数据分类分级发布新国标
千呼万唤,国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》于3月21日正式发布。作为全国网络安全标准化技术委员会更名后,发布的第一部以“数据安全技术”命名的国家标准,《数据安全技术 数据分类分级规则》不仅给出数据分类分级的通用规则,为数据分类分级管理工作的落地执行提供重要指导,同时,针对重要数据专门制定识别指南,业内翘首以盼的重要数据识别标准迎来国标版“参考答案”,该国标将于2024年10月1日起正式实施。
本文将对《数据安全技术 数据分类分级规则》数据分类规则、分级规则、分类分级流程、重要数据识别指南等核心要点进行提炼,同时全面总结近年来「国家、地方、行业」领域的典型分类分级标准指南。
【文末附PDF完整版下载】
《数据安全技术 数据分类分级规则》要点
概述/要点:《数据安全技术 数据分类分级规则》合并了“数据分类分级指南”和“重要数据识别要求”两个标准,代替《信息安全技术 重要数据识别指南》(征求意见稿),确定分类分级应遵循“科学实用、边界清晰、就高从严、点面结合、动态更新”五项原则,提供了数据分类分级的原则、框架、方法和流程,并给出重要数据识别指南,规范、准确识别涉及的重要数据和核心数据。
数据分类框架及方法:
先按行业领域分类,再按业务属性分类,特殊情况如个人信息按照有关标准识别和分类。
-
行业领域包括:工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学等。
-
业务属性包括:业务领域、职责部门、描述对象、上下游环节、数据主题、数据用途、数据处理、数据来源等。
数据分类方法
基于数据主体的数据分类参考示例
基于描述对象的数据分类参考示例
数据分级框架及方法:
数据分级框架将数据分为核心数据、重要数据和一般数据三个级别,根据数据的重要程度和可能造成的危害程度进行分级。
-
核心数据:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。(核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。)
-
重要数据:特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被露或篡改、销毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。(仅影响组织自身或公民个体的数据一般不作为重要数据。)
-
一般数据:核心数据、重要数据之外的其他数据。
数据分级方法
数据级别确定规则表
重要数据识别指南
处理者数据分类分级流程
国家、地方、行业数据分类分级标准汇总
2021年,《数据安全法》作为我国数据安全领域的基础性法律,明确“国家建立数据分类分级保护制度”及其基本原则,并在法律层面确立了数据分类分级管理划分“国家核心数据”、“重要数据”以及“一般数据”的核心原则。
在《数据安全法》颁布之前,数据分类分级已经在多项法律文件中有所体现。如国家秘密保护、计算机及信息系统的分级保护、个人信息保护领域,均针对不同规范对象提出具体的保护要求。
《保守国家秘密法》中明确了国家秘密的分类分级方式,《网络安全法》中规定了应履行数据分类的义务,《个人信息保护法》中则规定了个人信息和敏感个人信息的处理规则及保护要求,《信息安全等级保护管理办法》和《计算机信息系统安全保护条例》中对保护等级和对计算机信息系统的分级义务进行说明。
随着数据安全和个人信息保护被赋予法定性、提到前所未有的高度,健全数据分类分级保护在各项法律政策中明确强调,我国数据分类分级标准化工作也进入深入推进阶段。目前,国家层面、行业层面、地方层面出台相关标准已涉及金融、证券期货、医疗、电信、互联网、民航、工业、海洋、卷烟制造、能源、媒体、高校、政务等行业,数据分类分级建设方向日益明晰。
典型数据分类分级标准指南要点
《信息安全技术 重要数据识别指南》(征求意见稿)
概述/要点:明确重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据不包括个人信息,主要是考虑到国家已通过专门立法对个人信息进行保护,且对个人信息的监管颗粒度已经非常细致。
《信息安全技术 个人信息安全规范》
概述/要点:规定了开展收集、存储、使用、共享、转让、公开披露、删除等个人信息处理活动应遵循的原则和安全要求。适用于规范各类组织的个人信息处理活动,也适用于主管监管部门、第三方评估机构等组织对个人信息处理活动进行监督、管理和评估。
个人信息定义:
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。判定某项信息是否属于个人信息,应考虑:
-
一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。
-
二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息,个人通话记录,个人浏览记录笔)即为个人信息。符合上述两种情形之一的信息,均应判定为个人信息。
个人信息举例
个人敏感信息定义:
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。
可从以下角度判定是否属于个人敏感信息:
-
泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
-
非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。
-
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
个人敏感信息举例
《信息安全技术 健康医疗数据安全指南》
概述/要点:明确定义了健康医疗数据,并制定了健康医疗数据分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南以及典型场景。
健康医疗数据类别与范围:
健康医疗数据分级划分:
根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级:
《工业数据分类分级指南(试行)》
概述/要点:全面阐述了工业数据分类分级的目标、原则、方法,以及分级防护的建议。指出工业数据是工业领域产品和服务全生命周期产生和应用的数据,包括但不限于工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台企业(以下简称平台企业)在设备接入、平台运行、工业APP 应用等过程中生成和使用的数据。
工业数据分类维度:
根据数据的管理归属以及业务情况给出大类的划分,再根据数据属性给出子类的划分。
工业数据分级划分:
根据不同类别工业数据遭篡改、破坏、泄露或非法利用后,可能对工业生产、经济效益等带来的潜在影响,将工业数据分为一级、二级、三级等 3 个级别。
《金融数据安全数据安全分级指南》
概述/要点:标准规定了金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程,为金融业机构开展数据安全分级工作提供指导。
金融数据安全定级范围:
未经电子化的金融数据,依据档案文件等有关管理规范执行;涉及国家秘密的金融数据。依据国家有关法律法规执行,不在本标准规定的范围之内。证券行业数据安全分级工作可参照JR/T 0158-2018执行。其中,安全定级工作所涉及的金融数据包括但不限于:
-
提供金融产品或服务过程中直接(或间接)采集的数据,包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据,以及通过信息系统签约或收集的电子信息。
-
金融业机构信息系统内生成和存储的数据,包括业务数据、经营管理数据等。
-
金融业机构内部办公网络与办公设备(终端)中产生、交换、归档的电子数据,如机构内部日常事务处理信息、政策法规与部门规章、业务终端临时存储的业务或经营管理数据、电子邮件信息等。
-
金融业机构原纸质文件经过扫描或其他电子化手段形成的电子数据。
-
其他宜进行分级的金融数据。
金融数据安全定级通用规则:
标准根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从高到低划分为5级、4级、3级、2级、1级。
数据安全定级流程:
《证券期货业数据分类分级指引》
概述/要点:详细阐明了适用范围、数据分类分级的前提条件、如何进行数据分类及分级、数据分类分级中的关键问题处理等,并提供了证券期货行业典型数据分类分级模板。指引所适用的数据范围十分广泛,包括证券期货行业经营和管理活动中产生、采售、加工、使用或管理的网络数据或非网络数据等。本标准对数据的定级要求较为严苛,规定与附录内所列相同含义的数据,定级应不低于本附录所列的最低参考数据级别。同时,当机构规模大、数据量大,数据(完全)丢失或损毁造成影响范围、影响程度均较大时,宜从高定级。此外,标准中还提供了丰富的数据分类分级模板,涵盖了证券期货行业的交易、监管、信息披露和其他业务,可供证券期货行业相关机构参考。
数据分类规则:
标准推荐的分类方法为从业务条线出发,首先对业务细分,其次对数据细分,形成从总到分的树形逻辑体系结构。
数据分级规则:
本标准中的数据等级分为四级,描述标识分为数据级别标识和数据重要程度标识两类,相互—对应。数据定级一般使用等级本标准中的数据等级对应。
-
数据级别标识,从高到低划分为:4、3、2、1。
-
数据重要程度标识,与数据级别标识相对应,从高到低划分为:极高、高、中、 低。
《数字化改革 公共数据分类分级指南》
概述/要点:《指南》将公共数据定义为:由政务部门和公共企事业单位在依法履职或生产经营活动中,产生和管理的数据。并根据公共数据具有的共同属性或特征,从数据管理、业务应用、安全保护、数据对象四个维度,将公共数据分成30余个子项进行区分和归类。公共数据的安全级别,由高至低分别为:敏感数据(L4级)、较敏感数据(L3级)、低敏感数据(L2级)、不敏感数据(L1级)。
数据分类规则:
数据分级规则: