《公共数据安全要求》解读 一、为什么编制《公共数据安全要求》 一是落实《中华人民共和国数据安全法》、《中华人民共和国 个人信息保护法》的要求。近年来，国家对数据安全要求不断提升， 特别是随着数据作为生产要素，其经济价值和社会影响不断提升， 更成为了国家和社会关注的重点。今年《中华人民共和国数据安全 法》和《中华人民共和国个人信息保护法》陆续发布，如何平衡发 展数字经济与保护个人数据、数据开发利用与数据安全之间的关系， 如何通过合理可行的标准落实国家法律法规，是本标准制定的重要 目标。 二是为《深圳经济特区数据条例》的落地提供指导。《深圳 经济特区数据条例》于 2021 年 6 月 29 日发布，自 2022 年 1 月 1 日起实施，其中全面规范公共数据的开放和使用，并对公共数据安 全也提出了明确的要求。各公共管理和服务机构如何在自身的公共 数据管理中，有效实现对条例要求的落地，确保公共数据安全，也 随着条例正式实施而成为了越发急迫的需求。因此，需要从公共数 据安全的专业视角，为公共数据安全管理进行统一的指导，也是本 标准制定的意义之一。 三是将数据安全与网络安全等级保护要求有效衔接。本标准在 编制时，充分参考了网络安全等级保护的相关要求和各公共管理和 服务机构现有的安全管理要求，同时对数据安全最新政策法规要求 承接，实现了将公共数据安全和网络安全等级保护体系的有效衔接， 在不影响各公共管理和服务机构已有安全要求的基础上，进行公共 数据安全层面的扩展，更突出本标准的落地能力。 四是全面覆盖数据安全管理、技术及数据处理活动各环节。实 现公共数据安全要求的落地，一方面要从合规性出发，遵从国家政 策法规、标准规范及《深圳经济特区数据条例》中的安全要求，另 一方面也要从可操作性出发，在进行安全管理要求分解和细化的同 时，提供相应的技术及数据处理活动安全能力要求，为落地提供标 准参考和指导。本标准编制全面覆盖了公共数据安全的管理、技术 及数据处理活动各环节，能全面指导各公共管理和服务机构参照本 标准保障其公共数据安全。 二、本标准的总体内容说明 (一) 范围 本文件规定了公共数据安全要求，主要包括总体安全原则和要求、 总体框架、数据分级方法、通用管理安全要求、通用技术安全要求及 数据处理活动安全要求。 本文件适用于公共管理和服务机构数据安全能力的建设、评估与 监管，也适用于处理大量个人信息的服务平台数据安全能力的建设与 评估。 (二) 规范性引用文件 GB/T 20984—2022 信息安全技术 信息安全风险评估方法 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T 22240—2020 信息安全技术 网络安全等级保护定级指南 GB/T 35273—2020 信息安全技术 个人信息安全规范 GB/T 37988—2019 信息安全技术 数据安全能力成熟度模型 GB/T 39477—2020 信息安全技术 政务信息共享 信息安全技术 信息系统密码应用基本要求 数据安全技 术要 求 GB/T 39786—2021 (三) 术语和定义 本文件定义了公共数据、数据安全、公共管理和服务机构、敏感 个人信息、重要数据、匿名化、数据合作方、安全多方计算、第三方 应用相关术语定义。 (四) 总体安全原则和要求 本文件明确了总体安全原则及安全要求，总体安全原则包括合法 正当、权责明确、目的明确、明示同意、最小必要、公开透明、动态 调整、全程可控；总体安全要求公共管理和服务机构应在符合国家相 关法律法规基础上，落实本标准安全要求，承载公共数据的信息系统 应按 GB/T 22239—2019 描述的基 本要求， 同步 规划、建 设、 运营信 息系统，并对信息系统组织开展定级备案、等级测评、安全整改工作； 数据处理 过程 涉及的密码技 术应 按 GB/T 39786—2021 描述的密码应 用基本要求执行；涉及关键信息基础设施信息系统安全要求应遵照相 关法律法规执行；法律、行政法规另有规定的，从其规定。 (五) 总体框架 (六) 数据分级方法 本文件明确了数据定级对象为数据库和数据子类，也可为数据子 类下的具体数据字段，将对客体的侵害程度分为无损害、一般损害、 严重损害 、 特别严重 损 害四 类。 数据库定级分为 一 至五级 ， 按照 GB/T 22240—2020 中 4.3 规定的定级要素及安全保护等 级 的关 系 ， 以及 6.1 规定的业务信息安全定级方法；数据子类或数据字段定级分 为 1-4 级（见本文件附录 B），本文件还明确了数据定级对象的定级 步骤、级别变更及不同级别安全要求。 (七) 通用管理安全要求 规范了总体数据安全策略、数据安全管理机构与人员、数据安全 管理 制度体系的 安全 要 求 ， 主 要技 术 标准依 据 相关法律 法 规 、 GB/T 37988—2019 等。 (八) 通用技术安全要求 规范了在技术层面，实现数据分类分级保护、数据安全评估、数 据安全风险监测、数据安全管控、数据安全应急处置及数据安全审计 要求 ，主要技 术标准依据为相关法律法 规 、 JR/T 0223—2021、GB/T 35273—2020 、 GB/T 37988 — 2019 、 GB/T 22239—2019 、 GB/T 39477—2020、GB/T 37932—2019、T/ISEAA 002—2021 等。 (九) 数据处理活动安全要求 规范了在公共数据处理活动中的安全要求，数据处理活动围绕数 据收集、存储、传输、使用、加工、开放共享、交易、出境、销毁及 删除环节，主要技术标准依据为相关法律法规、GB/T 37988—2019、 T/ISEAA 002—2021、《工业和信息化部办公厅关于做好 2020 年电信 和互联网行业网络数据安全管理工作的通知》等。 (十) 附录 附录 A 明确了公共数据分类分级清单示例，附录 B 明确了公共数 据子类或数据字段定级及级别要求，附录 C 明确了公共数据分类方法， 附录 D 明确了常见个人信息分类分级参考表。 三、附则 本文件由深圳市政务服务数据管理局提出并归口，起草单位有深 圳市信息安全管理中心、全知科技（杭州）有限责任公司、金砖国家 未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、 华为技术有限公司、蚂蚁科技集团股份有限公司。