DB3203-T 1024-2023 公共數(shù)據(jù)分類分級指南

70

3203 DB

3203/T

1024—2023公共數(shù)據(jù)分類分級指南Guidelines

for

public

data

classification

and

grading 徐州市市場監(jiān)督管理局??發(fā)

布DB

3203/T

10242023

II

10

11

14

14

14

16

16

17

18

20

23

24

27DB

3203/T

10242023本文件按照GB/T

1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則

第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定IIDB

3203/T

10242023

GB/T

4754—2017

GB/T

GB/T

38667—2020

public

management

and

service

institutions

public

data

classification

data

grading

dataDB

3203/T

10242023注1：個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理注2：個人敏感信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危

data

collection

data

transmission

data

storage

data

processing

sharing共管和服機構(gòu)履行責(zé)需使用他公共管和服機構(gòu)數(shù)據(jù)者為他公管理

data

opening

data

destruction

DB

3203/T

10242023

數(shù)據(jù)共享屬性：根據(jù)數(shù)據(jù)共享屬性分類；

DB

3203/T

10242023

根據(jù)數(shù)據(jù)資源所涉及的行業(yè)領(lǐng)域范疇，按照GB/T

4754—2017的規(guī)定，將其四級類目的前二級（即

DB

3203/T

10242023

具體分類方法可參考GB/T

38667—2020第8章的相關(guān)要求。

圖1

DB

3203/T

10242023

/不予共享/不予共享/有條件共DB

3203/T

10242023

示例見附錄C，可作為危害程度判別的參考；影響程度的確定需綜合考慮數(shù)據(jù)類型、數(shù)據(jù)特征、數(shù)據(jù)規(guī)

表1

DB

3203/T

10242023

G_b；

G_s；

G_s，兩者取最大值作為待定級數(shù)據(jù)資源

圖2

a)

合法公開露的公共據(jù)可定為級；法律規(guī)規(guī)章未確要求公的個人信等級不得b)

般個人信不低于二；敏感個信息不低三級；個一般信息敏感信息考清單見

c)

于在庫表數(shù)據(jù)文件儲的數(shù)據(jù)級標(biāo)記應(yīng)化至數(shù)據(jù)字段級，關(guān)庫表、件的級別d)

DB

3203/T

10242023對數(shù)據(jù)集A改變匿名方式或者對上述兩個字段重新定級，對于無法評估或者不能完全清楚的潛在不確定

圖3

DB

3203/T

10242023

圖4

a)

b)

c)

d)

10DB

3203/T

10242023e)

f)

a)

b)

c)

d)

核不通過兩種情況內(nèi)部審核通過的直結(jié)束流程返回不通原因，數(shù)審核部門e)

f)

a)

b)

據(jù)內(nèi)容未生變化，因數(shù)據(jù)時性、數(shù)據(jù)模、數(shù)據(jù)用場景、據(jù)加工處方式等發(fā)c)

d)

e)

a)

b)

c)

a)

b)

c)

d)

11/不予共享/不予共享/不予開放/有條件共DB

3203/T

10242023表2

12DB

3203/T

10242023表3

13

IP

DLP

DLPDB

3203/T

10242023表4

14DB

3203/T

10242023

圖5

15

DB

3203/T

1024202316DB

3203/T

10242023

A.1

A.1

控體系、應(yīng)急管理體系等；6.

建設(shè)等，或者可被其他國家或組織利用發(fā)起對我國的軍事打擊；8.

事件；10.影響國家生物安全治理體系、生物資源和人類遺傳資源安全、生命安全和生染病、重大生物安全風(fēng)險；11.影響我國在太空、深海、極地等領(lǐng)域的國家利益和國際合作安全；12.影響我國企業(yè)海外投資、海外重大項目和人員機構(gòu)安全、海外能源資源DB

3203/T

10242023

B.1

B.1

DB

3203/T

1024202319

3.

3.

DB

3203/T

10242023

DB

3203/T

10242023表C.1影響對象的影響程度說明（續(xù)）21DB

3203/T

1024202322

無條件共享/有條件共享無條件共享/有條件共享

DB

3203/T

10242023D.1

互聯(lián)網(wǎng)藥品信息服務(wù)資格審批數(shù)據(jù)分類分級示例見表D.1，本示例中僅做分類分級方法的示例，相

D.1

D.1

個人公積金信息分類分級示例見表D.2，本示例中僅做分類分級方法的示例，相關(guān)分類分級結(jié)論并

D.2

23可直接標(biāo)識自然人身份的信息，如身份證、戶口本、軍官證、護照、駕駛證、行駛證、工作證、出入證、社?？?、居住證、澳臺通行證等證件號碼、證件生效日信息可直接標(biāo)識網(wǎng)絡(luò)或通信用戶身份的信息及賬戶相關(guān)資料信息（金融賬戶除

交易密碼、銀行卡有效期、銀行卡片驗證碼（CVN和CVN2）、USBKEY、動態(tài)口令、可變更的唯一設(shè)備識別碼：Android

ID，IDFA，IDFV，OAID等；不可變更的唯一于個人上網(wǎng)記錄等各類個人信息加工產(chǎn)生的用于對個人用戶分類分析的描述信息，包括但不限于：App偏好，關(guān)系標(biāo)簽，終端偏好，內(nèi)容偏好等標(biāo)簽信息。生物識別原始信息（如樣本、圖像等）和比對信息（如特征值、模板等），包含DB

3203/T

10242023 E.1

E.1

金融賬戶及賬戶相關(guān)信息，包含但不限于：銀行卡號，銀行卡磁道數(shù)據(jù)（或芯片等效信息），銀行卡有效期，電子銀行賬號，支付寶賬號，微信支付賬號，證券賬戶，基金賬戶，保險賬戶，公積金賬戶，公積金聯(lián)名賬號，賬戶開立時間，開戶機構(gòu)，賬戶余額，支付標(biāo)記信息，賬戶登錄密碼，查詢密碼，支付密碼，交易交易過程中產(chǎn)生的交易信息和消費記錄，包含但不限于：交易訂單，交易金額，個人在借貸過程中產(chǎn)生的信息，包含但不限于：個人借款信息，貸款額，還款信個人所持有的土地、房產(chǎn)等不動產(chǎn)信息，個人所持有的飛機、船舶、汽車、機器能具體定位到個人的地理位置數(shù)據(jù)，包括但不限于：家庭住址，通信地址，常駐個人在業(yè)務(wù)服務(wù)過程中的操作記錄和行為數(shù)據(jù)，包括但不限于：網(wǎng)頁瀏覽記錄，軟件使用記錄，點擊記錄，Cookie，發(fā)布的社交信息，點擊記錄，收藏列表，搜通信記錄，包括但不限于：短信，彩信，話音，電子郵件，即時通信等通信內(nèi)容（如文字、圖片、音頻、視頻、文件等），及描述個人通信的元數(shù)據(jù)（如通話時描述個人與關(guān)聯(lián)方關(guān)系的信息，包括但不限于：通訊錄，好友列表，群列表，電與個人身體健康狀況相關(guān)的一般信息，包含但不限于：體重，身高，體溫，肺活個人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，包含但不限于：就診醫(yī)院，疾病名稱，臨床表現(xiàn)，檢查報告，診斷結(jié)果，病癥，住院志，醫(yī)囑單，檢驗報告，體檢報告，手DB

3203/T

10242023

25DB

3203/T

10242023E.2

E.2

E.2

1.公共數(shù)據(jù)采集應(yīng)遵循合法、正當(dāng)、必4.應(yīng)明確數(shù)據(jù)的最小顆粒度到具體字段級別，對采集賬號權(quán)限管理，根據(jù)對數(shù)據(jù)字段的需求，依據(jù)權(quán)限最小化原則分配采集賬號權(quán)限，并通過管控措施實現(xiàn)賬號認(rèn)證和權(quán)限分配，不得采集提供服5.明確數(shù)據(jù)采集的渠道及外部數(shù)據(jù)源，要求敏感數(shù)據(jù)提供方說明數(shù)據(jù)來源，并www.6.依據(jù)全省統(tǒng)一的技術(shù)標(biāo)準(zhǔn)和規(guī)范在法定職權(quán)范圍內(nèi)采集、核準(zhǔn)與提供公共數(shù)1.2.在滿足三級管控要1.數(shù)據(jù)和數(shù)據(jù)源進行證數(shù)據(jù)管理人員能夠追蹤其加工和計1.加強數(shù)據(jù)線下交互的過程管控，對數(shù)據(jù)線下交互建立審核機制及操作流程，要求對線下交互數(shù)據(jù)采取加密、脫敏、物理封裝等防護手段，防止數(shù)據(jù)被違規(guī)2.在網(wǎng)絡(luò)邊界上針對數(shù)據(jù)流向做好隔離3.1.

2.3.滿足級管礎(chǔ)上滿足1.輸，密算國家碼管在滿足三級管控要對數(shù)據(jù)泄露風(fēng)險及DB

3203/T

10242023

F.1

F.1

1.公共數(shù)據(jù)應(yīng)保存在可信或可控的信息2.應(yīng)對存儲系統(tǒng)的賬號權(quán)限進行最小權(quán)3.應(yīng)建立本地數(shù)據(jù)備份與恢復(fù)機制，定1.3.滿足級管礎(chǔ)上滿足1.2.在滿足三級管控要1.2.對數(shù)據(jù)操作行為進行日志記錄、審計3.依據(jù)權(quán)限最小化原則分配賬號權(quán)限，通過管控技術(shù)手段統(tǒng)一實現(xiàn)賬號認(rèn)證和權(quán)限分配；不同用戶只能訪問與自己職4.應(yīng)建立數(shù)據(jù)分析挖掘的操作過程，輸出結(jié)果的安全審查、合規(guī)風(fēng)險評估和數(shù)www.5.對于系統(tǒng)間和后臺數(shù)據(jù)的轉(zhuǎn)移、導(dǎo)出行為，應(yīng)通過管理和技術(shù)手段予以嚴(yán)格1.2.bzfx滿足級管礎(chǔ)上滿足2.行?；?1.建立