DB3203-T 1024-2023 公共數(shù)據(jù)分類分級(jí)指南

70

3203 DB

3203/T

1024—2023公共數(shù)據(jù)分類分級(jí)指南Guidelines

for

public

data

classification

and

grading 徐州市市場(chǎng)監(jiān)督管理局??發(fā)

布DB

3203/T

10242023

II

10

11

14

14

14

16

16

17

18

20

23

24

27DB

3203/T

10242023本文件按照GB/T

1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定IIDB

3203/T

10242023

GB/T

4754—2017

GB/T

GB/T

38667—2020

public

management

and

service

institutions

public

data

classification

data

grading

dataDB

3203/T

10242023注1：個(gè)人信息是指以電子或者其他方式記錄的與已識(shí)別或者可識(shí)別的自然人有關(guān)的各種信息，不包括匿名化處理注2：個(gè)人敏感信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危

data

collection

data

transmission

data

storage

data

processing

sharing共管和服機(jī)構(gòu)履行責(zé)需使用他公共管和服機(jī)構(gòu)數(shù)據(jù)者為他公管理

data

opening

data

destruction

DB

3203/T

10242023

數(shù)據(jù)共享屬性：根據(jù)數(shù)據(jù)共享屬性分類；

DB

3203/T

10242023

根據(jù)數(shù)據(jù)資源所涉及的行業(yè)領(lǐng)域范疇，按照GB/T

4754—2017的規(guī)定，將其四級(jí)類目的前二級(jí)（即

DB

3203/T

10242023

具體分類方法可參考GB/T

38667—2020第8章的相關(guān)要求。

圖1

DB

3203/T

10242023

/不予共享/不予共享/有條件共DB

3203/T

10242023

示例見附錄C，可作為危害程度判別的參考；影響程度的確定需綜合考慮數(shù)據(jù)類型、數(shù)據(jù)特征、數(shù)據(jù)規(guī)

表1

DB

3203/T

10242023

G_b；

G_s；

G_s，兩者取最大值作為待定級(jí)數(shù)據(jù)資源

圖2

a)

合法公開露的公共據(jù)可定為級(jí)；法律規(guī)規(guī)章未確要求公的個(gè)人信等級(jí)不得b)

般個(gè)人信不低于二；敏感個(gè)信息不低三級(jí)；個(gè)一般信息敏感信息考清單見

c)

于在庫(kù)表數(shù)據(jù)文件儲(chǔ)的數(shù)據(jù)級(jí)標(biāo)記應(yīng)化至數(shù)據(jù)字段級(jí)，關(guān)庫(kù)表、件的級(jí)別d)

DB

3203/T

10242023對(duì)數(shù)據(jù)集A改變匿名方式或者對(duì)上述兩個(gè)字段重新定級(jí)，對(duì)于無法評(píng)估或者不能完全清楚的潛在不確定

圖3

DB

3203/T

10242023

圖4

a)

b)

c)

d)

10DB

3203/T

10242023e)

f)

a)

b)

c)

d)

核不通過兩種情況內(nèi)部審核通過的直結(jié)束流程返回不通原因，數(shù)審核部門e)

f)

a)

b)

據(jù)內(nèi)容未生變化，因數(shù)據(jù)時(shí)性、數(shù)據(jù)模、數(shù)據(jù)用場(chǎng)景、據(jù)加工處方式等發(fā)c)

d)

e)

a)

b)

c)

a)

b)

c)

d)

11/不予共享/不予共享/不予開放/有條件共DB

3203/T

10242023表2

12DB

3203/T

10242023表3

13

IP

DLP

DLPDB

3203/T

10242023表4

14DB

3203/T

10242023

圖5

15

DB

3203/T

1024202316DB

3203/T

10242023

A.1

A.1

控體系、應(yīng)急管理體系等；6.

建設(shè)等，或者可被其他國(guó)家或組織利用發(fā)起對(duì)我國(guó)的軍事打擊；8.

事件；10.影響國(guó)家生物安全治理體系、生物資源和人類遺傳資源安全、生命安全和生染病、重大生物安全風(fēng)險(xiǎn)；11.影響我國(guó)在太空、深海、極地等領(lǐng)域的國(guó)家利益和國(guó)際合作安全；12.影響我國(guó)企業(yè)海外投資、海外重大項(xiàng)目和人員機(jī)構(gòu)安全、海外能源資源DB

3203/T

10242023

B.1

B.1

DB

3203/T

1024202319

3.

3.

DB

3203/T

10242023

DB

3203/T

10242023表C.1影響對(duì)象的影響程度說明（續(xù)）21DB

3203/T

1024202322

無條件共享/有條件共享無條件共享/有條件共享

DB

3203/T

10242023D.1

互聯(lián)網(wǎng)藥品信息服務(wù)資格審批數(shù)據(jù)分類分級(jí)示例見表D.1，本示例中僅做分類分級(jí)方法的示例，相

D.1

D.1

個(gè)人公積金信息分類分級(jí)示例見表D.2，本示例中僅做分類分級(jí)方法的示例，相關(guān)分類分級(jí)結(jié)論并

D.2

23可直接標(biāo)識(shí)自然人身份的信息，如身份證、戶口本、軍官證、護(hù)照、駕駛證、行駛證、工作證、出入證、社?？?、居住證、澳臺(tái)通行證等證件號(hào)碼、證件生效日信息可直接標(biāo)識(shí)網(wǎng)絡(luò)或通信用戶身份的信息及賬戶相關(guān)資料信息（金融賬戶除

交易密碼、銀行卡有效期、銀行卡片驗(yàn)證碼（CVN和CVN2）、USBKEY、動(dòng)態(tài)口令、可變更的唯一設(shè)備識(shí)別碼：Android

ID，IDFA，IDFV，OAID等；不可變更的唯一于個(gè)人上網(wǎng)記錄等各類個(gè)人信息加工產(chǎn)生的用于對(duì)個(gè)人用戶分類分析的描述信息，包括但不限于：App偏好，關(guān)系標(biāo)簽，終端偏好，內(nèi)容偏好等標(biāo)簽信息。生物識(shí)別原始信息（如樣本、圖像等）和比對(duì)信息（如特征值、模板等），包含DB

3203/T

10242023 E.1

E.1

金融賬戶及賬戶相關(guān)信息，包含但不限于：銀行卡號(hào)，銀行卡磁道數(shù)據(jù)（或芯片等效信息），銀行卡有效期，電子銀行賬號(hào)，支付寶賬號(hào)，微信支付賬號(hào)，證券賬戶，基金賬戶，保險(xiǎn)賬戶，公積金賬戶，公積金聯(lián)名賬號(hào)，賬戶開立時(shí)間，開戶機(jī)構(gòu)，賬戶余額，支付標(biāo)記信息，賬戶登錄密碼，查詢密碼，支付密碼，交易交易過程中產(chǎn)生的交易信息和消費(fèi)記錄，包含但不限于：交易訂單，交易金額，個(gè)人在借貸過程中產(chǎn)生的信息，包含但不限于：個(gè)人借款信息，貸款額，還款信個(gè)人所持有的土地、房產(chǎn)等不動(dòng)產(chǎn)信息，個(gè)人所持有的飛機(jī)、船舶、汽車、機(jī)器能具體定位到個(gè)人的地理位置數(shù)據(jù)，包括但不限于：家庭住址，通信地址，常駐個(gè)人在業(yè)務(wù)服務(wù)過程中的操作記錄和行為數(shù)據(jù)，包括但不限于：網(wǎng)頁(yè)瀏覽記錄，軟件使用記錄，點(diǎn)擊記錄，Cookie，發(fā)布的社交信息，點(diǎn)擊記錄，收藏列表，搜通信記錄，包括但不限于：短信，彩信，話音，電子郵件，即時(shí)通信等通信內(nèi)容（如文字、圖片、音頻、視頻、文件等），及描述個(gè)人通信的元數(shù)據(jù)（如通話時(shí)描述個(gè)人與關(guān)聯(lián)方關(guān)系的信息，包括但不限于：通訊錄，好友列表，群列表，電與個(gè)人身體健康狀況相關(guān)的一般信息，包含但不限于：體重，身高，體溫，肺活個(gè)人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，包含但不限于：就診醫(yī)院，疾病名稱，臨床表現(xiàn)，檢查報(bào)告，診斷結(jié)果，病癥，住院志，醫(yī)囑單，檢驗(yàn)報(bào)告，體檢報(bào)告，手DB

3203/T

10242023

25DB

3203/T

10242023E.2

E.2

E.2

1.公共數(shù)據(jù)采集應(yīng)遵循合法、正當(dāng)、必4.應(yīng)明確數(shù)據(jù)的最小顆粒度到具體字段級(jí)別，對(duì)采集賬號(hào)權(quán)限管理，根據(jù)對(duì)數(shù)據(jù)字段的需求，依據(jù)權(quán)限最小化原則分配采集賬號(hào)權(quán)限，并通過管控措施實(shí)現(xiàn)賬號(hào)認(rèn)證和權(quán)限分配，不得采集提供服5.明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求敏感數(shù)據(jù)提供方說明數(shù)據(jù)來源，并www.6.依據(jù)全省統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和規(guī)范在法定職權(quán)范圍內(nèi)采集、核準(zhǔn)與提供公共數(shù)1.2.在滿足三級(jí)管控要1.數(shù)據(jù)和數(shù)據(jù)源進(jìn)行證數(shù)據(jù)管理人員能夠追蹤其加工和計(jì)1.加強(qiáng)數(shù)據(jù)線下交互的過程管控，對(duì)數(shù)據(jù)線下交互建立審核機(jī)制及操作流程，要求對(duì)線下交互數(shù)據(jù)采取加密、脫敏、物理封裝等防護(hù)手段，防止數(shù)據(jù)被違規(guī)2.在網(wǎng)絡(luò)邊界上針對(duì)數(shù)據(jù)流向做好隔離3.1.

2.3.滿足級(jí)管礎(chǔ)上滿足1.輸，密算國(guó)家碼管在滿足三級(jí)管控要對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)及DB

3203/T

10242023

F.1

F.1

1.公共數(shù)據(jù)應(yīng)保存在可信或可控的信息2.應(yīng)對(duì)存儲(chǔ)系統(tǒng)的賬號(hào)權(quán)限進(jìn)行最小權(quán)3.應(yīng)建立本地?cái)?shù)據(jù)備份與恢復(fù)機(jī)制，定1.3.滿足級(jí)管礎(chǔ)上滿足1.2.在滿足三級(jí)管控要1.2.對(duì)數(shù)據(jù)操作行為進(jìn)行日志記錄、審計(jì)3.依據(jù)權(quán)限最小化原則分配賬號(hào)權(quán)限，通過管控技術(shù)手段統(tǒng)一實(shí)現(xiàn)賬號(hào)認(rèn)證和權(quán)限分配；不同用戶只能訪問與自己職4.應(yīng)建立數(shù)據(jù)分析挖掘的操作過程，輸出結(jié)果的安全審查、合規(guī)風(fēng)險(xiǎn)評(píng)估和數(shù)www.5.對(duì)于系統(tǒng)間和后臺(tái)數(shù)據(jù)的轉(zhuǎn)移、導(dǎo)出行為，應(yīng)通過管理和技術(shù)手段予以嚴(yán)格1.2.bzfx滿足級(jí)管礎(chǔ)上滿足2.行模化或.1.建立