数据分类分级标准汇编

!"#$%&'() ⽬前，《⽹络安全法》《数据安全法》《个⼈信息保护法》均从法律层⾯对数据的分级分类保护提出要求。 1.《⽹络安全法》第⼆⼗⼀条提出，国家实施⽹络安全等级保护制度，针对数据采取数据分类、重要数据备份和加密等措施。 2.《数据安全法》提第⼆⼗⼀条亦指出，国家建⽴数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤，对国家安全、公共利益或者个⼈、组织合法权益造成的危害程度，对数据实⾏分类分级保护。国家数据安全⼯作协调机制统筹协调有关部⻔制定重要数据⽬录，加强对重要数据的保护。 关系国家安全、国⺠经济命脉、重要⺠⽣、重⼤公共利益等数据属于国家核⼼数据，实⾏更加严格的管理制度。各地区、各部⻔应当按照数据分类分级保护制度，确定本地区、本部⻔以及相关⾏业、领域的重要数据具体⽬录，对列⼊⽬录的数据进⾏重点保护。 3.《个⼈信息保护法》第五⼗⼀条指出，个⼈信息处理者应当根据个⼈信息的处理⽬的、处理⽅式、个⼈信息的种类以及对个⼈权益的影响、可能存在的安全⻛险等，采取下列措施确保个⼈信息处理活动符合法律、⾏政法规的规定，并防⽌未经授权的访问以及个⼈信息泄露、篡改、丢失。……（⼆）对个⼈信息实⾏分类管理…… 与此同时，除了法律层⾯，国家出台针对特定⾏业的数据分类分级标准，本⽂特整理包括⼯业⾏业、基础电信企业、⾦融⾏业、健康医疗⾏业等具体⾏业的分级分类标准，以供⼤家参考。 ⽬录 《GB/T 35273-2020信息安全技术个⼈信息安全规范》……………………………………………p1《TC260-PG-20212A⽹络安全标准实践指南—⽹络数据分级分类指引》…………………p3《⼯业数据分类分级指南（试⾏）》………………………………………………………………………p6《YD/T 3813—2020基础电信企业数据分类分级⽅法》…………………………………… … p7《JR/T 0197-2020⾦融数据安全数据安全分级指南》…………………………………………… p8《GB/T 39725-2020信息安全技术健康医疗数据安全指南》…………………………………p10《JR/T 0158-2018证券期货业数据分类分级指引》…………………………………………………p11《GB/T 38667-2020信息技术⼤数据数据分类指南………………………………………………p12《DB 52/T 1123-2016政务数据数据分类分级指南》………………………………………………p13《TC260-PG-20212A⽹络安全标准实践指南-⽹络数据分级分类指引》……………………p14 《GB/T 35273-2020信息安全技术个⼈信息安全规范》 个⼈信息personal information 个⼈信息是指以电⼦或者其他⽅式记录的能够单独或者与其他信息结合识别特定⾃然⼈身份或者反映特定⾃然⼈活动情况的各种信息，如姓名、出⽣⽇期、身份证件号码、个⼈⽣物识别信息、住址、通信通讯联系⽅式、通信记录和内容、账号密码、财产信息、征信信息、⾏踪轨迹、住宿信息、健康⽣理信息、交易信息等。 合规创研院判定某项信息是否属于个⼈信息，应考虑以下两条路径：⼀是识别，即从信息到个⼈，由信息本身的特殊性识别出特定⾃然⼈，个⼈信息应有助于识别出特定个⼈。⼆是关联，即从个⼈到信息，如已知特定⾃然⼈，由该特定⾃然⼈在其活动中产⽣的信息（如个⼈位置信息、个⼈通话记录、个⼈浏览记录等）即为个⼈信息。符合上述两种情形之⼀的信息，均应判定为个⼈信息。 个⼈敏感信息personal sensitive information By © iLAW个⼈敏感信息是指⼀旦泄露、⾮法提供或滥⽤可能危害⼈身和财产安全，极易导致个⼈名誉、身⼼健康受到损害或歧视性待遇等的个⼈信息。通常情况下，14岁以下（含）⼉童的个⼈信息和涉及⾃然⼈隐私的信息属于个⼈敏感信息。可从以下⻆度判定是否属于个⼈敏感信息： 泄露：个⼈信息⼀旦泄露，将导致个⼈信息主体及收集、使⽤个⼈信息的组织和机构丧失对个⼈信息的控制能⼒，造成个⼈信息扩散范围和⽤途的不可控。某些个⼈信息在泄漏后，被以违背个⼈信息主体意愿的⽅式直接使⽤或与其他信息进⾏关联分析，可能对个⼈信息主体权益带来重⼤⻛险，应判定为个⼈敏感信息。例如，个⼈信息主体的身份证复印件被他⼈⽤于⼿机号卡实名登记、银⾏账户开户办卡等。 ⾮法提供：某些个⼈信息仅因在个⼈信息主体授权同意范围外扩散，即可对个⼈信息主体权益带来重⼤⻛险，应判定为个⼈敏感信息。例如，性取向、存款信息、传染病史等。 滥⽤：某些个⼈信息在被超出授权合理界限时使⽤（如变更处理⽬的、扩⼤处理范围等），可能对个⼈信息主体权益带来重⼤⻛险，应判定为个⼈敏感信息。例如，在未取得个⼈信息主体授权时，将健康信息⽤于保险公司营销和确定个体保费⾼低。 ⼀般数据分级规则 ⼯业数据分类分级指南（试⾏） 根据不同类别⼯业数据遭篡改、破坏、泄露或⾮法利⽤后，可能对⼯业⽣产、经济效益等带来的潜在影响，将⼯业数据分为⼀级、⼆级、三级等3个级别 《JR/T 0197-2020⾦融数据安全数据安全分级指南》 本标准根据⾦融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从⾼到低划分为5级、4级、3级、2级、1级。 《GB/T 39725-2020信息安全技术健康医疗数据安全指南》 根据数据重要程度、⻛险级别以及对个⼈健康医疗数据主体可能造成的损害和影响的级别进⾏分级，可将健康医疗数据划分为以下5级： 《JR/T 0158-2018证券期货业数据分类分级指引》 By © iLAW本标准中的数据等级分为四级，描述标识分为数据级别标识和数据重要程度标识两类，相互⼀⼀对应。数据定级⼀般使⽤等级本标准中的数据等级分应。 a）数据级别标识，从⾼到低划分为：4、3、2、1。 b）数据重要程度标识，与数据级别标识相对应，从⾼到低划分为：极⾼、⾼、中、低。 《GB/T 38667-2020信息技术⼤数据数据分类指南》 《DB 52/T 1123-2016政务数据数据分类分级指南》 政府数据的分级由数据的敏感程度划分，分为如下3个级别。 按照该指引，数据可以分为核⼼数据、重要数据及⼀般数据。按照数据⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤，对个⼈、组织合法权益造成的危害程度，将⼀般数据从低到⾼分为1级、2级、3级、4级共四个级别。