《数据安全技术 数据分类分级规则》解读

来源:大数据法律研究

文章摘要
2024年3月21日,全国网络安全标准化技术委员会发布《数据安全技术数据分类分级规则》(GB/T 43697-2024),将于2024年10月1日起实施。

2024年3月21日,全国网络安全标准化技术委员会发布《数据安全技术数据分类分级规则》(GB/T 43697-2024),将于2024年10月1日起实施。作为第一部以“数据安全技术”命名的国家标准,该文件明确了数据分类分级的原则、框架、方法和流程,并给出了重要数据识别指南,为数据分类分级的实务操作提供了重要指导。本文旨在从标准制定的背景出发,站在数据处理者的视角,对其核心内容进行深入的分析和解读,以便企业能够更好地理解和掌握标准的各项要求,从而在实际工作中有效地应用这些标准,确保数据的安全和合规。
一、标准制定背景
随着数字化进程的加速,数据安全问题越来越受到国家、社会以及个人层面的广泛关注。为了有效预防和应对数据安全风险,实施数据分类分级安全管理已成为一项关键措施。法律层面上,2017年实施的《网络安全法》首次提出网络运营者应当采取数据分类安全保护措施,随后《数据安全法》在此基础上进一步强化了数据分类分级保护制度,强调“根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护”。此外,《个人信息保护法》第五十一条也明确规定了个人信息处理者进行分类管理的义务,以确保个人信息得到妥善处理和保护。
在前述法律框架下,全国信息安全标准化技术委员会相继推出了多项标准文件,例如《信息技术大数据数据分类指南》《网络安全标准实践指南——网络数据分类分级指引》《信息安全技术重要数据识别指南》(征求意见稿)和《信息安全技术网络数据分类分级要求》(征求意见稿)等,这些文件共同为数据分类分级管理工作的开展提供了基本的指导原则和操作框架。最新发布的《数据安全技术数据分类分级规则》(以下简称《数据分类分级分级规则》)吸收合并了两个征求意见的内容,并进一步细化了数据分类分级的实施要点,而且对于如何识别重要数据提供了明确的方法和标准。该标准的发布将极大地助力企业和组织开展数据安全管理工作,并确保重要数据得到适当的保护,从而提升整体数据安全水平。
二、行业数据分类分级规则
不同行业领域的数据重要性、敏感程度以及泄漏后可能带来的风险各有差异。因此,企业应结合其所在行业的特定特点及实际业务需求,并参考现行的行业标准或规定来构建自身的数据分类分级管理框架。目前,国内各行业正积极推进数据分类分级规则的制订与实施工作,以下是对部分行业数据分类分级规则的简要梳理:

行业

名称

发布机构

主要内容

金融

《金融数据安全分级指南》(JR/T 0197—2020)

中国人民银行

金融数据安全分级的目标、原则和范围,以及数据安全定级的要素、规则和定级过程。

《证券期货业数据分类分级指引》(JR/T 0158-2018)

中国证券监督管理委员会

根据数据泄露或损坏造成的影响将数据分为不同级别,为证券期货业的数据安全提供分级方法。

《银行保险机构数据安全管理办法(征求意见稿)》

金融监管总局

要求银行保险机构制定数据分类分级保护制度,建立数据目录和分类分级规范,动态管理和维护数据目录,并采取差异化的安全保护措施。

电信

《基础电信企业重要数据识别指南》(YD/T 3867-2021)

工业和信息化部

给出了基础电信企业重要数据的定义、识别规则、识别方法和重要数据安全保护实施指导。

《基础电信企业数据分类分级方法》(YD/T 3813-2020)

工业和信息化部

规定了基础电信企业数据分类分级原则,工作流程和方法,并给出了基础电信企业数据分类分级示例。

《电信和互联网服务用户个人信息保护定义及分类》(YD/T 2781-2014)

工业和信息化部

规定了电信和互联网服务用户个人信息保护的术语和定义、保护范围、信息内容和分类。

工业

《工业数据分类分级指南(试行)》

工业和信息化部

对工业数据的分类与分级提出了基础要求,明确工业企业、平台企业的数据分类维度,并明确工业数据分为三个级别。

《智能制造工业数据分类原则》(GB/T 42128-2022)

国家市场监督管理总局

国家标准化管理委员会

从生命周期、系统层级和智能特征三个维度对智能制造所涉及的工业数据进行分类。

汽车

《车联网信息服务数据安全技术要求》(YD/T 3751-2020)

工业和信息化部

基于数据属性或特征,按照数据主题分为六大类:基础属性类数据、车辆工控类数据、环境感知类数据、车控类数据、应用服务类数据和用户个人信息。

卫生健康

《卫生健康行业数据分类分级指南(试行)》

国家卫生健康委规划司

明确了卫生健康行业数据分类分级的标准及工作流程,明确将卫生健康行业数据分为核心数据、重要数据、一般数据三个级别。

《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020)

国家市场监督管理总局

国家标准化管理委员会

明确了医疗健康数据的分类体系,提出根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别将医疗健康数据划分为5级。


三、标准核心内容问答
(一)数据分类分级应遵循哪些原则?
《数据分类分级分级规则》延续了《信息安全技术网络数据分类分级要求》(征求意见稿)提出的基本原则,要求数据处理者在进行数据分类分级工作时,应当恪守以下几项基本原则:
1. 科学实用原则:数据处理者应从数据管理和使用的便利性出发,选择常见且稳定的属性或特征作为分类依据,并根据实际情况对数据进行细化分级。参考上海网信办发布的数据分类分级优秀案例[1],数据处理者可以从多个分类维度,如公民个人层面、公共管理需求、信息传播路径以及组织运营特点等,对用户数据进行细致的划分和归类。
2. 边界清晰原则:数据分级的各级别应边界清晰,以便对不同级别的数据采取相应的保护措施。例如,在上海市新能源汽车公共数据采集与监测研究中心制定的《重要数据识别规则》[2]中,中心通过设定明确的分级要素和定量标准,界定了不同场景下数据集对影响对象产生的不同影响程度,为企业提供了清晰的数据分级指导。数据处理者在实际工作中可参考其所在行业规定,结合自身实际情况,通过定量和定性相结合的方式划定数据安全级别。

(来源:“网信上海”微信公众号)
3. 就高从严原则:当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。这意味着,如果一个数据集中包含不同级别的数据项,应遵循就高不就低的原则,以其中最高级别作为整个数据集的级别。
4. 点面结合原则:数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。中国人民银行于2020年发布的《金融数据安全数据安全分级指南》也提出了相似的规定,明确指出金融数据汇聚融合后,原保护等级不再适用的,需对数据安全级别进行调整。
5. 动态更新原则:根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。例如,随着数据规模的变化,某些先前被认为不太敏感的数据集可能需要进行重新评估,以确保持续符合数据安全合规与安全要求。
(二)企业如何开展数据分类工作?按照什么思路进行分类?

根据《数据分类分级分级规则》第5.1条,数据处理者可按照先行业领域分类、再业务属性分类的思路进行数据分类工作。具体而言,首先需要界定企业业务所涉及的行业领域,如工业、电信、金融、能源、卫生健康等,以确定数据的基本分类范畴。其次,企业应遵循所在行业领域主管(监管)部门制定的具体规则,结合自身的数据管理和使用需求,以及现有的数据分类基础,灵活地选择业务属性对数据进行进一步的细化分类。在具体操作中,企业可以参考以下业务属性来细化分类:

业务属性

分类标准

示例

责任部门

数据管理部门或职责分工

可分为研发数据、人力资源数据、财务数据、市场数据等

描述对象

数据描述的对象

可分为用户数据、业务数据、经营管理数据、系统运维数据

流程环节

业务流程、产业链环节

可分为探勘、开采、生产、加工、销售、使用等数据

数据主体

数据主体或属主

可分为公共数据、组织数据、个人信息

数据处理

数据处理活动或数据加工程度

可分为原始数据、脱敏数据、聚合数据、分析数据、加工数据等


对于法律法规有特殊管理要求的数据类别,如个人信息、汽车数据等,企业还应严格遵守相关规定和标准进行准确识别与分类,确保数据管理的合规性和安全性。
(三)数据分级的大致框架是什么?
《数据分类分级规则》采用了与《网络安全标准实践指南——网络数据分类分级指引》相一致的分级方法,基于数据的重要性、影响对象和影响程度,将数据从高到低分为核心数据、重要数据和一般数据三个级别。新标准在前述指南的基础上,对影响对象的范围进行了更为细致的划分,增强了标准在实际应用中的明确性和可操作性。
同时,企业可以根据自身的业务需求和数据管理策略,参照《数据分类分级规则》附录H,将一般数据进一步细分为2级至4级。这样企业可以根据数据的不同重要程度和潜在风险,实施差异化的数据保护措施,确保每一级别的数据都得到适当的管理和保护。如果企业选择将一般数据细分为4个级别,可参照以下分级规则开展工作:

基本级别

影响对象

国家安全

经济运行

社会秩序

公共利益

组织权益

个人权益

核心数据

特别严重危害

严重危害

特别严重危害

特别严重危害

特别严重危害

-

重要数据

一般危害

严重危害

严重危害

严重危害

-

一般数据

4级

无危害

一般危害

一般危害

一般危害

特别严重危害

3级

无危害

无危害

无危害

无危害

严重危害

2级

无危害

无危害

无危害

无危害

一般危害

1级

无危害

无危害

无危害

无危害

无危害


(四)数据分级工作涉及到哪些环节?
数据分级作为维护数据安全的一项基础性工作,其实施过程涉及多个关键环节,具体步骤如下:
1. 明确分级对象:首先,企业需明确哪些数据需要被分级,这可能包括具体的数据项、数据集、衍生数据以及跨行业领域的数据等。其中,数据项通常是指数据库中的特定字段,而数据集则是由多个数据记录组成的集合。跨行业领域数据则指从一个行业领域流向另一个领域的数据,或是多个行业领域数据融合加工后产生的新数据。
2. 分级要素识别:企业应结合自身数据的特性,识别影响数据分级的关键要素,例如数据所属的领域、描述对象、精度、规模、深度、覆盖度和重要性等。
3. 数据影响分析:在识别分级要素的基础上,企业需对数据进行影响评估,分析数据一旦遭受泄露、篡改、损毁或非法获取、非法使用、非法共享等情况,可能对国家安全、经济运行、社会秩序、公共利益、组织和个人权益造成的影响及其严重程度。
4. 综合确定级别:在综合考虑分级要素和影响评估的结果后,企业需根据“就高从严”的原则来确定数据的具体级别。对于跨行业领域的数据,原则上应依据数据来源的行业领域的分级规则来确定级别,若存在跨行业领域的数据融合加工,还需考虑这一过程对数据分级要素的影响,按照衍生数据的级别认定规则来确定其级别。对于衍生数据,应在原始数据级别的基础上,进一步考虑加工后数据的深度等因素,以及对国家安全、经济运行、社会秩序、公共利益、组织权益和个人权益的潜在影响。
(五)如何识别重要数据?
重要数据是指特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。为了指导企业和相关部门准确识别重要数据,《数据分类分级规则》第6.5条提供了明确的识别规则(参见前述分级框架),并在规范性附录G中给出了详细的识别指南。
该附录在《信息安全技术重要数据识别指南》(征求意见稿)的基础上进行了进一步的补充和细化,目前共涵盖十八个关键识别因素,包括对市场经济秩序的影响情况、是否反映关键信息基础设施总体运行和安全保护情况、重要场所物理安全保护情况等。例如,涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、审计日志的数据都属于重要数据的范畴。
在开展重要数据识别工作时,企业应密切关注其所在行业领域重要数据目录的制定和发布情况,并依据这些目录来进行识别。同时,企业还可参考《数据分类分级规则》中的相关规则和识别指南,结合自身的业务特性和实际运营情况,系统地开展重要数据识别和管理工作。
(六)对于特定类型的一般数据(如敏感个人信息、个人标签信息)和衍生数据如何划定级别?
在《数据分类分级规则》中,其附录H为特定的个人信息划定了评级最低参考级别。具体到一般数据的4级框架下,敏感个人信息的最低参考级别应不低于第4级,一般个人信息应不低于2级;组织内部员工个人信息应不低于2级;去标识化的个人信息应不低于2级,个人标签信息应不低于2级。
至于衍生数据,即经过统计、关联、挖掘、聚合、去标识化等加工活动产生的数据,其级别的划定应参考原始数据级别,并综合考虑数据加工过程对分级要素、影响对象、影响程度的影响。例如,数据处理者对原始数据中的非敏感数据进行提取和统计后形成的统计数据,由于其敏感性可能降低,可以设置比原始数据级别更低的级别。这样可以更好地适应实际数据安全风险,从而采取合理的数据保护措施。
(七)企业开展数据分类分级的具体工作流程是什么?
1. 数据资产梳理
数据资产梳理是开展分类分级工作的基础,企业应结合自身的业务流程和具体场景,对掌握的所有数据资产进行梳理和盘点。这一过程涉及到收集、识别和记录企业内外部的所有数据资源,无论是结构化的数据库内容还是非结构化的文档资料。
在数据资产梳理的过程中,企业需要明确每一项数据资产的具体内容、来源、使用方式和存储位置等信息,最终形成数据资产清单。同时,企业还需确定其所属的行业领域,以便根据不同行业的特点和要求,采取相应的分类分级规划。
2. 制定内部规则
企业对数据资产进行初步分类(明确所属行业领域)后,可就相关行业规定、分类分级细则、重要数据目录等进行检索和匹配。如行业领域主管部门已制定相关的数据分类分级规则,企业应结合自身实际参考标准内容,按照行业规则细化执行;如没有制订有关规则,或属于行业规则未覆盖的数据类型,可按照标准制定内部的分类分级规则。
3. 实施数据分类分级
在企业确立了数据分类分级的基本规则之后,便可以开始对数据进行具体的分类和分级工作。在分类的过程中,需要注意对公共数据、个人信息等特殊类别的数据进行准确识别和分类。企业可根据内部各部门的职责分工、业务流程、数据用途、数据来源等多个维度,对数据进行细化的分类处理。例如,银行可能会将数据分为客户数据、交易数据、风险管理数据等类别,并进一步根据数据的来源、使用频率和安全要求进行细化分类。
在数据分级方面,企业需要明确界定核心数据、重要数据和一般数据的范围。通过结合定量和定性的方法,全面评估待分级数据的影响对象和影响程度,从而划定其数据安全级别。定性描述的分级要素包括数据所属的领域(如金融服务、医疗保健)、群体(如消费者、患者)、区域(如国内市场、国际市场)和重要性;而定量描述的分级要素则涉及数据的精度(如数值精度、时间精度)、规模(如数据存储量、群体规模)、覆盖度(如数据覆盖的用户比例)等方面。
4. 审核上报目录
在完成了数据分类和分级之后,企业必须对这些结果进行严格的审核,以确保分类和分级的准确性和合规性。同时,企业还应编制数据分类分级清单、重要数据和核心数据目录,并对数据进行分类分级标识。完成这些工作后,企业需要按照既定的程序和政策要求,将相关目录报送至相应的监管部门。
5. 动态更新管理
鉴于数据的重要性和安全风险可能会随着时间和业务环境的变化而变化,企业应建立动态更新和管理机制,定期或在特定情形发生后(如数据规模变化、发生数据安全事件等),对数据分类分级规则、重要数据和核心数据目录、数据分类分级清单以及数据分级标识进行复审和调整。这样可确保数据分类分级体系始终反映当前的业务需求和安全态势,同时也符合法律法规的最新要求。通过持续的监控与更新,企业能够更好地应对新的安全挑战,保护数据资产免受威胁,保障企业平稳发展。
[1] https://mp.weixin.qq.com/s/b146blE6GSPc09jX7m4c_g
[2] https://mp.weixin.qq.com/s/v7dkqdV0FVdzjcMwgqrVhw

技术驱动法律,专业成就未来