2022 网络数据分类分级指引

网络数据分类分级指引2021.12目 录范围 1术定义 1数分分原则 3数分分框架 3据类架 3据级架 4数分方法 5据类程 5人息别分类 7共据别分类 10共播息别分类 11数分方法 12级素 12本级则 14般据级则 14级法 15新级 19数分分实流程 21附录A织营度分类考例 23附录B人息类例 24附录C分业据分级考例 29参考献 35IVPAGEPAGE13范围本实践指南给出了网络数据分类分级的原则、框架和方法。术语定义网络数据简称数据，是指任何以电子方式对信息的记录。重要数据注1：重要数据不包括国家秘密。注2：核心数据一般数据个人信息以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。公共数据国家机关和依法经授权、受委托履行公共管理和服务职能的组织（注1：公共管理和服务机构，包括各级政务机关、事业单位，其他依法经授权或受委托注2：注3：公共数据通常不包括组织专有的知识产权数据和商业秘密。公共传播信息组织数据衍生数据原始数据经过统计、关联、挖掘或聚合等加工活动而产生的数据。商业秘密数据分类分级原则数据分类分级按照数据分类管理、分级保护的思路，依据以下原则进行划分：合法合规原则：数据分类分级应遵循有关法律法规及部门规定要求，优先对国家或行业有专门管理要求的数据进行识别和管理，满足相应的数据安全管理要求。分类多维原则：数据分类具有多种视角和维度，可从便于数据管理和使用角度，考虑国家、行业、组织等多个视角的数据分类。分级明确原则：数据分级的目的是为了保护数据安全，数据就高从严原则进行定级。生改变，因此需要对数据分类分级进行定期审核并及时调整。数据分类分级框架数据分类框架公民个人维度公共管理维度注：b）给出的分类是按照广义的公共数据进行分类，如果从狭义的公共数据角度，数据也可分为政务数据、公共数据、社会数据。信息传播维度：按照数据是否具有公共传播属性，将数据分为公共传播信息、非公共传播信息。行业领域维度：GB/T4754—2017《国民经济行业分类》。组织经营维度A全数据。数据分级框架按照《中华人民共和国数据安全法》要求，根据数据一旦遭到篡据、重要数据、核心数据共三个级别。6.3数据分类方法数据分类流程1图1数据分类流程具体数据分类步骤包括：识别是否存在法律法规或主管监管部门有专门管理要求的数5.2.1；5.3.1；5.4.1。业领域。如果该行业领域存在行业主管部门认可或达成行业共识A；完成上述数据分类后，数据处理者可采用线分类法对类别进一步细分，其中个人信息分类见5.2.2和附录B.1，公共数据分类见个人信息识别与分类个人信息识别可识别特定自然人：即从信息到个人，依据信息本身的特殊性可识别出特定自然人，包括单独或结合其他信息识别出特定自然人。信息。IP准标识信息，是指在特定环境下无法单独唯一标识特定自然人，与特定自然人关联：即从个人到信息，如已知特定自然人，（）个人信息分类16B.1。IDIP个人健康生理信息：个人医疗就诊和健康状况信息，包括病公共数据识别与分类公共数据识别符合以下任一情形的数据，可识别为公共数据。（过程中公共数据分类公共数据分类，可参考以下规则实施：政务数据的分类，优先按照国家或当地的电子政务信息目录GB/T领域进行分类，也可从数据共享、开放角度进行分类。///公共传播信息识别与分类公共传播信息识别公共传播信息可通过判断信息是否具有公共传播属性进行识别，公共传播属性可参考以下任一原则判断：c）d）即时通信服务平台的非个人通信信息，按照公共传播信息有关规定进行管理。公共传播信息分类公共传播信息分类，从信息传播类型角度可分为以下类别：a）公开发布信息；b）可转发信息；c）无明确接收人信息。数据分级方法分级要素影响对象：是指数据一旦遭到篡改、破坏、泄露或者非法获影响程度：是指数据一旦遭到篡改、破坏、泄露或者非法获3害程度描述。

表3影响对象的影响程度描述影响对象影响程度参考说明国家安全严重危害服务瘫痪、大量业务处理能力丧失一般危害影响对象影响程度参考说明国家安全轻微危害无危害对国家安全不造成影响公共利益严重危害的负面影响一般危害波及到一个或多个地市的大部分地区引起社会恐慌，对经济建设有重大的负面影响轻微危害负面影响无危害对公共利益不造成影响个人合法权益严重危害一般危害造成歧视、被解雇、被法院传唤、健康状况恶化等轻微危害提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等无危害对个人信息合法权益不造成影响，或仅造成微弱影响但可忽略不计组织合法权益严重危害等），或者影响重要/关键业务无法正常开展的情况，造成重大经济或技术损失，严重破坏机构声誉，企业面临破产一般危害轻微危害可能导致个别诉讼事件，或在某一时间造成部分业务中断，使组织的经济利益、声誉、技术等轻微受损无危害益、市场秩序或各项业务的正常开展基本分级规则本实践指南4.2的数据分级框架给出了数据分级基本框架，将数4所示。表4数据安全基本分级规则基本级别影响对象国家安全公共利益个人合法权益组织合法权益核心数据一般危害、严重危害严重危害——重要数据轻微危害一般危害、轻微危害——一般数据无危害无危害无危害、轻微危害、一般危害、严重危害无危害、轻微危害、一般危害、严重危害一般数据分级规则按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对个人、组织合法权益造成的危害程度，将一般数据从低到高分为1级、2级、3级、4级共四个级别，具体分级规则见表5：a）11b）22c）33d）44仅能在受控范围内经过严格审批、评估后才可共享或传播。表5一般数据分级规则安全级别影响对象个人合法权益组织合法权益4级数据严重危害严重危害3级数据一般危害一般危害2级数据轻微危害轻微危害1级数据无危害无危害定级方法定级流程数据处理者按照基本分级框架（见4.2、6.2）和一般数据分级规则（见6.3）对数据进行定级时，可参考如图2所示流程实施。数据定级的具体步骤包括：按照国家和行业领域的核心数据目录、重要数据目录，依次国家和行业核心数据、重要数据目录不明确时，可参考核心泄露或者非法获取、非法利用的危害对象和危害程度，参照6.2的表4进行基本定级，确定核心数据、重要数据和一般数据级别；按照6.3实践指南的分级对应关系如附录B.4所示。6.4.2图2数据定级流程个人信息定级B.24待遇。个人信息遭到泄露或者非法使用，可能直接或间接危害个人最低参考级别特定类型一般数据的最低参考级别如下：422/2/共享的公共数据不低于4级。衍生数据定级按照数据加工程度不同，数据通常可分为66数据类别类别定义数据示例原始数据是指数据的原本形式和内容，未作任何加工处理。如采集的原始数据等脱敏数据（如去标识化的手机号码（如数据类别类别定义数据示例标签数据对用户个人敏感属性等数据进行区间模糊化标签数据。偏好标签、关系标签等统计数据即群体性综合性数据，是由多个用户个人或实体对象的数据进行统计或分析后形成的数据如群体用户位置轨迹统计信息、群体融合数据对不同业务目的或地域的数据汇聚，进行挖掘或聚合聚等脱敏数据级别可比原始数据集级别降低，去标识化的个人信21级。2级。统计数据如涉及大规模群体特征或行动轨迹，应设置比原始重新定级重新定级情形数据安全定级完成后，出现下列情形之一时，应重新定级：的数据；因国家或行业主管部门要求，导致原定的数据级别不再适用；数据变化的定级参考数据发生变化导致安全级别变化的规则（见表7），包括但不限于：7措施或情形安全级别变化数据体量增加到特定规模导致社会重大影响升级达到国家有关部门规定精度的数据升级关联多个业务部门数据升级大量多维数据进行关联升级发生特定事件导致数据敏感性增强升级数据已被公开或披露降级数据进行脱敏或删除关键字段降级数据进行去标识化、假名化、匿名化降级数据发生特定事件导致数据失去敏感性降级注：处理100万人以上个人信息的数据处理者，按照重要数据处理者进行管理，应满足重要数据保护要求。7数据分类分级实施流程数据分类分级保护策略核心数据严格管理重要数据重点保护个人信息安全合规一般数据全流程分级保数据分类分级保护策略核心数据严格管理重要数据重点保护个人信息安全合规一般数据全流程分级保护数据分类分级保护·分类分级评审批准发布实施·数据分类分级标识维护管理更新·数据资产分类分级清单审核标识管理·公民个人维度数据分类·公共管理维度数据分类·信息传播维度数据分类行业领域维度数据分类组织经营维度数据分类数据分类数据资产梳理·结构化数据资产梳理·非结构化数据资产梳理资产基本信息和相关方识别形成数据资产清单数据定级·数据定级·识别国家核心数据识别重要数据一般数据定级个人信息定级/评审不通过3数据资产梳理：对组织的数据资产进行全面梳理，包括以物4.15分类规则，参考5.1的数据分类流程对数据进行分类。4.266.4对数据进行定级。6.5。e）数据分类分级保护：依据国家给出的关于核心数据、重要数附录A组织经营维度数据分类参考示例表A.1表A.1组织经营维度的数据分类参考示例数据类别类别定义示例用户数据组织在开展业务服务过程中从个人用户或组织用户收集的数据，以及在业务服务过程中产生的归属于用户的数据如个人用户信息（即个人信息）、组织用户信息（如组织基本信息、组织账号信息、组织信用信息等）业务数据组织在业务生产过程中收集和产生的非用户类数据参考业务所属的行业数据分类分级，结合自身业务特点进行细分，如产品数据、合同协议等经营管理数据组织在机构经营管理过程中收集和产生的数据如经营战略、财务数据、并购及融资信息等系统运行和安全数据网络和信息系统运维及网络安全数据如网络和信息系统的配置数据、网络安全监测数据、备份数据、日志数据、安全漏洞信息等附录B个人信息分类示例个人信息分类示例表B.1给出了个人信息的一级类别、二级类别和相关数据示例。表B.1一级类别二级类别典型示例和说明个人基本资料个人基本资料个人电话号码、电子邮件地址、兴趣爱好等个人身份信息个人身份信息或影印件等个人生物识别信息个人生物识别信息生物识别原始信息（如样本、图像等）和比对信息（网络身份标识信息网络身份标识信息可直接标识网络或通信用户身份的信息及账户相关ID、即时通信账号、网络社交用户账号、用户头像、昵称、个性签名、IP地址、账户开立时间等个人健康生理信息健康状况信息与个人身体健康状况相关的一般信息，如体重、身高、体温、肺活量、血压、血型等个人医疗信息染病史、吸烟史等个人教育工作信息个人教育信息（等）、成绩单、资质证书、培训记录等个人工作信息一级类别二级类别典型示例和说明个人财产信息金融账户信息额、支付标记信息等个人交易信息个人资产信息个人实体和虚拟财产信息，如个人收入状况、房产游戏类兑换码等）、个人社保与医保存缴金额等。个人借贷信息个人在借贷过程中产生的信息，如个人借款信息、身份鉴别信息身份鉴别信息用于身份鉴别的数据，如账户登录密码、银行卡密（CVN和CVN2）、USBKEY、U（、人数字证书、随机令牌等个人通信信息个人通信信息（（等联系人信息联系人信息系、社交关系等个人上网记录个人操作记录个人在业务服务过程中的操作记录和行为数据，包Cookie、一级类别二级类别典型示例和说明等业务行为数据用户使用某业务的行为记录（）等个人设备信息可变更的唯一设备识别码AndroidID、IDFA、IDFV、OAID等不可变更的唯一设备识别码IMEI、IMSI、MEID、设备MAC地址、硬件序列号、ICCID等应用软件列表终端上安装的应用程序列表，如每款应用软件的名称、版本等个人位置信息粗略位置信息仅能定位到行政区、县级等的位置信息，如地区代码、城市代码等精确位置信息个人标签信息个人标签信息基于个人上网记录等各类个人信息加工产生的用于对个人用户分类分析的描述信息，如App偏好、关系标签、终端偏好、内容偏好等标签信息个人运动信息个人运动信息心率等其他个人信息其他个人信息注：个人画像，是由多个用户个人标签组成的数据集。敏感个人信息分类示例表B.2给出了可能构成敏感个人信息的示例。表B.2类别典型示例和说明特定身份港澳台通行证等生物识别信息个人基因、指纹、声纹、掌纹、眼纹、耳廓、虹膜、面部识别特征、步态等金融账户账户余额以及基于上述信息产生的支付标记信息等医疗健康生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等行踪轨迹GPS甚至更精确位置的数据）等未成年人个人信息14岁以下（含）未成年人的个人信息身份鉴别信息（CVN和CVN2）证码、密码提示问题答案、随机令牌等其他敏感个人信息种族、性取向、婚史、宗教信仰、未公开的违法犯罪记录等私密个人信息识别参考私密个人信息的判定，需要同时满足“秘密性”和“私人性”两个条件：公开；附录C部分行业数据分类分级参考示例工业数据分类参考（（20206号）20202试行类示例如表C.1所示。

表C.1一级子类二级子类三级子类工业企业工业数据研发数据域研发设计数据开发测试数据生产数据域控制信息工况状态工艺参数系统日志运维数据域物流数据产品售后服务数据管理数据域系统设备资产信息客户与产品信息产品供应链数据业务统计数据外部数据域与其他主体共享的数据一级子类二级子类三级子类平台企业工业数据平台运营数据域物联采集数据知识库模型库数据研发数据企业管理数据域客户数据业务合作数据人事财务数据电信数据分类参考YD/T3813—2020表C.2表C.2一级子类二级子类三级子类四级类别用户相关数据用户身份相关数据用户身份相关数据自然人身份标识、网络身份标识、用户基本资料、实体身份证明、用户私密资料用户服务内容数据服务内容和资料数据服务内容数据、联系人信息用户服务衍生数据用户服务使用数据业务订购关系、服务记录和日志、消费信息和账单、位置数据、违规记录数据设备信息终端设备标识、终端设备资料用户统计分析类数据用户使用习惯和行为分析数据一级子类二级子类三级子类四级类别用户上网行为相关统计分析数据企业自身相关数据网络与系统的建设与运行维护类数据规划建设类数据（分发布前后）网络规划类、投资计划类、项目管理类网络与系统资源类数据IT统资源、云资源网络与系统运维类数据VLAN析网络安全管理类数据急预案、违法有害信息监胁数据业务运营类数据业务运营服务数据产品信息、渠道信息、客户服务信息、营销信息公开业务运营服务数据企业管理数据发展战略与重大决策发展战略、重大决策与重要会议业务发展类市场策略、营销管理、资费管理、产品发展策略技术研发类技术管理、技术研究报告、专利工作运行管理类生产经营类财务预算、业绩披露、考核相关信息、生产经营数据综合管理类人力资源、财务信息、办公自动化、采购其他数据合作方提供数据金融数据分类参考JR/TJR/T0158—JR/TJR/T6JR/TJR/T0171—2020和JR/T0158—2018C.3所示。表C.3一级子类二级子类三级子类客户个人个人自然信息、个人身份鉴别信息、个人资讯信息、个人关系信息、个人行为信息、个人标签信息单位单位基本信息、单位身份鉴别信息、单位资讯信息、单位关系信息、单位行为信息、单位标签信息业务账户信息账户信息法定数字货币钱包信息基本信息合约协议合同通用信息、存款业务信息、贷款业务信息、中间业务信息、资金业务信息、投资理财业务信息、信用卡业务信息、非银行支付业务信息、商户签约信息、保险业务信息、再保险业务信息、信托业务信息、金融资产管理公司业务信息金融监管和服务反洗钱业务信息、国库业务信息、货币金银业务信息、存款保险业务信