5"55#$99T()+ 数据分类分级标准汇编 iL#$%&'() ⽬前,《⽹络安全法》《数据安全法》《个⼈信息保护法》均从法律层⾯对数据的分级分类保护提出要求。 1.《⽹络安全法》第⼆⼗⼀条提出,国家实施⽹络安全等级保护制度,针对数据采取数据分类、重要数据备份和加密等措施。 2.《数据安全法》提第⼆⼗⼀条亦指出,国家建⽴数据分类分级保护制度,根据数据在经济社会 发展中的重要程度,以及⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤,对国家安全、公共利益或者个⼈、组织合法权益造成的危害程度,对数据实⾏分类分级保护。国家数据安全⼯作协调机制统筹协调有关部⻔制定重要数据⽬录,加强对重要数据的保护。 关系国家安全、国⺠经济命脉、重要⺠⽣、重⼤公共利益等数据属于国家核⼼数据,实⾏更加 严格的管理制度。各地区、各部⻔应当按照数据分类分级保护制度,确定本地区、本部⻔以及相关 ⾏业、领域的重要数据具体⽬录,对列⼊⽬录的数据进⾏重点保护。 3.《个⼈信息保护法》第五⼗⼀条指出,个⼈信息处理者应当根据个⼈信息的处理⽬的、处理⽅ 式、个⼈信息的种类以及对个⼈权益的影响、可能存在的安全⻛险等,采取下列措施确保个⼈信息处理活动符合法律、⾏政法规的规定,并防⽌未经授权的访问以及个⼈信息泄露、篡改、丢失。 ……(⼆)对个⼈信息实⾏分类管理…… 与此同时,除了法律层⾯,国家出台针对特定⾏业的数据分类分级标准,本⽂特整理包括⼯业⾏业、基础电信企业、⾦融⾏业、健康医疗⾏业等具体⾏业的分级分类标准,以供⼤家参考。 ⽬录 《GB/T35273-2020信息安全技术个⼈信息安全规范》p1 《TC260-PG-20212A⽹络安全标准实践指南—⽹络数据分级分类指引》p3 《⼯业数据分类分级指南(试⾏)》p6 《YD/T3813—2020基础电信企业数据分类分级⽅法》p7 《JR/T0197-2020⾦融数据安全数据安全分级指南》p8 《JR/T0158-2018证券期货业数据分类分级指引》p11 《GB/T38667-2020信息技术⼤数据数据分类指南p12 《DB52/T1123-2016政务数据数据分类分级指南》p13 《TC260-PG-20212A⽹络安全标准实践指南-⽹络数据分级分类指引》p14 《GB/T39725-2020信息安全技术健康医疗数据安全指南》p10 《GB/T35273-2020信息安全技术个⼈信息安全规范》 个⼈信息personalinformation 个⼈信息是指以电⼦或者其他⽅式记录的能够单独或者与其他信息结合识别特定 ⾃然⼈身份或者反映特定⾃然⼈活动情况的各种信息,如姓名、出⽣⽇期、身份证件号码、个⼈⽣物识别信息、住址、通信通讯联系⽅式、通信记录和内容、账号密码、财产信息、征信信息、⾏踪轨迹、住宿信息、健康⽣理信息、交易信息等。 判定某项信息是否属于个⼈信息,应考虑以下两条路径:⼀是识别,即从信息到个 ⼈,由信息本身的特殊性识别出特定⾃然⼈,个⼈信息应有助于识别出特定个⼈。⼆是关联,即从个⼈到信息,如已知特定⾃然⼈,由该特定⾃然⼈在其活动中产⽣的信息(如个⼈位置信息、个⼈通话记录、个⼈浏览记录等)即为个⼈信息。符合上述两种情形之 ⼀的信息,均应判定为个⼈信息。 类型 示例 个⼈基本资料 个⼈姓名、⽣⽇、性别、⺠族、国籍、家庭关系、住址、个⼈电话号码、电⼦邮件地址等 个⼈身份信息 身份证、军官证、护照、驾驶证、⼯作证、出⼊证、社保卡、居住证等 个⼈⽣物识别信息 个⼈基因、指纹、声纹、掌纹、⽿廓、虹膜、⾯部识别特征等 ⽹络身份标识信息 个信息主体账号、IP地址、个⼈数字证书等 个⼈健康⽣理信息 个⼈因⽣病医治等产⽣的相关记录,如病症、住院志、医嘱单、检验报告、⼿术及麻醉记录、护理记录、⽤药记录、药物⻝物过敏信息、⽣育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个⼈身体健康状况相关的信息,如体重、身⾼、肺活量等 个⼈教育⼯作信息 个⼈职业、职位、⼯作单位、学历、学位、教育经历、⼯作经历、培训记录、成绩单等 ⼈财产信息 银⾏账户、鉴别信息(⼝令)、存款信息(包括资⾦数量、⽀付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流⽔记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 个⼈通信信息 通信记录和内容、短信、彩信、电⼦邮件,以及描述个⼈通信的数据(通常称为元数据)等 联系⼈信息 通讯录、好友列表、群列表、电⼦邮件地址列表等 个⼈上⽹记录 指通过⽇志储存的个⼈信息主体操作记录,包括⽹站浏览记录、软件使⽤记录、点击记录、收藏列表等 类型 示例 个⼈常⽤设备信息 指包括硬件序列号、设备MAC地址、软件列表、唯⼀设备识别码(如IMEI/AndroidID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个⼈常⽤设备基本情况的信息 个⼈位置信息 其他信息婚史、宗教信仰、性取向、未公开的违法犯罪记录等 其他信息 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 个⼈敏感信息personalsensitiveinformation 个⼈敏感信息是指⼀旦泄露、⾮法提供或滥⽤可能危害⼈身和财产安全,极易导致 个⼈名誉、身⼼健康受到损害或歧视性待遇等的个⼈信息。通常情况下,14岁以下(含) ⼉童的个⼈信息和涉及⾃然⼈隐私的信息属于个⼈敏感信息。可从以下⻆度判定是否属于个⼈敏感信息: 泄露:个⼈信息⼀旦泄露,将导致个⼈信息主体及收集、使⽤个⼈信息的组织和机构丧失对个⼈信息的控制能⼒,造成个⼈信息扩散范围和⽤途的不可控。某些个⼈信息在泄漏后,被以违背个⼈信息主体意愿的⽅式直接使⽤或与其他信息进⾏关联分析,可能对个⼈信息主体权益带来重⼤⻛险,应判定为个⼈敏感信息。例如,个⼈信息主体的身份证复印件被他⼈⽤于⼿机号卡实名登记、银⾏账户开户办卡等。 ⾮法提供:某些个⼈信息仅因在个⼈信息主体授权同意范围外扩散,即可对个⼈信息主体权益带来重⼤⻛险,应判定为个⼈敏感信息。例如,性取向、存款信息、传染病史等。 滥⽤:某些个⼈信息在被超出授权合理界限时使⽤(如变更处理⽬的、扩⼤处理范围等),可能对个⼈信息主体权益带来重⼤⻛险,应判定为个⼈敏感信息。例如,在未取得个⼈信息主体授权时,将健康信息⽤于保险公司营销和确定个体保费⾼低。 类型 示例 个⼈财产信息 银⾏账户、鉴别信息(⼝令)、存款信息(包括资⾦数量、⽀付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流⽔记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 个⼈健康⽣理信息 个⼈因⽣病医治等产⽣的相关记录,如病症、住院志、医嘱单、检验报告、⼿术及麻醉记录、护理记录、⽤药记录、药物⻝物过敏信息、⽣育信息、以往病史、诊治情况、家族病史、现病史、传染病史等 个⼈⽣物识别信息 个⼈基因、指纹、声纹、掌纹、⽿廓、虹膜、⾯部识别特征等 个⼈身份信息 身份证、军官证、护照、驾驶证、⼯作证、社保卡、居住证等 其他信息 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、⾏踪轨迹、⽹⻚浏览记录、住宿信息、精准定位信息等 ⽹络安全标准实践指南—⽹络数据分级分类指引 ⼀般数据分级规则 安全级别 影响对象 个⼈合法权益 组织合法权益 4级数据 严重危害 严重危害 3级数据 ⼀般危害 ⼀般危害 2级数据 轻微危害 轻微危害 1级数据 ⽆危害 ⽆危害 数据定级流程 数据加⼯程度维度的数据分类 数据类别 类别定义 数据示例 原始数据 是指数据的原本形式和内容,未作任何加⼯处理。 如采集的原始数据等 脱敏数据 对数据(如个⼈信息)按照脱敏规则进⾏数据变形处理后的新数据。 如去标识化的⼿机号码(如138*******6)等,个⼈信息去标识化、匿名化处理后的数据属于脱敏数据 标签数据 对⽤户个⼈敏感属性等数据进⾏区间化、分级化、统计分析后形成的⾮精确的模糊化标签数据。 偏好标签、关系标签等 统计数据 即群体性综合性数据,是由多个⽤户个⼈或实体对象的数据进⾏统计或分析后形成的数据 如群体⽤户位置轨迹统计信息、群体统计指数、交易统计数据、统计分析报表、分析报告⽅案等。 融合数据 对不同业务⽬的或地域的数据汇聚,进⾏挖掘或聚合 如多个业务、多个地市的数据整合、汇聚等 ⼯业数据分类分级指南(试⾏) 企业类型 分类 范围 ⼯业企业 研发数据域 研发设计数据、开发测试数据等 ⽣产数据域 控制信息、⼯况状态、⼯艺参数、系统⽇志等 运维数据域 物流数据、产品售后服务数据等 管理数据域 系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等 外部数据域 与其他主体共享的数据等 平台企业 平台运营数据域 物联采集数据、知识库模型库数据、研发数据等 企业管理数据域 客户数据、业务合作数据、⼈事财务数据等 根据不同类别⼯业数据遭篡改、破坏、泄露或⾮法利⽤后,可能对⼯业⽣产、经济效益等带来的潜在影响,将⼯业数据分为⼀级、⼆级、三级等3个级别 分级 释义 三级 (⼀)易引发特别重⼤⽣产安全事故或突发环境事件,或造成直接经济损失特别巨⼤;(⼆)对国⺠经济、⾏业发展、公众利益、社会秩序乃⾄国家安全造成严重影响。 ⼆级 (⼀)易引发较⼤或重⼤⽣产安全事故或突发环境事件,给企业造成较⼤负⾯影响,或直接经济损失较⼤;(⼆)引发的级联效应明显,影响范围涉及多个⾏业、区域或者⾏业内多个企业,或影响持续时间⻓,或可导致⼤量供应商、客户资源被⾮法获取或⼤量个⼈信息泄露;(三)恢复⼯业数据或消除负⾯影响所需付出的代价较⼤。 ⼀级 (⼀)对⼯业控制系统及设备、⼯业互联⽹平台等的正常⽣产运⾏影响较⼩;(⼆)给企业造成负⾯影响较⼩,或直接经济损失较⼩;(三)受影响的⽤户和企业数量较少、⽣产⽣活区域范围较⼩、持续时间较短;(四)恢复⼯业数据或消除负⾯影响所需付出的代价较⼩。 YD/T3813—2020《基础电信企业数据分类分级⽅法》 ⼀级⼦ 类 ⼆级⼦类 三级⼦类 四级⼦类 ⽤户相关数据 ⽤户身份相关数据 ⽤户身份相关数据 ⾃然⼈身份标识、⽹络身份标识、⽤户基本资料、实体身份证明、⽤户私密资 料 ⽤户服务内容数据 服务内容和资料数据 服务内容数据、联系⼈信息 ⽤户服务衍⽣数据 ⽤户服务使⽤数据 业务订购关系、服务记录和⽇志、消费信息和账单、位置数据、违规记录数据 设备信息 终端设备标识、终端设备资料 ⽤户统计分析类数据 ⽤户使⽤习惯和⾏为分析数据 / ⽤户上⽹⾏为相关统计分析数据 / 企业⾃身相关数据 ⽹络与系统的建设与运⾏维护类数据 规划建设类数据(分发布前后) ⽹络规划类、投资计划类、项⽬管理类 ⽹络与系统资源类数据 公共资源类数据、传输资源类数据、承载⽹资源、核⼼⽹资源、接⼊⽹资源等 ⽹络与系统运维类数据 信令、⽹路信息、⽹段、⽹址VLAN、划分、设备监测等 ⽹络安全管理类数据 安全审计记录、⽹络安全应急预案、违 法有害信息监测、核⼼区域监控等 业务运营类数据 业务运营服务数据 产品信息、渠道信息、客户服务信息、 营销信息 公开业务运营服务数据 / 企业管理数据 发展战略与重⼤决策 发展战略、重⼤决策、重要会议 业务发展类 市场策略、营销管理、资费管理等 技术研发类 技术管理、技术研究报告、专利⼯作 运⾏管理类 / ⽣产经营类 财务预算、业绩披露、考核信息等 综合管理类 ⼈⼒资源、财务信息、办公⾃动化、采 购 其他数据 合作⽅提供数据 / ⾏业数据分级 对应本指南分级 四级 ⼀般数据四级 三级 ⼀般数据三级 ⼆级 ⼀般数据⼆级 ⼀级 ⼀般数据⼀级 《JR/T0197-2020⾦融数据安全数据安全分级指南》 分类 范围 客户数据 个⼈数据 是指个⼈的⾃然属性信息,包括个⼈⾃然信息、个⼈身份鉴别信息、个⼈资讯信息等信息。 单位数据 是指单位的⾃然属性数据,包含单位基本信息、单位身份鉴别信息、单位标签信息等单位信息。 业务数据