TC260-PG-20212A 网络安全标准实践指南 —网络数据分类分级指引 （v1.0-202112） 全国信息安全标准化技术委员会秘书处 2021 年 12 月 本文档可从以下网址获得： www.tc260.org.cn/ 前 言 《网络安全标准实践指南》（以下简称《实践指南》） 是全国信息安全标准化技术委员会（以下简称“信安标委”） 秘书处组织制定和发布的标准相关技术文件，旨在围绕网络 安全法律法规政策、标准、网络安全热点和事件等主题，宣 传网络安全相关标准及知识，提供标准化实践指引。 I 声 明 本《实践指南》版权属于信安标委秘书处，未经秘书处 书面授权，不得以任何方式抄袭、翻译《实践指南》的任何 部分。凡转载或引用本《实践指南》的观点、数据，请注明 “来源：全国信息安全标准化技术委员会秘书处”。 技术支持单位 本《实践指南》得到中国电子技术标准化研究院、中国 移动通信集团有限公司、中国网络安全审查技术与认证中心、 北京信息安全测评中心、成都卫士通信息产业股份有限公司、 亚信科技（成都）有限公司、北京百度网讯科技有限公司、 北京奇虎科技有限公司、联通大数据有限公司、北京明朝万 达科技股份有限公司、天翼电子商务有限公司、蚂蚁科技集 团股份有限公司、深信服科技股份有限公司、北京爱奇艺科 技有限公司、杭州安恒信息技术股份有限公司、北京字节跳 动科技有限公司、阿里巴巴（北京）软件服务有限公司、OPPO 广东移动通信有限公司、中国电信集团有限公司、北京数安 行科技有限公司、顺丰速运有限公司、深圳市腾讯计算机系 统有限公司、北京小桔科技有限公司、京东科技控股股份有 限公司、闪捷信息科技有限公司、内蒙古自治区大数据中心 等单位的技术支持。 II 摘 要 为贯彻落实《中华人民共和国数据安全法》中“国家建 立数据分类分级保护制度”要求，保障国家安全、公共利益、 个人和组织的合法权益，本实践指南依据法律法规和政策标 准要求，给出了网络数据分类分级的原则、框架和方法，可 用于指导数据处理者开展数据分类分级工作，也可为主管监 管部门进行数据分类分级管理提供参考。 III 目 录 1 2 3 4 范围....................................................................... 1 术语定义................................................................... 1 数据分类分级原则........................................................... 3 数据分类分级框架........................................................... 3 4.1 数据分类框架 ......................................................... 3 4.2 数据分级框架 ......................................................... 4 5 数据分类方法............................................................... 5 5.1 数据分类流程 ......................................................... 5 5.2 个人信息识别与分类 ................................................... 7 5.3 公共数据识别与分类 .................................................. 10 5.4 公共传播信息识别与分类 .............................................. 11 6 数据分级方法.............................................................. 12 6.1 分级要素............................................................ 12 6.2 基本分级规则 ........................................................ 14 6.3 一般数据分级规则 .................................................... 14 6.4 定级方法............................................................ 15 6.5 重新定级............................................................ 19 7 数据分类分级实施流程 ...................................................... 21 附录 A 组织经营维度数据分类参考示例 ......................................... 23 附录 B 个人信息分类示例 ..................................................... 24 附录 C 部分行业数据分类分级参考示例 ......................................... 29 参考文献.................................................................... 35 IV 1 范围 本实践指南给出了网络数据分类分级的原则、框架和方法。 本实践指南适用于指导数据处理者开展数据分类分级工作，也可 为主管监管部门进行数据分类分级管理提供参考。 2 术语定义 2.1 网络数据 简称数据，是指任何以电子方式对信息的记录。 注：数据分类分级的对象通常是数据项、数据集。数据项是数据库表的某一列字段。数 据集是由多个数据项组成的集合，如数据库表、数据文件等。 2.2 重要数据 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害 国家安全、公共利益的数据。 注1：重要数据不包括国家秘密。 注2：重要数据一般不包括个人信息和企业内部管理信息，但达到一定规模的个人信息 或者基于海量个人信息加工形成的衍生数据，如其一旦遭到篡改、破坏、泄露或者 非法获取、非法利用可能危害国家安全、公共利益，也应满足重要数据保护要求。 2.3 核心数据 即国家核心数据，是指关系国家安全、国民经济命脉、重要民生、 重大公共利益等的数据。 2.4 一般数据 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对个 人、组织合法权益造成危害，但不会危害国家安全、公共利益的数据。 1 2.5 个人信息 以电子或者其他方式记录的与已识别或者可识别的自然人有关 的各种信息，不包括匿名化处理后的信息。 2.6 公共数据 国家机关和依法经授权、受委托履行公共管理和服务职能的组织 （以下统称公共管理和服务机构），在依法履行公共管理职责或提供 公共服务过程中收集、产生的数据。 注1：公共管理和服务机构，包括各级政务机关、事业单位，其他依法经授权或受委托 管理公共事务的组织，以及供水、供电、供气、公共交通、教育、卫生健康、社 会福利、环境保护等提供公共服务的组织。 注2：本实践指南给出的公共数据是广义概念，实际使用时也存在狭义的公共数据，即 仅将提供公共服务的组织在公共服务过程中收集产生的数据作为公共数据，将政 务机关履职过程中收集产生的数据作为政务数据。 注3：公共数据通常不包括组织专有的知识产权数据和商业秘密。 2.7 公共传播信息 也称公共信息，数据处理者在提供公共服务过程中收集、产生的 具有公共传播特性的信息。 2.8 组织数据 组织在自身的业务生产、经营管理和信息系统运维过程中收集和 产生的数据。 2.9 衍生数据 原始数据经过统计、关联、挖掘或聚合等加工活动而产生的数据。 2.10 商业秘密 不为公众所知悉、具有商业价值并经权利人采取相应保密措施的 技术信息、经营信息等商业信息。 2 3 数据分类分级原则 数据分类分级按照数据分类管理、分级保护的思路，依据以下原 则进行划分： a）合法合规原则：数据分类分级应遵循有关法律法规及部门规 定要求，优先对国家或行业有专门管理要求的数据进行识别和管理， 满足相应的数据安全管理要求。 b）分类多维原则：数据分类具有多种视角和维度，可从便于数 据管理和使用角度，考虑国家、行业、组织等多个视角的数据分类。 c）分级明确原则：数据分级的目的是为了保护数据安全，数据 分级的各级别应界限明确，不同级别的数据应采取不同的保护措施。 d）就高从严原则：数据分级时采用就高不就低的原则进行定级， 例如数据集包含多个级别的数据项，按照数据项的最高级别对数据集 进行定级。 e）动态调整原则：数据的类别级别可能因时间变化、政策变化、 安全事件发生、不同业务场景的敏感性变化或相关行业规则不同而发 生改变，因此需要对数据分类分级进行定期审核并及时调整。 4 数据分类分级框架 4.1 数据分类框架 数据分类具有多种视角和维度，其主要目的是便于数据管理和使 用。本实践指南采用面分类法，从国家、行业、组织等视角给出了多 个维度的数据分类参考框架。常见的数据分类维度，包括但不限于： 3 a）公民个人维度：按照数据是否可识别自然人或与自然人关联， 将数据分为个人信息、非个人信息。 b）公共管理维度：为便于国家机关管理数据、促进数据共享开 放，将数据分为公共数据、社会数据。 注：b）给出的分类是按照广义的公共数据进行分类，如果从狭义的公共数据角度，数 据也可分为政务数据、公共数据、社会数据。 c）信息传播维度：按照数据是否具有公共传播属性，将数据分 为公共传播信息、非公共传播信息。 d）行业领域维度：按照数据处理涉及的行业领域，将数据分为 工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健 康数据、教育数据、科技数据等，其他行业领域可参考 GB/T 4754— 2017《国民经济行业分类》。 e）组织经营维度：在遵循国家和行业数据分类分级要求的基础 上，数据处理者也可按照组织经营维度，将个人或组织用户的数据单 独划分出来作为用户数据，用户数据之外的其他数据从便于业务生产 和经营管理角度进行分类。附录 A 给出了组织经营维度的