數(shù)據(jù)接口管控?cái)?shù)據(jù)接口管控包括如下要求：應(yīng)在數(shù)據(jù)接口調(diào)用前進(jìn)行身份鑒別，通過技術(shù)手段限制非白名單接口接入；應(yīng)對(duì)數(shù)據(jù)接口定期開展安全檢測(cè)，及時(shí)發(fā)現(xiàn)并處置數(shù)據(jù)安全風(fēng)險(xiǎn)隱患；應(yīng)對(duì)數(shù)據(jù)接口實(shí)施調(diào)用審批流程，對(duì)接口調(diào)用行為進(jìn)行日志記錄；應(yīng)定期梳理數(shù)據(jù)接口，形成接口清單。三級(jí)增強(qiáng)安全要求數(shù)據(jù)訪問權(quán)限管控10數(shù)據(jù)防泄露管控?cái)?shù)據(jù)接口管控?cái)?shù)據(jù)接口管控包括如下要求：應(yīng)對(duì)異常數(shù)據(jù)接口調(diào)用行為實(shí)現(xiàn)自動(dòng)預(yù)警、攔截功能；注：開放數(shù)據(jù)接口的平臺(tái)包括但不限于數(shù)據(jù)開放平臺(tái)、數(shù)據(jù)共享交換平臺(tái)、數(shù)據(jù)交易平臺(tái)、大數(shù)據(jù)平臺(tái)、能力開放平臺(tái)。四級(jí)增強(qiáng)安全要求數(shù)據(jù)訪問權(quán)限管控?cái)?shù)據(jù)防泄露管控應(yīng)在終端層面對(duì)異常數(shù)據(jù)操作行為及時(shí)定位和阻斷。數(shù)據(jù)接口管控四級(jí)無增強(qiáng)安全要求。數(shù)據(jù)安全應(yīng)急處置基本安全要求數(shù)據(jù)安全應(yīng)急處置包括如下要求：11三級(jí)增強(qiáng)安全要求數(shù)據(jù)安全應(yīng)急處置包括如下要求：四級(jí)增強(qiáng)安全要求應(yīng)采取技術(shù)手段保證數(shù)據(jù)處理活動(dòng)的溯源數(shù)據(jù)真實(shí)性和保密性。數(shù)據(jù)安全審計(jì)基本安全要求數(shù)據(jù)安全審計(jì)包括如下要求：12數(shù)據(jù)收集基本安全要求數(shù)據(jù)收集包括如下要求：12數(shù)據(jù)收集基本安全要求數(shù)據(jù)收集包括如下要求：收集外部機(jī)構(gòu)數(shù)據(jù)前，應(yīng)對(duì)外部機(jī)構(gòu)數(shù)據(jù)源的合法性、合規(guī)性進(jìn)行鑒別；應(yīng)按照GB/T35273—2020中5.1至5.6規(guī)定的要求開展個(gè)人信息收集工作；9 數(shù)據(jù)處理活動(dòng)安全要求內(nèi)容、操作結(jié)果等，在發(fā)生安全事件時(shí)可提供溯源取證能力，日志保存時(shí)間不少于180天；c) 三級(jí)增強(qiáng)安全要求應(yīng)定期對(duì)數(shù)據(jù)賬號(hào)操作及接口調(diào)用情況進(jìn)行安全審計(jì)。四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。e) 提供公共服務(wù)的移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序或第三方應(yīng)用應(yīng)遵循最小化收集原則不應(yīng)因個(gè)人信息主體不同意收集非必要個(gè)人信息三方應(yīng)用。三級(jí)增強(qiáng)安全要求收集外部機(jī)構(gòu)數(shù)據(jù)前應(yīng)對(duì)數(shù)據(jù)收集過程中的網(wǎng)絡(luò)環(huán)境系統(tǒng)進(jìn)行安全評(píng)估確保收集數(shù)據(jù)的機(jī)密性、完整性和可用性。四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。數(shù)據(jù)存儲(chǔ)基本安全要求數(shù)據(jù)存儲(chǔ)包括如下要求：應(yīng)明確數(shù)據(jù)存儲(chǔ)相關(guān)安全管控措施，如加密、訪問控制、數(shù)字水印、完整性校驗(yàn)等；應(yīng)明確數(shù)據(jù)備份與恢復(fù)安全策略建立數(shù)據(jù)備份恢復(fù)操作規(guī)程說明數(shù)據(jù)備份周期備份方式、備份地點(diǎn)；建立數(shù)據(jù)恢復(fù)性驗(yàn)證機(jī)制，保障數(shù)據(jù)的可用性與完整性；應(yīng)提供異地?cái)?shù)據(jù)備份功能，利用通信網(wǎng)絡(luò)將數(shù)據(jù)定時(shí)批量傳送至備用場(chǎng)地；個(gè)人生物識(shí)別信息應(yīng)與個(gè)人身份信息分開存儲(chǔ)，原則上不應(yīng)存儲(chǔ)原始個(gè)人生物識(shí)別信息(如樣本、圖像等)，僅存儲(chǔ)個(gè)人生物識(shí)別信息的摘要信息；13或者個(gè)人信息主體另行授權(quán)同意的除外超出個(gè)人信息存儲(chǔ)期限后應(yīng)13或者個(gè)人信息主體另行授權(quán)同意的除外超出個(gè)人信息存儲(chǔ)期限后應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。三級(jí)增強(qiáng)安全要求數(shù)據(jù)存儲(chǔ)包括如下要求：應(yīng)提供異地實(shí)時(shí)備份功能，利用通信網(wǎng)絡(luò)將數(shù)據(jù)實(shí)時(shí)備份至備份場(chǎng)地；應(yīng)具備勒索病毒事前預(yù)警、事中阻斷及事后恢復(fù)的保障能力；應(yīng)提供數(shù)據(jù)處理環(huán)節(jié)關(guān)聯(lián)信息系統(tǒng)的熱冗余，保證數(shù)據(jù)的高可用性。四級(jí)增強(qiáng)安全要求應(yīng)建立異地災(zāi)難備份中心，提供數(shù)據(jù)的實(shí)時(shí)切換。數(shù)據(jù)傳輸基本安全要求數(shù)據(jù)傳輸包括如下要求：應(yīng)明確數(shù)據(jù)傳輸相關(guān)安全管控措施，如傳輸通道加密、數(shù)據(jù)內(nèi)容加密、數(shù)據(jù)接口傳輸安全等；應(yīng)對(duì)數(shù)據(jù)傳輸兩端進(jìn)行身份鑒別，確保數(shù)據(jù)傳輸雙方可信任；應(yīng)采用校驗(yàn)技術(shù)保證數(shù)據(jù)在傳輸過程中的完整性。三級(jí)增強(qiáng)安全要求數(shù)據(jù)傳輸包括如下要求：應(yīng)對(duì)關(guān)鍵網(wǎng)絡(luò)傳輸線路及核心設(shè)備實(shí)施冗余建設(shè)，確保數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)可用性；9.3.3 四級(jí)增強(qiáng)安全要求數(shù)據(jù)使用基本安全要求數(shù)據(jù)使用包括如下要求：（應(yīng)明確數(shù)據(jù)統(tǒng)計(jì)分析、展示、發(fā)布、公開披露等不同數(shù)據(jù)使用場(chǎng)景的安全管理要求；（降低數(shù)據(jù)敏感度及暴露風(fēng)險(xiǎn)；存在利用算法推薦技術(shù)進(jìn)行自動(dòng)化決策分析的情形，應(yīng)保證決策的透明度和結(jié)果公平合理；14安全和社會(huì)穩(wěn)定。14安全和社會(huì)穩(wěn)定。三級(jí)增強(qiáng)安全要求數(shù)據(jù)使用包括如下要求：應(yīng)采取技術(shù)措施保證匯聚大量數(shù)據(jù)時(shí)不暴露敏感信息；宜對(duì)不同數(shù)據(jù)使用場(chǎng)景采取數(shù)字水印等技術(shù)，實(shí)現(xiàn)數(shù)據(jù)防泄密及溯源能力；四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。數(shù)據(jù)加工基本安全要求數(shù)據(jù)加工包括如下要求：應(yīng)在數(shù)據(jù)加工前，書面明確數(shù)據(jù)加工目的、范圍、期限、規(guī)則及數(shù)據(jù)加工主體的責(zé)任與義務(wù)；d)委托他人加工處理數(shù)據(jù)的應(yīng)與其訂立數(shù)據(jù)安全保護(hù)合同明確雙委托加工處理個(gè)人信息的應(yīng)約定委托處理的目的期限處理方式個(gè)人信息的種保護(hù)措施以及雙方的權(quán)利和義務(wù)等對(duì)受托人的個(gè)人信息處理活動(dòng)進(jìn)行監(jiān)督三級(jí)增強(qiáng)安全要求數(shù)據(jù)加工包括如下要求：據(jù)操作行為及時(shí)預(yù)警、處置；應(yīng)對(duì)數(shù)據(jù)加工結(jié)果進(jìn)行評(píng)估如產(chǎn)生新數(shù)據(jù)應(yīng)對(duì)新數(shù)據(jù)進(jìn)行安全審核確保新數(shù)據(jù)不存在數(shù)據(jù)泄露風(fēng)險(xiǎn)；應(yīng)提供安全的數(shù)據(jù)加工環(huán)境包括網(wǎng)絡(luò)環(huán)境終端環(huán)境等避免加工過程導(dǎo)致數(shù)據(jù)泄露。四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。數(shù)據(jù)開放共享15數(shù)據(jù)開放共享包括如下要求：公共數(shù)據(jù)提供部門應(yīng)與公共數(shù)據(jù)使用部15數(shù)據(jù)開放共享包括如下要求：公共數(shù)據(jù)提供部門應(yīng)與公共數(shù)據(jù)使用部門簽署相關(guān)協(xié)明確數(shù)據(jù)使用目的供應(yīng)方式保密約定、數(shù)據(jù)共享范圍、數(shù)據(jù)安全保護(hù)要求等內(nèi)容；公共數(shù)據(jù)提供部門應(yīng)采用國家相關(guān)標(biāo)準(zhǔn)規(guī)定的密碼技；政務(wù)信息資源交換平臺(tái)的政務(wù)信息共享應(yīng)履行GB/T39477—2020第6章確定的共享數(shù)據(jù)安全要求。三級(jí)增強(qiáng)安全要求數(shù)據(jù)開放共享包括如下要求：公共數(shù)據(jù)提供部門應(yīng)建立內(nèi)部審批機(jī)制，明確數(shù)據(jù)對(duì)外共享目的、范圍、期限、頻次等內(nèi)容；公共數(shù)據(jù)提供部門宜對(duì)共享的數(shù)據(jù)采取數(shù)字水印等技術(shù)，確保共享數(shù)據(jù)可溯源；宜采用多方安全計(jì)算、同態(tài)加密等數(shù)據(jù)隱私計(jì)算技術(shù)實(shí)現(xiàn)數(shù)據(jù)共享的安全性。四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。數(shù)據(jù)交易基本安全要求應(yīng)按照相關(guān)法律、法規(guī)、規(guī)章的要求開展數(shù)據(jù)交易，加強(qiáng)交易過程的數(shù)據(jù)安全保護(hù)。三級(jí)增強(qiáng)安全要求。9.7.3 四級(jí)增強(qiáng)安全要求。數(shù)據(jù)出境基本安全要求數(shù)據(jù)出境包括如下要求：應(yīng)明確數(shù)據(jù)出境業(yè)務(wù)場(chǎng)景嚴(yán)格遵守國家法律行政法規(guī)數(shù)據(jù)出境安全監(jiān)管要求符合國家法律行政法規(guī)規(guī)定情形的應(yīng)提前開展數(shù)據(jù)出境安全評(píng)估及網(wǎng)絡(luò)安全審查工作嚴(yán)禁未授權(quán)數(shù)據(jù)出境行為；；。三級(jí)增強(qiáng)安全要求三級(jí)無增強(qiáng)安全要求。四級(jí)增強(qiáng)安全要求16數(shù)據(jù)銷毀與刪除基本安全要求16數(shù)據(jù)銷毀與刪除基本安全要求數(shù)據(jù)銷毀與刪除包括如下要求：應(yīng)建立數(shù)據(jù)銷毀與刪除規(guī)程明確數(shù)據(jù)銷毀與刪除場(chǎng)景方式及審批機(jī)制設(shè)置相關(guān)監(jiān)督角色，記錄數(shù)據(jù)銷毀與刪除操作過程；如因業(yè)務(wù)終止或組織解散無數(shù)據(jù)承接方的應(yīng)及時(shí)有效銷毀其控制的數(shù)據(jù)法律法規(guī)另有規(guī)定的除外；委托數(shù)據(jù)合作方完成數(shù)據(jù)處理后應(yīng)要求數(shù)據(jù)合作方及時(shí)銷毀委托的相關(guān)數(shù)據(jù)法律法規(guī)另有規(guī)定或者雙方另有約定的除外；根據(jù)要求、約定刪除數(shù)據(jù)或完成數(shù)據(jù)處理后無需保留源數(shù)據(jù)的，應(yīng)及時(shí)刪除相關(guān)數(shù)據(jù)；應(yīng)按照GB/T35273—2020中8.3執(zhí)。三級(jí)增強(qiáng)安全要求數(shù)據(jù)銷毀與刪除包括如下要求：應(yīng)在中國境內(nèi)對(duì)介質(zhì)存儲(chǔ)的數(shù)據(jù)進(jìn)行銷毀或刪除；應(yīng)對(duì)存儲(chǔ)數(shù)據(jù)的介質(zhì)或物理設(shè)備采取無法恢復(fù)的方式進(jìn)行數(shù)據(jù)銷毀與刪除如物理粉碎消磁、多次擦寫等。四級(jí)增強(qiáng)安全要求四級(jí)無增強(qiáng)安全要求。DB4403/T271—2022附 錄 A（資料性）序號(hào)平臺(tái)系統(tǒng)名稱責(zé)任部門數(shù)據(jù)庫名稱端口號(hào)數(shù)據(jù)庫版本信息大小庫表數(shù)量表序號(hào)表名稱安全等級(jí)1門152110GB101user級(jí)門152110GB102級(jí)序號(hào)數(shù)據(jù)子類類型數(shù)據(jù)字段名稱數(shù)據(jù)總量分類分級(jí)（數(shù)據(jù)類別）分類分級(jí)（數(shù)據(jù)級(jí)別）存儲(chǔ)位置(平臺(tái)系統(tǒng)名稱-數(shù)據(jù)庫名稱-表名〉是否涉及訪問及導(dǎo)出是否涉及數(shù)據(jù)共享是否涉及出境是否國家定義的重要數(shù)據(jù)150000身份證3級(jí)是是否否50000姓名3級(jí)是是否否表表A.2 數(shù)據(jù)資產(chǎn)分類分級(jí)（數(shù)據(jù)子類或數(shù)據(jù)字段）清單示例表A.1 業(yè)務(wù)系統(tǒng)（數(shù)據(jù)庫）清單示例公共數(shù)據(jù)分類分級(jí)清單示例業(yè)務(wù)系統(tǒng)（數(shù)據(jù)庫）清單示例見表A.1，數(shù)據(jù)資產(chǎn)分類分級(jí)（數(shù)據(jù)子類或數(shù)據(jù)字段）清單示例見表A.2。DB4403/T271—2022DB4403/T271—20221818附 錄 B（規(guī)范性）公共數(shù)據(jù)子類或數(shù)據(jù)字段定級(jí)及級(jí)別要求定級(jí)要素與等級(jí)關(guān)系）。表B.1數(shù)據(jù)子類或數(shù)據(jù)字段定級(jí)要素與安全等級(jí)關(guān)系數(shù)據(jù)定級(jí)要素?cái)?shù)據(jù)一般特征對(duì)應(yīng)級(jí)別受侵害的客體對(duì)客體的侵害程度國家安全特別嚴(yán)重?fù)p害/嚴(yán)重?fù)p害/一般損害數(shù)據(jù)子類或單一數(shù)據(jù)字段安全性遭到破壞關(guān)聯(lián)同一其它數(shù)據(jù)字段后可能對(duì)國家安全造成影響公共利益造成嚴(yán)重影響務(wù)機(jī)構(gòu)的合法權(quán)益造成特別嚴(yán)重影響。GB/T35273—2020A、附錄B中的“個(gè)人健康生理信息個(gè)人生物識(shí)別信息”等。4社會(huì)秩序和公共利益特別嚴(yán)重?fù)p害/嚴(yán)重?fù)p害4個(gè)人信息主體及公共管理和服務(wù)機(jī)構(gòu)的合法權(quán)益特別嚴(yán)重?fù)p害4社會(huì)秩序和公共利益一般損害數(shù)據(jù)子類或單一數(shù)據(jù)字段安全性遭到破壞關(guān)聯(lián)同一其它數(shù)據(jù)字段后可能對(duì)社會(huì)秩序和公共利益造成一般影響或?qū)€(gè)人信息主體及公共管理和服務(wù)機(jī)構(gòu)的合法權(quán)造成嚴(yán)重影響，但不影響國家安全。GB/T35273—2020A、附錄B中的“個(gè)人基本資個(gè)人身份信息個(gè)人通信信息個(gè)人位置信息聯(lián)系人信息個(gè)人財(cái)產(chǎn)信息3個(gè)人信息主體及公共管理和服務(wù)機(jī)構(gòu)的合法權(quán)益嚴(yán)重?fù)p害3個(gè)人信息主體及公共管理和服務(wù)機(jī)構(gòu)的合法權(quán)益一般損害數(shù)據(jù)子類或單一數(shù)據(jù)字段安全性遭到破壞關(guān)聯(lián)同一其它數(shù)據(jù)字段后可能對(duì)個(gè)人信息主體及公共管理和服務(wù)機(jī)構(gòu)的合法權(quán)益造成一般影響但不影響國家安全秩序和公共利益。GB/T35273—2020A、B中的“個(gè)人教育工作信息網(wǎng)絡(luò)身份標(biāo)識(shí)信息記錄個(gè)人常用設(shè)備信息”等。219DB4403/T271—202219表B.1數(shù)據(jù)子類/數(shù)據(jù)字段定級(jí)要素與安全等級(jí)關(guān)系（續(xù)）數(shù)據(jù)定級(jí)要素?cái)?shù)據(jù)一般特征對(duì)應(yīng)級(jí)別受侵害的客體對(duì)客體的侵害程度國家安全無損害數(shù)據(jù)子類或單一數(shù)據(jù)字段一知、使用。個(gè)人信息主體涉及的可公開或主動(dòng)公開的信息。1社會(huì)秩序和公共利益無損害1個(gè)人信息主體及公共管理和服務(wù)機(jī)構(gòu)的合法權(quán)益無損害1DB4403/T271—2022DB4403/T271—2022級(jí)別要求依據(jù)表取20表統(tǒng)20表處理活動(dòng)級(jí)別要求4級(jí)3級(jí)2級(jí)1級(jí)數(shù)據(jù)收集通過或。。通過或。。通過或。。。數(shù)據(jù)存儲(chǔ)。用。用。用。-DB4403/T271—2022表B.2公共數(shù)據(jù)子類或數(shù)據(jù)字段安全等級(jí)與安全要求關(guān)系（續(xù)）處理活動(dòng)級(jí)別4級(jí)3級(jí)2級(jí)1級(jí)數(shù)據(jù)傳輸。。密、脫敏等安全措施，確保傳輸安全性。。。采-數(shù)據(jù)使用。如多方計(jì)算、聯(lián)邦學(xué)習(xí)等。。如多方計(jì)算、聯(lián)邦學(xué)習(xí)等。。-數(shù)據(jù)加工。宜。宜。-21DB4403/T271—2022DB4403/T271—2022DB4403/T271—2022DB4403/T271—202222表B.2公共數(shù)據(jù)子類或數(shù)據(jù)字段安全等級(jí)與安全要求關(guān)系（續(xù)）22處理活動(dòng)級(jí)別4級(jí)3級(jí)2級(jí)1級(jí)數(shù)據(jù)開放共享。學(xué)習(xí)等。。學(xué)習(xí)等。。-數(shù)據(jù)交易a。a。a。a，。數(shù)據(jù)出境----數(shù)據(jù)銷毀與刪除。字段進(jìn)行擦除，確保數(shù)據(jù)不可恢復(fù)。。-2323C.2 不同行業(yè)分類方法見。圖C.1公共數(shù)據(jù)分類示例附 錄 C（資料性）公共數(shù)據(jù)分類方法分類方法及示例梳大一所。DB4403/T271—2022DB4403/T271—2022DB4403/T271—2022DB4403/T271—20222424附 錄 D（資料性）常見個(gè)人信息分類分級(jí)參考表表。表D.1 常見個(gè)人信息分類分級(jí)參考表一級(jí)類別二級(jí)類別典型示例和說明參考級(jí)別個(gè)人信息個(gè)人健康生理信息指?jìng)€(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄如病癥住院志醫(yī)囑單、檢驗(yàn)報(bào)告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等，以及與個(gè)人身體健康狀況相關(guān)的其他信息，如吸煙史等。4個(gè)人生物識(shí)別信息指輔助識(shí)別個(gè)人身份的生物信息，如：弱隱私生物特征信息，包括人臉、聲紋、步態(tài)、耳廓、眼紋、筆跡等；強(qiáng)隱私生物特征信息，包括個(gè)人基因、指紋、掌紋、虹膜等。4個(gè)人鑒別信息指?jìng)€(gè)人的金融用戶鑒別信息，如：（或芯片等效信息（CNCN、卡片有效期、銀行卡密碼、網(wǎng)絡(luò)支付交易密碼；（包括但不限于支付賬號(hào)證券賬戶保險(xiǎn)賬戶登錄密碼、交易密碼、查詢密碼、USBKEY、U盾（網(wǎng)銀、手機(jī)銀行密保工具信息）等。4指?jìng)€(gè)人的其它用戶鑒別信息，且泄露后不造成個(gè)人經(jīng)濟(jì)損失，但會(huì)對(duì)個(gè)人工作或生活造成影響，如：公共管理和服務(wù)機(jī)構(gòu)對(duì)社會(huì)公眾提供服務(wù)的網(wǎng)站涉及的用戶鑒別信息，如社保、教育、交通、水電等相關(guān)系統(tǒng)；公共管理和服務(wù)機(jī)構(gòu)內(nèi)部系統(tǒng)涉及的用戶鑒別信息，包括OA系統(tǒng)、郵件系統(tǒng)等用戶鑒別信息。3個(gè)人基本資料指?jìng)€(gè)人基本情況，如：個(gè)人姓名、生日、性別、民族、國籍、家庭關(guān)系、住址、電子郵件地址、婚姻狀況等。3個(gè)人身份信息指?jìng)€(gè)人的身份信息如身份證軍官證護(hù)照駕駛證工作證、社?？ā⒕幼∽C、港澳通行證、駕照編號(hào)等。3個(gè)人通信信息指?jìng)€(gè)人的通信記錄數(shù)據(jù)，如：通信記錄和內(nèi)容、短信、彩信、電子郵件，以及描述個(gè)人通信的數(shù)據(jù)(通常稱為元數(shù)據(jù))等。3個(gè)人位置信息指能具體定位到個(gè)人的地理位置信息，如：行蹤軌跡、精準(zhǔn)定位信息、住宿信息、經(jīng)緯度等常在位置和當(dāng)前位置等信息。3聯(lián)系人信息指?jìng)€(gè)人各類通信聯(lián)系方式數(shù)據(jù)，如：手機(jī)號(hào)碼、固定電話、電子郵箱地址、微信號(hào)、QQ號(hào)等。32525表D.1 常見個(gè)人信息分類分級(jí)參考表續(xù)）一級(jí)類別二級(jí)類別典型示例和說明參考級(jí)別個(gè)人信息聯(lián)系人信息指好友通信聯(lián)系方式數(shù)據(jù)，如：通訊錄、好友列表、群列表、電子郵件地址列表、微信群號(hào)等。3未成年個(gè)人信息指未