网络安全标准实践指南网络数据分类分级指引全国信息安全标准化技术委员会秘书处年月本文档可从以下网址获得前言网络安全标准实践指南以下简称实践指南是全国信息安全标准化技术委员会以下简称信安标委秘书处组织制定和发布的标准相关技术文件旨在围绕网络安全法律法规政策标准网络安全热点和事件等主题宣传网络安全相关标准及知识提供标准化实践指引声明本实践指南版权属于信安标委秘书处未经秘书处书面授权不得以任何方式抄袭翻译实践指南的任何部分凡转载或引用本实践指南的观点数据请注明来源全国信息安全标准化技术委员会秘书处技术支持单位本实践指南得到中国电子技术标准化研究院中国移动通信集团有限公司中国网络安全审查技术与认证中心北京信息安全测评中心成都卫士通信息产业股份有限公司亚信科技成都有限公司北京百度网讯科技有限公司北京奇虎科技有限公司联通大数据有限公司北京明朝万达科技股份有限公司天翼电子商务有限公司蚂蚁科技集团股份有限公司深信服科技股份有限公司北京爱奇艺科技有限公司杭州安恒信息技术股份有限公司北京字节跳动科技有限公司阿里巴巴北京软件服务有限公司广东移动通信有限公司中国电信集团有限公司北京数安行科技有限公司顺丰速运有限公司深圳市腾讯计算机系统有限公司北京小桔科技有限公司京东科技控股股份有限公司闪捷信息科技有限公司内蒙古自治区大数据中心等单位的技术支持摘要为贯彻落实中华人民共和国数据安全法中国家建立数据分类分级保护制度要求保障国家安全公共利益个人和组织的合法权益本实践指南依据法律法规和政策标准要求给出了网络数据分类分级的原则框架和方法可用于指导数据处理者开展数据分类分级工作也可为主管监管部门进行数据分类分级管理提供参考目录范围术语定义数据分类分级原则数据分类分级框架数据分类框架数据分级框架数据分类方法数据分类流程个人信息识别与分类公共数据识别与分类公共传播信息识别与分类数据分级方法分级要素基本分级规则一般数据分级规则定级方法重新定级数据分类分级实施流程附录组织经营维度数据分类参考示例附录个人信息分类示例附录部分行业数据分类分级参考示例参考文献范围本实践指南给出了网络数据分类分级的原则框架和方法本实践指南适用于指导数据处理者开展数据分类分级工作也可为主管监管部门进行数据分类分级管理提供参考术语定义网络数据简称数据是指任何以电子方式对信息的记录注数据分类分级的对象通常是数据项数据集数据项是数据库表的某一列字段数据集是由多个数据项组成的集合如数据库表数据文件等重要数据一旦遭到篡改破坏泄露或者非法获取非法利用可能危害国家安全公共利益的数据注重要数据不包括国家秘密注重要数据一般不包括个人信息和企业内部管理信息但达到一定规模的个人信息或者基于海量个人信息加工形成的衍生数据如其一旦遭到篡改破坏泄露或者非法获取非法利用可能危害国家安全公共利益也应满足重要数据保护要求核心数据即国家核心数据是指关系国家安全国民经济命脉重要民生重大公共利益等的数据一般数据一旦遭到篡改破坏泄露或者非法获取非法利用可能对个人组织合法权益造成危害但不会危害国家安全公共利益的数据个人信息以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息不包括匿名化处理后的信息公共数据国家机关和依法经授权受委托履行公共管理和服务职能的组织以下统称公共管理和服务机构在依法履行公共管理职责或提供公共服务过程中收集产生的数据注公共管理和服务机构包括各级政务机关事业单位其他依法经授权或受委托管理公共事务的组织以及供水供电供气公共交通教育卫生健康社会福利环境保护等提供公共服务的组织注本实践指南给出的公共数据是广义概念实际使用时也存在狭义的公共数据即仅将提供公共服务的组织在公共服务过程中收集产生的数据作为公共数据将政务机关履职过程中收集产生的数据作为政务数据注公共数据通常不包括组织专有的知识产权数据和商业秘密公共传播信息也称公共信息数据处理者在提供公共服务过程中收集产生的具有公共传播特性的信息组织数据组织在自身的业务生产经营管理和信息系统运维过程中收集和产生的数据衍生数据原始数据经过统计关联挖掘或聚合等加工活动而产生的数据商业秘密不为公众所知悉具有商业价值并经权利人采取相应保密措施的技术信息经营信息等商业信息数据分类分级原则数据分类分级按照数据分类管理分级保护的思路依据以下原则进行划分合法合规原则数据分类分级应遵循有关法律法规及部门规定要求优先对国家或行业有专门管理要求的数据进行识别和管理满足相应的数据安全管理要求分类多维原则数据分类具有多种视角和维度可从便于数据管理和使用角度考虑国家行业组织等多个视角的数据分类分级明确原则数据分级的目的是为了保护数据安全数据分级的各级别应界限明确不同级别的数据应采取不同的保护措施就高从严原则数据分级时采用就高不就低的原则进行定级例如数据集包含多个级别的数据项按照数据项的最高级别对数据集进行定级动态调整原则数据的类别级别可能因时间变化政策变化安全事件发生不同业务场景的敏感性变化或相关行业规则不同而发生改变因此需要对数据分类分级进行定期审核并及时调整数据分类分级框架数据分类框架数据分类具有多种视角和维度其主要目的是便于数据管理和使用本实践指南采用面分类法从国家行业组织等视角给出了多个维度的数据分类参考框架常见的数据分类维度包括但不限于公民个人维度按照数据是否可识别自然人或与自然人关联将数据分为个人信息非个人信息公共管理维度为便于国家机关管理数据促进数据共享开放将数据分为公共数据社会数据注给出的分类是按照广义的公共数据进行分类如果从狭义的公共数据角度数据也可分为政务数据公共数据社会数据信息传播维度按照数据是否具有公共传播属性将数据分为公共传播信息非公共传播信息行业领域维度按照数据处理涉及的行业领域将数据分为工业数据电信数据金融数据交通数据自然资源数据卫生健康数据教育数据科技数据等其他行业领域可参考国民经济行业分类组织经营维度在遵循国家和行业数据分类分级要求的基础上数据处理者也可按照组织经营维度将个人或组织用户的数据单独划分出来作为用户数据用户数据之外的其他数据从便于业务生产和经营管理角度进行分类附录给出了组织经营维度的数据分类参考示例分为用户数据业务数据经营管理数据系统运行和安全数据数据处理者进行数据分类时可在遵循国家和行业数据分类要求的基础上采用面分类法从多个维度进行分类对不同维度的数据类别进行标识每个维度的数据分类也可采用线分类法进行细分数据分级框架按照中华人民共和国数据安全法要求根据数据一旦遭到篡改破坏泄露或者非法获取非法利用对国家安全公共利益或者个人组织合法权益造成的危害程度将数据从低到高分成一般数据重要数据核心数据共三个级别上述三个级别是从国家数据安全角度给出的数据分级基本框架由于一般数据涵盖数据范围较广采用同一安全级别保护可能无法满足不同数据的安全需求因此建议数据处理者优先按照基本框架进行定级在基本框架定级的基础上也可结合行业数据分类分级规则或组织生产经营需求对一般数据进行细化分级本实践指南给出了一般数据分级的参考规则核心数据重要数据的识别和划分按照国家和行业的核心数据目录重要数据目录执行目录不明确时可参考有关规定或标准本实践指南不对重要数据核心数据的识别和划分进行阐释数据分类方法数据分类流程数据处理者进行数据分类时应优先遵循国家行业的数据分类要求如果所在行业没有行业数据分类规则也可从组织经营维度进行数据分类数据分类流程如图所示图数据分类流程具体数据分类步骤包括识别是否存在法律法规或主管监管部门有专门管理要求的数据类别并对识别的数据类别进行区分标识包括但不限于从公共个人维度识别是否存在个人信息个人信息识别见从公共管理维度识别是否存在公共数据公共数据识别见从信息传播维度识别是否存在公共传播信息公共传播信息识别见从行业领域维度确定待分类数据的数据处理活动涉及的行业领域如果该行业领域存在行业主管部门认可或达成行业共识的行业数据分类规则应按照行业数据分类规则对数据进行分类如果该行业领域不存在行业数据分类规则可从组织经营维度结合自身数据管理和使用需要对数据进行分类参考示例见附录如果数据处理涉及多个行业领域建议分别按照各行业的数据分类规则对数据类别进行标识完成上述数据分类后数据处理者可采用线分类法对类别进一步细分其中个人信息分类见和附录公共数据分类见公共传播信息分类见行业领域数据分类参考示例见附录个人信息识别与分类个人信息识别通过分析特定自然人与信息之间的关系符合下述情形之一的信息可判定为个人信息可识别特定自然人即从信息到个人依据信息本身的特殊性可识别出特定自然人包括单独或结合其他信息识别出特定自然人按照个人信息标识特定自然人的程度可分为直接标识信息准标识信息直接标识信息是指在特定环境下可单独唯一识别特定自然人的信息特定环境即个人信息使用的具体场景如在一个具体的学校通过学号可以直接识别出一个具体的学生常见的直接标识信息有姓名公民身份号码护照号驾照号详细住址电子邮件地址移动电话号码银行账户社会保障号码唯一设备识别码车辆识别码健康卡号码病历号码学号地址网络账号等准标识信息是指在特定环境下无法单独唯一标识特定自然人但结合其他信息可以唯一标识特定自然人的信息常见的准标识信息如性别出生日期或年龄国籍籍贯民族职业婚姻状况受教育水平宗教信仰收入状况等个人信息通过去标识化等处理后如果达到无法识别特定自然人且不能复原的匿名化效果那么处理后的信息不再属于个人信息与特定自然人关联即从个人到信息如已知特定自然人由该特定自然人在其活动中产生的信息如个人位置信息个人通话记录网页浏览记录等可识别为个人信息个人信息分类按照涉及的自然人特征个人信息可分为个人基本资料个人身份信息等个类别具体分类示例见附录个人基本资料个人基本情况信息如个人姓名生日年龄性别民族国籍籍贯等个人身份信息个人身份标识和证明信息如身份证军官证护照驾驶证工作证出入证社保卡等证件信息个人生物识别信息个人生物特征识别原始信息和比对信息如人脸指纹步态声纹基因虹膜等生物识别信息网络身份标识信息网络身份标识和账户相关资料信息如用户账号用户即时通信账号头像昵称地址等个人健康生理信息个人医疗就诊和健康状况信息包括病症住院志等个人医疗信息和身高体温等个人健康状况信息个人教育工作信息个人教育培训工作求职信息包括学历学位等个人教育信息及个人职业工作单位等个人工作信息个人财产信息个人实体和虚拟财产信息包括银行卡号等金融账户信息交易订单等个人交易信息收入状况房产信息虚拟财产等个人资产信息及借款信息还款信息等个人借贷信息身份鉴别信息用于鉴别用户身份的数据如账户登录密码银行卡密码支付密码账户查询密码交易密码等个人通信信息个人通信数据和内容如通信记录短信彩信话音电子邮件即时通信等通信内容等联系人信息描述个人与关联方关系的信息如通讯录好友列表群列表电子邮件地址列表等个人上网记录个人在使用业务服务过程中的操作记录和行为数据如网页浏览记录软件使用记录点击记录等个人设备信息个人设备标识信息和应用安