數據安全技術數據分類分級規則GB/T43697-2024目 次112范引文件 13語定義 14本則 25據類則 3數分框架 3數分方法 36據級則 4數分框架 4數分方法 4數分要素 4數影分析 5級確規則 6綜確級別 77據類級程 7行領數分級流程 7處者據類流程 8附錄A（料）基述對與據體數分類考 9附錄B（料）個息分示例 10附錄C（料）數級要識常考因素 12附錄D（料）安險常考因素 14附錄E（料）影象考因素 15附錄F（料）影度參示例 17附錄G（范）重據識指南 19附錄H（料）一據分參考 21附錄I（料）衍據分參考 23附錄J（料）動新情參考 24參考獻 25I數據安全技術數據分類分級規則本文件規定了數據分類分級的原則、框架、方法和流程，給出了重要數據識別指南。本文件適用于行業領域主管（監管）部門參考制定本行業本領域的數據分類分級標準規范，也適用于各地區、各部門開展數據分類分級工作，同時為數據處理者進行數據分類分級提供參考。本文件不適用于涉及國家秘密的數據和軍事數據。下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術術語GB/T25069—2022界定的以及下列術語和定義適用于本文件。3.1數據data任何以電子或者其他方式對信息的記錄。3.2重要數據keydata特定領域、特定群體、特定區域或達到一定精度和規模的，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。注：僅影響組織自身或公民個體的數據一般不作為重要數據。3.3核心數據coredata對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的，一旦被非法使用或共享，可能直接影響政治安全的重要數據。注：核心數據主要包括關系國家安全重點領域的數據，關系國民經濟命脈、重要民生、重大公共利益的數據，經國家有關部門評估確定的其他數據。3.4一般數據generaldata核心數據、重要數據之外的其他數據。13.5個人信息personalinformation以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。3.6敏感個人信息sensitivepersonalinformation一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。3.7行業領域數據industrysectordata在某個行業領域內依法履行工作職責或開展業務活動中收集和產生的數據。3.8公共數據publicdata各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位，在依法履行公共事務管理職責或提供公共服務過程中收集、產生的數據。3.9組織數據organizationdata組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據。3.10衍生數據deriveddata經過統計、關聯、挖掘、聚合、去標識化等加工活動而產生的數據。3.11數據處理者dataprocessor在數據處理活動中自主決定處理目的、處理方式的組織、個人。遵循國家數據分類分級保護要求，按照數據所屬行業領域進行分類分級管理，依據以下原則對數據進行分類分級。動態更新原則：根據數據的業務屬性、重要性和可能造成的危害程度的變化，對數據分類分2級、重要數據目錄等進行定期審核更新。數據按照先行業領域分類、再業務屬性分類的思路進行分類。各行業各領域主管（監管）注1：按照描述對象分為用戶數據、業務數據、經營管理數據、系統運維數據，見附錄A的A.1。注2：能源數據按照流程環節分為探勘、開采、生產、加工、銷售、使用等數據。注3：按照數據主體分為公共數據、組織數據、個人信息，見A.2。如涉及法律法規有專門管理要求的數據類別（如個人信息等）注4：個人信息分類示例見附錄B，敏感個人信息識別和分類見敏感個人信息國家標準。數據分類可根據數據管理和使用需求，結合已有數據分類基礎，靈活選擇業務屬性將數據細化分類。具體參考以下步驟開展行業領域數據分類。）注1：工業領域數據，按照部門職責分成原材料、裝備制造、消費品、電子信息制造、軟件和信息技術服務等類別。按照業務范圍、運營模式、業務流程等，細化行業領域或明確各業務條線的關鍵業務分類。注2：原材料分為鋼鐵、有色金屬、石油化工等；裝備制造分為汽車、船舶、航空、航天、工業母機、工程機械等。3注3：鋼鐵數據按照數據描述對象，分為用戶數據、業務數據、經營管理數據、系統運維數據等，業務數據細分為研發設計數據、控制信息、工藝參數等，其中研發設計數據類別能標識為“工業數據-原材料數據-鋼鐵數據-業務數據-研發設計數據”。注4：工業領域數據也按照數據處理、流程環節等業務屬性進行分類，首先按照數據處理者類型分為工業企業工業數據、平臺企業工業數據，再將工業企業工業數據分為研發數據、生產數據、運維數據、管理數據、外部數據，然后按照數據主題將生產數據分為控制信息、工況狀態、工藝參數、系統日志等。根據數據在經濟社會發展中的重要程度，以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使數據分級是為了保護數據安全，具體可參考以下步驟進行數據分級。注1：數據項通常表現為數據庫表某一列字段等。數據集是由多個數據記錄組成的集合，如數據庫表、數據庫一行或多行記錄集合、數據文件等。注2：跨行業領域數據是指某個行業領域收集或產生的數據流轉到另一個行業領域，以及兩個或兩個以上行業領域的數據融合加工產生的數據。）6.4.2）。6.56.6影響數據分級的要素，包括數據的領域、群體、區域、精度、規模、深度、覆蓋度、重要性等，其中領域、群體、區域、重要性通常屬于定性描述的分級要素，精度、規模、覆蓋度屬于定量描述的分級要素，深度通常作為衍生數據的分級要素。數據分級應首先識別以下數據分級要素情況，具體考慮因素見附錄C。4跡、活動記錄、對象關系、歷史背景、產業供應鏈等方面的情況。影響對象是指數據面臨安全風險時，可能影響的對象。其中，安全風險主要考慮數據遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享等風險，見附錄D。影響對象通常包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益，判斷影響對象的常見考慮因素見附錄E。益。組織權益：影響組織自身或其他組織的生產運營、聲譽形象、公信力、知識產權等組織權益。影響程度是指數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，可能造成的影響程度。影響程度從高到低可分為特別嚴重危害、嚴重危害、一般危害。對不同影響對象進行影響程度判斷時，采取的基準不同。如果影響對象是國家安全、經濟運行、社會秩序或公共利益，則以國家、社會或行業領域的整體利益作為判斷影響程度的基準。如果影響對象僅是組織或個人權益，則以組織或公民個人的權益作為判斷影響程度的基準。開展數據影響分析時，應按照以下規則確定影響程度，影響程度參考示例見附錄F。5核心數據、重要數據、一般數據的確定規則如下，數據級別與影響對象、影響程度的對應關系見表1。造成特別嚴重危害（如直接影響政治安全）或嚴重危害（如關系其他國家安全重點領域）；）；）；）；）；）；（6表1數據級別確定規則表影響對象影響程度特別嚴重危害嚴重危害一般危害國家安全核心數據核心數據重要數據經濟運行核心數據重要數據一般數據社會秩序核心數據重要數據一般數據公共利益核心數據重要數據一般數據組織權益、個人權益一般數據一般數據一般數據注：如果影響大規模的個人或組織權益，影響對象可能不只包括個人權益或組織權益，也可能對國家安全、經濟運行、社會秩序或公共利益造成影響。在分級要素識別、數據影響分析的基礎上，按照以下規則確定數據級別。6.56.5b)的基礎上應按照附錄G如待分級數據涉及多個要素、多個影響對象或影響程度，應按照就高從嚴原則確定數據級別。（注：數據集中各數據項級別與數據集級別不一定相同，具體要根據該數據項的影響對象和影響程度進行判斷。6.1HI。跨行業領域數據分級，原則上可按照數據來源的行業領域數據分級規則確定級別，如果存在。行業領域主管（監管）部門在遵循國家有關規定要求的基礎上，可參考以下步驟開展行業領域數據分類分級工作。開展數據分類分級：行業領域主管（監管）部門，根據本行業本領域的數據分類分級標準規7范，組織本行業本領域數據處理者開展數據分類分級工作，指導數據處理者準確識別、及時報送重要數據和核心數據目錄信息。數據處理者進行數據分類分級時，應在遵循國家和行業領域數據分類分級要求的基礎上，參考以下步驟開展數據分類分級工作。數據資產梳理：對數據資產進行全面梳理，確定待分類分級的數據資產及其所屬的行業領域。實施數據分類：對數據進行分類，并對公共數據、個人信息等特殊類別數據進行識別和分類。注：由于一般數據涵蓋范圍較廣，數據處理者結合組織自身安全需求，參考附錄H對一般數據進行細化分級。數據和核心數據目錄、數據分類分級清單和標識等進行動態更新管理，動態更新情形見附錄J。8附錄A（資料性）基于描述對象與數據主體的數據分類參考從數據描述對象角度，可將數據分為用戶數據、業務數據、經營管理數據、系統運維數據四個類別，數據分類參考示例見表A.1。表A.1基于描述對象的數據分類參考示例數據類別類別定義示例用戶數據在開展業務服務過程中從個人用戶或組織用戶收集的數據，以及在業務服務過程中產生的歸屬于用戶的數據如個人信息、組織用戶信息（如組織基本信息、組織賬號信息、組織信用信息等）業務數據在業務的研發、生產、運營過程中收集和產生的非用戶類數據參考業務所屬的行業數據分類分級，結合自身業務特點進行細分，如產品數據、合同協議等經營管理數據數據處理者在單位經營和內部管理過程中收集和產生的數據如經營戰略、財務數據、并購融資信息、人力資源數據、市場營銷數據等系統運維數據網絡和信息系統運行維護、日志記錄及網絡安全數據如網絡設備和信息系統的配置數據、日志數據、安全監測數據、安全漏洞數據、安全事件數據等從數據主體角度，可將數據分為公共數據、組織數據、個人信息三個類別，數據分類參考示例見表A.2。表A.2基于數據主體的數據分類參考示例數據分類類別定義示例公共數據各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位，在依法履行公共事務管理職責或提供公共服務過程中收集、產生的數據如政務數據，在供水、供電、供氣等公共服務運營過程中收集和產生的數據等組織數據組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據如不涉及個人信息和公共利益的業務數據、經營管理數據、系統運維數據等個人信息以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息如個人身份信息、個人生物識別信息、個人財產信息、個人通信信息、個人位置信息、個人健康生理信息等910

附錄B（）表B.1參考GB/T35273—2020給出了個人信息的一級類別、二級類別和典型數據示例。表B.1個人信息分類參考示例一級類別二級類別典型示例和說明個人基本資料個人基本資料自然人基本情況信息，如個人姓名、生日、年齡、性別、民族、國籍、籍貫、政治面貌、婚姻狀況、家庭關系、住址、個人電話號碼、電子郵件地址、興趣愛好等個人身份信息個人身份信息可直接標識自然人身份的信息，如身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證、港澳臺通行證等證件號碼、證件照片或影印件等。其中特定身份信息屬于敏感個人信息，具體參見敏感個人信息國家標準個人生物識別信息生物識別信息個人面部識別特征、虹膜、指紋、基因、聲紋、步態、耳廓、眼紋等生物特征識別信息，包括生物特征識別原始信息（如樣本、圖像）、比對信息（如特征值、模板）等網絡身份標識信息網絡身份標識信息可標識網絡或通信用戶身份的信息及賬戶相關資料信息（金融賬戶除外），ID社交用戶賬號、用戶頭像、昵稱、個性簽名、IP地址等個人健康生理信息健康狀況信息與個人身體健康狀況相關的個人信息，如體重、身高、體溫、肺活量、血壓、血型等醫療健康信息個人因疾病診療等醫療健康服務產生的相關信息，如醫療就診記錄、生育信息、既往病史等，具體范圍參見敏感個人信息國家標準個人教育工作信息個人教育信息個人教育和培訓的相關信息，如學歷、學位、教育經歷、學號、成績單、資質證書、培訓記錄、獎懲信息、受資助信息等個人工作信息個人求職和工作的相關信息，如個人職業、職位、職稱、工作單位、工作地點、工作經歷、工資、工作表現、簡歷、離退休狀況等個人財產信息金融賬戶信息金融賬戶及鑒別相關信息，如銀行、證券等賬戶的賬號、密碼等，具體參見敏感個人信息國家標準個人交易信息交易過程中產生的交易信息和消費記錄，如交易訂單、交易金額、支付記錄、透支記錄、交易狀態、交易日志、交易憑證、賬單，證券委托、成交、持倉信息，保單信息、理賠信息等個人資產信息個人實體和虛擬財產信息，如個人收入狀況、房產信息、存款信息、車輛信息、納稅額、公積金繳存明細、銀行流水、虛擬財產（如虛擬貨幣、虛擬交易、游戲類兌換碼等）等個人借貸信息個人在借貸過程中產生的信息，如個人借款信息、還款信息、欠款信息、信貸記錄、征信信息、擔保情況等身份鑒別信息身份鑒別信息用于個人身份鑒別的數據，如賬號口令、數字證書、短信驗證碼、密碼提示問題等表B.1個人信息分類參考示例（續）一級類別二級類別典型示例和說明個人通信信息個人通信信息通信記錄，短信、彩信、話音、電子郵件、即時通信等通信內容（如文字、圖片、音頻、視頻、文件等），及描述個人通信的元數據（如通話時長）等聯系人信息聯系人信息描述個人與關聯方關系的信息，如通訊錄、好友列表、群列表、電子郵件地址列表、家庭關系、工作關系、社交關系、父母或監護人信息、配偶信息等個人上網記錄個人操作記錄個人在業務服務過程中的操作記錄和行為數據，包括網頁瀏覽記錄、軟件使用記錄、點擊記錄、Cookie、發布的社交信息、點擊記錄、收藏列表、搜索記錄、服務使用時間、下載記錄等業務行為數據用戶使用某業務的行為記錄（如游戲業務：用戶游戲登錄時間、最近充值時間、累計充值額度、用戶通關記錄）等個人設備信息可變更的唯一設備識別碼AndroidID、廣告標識符（IDFA）、應用開發商標識符（IDFV）、開放匿名設備標識符（OAID）等不可變更的唯一設備識別碼國際移動設備識別碼（IMEI）、移動設備識別碼（MEID）、設備媒體訪問控制（MAC）地址、硬件序列號等應用軟件列表用戶在終端上安裝的應用程序列表，如每款應用軟件的名稱、版本等個人位置信息粗略位置信息僅能定位到行政區、縣級等的位置信息，如地區代碼、城市代碼等行蹤軌跡信息與個人所處地理位置、活動地點和活動軌跡等相關的信息，具體范圍參見敏感個人信息國家標準住宿出行信息個人住宿信息，及乘坐飛機、火車、汽車、輪船等交通出行信息等個人標簽信息個人標簽信息基于個人上網記錄等加工產生的個人用戶標簽、畫像信息，如行為習慣、興趣偏好等個人運動信息個人運動信息步數、步頻、運動時長、運動距離、運動方式、運動心率等其他個人信息其他個人信息性取向、婚史、宗教信仰、未公開的違法犯罪記錄等

11附錄C（資料性）數據分級要素識別常見考慮因素數據的領域、群體、區域識別常見考慮因素，包括但不限于以下內容。——數據領域識別的常見考慮因素，例如：——數據群體識別的常見考慮因素，例如：人群；項目；——數據區域識別的常見考慮因素，例如：——空間精度，如位置定位精度、數字地圖精度等；——時間精度，如年度、季度、月度、日度等；——生產工藝精密度，如集成電路精細度、機械加工精度等；——視頻圖像高清度；數據規模識別的常見考慮因素，例如：12——數據存儲量；——企業市值（估值）；——設備或裝備容量；——生產、加工、控制、吞吐、輸送、儲存能力；——資源儲量；——交易量；——群體規模，如用戶規模、系統或設備數量、生產加工單元數量、基礎設施數量、項目數量等。數據深度識別的常見考慮因素，例如：——領域、群體或區域的特征分析，如人群或用戶特征分析；——產業供應鏈。數據覆蓋度識別的常見考慮因素，例如：——領域覆蓋分布或密度，如領域覆蓋占比、領域覆蓋分布、領域覆蓋密度等；——群體覆蓋分布或密度，如群體覆蓋占比、群體覆蓋分布、人口密度等；——區域覆蓋分布或密度，如行政區劃覆蓋度、區域覆蓋分布、區域覆蓋密度等；——時段覆蓋分布或密度，如時間段覆蓋度、時間段覆蓋分布、時間段覆蓋密度等。數據重要性識別常見考慮因素，例如：等；13附錄D（資料性）安全風險常見考慮因素數據影響分析通常考慮以下安全風險。14附錄E（）判斷數據是否可能影響國家安全，常見考慮因素包括但不限于：風險；判斷數據是否可能影響經濟運行，常見考慮因素包括但不限于：判斷數據是否可能影響社會秩序，常見考慮因素包括但不限于：15序；判斷數據是否可能影響公共利益，常見考慮因素包括但不限于：影響對重大疾病（尤其是傳染病）判斷數據是否可能影響組織權益，常見考慮因素包括但不限于：判斷數據是否可能影響個人權益，常見考慮因素包括但不限于：16附錄F（）表F.1給出了不同影響對象對應的影響程度參考示例。表F.1影響程度參考示例影響對象影響程度參考說明國家安全特別嚴重危害直接影響國家政治安全嚴重危害關系其他國家安全重點領域，或者對國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態、資源、核、海外利益、太空、極地、深海、生物、人工智能等安全造成嚴重威脅一般危害對國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態、資源、核、海外利益、太空、極地、深海、生物、人工智能等安全造成威脅經濟運行特別嚴重危害家安全的行業、提供重要公共產品的行業、重要資源行業等他重大經濟利益安全致大面積業務中斷、大量業務處理能力喪失等停產、大規模基礎設施長時間中斷運行等嚴重危害率、貨幣發行總規模與增長速度、進出口貿易總規模與變動等務運行、關鍵產業鏈、核心供應鏈等一般危害面影響較小對單個行業領域或地區的經濟運行造成一般危害社會秩序特別嚴重危害關系重要民生，直接影響人民群眾重要民生保障的事項、物資、工程或項目等個或多個省級行政區大部分地區的社會恐慌，嚴重影響社會正常運行嚴重危害直接導致重大突發事件、重大群體性事件等，影響一個或多個地區的社會穩定嚴重影響人民群眾的日常生活秩序嚴重影響各級政務部門履行公共管理和服務職能嚴重影響法治和社會倫理道德規范一般危害對人民群眾的日常生活秩序造成一般影響衛生秩序直接影響公共場所的活動秩序、公共交通秩序17表F.1影響程度參考示例（續）影響對象影響程度參考說明公共利益特別嚴重危害關系重大公共利益，導致一個或多個省級行政區大部分地區的社會公共資源供應長期、大面積癱瘓，大范圍社會成員（如1000萬人以上）施、獲取公開數據資源、接受公共服務產事故，對公共利益造成特別嚴重影響，社會負面影響大導致特別重大突發公共衛生事件（Ⅰ級），造成社會公眾健康特別嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業中毒等嚴重影響公眾健康的事件嚴重危害直接危害公共健康和安全，如嚴重影響疫情防控、傳染病的預防監控和治療等導致重大突發公共衛生事件（Ⅱ級），造成社會公眾健康嚴重損害的重大傳染件導致一個或多個地市大部分地區的社會公共資源供應較長期中斷，較大范圍社會成員（100萬人以上）服務一般危害對公共利益產生一般危害，影響小范圍社會成員使用公共設施、獲取公開數據資源、接受公共服務等組織權益特別嚴重危害導致組織遭到監管部門嚴重處罰（如取消經營資格、長期暫停相關業務等），或者影響重要/關鍵業務無法正常開展的情況，造成重大經濟或技術損失，嚴重破壞機構聲譽，企業面臨破產嚴重危害導致組織遭到監管部門處罰（如一段時間內暫停經營資格或業務等），或者影響部分業務無法正常開展的情況，造成較大經濟或技術損失，破壞機構聲譽一般危害導致個別訴訟事件，或在某一時間造成部分業務中斷，使組織的經濟利益、聲譽、技術等輕微受損個人權益特別嚴重危害個人信息主體遭受重大的、不可消除的、可能無法克服的影響，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。如遭受無法承擔的債務、失去工作能力、導致長期的心理或生理疾病、導致死亡等嚴重危害個人信息主體遭受較大影響，個人信息主體克服難度高，消除影響代價較大。如遭受詐騙、資金被盜用、被銀行列入黑名單、信用評分受損、名譽受損、造成歧視、被解雇、被法院傳喚、健康狀況惡化等一般危害個人信息主體會遭受困擾，但尚可以克服。如付出額外成本、無法使用應提供的服務、造成誤解、產生害怕和緊張的情緒、導致較小的生理疾病等18附錄G（）6.5b)分子利用實施破壞，如描述重點安保單位、重要生產企業、國家重要資產（道）19注1：影響國家安全的考慮因素見E.1。注2：對經濟運行、社會秩序、公共利益造成嚴重危害的參考示例見表F.1。具備以上因素之一的數據，可被識別為重要數據。20附錄H（）4按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度，將一般數據從低到高分為1級、2級、3級、41級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，不會對個人權益、組織權益等造成危害。1級數據具有公共傳播屬性，可對外公開發布、轉發傳播，2級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權益、組織權益造成一般危害。2級數據通常在組織內部、關聯方共享和使用，相關方授權后3級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權益、組織權益造成嚴重危害。3級數據僅可由授權的內部機構或人員訪問，如果要將數據共4級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權益、組織權益造成特別嚴重危害，或對經濟運行、社會秩序、公共利益造成一般危害。4級數據按照批準的授權列表嚴格管理，僅能在受控范圍內經過嚴格審批、評估后才可共享或傳播。3按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度，將一般數據從低到高分為1級、2級、3級共三個級別。1級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權2級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權3級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權益、組織合法權益造成特別嚴重危害，或者對經濟運行、社會秩序、公共利益造成一般危害。2按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度，將一般數據從低到高分為1級、2級。1級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權2級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權21一般數據分級應對個人信息、公共數據等特定類型數據設置合理的數據級別，特定類型數據最低參考級別如下。442級；22級；22/4級。332級；2/3級。22222附錄I（）按照數據加工程度不同，數據通常可分為原始數據、脫敏數據、標簽數據、統計數據、融合數據，其中脫敏數據、標簽數據、統計數據、融合數據均屬于衍生數據，見表I.1。表I.1加工程度維度的數據分類數據類別類別定義數據示例原始數據是指數據的原本形式和內容，未作任何加工處理如采集的原始數據等脫敏數據對敏感數據（如個人信息）采取技術手段進行數據變形處理后的新數據，降低數據敏感性如去標識化的個人信息等標簽數據對用戶行為進行畫像分析，生成用戶標簽數據描述用戶屬性特征偏好標簽、關系標簽等統計數據是由多個個人或實體對象的數據進行統計或分析后形成的數據如群體用戶位置軌跡統計信息、群體統計指數、交易統計數據、統計分析報表、分析報告方案等融合數據對不同業務目的或群體、區域、領域的數據匯聚，進行挖掘或聚合如多個業務、多個區域、多個領域的數據整合、匯聚等衍生數據級別可參考原始數據級別，綜合考慮數據加工對分級要素、影響對象、影響程度的影響，按照第6章進行數據分級：——脫敏數據級別可比原始數據級別降低；注：例如，反映國民經濟運行總體情況、行業領域產業發展態勢、影響國家宏觀調控能力的未公開統計數據，可設置比原始數據級別更高的級別；又如，原始數據包含大量原始明細數據，而衍生數據是不敏感的統計特征，可設置比原始數據級別更低的級別。——融合數據級別要考慮數據匯聚融合結果，如果結果數據是對大量多維數據進行關聯、分析或挖掘，匯聚了更大規模的原始數據或分析挖掘出更敏感、更深層的數據，級別可以升高，但如果結果數據降低了標識化程度等，級別可以降低。23附錄J（）數據分類分級完成后，當數據的業務屬性、重要程度和可能造成的危害程度變化時通常需要進行動態更新，動態更新常見情形包括但不限于：數據；24數據安全技術數據分類分級規則目 次112范引文件 13語定義 14本則 25據類則 3數分框架 3數分方法 36據級則 4數分框架 4數分方法 4數分要素 4數影分析 5級確規則 6綜確級別 77據類級程 7行領數分級流程 7處者據類流程 8附錄A（料）基述對與據體數分類考 9附錄B（料）個息分示例 10附錄C（料）數級要識常考因素 12附錄D（料）安險常考因素 14附錄E（料）影象考因素 15附錄F（料）影度參示例 17附錄G（范）重據識指南 19附錄H（料）一據分參考 21附錄I（料）衍據分參考 23附錄J（料）動新情參考 24參考獻 25I數據安全技術數據分類分級規則本文件規定了數據分類分級的原則、框架、方法和流程，給出了重要數據識別指南。本文件適用于行業領域主管（監管）部門參考制定本行業本領域的數據分類分級標準規范，也適用于各地區、各部門開展數據分類分級工作，同時為數據處理者進行數據分類分級提供參考。本文件不適用于涉及國家秘密的數據和軍事數據。下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069—2022信息安全技術術語GB/T25069—2022界定的以及下列術語和定義適用于本文件。3.1數據data任何以電子或者其他方式對信息的記錄。3.2重要數據keydata特定領域、特定群體、特定區域或達到一定精度和規模的，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。注：僅影響組織自身或公民個體的數據一般不作為重要數據。3.3核心數據coredata對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的，一旦被非法使用或共享，可能直接影響政治安全的重要數據。注：核心數據主要包括關系國家安全重點領域的數據，關系國民經濟命脈、重要民生、重大公共利益的數據，經國家有關部門評估確定的其他數據。3.4一般數據generaldata核心數據、重要數據之外的其他數據。13.5個人信息personalinformation以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。3.6敏感個人信息sensitivepersonalinformation一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息。3.7行業領域數據industrysectordata在某個行業領域內依法履行工作職責或開展業務活動中收集和產生的數據。3.8公共數據publicdata各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位，在依法履行公共事務管理職責或提供公共服務過程中收集、產生的數據。3.9組織數據organizationdata組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據。3.10衍生數據deriveddata經過統計、關聯、挖掘、聚合、去標識化等加工活動而產生的數據。3.11數據處理者dataprocessor在數據處理活動中自主決定處理目的、處理方式的組織、個人。遵循國家數據分類分級保護要求，按照數據所屬行業領域進行分類分級管理，依據以下原則對數據進行分類分級。動態更新原則：根據數據的業務屬性、重要性和可能造成的危害程度的變化，對數據分類分2級、重要數據目錄等進行定期審核更新。數據按照先行業領域分類、再業務屬性分類的思路進行分類。各行業各領域主管（監管）注1：按照描述對象分為用戶數據、業務數據、經營管理數據、系統運維數據，見附錄A的A.1。注2：能源數據按照流程環節分為探勘、開采、生產、加工、銷售、使用等數據。注3：按照數據主體分為公共數據、組織數據、個人信息，見A.2。如涉及法律法規有專門管理要求的數據類別（如個人信息等）注4：個人信息分類示例見附錄B，敏感個人信息識別和分類見敏感個人信息國家標準。數據分類可根據數據管理和使用需求，結合已有數據分類基礎，靈活選擇業務屬性將數據細化分類。具體參考以下步驟開展行業領域數據分類。）注1：工業領域數據，按照部門職責分成原材料、裝備制造、消費品、電子信息制造、軟件和信息技術服務等類別。按照業務范圍、運營模式、業務流程等，細化行業領域或明確各業務條線的關鍵業務分類。注2：原材料分為鋼鐵、有色金屬、石油化工等；裝備制造分為汽車、船舶、航空、航天、工業母機、工程機械等。3注3：鋼鐵數據按照數據描述對象，分為用戶數據、業務數據、經營管理數據、系統運維數據等，業務數據細分為研發設計數據、控制信息、工藝參數等，其中研發設計數據類別能標識為“工業數據-原材料數據-鋼鐵數據-業務數據-研發設計數據”。注4：工業領域數據也按照數據處理、流程環節等業務屬性進行分類，首先按照數據處理者類型分為工業企業工業數據、平臺企業工業數據，再將工業企業工業數據分為研發數據、生產數據、運維數據、管理數據、外部數據，然后按照數據主題將生產數據分為控制信息、工況狀態、工藝參數、系統日志等。根據數據在經濟社會發展中的重要程度，以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使數據分級是為了保護數據安全，具體可參考以下步驟進行數據分級。注1：數據項通常表現為數據庫表某一列字段等。數據集是由多個數據記錄組成的集合，如數據庫表、數據庫一行或多行記錄集合、數據文件等。注2：跨行業領域數據是指某個行業領域收集或產生的數據流轉到另一個行業領域，以及兩個或兩個以上行業領域的數據融合加工產生的數據。）6.4.2）。6.56.6影響數據分級的要素，包括數據的領域、群體、區域、精度、規模、深度、覆蓋度、重要性等，其中領域、群體、區域、重要性通常屬于定性描述的分級要素，精度、規模、覆蓋度屬于定量描述的分級要素，深度通常作為衍生數據的分級要素。數據分級應首先識別以下數據分級要素情況，具體考慮因素見附錄C。4跡、活動記錄、對象關系、歷史背景、產業供應鏈等方面的情況。影響對象是指數據面臨安全風險時，可能影響的對象。其中，安全風險主要考慮數據遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享等風險，見附錄D。影響對象通常包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益，判斷影響對象的常見考慮因素見附錄E。益。組織權益：影響組織自身或其他組織的生產運營、聲譽形象、公信力、知識產權等組織權益。影響程度是指數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，可能造成的影響程度。影響程度從高到低可分為特別嚴重危害、嚴重危害、一般危害。對不同影響對象進行影響程度判斷時，采取的基準不同。如果影響對象是國家安全、經濟運行、社會秩序或公共利益，則以國家、社會或行業領域的整體利益作為判斷影響程度的基準。如果影響對象僅是組織或個人權益，則以組織或公民個人的權益作為判斷影響程度的基準。開展數據影響分析時，應按照以下規則確定影響程度，影響程度參考示例見附錄F。5核心數據、重要數據、一般數據的確定規則如下，數據級別與影響對象、影響程度的對應關系見表1。造成特別嚴重危害（如直接影響政治安全）或嚴重危害（如關系其他國家安全重點領域）；）；）；）；）；）；（6表1數據級別確定規則表影響對象影響程度特別嚴重危害嚴重危害一般危害國家安全核心數據核心數據重要數據經濟運行核心數據重要數據一般數據社會秩序核心數據重要數據一般數據公共利益核心數據重要數據一般數據組織權益、個人權益一般數據一般數據一般數據注：如果影響大規模的個人或組織權益，影響對象可能不只包括個人權益或組織權益，也可能對國家安全、經濟運行、社會秩序或公共利益造成影響。在分級要素識別、數據影響分析的基礎上，按照以下規則確定數據級別。6.56.5b)的基礎上應按照附錄G如待分級數據涉及多個要素、多個影響對象或影響程度，應按照就高從嚴原則確定數據級別。（注：數據集中各數據項級別與數據集級別不一定相同，具體要根據該數據項的影響對象和影響程度進行判斷。6.1HI。跨行業領域數據分級，原則上可按照數據來源的行業領域數據分級規則確定級別，如果存在。行業領域主管（監管）部門在遵循國家有關規定要求的基礎上，可參考以下步驟開展行業領域數據分類分級工作。開展數據分類分級：行業領域主管（監管）部門，根據本行業本領域的數據分類分級標準規7范，組織本行業本領域數據處理者開展數據分類分級工作，指導數據處理者準確識別、及時報送重要數據和核心數據目錄信息。數據處理者進行數據分類分級時，應在遵循國家和行業領域數據分類分級要求的基礎上，參考以下步驟開展數據分類分級工作。數據資產梳理：對數據資產進行全面梳理，確定待分類分級的數據資產及其所屬的行業領域。實施數據分類：對數據進行分類，并對公共數據、個人信息等特殊類別數據進行識別和分類。注：由于一般數據涵蓋范圍較廣，數據處理者結合組織自身安全需求，參考附錄H對一般數據進行細化分級。數據和核心數據目錄、數據分類分級清單和標識等進行動態更新管理，動態更新情形見附錄J。8附錄A（資料性）基于描述對象與數據主體的數據分類參考從數據描述對象角度，可將數據分為用戶數據、業務數據、經營管理數據、系統運維數據四個類別，數據分類參考示例見表A.1。表A.1基于描述對象的數據分類參考示例數據類別類別定義示例用戶數據在開展業務服務過程中從個人用戶或組織用戶收集的數據，以及在業務服務過程中產生的歸屬于用戶的數據如個人信息、組織用戶信息（如組織基本信息、組織賬號信息、組織信用信息等）業務數據在業務的研發、生產、運營過程中收集和產生的非用戶類數據參考業務所屬的行業數據分類分級，結合自身業務特點進行細分，如產品數據、合同協議等經營管理數據數據處理者在單位經營和內部管理過程中收集和產生的數據如經營戰略、財務數據、并購融資信息、人力資源數據、市場營銷數據等系統運維數據網絡和信息系統運行維護、日志記錄及網絡安全數據如網絡設備和信息系統的配置數據、日志數據、安全監測數據、安全漏洞數據、安全事件數據等從數據主體角度，可將數據分為公共數據、組織數據、個人信息三個類別，數據分類參考示例見表A.2。表A.2基于數據主體的數據分類參考示例數據分類類別定義示例公共數據各級政務部門、具有公共管理和服務職能的組織及其技術支撐單位，在依法履行公共事務管理職責或提供公共服務過程中收集、產生的數據如政務數據，在供水、供電、供氣等公共服務運營過程中收集和產生的數據等組織數據組織在自身生產經營活動中收集、產生的不涉及個人信息和公共利益的數據如不涉及個人信息和公共利益的業務數據、經營管理數據、系統運維數據等個人信息以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息如個人身份信息、個人生物識別信息、個人財產信息、個人通信信息、個人位置信息、個人健康生理信息等910

附錄B（）表B.1參考GB/T35273—2020給出了個人信息的一級類別、二級類別和典型數據示例。表B.1個人信息分類參考示例一級類別二級類別典型示例和說明個人基本資料個人基本資料自然人基本情況信息，如個人姓名、生日、年齡、性別、民族、國籍、籍貫、政治面貌、婚姻狀況、家庭關系、住址、個人電話號碼、電子郵件地址、興趣愛好等個人身份信息個人身份信息可直接標識自然人身份的信息，如身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證、港澳臺通行證等證件號碼、證件照片或影印件等。其中特定身份信息屬于敏感個人信息，具體參見敏感個人信息國家標準個人生物識別信息生物識別信息個人面部識別特征、虹膜、指紋、基因、聲紋、步態、耳廓、眼紋等生物特征識別信息，包括生物特征識別原始信息（如樣本、圖像）、比對信息（如特征值、模板）等網絡身份標識信息網絡身份標識信息可標識網絡或通信用戶身份的信息及賬戶相關資料信息（金融賬戶除外），ID社交用戶賬號、用戶頭像、昵稱、個性簽名、IP地址等個人健康生理信息健康狀況信息與個人身體健康狀況相關的個人信息，如體重、身高、體溫、肺活量、血壓、血型等醫療健康信息個人因疾病診療等醫療健康服務產生的相關信息，如醫療就診記錄、生育信息、既往病史等，具體范圍參見敏感個人信息國家標準個人教育工作信息個人教育信息個人教育和培訓的相關信息，如學歷、學位、教育經歷、學號、成績單、資質證書、培訓記錄、獎懲信息、受資助信息等個人工作信息個人求職和工作的相關信息，如個人職業、職位、職稱、工作單位、工作地點、工作經歷、工資、工作表現、簡歷、離退休狀況等個人財產信息金融賬戶信息金融賬戶及鑒別相關信息，如銀行、證券等賬戶的賬號、密碼等，具體參見敏感個人信息國家標準個人交易信息交易過程中產生的交易信息和消費記錄，如交易訂單、交易金額、支付記錄、透支記錄、交易狀態、交易日志、交易憑證、賬單，證券委托、成交、持倉信息，保單信息、理賠信息等個人資產信息個人實體和虛擬財產信息，如個人收入狀況、房產信息、存款信息、車輛信息、納稅額、公積金繳存明細、銀行流水、虛擬財產（如虛擬貨幣、虛擬交易、游戲類兌換碼等）等個人借貸信息個人在借貸過程中產生的信息，如個人借款信息、還款信息、欠款信息、信貸記錄、征信信息、擔保情況等身份鑒別信息身份鑒別信息用于個人身份鑒別的數據，如賬號口令、數字證書、短信驗證碼、密碼提示問題等表B.1個人信息分類參考示例（續）一級類別二級類別典型示例和說明個人通信信息個人通信信息通信記錄，短信、彩信、話音、電子郵件、即時通信等通信內容（如文字、圖片、音頻、視頻、文件等），及描述個人通信的元數據（如通話時長）等聯系人信息聯系人信息描述個人與關聯方關系的信息，如通訊錄、好友列表、群列表、電子郵件地址列表、家庭關系、工作關系、社交關系、父母或監護人信息、配偶信息等個人上網記錄個人操作記錄個人在業務服務過程中的操作記錄和行為數據，包括網頁瀏覽記錄、軟件使用記錄、點擊記錄、Cookie、發布的社交信息、點擊記錄、收藏列表、搜索記錄、服務使用時間、下載記錄等業務行為數據用戶使用某業務的行為記錄（如游戲業務：用戶游戲登錄時間、最近充值時間、累計充值額度、用戶通關記錄）等個人設備信息可變更的唯一設備識別碼AndroidID、廣告標識符（IDFA）、應用開發商標識符（IDFV）、開放匿名設備標識符（OAID）等不可變更的唯一設備識別碼國際移動設備識別碼（IMEI）、移動設備識別碼（MEID）、設備媒體訪問控制（MAC）地址、硬件序列號等應用軟件列表用戶在終端上安裝的應用程序列表，如每款應用軟件的名稱、版本等個人位置信息粗略位置信息僅能定位到行政區、縣級等的位置信息，如地區代碼、城市代碼等行蹤軌跡信息與個人所處地理位置、活動地點和活動軌跡等相關的信息，具體范圍參見敏感個人信息國家標準住宿出行信息個人住宿信息，及乘坐飛機、火車、汽車、輪船等交通出行信息等個人標簽信息個人標簽信息基于個人上網記錄等加工產生的個人用戶標簽、畫像信息，如行為習慣、興趣偏好等個人運動信息個人運動信息步數、步頻、運動時長、運動距離、運動方式、運動心率等其他個人信息其他個人信息性取向、婚史、宗教信仰、未公開的違法犯罪記錄等

11附錄C（資料性）數據分級要素識別常見考慮因素數據的領域、群體、區域識別常見考慮因素，包括但不限于以下內容。——數據領域識別的常見考慮因素，例如：——數據群體識別的常見考慮因素，例如：人群；項目；——數據區域識別的常見考慮因素，例如：——空間精度，如位置定位精度、數字地圖精度等；——時間精度，如年度、季度、月度、日度等；——生產工藝精密度，如集成電路精細度、機械加工精度等；——視頻圖像高清度；數據規模識別的常見考慮因素，例如：12——數據存儲量；——企業市值（估值）；——設備或裝備容量；——生產、加工、控制、吞吐、輸送、儲存能力；——資源儲量；——交易量；——群體規模，如用戶規模、系統或設備數量、生產加工單元數量、基礎設施數量、項目數量等。數據深度識別的常見考慮因素，例如：——領域、群體或區域的特征分析，如人群或用戶特征分析；——產業供應鏈。數據覆蓋度識別的常見考慮因素，例如：——領域覆蓋分布或密度，如領域覆蓋占比、領域覆蓋分布、領域覆蓋密度等；——群體覆蓋分布或密度，如群體覆蓋占比、群體覆蓋分布、人口密度等；——區域覆蓋分布或密度，如行政區劃覆蓋度、區域覆蓋分布、區域覆蓋密度等；——時段覆蓋分布或密度，如時間段覆蓋度、時間段覆蓋分布、時間段覆蓋密度等。數據重要性識別常見考慮因素，例如：等；13附錄D（資料性）安全風險常見考慮因素數據影響分析通常考慮以下安全風險。14附錄E（）判斷數據是否可能影響國家安全，常見考慮因素包括但不限于：風險；判斷數據是否可能影響經濟運行，常見考慮因素包括但不限于：判斷數據是否可能影響社會秩序，常見考慮因素包括但不限于：15序；判斷數據是否可能影響公共利益，常見考慮因素包括但不限于：影響對重大疾病（尤其是傳染病）判斷數據是否可能影響組織權益，常見考慮因素包括但不限于：判斷數據是否可能影響個人權益，常見考慮因素包括但不限于：16附錄F（）表F.1給出了不同影響對象對應的影響程度參考示例。表F.1影響程度參考示例影響對象影響程度參考說明國家安全特別嚴重危害直接影響國家政治安全嚴重危害關系其他國家安全重點領域，或者對國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態、資源、核、海外利益、太空、極地、深海、生物、人工智能等安全造成嚴重威脅一般危害對國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態、資源、核、海外利益、太空、極地、深海、生物、人工智能等安全造成威脅經濟運行特別嚴重危害家安全的行業、提供重要公共產品的行業、重要資源行業等他重大經濟利益安全致大面積業務中斷、大量業務處理能力喪失等停產、大規模基礎設施長時間中斷運行等嚴重危害率、貨幣發行總規模與增長速度、進出口貿易總規模與變動等務運行、關鍵產業鏈、核心供應鏈等一般危害面影響較小對單個行業領域或地區的經濟運行造成一般危害社會秩序特別嚴重危害關系重要民生，直接影響人民群眾重要民生保障的事項、物資、工程或項目等個或多個省級行政區大部分地區的社會恐慌，嚴重影響社會正常運行嚴重危害直接導致重大突發事件、重大群體性事件等，影響一個或多個地區的社會穩定嚴重影響人民群眾的日常生活秩序嚴重影響各級政務部門履行公共管理和服務職能嚴重影響法治和社會倫理道德規范一般危害對人民群眾的日常生活秩序造成一般影響衛生秩序直接影響公共場所的活動秩序、公共交通秩序17表F.1影響程度參考示例（續）影響對象影響程度參考說明公共利益特別嚴重危害關系重大公共利益，導致一個或多個省級行政區大部分地區的社會公共資源供應長期、大面積癱瘓，大范圍社會成員（如1000萬人以上）施、獲取公開數據資源、接受公共服務產事故，對公共利益造成特別嚴重影響，社會負面影響大導致特別重大突發公共衛生事件（Ⅰ級），造成社會公眾健康特別嚴重損害的重大傳染病疫情、群體性不明原因疾病、重大食物和職業中毒等嚴重影響公眾健康的事件嚴重危害直接危害公共健康和安全，如嚴重影響疫情防控、傳染病的預防監控和治療等導致重大突發公共衛生事件（Ⅱ級），造成社會公眾健康嚴重損害的重大傳染件導致一個或多個地市大部分地區的社會公共資源供應較長期中斷，較大范圍社會成員（100萬人以上）服務一般危害對公共利益產生一般危害，影響小范圍社會成員使用公共設施、獲取公開數據資源、接受公共服務等組織權益特別嚴重危害導致組織遭到監管部門嚴重處罰（如取消經營資格、長期暫停相關業務等），或者影響重要/關鍵業務無法正常開展的情況，造成重大經濟或技術損失，嚴重破壞機構聲譽，企業面臨破產嚴重危害導致組織遭到監管部門處罰（如一段時間內暫停經營資格或業務等），或者影響部分業務無法正常開展的情況，造成較大經濟或技術損失，破壞機構聲譽一般危害導致個別訴訟事件，或在某一時間造成部分業務中斷，使組織的經濟利益、聲譽、技術等輕微受損個人權益特別嚴重危害個人信息主體遭受重大的、不可消除的、可能無法克服的影響，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害。如遭受無法承擔的債務、失去工作能力、導致長期的心理或生理疾病、導致死亡等嚴重危害個人信息主體遭受較大影響，個人信息主體克服難度高，消除影響代價較大。如遭受詐騙、資金被盜用、被銀行列入黑名單、信用評分受損、名譽受損、造成歧視、被解雇、被法院傳喚、健康狀況惡化等一般危害個人信息主體會遭受困擾，但尚可以克服。如付出額外成本、無法使用應提供的服務、造成誤解、產生害怕和緊張的情緒、導致較小的生理疾病等18附錄G（）6.5b)分子利用實施破壞，如描述重點安保單位、重要生產企業、國家重要資產（道）19注1：影響國家安全的考慮因素見E.1。注2：對經濟運行、社會秩序、公共利益造成嚴重危害的參考示例見表F.1。具備以上因素之一的數據，可被識別為重要數據。20附錄H（）4按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度，將一般數據從低到高分為1級、2級、3級、41級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，不會對個人權益、組織權益等造成危害。1級數據具有公共傳播屬性，可對外公開發布、轉發傳播，2級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權益、組織權益造成一般危害。2級數據通常在組織內部、關聯方共享和使用，相關方授權后3級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權益、組織權益造成嚴重危害。3級數據僅可由授權的內部機構或人員訪問，如果要將數據共4級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權益、組織權益造成特別嚴重危害，或對經濟運行、社會秩序、公共利益造成一般危害。4級數據按照批準的授權列表嚴格管理，僅能在受控范圍內經過嚴格審批、評估后才可共享或傳播。3按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度，將一般數據從低到高分為1級、2級、3級共三個級別。1級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權2級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權3級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權益、組織合法權益造成特別嚴重危害，或者對經濟運行、社會秩序、公共利益造成一般危害。2按照數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對經濟運行、社會秩序、公共利益或個人、組織合法權益等造成的危害程度，將一般數據從低到高分為1級、2級。1級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權2級數據：數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，對個人權21一般數據分級應對個人信息、公共數據等特定類型數據設置合理的數據級別，特定類型數據最低參考級別如下。442級；22級；22/4級。332級；2/3級。22222附錄I（）按照數據加工程度不同，數據通常可分為原始數據、脫敏數據、標簽數據、統計數據、融合數據，其中脫敏數據、標簽數據、統計數據、融合數據均屬于衍生數據，見表I.1。表I.1加工程度維度的數據分類數據類別類別定義數據示例原始數據是指數據的原本形式和內容，未作任何加工處理如采集的原始數據等脫敏數據對敏感數據（如個人信息）采取技術手段進行數據變形處理后的新數據，降低數據敏感性如去標識化的個人信息等標簽數據對用戶行為進行畫像分析，生成用戶標簽數據描述用戶屬性特征偏好標簽、關系標簽等統計數據是由多個個人或實體對象的數據進行統計或分析后形成的數據如群體用戶位置軌跡統計信息、群體統計指數、交易統計數據、統計分析報表、分析報告方案等融合數據對不同業務目的或群體、區域、領域的數據匯聚，進行挖掘或聚合如多個業務、多個區域、多個領域的數據整合、匯聚等衍生數據級別可參考原始數據級別，綜合考慮數據加工對分級要素、影響對象、影響程度的影響，按照第6章進行數據分級：——脫敏數據級別可比原始數據級別降低；注：例如，反映國民經濟運行總體情況、行業領域產業發展態勢、影響國家宏觀調控能力的未公開統計數據，可設置比原始數據級別更高的級別；又如，原始數據包含大量原始明細數據，而衍生數據是不敏感的統計特征，可設置比原始數據級別更低的級別。——融合數據級別要考慮數據匯聚融合結果，如果結果數據是對大量多維數據進行關聯、分析或挖掘，匯聚了更大規模的原始數據或分析挖掘出更敏感、更深層的數據，級別可以升高，但如果結果數據降低了標識化程度等，級別可以降低。23附錄J（）數據分類分級完成后，當數據的業務屬性、重要程度和可能造成的危害程度變化時通常需要進行動態更新，動態更新常見情形包括但不限于：數據；2425數據安全技術能力評估要求目??次范圍 3規范性引用文件 3術語和定義 3數據安全技術能力要求 5數據資產與數據識別 5權限管理與操作規范 5數據防泄漏與溯源 6敏感數據保護 6業務流量風險監控 6敏感操作發現 6數據安全管理能力要求 6組織架構及人員保障 6數據使用分級管控 7合作方管理 7數據安全工作自評估 71數據安全技術能力評估要求范圍本文件規定了應具備數據安全能力的企事業單位、政府部門等組織的數據安全技術能力要求。規范性引用文件（包括所有的修改單適用于本文件。GB/T25069-2022信息安全技術術語GB/T37988-2019信息安全技術數據安全能力成熟度模型GB/T36073-2018數據管理能力成熟度評估模型GB/T41479-2022信息安全技術網絡數據處理安全要求GB/T37973-2019信息安全技術大數據安全管理指南GB/T35273-2020信息安全技術個人信息安全規范GB/T39335-2020信息技術個人信息安全評估指南GB/T19000-2016質量管理體系基礎和術語術語和定義GB/T41479-2022GB/T37988-2019GB/T36073-2018GB/T25069-2022GB/T35273-2020GB/T39335-2020、GB/T19000-2016、GB/T37973-2019等國家標準界定的以及下列術語和定義適用于本文件。3.1