醫(yī)療健康數(shù)據(jù)分類分級(jí)規(guī)范（征求意見(jiàn)稿）

1T/ZJHIAXX-2024醫(yī)療健康數(shù)據(jù)分類分級(jí)規(guī)范本規(guī)范給出了醫(yī)療健康領(lǐng)域的數(shù)據(jù)分類分級(jí)原則、數(shù)據(jù)分類框架、數(shù)據(jù)分類方法、數(shù)據(jù)分級(jí)框架、數(shù)據(jù)分級(jí)方法、數(shù)據(jù)資產(chǎn)基本屬性標(biāo)注、數(shù)據(jù)分類分級(jí)實(shí)施流程和數(shù)據(jù)分類分級(jí)保護(hù)原則等方面的操作指引。本規(guī)范適用于各級(jí)醫(yī)療機(jī)構(gòu)、衛(wèi)生健康管理部門(mén)、公共衛(wèi)生服務(wù)機(jī)構(gòu)、相關(guān)專項(xiàng)業(yè)務(wù)服務(wù)機(jī)構(gòu)、相關(guān)信息技術(shù)服務(wù)機(jī)構(gòu)等開(kāi)展醫(yī)療健康數(shù)據(jù)分類分級(jí)工作時(shí)參考使用。2規(guī)范性引用文件下列文件是本操作規(guī)范的重要參考依據(jù)。凡是注日期的引用文件，僅所注日期的版本適用于本操作規(guī)范。凡是不注日期的引用文件，其最新版本適用于本操作規(guī)范。GB/T7027-2002信息分類和編碼的基本原則與方法GB/T10113-2003分類與編碼通用術(shù)語(yǔ)GB/T43697-2024信息安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則GB/T39725-2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全規(guī)范GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T38667-2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類規(guī)范DB33/T2351—2021數(shù)字化改革公共數(shù)據(jù)分類分級(jí)規(guī)范3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本規(guī)范。3.1醫(yī)療健康數(shù)據(jù)包括個(gè)人醫(yī)療健康數(shù)據(jù)以及由個(gè)人醫(yī)療健康數(shù)據(jù)加工處理之后得到的醫(yī)療健康相關(guān)數(shù)據(jù)。示例:個(gè)人診療期間產(chǎn)生的電子病歷、檢查數(shù)據(jù)、檢驗(yàn)數(shù)據(jù)、消費(fèi)信息等的醫(yī)療健康數(shù)據(jù)以及移動(dòng)設(shè)備監(jiān)測(cè)到的個(gè)人健康數(shù)據(jù)等。3.2個(gè)人醫(yī)療健康數(shù)據(jù)單獨(dú)或者與其他信息結(jié)合后能夠識(shí)別特定自然人或者反映特定自然人生理或心理健康和醫(yī)療健康情況的相關(guān)數(shù)據(jù)。3.3數(shù)據(jù)分類層次根據(jù)數(shù)據(jù)具有的某種共同屬性或特征，并按照一定的原則和方法進(jìn)行區(qū)分和分層歸類，形成的分類層次，以便于更精細(xì)地管理和使用數(shù)據(jù)。本規(guī)范將分類層次約定為數(shù)據(jù)大類、數(shù)據(jù)中類、數(shù)據(jù)小類、數(shù)據(jù)子類和（根據(jù)需要）數(shù)據(jù)子子類等層次。3.4數(shù)據(jù)元指數(shù)據(jù)分類的最小單元，反映特定的業(yè)務(wù)應(yīng)用屬性。數(shù)據(jù)元不等同于數(shù)據(jù)庫(kù)字段，可以是數(shù)據(jù)庫(kù)字段或同類字段集合，也可以是非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)單元。2T/ZJHIAXX-20243.5衍生數(shù)據(jù)指經(jīng)過(guò)數(shù)據(jù)統(tǒng)計(jì)、關(guān)聯(lián)、挖掘、融合等加工處理形成的數(shù)據(jù)。3.6數(shù)據(jù)影響對(duì)象指數(shù)據(jù)一旦遭到泄露、篡改、破壞或非法獲取、非法利用，在國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益、個(gè)人權(quán)益、組織權(quán)益等方面可能造成影響或破壞的對(duì)象。3.7數(shù)據(jù)影響程度指數(shù)據(jù)一旦遭到泄露、篡改、破壞或非法獲取、非法利用，在國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益、個(gè)人權(quán)益、組織權(quán)益等方面可能造成影響或破壞的程度，通常分為特別嚴(yán)重危害、嚴(yán)重危害、一般危害、輕微危害、無(wú)危害等程度。同一數(shù)據(jù)在不同的分級(jí)要素條件下或?qū)Σ煌挠绊憣?duì)象，可能形成不同的影響程度。3.8數(shù)據(jù)分級(jí)要素指在數(shù)據(jù)分級(jí)過(guò)程中，進(jìn)行數(shù)據(jù)影響對(duì)象和影響程度分析時(shí)需要鑒別考慮的數(shù)據(jù)屬性，通常包括領(lǐng)域、群體、區(qū)域、重要性、安全風(fēng)險(xiǎn)等定性要素，以及精度、規(guī)模、覆蓋度等定量要素，和刻畫(huà)深度等衍生數(shù)據(jù)要素。3.9數(shù)據(jù)資產(chǎn)指由組織或個(gè)人合法擁有或控制的，以電子或其他方式記錄或保存的，能直接或間接帶來(lái)經(jīng)濟(jì)效益、社會(huì)效益或合法權(quán)益的數(shù)據(jù)資源。3.10數(shù)據(jù)資產(chǎn)特性指由數(shù)據(jù)分級(jí)要素和級(jí)別構(gòu)成的數(shù)據(jù)性質(zhì)，反映數(shù)據(jù)作為資產(chǎn)的特性。3.11數(shù)據(jù)資產(chǎn)單元指數(shù)據(jù)元（包括衍生數(shù)據(jù)）的特定集合，作為數(shù)據(jù)資產(chǎn)的基本單元和數(shù)據(jù)分類分級(jí)的基本單元，旨在區(qū)分不同資產(chǎn)特性的數(shù)據(jù)元、兼并相同資產(chǎn)特性的數(shù)據(jù)元，建立數(shù)據(jù)資產(chǎn)和數(shù)據(jù)分類分級(jí)的規(guī)范性，并避免不同組織、個(gè)人對(duì)同一數(shù)據(jù)的稱呼不同或存儲(chǔ)名稱不同帶來(lái)的復(fù)雜性和歧義，實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)識(shí)別與管理的便捷性。4數(shù)據(jù)分類分級(jí)實(shí)施原則（1）合法合規(guī)性原則：數(shù)據(jù)分類和分級(jí)應(yīng)符合行業(yè)主管部門(mén)相關(guān)標(biāo)準(zhǔn)及國(guó)家法律法規(guī)。（2）可執(zhí)行性原則：分類分級(jí)規(guī)則應(yīng)避免過(guò)于復(fù)雜，以保證在數(shù)據(jù)分類分級(jí)過(guò)程中的可行性。（3）時(shí)效性原則：數(shù)據(jù)級(jí)別具有一定有效期限，應(yīng)按照級(jí)別變更策略對(duì)數(shù)據(jù)級(jí)別進(jìn)行及時(shí)調(diào)整。（4）自主性原則：各級(jí)醫(yī)療機(jī)構(gòu)、衛(wèi)生健康管理部門(mén)、公共衛(wèi)生服務(wù)機(jī)構(gòu)、相關(guān)專項(xiàng)業(yè)務(wù)服務(wù)機(jī)構(gòu)、相關(guān)信息技術(shù)服務(wù)機(jī)構(gòu)等應(yīng)結(jié)合自身數(shù)據(jù)管理需要(如戰(zhàn)略需要、業(yè)務(wù)需要、對(duì)風(fēng)險(xiǎn)的接受程度等)，在本規(guī)范的框架下自主確定數(shù)據(jù)級(jí)別。（5）差異性原則：根據(jù)數(shù)據(jù)的類型、敏感程度等差異，劃分不同的數(shù)據(jù)類別和級(jí)別，避免將所有數(shù)據(jù)集中劃分到少數(shù)幾個(gè)類別或級(jí)別中。（6）客觀性原則：數(shù)據(jù)定級(jí)規(guī)則應(yīng)是客觀并可以被校驗(yàn)的，即通過(guò)數(shù)據(jù)自身的屬性和定級(jí)方法即可判定其級(jí)別，已經(jīng)定級(jí)的數(shù)據(jù)是可復(fù)核和檢查的。3T/ZJHIAXX-20245數(shù)據(jù)分類5.1數(shù)據(jù)分類框架數(shù)據(jù)分類依據(jù)《GB∕T39725-2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全規(guī)范》中的“6.分類體系”建立分類大框架，在數(shù)據(jù)基本性質(zhì)和業(yè)務(wù)應(yīng)用屬性這兩個(gè)維度上展開(kāi)，形成大類、中類、小類、子類等數(shù)據(jù)分類層次，于最小層次（子類或子子類）明確該層次的業(yè)務(wù)數(shù)據(jù)范圍，即數(shù)據(jù)元，再根據(jù)各數(shù)據(jù)元的數(shù)據(jù)資產(chǎn)特性（數(shù)據(jù)分級(jí)要素和級(jí)別）將數(shù)據(jù)元?jiǎng)澐譃椴煌臄?shù)據(jù)資產(chǎn)單元。5.2數(shù)據(jù)分類方法5.2.1確定數(shù)據(jù)分類層次（1）數(shù)據(jù)分類層次的確定，應(yīng)綜合考慮數(shù)據(jù)的基本性質(zhì)和數(shù)據(jù)的業(yè)務(wù)屬性。（2）對(duì)具有特殊敏感性質(zhì)的數(shù)據(jù)（如個(gè)人敏感信息、生物特征信息、財(cái)務(wù)數(shù)據(jù)等應(yīng)優(yōu)先基于數(shù)據(jù)基本性質(zhì)進(jìn)行分類。（3）對(duì)獨(dú)立業(yè)務(wù)條線/板塊的數(shù)據(jù)，可根據(jù)情況確定為獨(dú)立類別。（4）對(duì)不同業(yè)務(wù)應(yīng)用（軟件）系統(tǒng)中，數(shù)據(jù)性質(zhì)或業(yè)務(wù)屬性相同的數(shù)據(jù)，可歸并為同類數(shù)據(jù)。5.2.2確定數(shù)據(jù)元（1）各數(shù)據(jù)子類（數(shù)據(jù)分類的最小層級(jí)）中數(shù)據(jù)元的確定，應(yīng)基于數(shù)據(jù)的基本性質(zhì)和業(yè)務(wù)屬性。（2）數(shù)據(jù)元可對(duì)應(yīng)業(yè)務(wù)應(yīng)用（軟件）系統(tǒng)操作界面上各信息框格中的數(shù)據(jù)單元、數(shù)據(jù)庫(kù)表、字段、數(shù)據(jù)文件等電子數(shù)據(jù)單元，及與業(yè)務(wù)相關(guān)的非電子數(shù)據(jù)單元。（3）數(shù)據(jù)元包含結(jié)構(gòu)化、非結(jié)構(gòu)化或半結(jié)構(gòu)化數(shù)據(jù)單元。5.2.3確定數(shù)據(jù)資產(chǎn)單元（1）數(shù)據(jù)資產(chǎn)單元的確定，應(yīng)基于數(shù)據(jù)的資產(chǎn)特性，區(qū)分不同資產(chǎn)特性的數(shù)據(jù)元、兼并相同資產(chǎn)特性的數(shù)據(jù)元，避免不同單位、人員對(duì)同一數(shù)據(jù)的習(xí)慣稱呼不同或存儲(chǔ)名稱不同帶來(lái)的復(fù)雜性和歧義，以實(shí)現(xiàn)數(shù)據(jù)資產(chǎn)識(shí)別與管理的便捷性。（2）數(shù)據(jù)資產(chǎn)單元的確定，可于同一數(shù)據(jù)子類或跨數(shù)據(jù)類別劃取數(shù)據(jù)元的特定集合。（3）數(shù)據(jù)資產(chǎn)單元可為衍生數(shù)據(jù)（即經(jīng)過(guò)數(shù)據(jù)統(tǒng)計(jì)、關(guān)聯(lián)、挖掘、融合等加工處理的數(shù)據(jù)）的特定集合。（4）數(shù)據(jù)資產(chǎn)單元可為組合型，即兩個(gè)或多個(gè)已定數(shù)據(jù)資產(chǎn)單元的組合，例如數(shù)據(jù)庫(kù)表、報(bào)告表單、文件，及個(gè)人信息組合、特定信息組合等。（5）兩個(gè)或多個(gè)組合型數(shù)據(jù)資產(chǎn)單元可同時(shí)包含同一數(shù)據(jù)元。6數(shù)據(jù)分級(jí)6.1數(shù)據(jù)分級(jí)對(duì)象數(shù)據(jù)分級(jí)在數(shù)據(jù)分類的基礎(chǔ)上進(jìn)行，以數(shù)據(jù)資產(chǎn)單元為對(duì)象。6.2數(shù)據(jù)分級(jí)框架根據(jù)數(shù)據(jù)遭到篡改、破壞、非法獲取或非法利用，對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益或者個(gè)人、組織合法權(quán)益（影響對(duì)象）造成的危害程度（影響程度），將數(shù)據(jù)從低到高分為1、2、3、4、5共五個(gè)級(jí)別，區(qū)別數(shù)據(jù)元可被訪問(wèn)使用或提供公開(kāi)的范圍限制程度。4T/ZJHIAXX-2024第1級(jí)，對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益或者個(gè)人、組織合法權(quán)益無(wú)危害，可完全公開(kāi)使用或提供的數(shù)據(jù)。例如醫(yī)療機(jī)構(gòu)名稱、地址、電話等，可直接在互聯(lián)網(wǎng)上面向公眾公開(kāi)。第2級(jí)，對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益無(wú)危害，對(duì)個(gè)人、組織合法權(quán)益輕微危害，可在較大范圍內(nèi)供訪問(wèn)使用或提供的數(shù)據(jù)。例如，不含個(gè)人身份的數(shù)據(jù)，各科室醫(yī)生經(jīng)過(guò)申請(qǐng)審批可以用于研究分析。第3級(jí)，對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益輕微危害，或?qū)€(gè)人、組織合法權(quán)益一般危害，可在中等范圍內(nèi)供訪問(wèn)使用或提供的數(shù)據(jù)。例如經(jīng)過(guò)部分去標(biāo)識(shí)化處理，但仍可能重標(biāo)識(shí)的數(shù)據(jù)，僅限于獲得授權(quán)的項(xiàng)目組范圍內(nèi)使用。第4級(jí)，對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益造成一般危害，或?qū)€(gè)人、組織合法權(quán)益造成嚴(yán)重或特別嚴(yán)重危害，在較小范圍內(nèi)供訪問(wèn)使用或提供公開(kāi)的數(shù)據(jù)。例如可以直接標(biāo)識(shí)個(gè)人身份的數(shù)據(jù)，僅限于相關(guān)醫(yī)護(hù)人員訪問(wèn)使用。第5級(jí)，對(duì)國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共利益嚴(yán)重或特別嚴(yán)重危害，僅在極小范圍內(nèi)且在嚴(yán)格限制條件下供訪問(wèn)使用或提供的數(shù)據(jù)。例如特殊病種（例如艾滋病、性病等）、生物特征數(shù)據(jù)（例如：基因數(shù)據(jù)、蛋白質(zhì)數(shù)據(jù)等）的詳細(xì)資料或統(tǒng)計(jì)資料，僅限于主治醫(yī)護(hù)人員訪問(wèn)且需要進(jìn)行嚴(yán)格管控。表1：數(shù)據(jù)分級(jí)框架54321隨著相關(guān)國(guó)家標(biāo)準(zhǔn)的進(jìn)一步明確，第5級(jí)數(shù)據(jù)可進(jìn)一步細(xì)化，例如明確區(qū)分為重要數(shù)據(jù)和核心數(shù)據(jù)，并確定相應(yīng)的安全保護(hù)要求。6.3數(shù)據(jù)分級(jí)方法6.3.1概述數(shù)據(jù)分級(jí)是根據(jù)數(shù)據(jù)資產(chǎn)單元的數(shù)據(jù)分級(jí)要素情況，進(jìn)行定性與定量相結(jié)合的數(shù)據(jù)影響分析，確定數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能影響的對(duì)象和影響程度，從而綜合確定數(shù)據(jù)資產(chǎn)單元的級(jí)別。6.3.2數(shù)據(jù)分級(jí)要素進(jìn)行數(shù)據(jù)影響分析時(shí)，應(yīng)鑒別、考慮以下數(shù)據(jù)分級(jí)要素。參考附錄A進(jìn)行醫(yī)療健康領(lǐng)域數(shù)據(jù)分級(jí)要素梳理。定性要素：5T/ZJHIAXX-2024（1）領(lǐng)域：指數(shù)據(jù)的業(yè)務(wù)范疇，考慮數(shù)據(jù)所在或描述的業(yè)務(wù)條線或管理活動(dòng)、應(yīng)用系統(tǒng)、上下游環(huán)節(jié)、內(nèi)容主題等因素。a）業(yè)務(wù)條線/管理活動(dòng)，例如門(mén)/急診、住院、檢查、檢驗(yàn)、病理、治療、用藥、手術(shù)、麻醉、輸血、輸液、生產(chǎn)生育、護(hù)理、康復(fù)治療、體檢、遠(yuǎn)程醫(yī)療、特殊疾病管理、費(fèi)用管理、人力資源管理、財(cái)務(wù)管理、物資管理、固定資產(chǎn)管理等。b）應(yīng)用系統(tǒng)，例如綜合醫(yī)療信息、臨床醫(yī)療、檢查檢驗(yàn)、醫(yī)療輔助、智慧醫(yī)療、信息共享、文檔管理、行政管理、財(cái)務(wù)管理、資源管理、醫(yī)療科技等方面的應(yīng)用系統(tǒng)。c）上下游環(huán)節(jié)，上下游涉及的業(yè)務(wù)條線/管理活動(dòng)、應(yīng)用系統(tǒng)、數(shù)據(jù)來(lái)源部門(mén)/單位、數(shù)據(jù)共享開(kāi)放部門(mén)/單位等。d）內(nèi)容主題，數(shù)據(jù)類別等。（2）群體：指數(shù)據(jù)的主體或?qū)ο蠹?，考慮數(shù)據(jù)所在或描述的特定人群和組織、網(wǎng)絡(luò)和信息系統(tǒng)、資源物資或設(shè)備設(shè)施等因素。a）特定人群/組織，例如干部保健對(duì)象、特殊保密人員、安全管控對(duì)象、罪犯、殘障人士、特殊病種、傳染病/涉疫人員等。b）特定網(wǎng)絡(luò)/信息系統(tǒng)，例如衛(wèi)生專網(wǎng)、醫(yī)保專網(wǎng)、政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)、疫情管理系統(tǒng)、特殊疾病管理系統(tǒng)、高科技研發(fā)系統(tǒng)、特定統(tǒng)計(jì)信息系統(tǒng)、重要數(shù)據(jù)備份系統(tǒng)等。c）特定資源物質(zhì)/設(shè)備設(shè)施，例如物資類型、固定資產(chǎn)分類、植入耗材類型、普耗類型、藥品分類、設(shè)備種類、設(shè)施等，重點(diǎn)考慮具備國(guó)有知識(shí)產(chǎn)權(quán)、專有技術(shù)產(chǎn)權(quán)、高價(jià)值、特殊性等因素的物質(zhì)。（3）區(qū)域：指數(shù)據(jù)涉及的地區(qū)范圍，考慮數(shù)據(jù)所在或描述的行政區(qū)劃、特定地區(qū)或場(chǎng)所等。a）行政區(qū)域，省市、區(qū)縣等。b）特定地區(qū)/場(chǎng)所，國(guó)防、軍事、安全保密、特定敏感地區(qū)/場(chǎng)所等。（4）重要性：指數(shù)據(jù)的重要程度，考慮數(shù)據(jù)在經(jīng)濟(jì)、社會(huì)、政治、文化、生態(tài)文明建設(shè)和醫(yī)療健康等方面可能產(chǎn)生或帶來(lái)的數(shù)據(jù)利用價(jià)值，可分為特別重要、一般重要、不重要等重要性層級(jí)。a）經(jīng)濟(jì)方面重要性，例如在數(shù)字經(jīng)濟(jì)基礎(chǔ)設(shè)施建設(shè)、產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型、數(shù)據(jù)要素市場(chǎng)、數(shù)字化產(chǎn)業(yè)競(jìng)爭(zhēng)力等方面可能產(chǎn)生的數(shù)據(jù)利用價(jià)值。b）社會(huì)方面重要性，例如在公共服務(wù)數(shù)字化、智慧城市、數(shù)字生活建設(shè)、數(shù)字農(nóng)村等方面可能產(chǎn)生的數(shù)據(jù)利用價(jià)值。c）政治方面重要性，例如在政務(wù)數(shù)據(jù)共享、公共數(shù)據(jù)開(kāi)放和開(kāi)發(fā)利用、數(shù)字化政務(wù)服務(wù)、監(jiān)管治理體系建設(shè)、政治制度、法律司法等方面可能帶來(lái)的數(shù)據(jù)利用價(jià)值。d）文化方面重要性，例如在教育、科學(xué)、衛(wèi)生、體育、圖書(shū)館、博物館、網(wǎng)絡(luò)空間等各項(xiàng)文化事業(yè)中可能帶來(lái)的數(shù)據(jù)利用價(jià)值。e）生態(tài)文明建設(shè)方面重要性，例如在自然資源、生態(tài)環(huán)境等方面可能帶來(lái)的數(shù)據(jù)利用價(jià)值。f）醫(yī)療健康方面重要性，在醫(yī)療健康行業(yè)的各業(yè)務(wù)條線和管理活動(dòng)中可能帶來(lái)的數(shù)據(jù)利用價(jià)值。（5）安全風(fēng)險(xiǎn)：考慮數(shù)據(jù)可能遭到泄露、篡改、破壞、非法獲取、非法利用、非法共享的風(fēng)險(xiǎn)，應(yīng)細(xì)化到數(shù)據(jù)的收集、傳輸、存儲(chǔ)、使用、加工、提供、公開(kāi)、銷毀等生命周期各個(gè)環(huán)節(jié)中的具體過(guò)程，可分別明確為高風(fēng)險(xiǎn)、中風(fēng)險(xiǎn)、低風(fēng)險(xiǎn)、無(wú)風(fēng)險(xiǎn)等風(fēng)險(xiǎn)層級(jí)。a）泄露，數(shù)據(jù)被竊取、未授權(quán)訪問(wèn)、人員盜取等數(shù)據(jù)保密性風(fēng)險(xiǎn)。b）篡改，數(shù)據(jù)被未授權(quán)修改、注入、仿冒、偽造等數(shù)據(jù)完整性風(fēng)險(xiǎn)。c）破壞，數(shù)據(jù)被損毀、數(shù)據(jù)質(zhì)量下降、數(shù)據(jù)訪問(wèn)或使用中斷等數(shù)據(jù)可用性風(fēng)險(xiǎn)。d）非法獲取，違反法律、行政法規(guī)等有關(guān)規(guī)定，超范圍收集、強(qiáng)制授權(quán)、非法獲取公民個(gè)人信息等違法違規(guī)收集數(shù)據(jù)風(fēng)險(xiǎn)。e）非法利用，違反法律、行政法規(guī)等有關(guān)規(guī)定，使用、加工、委托處理數(shù)據(jù)，以及數(shù)據(jù)未授權(quán)使用、算法歧視等違法違規(guī)濫用數(shù)據(jù)風(fēng)險(xiǎn)。6T/ZJHIAXX-2024f）非法共享，違反法律、行政法規(guī)等有關(guān)規(guī)定，向他人提供、交換、轉(zhuǎn)移、交易、出境、公開(kāi)等違法違規(guī)分享數(shù)據(jù)風(fēng)險(xiǎn)。定量要素：（1）精度：指數(shù)據(jù)與真實(shí)數(shù)據(jù)比較的精準(zhǔn)程度，考慮數(shù)值精度、空間精度、時(shí)間精度等因素。a）數(shù)值精度，例如特殊疾病或檢測(cè)信息精確度、特定人群或組織信息完整度、統(tǒng)計(jì)指標(biāo)精度、統(tǒng)計(jì)信息完整度等。b）空間精度，例如特殊疾病/疫情信息、特定人員/組織信息、統(tǒng)計(jì)信息的位置定位精度等。c）時(shí)間精度，例如特殊疾病/疫情信息、特定人員/組織信息、統(tǒng)計(jì)信息的日期或時(shí)間定位精度等。（2）規(guī)模：指數(shù)據(jù)規(guī)模及數(shù)據(jù)描述或涉及的對(duì)象范圍或能力大小，考慮數(shù)據(jù)存儲(chǔ)量、領(lǐng)域規(guī)模、區(qū)域規(guī)模、群體規(guī)模、生產(chǎn)加工能力等因素。a）數(shù)據(jù)存儲(chǔ)量，數(shù)據(jù)存儲(chǔ)包含的數(shù)據(jù)記錄總數(shù)。b）領(lǐng)域規(guī)模，例如數(shù)據(jù)所描述的業(yè)務(wù)條線/管理活動(dòng)、應(yīng)用系統(tǒng)、上下游環(huán)節(jié)等的規(guī)模。c）區(qū)域規(guī)模，例如數(shù)據(jù)所描述的行政區(qū)域、特定地區(qū)/場(chǎng)所等的規(guī)模。d）群體規(guī)模，例如數(shù)據(jù)所描述的特定人員/組織、特定網(wǎng)絡(luò)/信息系統(tǒng)、特定資源物質(zhì)/設(shè)備設(shè)施、特定項(xiàng)目等的規(guī)模。e）生產(chǎn)加工能力，例如所涉及的數(shù)據(jù)分析、挖掘、計(jì)算、交易、提供/交換的規(guī)?；蚰芰?。（3）覆蓋度：指數(shù)據(jù)對(duì)領(lǐng)域、區(qū)域、群體、時(shí)段等的覆蓋占比和覆蓋分布。a）領(lǐng)域，例如數(shù)據(jù)對(duì)所在業(yè)務(wù)條線/管理活動(dòng)、應(yīng)用系統(tǒng)中同類數(shù)據(jù)的覆蓋占比和覆蓋分布。b）區(qū)域，例如數(shù)據(jù)對(duì)所在行政區(qū)域、特定地區(qū)/場(chǎng)所中同類數(shù)據(jù)的覆蓋占比和覆蓋分布。c）群體，例如數(shù)據(jù)對(duì)所在特定人員/組織、特定網(wǎng)絡(luò)/信息系統(tǒng)、特定資源物質(zhì)/設(shè)備設(shè)施中同類數(shù)據(jù)的覆蓋占比和覆蓋分布。d）時(shí)段，數(shù)據(jù)在所描述時(shí)段中同類數(shù)據(jù)的覆蓋占比和覆蓋分布，及所描述時(shí)段在全時(shí)段的占比和分布。衍生要素：（1）深度：指通過(guò)數(shù)據(jù)統(tǒng)計(jì)、關(guān)聯(lián)、挖掘或融合等加工處理，對(duì)數(shù)據(jù)描述對(duì)象的隱含信息或多維度細(xì)節(jié)信息的刻畫(huà)程度，考慮脫敏數(shù)據(jù)、標(biāo)簽數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)、融合數(shù)據(jù)等產(chǎn)生的程度因素。a）脫敏數(shù)據(jù)，各類脫敏（包括去標(biāo)識(shí)化、匿名化、泛化處理）數(shù)據(jù)，相對(duì)于原始數(shù)據(jù)可降低敏感程度。b）標(biāo)簽數(shù)據(jù)，各類標(biāo)簽數(shù)據(jù)，相對(duì)于原始數(shù)據(jù)可降低敏感程度。c）統(tǒng)計(jì)數(shù)據(jù)，各類統(tǒng)計(jì)（包括統(tǒng)計(jì)性質(zhì)的分析）數(shù)據(jù)，考慮定性要素和定量要素發(fā)生的變化，相對(duì)于原始數(shù)據(jù)可提高敏感程度。d）融合數(shù)據(jù)，各類數(shù)據(jù)匯聚、關(guān)聯(lián)、分析、挖掘、聚合等產(chǎn)生的數(shù)據(jù)，考慮定性要素和定量要素發(fā)生的變化，相對(duì)于原始數(shù)據(jù)可提高或降低敏感程度。6.3.3數(shù)據(jù)影響分析（1）影響對(duì)象：國(guó)家安全：包括國(guó)家政治、國(guó)土、經(jīng)濟(jì)、科技、文化、社會(huì)、生態(tài)、軍事、網(wǎng)絡(luò)、人工智能、核、生物、太空、深海、海外利益等領(lǐng)域國(guó)家利益安全。經(jīng)濟(jì)運(yùn)行：涵蓋市場(chǎng)經(jīng)濟(jì)運(yùn)行秩序、宏觀經(jīng)濟(jì)形勢(shì)、國(guó)民經(jīng)濟(jì)命脈等經(jīng)濟(jì)利益。社會(huì)穩(wěn)定：包括社會(huì)治安和公共安全、日常生活秩序、民生福祉、法治和倫理道德等。公共利益：指社會(huì)公眾使用公共服務(wù)、公共設(shè)施、公共資源或公共健康安全等。組織權(quán)益：涵蓋法人和組織的生產(chǎn)運(yùn)營(yíng)、聲譽(yù)形象、公信力、知識(shí)產(chǎn)權(quán)等。個(gè)人權(quán)益：包括自然人的人身權(quán)、財(cái)產(chǎn)權(quán)以及其他合法權(quán)益。對(duì)各影響對(duì)象的常見(jiàn)考慮因素參照《GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》。7T/ZJHIAXX-2024（2）影響程度：影響程度（或危害程度）指數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能造成的影響程度。影響程度從高到低可分為特別嚴(yán)重危害、嚴(yán)重危害、一般危害、輕微危害、無(wú)危害五個(gè)等級(jí)。對(duì)不同影響對(duì)象進(jìn)行影響程度判斷時(shí)，采取的基準(zhǔn)不同。如果影響對(duì)象是組織或個(gè)人權(quán)益，則以被影響單位或個(gè)人的總體利益作為判斷影響程度的基準(zhǔn)。如果影響對(duì)象是國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定或公共利益，則以國(guó)家、社會(huì)或行業(yè)領(lǐng)域的整體利益作為判斷影響程度的基準(zhǔn)。對(duì)不同影響對(duì)象的影響程度具體說(shuō)明參照《GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》。6.3.4確定數(shù)據(jù)級(jí)別（1）針對(duì)數(shù)據(jù)資產(chǎn)單元，在考慮其分級(jí)要素、分析影響對(duì)象和影響程度的基礎(chǔ)上，按照數(shù)據(jù)分級(jí)框架，綜合確定數(shù)據(jù)資產(chǎn)單元的級(jí)別。（2）在數(shù)據(jù)資產(chǎn)單元尚未確定或需調(diào)整的情況下，確定數(shù)據(jù)資產(chǎn)單元和確定級(jí)別可同時(shí)進(jìn)行。即：針對(duì)數(shù)據(jù)子類（或子子類）中的數(shù)據(jù)元，進(jìn)行要素考慮和影響分析，確定數(shù)據(jù)元子集的級(jí)別。同時(shí)，組合相同級(jí)別的數(shù)據(jù)元子集，確定數(shù)據(jù)資產(chǎn)單元。（3）對(duì)兩個(gè)或多數(shù)據(jù)個(gè)資產(chǎn)單元組成的組合型數(shù)據(jù)資產(chǎn)單元確定級(jí)別，按照就高從嚴(yán)的原則，可將所包含數(shù)據(jù)資產(chǎn)單元的最高級(jí)別作為組合數(shù)據(jù)資產(chǎn)單元的默認(rèn)級(jí)別，同時(shí)也要考慮分級(jí)要素（如數(shù)據(jù)規(guī)模）變化可能需要調(diào)高級(jí)別的情況。（4）對(duì)包含衍生數(shù)據(jù)的數(shù)據(jù)資產(chǎn)單元確定級(jí)別，可按照就高從嚴(yán)原則，在原始數(shù)據(jù)級(jí)別的基礎(chǔ)上進(jìn)行分級(jí)，同時(shí)綜合考慮加工處理后的數(shù)據(jù)深度等分級(jí)要素對(duì)各個(gè)影響對(duì)象的影響，對(duì)數(shù)據(jù)級(jí)別進(jìn)行調(diào)整。衍生數(shù)據(jù)級(jí)別確定可參考《GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》。（5）對(duì)跨部門(mén)、跨系統(tǒng)、跨業(yè)務(wù)的數(shù)據(jù)資產(chǎn)單元確定級(jí)別，需綜合考慮、分析各部門(mén)、系統(tǒng)、業(yè)務(wù)中的分級(jí)要素，按組合資產(chǎn)單元確定級(jí)別；并考慮可能存在的數(shù)據(jù)融合加工對(duì)分級(jí)要素的影響，如果存在，按衍生數(shù)據(jù)確定級(jí)別。（6）根據(jù)數(shù)據(jù)資產(chǎn)單元內(nèi)容、數(shù)據(jù)分級(jí)要素和可能造成的影響程度變化，應(yīng)對(duì)數(shù)據(jù)級(jí)別進(jìn)行動(dòng)態(tài)更新。動(dòng)態(tài)更新情形可參考《GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則》。7數(shù)據(jù)資產(chǎn)描述數(shù)據(jù)資產(chǎn)描述指對(duì)數(shù)據(jù)資產(chǎn)單元的描述項(xiàng)和描述內(nèi)容，基于對(duì)數(shù)據(jù)資產(chǎn)單元的基本屬性標(biāo)注生成。各單位可根據(jù)自身需要擬定標(biāo)注項(xiàng)和標(biāo)注內(nèi)容，形成數(shù)據(jù)資產(chǎn)基本屬性標(biāo)注集，并根據(jù)需求變化，調(diào)整、擴(kuò)展屬性標(biāo)注集和資產(chǎn)描述項(xiàng)。數(shù)據(jù)資產(chǎn)描述項(xiàng)的擬定可參考表。表2：數(shù)據(jù)資產(chǎn)描述數(shù)據(jù)分類和數(shù)據(jù)分級(jí)也屬于數(shù)據(jù)資產(chǎn)單元的基本屬性標(biāo)注。數(shù)據(jù)資產(chǎn)基本屬性標(biāo)注可同時(shí)作為數(shù)據(jù)資產(chǎn)目錄的（部分）檢索項(xiàng)。8數(shù)據(jù)分類分級(jí)實(shí)施流程8T/ZJHIAXX-2024數(shù)據(jù)分類分級(jí)可參考圖1所示實(shí)施流程進(jìn)行實(shí)施。圖1：數(shù)據(jù)分類分級(jí)實(shí)施流程數(shù)據(jù)分類分級(jí)的主要實(shí)施步驟包括：（1）數(shù)據(jù)分類：參考國(guó)家、地區(qū)和行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范，建立本單位數(shù)據(jù)分類框架和規(guī)則，對(duì)數(shù)據(jù)進(jìn)行分類，并初步建立數(shù)據(jù)資產(chǎn)單元體系，形成數(shù)據(jù)分類細(xì)則。9T/ZJHIAXX-2024（2）數(shù)據(jù)分級(jí)：參考國(guó)家、地區(qū)和行業(yè)有關(guān)標(biāo)準(zhǔn)規(guī)范，基于數(shù)據(jù)元對(duì)數(shù)據(jù)資產(chǎn)單元進(jìn)行分級(jí)，建立本單位數(shù)據(jù)分級(jí)框架和規(guī)則，同時(shí)調(diào)整、確定數(shù)據(jù)資產(chǎn)單元體系，形成數(shù)據(jù)分級(jí)細(xì)則。（3）數(shù)據(jù)資產(chǎn)梳理：對(duì)本單位數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理，包括以物理或電子形式記錄的數(shù)據(jù)庫(kù)表、數(shù)據(jù)項(xiàng)、數(shù)據(jù)文件等結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)，形成數(shù)據(jù)資產(chǎn)原始清單，并明確數(shù)據(jù)資產(chǎn)基本信息和相關(guān)方。（4）數(shù)據(jù)資產(chǎn)-數(shù)據(jù)分類分級(jí)映射：將數(shù)據(jù)資產(chǎn)原始清單中的數(shù)據(jù)庫(kù)表、字段、數(shù)據(jù)項(xiàng)、數(shù)據(jù)文件等，通過(guò)數(shù)據(jù)元關(guān)聯(lián)，一一映射到數(shù)據(jù)分類分級(jí)細(xì)則中的數(shù)據(jù)資產(chǎn)單元，明確數(shù)據(jù)資產(chǎn)的分類分級(jí)，形成數(shù)據(jù)分類分級(jí)-資產(chǎn)單元清單送審版。（5）數(shù)據(jù)分類分級(jí)-資產(chǎn)單元清單審核：對(duì)數(shù)據(jù)分類分級(jí)-數(shù)據(jù)資產(chǎn)映射結(jié)果進(jìn)行（一次或多次）審核和優(yōu)化完善，最終形成數(shù)據(jù)分類分級(jí)-資產(chǎn)單元清單發(fā)布版。（6）數(shù)據(jù)資產(chǎn)基本屬性標(biāo)注：按照數(shù)據(jù)資產(chǎn)描述要求和數(shù)據(jù)資產(chǎn)目錄檢索需求，為數(shù)據(jù)資產(chǎn)單元進(jìn)行基本屬性標(biāo)注，形成數(shù)據(jù)資產(chǎn)基本屬性庫(kù)/數(shù)據(jù)資產(chǎn)目錄送審版。（7）數(shù)據(jù)資產(chǎn)目錄審核：對(duì)數(shù)據(jù)資產(chǎn)基本屬性標(biāo)注結(jié)果進(jìn)行（一次或多次）審核和優(yōu)化完善，最終形成數(shù)據(jù)資產(chǎn)基本屬性庫(kù)/數(shù)據(jù)資產(chǎn)目錄發(fā)布版。（8）動(dòng)態(tài)更新管理：根據(jù)數(shù)據(jù)分級(jí)要素和可能造成影響的變化，對(duì)數(shù)據(jù)分類分級(jí)細(xì)則、數(shù)據(jù)分類分級(jí)-資產(chǎn)單元清單、基本屬性標(biāo)注集和數(shù)據(jù)資產(chǎn)目錄等進(jìn)行動(dòng)態(tài)更新管理。9數(shù)據(jù)分類分級(jí)保護(hù)9.1概述數(shù)據(jù)分類分級(jí)保護(hù)，指根據(jù)在數(shù)據(jù)分類分級(jí)過(guò)程