DB23T 3849-2024公共数据分类分级规范

23 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定本文件主要起草人：王峰、梅兵、赵文敬、臧爱英、高鹏、何振江、孙亚楠、张宪凯、史悦琦、仇静、张安文、赵文敬、王生瑶、向晓燕、周廷楠、刘继遥、刘珊公共数据分类分级规范4基本原则4.1科学实用原则4.2边界清晰原则数据分级的各级别应边界清晰，对不同级别的数据采取相应的保4.3就高从严原则4.4点面结合原则4.5动态更新原则5.1.1采取多维度的分类方法，从主题、行业、公共管理和服务机构、数据管理特征、数据对象、数5.1.2对于每个维度将其分为大类、中类和小类三级。5.2.1按照本公共管理和服务机构职5.2.2根据本公共管理和服务机构公共数据特征，从主题、行业、公共管理和服务机构、数据管理特方式、数据结构化特征、数据存储方式。数据管理特征分类见将公共数据分为核心数据、重要数据、一般数据Ⅲ、一般数据Ⅱ和一般数据Ⅰ五个级别。6.2.1确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数6.2.2根据本公共管理和服务机构公共数据特征，按照本文件6.3识别数据涉及的分级要素情况及公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后，影响国化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后，影响社或行业领域的整体利益作为判断影响程度的基准。如果影响对象仅是组织或个人权益,则以组织或公民个人的权益作为判断影响程度的基准。影响程度判别参考依据见附录a)满足以下任一条件的数据，识别为一般数据Ⅲ:1)公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后，对经济运行、社会秩序造3)公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后，对组织权益、个人权益造1)公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后，对经济运行、社会秩序造3)公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后，对组织权益、个人权益造6.4.3.2公共数据等级划分依据见 行等级划分，数据资源定级为其包含的数据项的最高级别。数据项最低参考级别公共数据在业务场景中加工程度不同,可形成不同的衍生数据。公共数据定级应结合业务场景a)衍生数据级别宜依据就高从严原则，对照加工的原始数据集级别进行定级，同时可按照数据1)脱敏数据级别可比原始数据集级别降低，去标识化的个人信息不低于一般数据Ⅱ,匿名3)统计数据如涉及大规模群体特征或行动轨迹，应设置比原始数据级别更高的级别；统计数据如不包含个人、组织的敏感信息，且不对国家安全、公共利益造成危害，可设置比4)融合数据级别根据数据汇聚融合结果，结果数据汇聚了更多的原始数据或挖掘出更敏感b)对于无法评估的不确定性风险，宜通过专家座谈研讨等方取数据集级别与业务场景级别的最大值作为数据资源a)数据内容发生变化，导致原有数据的级别不适用变化后的数据；数据内容未发生变化，但因b)时效性、数据规模、数据使用场景、数据加工处理方式等发生变化，导致原定的数据级别不d)对不同数据加工整合后形成的新数据，导致原有数据的级别不再适用新数据；），f)发生数据安全事件，导致数据敏感性发生变化；h)需要对数据级别进行变更的其他情形。a)数据资产梳理：各公共管理和服务机构对数据资产进行全面梳理，形成待分类分级公共数据1)明确本公共管理和服务机构公共数据分类细则，给出按照主题、行业、公共管理和服务2)分析本公共管理和服务机构公共数据的领域、群体、区域、精度、规模、深度、重要性c)实施数据分类：按本文件第5章建立的数据分类规则及自身公共数据分类细则，d)实施数据分级：按本文件第6章建立的数据分级规则及自身公共数据分级细则，e)审核上报目录：各公共管理和服务机构对数据分类分级结果进行审核和完善，形成公共数据分类分级清单，并对公共数据进行分类分级标识，按有关f)动态更新管理：根据公共数据重要程度和可能造成的危害程度变化，对公共数据分类分级规123456789对公共数据进行分类。根据公共数据产生周期可分为实时、天、周、月、季度、半年、年等。按公共数据的结构化特征可分为结构化数据、半结构化数据和非结构——公共基础设施的属性数据；关系其他国家安全重点领域,或者对国土、军事、经济、文别严重危害,如对支柱产业和高新技术产业中的重要骨干企值和增长速度、国民经济主要比例关系、物价总水平、劳动进步和产业生态等造成严重影响,或者直接影响行业领影响的用户和企业数量较小、生产生活区域范围较小、影响行业内少数企业，不对行业领域发展、生产、运行和经济个或多个市地大部分地区的社会恐慌,严重影期、大面积瘫痪,大范围社会成员(如1000万人以大传染病疫情、群体性不明原因疾病、重大食物和职业病疫情、群体性不明原因疾病、重大食物和职业中毒等严社会成员(如100万人以上)无法使用公共设施、获取公开数波及市地以下的部分地区，扰乱社会秩序，对经济建者影响重要/关键业务无法正常开展的情况，造成重大经济或技术影响部分业务无法正常开展的情况，造成较大经济或技术损受无法承担的债务、失去工作能力、导致长期的心理或生理个人信息主体可能遭受较大影响，个人信息主体克服难度高，消除影响代价较大。a)已合法公开披露的公共数据可定为一般数据Ⅰ;法律法规规章未明确要求公开的个人信息等确要求保护的公共数据，数据级别不应低于一般数据Ⅲ;不予开放的公共数据不应低于一般数据Ⅲ;不予共享的公共数据不应低于重要数据；b)一般个人信息不低于一般数据Ⅱ;敏感个人信息不低于一般数据Ⅲ。通过分析个人信息遭到泄露或者非法利用对个人信息主体权益可能造成的影响，符合以下任一影响的可判定为敏感2)个人信息遭到泄露或者非法使用，不会直接侵害个人信息主体的人格尊严，但可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严，如个人种族、宗教信仰、如家庭住址、家属关系等家庭相关信息，身份c)对于在库表、数据文件存储的数据分级标记应细化至数据的数据项（