公共数据管理规范 数据分类分级

公共数据管理规范数据分类分级范围本文件规定了公共数据的分类、分级、成效评价、分类分级实施流程等要求。本文件适用于我省公共管理和服务机构对公共数据的分类分级、分级管控等相关工作，不适用于涉及国家秘密的公共数据管理。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T4754国民经济行业分类术语和定义下列术语和定义适用于本文件。公共管理和服务机构publicadministrationandserviceinstitution各级行政机关、法律法规授权的具有管理公共事务职能的组织、公共企事业单位。公共数据publicdata公共管理和服务机构为履行法定职责、提供公共服务收集、产生的，以电子或者其他方式记录、保存的具有公共使用价值的信息记录。包括数据库表、文件和服务接口等形式。数据共享datasharing公共管理和服务机构因履行职责需要使用其他公共管理和服务机构的数据或者为其他公共管理和服务机构提供数据的行为。公共数据共享包括无条件共享、有条件共享、不予共享。可以提供给所有公共管理和服务机构共享使用的公共数据属于无条件共享类。可以在限定数据使用对象、场景、范围、数据量、交互方式等条件下提供给有关公共管理和服务机构共享使用的公共数据属于有条件共享类。不宜提供给其他公共管理和服务机构共享使用的公共数据属于不予共享类。数据开放dataopening公共管理和服务机构向个人、法人或者非法人组织依法提供公共数据的公共服务行为。公共数据开放包括无条件开放、有条件开放、不予开放。可以提供给所有个人、法人和非法人组织使用的公共数据属于无条件开放类。在限定对象、用途、使用范围等特定条件下可以提供给公民、法人和其他组织使用的公共数据属于有条件开放类。应依法予以保密的公共数据以及法律、法规、规章规定不应开放的其他公共数据属于不予开放类。公共数据分类通则科学系统按照公共数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。兼容扩展分类具有概括性和包容性，与国家、行业、地方关于公共数据分类分级的标准相兼容，能实现多种类型公共数据的分类，满足将来可能出现的数据类型的需要。准确清晰使用的词语或短语准确表达数据类目的实际内容、内涵和外延，相同概念的用语应保持一致。客观实用结合现实需求，符合使用者对公共数据区分和归类的普遍认知。每个类目下都应有公共数据，不设没有意义的类目。同一分类维度内，同一条公共数据只分入一个类目。动态更新定期评估数据分类维度、方法和结果的合理性，并根据实际需要进行动态调整。分类方法概述采取多维度的分类方法，根据需要在主题、行业、对象、数据管理、业务应用等维度选择一个或多个进行分类。对于每个维度将其分为大类、中类和小类三级。公共管理和服务机构可根据业务需要对小类再行细分。对小类的细分，可根据业务数据的性质、功能、技术手段等一系列特征进行扩展细分。按主题分类按照公共数据资源所涉及的主题范畴，参考GB/T21063.4的方法将公共数据按照主题进行分类，采取大类、中类和小类三级分类法。如果分类不满足工作需要，可根据实际业务情况另行建立主题。按主题将公共数据分类，包括但不限于：生活服务；设立变更；文物保护；医疗卫生；行业准营；三农服务；工程建设；社会保障；民族宗教；教育培训；环境资源；安全生产；交通旅游；职业资格；住房保障；纳税纳费；投资立项；劳动就业；出境入境；涉外服务；破产注销；死亡殡葬；婚育收养。按行业分类按照公共数据所涉及的行业领域范畴，按照GB/T4754规定的国民经济行业分类与代码，将其四级类目的前三级（即门类、大类、中类）对应为本文件中的大类、中类、小类。如果分类不满足工作需要，可根据实际业务情况另行建立行业。按行业将公共数据分类，包括但不限于：农、林、牧、渔业；采矿业；制造业；电力、热力、燃气及水生产和供应业；建筑业；批发和零售业；交通运输、仓储和邮政业；住宿和餐饮业；信息传输、软件和信息技术服务业；金融业；房地产业；租赁和商务服务业；科学研究和技术服务业；水利、环境和公共设施管理业；居民服务、修理和其他服务业；教育；卫生和社会工作；文化、体育和娱XX；公共管理、社会保障和社会组织；国际组织。按对象分类按照公共数据所描述的对象分为：个人数据：个人的属性数据和行为数据，包括但不限于：个人的姓名；出生日期；身份证件号码；个人生物识别信息；住址；电话号码；组织数据：政府部门、企事业单位、其他法人和非法人组织、团体等组织的属性数据和业务数据，包括但不限于组织在运营过程中产生或获取的：基础数据；资产数据；人事劳保；税务数据；信用数据；行政许可；客体数据：非个人或组织的客观实体（如道路、建筑、视频捕捉设备等）的属性数据和感应数据，包括但不限于：公共设施基本信息、设备的位置、指标参数、运行状态；公共基础设施的属性数据；地理、海洋、气象、空气质量、水质等监测数据。按数据特征分类可按数据特征维度进行分类，主要包括：根据数据业务特性分类，包含但不限于：主数据：也称基准数据，在业务事件发生之前就客观存在，比较稳定，具有高业务价值的、可以跨流程跨系统被重复使用的数据，具有唯一、准确、权威的数据源；参考数据：用于描述或分类其他数据，或者将数据与其他信息联系起来的数据；事务数据：用于记录业务运行过程中产生的事件，是主数据之间活动产生的数据，具有较强的时效性；规则数据：描述业务规则变量的数据，包含判断条件和决策结果等信息。根据数据产生的频率分类，分为秒、分、时、天、周、月、季度、半年、年、不定期、不更新等；根据数据产生方式分类，包括但不限于：按数据被获取或被采集的方式，分为人工采集数据、通过信息系统采集的数据等；按数据被加工的程度，分为原始数据、二次加工（衍生）数据等；根据结构化特征分类，包括但不限于：结构化数据；半结构化数据；非结构化数据；根据提供渠道分类，包括但不限于：电子政务外网数据；互联网数据；其它网络平台数据；根据资源类型分类，包括但不限于：库表；接口；文件。按服务分类可按服务维度分类，主要包括：根据服务领域分类，包括但不限于：数字经济：如数字产品制造、数字产品服务、数字技术应用、数字要素驱动等；数字政务：如自然人数据、法人数据、信用数据、空间地理信息数据等；数字文化：如数字影视、数字音乐、数字文学、数字教育、数字博物馆、数字图书馆等；数字社会：如数字交通、数字医疗、数字社保、数字就业、数字住房等；数字生态文明：如数字环保、数字低碳、数字节能等；根据数据共享属性分类，可分为：无条件共享数据；有条件共享数据；不予共享数据；根据数据开放属性分类，可分为：无条件开放数据；有条件开放数据；不予开放数据；根据数据使用频率，结合数据的访问频次和分析引用进行分类，包括但不限于：冷数据：离线的，长期存档的，很少被访问和使用的数据；温数据：经常被访问和使用的数据；热数据：需要被计算节点频繁访问的在线类数据。其他分类法可按照公共数据业务场景等维度进行数据分类，其他数据分类方法可参考GB/T38667。公共数据分级通则自主定级公共管理和服务机构在采集、存储、传输、处理、共享、开放、销毁公共数据等行为之前，应按照本文件自主对各种类型公共数据进行分级。综合判定公共数据的分级应客观且可被校验，即通过数据自身的属性和分级规则即可判定其分级。应与其共享、开放的类型、范围、审批和管理要求直接相关。应充分考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素。应结合数据项（字段）的含义和具体应用场景定级。在多类数据中均出现的通用数据，可根据实际内容独立分级。就高从严应按照就高从严原则确定数据级别，数据集的级别应根据其包含数据项的最高级别来定级。分级管控确定数据等级后，根据数据等级实施分级管控措施，在公共数据全生命周期采取差异化管理措施。动态更新应定期评估数据分级的合理性，并根据实际需要进行动态调整。分级方法概述根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对公共数据进行定级。可通过定量与定性相结合的方式，识别数据分级要素情况，开展数据影响分析，确定影响对象和影响程度，最终综合确定数据级别。分级要素影响数据分级的要素，包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性等。其中领域、群体、区域、重要性通常属于定性要素，精度、规模、覆盖度属于定量要素，深度通常作为衍生数据的分级要素。影响分析影响对象影响对象通常包括国家安全、经济运行、社会稳定、公共利益、个人权益、组织权益。影响对象的确定主要考虑以下内容：国家安全：可能对国家政治、国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等造成的影响；经济运行：可能对市场经济运行秩序、宏观经济形势、国民经济命脉等经济利益等造成的影响；社会稳定：可能对社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等造成的影响；公共利益：可能对社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等造成的影响；个人权益：可能对个人敏感信息、人身和财产安全、人格尊严、个人名誉、私人活动和私有领域等造成的影响；组织权益：可能对法人和其他组织的生产运营、声誉形象、公信力、知识产权等造成的影响。影响程度根据公共数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后所造成的危害程度，从高到低划分为特别严重危害、严重危害、一般危害、轻微危害和无危害，相关说明如表1所示，可作为危害程度判定的参考。危害程度的确定宜综合考虑数据类型、数据特征与数据规模等因素，并结合业务属性确定数据安全性遭到破坏后的影响程度。影响程度说明表影响对象影响程度参考说明国家安全特别严重危害直接影响国家政治安全严重危害关系国家安全重点领域，或对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等任一领域国家安全造成严重威胁对本地区、本部门以及相关行业、领域的重要骨干企业、关键信息基础设施、重要资源等造成严重影响导致对本地区、本部门以及相关行业、领域大范围停工停产、大面积网络与服务瘫痪、大量业务处理能力丧失一般危害对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外利益等任一领域国家安全造成直接威胁对本地区、本部门以及相关行业、领域生产、运行和经济利益等造成影响引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成影响轻微危害对本地区、本部门以及相关行业、领域生产、运行和经济利益等造成轻微影响影响持续时间短，对行业发展、技术进步和产业生态等造成一般影响无危害对国家安全不造成影响经济运行特别严重危害直接影响涉及国家安全的行业、支柱产业和高新技术产业中的重要骨干企业、提供重要公共产品的行业、重大基础设施和重要矿产资源行业等关系国民经济命脉行业的运行和发展关系国民经济命脉，严重危害对社会经济发展具有重大影响的部门、企业、资源、区域等的生产运营和经济利益直接对多个行业领域，或者对行业领域核心业务、重要骨干企业、关键信息基础设施、重要资源等生产运营造成特别严重影响，例如导致大范围停工停产、大面积业务中断、大规模基础设施瘫痪、大量处理能力丧失等严重危害直接影响宏观经济运行状况和发展趋势，如社会总供给和总需求、国民经济总值和增长速度、国民经济主要比例关系、物价总水平、劳动就业总水平与失业率、货币发行总规模与增长速度、进出口贸易总规模与变动等直接影响行业内多个企业、大规模用户，对行业发展、技术进步和产业生态等造成严重影响，或者直接影响行业领域核心竞争力、关键产业链、核心供应链等表1影响程度说明表（续）影响对象影响程度参考说明经济运行一般危害对行业领域发展、生产、运行和经济效益等造成一般危害直接危害市场经济运行秩序，如市场准入、市场行为、市场结构、商品销售、交换关系、生产经营秩序等轻微危害影响行业内少数企业，不对行业领域发展、生产、运行和经济效益直接造成危害无危害对经济运行不造成影响社会稳定特别严重危害直接影响人民群众重要民生保障的事项、物资、工程或项目等直接导致特别重大突发事件、特别重大群体性事件、暴力恐怖活动等，引起大范围社会恐慌，对社会稳定造成特别严重危害严重危害直接导致重大突发事件、重大群体性事件等，引起社会矛盾激化，对社会稳定造成严重危害严重影响人民群众的日常生活秩序严重影响各级党政机关履行公共管理和服务职能严重影响法治和社会伦理道德规范一般危害对人民群众的日常生活秩序造成一般影响直接影响企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序直接影响公共场所的活动秩序、公共交通秩序轻微危害对人民群众的日常生活秩序造成轻微影响无危害对社会稳定不造成影响公共利益特别严重危害关系重大公共利益，导致一个或多个省市大部分地区的社会公共资源供应长期、大面积瘫痪，大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务可能导致特别重大网络安全和数据安全事件，对公共利益造成特别严重影响，社会负面影响大可能导致特别重大突发公共卫生事件，造成社会公众健康特别严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件严重危害直接危害公共健康和安全，如严重影响疫情防控、传染病的预防监控和治疗等可能导致重大突发公共卫生事件，造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件导致一个或多个地市大部分地区的社会公共资源供应较长期中断，较大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务一般危害导致一个地市部分地区的社会公共资源供应短期中断，较小范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务轻微危害波及地市以下的部分地区，扰乱社会秩序，对经济建设有一定的负面影响无危害对公共利益不造成影响个人权益特别严重危害个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响，导致个人的人身安全、财产安全、健康状况、精神状况、人格尊严、个人名誉等出现严重损害。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等严重危害个人信息主体可能遭受较大影响，个人信息主体克服难度高，消除影响代价较大。导致人身安全、财产安全、健康状况、精神状况、人格尊严、个人名誉等出现损害。如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶化等表1影响程度说明表（续）影响对象影响程度参考说明个人权益一般危害个人信息主体遭受困扰，但尚可以克服。如付出额外成本、无法使用应提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等轻微危害对个人合法权益仅造成微弱影响无危害对个人信息合法权益不造成影响组织权益特别严重危害可能导致组织遭到监管部门严重处罚（包括取消经营资格、长期暂停相关业务等），或者影响重要/关键业务无法正常开展的情况，造成重大经济或技术损失，严重破坏机构声誉，企业面临破产严重危害可能导致组织遭到监管部门处罚（包括一段时间内暂停经营资格或业务等），或者影响部分业务无法正常开展的情况，造成较大经济或技术损失，破坏机构声誉一般危害可能导致个别诉讼事件，或在某一时间造成部分业务中断，使组织的经济利益、声誉、技术等轻微受损轻微危害对组织合法权益仅造成微弱影响但不会影响国家安全、公共利益、市场秩序或各项业务的正常开展，造成的微弱影响可被补救或者补偿无危害对组织合法权益不造成影响分级规则公共数据分级按照敏感级别从低到高分为一至四级和更高级别，更高级别视具体情况确定。一般数据、重要数据、核心数据的区分和定级按照国家相关政策和标准规范执行。分级规则如表2所示。公共数据分级规则敏感级别敏感程度影响对象共享属性开放属性国家安全经济运行社会稳定公共利益个人/组织合法权益更高级别极敏感数据特别严重危害、严重危害特别严重危害特别严重危害特别严重危害特别严重危害不予共享不予开放四级高敏感数据一般危害严重危害严重危害严重危害特别严重危害有条件共享/不予共享不予开放三级敏感数据轻微危害一般危害一般危害一般危害严重危害有条件共享有条件开放/不予开放二级低敏感数据无危害轻微危害轻微危害轻微危害一般危害、轻微危害有条件共享/无条件共享有条件开放一级不敏感数据无危害无危害无危害无危害无条件共享无条件开放数据定级实施定级流程根据本文件的数据分级参考规则对数据进行定级。对于没有分级的公共数据，暂时不予共享/开放，待确定等级之后安全有序共享/开放。定级步骤见图1。公共数据定级实施步骤数据资源的等级划分应结合数据项（字段）、数据集规模和业务场景进行综合判定实施定级：数据项（字段）定级：依据数据项（字段）含义，按照数据分级规则，对待定级的数据资源包含的所有数据项（字段）进行等级划分，数据资源定级为其包含的数据项的最高敏感级别，记为G_b；数据集定级：数据集定级应充分考虑数据规模的影响，若超过特定规模（例如超过100万条数据），则应在数据项（字段）定级结果G_b的基础上提高敏感级别，记为G_c；业务场景定级：依据数据资源的业务场景，根据原始数据在业务场景中可形成的衍生数据情况，判断衍生数据的敏感级别，数据资源定级为其业务场景下衍生的数据的最高敏感级别，记为G_s；综合定级：结合步骤b）的数据集定级G_c、步骤c）的业务场景定级G_s，取两者最大值作为待定级数据资源的最终敏感级别G。数据项（字段）定级数据项最低参考级别如下：已合法公开披露的公共数据可定为一级；法律法规规章未明确要求公开的个人信息等级不应低于二级；有条件共享/开放的公共数据级别不应低于二级；法律法规明确要求保护的公共数据，数据级别不应低于三级；不予开放的公共数据不应低于三级，不予共享的公共数据不应低于四级；一般个人信息不低于二级；敏感个人信息不低于三级。通过分析个人信息遭到泄露或者非法利用对个人信息主体权益可能造成的影响，符合以下任一影响的可判定为敏感个人信息（示例参考见附录A）：个人信息遭到泄露或者非法使用，可能直接侵害个人信息主体的人格尊严，如特定身份、医疗健康、犯罪记录等；个人信息遭到泄露或者非法使用，不会直接侵害个人信息主体的人格尊严，但可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严，如个人种族、宗教信仰、性取向等；个人信息遭到泄露或者非法使用，可能直接或间接危害个人信息主体的人身、财产安全，如家庭住址、家属关系等家庭相关信息，身份证复印件等；对于在库表、数据文件存储的数据分级标记应细化至数据的数据项（字段）级，相关库表、文件的级别按照包含数据项（字段）的最高敏感级别定级；对数据接口定级按照其响应请求返回数据项（字段）中敏感级别最高的数据项（字段）级别定级；其他数据按照5.2数据分级方法的判定规则自主定级。数据集定级数据集规模达到国家相关部门规定的数量时，应在数据项（字段）级别基础上提高敏感级别。某数据资源所包含的数据项（字段）级别均为二级，但其数据集规模超过了100万条，则数据集敏感级别可考虑定为三级及以上。业务场景定级公共数据定级应结合业务场景，考虑在业务场景下产生的衍生数据的安全风险，应结合场景、数据可加工整合关联处的衍生数据综合判定数据级别。在数据授权运营、数据交易等业务场景下，应加强研判数据在特定场景下的敏感级别是否发生变化，确定数据敏感级别后开展相关业务。数据集A采用了删除身份证号码中间8位的匿名处理后开放（如320201********1234），但数据集B中包含了个人生日信息，在这种情况下，两类数据整合关联等同于获取了个人全部身份证号码，应当对A、B重新定为更高敏感级别，或改变匿名处理方式后重新定级。公共数据在业务场景中加工程度不同，可形成不同的衍生数据，例如：脱敏数据、标签数据、统计数据、融合数据等，常见衍生数据定义和示例见表3。衍生数据定义和示例表衍生数据定义示例脱敏数据对数据按照脱敏规则进行变形处理后的新数据去标识化的电话号码（如138*******6）等，个人信息去标识化、匿名化处理后的数据属于脱敏数据标签数据对用户个人敏感属性等数据进行区间化、分级化、统计分析后形成的非精确的模糊化标签数据偏好标签、关系标签等统计数据群体性综合性数据，是由多个用户个人或实体对象的数据进行统计或分析后形成的数据群体用户位置轨迹统计信息、群体统计指数、交易统计数据、统计分析报表、分析报告方案等融合数据对不同业务目的或地域的数据汇聚，进行挖掘或聚合多个业务、多个地市的数据整合、汇聚等衍生数据级别宜依据就高从严原则，对照加工的原始数据集级别进行定级，同时可按照数据加工程度进行升级或降级：脱敏数据级别可比原始数据集级别降低，去标识化的个人信息不低于二级，匿名化的个人信息可设置为一级；标签数据级别可比原始数据集级别降低，个人标签信息不低于二级；统计数据如涉及大规模群体特征或行动轨迹，应设置比原始数据级别更高的级别；统计数据如不包含个人、组织的敏感信息，且不对国家安全、公共利益造成危害，可设置比原始数据级别更低的级别；融合数据级别根据数据汇聚融合结果，如果结果数据汇聚了更多的原始数据或挖掘出更敏感的数据，级别应升高；但如果结果数据降低了标识化程度等，级别可降低；对于无法评估的不确定性风险，宜通过专家座谈研讨等方式确定数据级别。综合定级取数据集级别与业务场景级别的最大值作为数据资源最终敏感级别。级别变更数据分级完成后，应定期检查复核。当数据的业务属性、重要程度和可能造成的危害程度发生变化时宜进行动态更新，动态更新包括但不限于以下情形：数据内容发生变化，导致原有数据的敏感级别不适用变化后的数据；数据内容未发生变化，但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化，导致原定的数据敏感级别不再适用；因数据汇聚融合，导致原有数据敏感级别不再适用汇聚融合后的数据；对不同数据加工整合后形成的新数据，导致原有数据的敏感级别不再适用新数据；对数据进行脱敏、删除关键数据项（字段），或经过去标识化、假名化、匿名化处理；发生数据安全事件，导致数据敏感性发生变化；因国家或行业主管部门要求，导致原定的数据敏感级别不再适用；需要对数据敏感级别进行变更的其他情形。数据敏感级别变更示例见表4。数据敏感级别变更示例表序号措施或情形敏感级别变化1数据体量增加到特定规模导致社会重大影响升级2达到国家有关部门规定精度的数据升级3关联多个业务部门数据升级4大量多维数据进行关联升级5发生特定事件导致数据敏感性增强升级6数据已被公开或披露降级7数据进行脱敏或删除关键数据项（字段）降级8数据进行去标识化、假名化、匿名化降级9数据发生特定事件导致数据失去敏感性降级分级管控数据分级后，应采取相应的保护措施对数据进行分级保护，附录B列出了第一级至更高级别数据全生命周期分级管控措施参考示例。公共数据分类分级成效评价分类分级工作宜建立成效评价体系，定期对数据分类分级成效开展评价，评价内容包括但不限于：公共数据资源分类分级标识设置情况；数据分类分级的合理度；分类分级更新及时性；共享和开放属性设置是否符合对应敏感级别的要求；分级管控措施与本文件管控要求的符合程度。可结合实际工作需要，具体设立更细致、明确的评价指标。公共数据分类分级成效评价方法见附录C，对评价结果为“差”的情况应针对性加强分类分级管理，优化完善管理措施。公共数据分类分级实施流程总体实施流程公共数据分类分级实施步骤见图2，数据分类分级示例见附录D。分类分级实施步骤数据资产梳理公共管理和服务机构对数据资产进行全面梳理，明确数据资产基本信息和相关方，形成数据资产目录：以物理或电子形式记录的数据库表（精确到数据项级别）；数据文件；其他结构化和非结构化数据资产。数据分类结合自身业务，按照本文件的要求建立自身的数据分类规则，对数据进行分类。数据分级结合自身业务，按照本文件的数据分级规则，对数据进行分级。根据数据分类分级情况确定数据的共享属性和开放属性，对于不予共享、有条件共享、不予开放、有条件开放类的公共数据，应申明理由，明确相关条件，并提供相应的法律、法规或者政策依据。分类分级标识审核自主检查公共数据分类分级实施主体应对分类分级标识结果自主检查，检查通过后提交进行下一步审核。数据审核公共数据分类分级审核方对通过自主检查的分类分级结果进行复审，主要检查分类分级标识是否完善、共享/开放属性设置是否合理等。审核发现明显错误的应退回至分类分级标识主体并提示修改；未发现错误的予以通过。形成分类分级标识数据审核通过后，分类分级主体应进行确认，形成分类分级标识结果，并按管控要求进行共享和开放。分级管控按照数据分类分级管控要求，对数据进行相应级别的管控。分类分级成效评价参考本文件第6章的方法对公共数据分类分级结果进行成效评价。动态更新管理应根据数据重要程度和可能造成的危害程度变化，对数据分类分级规则、数据分类分级标识和资源目录等进行动态更新管理。

（资料性）

敏感数据示例个人一般信息和敏感信息个人一般信息和敏感信息见表A.1。个人一般信息和敏感信息参考清单个人信息类别个人信息示例敏感程度一级类别二级类别特定身份个人基本资料姓名，出生年月日，性别，民族，国籍，籍贯，婚姻状况，婚史，兴趣爱好，电话号码，家庭固话号码，家庭关系，工作单位，个人受教育和培训情况相关信息（如学历、学位、入学日期、毕业日期、学校、院系、专业、成绩单、资质证书、培训记录）等敏感个人身份信息可直接标识个人身份的信息，如身份证、户口本、军官证、护照、驾驶证、行驶证、工作证、出入证、社保卡、居住证、X台通行证等证件号码、证件生效日期、证件到期日期、证件照片或影印件等敏感网络身份标识信息可直接标识网络或通信用户身份的信息及账户相关资料信息（金融账户除外），包含但不限于：用户账号，用户ID，即时通信账号（微信、飞信、QQ等），网络社交用户账号（抖音、微博、电子邮箱等），用户头像，昵称，个性签名，IP地址，账户开立时间等一般身份鉴别信息用于身份鉴别的数据，如账户登录密码、银行卡密码、支付密码、账户查询密码、交易密码、银行卡有效期、银行卡片验证码（CVN和CVN2）、USBKEY、动态口令、U盾（网银、手机银行密保工具信息）、短信验证码、密码提示问题答案、手机客服密码、个人数字证书、随机令牌等敏感个人设备信息可变更的唯一设备识别码：AndroidID，IDFA，IDFV，OAID等；不可变更的唯一设备识别码：IMEI，IMSI，MEID，设备MAC地址，硬件序列号，ICCID等一般个人标签信息个人上网记录等各类个人信息加工产生的用于对个人用户分类分析的描述信息，包括但不限于：APP偏好，关系标签，终端偏好，内容偏好等标签信息一般个人生物识别信息个人生物识别信息生物识别原始信息（如样本、图像等）和比对信息（如特征值、模板等），包含但不限于：人脸，指纹，步态，声纹，基因，虹膜，笔迹，掌纹，耳廓，眼纹等敏感个人财产信息金融账户金融账户及账户相关信息，包含但不限于：银行卡号，银行卡磁道数据（或芯片等效信息），银行卡有效期，电子银行账号，支付宝账号，微信支付账号，证券账户，基金账户，保险账户，公积金账户，公积金联名账号，社保卡号，社保卡密码，账户开立时间，开户机构，账户余额，支付标记信息，账户登录密码，查询密码，支付密码，交易密码，收入，余额，消费支出等敏感个人交易信息交易过程中产生的交易信息和消费记录，包含但不限于：交易订单，交易金额，支付记录，透支记录，交易状态，交易日志，交易凭证，账单，证券委托，成交，持仓信息，保单信息，理赔信息等一般表A.1个人一般信息和敏感信息参考清单（续）个人信息类别个人信息示例敏感程度一级类别二级类别个人资产信息个人实体和虚拟财产信息，包含但不限于：个人收入状况，房产信息，不动产证号，不动产地址，存款信息，车辆信息，纳税额，公积金缴存明细（含余额、基数、缴纳公司、公积金中心、状态等），银行流水，虚拟财产（虚拟货币、虚拟交易、游戏类兑换码等），个人社保与医保存缴金额等敏感个人借贷信息个人在借贷过程中产生的信息，包含但不限于：个人借款信息，贷款额，还款信息，欠款信息，信贷记录，征信信息，担保情况等一般行踪轨迹地理位置能具体定位到个人的地理位置数据，包括但不限于：家庭住址，通信地址，常驻地址，定位信息，车辆轨迹信息，工作单位地址，住宿信息，出入境记录等敏感个人上网记录个人在业务服务过程中的操作记录和行为数据，包括但不限于：网页浏览记录，软件使用记录，点击记录，Cookie，发布的社交信息，点击记录，收藏列表，搜索记录等一般个人通信及社交信息个人通信信息通信记录，包括但不限于：短信，彩信，话音，电子邮件，即时通信等通信内容（如文字、图片、音频、视频、文件等），及描述个人通信的元数据（如通话时长）等敏感联系人信息描述个人与关联方关系的信息，包括但不限于：通讯录，好友列表，群列表，电子邮件地址列表，家庭关系，工作关系，社交关系等一般医疗健康健康状况信息与个人身体健康状况相关的一般信息，包含但不限于：体重，身高，体温，肺活量，血压，血型，步数，步频，运动时长，运动距离，运动方式，运动心率等一般个人医疗信息个人因生病医治等产生的相关记录，包含但不限于：就诊医院，疾病名称，临床表现，检查报告，诊断结果，病症，住院志，医嘱单，检验报告，体检报告，手术及麻醉记录，护理记录，用药记录，药物食物过敏信息，生育信息，以往病史，诊治情况，家族病史，现病史，传染病史，吸烟史等敏感宗教信仰宗教信仰信仰宗教名称敏感未成年人个人信息未成年人个人信息14岁以下（含）未成年人的个人信息敏感其他信息其他信息种族、性取向、未公开的违法犯罪记录等敏感组织敏感数据组织敏感信息见表A.2。

组织敏感数据参考清单表敏感数据类别敏感数据账户信息支付账号（账户），证券账户，保险账户，登录密码，查询密码，交易密码，企业借款信息，企业还款信息，企业欠款信息，账户收入，账户余额，账户消费支出业务信息交易金额，交易证件扫描件，业务合同扫描件，签名影像，交易录音，交易视频项目管理信息化项目、信息系统的规划文档等数据，制度文档、质量管控文档等数据，信息系统设计方案、源代码等数据综合管理市场营销活动及其有关的各项业务管理文档等数据，资金统筹管理活动有关文档等数据，人力资源管理活动有关文档等数据，品牌管理活动有关文档等数据，业务发展规划过程中记录的数据，如一定时期内对业务发展方向、发展速度与质量、发展点及业务发展能力的重大选择和策略等，管理层人员信息，员工信息，人事档案信息财务信息预算执行，周转金拨付，年终并账，会计记录，账簿，金融资产，流动资产，长期投资，固定资产，无形资产，递延资产，流动负债，非流动负债，所有者权益，税务信息（包括税款形成、申报、缴纳以及发票管理等过程中产生的各类数据）

（资料性）

公共数据全生命周期分级管控措施表公共数据分级管控措施见表B.1。表B.1公共数据全生命周期分级管控措施表数据生命周期保护措施类别分级管控措施一级数据二级数据三级数据四级数据更高级别数据数据采集管理措施1.明确数据采集的目的、用途和范围，遵循数据采集的合法、必要、正当和真实原则。2.建立数据源管理制度，保证数源识别、采集动作、审核过程的可追溯性管理。明确数据采集的来源、范围、频度、类型、用途等必要信息。3.明确数据的最小颗粒度到具体数据项（字段）级别，对采集账号权限管理，根据对数据项（字段）的需求，依据权限最小化原则分配采集账号权限，并通过管控实现账号认证和权限分配，不得采集提供服务所必需以外数据。4.建立数据采集管控流程，规范数据采集的流程和方法，对授权采集的过程和信息进行有效记录，相关信息保存时长不低于6个月，并进行定期审计和检查。5.对线下数据采集过程中的人员、存储介质封装、交付过程、时间等进行审核、管控，并对相关材料进行归档和登记备案。6.建立数据质量管理机制，确保采集数据的质量。在满足一级管控要求基础上，还应采取：1.针对数据采集，事前开展数据风险评估，并制定约束机制。2.建立数据风险应急预案，明确启动预案的条件、应急处理流程、应急资源保障等；定期对数据风险应急预案重新评估，修订完善；相关人员应定期参加应急处理技能培训，并通过考核。3.采用系统对接的方式进行数据采集；若不具备系统线上对接，应对线下采集过程进行审批授权，交付过程至少2人参与，接收过程至少2人参与，数据交接应进行数据量和数据内容核对，并现场书面签字确认。4.如涉及对数据内容或通道加密，采集执行方和加密方由不同人员分别实施。在满足二级管控要求基础上，还应采取：1.明确数据采集限定的组织、企业和个人范围，限定数据采集使用的目的和范围。2.建立数据采集风险监测管理机制，明确威胁行为、风险内容、处理要求等相关措施。3.采取多人分级分权形式对数据采集进行审批、监督、执行、归档等管理。在满足三级管控要求基础上，还应采取：1.开展公共数据采集应遵守“一事一议，一事一审核”的原则，严格限定数据采集的组织和企业范围，并对采集的全过程进行实时监控与审计。2.对采集数据内容或通道进行加密时，相关密码应至少由两人管理。1.不低于第四级管控要求。2.宜采用专用设备、专用网络、专用场地、专职人员进行数据采集工作。严格记录数据采集全过程信息。数据采集技术措施1.采用口令认证等方式，进行身份鉴别和授权处理，设置访问控制规则，依据权限合理采集数据。2.采集设备接入管理，对采集设备IP地址、MAC地址、服务端口等进行授权限制，对采集设备接入进行认证鉴权。3.采取可靠技术手段对采集的数据进行校验，保证数据在传输过程中的完整性、一致性和机密性。4.对采集的数据进行识别和记录，在数据流转过程中，能够全流程追踪其加工和计算的数据来源；对在线采集过程进行实时监控，并进行有效记录，对数据流量实施限流控制；对线下采集使用的存储介质进行安全扫描、病毒查杀，确认安全之后才能进行数据的采集使用。在满足一级管控要求基础上，还应采取：1.采取数据防泄漏等安全措施，防止数据在采集过程中的泄露，如数据加密、采集链路加密、敏感数据项（字段）脱敏等手段。2.定期进行应急演练。在满足二级管控要求基础上，还应采取：1.采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。2.对数据内容进行加密，且不低于国家商密要求。3.建设风险监测预警系统，对数据采集全过程进行持续动态认证，确保数据采集设备或系统的真实性，对可疑的数据采集行为可实施阻断、必要时切断数据采集。在满足三级管控要求基础上，还应采取：1.采集设备或系统采用技术手段进行隔离。数据传输管理措施1.建立数据传输审批授权机制，明确当前授权的范围、频次、有效期等，避免出现一次性授权、打包授权等情况；规范传输流程，对传输内容和过程进行有效记录，如数据传输发起人、接收人、传输发起端设备、接收端设备、数据传输时间、传输完成时间等，相关信息保存时长不低于6个月，并进行定期审计和检查。2.明确数据传输双方身份认证方式、接入方式等。在满足一级管控要求基础上，还应采取：1.针对数据传输，事前开展数据风险评估，并制定约束机制。2.建立数据风险应急预案，明确启动预案的条件、应急处理流程、应急资源保障等。定期对原有的数据安全应急预案重新评估，修订完善；相关人员应定期参加应急处理技能培训，并通过考核。3.如涉及通道加密，传输执行方和加密方由不同人员分别实施。在满足二级管控要求基础上，还应采取：1.建立数据传输风险监测管理机制，明确威胁行为、风险内容、处理要求等相关措施。2.数据内容加密时，传输执行方和加密方由不同人员分别实施。在满足三级管控要求基础上，还应采取：1.宜采用专用传输通道，与其他数据隔离传输管理，如采用物理隔离方式。2.对数据传输严格审批授权，遵守“一事一议，一事一审核”的原则。3.对传输数据内容或通道进行加密时，相关密码至少由两人管理。1.不低于第四级管控要求2.宜采用专用设备、专用网络、专用场地、专职人员进行数据传输工作。严格记录数据传输全过程信息。数据传输技术措施1.在网络边界和区域之间根据访问控制策略设置访问控制规则，针对数据流向做好隔离封堵的限制，默认情况下除允许通信外受控接口拒绝所有通信。2.采用口令认证等方式，进行身份鉴别和授权处理，设置访问控制规则，依据权限合理传输数据。3.对线下数据传输采用加密、脱敏、物理封装等技术手段，防止数据违规复制、传播、破坏等。4.采用可靠技术手段对数据来源进行校验，保证数据在传输过程中的完整性、一致性和机密性。5.在数据传输完成后立即消除传输历史缓存数据。在满足一级管控要求基础上，还应采取：1.建立安全的数据传输通道，XXVPN，专线等。2.提供通信线路、网络设备的硬件冗余，保证数据传输的高可用性。3.定期进行应急演练。在满足二级管控要求基础上，还应采取：1.采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。2.对数据内容进行加密，并采取安全的传输协议进行传输。3.建设风险监测预警系统，对数据传输全过程进行持续动态认证，确保数据传输设备或系统的真实性，对可疑的数据传输行为可实施阻断、必要时切断数据传输。4.对进出网络的数据流实现基于数据内容的访问控制，防止数据泄露、篡改等。5.采用数字签名、时间戳等方式，确保数据传输的抗抵赖性。在满足三级管控要求基础上，还应采取：1.使用数据溯源（如水印溯源）等技术，对数据泄露风险及行为进行追踪，如定位到责任人等。2.宜基于硬件密码模块对传输过程进行密码运算和密钥管理。数据存储管理措施1.建立数据存储安全管理机制，明确数据存储位置、存储时长、操作流程、访问要求等关键要素，对存储的数据资源形成资产化备案。2.对存储系统的账号权限进行最小必需原则的权限管理。3.对数据的访问、读写等操作进行鉴权、审批和全流程有效记录，相关信息保存时长不低于6个月，并进行定期审计和检查。4.建立数据备份与恢复管理机制，明确备份数据的备份方式、备份频度、存储介质、保存期等。5.将存储介质存放在安全的环境中，对各类介质进行控制和保护，实行存储环境专人管理，并根据存储介质的目录清单定期盘点。6.对出入数据存储场所的人员进行相应级别的授权，对进入人员和活动实时监视等。在满足一级管控要求基础上，还应采取：1.对数据存储过程中可能产生的影响进行风险评估，并采取相应安全防护措施。2.建立数据风险应急预案，明确启动预案的条件、应急处理流程、应急资源保障等。应定期对原有的数据安全应急预案重新评估，修订完善；相关人员应定期参加应急处理技能培训，并通过考核。在满足二级管控要求基础上，还应采取：1.严格管理数据资产台账信息，相关纸质文件、电子文件应进行专用设备、专用场地、专职人员妥善管理。2.建立数据存储风险监测管理机制，明确威胁行为、风险内容、处理要求等相关措施。3.对数据读取、写入等操作，建立多人多级的分权审核管理机制。4.数据加密存储时，存储执行方和加密方由不同人员分别实施。在满足三级管控要求基础上，还应采取：1.宜建立单独的存储设施，保证数据存储的完整性、机密性。2.对存储数据加密时，相关密码至少由两人管理。1.不低于第四级管控要求。数据存储技术措施1.保存在可信或可控的信息系统或物理环境。2.采用口令认证等方式，进行身份鉴别和授权处理，设置访问控制规则，依据权限合理存储数据。3.建立开放可伸缩的存储架构，满足数据量持续增长的需求。4.提供数据的本地数据备份与恢复功能，并定期进行数据的备份。5.采用可靠技术手段对数据进行校验，保证数据在存储过程中的完整性、一致性和机密性。在满足一级管控要求基础上，还应采取：1.存储系统采用硬件冗余，保证系统高可用性。2.提供异地数据备份功能，利用通信网络将数据定时批量传送至备用场地。3.定期进行应急演练。在满足二级管控要求基础上，还应采取：1.采用隔离方式存储数据，并加密存储。2.采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。3.保证存储的数据完整性，使用数据时应进行数据完整性校验，并对数据完整性的破坏进行审计，如采用数字签名技术、数据鉴别码（DAC）等技术手段。4.访问控制的粒度达到主体为用户级或进程级，客体为文件、数据库表级。5.建设风险监测预警系统，对数据存储全过程进行持续动态认证，确保存储设备或系统的真实性和数据完整性，对可疑的数据操作行为可实施阻断，必要时切断数据读写操作。6.建立异地实时备份机制，明确备份数据的备份方式、备份频度、存储介质、保存期等，利用通信网络将数据实时备份至备用场地。7.定期对备份数据的有效性和可用性进行检查，定期对数据进行恢复验证，根据介质使用期限及时转储数据，确保数据可用性。在满足三级管控要求基础上，还应采取：1.制定异地灾难备份机制，建立异地灾难备份中心，明确备份数据的备份方式、备份频度、存储介质、保存期等，提供数据的实时无缝切换。2.定期开展灾难恢复演练，对技术方案中关键技术应用的可行性进行验证测试，并记录和保存验证测试的结果。3.访问控制的粒度达到主体为用户级或进程级，客体为数据项（字段）级。数据加工管理措施1.建立数据加工审核管理机制，明确数据加工处理的目的、操作人员、数据获取方式、权限范围、授权机制、预计产生的新数据等信息，经审批授权后方可开展相关工作；对数据操作行为进行全流程记录，相关信息保存时长不低于6个月，并进行定期审计和检查。2.开展数据加工活动过程中，可能危害国家安全、公共安全、经济安全和社会稳定的，立即停止加工活动。3.建立身份鉴别与访问控制机制，防止非授权数据加工。4.对数据加工结果进行评估，如产生新数据，对新数据进行安全审核、合规风险评估和数据使用授权流程，确保新数据不存在数据泄露风险。对加工、分析产生的新数据设置级别标签。在满足一级管控要求基础上，还应采取：1.在数据加工之前进行数据风险评估，并制定约束机制。2.对数据进行脱敏后再进行加工、分析，确需直接对其进行非脱敏的加工、分析时，经审核批准后进行。3.对数据本地下载等敏感操作行为进行监控，并进行二次审批操作。4.建立数据风险应急预案，明确启动预案的条件、应急处理流程、应急资源保障等。应定期对应急预案重新评估，修订完善；相关人员应定期参加应急处理技能培训，并通过考核。5.获得数据加工授权的人员签署保密协议，不应进行非授权操作，不应复制和泄露任何信息。6.如涉及数据加密（或脱敏），加工执行方和加密（或脱敏）方由不同人员分别实施。在满足二级管控要求基础上，还应采取：1.严格限制数据加工的组织、企业和个人范围，限定数据加工使用的目的和范围；对加工超过100万条数据的人员进行登记备案管理，应审核其个人身份信息、工作单位资质和信誉，对曾经出现过数据安全事件的个人和组织，禁止其参与数据加工。2.建立数据加工风险监测管理机制，明确威胁行为、风险内容、处理要求等相关措施。3.对数据加工操作由多人多级分权审核管理，确保单人无法拥有数据的完整操作权限。在满足三级管控要求基础上，还应采取：1.一般情况不允许加工若需加工时，遵循“一事一议、一事一审核”原则，经审核批准后，进行脱敏降级后予以加工。2.对加工数据加密时，相关密码至少由两人管理。不允许加工数据加工技术措施1.依据权限最小化原则分配账号权限，通过管控技术手段统一实现账号认证和权限分配；不同用户只能访问与其权限对应的数据。2.采用口令认证等方式，进行身份鉴别和授权处理，设置访问控制规则，依据权限合理调配数据，防止非授权的加工、分析操作。3.对系统间和后台数据的导出进行监控，通过技术手段予以严格控制。4.远程加工、分析数据时，严格限制数据加工、分析终端的外部接入IP数量和地址。在满足一级管控要求基础上，还应采取：1.采用可靠技术手段对数据进行加密或脱敏处理，防止数据加工过程中的数据泄露。若必须使用原始数据，需提供必要性说明，经审批授权后方可使用原始数据进行加工处理，并对数据操作行为进行每日审计监管。2.仅在内部环境进行数据加工、分析操作，并采取技术措施禁止远程加工、分析数据。3.定期进行应急演练。在满足二级管控要求基础上，还应采取：1.采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。2.对加工处理产生的新数据进行加密保护。3.建设数据加工风险监测预警系统，对数据加工的全过程进行监测，监测、记录、审计，对异常数据操作行为及时预警、处置，对违规行为及时阻断。在满足三级管控要求基础上，还应采取：1.对数据加工过程进行实时风险监控，并进行持续动态认证和授权。数据共享管理措施1.建立数据共享目录，明确数据共享范围和使用属性。2.无条件共享。3.数据共享实施报备登记管理，并留存相关共享记录，相关信息保存时长不低于6个月，并进行定期审计和检查。在满足一级管控要求基础上，还应采取：1.建立数据共享的审核批准机制，有条件共享，明确数据共享目的、申请方、范围（应细化到数据项）、期限、频次等内容，对数据共享申请应进行严格审批和授权，经审核批准后，予以共享。2.针对数据共享，事前开展数据风险评估，并制定约束机制。3.建立数据风险应急预案，明确启动预案的条件、应急处理流程、应急资源保障等；定期对数据风险应急预案重新评估，修订完善；相关人员定期参加应急处理技能培训，并通过考核。在满足二级管控要求基础上，还应采取：1.明确数据共享限定的组织范围，限定使用目的和范围。2.对数据共享申请方的数据安全保护能力进行评估，确保其具备足够的数据安全保护能力。3.建立数据共享风险监测管理机制，明确威胁行为、风险内容、处理要求等相关措施。4.采取多人分级分权形式对数据共享进行审批、监督、执行、归档等管理。在满足三级管控要求基础上，还应采取：1.一般情况不予共享，若需共享时，遵循“一事一议、一事一审核”原则，经审核批准后，进行脱敏降级后予以共享。2.若需提供密钥给数据共享申请方，密钥至少由其两人管理。不允许共享数据共享技术措施1.采用口令认证等方式，进行身份鉴别和授权处理，设置访问控制规则，依据权限合理调配数据。2.采取可靠技术手段，保证共享数据的完整性、一致性，防止数据的篡改、丢失及滥用。在满足一级管控要求基础上，还应采取：1.定义数据共享的数据项（字段）、数据资源类型、传输方式、更新频率等信息，并对数据共享过程进行记录和审计。2.建立可靠的数据共享通道，XXVPN，专线等。3.定期进行应急演练。在满足二级管控要求基础上，还应采取：1.采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术进行身份鉴别，且其中一种鉴别技术至少使用密码技术来实现。2.对共享场景进行评估，可以满足需求的情况下，采用数据可用不可见的方式提供数据共享，如对数据进行加密或脱敏处理；若共享场景必需明文数据，对不同的数据共享申请方提供不同的密钥或将数据解密后提供。3.建设数据共享风险监测预警系统，对数据共享的全过程进行监测，监测、记录、审计，对异常数据操作行为及时预警、处置，对违规行为及时阻断，必要时切断数据共享。在满足三级管控要求基础上，还应采取：1.对共享的数据采取数字水印等技术，确保共享数据可溯源。2.宜采用多方安全计算、同态加密等数据隐私计算技术实现数据共享的安全性。数据开放管理措施1.建立数据开放目录，明确数据开放范围和使用属性。2.无条件开放。3.仅通过数据专区对外开放数据，并留存相关记录，相关信息保存时长不低于6个月，并进行定期审计和检查。在满足一级管控要求基础上，还应采取：1.建立数据开放的审核批准机制，有条件开放，确保合法性、正当性和必要性。应明确数据开放目的、申请方、内容、范围（应细化到数据项）、期限、频次等，对数据开放申请进行严格审批和授权，经审核批准后，予以开放。2.针对数据开放，事前开展数据风险评估，并制定约束机制。若发现被申请数据与已开放数据（包括其他渠道已公开数据）进行关联融合会产生更高级别敏感信息，按照相应更高敏感级别进行管控。3.建立数据风险应急预案，明确启动预案的条件、应急处理流程、应急资源保障等；定期对数据风险应急预案重新评估，修订完善；相关人员定期参加应急处理技能培训，并通过考核。在满足二级管控要求基础上，还应采取：1.明确数据开放限定的组织范围，限定使用目的和范围。2.对数据开放申请方的数据安全保护能力进行评估，确保其具备足够的数据安全保护能力。3.建立数据开放风险监测管理机制，明确威胁行为、风险内容、处理要求等相关措施。4.采取多人分级分权形式对数据开放进行审批、监督、执行、归档等管理。不允许开放不允许开放数据开放技术措施1.采用口令认证等方式，进行身份鉴别和授权处理，设置访问控制规则，依据权限合理调配数据。2.采取可靠技术手段，保证开放数据的完整性、一致性，防止数据的篡改、丢失及滥用。在满足一级管控要求基础上，还应采取：1.定义数据开放的数据项（字段）、数据资源类型、更新频率等信息，并对数据开放过程进行记录和审计。2.设置电子政务网和互联网之间的单向访问控制策略，控制粒度为端口级。建立可靠的数据共享通道，XXVPN，专线等。3.定期进行应急演练。在满足二级管控要求基础上，还应采取：1.采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术进行身份鉴别，且其中一种鉴别技术至少使用密码技术来实现。2.对开放场景进行评估，可以满足需求的情况下，采用数据可用不可见的方式提供数据开放，如对数据进行不可逆的脱敏处理；若开放场景必需明文数据，对不同的数据开放申请方提供不同的密钥。3.建设数据开放风险监测预警系统，对数据开放的全过程进行监测，监测、记录、审计，对异常数据操作行为及时预警、处置，对违规行为及时阻断，必要时切断数据开放。数据销毁管理措施1.建立数据销毁和存储介质销毁审批机制，并对销毁过程进行记录。相关信息保存时长不低于6个月，并进行定期审计和检查。2.建立数据存储介质销毁操作规程，明确数据存储介质销毁场景、销毁技术措施以及销毁过程的安全管理要求。3.业务终止时自行决定数据是否需要销毁，宜采用删除、覆写法等方式进行数据销毁。在满足一级管控要求基础上，还应采取：1.建立数据销毁的审批机制，设置销毁相关执行和监督角色，并对审批和销毁过程进行记录控制。2.针对数据销毁，事前开展数据风险评估，并制定约束机制。3.建立数据风险应急预案，明确启动预案的条件、应急处理流程、应急资源保障等；定期对数据风险应急预案重新评估，修订完善；相关人员定期参加应急处理技能培训，并通过考核。4.业务终止时，采用删除、覆写法等方式进行数据销毁。5.明确数据销毁效果评估机制，定期对数据销毁效果进行抽样认定。在满足二级管控要求基础上，还应采取：1.采取多人分级分权形式对数据销毁进行审批、监督、执行、归档等管理。2.以不可逆的方式对数据进行销毁处理，防止数据泄露。在满足三级管控要求基础上，还应采取：1.存储介质采用专用介质存储，不允许移作他用。1.不低于四级管控要求。2.存储介质的销毁参照国家及行业涉密载体管理有关规定，由具备相应资质的服务机构或数据销毁部门进行专门处理，并由相应岗位人员对其进行全程监督。数据销毁技术措施1.采用口令认证等方式，进行身份鉴别和授权处理，设置访问控制规则，依据权限合理销毁数据。2.采用数据擦除方式销毁数据，明确定义数据填充方式与擦除次数。3.采用可靠技术手段，使用国家权威机构认证的工具销毁数据，确保数据不可还原。在满足一级管控要求基础上，还应采取：1.采用数据擦除方式销毁数据，明确定义数据填充方式与擦除次数，如全零、全一以及随机零一最少填写7次，并保证数据擦除所填充的字符完全覆盖存储数据区域。2.通过数据恢复工具或数据发现工具进行数据的尝试恢复及检查，验证数据销毁结果。3.定期进行应急演练。在满足二级管控要求基础上，还应采取：1.采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术进行身份鉴别，且其中一种鉴别技术至少使用密码技术来实现。2.以不可逆的方式对数据进行销毁处理，防止数据泄露，如逻辑销毁采用多次擦除，物理销毁采用消磁、粉碎、融化等。不低于三级管控要求。

（资料性）

数据分类分级成效评价方法C.1成效评价指标表表C.1给出一种公共数据分类分级成效评价指标示例。表C.1分类分级成效评价指标表数据目录名称数据资源类型（库表、接口、文件）评价项是否有分类标识是否有分级标识分类合理度分级合理度共享属性与敏感级别要求符合度开放属性与敏感级别要求符合度数据采集管控符合度数据传输管控符合度数据存储管控符合度数据处理管控符合度数据共享管控符合度数据开放管控符合度数据销毁管控符合度满分：7满分：7满分：6满分：8满分：8满分：8满分：8满分：8满分：8满分：8满分：8满分：8满分：8目录1库表7757668877768目录2接口7747775886587目录3文件7766775687677………………目录N库表7736666776677C.2成效评价指标计算以数据目录为最小评估颗粒度，假设每个数据目录包含M个评价项，则第i个数据目录的得分为QUOTE，每个评价项得分根据表C.2进行计算，结果应为整数。若相关单位有N个数据目录，则其综合得分按下式进行计算：QUOTE式中：FS——综合得分；fi——第i个数据目录得分；N——数据目录数量。表C.2分类分级成效评价指标表一级评价指标二级评价指标评价标准得分编号名称满分分值编号名称满分分值1数据分类分级标识141-1分类标识7是否有分类标识是7否01-2分级标识7是否有分级标识是7否02数据分类分级合理性142-1分类合理度6分类设置与分类原则的符合度非常合理5~6合理3~4基本合理1~2不合理02-2分级合理度8分级设置与分级原则的符合度非常合理7~8合理4~6基本合理1~3不合理03数据共享开放属性163-1共享属性8共享属性与数据敏感级别要求符合程度符合8基本符合1~7不符合03-2开放属性8开放属性与数据敏感级别要求符合程度符合8表C.2分类分级成效评价指标表（续）一级评价指标二级评价指标评价标准得分编号名称满分分值编号名称满分分值3数据共享开放属性163-2开放属性8开放属性与数据敏感级别要求符合程度基本符合1~7不符合04数据全生命周期管控措施564-1数据采集管控符合度8对照本文件中数据管控要求，实际数据管控措施的符合程度得分Si=符合管控要求的条数÷本文件管控要求总条数*二级指标满分分值S1：0~84-2数据传输管控符合度8S2：0~84-3数据存储管控符合度8S3：0~84-4数据处理管控符合度8S4：0~84-5数据共享管控符合度8S5：0~84-6数据开放管控符合度8S6：0~84-7数据销毁管控符合度8S7：0~8C.3成效评价结果成效评价结果示例见表C.3。表C.3公共数据分类分级成效评价表得分（）成效评价结果90以上优75~90良60~75中60以下差

（资料性）

数据分类分级示例互联网药品信息服务资格审批数据D.1.1数据表互联网药品信息服务资格审批数据见表D.1。表D.1互联网药品信息服务资格审批数据数据项（字段）数据分类数据分级共享属性开放属性证书编号医疗卫生一级无条件共享无条件开放网站域名医疗卫生一级无条件共享无条件开放发证机关医疗卫生一级无条件共享无条件开放法定代表人医疗卫生一级无条件