全局视野,面面俱到 ——《网络安全标准实践指南——网络数据分类分级指引》正式发布

来源:德和衡律师

文章摘要
2021年的最后一天,全国信息安全标准化技术委员会(TC260)发布了《网络安全标准实践指南——网络数据分类分级指引》正式稿(“指引正式稿”),距离其首次征求意见仅仅过去了三个月。

2021年的最后一天,全国信息安全标准化技术委员会(TC260)发布了《网络安全标准实践指南——网络数据分类分级指引》正式稿(“指引正式稿”),距离其首次征求意见仅仅过去了三个月。与征求意见稿相比,指引正式稿调整篇幅较大,且调整内容均为实质意义上的探索,为此我们制作了征求意见稿和指引正式稿的对比高供参考(见附录)。作为一份并不具有法律强制规范作用的指导性文件而言,指引正式稿对相关法律法规衔接紧密,对数据分类分级的方法理解深刻准确,具有卓越的全局观,充分考虑了其他行业和领域数据分类分级的兼容性,具备相当的指导意义。本文试图从《网络数据分类分级指引》的突破之处,征求意见稿和正式稿对比的部分重大调整及其核心要点入手讨论指引正式稿的相应内容及对实务工作可能产生的影响。我们认为,指引正式稿至少具备如下实务意义。
1.全局规则制定
《网络数据分类分级指引》发布之前,数据分类分级的探索仅存在于行业领域之中,缺乏总纲性的文件。指引正式稿最显著的意义可能在于其首次从全局出发,容纳了各行业数据分类分级的需求,提出了纲领性的数据分类分级原则和方法,且颇具有实用性。指引正式稿的一大亮点在于其充分考虑了所提供的数据分类分级方法与各现有主要行业之间的协调性,指引正式稿不仅对工业、电信、金融数据的分类规则进行了梳理和总结,并将这些行业的现有数据分类分级与指引正式稿的分类分级标准进行了对照和说明(如下图示),这一做法即是参照也是直接实践,对指引的落地效果极具说服力。

从原则上而言,指引正式稿确认了合法合规、分类多维、分级明确、就高从严和动态调整规则,相比征求意见稿,五条原则进一步进行了精炼,而分类多维原则则首次将“多种视角和维度”作为数据分类的基本原则,为数据分类方法提供了灵活多元的思考视角,后文提到的“面分”“线分”亦使得分类多维原则并未浮于表面,而是提供了科学可落地的具体方法。
信息分类的基本方法有两种:线分类法与面分类法
线分类法:线分类法也陈称等级分类法。线分类法按选定的若干属性(或特征)将分类对象逐次地分为若干层级,每个层级又分为若干类目。统一分支的同层计类目之间构成并列关系,不同层级类目之间构成隶属关系。同层级类目互不重复,互不交叉。例如,我国行政区划编码,是采用线分类法,6位数字码。第1、2位表示省(自治区、直辖市),第3、4位表示地区(市、州、盟),第5、6位表示县(市、旗、镇、区)的名称。
面分类法也称平行分类法,它是把拟分类的商品集合总体。根据其本身固有的属性或特征,分成相互之间没有隶属关系的面,每个面都包含一组类目。将某个面中的一种类目与另一个面的一种类目组合在一起,即组成一个复合类目。面分类法具有类目可以较大量地扩充、结构弹性好、不必预先确定好最后的分组、适用于计算机管理等优点,但也存在不能充分利用容量、组配结构太复杂、不便于手工处理等缺点。
2.捋清数据分级的整体思路
从数据分类入手并最终达到数据分级管理,是指引正式稿对于数据分类分级工作提供的核心方法论。
针对数据分类,指引正式稿从数据类别的重要性出发对其进行识别(面分类法),并对识别顺序(重要程度)进行了排序,这一方法在指引正式稿的第5节中进行了详细列举,但可以下图进行简要了解:

针对数据分级而言,指引正式稿仍采用了从数据安全保护的角度,考虑影响对象(国家安全、公共利益、个人合法权益、组织合法权益)、影响程度(轻微危害、一般危害、严重危害)两个要素进行分级。值得注意的是,指引正式稿立足于《数据安全法》的基本分类分级观,将数据分级的基本级别适时从征求意见稿中的国家核心数据、重要数据、个人信息、公共数据,调整为核心数据、重要数据和一般数据,并在对一般数据进行了4个级别的分类。该分级方式在指引正式稿的第6节进行了详尽描述。就目前所知,该分级方法应当是可见范围内最具贴合性和灵活度的数据级别分级方式。仍以图示简单理解如下:

3.重要概念的统一和补充
在指引正式稿中,无论是数据分类中的类别识别,还是数据分级中的级别判断,都需要相对清晰的边界指引。指引正式稿为此对相关重要概念进行了创设、统一和补充。其中较为重要的概念组包括:
公共数据、组织数据、衍生数据
公共传播信息、非公共传播信息
用户数据、业务数据、经营管理数据、系统运行和安全数据
一般个人信息、敏感个人信息
特别难能可贵的是,诸如“一般个人信息”、“敏感个人信息”,在提供列举清单时,指引正式稿在《个人信息安全规范》基础上做了进一步的类别细化和补充,以匹配快速发展的数据安全整体业态共识。仍以部分图示说明,黄色和橙色部分为对《个人信息安全规范》的悉心补充:

4.结语
《数据安全法》的基础管控要求即实现数据的分类分级。尽管将数据分类和分级分列表述,但学界大多已经达成了“依据数据的重要性和影响程度进行的分类就是分级,分级是多种分类方式中的一种”的共识,指引正式稿则更为协调地完成了对数据分类分级的方法论的统筹,解决了这一困惑。诚然,在安全管理的视角、开展工作层面来说,不论是分类还是分级,目的都只是一个,区分出保护等级。因而数据分类分级仅仅是数据安全的基础工作,前方等待的还有数据安全保护、数据利用合规等层层关隘和挑战。前途漫漫仍需摸索,脚下荆棘还待携手踏平。
附:比对稿

TC260-PG-20212A《数据分级分类指引(征求意见稿)》(以下简称“意见稿”)

TC260-PG-20212A《网络数据分类分级指引(正式稿)》(以下简称“正式稿”)

目录

1 范围

2 术语定义

3 数据分类分级原则

4 数据分类分级框架

5 数据分类规则

5.1 个人信息识别与分类

5.2 公共数据识别与分类

5.3 法人数据识别与分类

6 数据分级规则

6.1 定级要素

6.2 定级方法

6.3 特定数据最低安全级别

6.4 重新定级的情形

附录A 个人信息分类示例

附录B 数据分类分级流程

参考文献

1 范围

2 术语定义

3 数据分类分级原则

4 数据分类分级框架

4.1 数据分类框架

4.2 数据分级框架

5 数据分类方法

5.1 数据分类流程

5.2 个人信息识别与分类

5.3 公共数据识别与分类

5.4 公共传播信息识别与分类

6 数据分级方法

6.1 分级要素

6.2 基本分级规则

6.3 一般数据分级规则

6.4 定级方法

6.5 重新定级

7 数据分类分级实施流程

附录A 组织经营维度数据分类参考示例

附录B 个人信息分类示例

附录C 部分行业数据分类分级参考示例

参考文献

标准适用范围

2.1 数据

任何以电子或者其他方式对信息的记录。

注1:网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。

注2:数据资产,通常包括数据库表、数据文件、数据集、数据项等。数据集是对数据库表、数据文件等进行筛选形成的数据集合,数据项是数据库表的某一列字段。

2.1 网络数据

简称数据,是指任何以电子方式对信息的记录。

注:数据分类分级的对象通常是数据项、数据集。数据项是数据库表的某一列字段。数据集是由多个数据项组成的集合,如数据库表、数据文件等。

重要数据定义

2.3 重要数据

一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。

注1:重要数据不包括国家秘密。

注2:重要数据一般不包括个人信息和企业内部管理信息,但达到一定规模的个人信息或者基于海量个人信息加工形成的衍生数据,如影响国家安全或公共利益,则可能属于重要数据。

2.2 重要数据

一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。

注1:重要数据不包括国家秘密。

注2:重要数据一般不包括个人信息和企业内部管理信息,但达到一定规模的个人信息或者基于海量个人信息加工形成的衍生数据,如其一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能危害国家安全、公共利益,也应满足重要数据保护要求。

核心数据定义

2.4 国家核心数据

关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据

2.3 核心数据

即国家核心数据,是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。

公共数据定义

2.5 公共数据

公共管理和服务机构在依法履行公共管理和服务职责过程中收集、产生的数据,及其他组织和个人在提供公共服务中收集、产生的涉及公共利益的数据。

注:公共管理和服务机构,通常包括各级党政机关、具有公共管理和服务职能的企事业

2.6 公共数据

国家机关和依法经授权、受委托履行公共管理和服务职能的组织(以下统称公共管理和服务机构),在依法履行公共管理职责或提供公共服务过程中收集、产生的数据。

注1 公共管理和服务机构,包括各级政务机关、事业单位,其他依法经授权或受委托管理公共事务的组织,以及供水、供电、供气、公共交通、教育、卫生健康、社会福利、环境保护等提供公共服务的组织。

注2 本实践指南给出的公共数据是广义概念,实际使用时也存在狭义的公共数据,即仅将提供公共服务的组织在公共服务过程中收集产生的数据作为公共数据,将政务机关履职过程中收集产生的数据作为政务数据。

注3 公共数据通常不包括组织专有的知识产权数据和商业秘密。

组织数据定义

2.6 法人数据

组织在生产经营和内部管理过程中收集和产生的数据。

2.8 组织数据

组织在自身的业务生产、经营管理和信息系统运维过程中收集和产生的数据。

衍生数据定义

2.7 衍生数据

原始数据经过计算、统计、关联、挖掘或聚合等加工活动而产生的数据。

注:根据数据的加工程度,可将衍生数据分为脱敏数据、标签数据、统计数据、关联数据等。

2.9 衍生数据

原始数据经过统计、关联、挖掘或聚合等加工活动而产生的数据。

新增定义

2.4 一般数据

一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人、组织合法权益造成危害,但不会危害国家安全、公共利益的数据。

2.7 公共传播信息

也称公共信息,数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。

2.10 商业秘密

不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。

数据分类分级原则

数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分:

a)合法合规原则:数据分类分级应满足相关法律法规及主管监管部门有关规定要求,优先识别法律法规中规定的数据类别或级别,如识别是否包含国家核心数据、重要数据、个人信息、公共数据。

b)界限明确原则:数据分类分级的各类别、各级别界限明确,每个数据项原则上只属于一个类别、一个级别。

c)就高从严原则:采取就高从严原则对数据进行分类分级,主要表现在:

1) 如果数据集包含多个级别的数据项,应按照数据项的最高级别对数据集进行定级。

2) 数据分类时按照个人信息、公共数据、法人数据的优先次序依次识别,采取就高从严原则对数据进行分类:

● 当数据既属于个人信息又属于公共数据或法人数据时,识别为个人信息;

● 当数据既属于公共数据又属于法人数据时,识别为公共数据。

3) 数据定级时优先识别是否涉及国家核心数据、重要数据,如涉及应按照国家核心数据级别、重要数据级别进行定级。

d) 时效性原则:数据的类别级别可能因时间变化、政策环境变化、安全事件发生或不同业务场景的敏感性变化而发生改变,因此需要对数据分类分级进行定期审核并及时调整。

e) 自主性原则:在国家数据分类分级规则的框架下,根据自身数据管理需要,行业、领域、地方或组织自主细化确定所管辖数据的类目设置和层级划分。

数据分类分级按照数据分类管理、分级保护的思路,依据以下原则进行划分:

a)合法合规原则:数据分类分级应遵循有关法律法规及部门规定要求,优先对国家或行业有专门管理要求的数据进行识别和管理,满足相应的数据安全管理要求。

b)分类多维原则:数据分类具有多种视角和维度,可从便于数据管理和使用角度,考虑国家、行业、组织等多个视角的数据分类。

c)分级明确原则:数据分级的目的是为了保护数据安全,数据分级的各级别应界限明确,不同级别的数据应采取不同的保护措施。

d)就高从严原则:数据分级时采用就高不就低的原则进行定级,例如数据集包含多个级别的数据项,按照数据项的最高级别对数据集进行定级。

e)动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分类分级进行定期审核并及时调整。

数据分类框架

从数据主体角度,将数据分为公共数据、个人信息、法人数据三个类别。

a)公共数据:公共管理和服务机构在依法履行公共管理和服务职责过程中收集、产生的数据,及其他组织和个人在提供公共服务中收集、产生的涉及公共利益的数据。

b)个人信息:公共管理和服务机构在依法履行公共管理和服务职责过程中收集、产生的数据,及其他组织和个人在提供公共服务中收集、产生的涉及公共利益的数据。

c)法人数据:组织在生产经营和内部管理过程中,收集和产生的数据。

数据分类具有多种视角和维度,其主要目的是便于数据管理和使用。本实践指南采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架。常见的数据分类维度,包括但不限于:

a)公民个人维度:按照数据是否可识别自然人或与自然人关联,将数据分为个人信息、非个人信息。

b)公共管理维度:为便于国家机关管理数据、促进数据共享开放,将数据分为公共数据、社会数据。

注:b)给出的分类是按照广义的公共数据进行分类,如果从狭义的公共数据角度,数据也可分为政务数据、公共数据、社会数据。

c)信息传播维度:按照数据是否具有公共传播属性,将数据分为公共传播信息、非公共传播信息。

d)行业领域维度:按照数据处理涉及的行业领域,将数据分为工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等,其他行业领域可参考GB/T 4754—2017《国民经济行业分类》。

e)组织经营维度:在遵循国家和行业数据分类分级要求的基础上,数据处理者也可按照组织经营维度,将个人或组织用户的数据单独划分出来作为用户数据,用户数据之外的其他数据从便于业务生产和经营管理角度进行分类。附录A给出了组织经营维度的数据分类参考示例,分为用户数据、业务数据、经营管理数据、系统运行和安全数据。

数据处理者进行数据分类时,可在遵循国家和行业数据分类要求的基础上,采用面分类法从多个维度进行分类,对不同维度的数据类别进行标识,每个维度的数据分类也可采用线分类法进行细分。

数据分级框架

根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成公开级(公开级(1级)、内部级(级)、内部级(2级)、敏感级(级)、敏感级(3级)、级)、重要级(重要级(4级)、核心级(级)、核心级(5级)五个级别。其中,重要数据属于重要级(4级),国家核心数据属于核心级(5级)。

此外,从数据传播视角,也可将数据分为公共传播数据和非公共传播数据。公共传播数据是指具有公共传播属性,可对外公开发布、转发传播的数据。公开级数据属于公共传播数据。非公共传播数据,是指不具有公共传播属性,仅在授权的限定范围传播或禁止进行传播的数据,如国家秘密、重要数据、商业秘密、个人信息、有条件或禁止共享开放的公共数据、未经同意的知识产权作品等。内部级、敏感级、重要级、核心级数据均属于非公共 传播数据。

按照《中华人民共和国数据安全法》要求,根据数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,将数据从低到高分成一般数据、重要数据、 核心数据共三个级别。

上述三个级别是从国家数据安全角度给出的数据分级基本框架。由于一般数据涵盖数据范围较广,采用同一安全级别保护可能无法满足不同数据的安全需求。因此建议数据处理者优先按照基本框架进行定级,在基本框架定级的基础上也可结合行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级,本实践指南6.3给出了一般数据分级的参考规则。

核心数据、重要数据的识别和划分,按照国家和行业的核心数据目录、重要数据目录执行,目录不明确时可参考有关规定或标准,本实践指南不对重要数据、核心数据的识别和划分进行阐释。

数据分类流程

c)就高从严原则 :采取就高从严原则对数据进行分类分级,主要表现在:

2) 数据分类时按照个人信息、公共数据、法人数据的优先次序依次识别,采取就高从严原则对数据进行分类:

● 当数据既属于个人信息又属于公共数据或法人数据时,识别为个人信息

● 当数据既属于公共数据又属于法人数据时,识别为公共数据。

具体数据分类步骤包括:

a)识别是否存在法律法规或主管监管部门有专门管理要求的数据类别,并对识别的数据类别进行区分标识,包括但不限于:

1) 从公共个人维度识别是否存在个人信息,个人信息识别见5.2.1;

2) 从公共管理维度识别是否存在公共数据,公共数据识别见5.3.1;

3) 从信息传播维度识别是否存在公共传播信息,公共传播信息识别见5.4.1。

b)从行业领域维度,确定待分类数据的数据处理活动涉及的行业领域。

1) 如果该行业领域存在行业主管部门认可或达成行业共识的行业数据分类规则,应按照行业数据分类规则对数据进行分类;

2) 如果该行业领域不存在行业数据分类规则,可从组织经营维度结合自身数据管理和使用需要对数据进行分类,参考示例见附录A;

3) 如果数据处理涉及多个行业领域,建议分别按照各行业的数据分类规则对数据类别进行标识。

c)完成上述数据分类后,数据处理者可采用线分类法对类别进一步细分,其中个人信息分类见5.2.2和附录B.1,公共数据分类见5.3.2,公共传播信息分类见5.4.2,行业领域数据分类参考示例见附录C。

个人信息识别

5.1.1 个人信息识别

判定某项信息是否属于个人信息,可分析特定自然人与信息之间的关系,符合下述情形之一的信息,可识别为个人信息。

a)识别特定自然人

即从信息到个人,依据信息本身的特殊性可识别出特定自然人,包括单独或结合其他信息识别出特定自然人。

按照个人信息标识个人的程度,可分为直接标识信息,准标识信息、非标识信息。直接标识信息、准标识信息均属于个人信息。

直接标识信息是指在特定环境下可以单独唯一识别特定自然人的信息。特定环境指个人信息使用的具体场景,如在一个具体的学校,通过学号可以直接识别出一个具体的学生。常见的直接标识信息有:姓名、公民身份号码、电子邮件地址、移动电话号码、银行卡号码、车辆识别号码、社会保险号码、唯一设备识别码等。

准标识信息,是指在特定环境下无法单独唯一识别特定自然人,但结合其他信息可以唯一识别特定自然人的信息。常见的准标识信息有:性别、出生日期或年龄、事件日期(例如入院、手术、出院、访问)及地点、职业、婚姻状况、受教育水平、宗教信仰等。

可标识个人信息通过去标识化等处理后,如果达到无法识别特定自然人且不能复原的匿名化效果,那么加工后的信息不再属于个人信息。

b)特定自然人关联信息

即从个人到信息,如已知特定自然人,该自然人的一些固有属性特征(如民族、个人生物识别信息等),以及由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、网页浏览记录等),均可识别为个人信息。

5.2.1 个人信息识别

通过分析特定自然人与信息之间的关系,符合下述情形之一的信息,可判定为个人信息。

a)可识别特定自然人:

即从信息到个人,依据信息本身的特殊性可识别出特定自然人,包括单独或结合其他信息识别出特定自然人。

按照个人信息标识特定自然人的程度,可分为直接标识信息、准标识信息。

直接标识信息,是指在特定环境下可单独唯一识别特定自然人的信息。特定环境即个人信息使用的具体场景,如在一个具体的学校,通过学号可以直接识别出一个具体的学生。常见的直接标识信息有:姓名、公民身份号码、护照号、驾照号、详细住址、电子邮件地址、移动电话号码、银行账户、社会保障号码、唯一设备识别码、车辆识别码、健康卡号码、病历号码、学号、IP地址、网络账号等。

准标识信息,是指在特定环境下无法单独唯一标识特定自然人,但结合其他信息可以唯一标识特定自然人的信息。常见的准标识信息,如性别、出生日期或年龄、国籍、籍贯、民族、职业、婚姻状况、受教育水平、宗教信仰、收入状况等。

个人信息通过去标识化等处理后,如果达到无法识别特定自然人且不能复原的匿名化效果,那么处理后的信息不再属于个人信息。

b)与特定自然人关联

即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、网页浏览记录等),可识别为个人信息。

个人信息分类

5.1.2 个人信息分类

按照涉及的自然人特征,个人信息可分为个人基本资料、个人身份信息等多个类别,见附录 A.1。按照个人信息的敏感程度,可分为一般个人信息与敏感个人信息。按照个人信息的私密程度,可分成一般个人信息、私密个人信息。

a)一般个人信息

一般个人信息,是一旦泄露或者非法使用,对自然人个人信息权益造成轻微影响,不易导致自然人的人格尊严受到侵害,或危害自然人人身、财产安全,例如网络身份标识信息。

b)敏感个人信息

敏感个人信息,是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。敏感个人信息分类和示例参见附录A.2。

判定个人信息是否属于敏感个人信息时,可关注以下三点:

1) 泄露、非法使用信息本身是否会直接侵害信息主体的人格尊严。例如,特定身份、医疗健康、性取向信息、犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息。

2) 泄露、非法使用信息本身不会直接侵害人格尊严,但由于社会偏见、歧视性待遇而间接侵害自然人的人格尊严以及人身、财产安全。例如,将个人健康生理信息用于保险公司营销和确定个体保费高低;利用个人教育信息推断出学生家庭背景。

3) 泄露、非法使用信息本身不会直接造成危害,但由于被泄露、非法使用进而危害信息主体的人身、财产安全。例如,泄露、非法使用家庭住址、家属关系等家庭相关信息,可能会为入室抢劫或绑架等犯罪所利用;个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

c)私密个人信息

私密个人信息,是个人信息中不愿为他人知晓的个人隐私信息。判断私密个人信息的标准为“秘密性”和“私人性”。在考虑场景的前提下,常见的私密个人信息有:身体缺陷、女性三围、心理特征、个人感情生活、性取向、未公开的违法犯罪记录、个人身体私密部位信息、个人私密录音等。

私密个人信息的判定需要同时满足以下两个条件:

1) 该信息为私人所享有,信息主体有权决定是否对该信息进行公开。

2) 从社会公众的一般认知和价值认识综合权衡,该信息一旦泄露,会侵害个人的隐私权,但通常不会危害他人及公共利益。

5.2.2 个人信息分类

按照涉及的自然人特征,个人信息可分为个人基本资料、个人身份信息等 16个类别,具体分类示例见附录 B.1。

6.4.2 个人信息定级

根据《中华人民共和国个人信息保护法》要求,按照个人信息一旦泄露或者非法使用,对个人合法权益造成的危害程度,个人信息可分为一般个人信息、敏感个人信息。

一般个人信息是指一旦泄露或者非法使用,对自然人个人信息权益造成轻微或一般影响,不易导致自然人的人格尊严、人身安全、财产安全受到侵害,例如网络身份标识信息。

敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信 息。附录 B.2给出了可能属于敏感个人信息的参考示例。

个人信息定级,可优先判定是否属于敏感个人信息,如果属于敏感个人信息,则定为一般数据 4级。如果属于一般个人信息,则按照一般数据分级规则,分析影响程度确定属于哪个级别。

其中,敏感个人信息判定,可通过分析个人信息遭到泄露或者非法利用对个人信息主体权益可能造成的影响,符合以下任一影响的可判定为敏感个人信息:

a)个人信息遭到泄露或者非法使用,可能直接侵害个人信息主体的人格尊严。例如,特定身份、医疗健康、犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息。

b)个人信息遭到泄露或者非法使用,不会直接侵害个人信息主体的人格尊严,但可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严。例如因个人种族、宗教信仰、性取向遭到歧视性

息主体的人格尊严。例如因个人种族、宗教信仰、性取向遭到歧视性待遇。待遇。

c)个人信息遭到泄露或者非法使用,可能直接或间接危害个人)个人信息遭到泄露或者非法使用,可能直接或间接危害个人信息主体的人身、财产安全。例如,泄露、非法使用家庭住址、家属信息主体的人身、财产安全。例如,泄露、非法使用家庭住址、家属关系等家庭相关信息,可能会为入室抢劫或绑架等犯罪所利用;个人关系等家庭相关信息,可能会为入室抢劫或绑架等犯罪所利用;个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。户办卡等。

B.3 私密个人信息识别参考

按照个人信息的私密程度,个人信息也可分成私密个人信息、非私密个人信息。私密个人信息,是个人信息中不愿为他人知晓的个人隐私信息。

私密个人信息的判定,需要同时满足“秘密性”和“私人性”两个条件:

a 该信息为私人所享有,信息主体有权决定是否对该信息进行公开;

b 从社会公众的一般认知和价值认识综合权衡,该信息一旦泄露,会侵害个人的隐私权,但通常不会危害他人及公共利益。在考虑场景的前提下,常见的私密个人信息有:身体缺陷、女性三围、心理特征、 个人感情生活 、性取向、未公开的违法犯罪记录、个人身体私密部位信息、个人私密录音等。

公共数据识别

5.2.1 公共数据识别

公共数据识别,可优先按照国家、地方制定的电子政务信息目录和公共数据目录进行识别,在相关目录不明确时,可按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,是否可能危害公共利益的角度进行识别,包括但不限于:

a) 各级党政机关在依法履行公共管理和服务职能过程中收集和产生的数据。

b) 具有公共管理和服务职能的企事业单位,在依法履行公共管理和服务职能过程中收集和产生的数据。

c) 受公共管理和服务机构委托或授权提供公共服务(如水电燃气、公共交通、邮政、教育等)的企业、社团等其他组织,在开展公共服务过程中收集和产生的数据。

d) 其他可能影响公共利益的数据,例如:

● 影响国家机关、企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序;

● 影响公共场所的活动秩序、公共交通秩序;

● 影响公共卫生事件;

● 影响公共网络空间秩序;

● 影响人民群众的生活秩序;

● 影响社会成员使用公共设施;

● 影响社会成员获取公开数据资源;

● 影响社会成员接受公共服务;

● 其他影响公共利益的情形。

5.3.1 公共数据识别

符合以下任一情形的数据,可识别为公共数据。

a)各级政务机关在依法履行公共管理和服务职能过程中收集和产生的数据;

b)具有公共管理和服务职能的企事业单位和社会团体,在依法履行公共管理和服务职能过程中收集和产生的数据;

c)提供公共服务的组织,在开展公共服务(如供水、供电、供热、供气、教育、医疗、公共交通、通信、邮政、养老、环保等)过程中收集和产生的数据;

d)在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据。

公共数据分类

5.2.2 公共数据分类

公共数据分类,可参考以下规则实施:

a) 政务数据的分类,优先按照国家或当地的电子政务信息目录进行分类,也可参考 GB/T 21063.4-2007《政务信息资源目录体系第4部分:政务信息资源分类》等相关电子政务国家标准执行。

b) 如存在公共数据目录,按照公共数据目录进行分类。

c) 如不存在公共数据目录,公共数据可按照服务行业领域进行分类,也可从公共数据开放程度和条件的角度进行分类。

5.3.2 公共数据分类

公共数据分类,可参考以下规则实施:

a)政务数据的分类,优先按照国家或当地的电子政务信息目录进行分类,也可参考 GB/T 21063.4 2007《政务信息资源目录体系第4部分:政务信息资源分类》等相关电子政务国家标准执行;

b)如存在公共数据目录,按照公共数据目录规则进行分类;

c)如不存在公共数据目录,公共数据可按照主题、部门或行业领域进行分类,也可从数据共享、开放角度进行分类。

注:公共数据从共享、开放角度,可分成无条件共享 /开放数据、有条件共享 /开放数据、禁止共享 /开放数据。

法人数据识别与分类

5.3 法人数据识别与分类

5.3.1 法人数据识别

法人数据数据识别,可参考以下原则:

a) 不属于个人信息、公共数据的数据,可识别为法人数据。

b) 法人数据仅用于组织的业务生产、经营管理及信息系统管理,不包括客户的个人信息。

c) 公共管理和服务机构在依法开展公共管理和服务的生产经营活动中收集和产生的数据属于公共数据,不属于法人数据。

d) 在开展公共服务生产经营过程中,收集和产生的涉及公共利益的数据属于公共数据,不属于法人数据。

5.3.2 法人数据分类

法人数据可分为业务数据、经营管理数据、系统运行和安全数据三类。

a) 业务数据

业务数据,是组织在开展业务生产经营过程中收集和产生的数据。业务数据分类,可按照业务所属行业领域的数据分类分级要求,结合自身实际业务运营需要进行细化分类。

b) 经营管理数据

经营管理数据,是组织进行内部管理过程中收集和产生的数据,如经营战略、财务数据、并购及融资信息、经营信息等。

c) 系统运行和安全数据

系统运行和安全数据,是指网络、系统、应用及网络安全数据,如网络和信息系统的配置数据、网络安全监测数据、备份数据、日志数据、安全漏洞信息等。

新增公共传播信息识别与分类

5.4.1 公共传播信息识别

公共传播信息可通过判断信息是否具有公共传播属性进行识别,公共传播属性可参考以下任一原则判断:

a)已合法公开的信息;

b)以广泛传播为目的发布,接收者不特定;

c)在传播过程中事实上被广泛传播的信息;

d)即时通信服务平台的非个人通信信息,按照公共传播信息有关规定进行管理。

5.4.2 公共传播信息分类

公共传播信息分类,从信息传播类型角度可分为以下类别:

a)公开发布信息;

b)可转发信息;

c)无明确接收人信息。

数据分级要素

6.1 定级要素

数据定级时,需要考虑危害对象、危害程度两个要素。

a)危害对象

危害对象是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后受到危害的对象,包括国家安全、公共利益、个人合法权益、组织合法权益四个对象。

b)危害程度

危害程度是数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后,所造成的危害的大小。危害程度从低到高可分为轻微危害、一般危害、严重危害、特别严重危害。

6.1 分级要素

数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素进行分级。

a)影响对象

是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后受到危害影响的对象,包括国家安全、公共利益、个人合法权益、组织合法权益四个对象。

b)影响程度:

是指数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后,所造成的危害影响大小。危害程度从低到高可分为轻微危害、一般危害、严重危害。表 3给出了针对各个危害对象的危害程度描述。

分级规则

本实践指南

4.2的数据分级框架给出了数据分级基本框架,将数据从低到高分成一般数据、重要数据、核心数据三个级别。各级别与影响对象、影响程度的对应关系如表 4所示。

一般数据分级规则

6.3 一般数据分级规则

按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度,将一般数据从低到高分为 1级、 2级、 3级、 4级共四个级别 ,具体分级规则见表 5

a)1级数据:数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,不会对个人合法权益、组织合法权益造成危害。1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析。

b)2级数据:数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成轻微危害。2级数据通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享。

c)3级数据:数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成一般危害。3级数据仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权。

d)4级数据:数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成严重危害,但不会危害国家安全或公共利益。4级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。

定级流程

6.2 定级方法

对数据资产进行定级,可参考以下方法步骤:

a) 识别是否涉及国家核心数据,如涉及定为核心级( 5级)。

b) 识别是否涉及重要数据,如存在则将数据资产定为重要级( 4级),重要数据识别可按照行业领域的重要数据目录进行判定,如果在相关行业领域重要数据目录不明确时可参考相关国家标准进行判定。

c) 个人信息和公共数据的定级符合 6.3要求。

d) 不涉及国家核心数据、重要数据的数据,需要识别危害主体,分析危害程度,按照表 3的数据分级规则综合判定数据级别。

6.4.1 定级流程

数据处理者按照基本分级框架(见4.2、 6.2)和一般数据分级规则(见 6.3)对数据进行定级时,可参考如图 2所示流程实施。数据定级的具体步骤包括:

a)按照国家和行业领域的核心数据目录、重要数据目录,依次判定是否核心数据、重要数据,如是则按照就高从严原则定为核心数据级、重要数据级,其他数据定为一般数据;

b)国家和行业核心数据、重要数据目录不明确时,可参考核心数据、重要数据认定的规定或标准,分析数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用的危害对象和危害程度,参照6.2的表4进行基本定级,确定核心数据、重要数据和一般数据级别;

c)按照 6.3一般数据分级规则或者所属行业共识的数据分级规则对一般数据进行定级,确定一般数据细分级别。部分行业领域与本实践指南的分级 对应关系如附录 B.4所示。

d)如果数据属于个人信息,应识别敏感个人信息、一般个人信息,按照 6.4.2对个人信息进行定级。

以上定级方法主要针对数据项,如针对数据集定级,建议在确定数据集中数据项级别的基础上,按照就高从严原则确定数据集的级别。

最低参考级别

6.3 特定数据最低安全级别

国家核心数据、重要数据、个人信息、公共数据等特定数据的最低安全级别,可设置如下:

a) 国家核心数据的级别不低于 5级;

b) 重要数据的级别不低于 4级;

c) 敏感个人信息不低于 4级,一般个人信息不低于 3级,组织内部员工个人信息不低于 2级,个人标签信息不低于 2级;

d) 有条件开放的公共数据级别不低于 2级,禁止开放的公共数据不低于 4级。

6.4.2 最低参考级别

特定类型一般数据的最低参考级别如下:

a) 敏感个人信息不低于4级,一般个人信息不低于2级;

b) 组织内部员工个人信息不低于2级;

c) 有条件开放 /共享的公共数据级别不低于 2级,禁止开放 /共享的公共数据不低于 4级。

衍生数据定级

按照数据加工程度不同,数据通常可分为原始数据、脱敏数据、标签数据、统计数据、融合数据 ,其中脱敏数据、标签数据、统计数据、融合数据均属于衍生数据。数据加工程度维度数据分类见表 6。

原始数据可按照上文介绍的方法进行定级,衍生数据级别原则上依据就高从严原则,对照加工的原始数据集级别进行定级,同时按照数据加工程度也可进行升级或降级调整。

a)脱敏数据级别可比原始数据集级别降低,去标识化的个人信息不低于2级,匿名化个人信息不低于1级。

b)标签数据级别可比原始数据集级别降低,个人标签信息不低于2级。

c)统计数据如涉及大规模群体特征或行动轨迹,应设置比原始数据集级别更高的级别。

d)融合数据级别要考虑数据汇聚融合结果,如果结果数据汇聚了更多的原始数据或挖掘出更敏感的数据,级别需要升高,但如果结果数据降低了标识化程度等,级别可以降低。

重新定级情形

6.4 重新定级的情形

数据安全定级完成后,出现下列情形之一时,应重新进行定级:

a) 数据内容发生变化,导致原有数据的安全级别不再适用;

b) 数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化;

c) 多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;

d) 因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据;

e) 不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的数据;

f) 因国家或行业主管部门要求,导致原定的数据级别不再适用;

g) 需要对数据安全级别进行变更的其他情形。

6.5.1 重新定级情形

数据安全定级完成后,出现下列情形之一时,应重新定级:

a) 数据内容发生变化,导致原有数据的安全级别不再适用;

b) 数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化;

c) 多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;

d) 因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据;

e) 不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的数据;

f) 因国家或行业主管部门要求,导致原定的数据级别不再适用;

g) 需要对数据安全级别进行变更的其他情形。

数据变化的定级参考

数据分类分级实施流程

7 数据分类分级实施流程

数据处理者在开展数据分类分级时,可按照图3 所示流程实施,具体步骤包括:

a)数据资产梳理:对组织的数据资产进行全面梳理,包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产,明确数据资产基本信息和相关方,形成数据资产清单。

b)数据分类:参考4.1和第5章从多个维度,建立自身的数据分类规则,参考5.1的数据分类流程对数据进行分类。

c)数据分级:参考4.2和第6章建立自身的数据分级规则,按照6.4对数据进行定级。

d)审核标识管理:对数据资产分类分级结果进行评审和完善,最后批准发布实施,形成数据资产分类分级清单。并对数据资产和数据分类分级进行维护、管理和定期审核。重新定级情形可参考6.5。

e)数据分类分级保护:依据国家给出的关于核心数据、重要数据、个人信息、公共数据等安全要求,以及行业领域给出的数据分类分级保护要求,建立数据分类分级保护策略,按照核心数据严格管理、重要数据重点保护、个人信息安全合规和一般数据分级保护的思路,对数据实施全流程分类分级管理和保护。

部分行业数据分类分级参考示例

C.1 工业数据分类参考

C.2 电信数据分类参考

C.3 金融数据分类参考

C.4 部分行业数据分级对应关系参考

工业、电信、金融行业的数据分级规则,与本实践指南提出的基本分级框架(见 4.2、 6.2)和一般数据分级规则(见 6.3)的对应关系参考说明,如表 C.4所示。


❈实习生梁天翔对本文亦有贡献

技术驱动法律,专业成就未来