数治入门 | 分类分级国标上新重要数据帮你一步搞清

规范、准确识别涉及的重要数据和核心数据，是建立相应数据安全保护措施、推动数据有序跨境流动的前提。为此，国标针对重要数据专门制定了识别指南，将于 2024 年 10 月 1 日起正式实施。

2024 年 3 月 21 日，各行各业对重要数据和核心数据的识别翘首以盼，终于迎来国家标准 GB/T 43697-2024 《数据安全技术数据分类分级规则》的正式发布，为数据分类分级管理工作的落地执行提供重要指导。规范、准确识别涉及的重要数据和核心数据，是建立相应数据安全保护措施、推动数据有序跨境流动的前提。为此，国标针对重要数据专门制定了识别指南，将于 2024 年 10 月 1 日起正式实施。

2021 年 9 月 1 日，《中华人民共和国数据安全法》正式施行，明确规定“国家建立数据分类分级保护制度”，提出“根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、损毁、泄露或者非法获取、非法使用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”。2022 年 12 月发布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》也提出要探索建立跨境数据分类分级管理机制。

开展数据分类分级保护工作，首先需要对数据进行分类分级，识别涉及的重要数据和核心数据，然后建立相应的数据安全保护措施。在国家数据安全工作协调机制指导下，根据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》及有关规定，此次发布的国标给出了数据分类分级的通用规则，用于指导各行业领域、各地区、各部门和数据处理者开展数据分类分级工作。

一、数据分类参考

1.1 基于描述对象的数据分类参考

从数据描述对象角度，可将数据分为用户数据、业务数据、经营管理数据、系统运维数据四个类别，数据分类参考示例见表A.1。

表 A.1 基于描述对象的数据分类参考示例

数据类别	类别定义	示例
用户数据	在开展业务服务过程中从个人用户或组织用户收集的数据，以及在业务服务过程中产生的归属于用户的数据	如个人信息、组织用户信息（如组织基本信息、组织账号信息、组织信用信息等）
业务数据	在业务的研发、生产、运营过程中收集和产生的非用户类数据	参考业务所属的行业数据分类分级，结合自身业务特点进行细分，如产品数据、合同协议等
经营管理数据	数据处理者在单位经营和内部管理过程中收集和产生的数据	如经营战略、财务数据、并购融资信息、人力资源数据、市场营销数据等
系统运维数据	网络和信息系统运行维护、日志记录及网络安全数据	如网络设备和信息系统的配置数据、日志数据、安全监测数据、安全漏洞数据、安全事件数据等

1.2 基于数据主体的数据分类参考

从数据主体角度，可将数据分为公共数据、组织数据、个人信息三个类别，数据分类参考示例见表A.2。

表 A.2 基于数据主体的数据分类参考示例

数据分类	类别定义	示例
公共数据	各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位，在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据	如政务数据，在供水、供电、供气等公共服务运营过程中收集和产生的数据等
组织数据	组织在自身生产经营活动中收集、产生的不涉及个人信息和公共利益的数据	如不涉及个人信息和公共利益的业务数据、经营管理数据、系统运维数据等
个人信息	以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息	如个人身份信息、个人生物识别信息、个人财产信息、个人通信信息、个人位置信息、个人健康生理信息等

1.3 衍生数据分级参考

按照数据加工程度不同，数据通常可分为原始数据、脱敏数据、标签数据、统计数据、融合数据，其中脱敏数据、标签数据、统计数据、融合数据均属于衍生数据，见表I.1。

表 I.1 加工程度维度的数据分类

数据类别	类别定义	数据示例
原始数据	是指数据的原本形式和内容，未作任何加工处理	如采集的原始数据等
脱敏数据	对敏感数据（如个人信息）采取技术手段进行数据变形处理后的新数据，降低数据敏感性	如去标识化的个人信息等
标签数据	对用户行为进行画像分析，生成用户标签数据描述用户属性特征	偏好标签、关系标签等
统计数据	是由多个个人或实体对象的数据进行统计或分析后形成的数据	如群体用户位置轨迹统计信息、群体统计指数、交易统计数据、统计分析报表、分析报告方案等
融合数据	对不同业务目的或群体、区域、领域的数据汇聚，进行挖掘或聚合	如多个业务、多个区域、多个领域的数据整合、汇聚等

二、数据分类规则

2.1 数据分类框架

数据按照先行业领域分类、再业务属性分类的思路进行分类。

a) 按照行业领域，将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。
b) 各行业各领域主管（监管）部门根据本行业本领域业务属性，对本行业领域数据进行细化分类。常见业务属性包括但不限于：

1) 业务领域：按照业务范围、业务种类或业务功能进行细化分类；
2) 责任部门：按照数据管理部门或职责分工进行细化分类；
3) 描述对象：按照数据描述的对象进行细化分类；

注 1：按照描述对象分为用户数据、业务数据、经营管理数据、系统运维数据，见表 A.1。

4) 流程环节：按照业务流程、产业链环节进行细化分类；

注 2：能源数据按照流程环节分为探勘、开采、生产、加工、销售、使用等数据。

5) 数据主体：按照数据主体或属主进行细化分类；

注 3：按照数据主体分为公共数据、组织数据、个人信息，见表 A.2。

6) 内容主题：按照数据描述的内容主题进行细化分类；
7) 数据用途：按照数据处理目的、用途进行细化分类；
8) 数据处理：按照数据处理活动或数据加工程度进行细化分类；
9) 数据来源：按照数据来源、收集方式进行细化分类。

c) 如涉及法律法规有专门管理要求的数据类别（如个人信息等），应按照有关规定和标准进行识别和分类。

2.2 数据分类方法

数据分类可根据数据管理和使用需求，结合已有数据分类基础，灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。

a) 明确数据范围：按照行业领域主管（监管）部门职责，明确本行业本领域管理的数据范围。
b) 细化业务分类：对本行业本领域业务进行细化分类，包括：

1) 结合部门职责分工，明确行业领域或业务条线的分类；

注 1：工业领域数据，按照部门职责分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。

2) 按照业务范围、运营模式、业务流程等，细化行业领域或明确各业务条线的关键业务分类。

注 2：原材料分为钢铁、有色金属、石油化工等；装备制造分为汽车、船舶、航空、航天、工业母机、工程机械等。

c) 业务属性分类：选择合适的业务属性，对关键业务的数据进行细化分类。
d) 确定分类规则：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求，确定行业领域数据分类规则，例如：

1) 可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则；

注 3：钢铁数据按照数据描述对象，分为用户数据、业务数据、经营管理数据、系统运维数据等，业务数据细分为研发设计数据、控制信息、工艺参数等，其中研发设计数据类别能标识为“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据”。

2) 也可对关键业务的数据分类结果进行归类分析，将具有相似主题的数据子类进行归类。

注 4：工业领域数据也按照数据处理、流程环节等业务属性进行分类，首先按照数据处理者类型分为工业企业工业数据、平台企业工业数据，再将工业企业工业数据分为研发数据、生产数据、运维数据、管理数据、外部数据，然后按照数据主题将生产数据分为控制信息、工况状态、工艺参数、系统日志等。

三、数据分级规则

3.1 数据分级框架

根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为核心数据、重要数据、一般数据三个级别。

3.2 数据分级方法

数据分级是为了保护数据安全，具体可参考以下步骤进行数据分级。

a) 确定分级对象：确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数据等。

注 1：数据项通常表现为数据库表某一列字段等。数据集是由多个数据记录组成的集合，如数据库表、数据库一行或多行记录集合、数据文件等。

注 2：跨行业领域数据是指某个行业领域收集或产生的数据流转到另一个行业领域，以及两个或两个以上行业领域的数据融合加工产生的数据。

b) 分级要素识别：结合自身数据特点，识别数据涉及的分级要素情况。
c) 数据影响分析：结合数据分级要素识别情况，分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能影响的对象和影响程度。
d) 综合确定级别：综合确定数据级别。

3.3 数据分级要素

影响数据分级的要素，包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等，其中领域、群体、区域、重要性通常属于定性描述的分级要素，精度、规模、覆盖度属于定量描述的分级要素，深度通常作为衍生数据的分级要素。数据分级应首先识别以下数据分级要素情况。

a) 领域：数据描述的业务或内容范畴。数据领域可识别数据描述的行业领域、业务条线、流程环节、内容主题等因素。
b) 群体：数据主体或描述对象集合。数据群体可识别数据描述的人群、组织、网络和信息系统、资源物资等因素。
c) 区域：数据涉及的地区范围。数据区域可识别数据描述的行政区划、特定地区等因素。
d) 精度：数据的精确或准确程度。数据精度可识别数值精度、空间精度、时间精度等因素。
e) 规模：数据规模及数据描述的对象范围或能力大小。数据规模可识别数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。
f) 深度：通过数据统计、关联、挖掘或融合等加工处理，对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。
g) 覆盖度：数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度可识别对领域、群体、区域、时间段的覆盖占比、覆盖分布等因素。
h) 重要性：数据在经济社会发展中的重要程度。重要性可识别数据在经济建设、政治建设、文化建设、社会建设、生态文明建设等方面的重要程度。

3.4 数据影响分析

3.4.1 影响对象

影响对象是指数据面临安全风险时，可能影响的对象。其中，安全风险主要考虑数据遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享等风险。影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益，判断影响对象的常见考虑因素。

a) 国家安全：影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等国家利益安全。
b) 经济运行：影响市场经济运行秩序、宏观经济形势、国民经济命脉、行业领域产业发展等经济运行机制。
c) 社会秩序：影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序。
d) 公共利益：影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。
e) 组织权益：影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益。
f) 个人权益：影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。

3.4.2 影响程度

影响程度是指数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能造成的影响程度。影响程度从高到低可分为特别严重危害、严重危害、一般危害。对不同影响对象进行影响程度判断时，采取的基准不同。如果影响对象是国家安全、经济运行、社会秩序或公共利益，则以国家、社会或行业领域的整体利益作为判断影响程度的基准。如果影响对象仅是组织或个人权益，则以组织或公民个人的权益作为判断影响程度的基准。开展数据影响分析时，应按照以下规则确定影响程度，表F.1给出了不同影响对象对应的影响程度参考示例。

a) 当影响对象是国家安全时：

1) 如果直接影响政治安全，应将影响程度确定为特别严重危害；
2) 如果关系其他国家安全重点领域，应将影响程度确定为严重危害；
3) 其他直接危害国家安全的情形，应将影响程度确定为一般危害。

b) 当影响对象是经济运行时：

1) 如果关系国民经济命脉，应将影响程度确定为特别严重危害；
2) 如果直接危害宏观经济运行，或对行业领域或地区的经济发展造成严重危害，应将影响程度确定为严重危害。

c) 当影响对象是社会秩序时：

1) 如果关系重要民生，应将影响程度确定为特别严重危害；
2) 如果直接危害社会稳定，应将影响程度确定为严重危害。

d) 当影响对象是公共利益时：

1) 如果关系重大公共利益，应将影响程度确定为特别严重危害；
2) 如果直接危害公共健康和安全，应将影响程度确定为严重危害。

e) 当影响对象是个人或组织权益时，如果影响大规模的个人或组织权益，需要同时研判是否会对国家安全、经济运行、社会秩序或公共利益造成影响以及影响程度。

表 F.1 影响程度参考示例

影响对象	影响程度	参考说明
国家安全	特别严重危害	直接影响国家政治安全
	严重危害	关系其他国家安全重点领域，或者对国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全造成严重威胁
	一般危害	对国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全造成威胁
经济运行	特别严重危害	1）直接影响关系国民经济命脉的重要行业和关键领域的经济利益安全，如涉及国家安全的行业、提供重要公共产品的行业、重要资源行业等 2）直接影响关系国民经济命脉的重点产业、重大基础设施、重大建设项目以及其他重大经济利益安全 3）对一个或多个行业领域的经济发展、业务生产、技术进步、产业生态造成特别严重危害，如对支柱产业和高新技术产业中的重要骨干企业造成重大损害，导致大面积业务中断、大量业务处理能力丧失等 4）对一个或多个省级行政区的经济运行造成特别严重危害，例如导致大范围停工停产、大规模基础设施长时间中断运行等
	严重危害	1）直接影响宏观经济运行状况和发展趋势，如社会总供给和总需求、国民经济总值和增长速度、国民经济主要比例关系、物价总水平、劳动就业总水平与失业率、货币发行总规模与增长速度、进出口贸易总规模与变动等 2）直接影响一个或多个地区、行业内多个企业或大规模用户，对行业发展、技术进步和产业生态等造成严重影响，或者直接影响行业领域核心竞争力、核心业务运行、关键产业链、核心供应链等
	一般危害	1）对单个行业领域发展、业务经营、技术进步、产业生态等造成一般危害，如受影响的用户和企业数量较小、生产生活区域范围较小、持续时间较短、社会负面影响较小 2）对单个行业领域或地区的经济运行造成一般危害
社会秩序	特别严重危害	1）关系重要民生，直接影响人民群众重要民生保障的事项、物资、工程或项目等 2）直接导致特别重大突发事件、特别重大群体性事件、暴力恐怖活动等，引起一个或多个省级行政区大部分地区的社会恐慌，严重影响社会正常运行
	严重危害	1）直接导致重大突发事件、重大群体性事件等，影响一个或多个地区的社会稳定 2）严重影响人民群众的日常生活秩序 3）严重影响各级政务部门履行公共管理和服务职能 4）严重影响法治和社会伦理道德规范
	一般危害	1）对人民群众的日常生活秩序造成一般影响 2）直接影响企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序 3）直接影响公共场所的活动秩序、公共交通秩序

影响对象	影响程度	参考说明
公共利益	特别严重危害	1）关系重大公共利益，导致一个或多个省级行政区大部分地区的社会公共资源供应长期、大面积瘫痪，大范围社会成员（如 1000 万人以上）无法使用公共设施、获取公开数据资源、接受公共服务 2）导致特别重大网络安全和数据安全事件，或者导致特别重大事故级别的安全生产事故，对公共利益造成特别严重影响，社会负面影响大 3）导致特别重大突发公共卫生事件（Ⅰ级），造成社会公众健康特别严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件
	严重危害	1）直接危害公共健康和安全，如严重影响疫情防控、传染病的预防监控和治疗等 2）导致重大突发公共卫生事件（Ⅱ级），造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件 3）导致一个或多个地市大部分地区的社会公共资源供应较长期中断，较大范围社会成员（如 100 万人以上）无法使用公共设施、获取公开数据资源、接受公共服务
	一般危害	对公共利益产生一般危害，影响小范围社会成员使用公共设施、获取公开数据资源、接受公共服务等
组织权益	特别严重危害	导致组织遭到监管部门严重处罚（如取消经营资格、长期暂停相关业务等），或者影响重要/关键业务无法正常开展的情况，造成重大经济或技术损失，严重破坏机构声誉，企业面临破产
	严重危害	导致组织遭到监管部门处罚（如一段时间内暂停经营资格或业务等），或者影响部分业务无法正常开展的情况，造成较大经济或技术损失，破坏机构声誉
	一般危害	导致个别诉讼事件，或在某一时间造成部分业务中断，使组织的经济利益、声誉、技术等轻微受损
个人权益	特别严重危害	个人信息主体遭受重大的、不可消除的、可能无法克服的影响，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等
	严重危害	个人信息主体遭受较大影响，个人信息主体克服难度高，消除影响代价较大。如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶化等
	一般危害	个人信息主体会遭受困扰，但尚可以克服。如付出额外成本、无法使用应提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等

3.5 级别确定规则

核心数据、重要数据、一般数据的确定规则如下，数据级别与影响对象、影响程度的对应关系见表 1。

满足以下任一条件的数据，识别为核心数据：
- 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成特别严重危害（如直接影响政治安全）或严重危害（如关系其他国家安全重点领域）；
- 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成特别严重危害（如关系国民经济命脉）；
- 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成特别严重危害（如关系重要民生）；
- 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成特别严重危害（如关系重大公共利益）；
- 对领域、群体、区域具有较高覆盖度，直接影响政治安全的重要数据；
- 达到较高精度、较大规模、较高重要性或深度，直接影响政治安全的重要数据；
- 经有关部门评估确定的核心数据。
满足以下任一条件的数据，识别为重要数据：
- 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成一般危害；
- 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成严重危害；
- 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成严重危害（如影响社会稳定）；
- 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成严重危害（如危害公共健康和安全）；
- 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域；
- 数据达到一定精度、规模、深度或重要性，直接影响国家安全、经济运行、社会稳定、公共健康和安全；
- 经行业领域主管（监管）部门评估确定的重要数据。
未识别为核心数据、重要数据的其他数据，确定为一般数据。

表 1 数据级别确定规则表

影响对象	影响程度
影响对象	特别严重危害	严重危害	一般危害
国家安全	核心数据	核心数据	重要数据
经济运行	核心数据	重要数据	一般数据
社会秩序	核心数据	重要数据	一般数据
公共利益	核心数据	重要数据	一般数据
组织权益、个人权益	一般数据	一般数据	一般数据
注：如果影响大规模的个人或组织权益，影响对象可能不只包括个人权益或组织权益，也可能对国家安全、经济运行、社会秩序或公共利益造成影响。