版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
數據安全技術數據分類分級規(guī)則2024-03-15發(fā)布2024-10-01實施國家市場監(jiān)督管理總局國家標準化管理委員會I 12規(guī)范性引用文件 13術語和定義 14基本原則 25數據分類規(guī)則 25.1數據分類框架 25.2數據分類方法 36數據分級規(guī)則 36.1數據分級框架 36.2數據分級方法 46.3數據分級要素 46.4數據影響分析 46.5級別確定規(guī)則 56.6綜合確定級別 67數據分類分級流程 77.1行業(yè)領域數據分類分級流程 77.2處理者數據分類分級流程 7附錄A(資料性)基于描述對象與數據主體的數據分類參考 8附錄B(資料性)個人信息分類示例 9附錄C(資料性)數據分級要素識別常見考慮因素 附錄D(資料性)安全風險常見考慮因素 附錄E(資料性)影響對象考慮因素 附錄F(資料性)影響程度參考示例 附錄G(規(guī)范性)重要數據識別指南 附錄H(資料性)一般數據分級參考 附錄I(資料性)衍生數據分級參考 附錄J(資料性)動態(tài)更新情形參考 參考文獻 ⅢGB/T43697—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結構和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內容可能涉及專利。本文件的發(fā)布機構不承擔識別專利的責任。本文件由全國網絡安全標準化技術委員會(SAC/TC260)提出并歸口。本文件起草單位:中國電子技術標準化研究院、中國科學技術大學、國家計算機網絡應急技術處理協(xié)調中心、國家信息技術安全研究中心、中國信息安全測評中心、中國網絡空間研究院、中國網絡安全審查技術與認證中心、國家工業(yè)信息安全發(fā)展研究中心、國家信息中心、北京市政務信息安全保障中心(北京信息安全測評中心)、公安部第三研究所、中國信息通信研究院、清華大學、中國人民公安大學、中國科學院軟件研究所、交通運輸部科學研究院、杭州安恒信息技術股份有限公司、三六零數字安全科技集團有限公司、北京抖音信息服務有限公司、北京快手科技有限公司、中國核能行業(yè)協(xié)會、中國石油化工集團有限公司、中國銀聯股份有限公司、中國郵政儲蓄銀行股份有限公司、阿里巴巴(北京)軟件服務有限公司、螞蟻科技集團股份有限公司、華為技術有限公司、北京百度網訊科技有限公司、中國移動通信集團有限公司、中國電信集團有限公司、北京愛奇藝科技有限公司、數庫(上海)科技有限公司、北京奇虎科技有限公司、深信服科技股份有限公司、啟明星辰信息技術集團股份有限公司、奇安信科技集團股份有限公司。2021年9月1日,《中華人民共和國數據安全法》正式施行,明確規(guī)定“國家建立數據分類制度”,提出“根據數據在經濟社會發(fā)展中的重要程度,以及一旦遭到篡改、損毀、泄露或者非法獲取、非法使用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護”。開展數據分類分級保護工作,首先需要對數據進行分類分級,識別涉及的重要數據和核心數據,然后建立相應的數據安全保護措施。本文件在國家數據安全工作協(xié)調機制指導下,根據《中華人民共和國分類分級的通用規(guī)則,用于指導各行業(yè)領域、各地區(qū)、各部門和數據處理者開展數據分類分級工作。IN1數據安全技術數據分類分級規(guī)則本文件適用于行業(yè)領域主管(監(jiān)管)部門參考制定本行業(yè)本領域的數據分類分級標準規(guī)范,也適用于各地區(qū)、各部門開展數據分類分級工作,同時為數據處理者進行數據分類分級提供參考。本文件不適用于涉及國家秘密的數據和軍事數據。2規(guī)范性引用文件下列文件中的內容通過文中的規(guī)范性引用而構成本文件必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于GB/T25069—2022信息安全技術術語3術語和定義GB/T25069—2022界定的以及下列術語和定義適用于本文件。任何以電子或者其他方式對信息的記錄。注:僅影響組織自身或公民個體的數據一般不作為重要數據。有關部門評估確定的其他數據。以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。一旦泄露或者非法使用,容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。2在某個行業(yè)領域內依法履行工作職責或開展業(yè)務活動中收集和產生的數據。各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位,在依法履行公共事務管理職責或提供公共服務過程中收集、產生的數據。組織數據organizationdata組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據。衍生數據deriveddata數據處理者dataprocessor在數據處理活動中自主決定處理目的、處理方式的組織、個人。4基本原則遵循國家數據分類分級保護要求,按照數據所屬行業(yè)領域進行分類分級管理,依據以下原則對數據進行分類分級。a)科學實用原則:從便于數據管理和使用的角度,科學選擇常見、穩(wěn)定的屬性或特征作為數據分類的依據,并結合實際需要對數據進行細化分類。b)邊界清晰原則:數據分級的各級別邊界清晰,對不同級別的數據采取相應的保護措施。c)就高從嚴原則:采用就高不就低的原則確定數據級別,當多個因素可能影響數據分級時,按照可能造成的各個影響對象的最高影響程度確定數據級別。d)點面結合原則:數據分級既要考慮單項數據分級,也要充分考慮多個領域、群體或區(qū)域的數據匯聚融合后的安全影響,綜合確定數據級別。e)動態(tài)更新原則:根據數據的業(yè)務屬性、重要性和可能造成的危害程度的變化,對數據分類分級、重要數據目錄等進行定期審核更新。5數據分類規(guī)則5.1數據分類框架數據按照先行業(yè)領域分類、再業(yè)務屬性分類的思路進行分類。b)各行業(yè)各領域主管(監(jiān)管)部門根據本行業(yè)本領域業(yè)務屬性,對本行業(yè)領域數據進行細化分類。常見業(yè)務屬性包括但不限于:1)業(yè)務領域:按照業(yè)務范圍、業(yè)務種類或業(yè)務功能進行細化分類;2)責任部門:按照數據管理部門或職責分工進行細化分類;3)描述對象:按照數據描述的對象進行細化分類;注1:按照描述對象分為用戶數據、業(yè)務數據、經營管理數據、系統(tǒng)運維數據,見附錄A的A.1。34)流程環(huán)節(jié):按照業(yè)務流程、產業(yè)鏈環(huán)節(jié)進行細化分類;5)數據主體:按照數據主體或屬主進行細化分類;6)內容主題:按照數據描述的內容主題進行細化分類;7)數據用途:按照數據處理目的、用途進行細化分類;8)數據處理:按照數據處理活動或數據加工程度進行細化分類;9)數據來源:按照數據來源、收集方式進行細化分類。c)如涉及法律法規(guī)有專門管理要求的數據類別(如個人信息等),應按照有關規(guī)定和標準進行識別和分類。注4:個人信息分類示例見附錄B,敏感個人信息識別和分類見敏感個人信息國家標準。5.2數據分類方法數據分類可根據數據管理和使用需求,結合已有數據分類基礎,靈活選擇業(yè)務屬性將數據細化分類。具體參考以下步驟開展行業(yè)領域數據分類。a)明確數據范圍:按照行業(yè)領域主管(監(jiān)管)部門職責,明確本行業(yè)本領域管理的數據范圍。b)細化業(yè)務分類:對本行業(yè)本領域業(yè)務進行細化分類,包括:1)結合部門職責分工,明確行業(yè)領域或業(yè)務條線的分類;注1:工業(yè)領域數據,按照部門職責分成原材料、裝備制造、消費品、電子信息制造、軟件和信息技術服務等類別。2)按照業(yè)務范圍、運營模式、業(yè)務流程等,細化行業(yè)領域或明確各業(yè)務條線的關鍵業(yè)務分類。械等。c)業(yè)務屬性分類:選擇合適的業(yè)務屬性,對關鍵業(yè)務的數據進行細化分類。d)確定分類規(guī)則:梳理分析各關鍵業(yè)務的數據分類結果,根據行業(yè)領域數據管理和使用需求,確定行業(yè)領域數據分類規(guī)則,例如:1)可采取“業(yè)務條線—關鍵業(yè)務—業(yè)務屬性分類”的方式給出數據分類規(guī)則。注3:鋼鐵數據按照數據描述對象,分為用戶數據、業(yè)務數據、經細分為研發(fā)設計數據、控制信息、工藝參數等,其中研發(fā)設計數據類別能標識為“工業(yè)數據-原材料2)也可對關鍵業(yè)務的數據分類結果進行歸類分析,將具有相似主題的數據子類進行歸類。注4:工業(yè)領域數據也按照數據處理、流程環(huán)節(jié)等業(yè)務屬性進行分類,首先按照數據處理者類型分為工業(yè)企業(yè)工業(yè)數據、平臺企業(yè)工業(yè)數據,再將工業(yè)企業(yè)工業(yè)數據分為研發(fā)數據、生產數據、運維數據、管理數據、外部數據,然后按照數據主題將生產數據分為控制信息、工況狀態(tài)、工藝參數、系統(tǒng)日志等。6數據分級規(guī)則6.1數據分級框架根據數據在經濟社會發(fā)展中的重要程度,以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、46.2數據分級方法數據分級是為了保護數據安全,具體可參考以下步驟進行數據分級。注1:數據項通常表現為數據庫表某一列字段等。數據集是由多個數據記錄組成的集合,如數據庫表、數據庫一行或多行記錄集合、數據文件等。注2:跨行業(yè)領域數據是指某個行業(yè)領域收集或產生的數據流轉到另一個行業(yè)領域,以及兩個或兩個以上行業(yè)領域的數據融合加工產生的數據。b)分級要素識別:結合自身數據特點,按照6.3識別數據涉及的分級要素情況。c)數據影響分析:結合數據分級要素識別情況,分析數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,可能影響的對象(見6.4.1)和影響程度(見6.4.2)。d)綜合確定級別:按照6.5和6.6,綜合確定數據級別。6.3數據分級要素常作為衍生數據的分級要素。數據分級應首先識別以下數據分級要素情況,具體考慮因素見附錄C。a)領域:數據描述的業(yè)務或內容范疇。數據領域可識別數據描述的行業(yè)領域、業(yè)務條線、流程環(huán)b)群體:數據主體或描述對象集合。數據群體可識別數據描述的人群、組織、網絡和信息系統(tǒng)、資源物資等因素。c)區(qū)域:數據涉及的地區(qū)范圍。數據區(qū)域可識別數據描述的行政區(qū)劃、特定地區(qū)等因素。d)精度:數據的精確或準確程度。數據精度可識別數值精度、空間精度、時間精度等因素。e)規(guī)模:數據規(guī)模及數據描述的對象范圍或能力大小。數據規(guī)模可識別數據存儲量、群體規(guī)模、區(qū)域規(guī)模、領域規(guī)模、生產加工能力等因素。f)深度:通過數據統(tǒng)計、關聯、挖掘或融合等加工處理,對數據描述對象的隱含信息或多維度細節(jié)信息的刻畫程度。數據深度可識別數據在刻畫描述對象的經濟運行、發(fā)展態(tài)勢、行蹤軌跡、活g)覆蓋度:數據對領域、群體、區(qū)域、時段等的覆蓋分布或疏密程度。數據覆蓋度可識別對領域、h)重要性:數據在經濟社會發(fā)展中的重要程度。重要性可識別數據在經濟建設、政治建設、文化建設、社會建設、生態(tài)文明建設等方面的重要程度。6.4數據影響分析影響對象是指數據面臨安全風險時,可能影響的對象。其中,安全風險主要考慮數據遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享等風險,見附錄D。影響對象通常包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益,判斷影響對象的常見考慮因素見附錄E。b)經濟運行:影響市場經濟運行秩序、宏觀經濟形勢、國民經濟命脈、行業(yè)領域產業(yè)發(fā)展等經濟運行機制。d)公共利益:影響社會公眾使用公共服務、公共設施、公共資源或影響公共健康安全等公共利益。5e)組織權益:影響組織自身或其他組織的生產運營、聲譽形象、公信力、知識產權等組織權益。f)個人權益:影響自然人的人身權、財產權、隱私權、個人信息權益等個人權益。影響程度是指數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,可能造成的影響程度。影響程度從高到低可分為特別嚴重危害、嚴重危害、一般危害。對不同影響對象進行影響程度判斷時,采取的基準不同。如果影響對象是國家安全、經濟運行、社會秩序或公共利益,則以國家、社會或行業(yè)領域的整體利益作為判斷影響程度的基準。如果影響對象僅是組織或個人權益,則以組織或公民個人的權益作為判斷影響程度的基準。開展數據影響分析時,應按照以下規(guī)則確定影響程度,影響程度參考示例見附錄F。a)當影響對象是國家安全時:1)如果直接影響政治安全,應將影響程度確定為特別嚴重危害;2)如果關系其他國家安全重點領域,應將影響程度確定為嚴重危害;3)其他直接危害國家安全的情形,應將影響程度確定為一般危害。b)當影響對象是經濟運行時:1)如果關系國民經濟命脈,應將影響程度確定為特別嚴重危害;2)如果直接危害宏觀經濟運行,或對行業(yè)領域或地區(qū)的經濟發(fā)展造成嚴重危害,應將影響程度確定為嚴重危害。c)當影響對象是社會秩序時:1)如果關系重要民生,應將影響程度確定為特別嚴重危害;2)如果直接危害社會穩(wěn)定,應將影響程度確定為嚴重危害。d)當影響對象是公共利益時:1)如果關系重大公共利益,應將影響程度確定為特別嚴重危害;2)如果直接危害公共健康和安全,應將影響程度確定為嚴重危害。e)當影響對象是個人或組織權益時,如果影響大規(guī)模的個人或組織權益,需要同時研判是否會對國家安全、經濟運行、社會秩序或公共利益造成影響以及影響程度。6.5級別確定規(guī)則a)滿足以下任一條件的數據,識別為核心數據:1)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對國家安全造成特別嚴重危害(如直接影響政治安全)或嚴重危害(如關系其他國家安全重點領域);2)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對經濟運行造成特別嚴重危害(如關系國民經濟命脈);3)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對社會秩序造成特別嚴重危害(如關系重要民生);4)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對公共利益造成特別嚴重危害(如關系重大公共利益);5)對領域、群體、區(qū)域具有較高覆蓋度,直接影響政治安全的重要數據;6)達到較高精度、較大規(guī)模、較高重要性或深度,直接影響政治安全的重要數據;7)經有關部門評估確定的核心數據。6b)滿足以下任一條件的數據,識別為重要數據:1)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對國家安全造成一般危害;2)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對經濟運行造成嚴重危害;3)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對社會秩序造成嚴重危害(如影響社會穩(wěn)定);4)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,直接對公共利益造成嚴重危害(如危害公共健康和安全);5)數據直接關系國家安全、經濟運行、社會穩(wěn)定、公共健康和安全的特定領域、特定群體或特定區(qū)域;康和安全;7)經行業(yè)領域主管(監(jiān)管)部門評估確定的重要數據。c)未識別為核心數據、重要數據的其他數據,確定為一般數據。表1數據級別確定規(guī)則表影響對象影響程度特別嚴重危害嚴重危害一般危害國家安全核心數據核心數據重要數據經濟運行核心數據重要數據一般數據社會秩序核心數據重要數據一般數據公共利益核心數據重要數據一般數據組織權益、個人權益一般數據一般數據一般數據注:如果影響大規(guī)模的個人或組織權益,影響對象可能不只包括個人權益或組織權益,也可能對國家安全、經濟運行、社會秩序或公共利益造成影響。6.6綜合確定級別在分級要素識別、數據影響分析的基礎上,按照以下規(guī)則確定數據級別。a)應按照6.5規(guī)定的數據級別確定規(guī)則,識別核心數據、重要數據和一般數據。b)重要數據的識別,在符合6.5b)的基礎上應按照附錄G執(zhí)行。c)如待分級數據涉及多個要素、多個影響對象或影響程度,應按照就高從嚴原則確定數據級別。d)數據集級別可在數據項級別的基礎上,按照就高從嚴的原則,將數據集包含數據項的最高級別作為數據集默認級別,但同時也要考慮分級要素(如數據規(guī)模)變化可能需要調高級別。注:數據集中各數據項級別與數據集級別不一定相同,具體要根據該數據項的影響對象和影響程度進行判斷。e)在6.1規(guī)定的數據分級框架下,如還需對一般數據進行細化分級保護,可參考附錄H對一般數據進行分級。f)衍生數據級別可按照就高從嚴原則,在原始數據級別的基礎上,綜合考慮加工后的數據深度等體見附錄I。7g)跨行業(yè)領域數據分級,原則上可按照數據來源的行業(yè)領域數據分級規(guī)則確定級別,如果存在跨行業(yè)領域數據融合加工,需考慮融合加工對數據分級要素的影響,按照衍生數據確定級別。h)根據數據重要程度和可能造成的危害程度的變化,應對數據級別進行動態(tài)更新,更新情形見附錄J。7數據分類分級流程7.1行業(yè)領域數據分類分級流程行業(yè)領域主管(監(jiān)管)部門在遵循國家有關規(guī)定要求的基礎上,可參考以下步驟開展行業(yè)領域數據分類分級工作,a)制定行業(yè)標準規(guī)范:按照國家數據分類分級保護有關要求,參照本文件制定本行業(yè)本領域的數據分類分級標準規(guī)范,重點可明確以下內容:1)明確行業(yè)數據分類細則,確定數據分類所依據的業(yè)務屬性,給出按照業(yè)務屬性劃分的數據類別;本領域重要數據識別細則,確定哪些數據可確定為重要數據;3)明確本行業(yè)本領域核心數據識別細則,提出哪些數據建議確定為核心數據;4)明確本行業(yè)本領域一般數據范圍。b)開展數據分類分級:行業(yè)領域主管(監(jiān)管)部門,根據本行業(yè)本領域的數據分類分級標準規(guī)范,組織本行業(yè)本領域數據處理者開展數據分類分級工作,指導數據處理者準確識別、及時報送重要數據和核心數據目錄信息。7.2處理者數據分類分級流程數據處理者進行數據分類分級時,應在遵循國家和行業(yè)領域數據分類分級要求的基礎上,參考以下步驟開展數據分類分級工作。a)數據資產梳理:對數據資產進行全面梳理,確定待分類分級的數據資產及其所屬的行業(yè)領域。b)制定內部規(guī)則:按照行業(yè)領域數據分類分級標準規(guī)范,結合處理者自身數據特點,參考本文件制定自身的數據分類分級細則:1)如行業(yè)領域主管部門已制定行業(yè)領域數據分類分級規(guī)則,處理者應結合自身實際參考本文件的數據分類分級方法,按照行業(yè)領域數據分類分級規(guī)則細化執(zhí)行;2)如所屬行業(yè)領域沒有行業(yè)主管部門認可的數據分類分級標準規(guī)范的,或存在行業(yè)領域規(guī)范未覆蓋的數據類型,按照本文件進行數據分類分級;3)如果業(yè)務涉及多個行業(yè)領域,可在參考本文件的基礎上,分別按照各個行業(yè)領域的數據分類分級標準規(guī)范細化執(zhí)行。c)實施數據分類:對數據進行分類,并對公共數據、個人信息等特殊類別數據進行識別和分類。d)實施數據分級:對數據進行分級,確定核心數據、重要數據和一般數據的范圍。注:由于一般數據涵蓋范圍較廣,數據處理者結合組織自身安全需求,參考附錄H對一般數據進行細化分級。e)審核上報目錄:對數據分類分級結果進行審核,形成數據分類分級清單、重要數據和核心數據目錄,并對數據進行分類分級標識,按有關程序報送目錄。f)動態(tài)更新管理:根據數據重要程度和可能造成的危害程度變化,對數據分類分級規(guī)則、重要數據和核心數據目錄、數據分類分級清單和標識等進行動態(tài)更新管理,動態(tài)更新情形見附錄J。8(資料性)基于描述對象與數據主體的數據分類參考A.1基于描述對象的數據分類參考從數據描述對象角度,可將數據分為用戶數據、業(yè)務數據、經營管理數據、系統(tǒng)運維數據四個類表A.1基于描述對象的數據分類參考示例數據類別類別定義示例用戶數據在開展業(yè)務服務過程中從個人用戶或組織用戶收集的數據,以及在業(yè)務服務過程中產生的歸屬于用戶的數據如個人信息、組織用戶信息(如組織基本信息、組織賬號信息、組織信用信息等)業(yè)務數據在業(yè)務的研發(fā)、生產、運營過程中收集和產生的非用戶類數據參考業(yè)務所屬的行業(yè)數據分類分級,結合自身業(yè)務特點進行細分,如產品數據、合同協(xié)議等經營管理數據數據處理者在單位經營和內部管理過程中收集和產生的數據如經營戰(zhàn)略、財務數據、并購融資信息、人力資源數據、市場營銷數據等系統(tǒng)運維數據網絡和信息系統(tǒng)運行維護、日志記錄及網絡安全數據如網絡設備和信息系統(tǒng)的配置數據、日志數據、安全監(jiān)測數據、安全漏洞數據、安全事件數據等A.2基于數據主體的數據分類參考從數據主體角度,可將數據分為公共數據、組織數據、個人信息三個類別,數據分類參考示例見表A.2基于數據主體的數據分類參考示例數據分類類別定義示例公共數據各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位,在依法履行公共事務管理職責或提供公共服務過程中收集、產生的數據如政務數據,在供水、供電、供氣等公共服務運營過程中收集和產生的數據等組織數據組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據如不涉及個人信息和公共利益的業(yè)務數據、經營管理數據、系統(tǒng)運維數據等個人信息以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息如個人身份信息、個人生物識別信息、個人財產信息、個人通信信息、個人位置信息、個人健康生理信息等9(資料性)個人信息分類示例表B.1個人信息分類參考示例一級類別二級類別典型示例和說明個人基本資料個人基本資料治面貌、婚姻狀況、家庭關系、住址、個人電話號碼、電子郵件地址、興趣愛好等個人身份信息個人身份信息可直接標識自然人身份的信息,如身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證、港澳臺通行證等證件號碼、證件照片或影印件等。其中特定身份信息屬于敏感個人信息,具體參見敏感個人信息國家標準個人生物識別信息生物識別信息別信息,包括生物特征識別原始信息(如樣本、圖像)、比對信息(如特征值、模板)等網絡身份標識信息網絡身份標識信息可標識網絡或通信用戶身份的信息及賬戶相關資料信息(金融賬戶除外),如用戶賬號、用戶標識符(用戶ID)、即時通信賬號、網絡社交用戶賬號、用戶頭像、昵稱、個性簽名、互聯網協(xié)議地址(IP地址)等個人健康生理信息健康狀況信息與個人身體健康狀況相關的個人信息,如體重、身高、體溫、肺活量、血壓、血型等醫(yī)療健康信息個人因疾病診療等醫(yī)療健康服務產生的相關信息,如醫(yī)療就診記錄、生育信息、既往病史等,具體范圍參見敏感個人信息國家標準個人教育工作信息個人教育信息個人教育和培訓的相關信息,如學歷、學位、教育經歷、學號、成績單、資質證書、培訓記錄、獎懲信息、受資助信息等個人工作信息個人求職和工作的相關信息,如個人職業(yè)、職位、職稱、工作單位、工作地點、工作經歷、工資、工作表現、簡歷、離退休狀況等個人財產信息金融賬戶信息金融賬戶及鑒別相關信息,如銀行、證券等賬戶的賬號、密碼等,具體參見敏感個人信息國家標準個人交易信息交易過程中產生的交易信息和消費記錄,如交易訂單、交易金額、支付記信息,保單信息、理賠信息等個人資產信息游戲類兌換碼等)等個人借貸信息個人在借貸過程中產生的信息,如個人借款信息、還款信息、欠款信息、信貸記錄、征信信息、擔保情況等身份鑒別信息身份鑒別信息用于個人身份鑒別的數據,如賬號口令、數字證書、短信驗證碼、密碼提示問題等表B.1個人信息分類參考示例(續(xù))一級類別二級類別典型示例和說明個人通信信息個人通信信息通信記錄,短信、彩信、話音、電子郵件、即時通信等通信內容(如文字、圖片、音頻、視頻、文件等),及描述個人通信的元數據(如通話時長)等聯系人信息聯系人信息描述個人與關聯方關系的信息,如通訊錄、好友列表、群列表、電子郵件地址列表、家庭關系、工作關系、社交關系、父母或監(jiān)護人信息、配偶信息等個人上網記錄個人操作記錄個人在業(yè)務服務過程中的操作記錄和行為數據,包括網頁瀏覽記錄、軟件錄、服務使用時間、下載記錄等業(yè)務行為數據用戶使用某業(yè)務的行為記錄(如游戲業(yè)務:用戶游戲登錄時間、最近充值時間、累計充值額度、用戶通關記錄)等個人設備信息可變更的唯一設備識別碼AndroidID、廣告標識符(IDFA)、應用開發(fā)商標識符(IDFV)、開放匿名設備標識符(OAID)等不可變更的唯一設備識別碼國際移動設備識別碼(IMEI)、移動設備識別碼(MEID)、設備媒體訪問控制(MAC)地址、硬件序列號等應用軟件列表用戶在終端上安裝的應用程序列表,如每款應用軟件的名稱、版本等個人位置信息粗略位置信息僅能定位到行政區(qū)、縣級等的位置信息,如地區(qū)代碼、城市代碼等行蹤軌跡信息與個人所處地理位置、活動地點和活動軌跡等相關的信息,具體范圍參見敏感個人信息國家標準住宿出行信息個人住宿信息,及乘坐飛機、火車、汽車、輪船等交通出行信息等個人標簽信息個人標簽信息基于個人上網記錄等加工產生的個人用戶標簽、畫像信息,如行為習慣、興趣偏好等個人運動信息個人運動信息步數、步頻、運動時長、運動距離、運動方式、運動心率等其他個人信息其他個人信息性取向、婚史、宗教信仰、未公開的違法犯罪記錄等(資料性)數據分級要素識別常見考慮因素數據的領域、群體、區(qū)域識別常見考慮因素,包括但不限于以下內容。——數據領域識別的常見考慮因素,例如: 數據群體識別的常見考慮因素,例如: 數據區(qū)域識別的常見考慮因素,例如:C.2數據精度考慮因素數據精度識別的常見考慮因素,例如:——數值精度,如統(tǒng)計指標的精度等;——空間精度,如位置定位精度、數字地圖精度等;——生產工藝精密度,如集成電路精細度、機械加工精度等;——視頻圖像高清度;——遙測遙感精度;——儀器儀表精度。C.3數據規(guī)??紤]因素數據規(guī)模識別的常見考慮因素,例如:——數據存儲量;——企業(yè)市值(估值);——設備或裝備容量;——資源儲量;——交易量;——群體規(guī)模,如用戶規(guī)模、系統(tǒng)或設備數量、生產加工單元數量、基礎設施數量、項目數量等。C.4數據深度考慮因素數據深度識別的常見考慮因素,例如:——經濟運行情況統(tǒng)計;——產業(yè)發(fā)展態(tài)勢分析;——領域、群體或區(qū)域的特征分析,如人群或用戶特征分析;——行蹤軌跡;——對象關系;——歷史信息;——產業(yè)供應鏈。C.5數據覆蓋度考慮因素數據覆蓋度識別的常見考慮因素,例如:——領域覆蓋分布或密度,如領域覆蓋占比、領域覆蓋分布、領域覆蓋密度等;——群體覆蓋分布或密度,如群體覆蓋占比、群體覆蓋分布、人口密度等;——區(qū)域覆蓋分布或密度,如行政區(qū)劃覆蓋度、區(qū)域覆蓋分布、區(qū)域覆蓋密度等;——時段覆蓋分布或密度,如時間段覆蓋度、時間段覆蓋分布、時間段覆蓋密度等。C.6數據重要性考慮因素數據重要性識別常見考慮因素,例如:a)在數字經濟建設中的重要程度,如數字基礎設施建設、數據要素市場流通、產業(yè)數字化轉型、數字化產業(yè)競爭力等;b)在數字政府和政治建設中的重要程度,如政務數據共享、公共數據開放和開發(fā)利用、數字化政物館、網絡空間等各項文化事業(yè);d)在社會建設中的重要程度,如公共服務數字化、智慧城市、數字生活建設、住建、數字農村等;f)在國家安全、維護社會穩(wěn)定等工作的重要程度,如涉外數據對維護和塑造國家安全意義重大。(資料性)安全風險常見考慮因素數據影響分析通??紤]以下安全風險。a)數據泄露:數據竊取、未授權訪問數據、違規(guī)導出數據等破壞數據保密性風險。b)數據篡改:未授權修改、注入、仿冒、偽造數據等破壞數據完整性風險。c)數據損毀:也稱數據破壞,數據被損毀、數據質量下降、數據訪問或使用中斷等破壞數據可用性風險。d)非法獲取數據:違反法律、行政法規(guī)等有關規(guī)定,超范圍收集、強制授權、非法獲取公民個人信息等違法違規(guī)收集數據風險。e)非法使用數據:也稱非法利用數據,違反法律、行政法規(guī)等有關規(guī)定,使用、加工、委托處理數據。f)非法共享數據:違反法律、行政法規(guī)等有關規(guī)定,向他人提供、交換、轉移、交易、出境、公開數據。(資料性)影響對象考慮因素E.1國家安全判斷數據是否可能影響國家安全,常見考慮因素包括但不限于:a)影響國家政權安全、政治制度安全、意識形態(tài)安全、民族和宗教政策安全;b)影響領土安全、國家統(tǒng)一、邊疆安全和國家海洋權益;c)影響基本經濟制度安全、供給側結構性改革、糧食安全、能源安全、重要資源安全、系統(tǒng)性金融風險、國際開放合作安全;d)影響國家科技實力、科技自主創(chuàng)新、關鍵核心技術、國際科技競爭力、科技倫理風險、出口管制物項;e)影響社會主義核心價值觀、文化軟實力、中華優(yōu)秀傳統(tǒng)文化等;f)影響國家社會治理體系、社會治安防控體系、應急管理體系等;g)影響生態(tài)環(huán)境安全、綠色生態(tài)發(fā)展、污染防治、生態(tài)系統(tǒng)質量和穩(wěn)定性、生態(tài)環(huán)境領域國家治理體系等;h)影響國防和軍隊現代化建設等,或者可被其他國家或組織利用發(fā)起對我國的軍事打擊;i)影響電磁空間、網絡空間安全、關鍵信息基礎設施安全、人工智能安全,或者可能被利用實施對關鍵信息基礎設施、核心技術設備等的網絡攻擊,可能導致特別重大或重大網絡安全和數據安全事件;j)影響核材料、核設施、核活動情況,或可被利用造成核破壞或其他核安全事件;k)影響國家生物安全治理體系、生物資源和人類遺傳資源安全、生命安全和生物安全領域的重大科技成果、疾病防控和公共衛(wèi)生應急體系安全,或者可能導致重大傳染病、重大生物安全風險;1)影響在太空、深海、極地等領域的國家利益和國際合作安全;m)影響海外重大項目和人員機構安全、海外能源資源安全、海上戰(zhàn)略通道安全等。E.2經濟運行判斷數據是否可能影響經濟運行,常見考慮因素包括但不限于:經濟運行秩序;b)影響社會總供給和總需求、國民經濟總值和增長速度、國民經濟中主要比例關系、物價總水平、勞動就業(yè)總水平與失業(yè)率、貨幣發(fā)行總規(guī)模與增長速度、進出口貿易總規(guī)模與變動等宏觀經濟形勢;c)影響涉及國家安全的行業(yè)、支柱產業(yè)和高新技術產業(yè)中的重要骨干企業(yè)、提供重要公共產品的行業(yè)、重大基礎設施和重要礦產資源行業(yè)等國民經濟命脈;d)影響行業(yè)領域或地區(qū)的經濟發(fā)展、業(yè)務生產、技術進步、產業(yè)生態(tài)等。E.3社會秩序判斷數據是否可能影響社會秩序,常見考慮因素包括但不限于:a)影響社會穩(wěn)定,可能引發(fā)社會恐慌,導致重大突發(fā)事件、群體性事件、暴力恐怖活動、社會治安問題等;民生事項或供電、供氣、供水等基本服務保障工程;c)影響國家機關、企事業(yè)單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫(yī)療衛(wèi)生秩序;d)影響各級政務部門依法履行公共管理和服務職能;e)影響司法領域的公正、公信或權威性;f)影響公共場所的活動秩序、公共交通秩序。E.4公共利益判斷數據是否可能影響公共利益,常見考慮因素包括但不限于:a)影響對重大疾病(尤其是傳染病)的預防、監(jiān)控和治療,或者可能引發(fā)突發(fā)公共衛(wèi)生事件、造成社會公眾健康危害;b)影響社會成員使用公共設施;c)影響社會成員獲取公開數據資源;d)影響社會成員接受公共服務等方面;e)其他影響公共利益、社會秩序的數據。判斷數據是否可能影響組織權益,常見考慮因素包括但不限于:a)導致組織遭到監(jiān)管部門處罰、安全事件或法律訴訟;b)影響組織的重要或關鍵業(yè)務生產經營;c)造成組織經濟損失;d)破壞組織聲譽形象、公信力等;e)影響組織的知識產權、商業(yè)秘密、技術損失等;f)影響組織的公平競爭利益;g)其他影響法人、非法人組織合法權益的數據。E.6個人權益判斷數據是否可能影響個人權益,常見考慮因素包括但不限于:a)影響個人私人活動、私有領域、私密部位等個人隱私;b)影響自然人的人格尊嚴;c)影響自然人的人身安全;d)影響自然人的財產安全;e)影響個人在個人信息處理活動中的權利,如選擇權、知情權、拒絕權等;f)其他影響個人權益的數據。(資料性)影響程度參考示例表F.1給出了不同影響對象對應的影響程度參考示例。表F.1影響程度參考示例影響對象影響程度參考說明國家安全特別嚴重危害直接影響國家政治安全嚴重危害一般危害極地、深海、生物、人工智能等安全造成威脅經濟運行特別嚴重危害1)直接影響關系國民經濟命脈的重要行業(yè)和關鍵領域的經濟利益安全,如涉及國家安全的行業(yè)、提供重要公共產品的行業(yè)、重要資源行業(yè)等2)直接影響關系國民經濟命脈的重點產業(yè)、重大基礎設施、重大建設項目以及其他重大經濟利益安全3)對一個或多個行業(yè)領域的經濟發(fā)展、業(yè)務生產、技術進步、產業(yè)生態(tài)造成特別嚴重危害,如對支柱產業(yè)和高新技術產業(yè)中的重要骨干企業(yè)造成重大損害,導致大面積業(yè)務中斷、大量業(yè)務處理能力喪失等4)對一個或多個省級行政區(qū)的經濟運行造成特別嚴重危害,例如導致大范圍停工停產、大規(guī)?;A設施長時間中斷運行等嚴重危害1)直接影響宏觀經濟運行狀況和發(fā)展趨勢,如社會總供給和總需求、國民經濟總值和增長速度、國民經濟主要比例關系、物價總水平、勞動就業(yè)總水平與失業(yè)率、貨幣發(fā)行總規(guī)模與增長速度、進出口貿易總規(guī)模與變動等2)直接影響一個或多個地區(qū)、行業(yè)內多個企業(yè)或大規(guī)模用戶,對行業(yè)發(fā)展、技術進步和產業(yè)生態(tài)等造成嚴重影響,或者直接影響行業(yè)領域核心競爭力、核心業(yè)務運行、關鍵產業(yè)鏈、核心供應鏈等一般危害1)對單個行業(yè)領域發(fā)展、業(yè)務經營、技術進步、產業(yè)生態(tài)等造成一般危害,如受影響的用戶和企業(yè)數量較小、生產生活區(qū)域范圍較小、持續(xù)時間較短、社會負面影響較小2)對單個行業(yè)領域或地區(qū)的經濟運行造成一般危害社會秩序特別嚴重危害1)關系重要民生,直接影響人民群眾重要民生保障的事項、物資、工程或項目等2)直接導致特別重大突發(fā)事件、特別重大群體性事件、暴力恐怖活動等,引起一個或多個省級行政區(qū)大部分地區(qū)的社會恐慌,嚴重影響社會正常運行嚴重危害1)直接導致重大突發(fā)事件、重大群體性事件等,影響一個或多個地區(qū)的社會穩(wěn)定2)嚴重影響人民群眾的日常生活秩序3)嚴重影響各級政務部門履行公共管理和服務職能4)嚴重影響法治和社會倫理道德規(guī)范一般危害1)對人民群眾的日常生活秩序造成一般影響2)直接影響企事業(yè)單位、社會團體的生產秩序、經營秩序、教學科研秩序、醫(yī)療衛(wèi)生秩序3)直接影響公共場所的活動秩序、公共交通秩序表F.1影響程度參考示例(續(xù))影響對象影響程度參考說明公共利益特別嚴重危害1)關系重大公共利益,導致一個或多個省級行政區(qū)大部分地區(qū)的社會公共資源供應長期、大面積癱瘓,大范圍社會成員(如1000萬人以上)無法使用公共設施、獲取公開數據資源、接受公共服務2)導致特別重大網絡安全和數據安全事件,或者導致特別重大事故級別的安全生產事故,對公共利益造成特別嚴重影響,社會負面影響大3)導致特別重大突發(fā)公共衛(wèi)生事件(I級),造成社會公眾健康特別嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等嚴重影響公眾健康的事件嚴重危害1)直接危害公共健康和安全,如嚴重影響疫情防控、傳染病的預防監(jiān)控和治療等2)導致重大突發(fā)公共衛(wèi)生事件(Ⅱ級),造成社會公眾健康嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業(yè)中毒等嚴重影響公眾健康的事件3)導致一個或多個地市大部分地區(qū)的社會公共資源供應較長期中斷,較大范圍社會成員(如100萬人以上)無法使用公共設施、獲取公開數據資源、接受公共服務一般危害對公共利益產生一般危害,影響小范圍社會成員使用公共設施、獲取公開數據資源、接受公共服務等組織權益特別嚴重危害導致組織遭到監(jiān)管部門嚴重處罰(如取消經營資格、長期暫停相關業(yè)務等),或者影響重要/關鍵業(yè)務無法正常開展的情況,造成重大經濟或技術損失,嚴重破壞機構聲譽,企業(yè)面臨破產嚴重危害導致組織遭到監(jiān)管部門處罰(如一段時間內暫停經營資格或業(yè)務等),或者影響部分業(yè)務無法正常開展的情況,造成較大經濟或技術損失,破壞機構聲譽一般危害導致個別訴訟事件,或在某一時間造成部分業(yè)務中斷,使組織的經濟利益、聲譽、技術等輕微受損個人權益特別嚴重危害個人信息主體遭受重大的、不可消除的、可能無法克服的影響,容易尊嚴受到侵害或者人身、財產安全受到危害。如遭受無法承擔的債務、失去工作能力、導致長期的心理或生理疾病、導致死亡等嚴重危害個人信息主體遭受較大影響,個人信息主體克服難度高,消除影響代價較大。如遭受法院傳喚、健康狀況惡化等一般危害個人信息主體會遭受困擾,但尚可以克服。如付出額外成本、無法使用應提供的服務、造成誤解、產生害怕和緊張的情緒、導致較小的生理疾病等(規(guī)范性)重要數據識別指南重要數據識別應在符合6.5b)的基礎上,考慮如下因素:a)直接影響領土安全和國家統(tǒng)一,或反映國家自然資源基礎情況,如未公開的領陸、領水、領空數據;b)可被其他國家或組織利用發(fā)起對我國的軍事打擊,或反映我國戰(zhàn)略儲備、應急動員、作戰(zhàn)等能力,如滿足一定精度指標的地理數據或與戰(zhàn)略物資產能、儲備量有關的數據;c)直接影響市場經濟秩序,如支撐關鍵信息基礎設施所在行業(yè)、領域核心業(yè)務運行或重要經濟領域生產的數據;d)反映我國語言文字、歷史、風俗習慣、民族價值觀念等特質,如記錄歷史文化遺產的數據;e)反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置,可被恐怖分子、犯罪分子利用實施破壞,如描述重點安保單位、重要生產企業(yè)、國家重要資產(如鐵路、輸油管道)的施f)關系我國科技實力、影響我國國際競爭力,或關系出口管制物項,如反映國家科技創(chuàng)新重大成果,或描述我國禁止出口限制出口物項的設計原理、工藝流程、制作方法的數據,以及涉及源代g)反映關鍵信息基礎設施總體運行、發(fā)展和安全保護情況及其核心軟硬件資產信息和供應鏈管理情況,可被利用實施對關鍵信息基礎設施的網絡攻擊,如涉及關鍵信息基礎設施系統(tǒng)配置信h)涉及未公開的攻擊方法、攻擊工具制作方法或攻擊輔助信息,可被用來對重點目標發(fā)起供應鏈攻擊、社會工程學攻擊等網絡攻擊,如政府、軍工單位等敏感客戶清單,以及涉及未公開的產品和服務采購情況、未公開重大漏洞情況的數據;i)反映自然環(huán)境、生產生活環(huán)境基礎情況,或可被利用造成環(huán)境安全事件,如未公開的與土壤、氣象觀測、環(huán)保監(jiān)測有關的數據;j)反映水資源、能源資源、土地資源、礦產資源等資源儲備和開發(fā)、供給情況,如未公開的描述水文觀測結果、耕地面積或質量變化情況的數據;k)反映核材料、核設施、核活動情況,或可被利用造成核破壞或其他核安全事件,如涉及核電站設計圖、核電站運行情況的數據;1)關系海外能源資源安全、海上戰(zhàn)略通道安全、海外公民和法人安全,或可被利用實施對我國參與國際經貿、文化交流活動的破壞或對我國實施歧視性禁止、限制或其他類似措施,如描述國際貿易中特殊物項生產交易以及特殊裝備配備、使用和維修情況的數據;m)關系我國在太空、深海、極地等戰(zhàn)略新疆域的現實或潛在利益,如未公開的涉及對太空、深海、極地進行科學考察、開發(fā)利用的數據,以及影響人員在上述領域安全進出的數據;n)反映生物技術研究、開發(fā)和應用情況,反映族群特征、遺傳信息,關系重大突發(fā)傳染病、動植物疫情,關系生物實驗室安全,或可能被利用制造生物武器、實施生物恐怖襲擊,關系外來物種入侵和生物多樣性,如重要生物資源數據、微生物耐藥基礎研究數據;o)反映全局性或重點領域經濟運行、金融活動狀況,關系產業(yè)競爭力,可造成公共安全事故或影響公民生命安全,可引發(fā)群體性活動或影響群體情感與認知,如未公開的統(tǒng)計數據、重點企業(yè)商業(yè)秘密;p)反映國家或地區(qū)群體健康生理狀況,關系疾病傳播與防治,關系食品藥品安全,如涉及健康醫(yī)療資源、批量人口診療與健康管理、疾控防疫、健康救援保障、特定藥品實驗、食品安全溯源的注1:影響國家安全的考慮因素見E.1。r)其他可能對經濟運行、社會秩序或公共利益造成嚴重危害的數據。注2:對經濟運行、社會秩序、公共利益造成嚴重危害的參考示例見表F.1。具備以上因素之一的數據,可被識別為重要數據。(資料性)一般數據分級參考H.1一般數據分4級參考共利益或個人、組織合法權益等造成的危害程度,將一般數據從低到高分為1級、2級、3級、4級共四個級別。a)1級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,不會對個人權益、組織權益等造成危害。1級數據具有公共傳播屬性,可對外公開發(fā)布、轉發(fā)傳播,但也需考慮公開的數據量及類別,避免由于類別較多或者數量過大被用于關聯分析??棛嘁嬖斐梢话阄:?。2級數據通常在組織內部、關聯方共享和使用,相關方授權后可向組織外部共享??棛嘁嬖斐蓢乐匚:Α?級數據僅可由授權的內部機構或人員訪問,如果要將數據共享到外部,需要滿足相關條件并獲得相關方的授權??棛嘁嬖斐商貏e嚴重危害,或對經濟運行、社會秩序、公共利益造成一般危害。4級數據按照批準的授權列表嚴格管理,僅能在受控范圍內經過嚴格審批、評估后才可共享或傳播。H.2一般數據分3級參考共利益或個人、組織合法權益等造成的危害程度,將一般數據從低到高分為1級、2級、3級共三個級別??棛嘁嬖斐梢话阄:驘o危害。b)2級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、組織權益造成嚴重危害。織合法權益造成特別嚴重危害,或者對經濟運行、社會秩序、公共利益造成一般危害。H.3一般數據分2級參考共利益或個人、組織合法權益等造成的危害程度,將一般數據從低到高分為1級、2級。a)1級數據:數據一旦遭到泄露、篡改、織權益造成一般、嚴重危害或無危害。b)2級數據:數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對個人權益、
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 船舶貨運合同模板
- 產品包裝采購合同(2篇)
- 邀請嘉賓合同模板
- 宴會預定合同模板
- 返租倒包土地合同模板
- 短期物品租賃合同模板
- 藥品結算合同模板
- 工商轉租合同模板
- 2024年簡單購銷協(xié)議書范本
- 影視招商贊助合同模板
- 2024年內蒙古能源集團有限公司招聘筆試參考題庫含答案解析
- 2023年機動車尾氣排放檢測作業(yè)指導書
- 相干反斯托克斯拉曼光譜cars-姚波善
- GB∕T 13331-2014 土方機械 液壓挖掘機 起重量
- (畢業(yè)論文)烷基化裝置危險性分析
- 赫爾曼的敘事學理論
- 醫(yī)學德語詞匯大全
- 化學品安全標簽編寫規(guī)定_GB15258-2009
- 工會會計準則
- 天信電氣BPJ400變頻器使用說明書v11
- 《猴吃西瓜》優(yōu)秀課件
評論
0/150
提交評論