2023數(shù)字化改革公共數(shù)據(jù)分類分級(jí)指南

數(shù)字化改革公共數(shù)據(jù)分類分級(jí)指南目??次前??言 II范圍 1規(guī)范性引用文件 1術(shù)語和定義 1數(shù)據(jù)分類 2一般要求 2分類維度 2分類方法 4數(shù)據(jù)分級(jí) 4一般要求 4分級(jí)維度 4分級(jí)方法 5數(shù)據(jù)級(jí)別變更 5附錄A（資料性）公共數(shù)據(jù)分類分級(jí)示例 7附錄B（規(guī)范性）公共數(shù)據(jù)分級(jí)保護(hù)基本要求 9I數(shù)字化改革公共數(shù)據(jù)分類分級(jí)指南范圍本標(biāo)準(zhǔn)規(guī)定了公共數(shù)據(jù)分類分級(jí)的一般要求、維度與方法。本標(biāo)準(zhǔn)不適用于涉密公共數(shù)據(jù)的分類分級(jí)管理。規(guī)范性引用文件GB/T4754-2017國民經(jīng)濟(jì)行業(yè)分類GB/T10113-2003分類與編碼通用術(shù)語GB/T25069-2010信息安全技術(shù)術(shù)語GB/T35295-2017信息技術(shù)大數(shù)據(jù)術(shù)語GB/T38667-2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南術(shù)語和定義GB/T10113-2003、GB/T25069-2010、GB/T35295-2017和GB/T38667-2020界定的以及下列術(shù)語與定義適用于本標(biāo)準(zhǔn)。3.1公共數(shù)據(jù)publicdata（以下統(tǒng)稱公共管理和服務(wù)機(jī)構(gòu)在依法履行職責(zé)和提供公共服務(wù)過程中獲取的數(shù)據(jù)資源以及法律法規(guī)規(guī)章規(guī)定納入公共數(shù)據(jù)管理范圍的其他數(shù)據(jù)資源。3.2數(shù)據(jù)分類dataclassification（3.3數(shù)據(jù)分級(jí)dategrading1（（受侵害客體數(shù)據(jù)分類一般要求應(yīng)按照公共數(shù)據(jù)的多維特征及其相互間存在的邏輯關(guān)聯(lián)進(jìn)行科學(xué)、系統(tǒng)的分類。使用的詞語或短語應(yīng)能準(zhǔn)確表達(dá)數(shù)據(jù)類目的實(shí)際內(nèi)容、內(nèi)涵和外延，相同概念的用語應(yīng)保持一致。應(yīng)結(jié)合現(xiàn)實(shí)需求，符合用戶對(duì)公共數(shù)據(jù)區(qū)分和歸類的普遍認(rèn)知。每個(gè)類目下都有公共數(shù)據(jù)，不設(shè)沒有意義的類目。應(yīng)保持與國家、地方、行業(yè)法律法規(guī)關(guān)于公共數(shù)據(jù)分類分級(jí)的標(biāo)準(zhǔn)和要求相一致，原則上同一分類維度內(nèi)，同一條公共數(shù)據(jù)只分入一個(gè)類目。分類維度數(shù)據(jù)管理維度應(yīng)從元數(shù)據(jù)角度對(duì)公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進(jìn)行數(shù)據(jù)管理維度分類，主要包括：——數(shù)據(jù)產(chǎn)生頻率；——數(shù)據(jù)產(chǎn)生方式；——數(shù)據(jù)結(jié)構(gòu)化特征；——數(shù)據(jù)存儲(chǔ)方式；——數(shù)據(jù)質(zhì)量要求。數(shù)據(jù)產(chǎn)生頻率（單位時(shí)間內(nèi)產(chǎn)生的數(shù)據(jù)量或達(dá)到指定數(shù)據(jù)量的頻率數(shù)據(jù)產(chǎn)生方式數(shù)據(jù)結(jié)構(gòu)化特征根據(jù)公共數(shù)據(jù)的結(jié)構(gòu)化特征可分為：結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)存儲(chǔ)方式數(shù)據(jù)質(zhì)量要求根據(jù)數(shù)據(jù)完整性、時(shí)效性、準(zhǔn)確性等維度的質(zhì)量要求對(duì)數(shù)據(jù)進(jìn)行分類。業(yè)務(wù)應(yīng)用維度對(duì)公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進(jìn)行業(yè)務(wù)應(yīng)用維度分類，主要包括：——數(shù)據(jù)產(chǎn)生來源；——數(shù)據(jù)所屬行業(yè)；——數(shù)據(jù)應(yīng)用領(lǐng)域；——數(shù)據(jù)使用頻率；——數(shù)據(jù)共享屬性；——數(shù)據(jù)開放屬性。其中數(shù)據(jù)產(chǎn)生來源、數(shù)據(jù)所屬行業(yè)應(yīng)按照GB/T38667-2020中6.3業(yè)務(wù)應(yīng)用視角相關(guān)要求，具體行業(yè)領(lǐng)域分類可參照GB/T4754-2017中第3章和第5章的相關(guān)要求。數(shù)據(jù)應(yīng)用領(lǐng)域數(shù)據(jù)使用頻率——冷數(shù)據(jù)類包括離線的，長期存檔的，很少被訪問和使用的數(shù)據(jù)；——溫?cái)?shù)據(jù)類包括經(jīng)常被訪問和使用的數(shù)據(jù)；——熱數(shù)據(jù)類包括是需要被計(jì)算節(jié)點(diǎn)頻繁訪問的在線類數(shù)據(jù)。數(shù)據(jù)共享屬性根據(jù)數(shù)據(jù)共享屬性可分為：無條件共享類、受限共享類和不共享類?？梢蕴峁┙o所有公共管理和服務(wù)機(jī)構(gòu)共享使用的，為無條件共享數(shù)據(jù)?？梢圆糠痔峁┗蛘甙凑仗囟ㄒ筇峁┙o相關(guān)公共管理和服務(wù)機(jī)構(gòu)共享使用的，為受限共享數(shù)據(jù)。列入受限共享數(shù)據(jù)的，數(shù)據(jù)提供單位應(yīng)當(dāng)明確共享?xiàng)l件。數(shù)據(jù)開放屬性根據(jù)數(shù)據(jù)開放屬性可分為：禁止開放類、受限開放類、無條件開放類。其中，禁止開放類包括：開放后危及國家安全、公共安全、經(jīng)濟(jì)安全和社會(huì)穩(wěn)定的；涉及商業(yè)秘密、個(gè)人隱私的；因數(shù)據(jù)獲取協(xié)議或者知識(shí)產(chǎn)權(quán)保護(hù)等禁止開放的；法律、法規(guī)規(guī)定不得開放的。受限開放類包括：涉及商業(yè)秘密、個(gè)人隱私，其指向的特定公民、法人或者其他組織同意開放，且法律、法規(guī)未禁止的；開放將嚴(yán)重?cái)D占公共基礎(chǔ)設(shè)施資源，影響公共數(shù)據(jù)處理效率的；開放安全風(fēng)險(xiǎn)難以評(píng)估的；依法經(jīng)脫敏、脫密等處理的禁止開放類公共數(shù)據(jù)，符合受限開放的，應(yīng)列為受限開放類公共數(shù)據(jù)。無條件開放類包括：除禁止開放類與受限開放類公共數(shù)據(jù)以外的其他公共數(shù)據(jù)；已脫敏、脫密等處理的禁止開放類與受限開放類公共數(shù)據(jù)，符合無條件開放的，可列為無條件開放類公共數(shù)據(jù)。安全保護(hù)維度3從數(shù)據(jù)的重要程度等對(duì)公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進(jìn)行安全保護(hù)維度分類，包括：——核心數(shù)據(jù)：對(duì)公共管理和服務(wù)機(jī)構(gòu)履行社會(huì)管理職能或從事經(jīng)營活動(dòng)極其重要的公共數(shù)據(jù)；數(shù)據(jù)對(duì)象維度對(duì)公共數(shù)據(jù)資源目錄中的數(shù)據(jù)進(jìn)行數(shù)據(jù)對(duì)象維度分類，包括：——個(gè)人：指自然人，包括屬性數(shù)據(jù)和行為數(shù)據(jù)；——組織：指政府部門、企事業(yè)單位、其他法人和非法人組織、團(tuán)體，包括屬性數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)；分類方法公共數(shù)據(jù)分類相關(guān)方法可參照GB/T38667-2020第8章的相關(guān)要求。數(shù)據(jù)分級(jí)一般要求應(yīng)客觀且可被校驗(yàn)，即通過數(shù)據(jù)自身的屬性和分級(jí)規(guī)則即可判定其分級(jí)。公共數(shù)據(jù)的分級(jí)應(yīng)與其共享、開放的類型、范圍、審批和管理要求直接相關(guān)。應(yīng)按照就高從嚴(yán)原則確定數(shù)據(jù)級(jí)別。應(yīng)充分考慮數(shù)據(jù)聚合情況、數(shù)據(jù)體量、數(shù)據(jù)時(shí)效性、數(shù)據(jù)脫敏處理等因素。數(shù)據(jù)集的級(jí)別應(yīng)根據(jù)下屬數(shù)據(jù)項(xiàng)的最高級(jí)來定級(jí)。在多類數(shù)據(jù)中均出現(xiàn)的“通用數(shù)據(jù)”，可根據(jù)實(shí)際內(nèi)容獨(dú)立分級(jí)。應(yīng)結(jié)合具體應(yīng)用場景定級(jí)。分級(jí)維度（受侵害客體）的危害程度來確定數(shù)據(jù)的安全級(jí)別，共分為4級(jí)，由高至低分別為：敏感數(shù)據(jù)（L4級(jí)）、較（L3級(jí)（L2級(jí)（L1級(jí)詳細(xì)數(shù)據(jù)級(jí)別及分級(jí)參考判斷標(biāo)準(zhǔn)見表1。表1數(shù)據(jù)級(jí)別與判斷標(biāo)準(zhǔn)數(shù)據(jù)級(jí)別級(jí)別標(biāo)識(shí)判斷標(biāo)準(zhǔn)L4級(jí)敏感有下列情形之一：對(duì)全社會(huì)、多個(gè)行業(yè)、行業(yè)內(nèi)多個(gè)組織造成嚴(yán)重影響；對(duì)單個(gè)組織的正常運(yùn)作造成極其嚴(yán)重影響；對(duì)人身和財(cái)產(chǎn)安全、個(gè)人名譽(yù)造成嚴(yán)重?fù)p害。表1數(shù)據(jù)級(jí)別與判斷標(biāo)準(zhǔn)(續(xù))L3級(jí)較敏感有下列情形之一：對(duì)全社會(huì)、多個(gè)行業(yè)、行業(yè)內(nèi)多個(gè)組織造成中等程度的影響；對(duì)單個(gè)組織的正常運(yùn)作造成嚴(yán)重影響；對(duì)個(gè)人名譽(yù)造成中等程度的損害。L2級(jí)低敏感有下列情形之一：對(duì)全社會(huì)、多個(gè)行業(yè)、行業(yè)內(nèi)多個(gè)組織造成輕微影響；對(duì)單個(gè)組織的正常運(yùn)作造成中等程度或輕微影響；對(duì)個(gè)人的合法權(quán)益造成輕微損害。L1級(jí)不敏感對(duì)社會(huì)秩序、公共利益、行業(yè)發(fā)展、信息主體均無影響。分級(jí)方法——影響范圍包括：國家安全，全社會(huì)、多個(gè)行業(yè)、行業(yè)內(nèi)多個(gè)組織，單個(gè)組織或個(gè)人；——影響程度包括：極其嚴(yán)重、嚴(yán)重、中等、輕微、無。數(shù)據(jù)級(jí)別變更主要因素?cái)?shù)據(jù)級(jí)別變更的主要因素包括：聚合因素；體量因素；時(shí)效因素；加工因素。數(shù)據(jù)聚合因素聚合數(shù)據(jù)的部門應(yīng)對(duì)數(shù)據(jù)重新定級(jí)；聚合數(shù)據(jù)安全級(jí)別一般不應(yīng)低于所匯聚的原始數(shù)據(jù)的最高級(jí)別；數(shù)據(jù)加工因素其他要求已合法公開披露的公共數(shù)據(jù)可定為L15附錄A（資料性）公共數(shù)據(jù)分類分級(jí)示例數(shù)據(jù)類型數(shù)據(jù)級(jí)別L1L2L3L4數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：已經(jīng)被企業(yè)明示涉及法人和其他組織涉及法人和其他組織法律法規(guī)明確保護(hù)的企公開或主動(dòng)披露權(quán)益的內(nèi)部數(shù)據(jù)，用業(yè)數(shù)據(jù)，泄露會(huì)給企業(yè)帶的數(shù)據(jù)；一般公開于一般業(yè)務(wù)使用，針受限內(nèi)部對(duì)象共享或來嚴(yán)重的經(jīng)濟(jì)損失或名渠道可獲取的數(shù)對(duì)受限對(duì)象共享或開譽(yù)損失，且對(duì)社會(huì)及其他組織據(jù)。示例：放。示例：業(yè)帶來直接經(jīng)濟(jì)損失或名譽(yù)損失的信息。組織造成損害的信息。示例：企業(yè)信用評(píng)價(jià)信空氣環(huán)境監(jiān)測信息，示例：銀行賬戶異動(dòng)信息，法人息，已向社會(huì)公示道路運(yùn)輸許可證信出口退稅外貿(mào)企業(yè)申賬號(hào)信息，財(cái)務(wù)報(bào)表的企業(yè)信息、許可息，科研信用行業(yè)評(píng)信息、處罰信息價(jià)信息，社會(huì)組織嚴(yán)企業(yè)信息，企業(yè)年報(bào)重違法失信名單數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：已經(jīng)被政府、個(gè)人涉及公民的個(gè)人數(shù)法律法規(guī)明確保護(hù)的依據(jù)國家法律法規(guī)和強(qiáng)明示公開或主動(dòng)據(jù)，用于一般業(yè)務(wù)使制性標(biāo)準(zhǔn)或法規(guī)規(guī)定的披露的數(shù)據(jù)；一般用，針對(duì)受限對(duì)象共給個(gè)人帶來直接經(jīng)濟(jì)特別重要數(shù)據(jù)，主要用于公開渠道可獲取享或開放；個(gè)人向特?fù)p失的信息。特定職能部門、特殊崗位的公民信息數(shù)據(jù)。定群體公開的信息。示例：的重要業(yè)務(wù)，只針對(duì)特定示例：示例：社會(huì)保障卡，戶口本，人員公開，且僅為必須知個(gè)人律師年度評(píng)價(jià)情老年人優(yōu)待證信息，居住證，不動(dòng)產(chǎn)權(quán)證。悉的對(duì)象訪問或使用的況信息，公民法律無償獻(xiàn)血證數(shù)據(jù)。一旦泄露會(huì)對(duì)國援助申請(qǐng)信息，個(gè)家、社會(huì)造成嚴(yán)重?fù)p害。人信用評(píng)價(jià)信息。示例：出院記錄，門診就診記錄，城鄉(xiāng)居民財(cái)政補(bǔ)助信息公共數(shù)據(jù)分類分級(jí)示例（續(xù)）數(shù)據(jù)類型數(shù)據(jù)級(jí)別L1L2L3L4數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：數(shù)據(jù)特征：按照法律法規(guī)，明涉及客體的總體數(shù)據(jù)涉及政府的內(nèi)部信息，國家法律法規(guī)和強(qiáng)制性示公開或主動(dòng)披或粗顆粒度數(shù)據(jù)；經(jīng)標(biāo)準(zhǔn)定義的重要數(shù)據(jù)，一露的數(shù)據(jù)；一般公規(guī)定程序?qū)徍撕?，可?duì)受限對(duì)象共享或開般只針對(duì)特定人員公開，開渠道可獲取的以向社會(huì)公開的數(shù)放。且僅為必須知悉的對(duì)象客體數(shù)據(jù)。據(jù)。示例：訪問或使用，被破壞或泄示例：示例：高速收費(fèi)站過車信息、露后，會(huì)對(duì)社會(huì)、組織等廢棄排放信息近岸海區(qū)預(yù)報(bào)信息市內(nèi)道路管制信息造成損害。示例：空氣環(huán)境質(zhì)量小時(shí)值、GIS設(shè)備圖標(biāo)信息7附錄B（規(guī)范性）公共數(shù)據(jù)分級(jí)保護(hù)基本要求類型L1L2L3L41、公共數(shù)據(jù)采集1、公共數(shù)據(jù)采集應(yīng)遵1、公共數(shù)據(jù)采集應(yīng)遵循合理、正當(dāng)、必要原則。2、公共數(shù)據(jù)采集設(shè)備應(yīng)符合安全認(rèn)證，采集流程和方式符合相應(yīng)要求，并對(duì)數(shù)據(jù)的完整性進(jìn)行校驗(yàn)。3、應(yīng)采用加密方式對(duì)數(shù)據(jù)進(jìn)行保護(hù)。1、公共數(shù)據(jù)采集應(yīng)遵循合理、正當(dāng)、必要原則。2認(rèn)證，采集流程和方式符合相應(yīng)要求，并對(duì)數(shù)據(jù)的完整性進(jìn)行校驗(yàn)。3護(hù)。4、應(yīng)使用水印溯源等技術(shù)，對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)及行為進(jìn)行追蹤，可定位到責(zé)任人等。應(yīng)遵循合理、正循合理、正當(dāng)、必要當(dāng)、必要原則。原則。數(shù)據(jù)2、公共數(shù)據(jù)采集2、公共數(shù)據(jù)采集設(shè)備采集設(shè)備應(yīng)符合安全應(yīng)符合安全認(rèn)證，采認(rèn)證，采集流程集流程和方式符合相和方式符合相應(yīng)應(yīng)要求，并對(duì)數(shù)據(jù)的要求。完整性進(jìn)行校驗(yàn)。1、公共數(shù)據(jù)在傳輸過程1VPN感數(shù)據(jù)進(jìn)行檢測。2、應(yīng)對(duì)敏感數(shù)據(jù)進(jìn)行檢測。3、應(yīng)對(duì)公共數(shù)據(jù)進(jìn)行加密傳輸，加密算法應(yīng)符合國家密碼相關(guān)法律、法規(guī)要求。4、應(yīng)使用水印溯源等技術(shù)，對(duì)數(shù)據(jù)泄露風(fēng)險(xiǎn)及行為進(jìn)行追蹤，如定位到責(zé)任人等。中應(yīng)通過VPN等方式建立1、公共數(shù)據(jù)在傳輸過安全通道。數(shù)據(jù)傳輸不需要進(jìn)行傳輸加密。程中應(yīng)通過VPN等方式建立安全通道。2、應(yīng)對(duì)敏感數(shù)據(jù)進(jìn)行2、應(yīng)對(duì)敏感數(shù)據(jù)進(jìn)行檢測。3、應(yīng)對(duì)公共數(shù)據(jù)進(jìn)行加檢測。密傳輸，加密算法應(yīng)符合國家密碼相關(guān)法律、法規(guī)要求。1、公共數(shù)據(jù)應(yīng)保存在可信或可控的信息系統(tǒng)或物理環(huán)境中。2備份。3、對(duì)存儲(chǔ)數(shù)據(jù)的訪問進(jìn)行日志審計(jì)。1、公共數(shù)據(jù)應(yīng)保存在可1、公共數(shù)據(jù)應(yīng)信或可控的信息系統(tǒng)或1、公共數(shù)據(jù)應(yīng)保存在可信或可保存在可信或可物理環(huán)境中?？氐男畔⑾到y(tǒng)或物理環(huán)境中。數(shù)據(jù)存儲(chǔ)控的信息系統(tǒng)或物理環(huán)境中。2、應(yīng)建立數(shù)據(jù)備23、對(duì)存儲(chǔ)數(shù)據(jù)的訪問進(jìn)2、應(yīng)建立數(shù)據(jù)異地備份機(jī)制，定期進(jìn)行數(shù)據(jù)的備份。3、對(duì)存儲(chǔ)數(shù)據(jù)的訪問進(jìn)行日志審份機(jī)制，定期進(jìn)行日志審計(jì)。計(jì)。行數(shù)據(jù)的備份。4、對(duì)公共數(shù)據(jù)可進(jìn)行加4、應(yīng)對(duì)公共數(shù)據(jù)進(jìn)行加密存儲(chǔ)。密存儲(chǔ)。公共數(shù)據(jù)分級(jí)保護(hù)基本要求（續(xù)）類型L1L2L3L4數(shù)據(jù)訪問1、設(shè)置身份標(biāo)識(shí)與鑒別機(jī)制。2為進(jìn)行審計(jì)與分析。1、設(shè)置身份標(biāo)識(shí)與鑒別機(jī)制。2、對(duì)數(shù)據(jù)訪問行為進(jìn)行審計(jì)與分析。3對(duì)用戶進(jìn)行身份鑒別。1、設(shè)置身份標(biāo)識(shí)與鑒別機(jī)制。2情況進(jìn)行審計(jì)、分析。3生物識(shí)別等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別。1、設(shè)置身份標(biāo)識(shí)與鑒別機(jī)制。2、對(duì)數(shù)據(jù)訪問行為進(jìn)行審計(jì)與分析。3等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別。4、應(yīng)持續(xù)對(duì)用戶賬號(hào)進(jìn)行風(fēng)險(xiǎn)監(jiān)測，并對(duì)賬號(hào)進(jìn)行動(dòng)態(tài)授權(quán)。數(shù)據(jù)共享審批要求：數(shù)據(jù)主管部門審批后無條件共享。審批要求：數(shù)據(jù)主管部門審批后無條件共享。審批和數(shù)據(jù)提供單位授權(quán)后受限共享。技術(shù)要求：1、視情況脫敏。2、對(duì)數(shù)據(jù)共享全鏈路各環(huán)節(jié)的權(quán)限最小化控制，比如白名單控制并對(duì)異常進(jìn)程監(jiān)控。3、對(duì)數(shù)據(jù)共享全鏈路各環(huán)節(jié)風(fēng)險(xiǎn)進(jìn)行監(jiān)控。不共享數(shù)據(jù)開放無條件開放審批要求：數(shù)據(jù)主管部門審批后受限開