2016年11月,《网络安全法》明确将“数据分类”作为网络安全保护法定义务之一。2021年9月,《数据安全法》再次具体确立了“数据分类分级保护制度”及其基本原则。2021年11月,《个人信息保护法》、《网络数据安全管理条例(征求意见稿)》相继出台,明确提出建立数据分类分级保护制度。
国家层面相继出台多项数据分类分级标准规范,金融、工业等行业监管制定出了相关配套标准指引;浙江省、贵州省等多地分别发布公共数据开放分级分类试行指南,为落实数据分类分级管理提供指导性参考。
事实上,数据作为重要生产要素之一,依法采取严密的监管措施,建立完善的数据安全防护体系,保障数据安全,是企业必须要承担的责任。建立数据安全防护体系的第一步就是梳理数据资产进行分类分级。只有做好分类分级工作,对不同分类不同密级的数据采取不同的安全防护措施,才能做好数据全流程动态保护。
本文将“国家层面、行业层面、地方层面”出台的各项数据分类分级标准指南进行总结汇编,希望对此领域感兴趣的同学能够起到一定借鉴作用。目前已有32项,涉及金融、证券期货、医疗、电信、互联网、民航、工业、海洋、卷烟制造、能源、媒体、高校、政务13个行业,数据分类分级建设方向愈发明确。
| 标准或指南 | 发布组织 | 发布时间 | 页码 |
| GB/T 42128-2022 智能制造工业数据分类原则 |
国家市场监督管理总局国家标准化管理委员会 | 2022-12-30 | 01 |
| GB/T 42775-2023 证券期货业数据安全风险防控 数据分类分级指引 |
国家市场监督管理总局国家标准化管理委员会 | 2023-08-06 | 05 |
| GB/T 35273-2020 信息安全技术 个人信息安全规范 |
国家市场监督管理总局国家标准化管理委员会 | 2020-03-06 | 09 |
| GB/T 38667-2020 信息技术 大数据 数据分类指南 |
国家市场监督管理总局国家标准化管理委员会 | 2020-04-28 | 11 |
| GB/T 39725-2020 信息安全技术 健康医疗数据安全指南 |
国家市场监督管理总局国家标准化管理委员会 | 2020-12-14 | 13 |
| TC260-PG-20212A 网络安全标准实践指南-网络数据分类分级指引 |
全国信息安全标准化技术委员会秘书处 | 2021-12-31 | 14 |
| WST306-2023 卫生健康信息数据集分类和编码规则 |
国家卫生健康委员会 | 2023-08-07 | 17 |
| YD/T 4244-2023 电信网和互联网数据分类分级技术要求与测试方法 |
工业和信息化部 | 2023-08 | 18 |
| 民航领域数据分类分级办法 | 民航局 | 2022-11-19 | 20 |
| JR/T 0197-2020 金融数据安全 数据安全分级指南 |
中国人民银行 | 2020-09-23 | 23 |
| JR/T 0158-2018 证券期货业数据分类分级指引 |
中国证券监督管理委员会 | 2018-09-27 | 25 |
| 工业数据分类分级指南(试行) | 工业和信息化部办公厅 | 2020-02-27 | 27 |
| YD/T 3813—2020 基础电信企业数据分类分级方法 |
中国通信标准化协会 | 2020-12-09 | 28 |
| 海洋数据分类分级标准 | 中国自然资源部 | / | 29 |
| T/HBINSA 0001-2023 卷烟制造工业领域 数据安全分类分级指南 |
湖北省信息网络安全协会 | 2023-03-10 | 30 |
| T/JSIA 0001—2022 能源大数据 数据分类分级指南 |
江苏省软件行业协会 | 2022-12-01 | 31 |
| 标准或指南 | 发布组织 | 发布时间 | 页码 |
| T/GDWJ013-2022 广东省健康医疗数据安全分类分级管理技术规范 |
广东省卫生经济协会 | 2022-07-15 | 32 |
| T/CAMIR 媒体大数据分类分级指南 |
中国市场信息调查业协会 | 2022-08-08 | 35 |
| T/CIITA XXX-2022 数字技术 数据 数据资源分类分级指南 |
中国信息产业商会 | 2022-11-10 | 37 |
| T/GDCSA 000-2022 高校数据安全分类分级指南 |
/ | / | 40 |
| DB23/T 3510-2023 政务预公开数据分类分级评估指南 |
黑龙江省市场监督管理局 | 2023-07-05 | 42 |
| DB36/T 1713-2022 公共数据分类分级指南 |
江西省市场监督管理局 | 2022-12-13 | 44 |
| DB51/T 3056-2023 政务数据数据分类分级指南 |
四川省市场监督管理局 | 2023-04-28 | 45 |
| DB3202/T 1049-2023 公共数据分类分级实施指南 |
无锡市市场监督管理局 | 2023-05-15 | 46 |
| DB3203/T 1024-2023 公共数据分类分级指南 |
徐州市市场监督管理局 | 2023-05-08 | 47 |
| DB3212/T 1116-2022 政务数据安全分类分级指南 |
泰州市市场监督管理局 | 2022-12-28 | 49 |
| DB4201/T 677.2-2023 公共数据资源开放 第2部分:分类分级指南 |
武汉市市场监督管理局 | 2023-06-09 | 51 |
| DB33/T 2351—2021 数字化改革 公共数据分类分级指南 |
浙江省市场监督管理局 | 2021-07-05 | 52 |
| DB 52/T 1123-2016 政务数据 数据分类分级指南 |
贵州省质量技术监督局 | 2016-09-28 | 53 |
| DB3301/T 0322.3—2020 数据资源管理 第3部分:政务数据分类分级 |
杭州市市场监督管理局 | 2020-10-31 | 54 |
| DB2201/T 17—2020 政务数据安全分类分级指南 |
长春市市场监督管理局 | 2022-01-04 | 55 |
| DB11/T 1918-2021 政务数据分级与安全保护规范 |
北京市市场监督管理局 | 2021-12-28 | 56 |
以下依据《信息安全技术 个人信息安全规范》、《网络安全标准实践指南—网络数据分类分级指引》、《信息技术 大数据 数据分类指南》、《证券期货业数据安全风险防控 数据分类分级指引》等全面了解个人信息、数据分类分级规则及其保障措施。
GB/T 35273-2020
《信息安全技术 个人信息安全规范》
个人信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
判定某项信息是否属于个人信息,应考虑以下两条路径:一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
| 个人基本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 网络身份标识信息 | 个人信息主体账号、IP 地址、个人数字证书等 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 |
| 个人教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、 房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人通信信息 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 |
| 联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
| 个人上网记录 | 指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
| 个人常用设备信息 | 指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如IMEI/Android ID/IDFA/OpenUDID/GUID/SIM 卡 IMSI 信息等)等在内的描述个人常用设备基本情况的信息 |
| 个人位置信息 | 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
| 其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
个人敏感信息
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息:
泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、 房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等 |
| 其他信息 | 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通 讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等 |
TC260-PG-20212A
《网络安全标准实践指南—网络数据分类分级指引》
数据分类规则:
据分类具有多种视角和维度,其主要目的是便于数据管理和使用。本实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。常见的数据分类维度,包括但不限于公民个人维度、公共管理维度、信息传播维度、行业领域维度、组织经营维度。
数据处理者进行数据分类时,应优先遵循国家、行业的数据分类要求,如果所在行业没有行业数据分类规则,也可从组织经营维度进行数据分类,数据分类流程下图所示。
数据分级规则:
数据安全基本分级规则 :
| 基本级别 | 影响对象 | |||
| 国家安全 | 公共利益 | 个人合法权益 | 组织合法权益 | |
| 核心数据 | 一般危害、严重危害 | 严重危害 | — | — |
| 重要数据 | 轻微危害 | 一般危害、严重危害 | — | — |
| 一般数据 | 无危害 | 无危害 | 无危害、轻微危害、一般危害、严重危害 | 无危害、轻微危害、一般危害、严重危害 |
一般数据分级规则:
| 安全级别 | 影响对象 个人合法权益 组织合法权益 |
|
| 4 级数据 | 严重危害 | 严重危害 |
| 3 级数据 | 一般危害 | 一般危害 |
| 2 级数据 | 轻微危害 | 轻微危害 |
| 1 级数据 | 无危害 | 无危害 |
GB/T 38667-2020
《信息技术 大数据 数据分类指南》
大数据分类规则:
| 维度 | 分类 | 释义 |
| 技术选型维度 | 按产生频率分类 | 可划分为:每年更新数据、每月更新数据、每周更新数据、每日更新数据、每小时更新数据、每分钟更新数据、每秒更新数据、无更新数据等。 |
| 按产生方式分类 | 可划分为:人工采集数据、信息系统产生数据、感知设备产生数据、原始数据、二次加工数据等。 | |
| 按结构化特征分类 | 可划分为:结构化数据,如零售、财务、生物信息学、地理数据等;非结构化数据,如图像、视频、传感器数据、网⻚等;半结构化数 据,如应用系统日志、电子邮件等。 | |
| 按存储方式分类 | 可划分为:关系数据库存储数据、键值数据库存储数据、列式数据库 存储数据、图数据库存储数据、文档数据库存储数据。 | |
| 按稀疏程度分类 | 可划分为:稠密数据和稀疏数据 | |
| 按处理时效性分类 | 可划分为:实时处理数据、准实时处理数据、批量处理数据。 | |
| 业务应用维度 | 按产生来源分类 | 可划分为:人为社交数据、电子商务平台交易数据、移动通信数据、物联网感知数据、系统运行日志数据等。 |
| 按业务归属分类 | 可划分为:生产类业务数据、管理类业务数据、经营类业务数据 | |
| 按流通类型分类 | 可划分为:可直接交易数据、间接交易数据、不可交易数据。 | |
| 按数据质量分类 | 可划分为:高质量数据、普通质量数据、低质量数据。 | |
| 安全隐私保护维度 | 安全隐私保护分类 | 高敏感数据、低敏感数据、不敏感数据 |
GB/T 42775-2023
《证券期货业数据安全风险防控 数据分类分级指引》
本文件给出了证券期货业数据分类分级方法概述及数据分类分级方法的具体描述,并就数据分类分级中的关键问题处理给出建议。
本文件适用于证券期货行业机构、相关专项业务服务机构、相关信息技术服务机构开展数据分类分级工作时使用。
数据分类分级保障措施
Step1:建立数据分类分级组织保障
a) 数据分类分级的管理部门:
b) 数据分类分级的最高责任人:
c) 数据分类分级相关的管理角色和职能:
d) 数据分类分级相关的授权机制;
Step2:建立数据分类分级管理制度
a) 数据分类分级的具体要求;
b) 数据分类分级工作中涉及的角色及职责;
c) 数据分类分级的相关制度和操作流程的制定、发布、维护和更新的机制以及评审和修订周期:
d) 数据分类分级管理相关绩效考评和评价机制:
e)数据分类分级的原则、方法;
f) 数据分类分级的日常管理流程;
g) 数据级别的相关变更原则及变更后的通知原则:
h)数据资产分类分级清单的审核与修订周期和原则: i)操作人员的操作规程。
Step3:厘清业务和数据资产
a) 首先需要厘清业务,才能区分业务涉及的具体数据;
b) 业务条线宜根据 JR/T 0176《证券期货业数据模型》的方法,收集所有产生、采集、加工、使用或管理的数据资产,建立数据资产清单。数据资产包含以物理或电子形式记录的数据表、数据项、数据文件等;
c) 数据资产清单宜经数据管理相关方评审确认。
数据分类
本文件推荐的分类方法,从业务条线出发,首先对业务细分,解决业务分类问题,同时确定数据的管理主体。在此基础上,对数据归类细分,形成从总到分的树形数据分类结构;同时,推荐考虑确定“数据形态”,即所处的系统、存储的媒介、物理位置等。详见图1。
图1 数据分类示意图
以下最新标准汇编全文,下载各项数据分类分级标准指南,关注出处“极盾科技”公众号,回复“分类分级”即可:
数据分类分级标准行业汇编
更多标准、白皮书、报告等高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”,或按自动回复发送引号内关键词。
赞一个