TC260-PG-20212A 网络安全标准实践指南 —数据分类分级指引 m o c . 5 （征求意见稿-v1.0-202109） b u h t i g 全国信息安全标准化技术委员会秘书处 2021 年 9 月 本文档可从以下网址获得： www.tc260.org.cn/ 前 言 《网络安全标准实践指南》（以下简称《实践指南》） 是全国信息安全标准化技术委员会（以下简称“信安标委”） 秘书处组织制定和发布的标准相关技术文件，旨在围绕网络 安全法律法规政策、标准、网络安全热点和事件等主题，宣 传网络安全相关标准及知识，提供标准化实践指引。 b u m o c . 5 h t i g I 声 明 本《实践指南》版权属于信安标委秘书处，未经秘书处 书面授权，不得以任何方式抄袭、翻译《实践指南》的任何 部分。凡转载或引用本《实践指南》的观点、数据，请注明 “来源：全国信息安全标准化技术委员会秘书处”。 m o c . 5 技术支持单位 本《实践指南》得到中国电子技术标准化研究院、中 国移动通信集团有限公司、中国网络安全审查技术与认证 b u 中心、北京信息安全测评中心、成都卫士通信息产业股份 h t i g 有限公司、亚信科技有限公司、北京百度网讯科技有限公 司、北京奇虎科技有限公司、联通大数据有限公司、北京 明朝万达科技股份有限公司、天翼电子商务有限公司、蚂 蚁科技集团股份有限公司、深信服科技股份有限公司、北 京爱奇艺科技有限公司、杭州安恒信息技术股份有限公 司、北京字节跳动科技有限公司、阿里巴巴（北京）软件 服务有限公司、OPPO广东移动通信有限公司、中国电信股 份有限公司、北京数安行科技有限公司、顺丰速运有限公 司、深圳市腾讯计算机系统有限公司、北京小桔科技有限 公司、京东科技控股股份有限公司、闪捷信息科技有限公 司、内蒙古自治区大数据中心等单位的技术支持。 II 摘 要 为贯彻落实《中华人民共和国数据安全法》中“国家建 立数据分类分级保护制度”要求，保障国家安全、公共利益、 个人和组织的合法权益，本实践指南依据法律法规和政策标 准要求，从国家数据安全管理视角对数据分类分级进行了研 究，给出了数据分类分级的原则、框架和规则，可为主管监 管部门、数据处理者开展数据分类分级保护工作提供参考。 b u m o c . 5 h t i g III 目 录 1 2 3 4 5 范围....................................................................... 1 术语定义................................................................... 1 数据分类分级原则........................................................... 2 数据分类分级框架........................................................... 3 数据分类规则............................................................... 6 5.1 个人信息识别与分类 ................................................... 6 5.2 公共数据识别与分类 ................................................... 9 5.3 法人数据识别与分类 .................................................. 10 6 数据分级规则.............................................................. 12 6.1 定级要素............................................................ 12 6.2 定级方法............................................................ 12 6.3 特定数据最低安全级别 ................................................ 13 6.4 重新定级的情形 ...................................................... 13 附录 A 个人信息分类示例 ..................................................... 15 附录 B 数据分类分级流程 ..................................................... 19 参考文献.................................................................... 22 b u m o c . 5 h t i g IV 1 范围 本实践指南从国家数据安全管理视角，给出了数据分类分级的原 则、框架和规则。 本实践指南适用于数据处理者开展数据分类分级保护活动，也可 为主管监管部门进行数据分类分级保护管理和监督提供参考。 涉及国家秘密的数据，应遵守保密法律法规的规定，不适用本实 m o c . 5 践指南。 2 术语定义 2.1 数据 b u 任何以电子或者其他方式对信息的记录。 注1：网络数据，是指通过网络收集、存储、传输、处理和产生的各种电子数据。 注2：数据资产，通常包括数据库表、数据文件、数据集、数据项等。数据集是对数据 库表、数据文件等进行筛选形成的数据集合，数据项是数据库表的某一列字段，。 2.2 个人信息 h t i g 以电子或者其他方式记录的与已识别或者可识别的自然人有关 的各种信息，不包括匿名化处理后的信息。 2.3 重要数据 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害 国家安全、公共利益的数据。 注1：重要数据不包括国家秘密。 注2：重要数据一般不包括个人信息和企业内部管理信息，但达到一定规模的个人信息 或者基于海量个人信息加工形成的衍生数据，如影响国家安全或公共利益，则可能 属于重要数据。 2.4 国家核心数据 关系国家安全、国民经济命脉、重要民生、重大公共利益等的数 1 据。 2.5 公共数据 公共管理和服务机构在依法履行公共管理和服务职责过程中收 集、产生的数据，及其他组织和个人在提供公共服务中收集、产生的 涉及公共利益的数据。 注：公共管理和服务机构，通常包括各级党政机关、具有公共管理和服务职能的企事业 单位。 2.6 法人数据 m o c . 5 组织在生产经营和内部管理过程中收集和产生的数据。 2.7 衍生数据 原始数据经过计算、统计、关联、挖掘或聚合等加工活动而产生 b u 的数据。 h t i g 注：根据数据的加工程度，可将衍生数据分为脱敏数据、标签数据、统计数据、关联数 据等。 3 数据分类分级原则 数据分类分级按照数据分类管理、分级保护的思路，依据以下原 则进行划分： a）合法合规原则：数据分类分级应满足相关法律法规及主管监 管部门有关规定要求，优先识别法律法规中规定的数据类别或级别， 如识别是否包含国家核心数据、重要数据、个人信息、公共数据。 b）界限明确原则：数据分类分级的各类别、各级别界限明确， 每个数据项原则上只属于一个类别、一个级别。 c）就高从严原则：采取就高从严原则对数据进行分类分级，主 要表现在： 2 1) 如果数据集包含多个级别的数据项，应按照数据项的最高 级别对数据集进行定级。 2) 数据分类时按照个人信息、公共数据、法人数据的优先次 序依次识别，采取就高从严原则对数据进行分类： ● 当数据既属于个人信息又属于公共数据或法人数据时， 识别为个人信息； ● 当数据既属于公共数据又属于法人数据时，识别为公共 m o c . 5 数据。 3) 数据定级时优先识别是否涉及国家核心数据、重要数据， 如涉及应按照国家核心数据级别、重要数据级别进行定级。 b u d) 时效性原则：数据的类别级别可能因时间变化、政策环境变 h t i g 化、安全事件发生或不同业务场景的敏感性变化而发生改变，因此需 要对数据分类分级进行定期审核并及时调整。 e) 自主性原则：在国家数据分类分级规则的框架下，根据自身 数据管理需要，行业、领域、地方或组织自主细化确定所管辖数据 的类目设置和层级划分。 4 数据分类分级框架 本实践指南从国家数据安全管理视角，提出数据分类分级框架， 如图 1 所示。 3 图 1 数据分类分级框架 m o c . 5 b u a）数据分类 从数据主体角度，将数据分为公共数据、个人信息、法人数据三 h t i g 个类别，如表 1 所示： 数据分类 公共数据 个人信息 法人数据 表 1 数据主体视角的数据分类参考 类别定义 示例 公共管理和服务机构在依法履行 如政务数据，及提供供水、供电、 公共管理和服务职责过程中收 供气、供热、公共交通、养老、教 集、产生的数据，及其他组织和 育、医疗健康、邮政等公共服务中 个人在提供公共服务中收集、产 涉及公共利益的数据等 生的涉及公共利益的数据 以电子或者其他方式记录的与已 如个人身份信息、个人生物识别 识别或者可识别的自然人有关的 信息、个人财产信息、个人通信信 各种信息，不包括匿名化处理后 息、个人位置信息、个人健康生理 的信息 信息等 组织在生产经营和内部管理过程 如业务数据、经营管理数据、系统 中，收集和产生的数据 运行和安全数据等 b）数据分级 根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用， 对国家安全、公共利益或者个人、组织合法权益造成的危害程度，将 4 数据从低到高分成公开级（1 级）、内部级（2 级）、敏感级（3 级）、 重要级（4 级）、核心级（5 级）五个级别。其中，重要数据属于重 要级（4 级），国家核心数据属于核心级（5 级）。 表 2 数据分级规则参考示例 数据分级 传播范围 级别定义 公开级 公 开 级 数 据 具 有 公 共 数据一旦遭到篡改、破坏、泄露或者非法 （1 级） 传播属性，可对外公开 获取、非法利用，可能对个人合法权益、 发布、转发传播，但也 组织合法权益造成轻微危害，但不会危害 需 考 虑 公 开 的 数 据 量 国家安全、公共利益 及类别，避免由于类别