目录 1范围 2术语定义.. 3数据分类分级原则 4数据分类分级框架 4.1数据分类框架. 4.2数据分级框架 5数据分类方法 5.1数据分类流程 5.2个人信息识别与分类 5.3公共数据识别与分类 5.4公共传播信息识别与分类 6数据分级方法.12 6.1分级要素. 6.2基本分级规则. 6.3一般数据分级规则14 6.4定级方法.15 6.5重新定级.19 7数据分类分级实施流程21 附录A组织经营维度数据分类参考示例23 附录B个人信息分类示例.....24 附录C部分行业数据分类分级参考示例29 参考文献....35
全国信
AI
1范围
本实践指南给出了网络数据分类分级的原则、框架和方法。
本实践指南适用于指导数据处理者开展数据分类分级工作,也可 为主管监管部门进行数据分类分级管理提供参考。
2术语定义
2.1网络数据 简称数据,是指任何以电子方式对信息的记录。
注:数据分类分级的对象通常是数据项、数据集。
数据项是数据库表的某一列字段,数 据集是由多个数据项组成的集合,如数据库表、数握文件等。
2.2重要数据 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害 国家安全、公共利益的数据。
注1:重要数据不包括国家秘密 注2:重要数据一般不包括个人信息和企业内部管理信息,但达到一定规模的个人信息 或者基于海量个人信息加工形成的衍生数据,如其一旦遭到繁改、破坏、泄露或者 非法获取、非法利用可能危害国家安全、公共利益,也应满足重要数据保护要求。
2.3核心数据 即国家核心数据,是指关系国家安全、国民经济命脉、重要民生、 重大公共利益等的数据。
2.4一般数据 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个 人、组织合法权益造成危害,但不会危害国家安全、公共利益的数据。
2.5个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关 的各种信息,不包括匿名化处理后的信息。
2.6公共数据 国家机关和依法经授权、受委托履行公共管理和服务职能的组织 (以下统称公共管理和服务机构),在依法履行公共管理职责或提供 公共服务过程中收集、产生的数据。
注1:公共管理和服务机构,包括各级政务机关、事业单位,其他依法经授权或受委托 管理公共事务的组织,以及供水、供电、供气、公共交通、教育、卫生健康、社 会福利、环境保护等提供公共服务的组织。
注2:本实践指南给出的公共数据是广义概念,实际使用时也存在狭义的公共数据,即 仅将提供公共服务的组织在公共服务过程中收集产生的数据作为公共数据,将政 务机关履职过程中收集产生的数据作为政务数据。
注3:公共数据通常不包括组织的知识产权数据和商业秘密。
2.7公共传播信息 也称公共信息,数据处理者在提供公共服务过程中收集、产生的 具有公共传播特性的信息。
2.8组织数据 组织在自身的业务生产、经营管理和信息系统运维过程中收集和 产生的数据。
2.9衍生数据 原始数据经过统计、关联、挖掘或聚合等加工活动而产生的数据。
2.10商业秘密 不为公众所知悉、具有商业价值并经权利人采取相应保密措施的 技术信息、经营信息等商业信息。
2
3数据分类分级原则 数据分类分级按照数据分类管理、分级保护的思路,依据以下原 则进行划分: a)合法合规原则:数据分类分级应遵循有关法律法规及部门规 定要求,优先对国家或行业有专门管理要求的数据进行识别和管理, 满足相应的数据安全管理要求。
b)分类多维原则:数据分类具有多种视角和维度,可从便于数 据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。
c)分级明确原则:数据分级的目的是为了保护数据安全,数据 分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。
d)就高从严原则:数据分级时采用就高不就低的原则进行定级, 例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集 进行定级。
e)动态调整原则:数据的类别级别可能因时间变化、政策变化、 安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发 生改变,因此需要对数据分类分级进行定期审核并及时调整。
4数据分类分级框架 4.1数据分类框架 数据分类具有多种视角和维度,其主要目的是便于数据管理和使 用。
本实践指南采用面分类法,从国家、行业、组织等视角给出了多 个维度的数据分类参考框架。
常见的数据分类维度,包括但不限于:
3
a)公民个人维度:按照数据是否可识别自然人或与自然人关联, 将数据分为个人信息、非个人信息。
b)公共管理维度:为便于国家机关管理数据、促进数据共享开 放,将数据分为公共数据、社会数据。
注:b)给出的分类是按照广义的公共数据进行分类,如果从狭义的公...
