DB50-T 1700-2024 公共数据分类分级指南

ICS35.020CCSL7050IDB50/T1700—2024 2规范性引用文件 3术语和定义 4公共数据分类 4.1分类基本原则 4.2分类方法 25公共数据分级 45.1分级基本原则 45.2分级要素 55.3定级流程 65.4级别变更 7附录A（资料性）影响程度说明 8附录B（资料性）公共数据全生命周期流程分级管控措施 DB50/T1700—2024本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由重庆市大数据应用发展局提出、归口并组织实施。本文件起草单位：数字重庆信息技术服务有限公司、数字重庆大数据应用发展有限公司、重庆市质量和标准化研究院、中国信息通信研究院西部分院、重庆市通信建设有限公司、重庆理工大学、杭州美创科技股份有限公司、华为技术有限公司重庆分公司。本文件主要起草人：冯骏、刘光杰、刘富阔、曾诚、王石正、季科、毛迦、曾宇航、周金、蒋毅、张舒展、张旻旻、陈震宇、熊能、范雨晓、郑浩、黄令、郭煜、邹瑜、周浩南、龚才语、王军、谢欣、梁鹏、张永琛、崔旭涛、李剑峰、罗琳燕。1DB50/T1700—2024公共数据分类分级指南本文件提供了公共数据分类分级的术语和定义、数据分类和数据分级的指南。本文件适用于公共数据的分类分级工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T4754国民经济行业分类GB/T38667信息技术大数据数据分类指南GB/T43697—2024数据安全技术数据分类分级规则3术语和定义GB/T43697—2024界定的以及下列术语和定义适用于本文件。3.1公共数据publicdata各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位，在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。[来源：GB/T43697—2024，3.8]3.2公共数据分类publicdataclassification把公共数据按照一定的原则和方法进行区分和归类的过程。3.3公共数据分级publicdatagrading根据公共数据遭到泄露、篡改、损毁或者非法获取、非法利用、非法共享后对国家安全、社会秩序、公共利益、组织权益、个人权益的危害程度，按照一定的原则和方法进行定级的过程。4公共数据分类4.1分类基本原则公共数据分类应符合以下原则：a)科学性原则：按照数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类；b)规范性原则：分类所使用的词语或短语能确切表达数据分类的实际内容范围，在表达相同概念时，保证用语一致性；2DB50/T1700—2024c)稳定性原则：以选择体现分类数据对象的本质特征，且不易发生变化的维度和视角作为数据分类的基础和依据，以确保由此产生的分类结果稳定；d)扩展性原则：具有概括性和包容性，且考虑未来数据发展需要（如数据的增长、变化等情况以及满足将来可能出现的数据分类。4.2分类方法4.2.1按主题分类按照公共数据所涉及的主题范畴进行分类。包括但不限于：——生活服务；——社会保障；——住房保障；——医疗卫生；——婚育收养；——死亡殡葬；——民族宗教；——文体教育；——科技创新；——就业创业；——出境入境；——设立变更；——准营准办；——税收财务；——投资立项；——破产注销；——自然资源；——规划建设；——交通运输；——涉外服务；——司法公证；——质量技术；——知识产权；——环保绿化；——档案文物；——人力资源；——城市服务；——三农服务；——水务气象；——环境资源；——安全生产。4.2.2按行业分类3DB50/T1700—2024按照公共数据所涉及的行业领域范畴，依据GB/T4754规定的国民经济行业分类与代码，按行业将公共数据分类，包括但不限于：——农、林、牧、渔业；——电力、热力、燃气及水生产和供应业；——建筑业；——批发和零售业；——交通运输、仓储和邮政业；——住宿和餐饮业；——信息传输、软件和信息技术服务业；——金融业；——房地产业；——租赁和商务服务业；——科学研究和技术服务业；——水利、环境和公共设施管理业；——居民服务、修理和其他服务业；——教育；——卫生和社会工作；——文化、体育和娱乐业；——公共管理、社会保障和社会组织；——国际组织。4.2.3按对象分类按公共数据所描述的对象进行分类，包括但不限于：——个人数据：个人的属性数据和行为数据，包括但不限于：.姓名；.出生日期；.身份证件号码；.生物特征识别信息；.住址；.电话号码。——组织数据：政府部门、企事业单位、其他法人和非法人组织、团体等组织的属性数据和业务数据，包括但不限于组织在运营过程中产生或获取的：.基础数据；.资产数据；.人事劳保；.税务数据；.信用数据。——客体数据：非个人或组织的客观实体（如道路、建筑、视频捕捉设备等）的属性数据和感应数据，包括但不限于：.公共设施基本信息、设备的位置、指标参数、运行状态；.公共服务相关监测数据。4DB50/T1700—20244.2.4按特征分类按数据特征维度主要分为以下几类：——根据数据业务特性分类，包括但不限于：.主数据：也称基准数据，在业务事件发生之前就客观存在，比较稳定，具有高业务价值的、可以跨流程、跨系统、跨层级被重复使用的数据，具有唯一、准确、权威的数据源；.参考数据：用于描述或分类其他数据，或者将数据与其他信息联系起来的数据；.事务数据：用于记录业务运行过程中产生的事件，是主数据之间活动产生的数据，具有较高的时效性；.规则数据：描述业务规则变量的数据，包含判断条件和决策结果等信息。——根据数据产生的频率分类，分为秒、分、时、天、周、月、季度、半年、年、不定期、不更新等。——根据数据产生方式分类，包括但不限于：.按数据被获取或被采集的方式，分为人工采集数据、通过信息系统采集的数据等；.按数据被加工的程度，分为原始数据、二次加工（衍生）数据等。——根据结构化特征分类，包括但不限于：.结构化数据；.半结构化数据；.非结构化数据。4.2.5按数据开放共享属性分类按数据开放共享属性维度进行分类，包括但不限于：——根据数据开放属性分类，可分为：.无条件开放数据；.有条件开放数据；.不予开放数据。——根据数据共享属性分类，可分为：.无条件共享数据；.有条件共享数据；.不予共享数据。4.2.6其他分类法可按照公共数据业务场景等维度进行数据分类，其他数据分类方法可参考GB/T38667。5公共数据分级5.1分级基本原则公共数据分级应遵循以下原则：a)自主性原则：在国家数据安全法律法规体系和数据安全治理框架下，结合部门自身数据管理需要，自主确定数据安全级别；b)综合判定原则：公共数据的分级客观且可被校验，数据分级时结合数据应用场景、组合、取值、数据量的大小、数据时效性、数据脱敏处理等因素，力求数据分级准确合理；5DB50/T1700—2024c)就高原则：一个数据集包括多个不同级别的数据项时，按照数据项的最高级别对数据集进行定级；d)动态调整原则：定期评估数据分级的合理性，并根据实际需要进行动态调整。5.2分级要素5.2.1影响对象公共数据一旦遭到泄露、篡改、损毁或者非法获取、非法利用、非法共享后受影响的对象，包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益，详细说明见表1。表1影响对象说明可能影响市场经济运行秩序、宏观经济形势、国可能影响社会治安和公共安全、社会日常生活秩序、民生福可能影响社会公众使用公共服务、公共设施、公共资源可能影响法人和其他组织的生产运营、声誉形象可能对个人敏感信息、人身和财产安全、精神、名誉、人格尊严、私人生5.2.2影响程度公共数据一旦遭到泄露、篡改、损毁或者非法获取、非法利用、非法共享后可能造成的影响大小，从高到低划分为特别严重危害、严重危害、一般危害、轻微危害和无危害，影响程度说明见附录A。影响程度的确定宜综合考虑数据类型、数据特征与数据规模等因素，并结合业务属性评估数据遭到破坏后的影响程度。5.2.3定级规则公共数据定级按照安全级别从低到高分为L1级至L4级，以及更高级别的L5级、L6级，一般数据、重要数据、核心数据的区分和定级按照国家相关政策和标准规范执行。定级规则见表2，具体各级别管控措施见附录B。表2公共数据定级规则害6DB50/T1700—2024表2公共数据定级规则（续）享5.3定级流程公共数据定级流程，见图1，其中：a)数据项定级：对待定级的数据资源包括的数据项（字段）进行划分，公共数据定级为其包含的数据项的最高安全级别；b)数据集定级：考虑数据规模，超过特定规模则在数据项定级结果的基础上提高安全级别，工作秘密不应低于L3级；c)业务场景定级：考虑在业务场景中形成衍生数据的情况，判断衍生数据的级别，定为衍生数据的最高安全级别；d)综合定级：结合a)、b)和c)的定级，取最大值作为最终安全级别。图1公共数据定级流程7DB50/T1700—20245.4级别变更公共数据分级完成后，出现下列情形之一时，可对相关数据的安全级别进行变更：a)数据内容发生变化，导致原有数据的安全级别不再适用；b)数据内容未发生变化，但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化，导致原定的数据级别不再适用；c)因数据汇聚融合，导致原有数据安全级别不再适用；d)因国家或上级主管部门要求，导致原定的数据安全级别不再适用；e)对数据进行脱敏、删除关键数据项（字段），或经过去标识化、假名化、匿名化处理；f)发生数据安全事件，导致数据敏感性发生变化；g)需要对数据安全级别进行变更的其他情形。8DB50/T1700—2024影响程度说明公共数据一旦遭到篡改、破坏、损毁或者非法获取、非法利用后可能造成的危害大小，从高到低划分为特别严重危害、严重危害、一般危害、轻微危害和无危害，相关说明见表A.1，可作为危害程度判定的参考。表A.1影响程度说明表关系其他国家安全重点领域,或者对国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生对国土、军事、经济、文化、社会、科技、电磁空间、网络、生态直接影响涉及国家安全的行业、支柱产业和高新技要公共产品的行业、重大基础设施和重要矿产资源行业关系国民经济命脉，严重危害对社会经济发展具重要资源等生产运营造成特别严重影响，例如导致大范围停工停产、大面积业务中断、直接影响宏观经济运行状况和发展趋势，如社会总长速度、国民经济主要比例关系、物价总水平劳动就业总直接影响行业内多个企业、大规模用户，对行业发影响，或者直接影响行业领域核心竞争力、关键产直接危害市场经济运行秩序，如市场准入、市场行影响行业内少数企业，不对行业领域发展、生产，运行和经直接导致特别重大突发事件、特别重大群体性事件直接导致重大突发事件，重大群体性事件等，引起9DB50/T1700—2024表A.1影响程度说明表（续）直接影响企事业单位、社会团体的生产秩序、经营秩序、教学科可能导致特别重大突发公共卫生事件，造成社会公众健康特别严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响直接危害公共健康和安全，如严重影响疫情防控、传染波及区县以下的部分地区，扰乱社会秩序，对经济建担的债务、失去工作能力、导致长期的心理或生可能导致组织遭到监管部门严重处罚（包括取消经营资格、长期暂停相关业务等影响重要/关键业务无法正常开展的情况，造成重大经济或技术损失，严重破坏机构声誉，可能导致组织遭到监管部门处罚（包括一段时间内暂停经营资格或业务等或者影分业务无法正常开展的情况，造成较大经济或DB50/T1700—2024公共数据全生命周期流程分级管控措施L1～L6级公共数据全生命周期（包括数据采集、数据传输、数据存储、数据访问、数据共享、数据开放、数据销毁）的分级管控措施参考示例见表B.1～B.7。表B.1公共数据采集分级管控措施表设备符合安全认证、采集流程和方式符合相应要求，并设备符合安全认证、采集流程和方式符合相应要求，并设备符合安全认证、采集流程和方式符合相应要求，并使用水印溯源等技术，对数据泄露风险及行为进行追踪设备符合安全认证、采集流程和方式符合相应要求，并使用水印溯源等技术，对数据泄露风险及行为进行追踪根据国家和行业主管监管部门要求识别重要数据，明确安全责任人，制定重形成重要数据目录，并定期评审和更新，确确保数据采集符合国家法律法规，跟踪和记录数据采集设备符合安全认证、采集流程和方式符合相应要求，并使用水印溯源等技术，对数据泄露风险及行为进行追踪根据国家和行业