ICS35.240.01CCSL67浙DB33Guidelinesforpublicdataclass浙江省市場監督管理局發布IDB33/T2351—2021 II 12規范性引用文件 13術語和定義 14數據分類 24.1一般要求 24.2分類維度 24.3分類方法 45數據分級 45.1一般要求 45.2分級維度 45.3分級方法 55.4數據級別變更 5附錄A（資料性）公共數據分類分級示例 7附錄B（規范性）公共數據分級保護基本要求 9DB33/T2351—2021本標準按照GB/T1.1-2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起請注意本標準的某些內容可能涉及專利，本標準的發布機構不承擔識別這些專利的責任。本標準由浙江省大數據發展管理局提出并歸口。本標準起草單位：浙江省大數據發展中心、浙江省標準化研究院、數字浙江技術運營有限公司、浙江省數據安全服務有限公司、聯通數字科技有限公司。本標準主要起草人：金加和、趙程遙、施筱玲、徐峰、林文都、孟一丁、葉春雷、蔣納成、黨錚錚。本標準首次發布。1DB33/T2351—2021數字化改革公共數據分類分級指南本標準規定了公共數據分類分級的一般要求、維度與方法。本標準適用于公共數據的分類分級管理。公共管理和服務機構使用相關企業、第三方平臺等數據的分類分級管理可參考執行。本標準不適用于涉密公共數據的分類分級管理。2規范性引用文件下列文件對于本標準的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本標準。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本標準。GB/T4754-2017國民經濟行業分類GB/T10113-2003分類與編碼通用術語GB/T25069-2010信息安全技術術語GB/T35295-2017信息技術大數據術語GB/T38667-2020信息技術大數據數據分類指南3術語和定義GB/T10113-2003、GB/T25069-2010、GB/T35295-2017和GB/T38667-2020界定的以及下列術語與定義適用于本標準。3.1公共數據publicdata國家機關、法律法規規章授權的具有管理公共事務職能的組織（以下統稱公共管理和服務機構）在依法履行職責和提供公共服務過程中獲取的數據資源以及法律法規規章規定納入公共數據管理范圍的其他數據資源。3.2數據分類dataclassification按照公共數據具有的某種共同屬性或特征（包括數據對象、重要程度、共享屬性、開放屬性、應用場景等），采用一定的原則和方法進行區分和歸類，以便于管理和使用公共數據。3.3數據分級dategradingDB33/T2351—2021按照公共數據遭到破壞（包括攻擊、泄露、篡改、非法使用等）后對國家安全、社會秩序、公共利益以及個人、法人和其他組織的合法權益（受侵害客體）的危害程度對公共數據進行定級，為數據全生命周期管理的安全策略制定提供支撐。4數據分類4.1一般要求4.1.1應按照公共數據的多維特征及其相互間存在的邏輯關聯進行科學、系統的分類。4.1.2使用的詞語或短語應能準確表達數據類目的實際內容、內涵和外延，相同概念的用語應保持一致。4.1.3應結合現實需求，符合用戶對公共數據區分和歸類的普遍認知。每個類目下都有公共數據，不設沒有意義的類目。4.1.4應保持與國家、地方、行業法律法規關于公共數據分類分級的標準和要求相一致，原則上同一分類維度內，同一條公共數據只分入一個類目。4.2分類維度4.2.1數據管理維度應從元數據角度對公共數據資源目錄中的數據進行數據管理維度分類，主要包括：——數據產生頻率；——數據產生方式；——數據結構化特征；——數據存儲方式；——數據質量要求。4.2.1.1數據產生頻率根據數據產生的頻率（單位時間內產生的數據量或達到指定數據量的頻率）對數據進行分類，數據產生與更新的單位周期可分為：每秒、分、時、天、周、月、季度、半年、年，不定期，不更新等。4.2.1.2數據產生方式根據公共數據產生方式可分為：人工采集數據、信息系統產生數據、感知設備產生數據，原始數據、二次加工數據等。4.2.1.3數據結構化特征根據公共數據的結構化特征可分為：結構化數據、半結構化數據和非結構化數據。4.2.1.4數據存儲方式根據公共數據儲存方式可分為：關系型數據庫存儲數據、鍵值數據庫存儲數據、列式數據庫存儲數據、圖數據庫存儲數據、文檔數據庫存儲數據等。4.2.1.5數據質量要求根據數據完整性、時效性、準確性等維度的質量要求對數據進行分類。4.2.2業務應用維度對公共數據資源目錄中的數據進行業務應用維度分類，主要包括：——數據產生來源；——數據所屬行業；——數據應用領域；3DB33/T2351—2021——數據使用頻率；——數據共享屬性；——數據開放屬性。其中數據產生來源、數據所屬行業應按照GB/T38667-2020中6.3業務應用視角相關要求，具體行業領域分類可參照GB/T4754-2017中第3章和第5章的相關要求。4.2.2.1數據應用領域根據數據應用領域分類體現公共數據對數字化改革的支撐作用，可分為：黨政機關整體智治、數字政府、數字經濟、數字社會、數字法治等領域。4.2.2.2數據使用頻率根據數據使用的頻率進行分類，綜合考慮數據的訪問頻次和分析引用層面可分為：冷數據、溫數據、熱數據?！鋽祿惏x線的，長期存檔的，很少被訪問和使用的數據；——溫數據類包括經常被訪問和使用的數據；——熱數據類包括是需要被計算節點頻繁訪問的在線類數據。4.2.2.3數據共享屬性根據數據共享屬性可分為：無條件共享類、受限共享類和不共享類。a)可以提供給所有公共管理和服務機構共享使用的，為無條件共享數據。b)可以部分提供或者按照特定要求提供給相關公共管理和服務機構共享使用的，為受限共享數據。列入受限共享數據的，數據提供單位應當明確共享條件。c)不宜提供給其他公共管理和服務機構共享使用的，為不共享數據。列入不共享數據的，應當有明確的法律、法規、規章依據和國家、省有關要求。d)列入受限共享和不共享的數據，可以經脫敏、脫密等處理后向公共管理和服務機構提供，法律、法規另有規定的除外。4.2.2.4數據開放屬性根據數據開放屬性可分為：禁止開放類、受限開放類、無條件開放類。其中，a)禁止開放類包括：1)開放后危及國家安全、公共安全、經濟安全和社會穩定的；2)涉及商業秘密、個人隱私的；3)因數據獲取協議或者知識產權保護等禁止開放的；4)法律、法規規定不得開放的。b)受限開放類包括：1)涉及商業秘密、個人隱私，其指向的特定公民、法人或者其他組織同意開放，且法律、法規未禁止的；2)開放將嚴重擠占公共基礎設施資源，影響公共數據處理效率的；3)開放安全風險難以評估的；4)依法經脫敏、脫密等處理的禁止開放類公共數據，符合受限開放的，應列為受限開放類公共數據。c)無條件開放類包括：1)除禁止開放類與受限開放類公共數據以外的其他公共數據；2)已脫敏、脫密等處理的禁止開放類與受限開放類公共數據，符合無條件開放的，可列為無條件開放類公共數據。4.2.3安全保護維度DB33/T2351—2021從數據的重要程度等對公共數據資源目錄中的數據進行安全保護維度分類，包括：——核心數據：對公共管理和服務機構履行社會管理職能或從事經營活動極其重要的公共數據；——重要數據：公共管理和服務機構收集、產生、控制的不涉及國家秘密，但與國家安全、經濟發展、社會穩定，以及公共利益密切相關的公共數據；——一般數據：公共管理和服務機構履行社會管理職能或從事經營活動等一系列活動中產生的可存儲的公共數據，不包括核心數據和重要數據。4.2.4數據對象維度對公共數據資源目錄中的數據進行數據對象維度分類，包括：——個人：指自然人，包括屬性數據和行為數據；——組織：指政府部門、企事業單位、其他法人和非法人組織、團體，包括屬性數據和業務數據；——客體：指非個人或組織的客觀實體，如道路、建筑、視頻捕捉設備等，包括屬性數據和感應數據。4.3分類方法公共數據分類相關方法可參照GB/T38667-2020第8章的相關要求。5數據分級5.1一般要求5.1.1應客觀且可被校驗，即通過數據自身的屬性和分級規則即可判定其分級。5.1.2公共數據的分級應與其共享、開放的類型、范圍、審批和管理要求直接相關。5.1.3應按照就高從嚴原則確定數據級別。5.1.4應充分考慮數據聚合情況、數據體量、數據時效性、數據脫敏處理等因素。5.1.5數據集的級別應根據下屬數據項的最高級來定級。5.1.6在多類數據中均出現的“通用數據”，可根據實際內容獨立分級。5.1.7應結合具體應用場景定級。5.2分級維度根據公共數據破壞后對國家安全、社會秩序、公共利益以及對公民、法人和其他組織的合法權益（受侵害客體）的危害程度來確定數據的安全級別，共分為4級，由高至低分別為：敏感數據（L4級）、較敏感數據（L3級）、低敏感數據（L2級）、不敏感數據（L1級），詳細數據級別及分級參考判斷標準見表1。表1數據級別與判斷標準5DB33/T2351—2021表1數據級別與判斷標準(續)5.3分級方法應根據公共數據遭篡改、破壞、泄露或非法利用后，可能帶來的潛在影響的范圍和程度進行安全分級，其中：——影響范圍包括：國家安全，全社會、多個行業、行業內多個組織，單個組織或個人；——影響程度包括：極其嚴重、嚴重、中等、輕微、無。5.4數據級別變更5.4.1主要因素數據級別變更的主要因素包括：a)聚合因素；b)體量因素；c)時效因素；d)加工因素。5.4.1.1數據聚合因素因業務需要將相同或不同級別的公共數據匯聚并進行分析、處理的，數據級別變更應遵循以下原則：a)聚合數據的部門應對數據重新定級；b)聚合數據安全級別一般不應低于所匯聚的原始數據的最高級別；c)原則上不允許原始數據落地，僅允許獲取數據分析、處理后的結果。原始數據和臨時數據使用應在中間存儲環節有效清除。5.4.1.2數據加工因素對公共數據進行匯總、分析、加工后產生的公共數據，若與原始數據之間存在較大差異，宜對新產生的公共數據重新定級，定級的結果可高于、等于、低于原始數據。5.4.1.3其他要求已合法公開披露的公共數據可定為L1級。已脫敏數據可單獨定級，經有效脫敏后的公共數據，可視情況降1級。法律法規規章未明確要求公開的個人信息等級不得低于L2級；法律法規明確保護的公共數據，數據安全等級應定為L3級以上；沒有任何安全屬性標識的公共數據，默認為L2級。DB33/T2351—2021（資料性）公共數據分類分級示例已經被企業明示公開或主動披露渠道可獲取的數企業信用評價信涉及法人和其他組織權益的內部數據，用于一般業務使用，針對受限對象共享或開空氣環境監測信息，道路運輸許可證信息，科研信用行業評價信息，社會組織嚴涉及法人和其他組織受限內部對象共享或業帶來直接經濟損失出口退稅外貿企業申法律法規明確保護的企來嚴重的經濟損失或名明示公開或主動公開渠道可獲取律師年度評價情涉及公民的個人數據，用于一般業務使用，針對受限對象共享或開放；個人向特定群體公開的信息。法律法規明確保護的給個人帶來直接經濟依據國家法律法規和強制性標準或法規規定的悉的對象訪問或使用的數據。一旦泄露會對國出院記錄，門診就診記息7DB33/T2351—2021公共數據分類分級示例（續）示公開或主動披開渠道可獲取的涉及客體的總體數據或粗顆粒度數據；經規定程序審核后，可以向社會公開的數對受限對象共享或開國家法律法規和強制性且僅為必須知悉的對象空氣環境質量小時值、DB33/T2351—2021（規范性）公共數據分級保護基本要求應遵循合理、正當、必要原則。設備應符合安全認證，采集流程和方式符合相應循合理、正當、必要應符合安全認證，采集流程和方式符合相應要求，并對數據的2、公共數據采集設備應對數據的完整性進行校3、應采用加密方式對數據泄露風險及行為進行追蹤，可不需要進行傳輸程中應通過VPN等方中應通過VPN等方式建立2、應對敏感數據進行檢3、應對公共數據進行加