国家标准《数据分类分级规则》解析与多行业标准及实践分享系列-第二部分

本系列分为三个部分：第一部分将针对日前发布的国家标准《数据分类分级规则》进行规则制定背景及内容解析；在第二部分结合相关省市和行业领域的数据分类分级标准深入解析，分别阐述各省市和行业对分类分级规则的思路和方法；第三部分将针对企业如何开展数据分类分级介绍原则和流程，并结合具体企业案例进行分享。

全文超过两万字，将分为多篇发布，本篇为系列的第二部分。

第二部分约15000字，分为三个小章节：

1. 1.     地方分类分级标准概况和代表性标准解析。

2. 2.     重点行业分类分级标准解析。

3. 3.   《数据分类分级规则》中典型场景数据分类分级方法解析。

01—地方数据分类分级标准概况

在《规则》发布之前，已经有不少地方发布了地方性的数据分类分级标准，如下表所示：

发文机关	标准文件	实施时间	标准框架结构
贵州省大数据产业发展领导小组办公室	《政府数据数据分类分级指南》	2016年6月	分类原则 分级原则 分类方法 分级方法
上海市经济和信息化委员会	《上海市公共数据开放分级分类指南(试行)》	2019年11月	分级分类原则 分级分类规则 开放类别 分级分类流程
福建省大数据管理局	《福建省公共数据资源开放分级分类指南(试行)》	2020年6月	分级原则 分类分级方法 分类原则 分类编码说明
浙江省市场监督管理局	《数字化改革公共数据分类分级指南》	2021年7月	分类维度 级别变更要求 分级维度
重庆市大数据应用发展管理局	《重庆市公共数据分类分级指南(试行)》	2021年10月	分类分级原则 分级方法 分类方法 分级管控要求
贵州省市场监督管理局	《政务数据数据分类》	2022年3月	分类方法 扩展分类 分类与类别
北京市市场监督管理局	《政务数据分级与安全保护规范》	2022年4月	分级原则 分级流程 分级方法 分级安全保护要求

地方标准分类分级原则

首先，我们看一下各地方标准中的数据分类分级原则。这里我们参考了严炜炜等所发表《数据分类分级：研究趋势、政策标准与实践进展》中的部分研究成果。

严老师的论文中指出：

贵州省作为成立数据交易所最早的省份，也在各省份中最早于2016年6月发布了地方标准。标准中，“科学性，扩展性”分类原则和“自主定级，明确需求”分级原则在后续出台的各地方标准中得以保留和延续，有着重要的参考价值。

不同的是，上海市地方标准中将分类和分级的原则合二为一，提出了“兼容性，安全性，科学性，需求导向，可操作性，可扩展性”的原则。

贵州省于2022年3月出台的新版地方标准在旧版基础上精简了分类分级原则的相关内容，并将原则和要求合并纳入“扩展分类”章节中。

福建省的地方标准一方面借鉴了上海市的分类分级原则，删去了“可操作性”并将其作为分类原则；另一方面借鉴保留了贵州省的分级原则。

鼹鼠哥：各省市规章的核心仍然是分类和分级的关系，以及分类分级的各自原则和细则。大家互相借鉴，都在不断优化标准方案。

我们下边看重庆市。重庆在数据分类原则中，专门提出了数据分类与数据分级之间的关系，认为“数据分类是数据分级的基础，数据分类与分级密不可分”，提炼补充“关联性”这一分类原则，并进一步增加了“分级管控”等数据分级原则，进一步明确了数据分类和数据分级的关系。

北京市地方标准中未对分类原则作详细介绍，其分级原则虽然与重庆市一致，但对原则的解释说明更加细致，如在解释“综合判定”这一原则时提出要“场景导向，兼顾内容”，强调“数据分级时应结合数据的应用场景、组合、取值、数据量的大小等”，力求数据分级准确合理的同时也深化了分级原则的内涵。

鼹鼠哥：在数据分类分级的事情上，北京并没有像其他科技领域一样走在前列。比如北数所，就比其他数据交易所如贵阳和上海成立的要晚，应该是等待其他省份摸索经验后借鉴学习，避免一开始走弯路，带来负面影响。

从时间维度看，地方标准中的分类原则经历了一个“简—繁—简”的过程。这可能是由于数据分类分级作为一种新的数据保护方法，在初步明确相关原则后，利用实践逐渐查漏补缺，有所补充；

但过于烦琐的原则又限制了可操作性，故而近年来出台的地方标准中的分类原则有删繁就简的趋势。此外，各地方标准的分级原则在整体上基本一致，主要在原则各细目的级别权重上稍有不同。

鼹鼠哥：各省市的分级大体都遵循按照影响对象和影响程度，分为四级的方式。

地方标准分类分级方法

下边我们看一下各地标准中的分类分级方法。

各地方标准中的分类分级方法归纳如下图所示。

概括而言，各地方标准以多维度和线分类法为主，个别省市也会采用面分类法进行标签构造。例如，除福建省是直接采用二级分类法之外，贵州省、浙江省、重庆市 和上海市均在确定分类维度的基础上，再在各维度下分别采用线分类法划分为包括大类、中类和小类的三级分类。

鼹鼠哥：简单总结就是，大家基本都是用最常规的线分类法，即大类、中类、小类三级，太多了不好分，增加管理成本。太少了又太粗。三是个奇妙的数字。

在数据分级方法上，除上海市地方标准采用与数据分类相同的三个维度的视角以外，其他省市均以数据敏感程度或被违规操作后的危害程度为划分依据，按照数据敏感程度分为2级、3级或4级。特别地，2022年更新版的贵州省地方标准相较旧版，将数据分类的三个维度扩充成五个维度，并进一步细化了三级分类下的细目，删减了使用面分类法构造标签词和数据分级方法的相关内容。可见，考虑到政务数据和公共数据自身的类别和属性，各地方的数据分类方法大多从 粗粒度的维度到细粒度的类别逐层划分，且大多依据数据敏感程度进行分级，存在一定共性。

地方标准分类分级要求

最后，我们看一下各地标准中的分类分级要求。

各省市在分类分级的一般要求和特殊要求上存在较大差异。

在一般要求上，如浙江省和北京市的地方标准中，虽均对数据的采集、存储、加工、共享和使用等各个环节进行了详细要求，但划分数据生命周期的方式和各阶段的具体要求不尽相同，北京市还针对数据安全保护的通用要求、技术要求和管理要求等进行了具体规定。

在特殊要求上，福建省拓展了“分类编码说明” 章节，专门对公共数据资源分类进行了具体规定；浙江省考虑到因为业务需要变更公共数据级别的情形；重庆市根据数据生命周期，详细规定了各个环节的分级管控措施。

此外，江西省出台的《生态文明数据分类及编码规范》、内蒙古自治区出台的《草原大数据：数据分类与编码》以及山东省出台的《农业大数据分类与编码规范》等标准，还针对具有地方特色的数据进行了专门规范，对于特殊数据的标准化管理具有重要意义。

02—贵州《政务数据 数据分类》

贵州近些年来一直把大数据产业作为支柱产业发展，标准工作在全国也处于领先地位，也是很多省市借鉴的对象。

我们下边对贵州省地方标准DB52T 1123-2021《政务数据 数据分类》进行简单解析。

首先，如文件名所示，贵州的标准仅仅涉及到数据的分类，但是没有涉及数据的分级。

贵州省的标准将政务数据按照五个维度，即资源属性、归集管理、安全管理、共享开放属性、其他属性分类如下：

这里的分类维度就可以和《规则》中的分类规则，即行业属性、业务属性进行一定的对应。

附录中还对按照上述维度，对数据三级分类进行了详细规定。如基础数据-人口数据三级分类如下：

按照主题数据的三级分类如下：

后边还有按照资源类别等的分类，这里不再一一赘述。大家有需要的可以到文末回复公众号下载原文查看。

03—浙江《数字化改革公共数据分类分级指南》

相比贵州的分类标准，浙江的标准中包括了分类和分级两个部分的内容，且均按照一般要求、分类分级维度和具体方法进行了阐述，实操性强。

浙江划分了如下数据分类维度：

数据管理维度：应从元数据角度对公共数据资源目录中的数据进行数据管理维度分类，主要包括：数据产生频率；数据产生方式；数据结构化特征；数据存储方式；数据质量要求。

业务应用维度：对公共数据资源目录中的数据进行业务应用维度分类，主要包括：数据产生来源；数据所属行业；数据应用领域；数据使用频率；数据共享属性；数据开放属性。

安全保护维度：从数据的重要程度等对公共数据资源目录中的数据进行安全保护维度分类，包括：核心数据；重要数据；一般数据。

鼹鼠哥：这里的安全保护维护和《规则》中的数据分级标准有对应关系。

数据对象维度：对公共数据资源目录中的数据进行数据对象维度分类，包括：个人；组织；客体：指非个人或组织的客观实体，如道路、建筑、视频捕捉设备等，包括属性数据和感应数据。

鼹鼠哥：浙江的标准中的数据对象客体是一个在其他标准中没有提及的概念，在当前物联网等设备产生海量数据的情况下，有必要单独对其设置一个分类。

浙江对数据分级规定基本和《规则》中一般数据的四级分类对应：

根据公共数据破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益（受侵害客体）的危害程度来确定数据的安全级别，共分为4级，由高至低分别为：敏感数据（L4级）、较敏感数据（L3级）、低敏感数据（L2级）、不敏感数据（L1级）。

其分级方法也和《规则》中基本相同，即：

应根据公共数据遭篡改、破坏、泄露或非法利用后，可能带来的潜在影响的范围和程度进行安全分级，其中：

影响范围包括：国家安全，全社会、多个行业、行业内多个组织，单个组织或个人；

影响程度包括：极其严重、严重、中等、轻微、无。

其他省市的标准如《福建省公共数据资源开放分级分类指南》都和这两个标准大同小异，这里不再一一解析。大家有需要的可以到文末回复公众号下载原文查看。

04—行业标准概述

在相关政策条例的引导下，国内各行业已逐步开展关于数据分类分级指南的探索，以通信、金融和医疗行业等为代表的公开行业指南则关注行业内部及用户数据，保护框架包括分类分级范围、原则和方法等方面。

另外，跨行业的指南注重从整体上进行规范，适用场景并不聚焦特定行业，涉及信息安全事件、大数据和工业数据等领域。

目前公开的行业指南可归纳如下表所示，其中涉及跨行业的数据分类分级指南均为国家标准，从对具体的信息安全事件的分类分级，到大数据管理和工业数据分类分级，数据范围逐步扩大，数据分类和数据分级的方法也更细致具体。

行业领域	发文机关	发文时间	标准文件	文件框架
金融	中国证券监督管理委员会	2018年9月	《证券期货业数据分类分级指引》	数据分级分类前提条件 数据分级分类方法及原则 数据分级分类中问题处理
	中国人民银行	2020年2月	《金融数据安全 数据安全分级指南》	数据安全定级 重要数据识别
通信	中华人民共和国工业和信息化部	2014年12月	《电信和互联网服务 用户个人信息保护 定义及分类》	用户个人信息保护范围 用户个人信息内容和分类 用户个人信息保护分级概述用户个人信息保护分级方法
	中华人民共和国工业和信息化部	2020年12月	《基础电信企业数据分级分类方法》	数据分级分类原则 数据分级分类流程 数据分级分类方法
医疗	国家市场监督管理总局:中国国家标准化管理委员会	2021年7月	《信息安全技术 健康医疗数据安全指南》	数据分类范围 数据分级方法 数据安全管理原则
跨行业	国家质量监督检验检疫总局;中国国家标准化管理委员会	2007年6月	《信息安全技术 信息安全事件分类分级指南》	信息安全事件分类 信息安全事件分级
	国家市场监督管理总局;中国国家标准化管理委员会	2019年8月	《信息安全技术 大数据安全管理指南》	数据分级方法 数据分类方法 数据分级分类保护要求
	中华人民共和国工业和信息化部	2020年2月	《工业数据分级分类指南(试行)》	数据分级分类方法 数据分级分类原则 数据分级管理方法

在跨行业的指南中，围绕信息安全事件，分类方法综合考虑信息安全事件的起因、表现、结果等，将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件7个基本分类，事件分级则根据信息系统的重要程度、系统损失和社会影响分为四级。

围绕大数据安全管理，分类分级标准则更具有概括性，规定数据分类要按照数据主体、主题、业务等不同的属性进行；数据分级则需要组织的业务部门领导、业务专家、安全专家等共同确定，对各个行业数据分类分级标准规范的制定具有一定的参考价值，为其分类分级的原则和方法都提供了基础的指导思路。

围绕工业数据，数据分类需要工业企业结合生产制造模式、平台企业结合服务运营模式对工业数据进行分类梳理和标识，形成企业工业数据分类清单；数据分级则着重考虑工业数据遭篡改、破坏、泄露或非法利用后，可能对工业生产、经济效益等带来的潜在影响。

概括而言，现阶段跨行业指南已围绕数据分类和数据分级的方法和原则进行了一定的规范。

此外，从已公开的具体行业数据分类分级指南来看，包括部分国家标准和行业标准，涉及通 信、金融和医疗等行业。

（1）通信行业。通信行业在2014年发布了《电信和互联网服务 用户个人信息保护 定义及分类》，规定了电信和互联网服务用户个人信息保护的术语和定义、保护范围、信息内容和分类，初步提出了用户个人信息分类的方法。在2020年发布的《基础电信企业数据分级分类方法》中，进一步提出了针对电信企业的数据分类分级标准，数据分类根据基础电信企业业务运营和企业自身管理特点，按照树形结构，建立数据资源分类目录；数据分级则根据基础电信企业数据重要程度和敏感程度，确定数据资源的安全等级。概括而言，通信行业以个人信息保护为抓手，已经基本明确了个人信息和企业数据的分类分级方法，遵循“数据汇总-数据归类-数据定级”的步骤。

（2）金融行业。金融行业在2018年发布的《证券期货业数据分类分级指引》中就已经对证券行业的数据分类分级制定出较为详细的标准规范，证券领域的数据采用业务条线标准进行数据分类，即先业务细分、 再数据细分，继而形成从总到分的树形逻辑体系结构；

鼹鼠哥：《证券期货业数据分类分级指引》是一份很详尽，实操性很好，其编写思路可以作为跨行业标准参考的一份标准，推荐大家阅读。

数据分级则在数据分类的基础上将数据由高至低分为极高、高、中、低四级。

在2020年中国人民银行发布的《金融数据安全 数据安全分级指南》将范围扩大至金融业，制定了详细的数据分级标准，但缺少数据分类维度的划分视角。

鼹鼠哥：其实央行这一份规则本身并不够完备，因为它是依赖于央行配套的其他相关标准比如之前发布的一些业务分类标准，需要联系起来看才可以。

在金融电子数据的分级依据方面，该指南将数据遭到破坏可能带来的影响作为重要标准，考虑对象和影响程度两个方面，将数据安全级别由高至低分为五级。此外，该指南还明确了金融数据安全分级的目标、 原则、范围，以及数据安全定级的要素、规则和定级过程。

整体上，金融行业数据分类分级指南主要针对证券数据和金融电子数据，遵循“细分业务-数据归类级别判定”的流程，已经基本形成了行业数据的分级标准，但相应的分类标准仍有待补充。

（3）医疗行业。医疗行业在2020发布的《信息安全技术 健康医疗数据安全指南》以信息安全为出发点，对健康医疗数据进行分类分级，促进信息开发利用。在数据分类上，健康医疗数据可被分为个人属性数据、健康 状况数据、医疗应用数据、医疗支付数据、卫生资源数据和公共卫生数据6类；

在数据分级上，根据数据重要程度、风险级别以及对个人健康医疗数据主题可能造成的损害和影响，健康医疗数据则可由高至低被分为五级。概括而言，健康医疗领域作为医疗行业数据分类分级的初步探索，已形成初步框架，但数据分类分级的覆盖范围、 具体措施和方法案例等内容还有待进一步扩充。

05—行业标准解析

下边我们逐一对各行业标准做一下简单解析。

一。政务/公共数据

因为大部分的公共数据都由政务部门管理，因此我们把政务和公共数据放在了一起，对于政务/公共数据的管理，大部分都由各地的地方数据管理标准进行了规定，可以参考前边的地方标准章节。

二。金融行业-银行

金融行业标准目前覆盖了银行及证券两个细分行业。

其中（JRT0197—2020）《金融数据安全数据安全分级指南》是由人民银行发布的针对银行业的标准，（JRT 200158-2018）《证券期货业数据分类分级指引》是由原证监会发布针对证券期货行业的行业指引。

《金融数据安全 数据安全分级指南》适用于金融业机构开展电子数据安全分级工作，并为第三方评估机构等单位开展数据安全检查与评估工作提供参考。

《指南》对金融数据分级也是按照影响对象和影响程度两个维度进行划分，根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5级、4级、3级、2级、1级：

	数据定级要素
最低安全 级别参考	影响对象	影响程度	数据特征
5	国家安全	严重损害/一般损害/轻微损害	重要数据，通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。 数据安全性遭到破坏后，对国家安全造成影响，或对公众权益造成严重影响。
5	公众权益	严重损害
4	公众权益	一般损害	数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用，一般针对特定人员公开且仅为必须知悉的对象访问或使用。 个人金融信息中的 C3 类信息。 数据安全性遭到破坏后，对公众权益造成一般影响，或对个人隐私或企业合法权益造成严重影响，但不影响国家安全。
4	个人隐私	严重损害
4	企业合法权益	严重损害
3	公众权益	轻微损害	数据用于金融业机构关键或重要业务使用，一般针对特定人员 公开，且仅为必须知悉的对象访问或使用。 个人金融信息中的 C2 类信息。 数据的安全性遭到破坏后，对公众权益造成轻微影响，或对个人隐私或企业合法权益造成一般影响，但不影响国家安全。
3	个人隐私	一般损害
3	企业合法权益	-般损害
2	个人隐私	轻微损害	数据用于金融业机构一般业务使用，一般针对受限对象公开，通常为内部管理且不宜广泛公开的数据。 个人金融信息中的 C1 类信息。 数据的安全性遭到破坏后，对个人隐私或企业合法权益造成轻微影响，但不影响国家安全、公众权益。
2	企业合法权益	轻微损害
1	国家安全	无损害	数据一般可被公开或可被公众获知、使用。 个人金融信息主体主动公开的信息。 数据的安全性遭到破坏后，可能对个人隐私或企业合法权益不造成影响，或仅造成微弱影响但不影响国家安全、公众权益。
1	公众权益	无损害
1	个人隐私	无损害
1	企业合法权益	无损害

标准还制定了数据安全定级工作的流程，分为数据资产梳理、数据安全定级准备、数据安全等级判定、数据安全级别审核、数据安全级别批准五个步骤。

其中第二步的准备工作又分为两步：

明确数据定级的颗粒度（如库文件、表、字段等），和识别数据安全定级关键要素。

第三步的安全级别判定也分为两步：

按照数据定级规则，结合国家及行业有关法律法规、部门规章，对数据安全等级 进行初步判定。然后，综合考虑数据规模、数据时效性、数据形态（如是否经汇总、加工、统计、脱敏或匿名化 处理等）等因素，对数据安全级别进行复核，调整形成数据安全级别评定结果及定级清单。

最后，在标准的附录中，还对大多数常见数据分类给出了推荐定级，如下图所示。

这样使得该标准具有较好的实践指导作用。

三。金融行业-证券

（JRT 200158-2018）《证券期货业数据分类分级指引》是由原证监会发布针对证券期货行业的行业指引，标准覆盖了数据的分类和分级两方面的工作指引，以及前置的概述和后续的关键问题指引。

《证券期货业数据分类分级指引》首先明确了数据分类是分级的前提的概念。“本标准推荐的分类分级方法，从业务条线出发，首先对业务细分，其次对数据细分，形成从总到分 的树形逻辑体系结构，最后，对分类后的数据确定级别；同时，推荐考虑确定数据形态”。

同时，明确了分类分级工作的三个流程阶段：

本标准提供的数据分类分级方法，分为三个阶段。

第一阶段：业务细分。解决业务分类问题，同时确定数据的管理主体。数据管理主体的确定是 数据分类准确性和定级准确性的基本保证。

第二阶段：数据归类。在明确数据管理主体和业务分类的基础上，重点解决数据分类问题。  

第三阶段：级别判定。在数据分类基础上，进行数据定级。

数据分类

《证券期货业数据分类分级指引》对分类阶段的工作分为了两部分，即业务分类和数据归类。

业务分类阶段将业务条线作为业务一级子类进行细分，确定业务二级子类(业务管理)，并对其命名。这里可以参考《证券期货行业数据模型》确定的业务条线作为基础，一般划分为交易、监管、信息披露、其他。

这里《指引》也指出，业务细分一般仅在业务一级子类基础上按照“MS-MS”方法划分一次。过度划分可能导致第二阶段划分后层级过多，不利于管理。

数据归类阶段在第一阶段对业务细分基础上，找到数据与业务二级子类之间对应关系，经归类后，确定数据一级子类。

鼹鼠哥：这里第一阶段的工作即可认为是《规则》所述按照业务领域进行划分的方法，也即数据处理行业的数据聚类工作。而归类阶段也就是有一定数据处理经验的朋友所熟知的数据在聚类之后的分类工作。

《指引》给出了分类的示例：

数据分级

《指引》对数据分级也是按照对不同对象的不同影响程度来划分的。

数据定级三要素如下：

影响对象，划分为：行业、机构、客户。

影响范围，划分为：多个行业、行业内多机构、本机构。

影响程度，一般指数据安全属性（完整性、保密性、可用性）遭到破坏后带来的影响大小。划分为：严重、中等、轻微、无。

最后分为四个等级，这一点和大多数标准类似。

数据级别从高到低，一般具有如下数据特征：

4 级（极高）：数据主要用于行业内大型或特大型机构中的重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。

3 级（高）：数据用于重要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用。

2 级（中）：数据用于一般业务使用，一般针对受限对象公开；一般指内部管理且不宜广泛公开的数据。

1 级（低）：数据一般可被公开或可被公众获知、使用。

对于实际定级的流程也给出了指引：

数据定级一般按照如下四个步骤执行：

步骤一：确定影响对象。确定需定级的某类数据的安全属性（完整性、保密性、可用性）遭到破坏后可能影响的对象，包括行业、机构、客户。

步骤二：确定影响范围。确定该类数据安全属性（完整性、保密性、可用性）遭到破坏后可能影响的范围，包括多个行业、行业内多个机构、本机构。

步骤三：确定影响程度。确定该类数据安全属性（完整性、保密性、可用性）遭到破坏后可能影响程度，包括严重、中等、轻微、无。

步骤四：综合上述三要素，对数据定级。综合上述步骤确定的该类数据安全属性（完整性、保 密性、可用性）遭到破坏后的影响对象、影响范围、影响程度，对数据进行定级。

同样，《指引》也在附录部分给出了详尽的参考。

四。电信行业

《基础电信企业数据分类分级方法》适用于包括基础电信企业生产经营和管理活动中产生、采集、加工、适用或管理的网络数据和非网络数据。

《方法》主要阐述了分类分级原则和工作流程，以及分类分级方法。

电信数据分类

数据分类按照 GB/T 10113—2003 中的线分类法为基础进行分类。为便于对数据进行统一管理及应用，根据基础电信企业生产经营管理现状和企业自身管理特点，将基础电信企业掌握的数据整合纳入两大类:

用户相关数据，是指与个人用户、集团客户相关的身份相关数据、服务内容数据、用户服务衍生数据等;

企业自身数据，是指基础电信企业掌握的与用户无关的数据，包括网络与系统类数据、企业管理类数据、合作伙伴数据等，网络与系统类数据，主要涉及网络与系统的建设与运行维护信息、软硬件资源信息、安全管理信息等数据:企业管理类数据，主要涉及企业战略、规划建设、经营分析、办公自动化等相关数据。

电信数据分级

按照数据对象的重要敏感程度，可以将基础电信企业网络数据资源分为四个安全级别，其对应的安全要求逐级递减，分别为第四级、第三级、第二级和第一级。

第四级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成特别严重影响的数据，安全管控要求最高;

第三级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成严重影响的数据，应实施较强的安全管控;

第二级数据:一旦丢失、泄露、被篡改、被损毁会对国家安全、社会公共利益或企业利益或用户利益造成一定程度影响的数据，执行基本的安全管控:

第一级数据:一旦丢失、泄露、被篡改、被损毁对国家安全、社会公共利益或企业利益或用户利益造成影响较小或无影响的数据，对安全管控不作要求。

企业若在执行四级安全管控落地实施中有难度，可以视实际情况对相邻级别进行合并，实施三级分级方式和相应安全管控措施。

分级示例：

五。医疗行业

我们以《广东省健康医疗数据安全分类分级管理技术规范》为主来看。

《规范》文件内容结构和电信行业标准文件结构类似：

分类方法按照 GB/T 10113 中的线分类法为基础结合业务信息，根据医疗健康机构业务运营特点和内部管理方法,收集机构内所有部门的数据资源，梳理所有数据资源。

分级方法在数据分类基础上,根据健康医疗数据重要程度以及泄露后对国家安全、社会秩序、医疗机构经营管理和公众利益造成的影响和危害程度，对健康医疗数据资源进行分级。

06—数字化服务场景数据安全要求

《规则》中还提及了一些细分服务场景的标准，包括金融在内共七个场景。这些场景的特点是重度数字化，且都涉及到大量的个人数据。这些场景都属于服务行业，相比前述的行业标准，其划分粒度更细，因此我们在这里单独列出。

这些重度数字化的服务场景包括：

[4] GB/T 42012—2022 信息安全技术 即时通信服务数据安全要求

[5] GB/T 42013—2022 信息安全技术 快递物流服务数据安全要求

[6] GB/T 42014—2022 信息安全技术 网上购物服务数据安全要求

[7] GB/T 42015—2022 信息安全技术 网络支付服务数据安全要求

[8] GB/T 42016—2022 信息安全技术 网络音视频服务数据安全要求

[9] GB/T 42017—2022 信息安全技术 网络预约汽车服务数据安全要求

[10] JR/T 0197—2020 金融数据安全 数据安全分级指南

其中4-9的GB/T 42012—2022到42017—2022系列标准是由国家市场监督管理总局、国家标准化管理委员会共同发布，于2023年5月1日开始实施的。

一。即时通信服务数据安全要求

标准规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。适用于即时通信服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对即时通信服务数据处理活动进行监督、管理、评估提供参考。

标准涉及的数据范围分为两大类：

a)用户数据:即时通信服务提供者在提供即时通信服务过程中收集和产生的个人和组织用户数据,如个人基本资料、个人身份信息、组织基本资料、组织办公通讯录等。

b)业务数据:即时通信服务提供者在提供即时通信服务过程中处理的除用户数据外的其他数据，如业务统计数据、业务经营数据、业务技术数据等。

标准给出了即时通信服务场景中重要数据的识别参考规则。

a)按照国家和即时通信服务行业的重要数据目录，识别涉及的重要数据;

b)相关目录不明确时，按照重要数据识别相关规定、国家或行业标准识别重要数据;

c)相关目录、规定和标准均不明确时，将一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据识别为重要数据。

以及数据分类的示例：

后续章节还对应用APP收集、加工、传输用户数据等进行了规定，因为和分类分级关系不大，不再赘述。

二。快递物流服务数据安全要求

本文件对物流数据处理者进行数据安全活动指导

本文件规定了快递物流服务收集、存储传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。

本文件适用于快递物流服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对快递物流服务数据处理活动进行监督、管理、评估提供参考。

文件将数据分为两大类：

用户数据

快递物流服务提供者在提供快递物流服务过程中收集和产生的个人用户数据和企业用户数据,如收寄件人姓名、地址、联系电话、企业账号信息企业通信信息等

业务数据

快递物流服务提供者在提供快递物流服务过程中处理的各类业务经营相关的数据，如寄递物品及费用数据、配送数据、签收数据、营业场所数据、财务数据、营销运营数据等。

标准规定了如何识别重要数据：

识别重要数据

按照国家和快递物流服务行业的重要数据目录，识别涉及的重要数据。

识别重要数据方式相关目录不明确时，按照重要数据识别相关规定国家或行业标准识别重要数据。

特殊情况

相关目录、规定和标准均不明确时，将一旦被泄露或篡改、损毁可能直接危害国家安全、经济运行社会稳定、公共健康和安全的数据识别为重要数据。

也给出了数据分类示例

此外，标准还在个人信息保护方面提出了很多的具体要求。比如快递面单的个人信息去标识化，个人信息查询的安全保护和访问控制，推送算法中个人信息的使用，向第三方提供数据或物流出海场景下的保护。同时还对新生事物，如智能快递箱的使用中的信息保护提出了具体的要求。

三。网上购物服务数据安全要求

本文件规定了网上购物服务的数据生命周期各环节数据处理活动的安全要求。

本文件适用于网上购物服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对网上购物服务数据处理活动进行监督、管理、评估提供参考。

文件定义了网上购物服务的业务功能包括：功能主要包括注册、登录、商品展示、浏览,搜索、下单、发货、售后服务等。

网上购物服务业务相关方和行为包括：

买家：在平台进行浏览，搜索，选择商品或服务下单、支付，完成购买。

卖家：发布商品或服务根据订单需求发货、提供售后服务。

网上购物服务提供者：网上购物服务数据处理活动及数据安全风险。

第三方服务提供者：包括支付服务提供者物流服务提供者等。

通过定义相关方，也理清了数据所有者和使用者等的关系。

文件和其他标准一样，定义了网上购物服务数据范围：

用户数据：网上购物服务提供者在网上购物服务过程中收集和产生的个人及组织用户数据，典型用户数据如下:

买家消费记录

收货人信息

卖家账号信息

业务数据

网上购物服务提供者在提供网上购物服务过程中处理的各类业务经营相关数据，典型业务数据如下:

商品信息

商品类目数据

成交总额

标准制定了网上购物服务重要数据识别参考规则:

1. a)    按照国家和网上购物服务行业的重要数据目录，识别涉及的重要数据:

2. b)   相关目录不明确时，按照重要数据识别相关规定，国家或行业标准识别重要数据

3. c)    相关目录、规定和标准均不明确时，将一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据识别为重要数据，

为了便于标准执行，也给出了网上购物服务数据分类示例:

用户数据如用户基本资料，卖家信息。

业务数据如业务统计数据，业务经营数据。

因为现在网购行为产生数据量大，且涉及大量个人信息，价值巨大，本场景的标准较其他场景篇幅较多。还规定了各方面的具体执行要求。

a)数据处理:数据处理活动应符合GB/T 41479《信息安全技术网络数据处理安全要求》规定的要求。

b)个人信息:个人信息处理活动应符合GBIT 35273-2020《信息安全技术 个人信息安全规范》规定的要求，网上购物服务App个人信息收集活动应符合GB/T 41391-2022《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求)规定的要求;

c)分类分级:应按照国家有关要求和标准进行数据分类分级保护，识别网上购物服务涉及的核心数据重要数据、一般数据，对不同级别的数据采取不同的保护措施。

d)标识分类:应识别网上购物服务涉及的一般个人信息、敏感个人信息，对个人信息进行标识和分类管理。

e)义务履行:应履行互联网平台f)安全能力:网上购物服务提供运营者义务，如个人信息保护独立者的数据安全能力应至少符合监督、制定公平公正的平台规则、GBIT 37988《信息安全技术数隐私政策披露、平台内经营者管理据安全能力成熟度模型》中的2级发布个人信息保护社会责任报告等能力要求

g)等级保护:网上购物服务平台应符合国家网络安全等级保护相关标准要求

h)网上购物:提供网上购物服务的其他网络平台(如自建网站、App、小程序应符合本文件对网上购物服务提供者提出的要求。

i)风险评估:应结合数据处理活动的实际情况，按照有关国家标准定期开展数据安全风险评估

j)影响评估:应在开展对个人权益有重大影响的个人信息处理活动前，按照GB/T 39335《信息安全技术 个人信息安全影响评估指南》进行个人信息保护影响评估。

k)工程实践:应按照有关国家标准，在网上购物服务平台及提供网上购物服务的其他平台规划建设时替开展个人信息安全工程实践，同步规划、同步建设、同步使用个人信息保护措施。

四。网络支付服务数据安全要求

本文件规定了网络支付服务收集存储、传输、使用、加工、提供公开、删除、出境等数据处理活动的安全要求。本文件适用于网络支付服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对网络支付服务数据处理活动进行监督、管理、评估提供参考

标准也明确了网络支付服务业务的组成和数据范围。

网络支付服务业务功能主要包括用户注册/登录、绑定银行卡、充值/提现、实名认证生成支付订单、支付和对账结算等。

网络支付服务的相关方包括收款方、付款方、网络支付服务平台和网络支付服务提供者。

数据范围也分为两部分：

用户数据范围

网络支付服务提供者在提供网络支付服务过程中收集和产生的个人及组织用户数据如个人自然信息、个人身份鉴别信息等。

业务数据范围

在网络支付服务业务开展过程中处理的用于保障业务正常运行的数据，如商户签约信息、支付结算信息等

标准同样给出了重要数据识别参考规则和数据分类示例。

重要数据识别规则为：

第一步:按照国家和网络支付服务行业的重要数据目录，识别涉及的重要数据

相关目录不明确时

第二步:按照重要数据识别相关规定、国家或行业标准识别重要数据

相关目录、规定和标准均不明确时

第三步:按照国家和网络支付服务行业的重要数据目录，识别涉及的重要数据

重要数据示例包括：

用户数据包括：个人自然信息，个人身份鉴别信息。

业务数据包括：交易信息，商户签约信息。

标准同时还规定了网络支付服务APP的数据收集范围，个人信息储存期限等涉及数据的详情，这里不再赘述。

五。网络音视频服务数据安全要求

毫无疑问，网络音视频服务是当今不算最火也是比较火的应用了，全国上下，大江南北，无处不是小视频。

本文件规定了网络音视频服务收集存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。本文件适用于网络音视频服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对网络音视频服务数据处理活动进行监督、管理、评估提供参考。

主要业务功能构成

网络音视频服务业务功能主要包括网络音视频内容的制作发布、浏览、搜索、播放、下载、收藏、预约、分享、实时传播，以及互动交流(发布弹幕、评论等)、内容推荐、会员付费、内容付费、直播打赏、收益分成结算等。

网络音视频服务数据范围包括

a)用户数据:网络音视频服务提供者在提供网络音视频服务过程中收集和产生的用户的个人信息

b)业务数据:网络音视频服务提供者在提供网络音视频服务过程中处理的除用户数据外的其他数据

网络音视频服务重要数据识别参考规则如下

a)按照国家和网络音视频服务行业的重要数据目录，识别涉及的重要数据

b)相关目录不明确时，按照重要数据识别相关规定、国家或行业标准识别重要数据

c)相关目录、规定和标准均不明确时，将一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据识别为重要数据

数据分类的示例如下：

用户数据：基本资料，财产信息。

业务数据：内容数据，业务运营数据。

本标准还特别对未成年人信息保护提出了规定。此外，标准还紧跟发展，提出了对生成式内容的安全要求，主要是要求对生成内容要能够鉴别，在管理上予以区分。

六。网络预约汽车服务数据安全要求

本文件规定了网络预约汽车服务的收集、存储、使用、加工、提供、公开、出境等数据处理活动的安全要求。本文件适用于网络预约汽车服务提供者规范数据处理活动

也可为监管部门、第三方评估机构对网络预约汽车服务数据处理活动进行监督、管理、评估提供参考。

网络预约汽车服务主要功能包括用户注册/登录、网络预约汽车服务提供者对驾驶员背景审核、乘客发起订单、订单匹配、驾驶员接单、行程服务、网络预约汽车服务提供者安全秩序维护、支付收款、用户评价等。

本文件中网络预约汽车服务数据主要包括

a)用户数据:网络预约汽车服务提供者在网络预约汽车服务过程中收集和产生的乘客和驾驶员个人信息，如手机号码、位置信息、支付信息、行踪轨迹和行程录音录像等

b)业务数据:网络预约汽车服务提供者在网络预约汽车服务过程中收集和产生的服务运营数据如驾驶员数量、乘客数量、行程订单量和里程总数等

c)其他数据:网络预约汽车服务提供者在网络预约汽车服务过程中收集和产生的其他数据，如第三方网页内容和合作方提供数据等

针对这个场景，文件也提出了特定的一些要求。比如收集行踪轨迹时，通过系统位置权限收集位置信息不应超过1次/s，以及不应该利用大数据分析实行不合理的差别待遇等等。

七。金融数据安全 数据安全分级指南

《规则》中将金融数据安全也列入了场景之一，我们在前边的行业标准中已经对银行和证券两个场景分别进行了详细阐述，这里不再赘述。

明天我们继续就数据分类分级行业实践指南进行探讨。

公众号后台发送消息“分类分级规则”，即可下载国标《数据安全技术 数据分类分级规则》原文；

发送消息“数据分类分级地标行标”，即可下载文中提到的多个地方标准和行业标准；

—————————————————————————

数据资产化，鼹鼠哥与你一起。