2021年12月31號，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處發(fā)布了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》（以下簡稱“《指引》”，文末戳“閱讀原文”可查看《指引》全文），給出了網(wǎng)絡(luò)數(shù)據(jù)分類分級的原則、框架和方法。

北京明朝萬達(dá)科技股份有限公司作為該《指引》的技術(shù)支持單位，從專業(yè)角度為大家進(jìn)行解讀。

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（簡稱“信安標(biāo)委”）是在信息安全技術(shù)專業(yè)領(lǐng)域內(nèi)，從事信息安全標(biāo)準(zhǔn)化工作的技術(shù)工作組織。委員會負(fù)責(zé)組織開展國內(nèi)信息安全有關(guān)的標(biāo)準(zhǔn)化技術(shù)工作，技術(shù)委員會主要工作范圍包括：安全技術(shù)、安全機制、安全服務(wù)、安全管理、安全評估等領(lǐng)域的標(biāo)準(zhǔn)化技術(shù)工作。

《實踐指南》系列是由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處（簡稱“秘書處”）組織制定和發(fā)布的標(biāo)準(zhǔn)相關(guān)技術(shù)文件，旨在圍繞網(wǎng)絡(luò)安全法律法規(guī)政策、標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全熱點和事件等主題，宣傳網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)及知識，提供標(biāo)準(zhǔn)化實踐指引。

為貫徹落實《數(shù)據(jù)安全法》提出的“國家建立數(shù)據(jù)分類分級保護制度”要求，指導(dǎo)數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作，秘書處組織編制了《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南——網(wǎng)絡(luò)數(shù)據(jù)分類分級指引》（簡稱“指引”），并于2021年12月31日正式公開發(fā)布。指引依據(jù)法律法規(guī)和政策標(biāo)準(zhǔn)相關(guān)要求，給出了網(wǎng)絡(luò)數(shù)據(jù)分類分級的原則、框架和方法，適用于指導(dǎo)數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作，也可為主管監(jiān)管部門進(jìn)行數(shù)據(jù)分類分級管理提供參考。

本指引中簡明扼要的闡明了數(shù)據(jù)分類分級的對象分為數(shù)據(jù)項和數(shù)據(jù)集，并且清晰易懂的介紹了數(shù)據(jù)項與數(shù)據(jù)集。在分類分級工作中要注意數(shù)據(jù)項與數(shù)據(jù)集是不同層級上的概念，數(shù)據(jù)項的概念比較復(fù)雜，在數(shù)據(jù)結(jié)構(gòu)中數(shù)據(jù)項是數(shù)據(jù)不可分割的最小單位，在結(jié)構(gòu)化數(shù)據(jù)分類分級工作中數(shù)據(jù)項就是數(shù)據(jù)庫表的字段列；與之相對，非結(jié)構(gòu)化數(shù)據(jù)文件是多個數(shù)據(jù)項的集合，數(shù)據(jù)集的分類識別與安全定級要依據(jù)就高從嚴(yán)原則，數(shù)據(jù)集合中安全級別最高的數(shù)據(jù)項的定級是本數(shù)據(jù)文件最低的安全級別，此外還要考慮數(shù)據(jù)規(guī)模是否會造成數(shù)據(jù)集的安全級別升高。

數(shù)據(jù)分類分級按照數(shù)據(jù)分類管理、分級保護的思路，依據(jù)合法合規(guī)、分類多維、分級明確、就高從嚴(yán)、動態(tài)調(diào)整原則進(jìn)行劃分：

? 分類分級工作首重合規(guī)，優(yōu)先對國家或行業(yè)有專門管理要求的數(shù)據(jù)進(jìn)行識別和管理；

? 可以從多種視角和維度開展分類，推薦從便于組織或企業(yè)數(shù)據(jù)管理和使用角度進(jìn)行分類；

? 分級標(biāo)準(zhǔn)必須明確，各級別數(shù)據(jù)應(yīng)該界限分明，不同級別的數(shù)據(jù)應(yīng)采取不同的保護措施；

? 包含多個級別數(shù)據(jù)項的數(shù)據(jù)集，必須按照數(shù)據(jù)項的最高級別對數(shù)據(jù)集進(jìn)行定級；

? 因時間變化、 政策變化、安全事件發(fā)生、不同業(yè)務(wù)場景的敏感性變化或相關(guān)行業(yè)規(guī)則不同，數(shù)據(jù)安全級別也有可能發(fā)生變化，因此數(shù)據(jù)分類分級進(jìn)行定期審核并及時調(diào)整。

便于數(shù)據(jù)管理和使用目的，本指引采用面分類法，從國家、行業(yè)、組織等視角給出了多個維度的數(shù)據(jù)分類參考框架，每個維度的數(shù)據(jù)也可采用線分類法進(jìn)行細(xì)分：

a) 公民個人維度：個人信息、非個人信息；

b) 公共管理維度：廣義公共數(shù)據(jù)（政務(wù)數(shù)據(jù)、狹義公共數(shù)據(jù)）、社會數(shù)據(jù)；

c) 信息傳播維度：公共傳播信息、非公共傳播信息；

d) 行業(yè)領(lǐng)域維度： 工業(yè)數(shù)據(jù)、電信數(shù)據(jù)、金融數(shù)據(jù)、交通數(shù)據(jù)、自然資源數(shù)據(jù)、衛(wèi)生健康數(shù)據(jù)、教育數(shù)據(jù)、科技數(shù)據(jù)等（GB/T 4754-2017國民經(jīng)濟行業(yè)分類）；

e) 組織經(jīng)營維度 ：用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安全數(shù)據(jù)。

指引從國家數(shù)據(jù)安全角度給出的數(shù)據(jù)分級基本框架，將數(shù)據(jù)從低到高分成一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)共三個級別。核心數(shù)據(jù)、重要數(shù)據(jù)的識別和劃分，按照國家和行業(yè)的核心數(shù)據(jù)目錄、重要數(shù)據(jù)目錄執(zhí)行，目錄不明確時可參考有關(guān)規(guī)定或標(biāo)準(zhǔn)。

由于一般數(shù)據(jù)涵蓋數(shù)據(jù)范圍較廣，采用同一安全級別保護可能無法滿足不同數(shù)據(jù)的安全需求。因此建議數(shù)據(jù)處理者在基本框架定級的基礎(chǔ)上也可結(jié)合行業(yè)數(shù)據(jù)分類分級規(guī)則或組織生產(chǎn)經(jīng)營需求，對一般數(shù)據(jù)進(jìn)行細(xì)化分級。

數(shù)據(jù)處理者優(yōu)先遵循國家、行業(yè)的數(shù)據(jù)分類要求，也可從組織經(jīng)營維度進(jìn)行數(shù)據(jù)分類，數(shù)據(jù)分類流程參考下圖實施。

a) 識別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數(shù)據(jù)類別，并對識別的數(shù)據(jù)類別進(jìn)行區(qū)分標(biāo)識，包括但不限于：

1) 從公民個人維度識別是否存在個人信息；

2) 從公共管理維度識別是否存在公共數(shù)據(jù)；

3) 從信息傳播維度識別是否存在公共傳播信息。

b) 從行業(yè)領(lǐng)域維度，確定待分類數(shù)據(jù)的數(shù)據(jù)處理活動涉及的行業(yè)領(lǐng)域：

1) 如果該行業(yè)領(lǐng)域存在行業(yè)主管部門認(rèn)可或達(dá)成行業(yè)共識的行業(yè)數(shù)據(jù)分類規(guī)則（《指引》附錄C中包含了工業(yè)、電信、金融行業(yè)的數(shù)據(jù)分級規(guī)則與數(shù)據(jù)分級對應(yīng)關(guān)系參考），應(yīng)按照行業(yè)數(shù)據(jù)分類規(guī)則對數(shù)據(jù)進(jìn)行分類；

2) 如果該行業(yè)領(lǐng)域不存在行業(yè)數(shù)據(jù)分類規(guī)則，可從組織經(jīng)營維度結(jié)合自身數(shù)據(jù)管理和使用需要對數(shù)據(jù)進(jìn)行分類，可參考下圖實施；

3) 如果數(shù)據(jù)處理涉及多個行業(yè)領(lǐng)域，建議分別按照各行業(yè)的數(shù)據(jù)分類規(guī)則對數(shù)據(jù)類別進(jìn)行標(biāo)識。

c) 完成上述數(shù)據(jù)分類后，數(shù)據(jù)處理者可采用線分類法對類別進(jìn)一步細(xì)分。

通過分析特定自然人與信息之間的關(guān)系，符合下述情形之一的信息，可判定為個人信息：

a) 可識別特定自然人： 即從信息到個人，依據(jù)信息本身的特殊性可識別出特定自然人，包括單獨或結(jié)合其他信息識別出特定自然人。（按照個人信息標(biāo)識特定自然人的程度，可分為直接標(biāo)識信息、準(zhǔn)標(biāo)識信息。）

b) 與特定自然人關(guān)聯(lián)：即從個人到信息，如已知特定自然人，由該特定自然人在其活動中產(chǎn)生的信息（如個人位置信息、個人通話記錄、網(wǎng)頁瀏覽記錄等），可識別為個人信息。

《指引》中明確了可識別特定自然人的個人信息通過去標(biāo)識化等處理后，如果達(dá)到無法識別特定自然人且不能復(fù)原的匿名化效果，那么處理后的信息不再屬于個人信息。

直接標(biāo)識信息，是指在特定環(huán)境下可單獨唯一識別特定自然人的信息。常見的直接標(biāo)識信息有：姓名、公民身份號碼、護照號、駕照號、詳細(xì)住址、電子郵件地址、移動電話號碼、銀行賬戶、社會保障號碼、唯一設(shè)備識別碼、車輛識別碼、健康卡號碼、病歷號碼、學(xué)號、IP地址、網(wǎng)絡(luò)賬號等。

準(zhǔn)標(biāo)識信息，是指在特定環(huán)境下無法單獨唯一標(biāo)識特定自然人，但結(jié)合其他信息可以唯一標(biāo)識特定自然人的信息。常見的準(zhǔn)標(biāo)識信息有：性別、出生日期或年齡、國籍、籍貫、民族 、職業(yè)、婚姻狀況、受教育水平、宗教信仰、收入狀況等。