DB3203T1024-2023公共數(shù)據(jù)分類分級指南

ICS35.240.70

CCSL70

3203

徐州市地方標準

DB3203/T1024—2023

公共數(shù)據(jù)分類分級指南

Guidelinesforpublicdataclassificationandgrading

2023-05-08發(fā)布2023-05-30實施

徐州市市場監(jiān)督管理局??發(fā)布

DB3203/T1024—2023

公共數(shù)據(jù)分類分級指南

1范圍

本文件給出了公共數(shù)據(jù)分類分級的原則、方法、流程、變更的建議和指導，以及公共數(shù)據(jù)的安全分

級管控要求。

本文件適用于徐州市公共數(shù)據(jù)的分類分級工作。

本文件不適用于涉及國家秘密的數(shù)據(jù)和軍事數(shù)據(jù)的分類分級工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T4754—2017國民經(jīng)濟行業(yè)分類

GB/T21063.4—2007政務信息資源目錄體系第4部分：政務信息資源分類

GB/T38667—2020信息技術(shù)大數(shù)據(jù)數(shù)據(jù)分類指南

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

公共管理和服務機構(gòu)publicmanagementandserviceinstitutions

各級國家機關(guān)、法律法規(guī)授權(quán)的具有管理公共事務職能的組織、公共企事業(yè)單位。

公共數(shù)據(jù)publicdata

公共管理和服務機構(gòu)為履行法定職責、提供公共服務收集、產(chǎn)生的，以電子或者其他方式對具有公

共使用價值的信息的記錄。

數(shù)據(jù)分類dataclassification

根據(jù)數(shù)據(jù)資源的屬性或特征，將其按照一定的原則和方法進行區(qū)分和歸類，并建立起一定的分類體

系和排列順序，以便更好地管理和使用數(shù)據(jù)。

數(shù)據(jù)分級datagrading

根據(jù)數(shù)據(jù)的敏感程度和數(shù)據(jù)遭篡改、破壞、泄露或非法利用后對受侵害客體的影響程度，按照一定

的原則和方法進行定級。

敏感數(shù)據(jù)sensitivedata

相關(guān)組織、機構(gòu)和個人收集、產(chǎn)生的不涉及國家秘密，但與國家安全、經(jīng)濟發(fā)展以及公共利益密切

相關(guān)的公共數(shù)據(jù)，包括但不限于個人敏感信息。

1

DB3203/T1024—2023

注1：個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息，不包括匿名化處理

后的信息。

注2：個人敏感信息是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危

害的個人信息，包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十

四周歲未成年人的個人信息。

數(shù)據(jù)采集datacollection

組織機構(gòu)內(nèi)部系統(tǒng)中新產(chǎn)生公共數(shù)據(jù)，以及從外部系統(tǒng)收集公共數(shù)據(jù)的階段。

數(shù)據(jù)傳輸datatransmission

公共數(shù)據(jù)從一個實體傳輸?shù)搅硪粋€實體的階段。

數(shù)據(jù)存儲datastorage

公共數(shù)據(jù)以任何數(shù)字格式進行物理存儲或云存儲的階段。

數(shù)據(jù)處理dataprocessing

公共數(shù)據(jù)操作的系統(tǒng)執(zhí)行，包括對公共數(shù)據(jù)進行計算、分析、可視化等操作。

數(shù)據(jù)共享datasharing

公共管理和服務機構(gòu)因履行職責需要使用其他公共管理和服務機構(gòu)的數(shù)據(jù)或者為其他公共管理和

服務機構(gòu)提供數(shù)據(jù)的行為。

數(shù)據(jù)開放dataopening

公共管理和服務機構(gòu)面向個人、法人和其他組織提供具有原始性、可機器讀取、可供社會化利用的

數(shù)據(jù)集的公共服務。

數(shù)據(jù)銷毀datadestruction

通過對數(shù)據(jù)及數(shù)據(jù)存儲介質(zhì)進行相應的操作手段，使數(shù)據(jù)徹底消除且無法通過任何手段恢復的過程。

4公共數(shù)據(jù)分類

分類原則

4.1.1系統(tǒng)性

按照公共數(shù)據(jù)的多維特征及其相互間客觀存在的邏輯關(guān)聯(lián)進行科學化和系統(tǒng)化的分類。

4.1.2擴展性

數(shù)據(jù)分類應具有概括性和包容性，能夠?qū)崿F(xiàn)各種類型公共數(shù)據(jù)的分類，以及滿足將來可能出現(xiàn)的數(shù)

據(jù)類型。

4.1.3準確性

使用的詞語或短語應能準確表達數(shù)據(jù)類目的實際內(nèi)容、內(nèi)涵和外延，相同概念的用語應保持一致。

2

DB3203/T1024—2023

4.1.4實用性

應結(jié)合現(xiàn)實需求，符合用戶對公共數(shù)據(jù)區(qū)分和歸類的普遍認知。每個類目下都應有公共數(shù)據(jù)，不設

沒有意義的類目。原則上同一分類維度內(nèi)，同一條公共數(shù)據(jù)只分入一個類目。

4.1.5時效性

提供數(shù)據(jù)的公共管理和服務機構(gòu)應定期評估分類維度、方法、結(jié)果的合理性，根據(jù)實際需要進行動

態(tài)調(diào)整。

分類維度

4.2.1數(shù)據(jù)管理維度

應從元數(shù)據(jù)角度對公共數(shù)據(jù)進行數(shù)據(jù)管理維度分類，主要包括：

——數(shù)據(jù)產(chǎn)生頻率：根據(jù)數(shù)據(jù)產(chǎn)生的頻率（單位時間內(nèi)產(chǎn)生的數(shù)據(jù)量或達到指定數(shù)據(jù)量的頻率）

對數(shù)據(jù)進行分類，數(shù)據(jù)產(chǎn)生與更新的單位周期可分為：每秒、分、時、天、周、月、季度、

半年、年，不定期，不更新等；

——數(shù)據(jù)產(chǎn)生方式：根據(jù)公共數(shù)據(jù)產(chǎn)生方式，可分為人工采集數(shù)據(jù)、信息系統(tǒng)產(chǎn)生數(shù)據(jù)、感知設

備產(chǎn)生數(shù)據(jù)，原始數(shù)據(jù)、二次加工數(shù)據(jù)等；

——數(shù)據(jù)結(jié)構(gòu)化特征：根據(jù)公共數(shù)據(jù)的結(jié)構(gòu)化特征，可分為結(jié)構(gòu)化數(shù)據(jù)、半結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)

化數(shù)據(jù)；

——數(shù)據(jù)存儲方式：根據(jù)公共數(shù)據(jù)儲存方式，可分為關(guān)系型數(shù)據(jù)庫存儲數(shù)據(jù)、鍵值數(shù)據(jù)庫存儲數(shù)

據(jù)、列式數(shù)據(jù)庫存儲數(shù)據(jù)、圖數(shù)據(jù)庫存儲數(shù)據(jù)、文檔數(shù)據(jù)庫存儲數(shù)據(jù)等；

——數(shù)據(jù)質(zhì)量要求：根據(jù)數(shù)據(jù)完整性、時效性、準確性等維度的質(zhì)量要求對數(shù)據(jù)進行分類。

4.2.2業(yè)務應用維度

對公共數(shù)據(jù)進行業(yè)務應用維度分類，主要包括：

——數(shù)據(jù)產(chǎn)生來源：根據(jù)數(shù)據(jù)產(chǎn)生的實際情景對數(shù)據(jù)進行分類，包括數(shù)據(jù)產(chǎn)生主體和數(shù)據(jù)權(quán)屬，

數(shù)據(jù)產(chǎn)生主體如人工、機器、傳感器、應用軟件、信息系統(tǒng)等；

——數(shù)據(jù)所屬行業(yè)：根據(jù)數(shù)據(jù)內(nèi)容所屬的行業(yè)對數(shù)據(jù)進行分類；

——數(shù)據(jù)應用領(lǐng)域：根據(jù)數(shù)據(jù)應用領(lǐng)域分類體現(xiàn)公共數(shù)據(jù)對數(shù)字化改革的支撐作用；

——數(shù)據(jù)使用頻率：根據(jù)數(shù)據(jù)使用的頻率進行分類，綜合考慮數(shù)據(jù)的訪問頻次和分析引用層面；

——數(shù)據(jù)共享屬性：根據(jù)數(shù)據(jù)共享屬性分類；

——數(shù)據(jù)開放屬性：根據(jù)數(shù)據(jù)開放屬性分類。

4.2.3其他分類維度

其他分類維度如安全保護維度和數(shù)據(jù)對象維度，安全保護維度從數(shù)據(jù)的重要程度等對公共數(shù)據(jù)進行

安全保護維度分類。

分類方法

4.3.1分類概述

在主題、行業(yè)、對象、來源部門、共享屬性、開放屬性等多個維度對公共數(shù)據(jù)進行分類，對于每個

維度采用線分類法將其分為大類、中類和小類三級。公共管理和服務機構(gòu)按上述方法進行分類，可以根

3

DB3203/T1024—2023

據(jù)業(yè)務需要對小類之后再行細分。對小類的細分，可以根據(jù)業(yè)務數(shù)據(jù)的性質(zhì)、功能、技術(shù)手段等一系列

問題進行擴展細分。

4.3.2按主題分類

按照數(shù)據(jù)資源所涉及的主題范疇，參考GB/T21063.4—2007的規(guī)定，將公共數(shù)據(jù)按照主題進行分類，

采取大類、中類和小類三級分類法。

按主題將大數(shù)據(jù)分為以下基礎(chǔ)大類：生活服務、設立變更、文物保護、醫(yī)療衛(wèi)生、行業(yè)準營、“三

農(nóng)”服務、工程建設、社會保障、民族宗教、教育培訓、環(huán)境資源、安全生產(chǎn)、交通旅游、職業(yè)資格、

住房保障、納稅納費、投資立項、勞動就業(yè)、出境入境、涉外服務、破產(chǎn)注銷、死亡殯葬、婚育收養(yǎng)、

其他。

其他主題可以作為擴展主題，即分類不滿足工作需要，可另行根據(jù)實際業(yè)務情況建立主題。

4.3.3按行業(yè)分類

根據(jù)數(shù)據(jù)資源所涉及的行業(yè)領(lǐng)域范疇，按照GB/T4754—2017的規(guī)定，將其四級類目的前二級（即

門類、大類）對應為行業(yè)分類中的大類、小類。

4.3.4按對象分類

按照公共數(shù)據(jù)所描述的對象分為個人數(shù)據(jù)、組織數(shù)據(jù)、客體數(shù)據(jù)三類：

——個人數(shù)據(jù)是指自然人的屬性數(shù)據(jù)和行為數(shù)據(jù)，屬性數(shù)據(jù)包括但不限于姓名、證件信息、戶籍

信息、聯(lián)系地址信息等，行為數(shù)據(jù)包括但不限于交通出行、投資資產(chǎn)等；

——組織數(shù)據(jù)指政府部門、企事業(yè)單位、其他法人和非法人組織、社會團體等組織的屬性數(shù)據(jù)和

業(yè)務數(shù)據(jù)，屬性數(shù)據(jù)包括但不限于名稱、編碼、證件信息等，業(yè)務數(shù)據(jù)包括但不限于稅務、

資本資產(chǎn)、社保公積金等；

——客體數(shù)據(jù)指非個人或組織的客觀實體（如河流、道路、建筑）的屬性數(shù)據(jù)和感應數(shù)據(jù)，包括

但不限于基礎(chǔ)設施、位置、指標參數(shù)、運行狀態(tài)、氣象數(shù)據(jù)、空氣質(zhì)量、水質(zhì)等數(shù)據(jù)。

4.3.5按來源部門分類

依據(jù)數(shù)據(jù)來源，按照公共管理和服務機構(gòu)設置分類，根據(jù)徐州市實際的公共管理和服務機構(gòu)設置對

數(shù)據(jù)的部門分類進行實時調(diào)整分類。

4.3.6按共享屬性分類

依照數(shù)據(jù)共享屬性，數(shù)據(jù)分為無條件共享、有條件共享、不予共享：

——無條件共享數(shù)據(jù)：可以提供給所有公共管理和服務機構(gòu)共享使用的公共數(shù)據(jù)屬于無條件共享

類；

——有條件共享數(shù)據(jù)：可以按照一定條件提供給有關(guān)公共管理和服務機構(gòu)共享使用的公共數(shù)據(jù)依

據(jù)不同程度分為一般條件共享類和嚴格條件共享類；

——不予共享數(shù)據(jù)：不宜提供給其他公共管理和服務機構(gòu)共享使用的公共數(shù)據(jù)屬于不予共享類。

4.3.7按開放屬性分類

依照數(shù)據(jù)開放屬性，數(shù)據(jù)分為無條件開放、有條件開放、不予開放：

——無條件開放數(shù)據(jù)：公共管理和服務機構(gòu)應當通過公共數(shù)據(jù)平臺主動向社會開放無條件開放類

公共數(shù)據(jù)，公民、法人和其他組織登錄即可獲取、使用；

4

DB3203/T1024—2023

——有條件開放數(shù)據(jù)：在法律法規(guī)允許限定對象、用途、使用范圍等特定條件下可以提供給公民、

法人和其他組織使用的公共數(shù)據(jù)屬于一般條件開放類或嚴格條件開放類。公共管理和服務機

構(gòu)應當明確一般條件開放類和嚴格條件開放類公共數(shù)據(jù)的開放要求，向符合條件的公民、法

人和其他組織開放；

——不予開放數(shù)據(jù)：應當依法予以保密的公共數(shù)據(jù)以及法律、法規(guī)、規(guī)章規(guī)定不得開放的其他公

共數(shù)據(jù)屬于不予開放類。

4.3.8其他分類法

具體分類方法可參考GB/T38667—2020第8章的相關(guān)要求。

分類流程

數(shù)據(jù)分類流程見圖1。

a確定分類對象：根據(jù)數(shù)據(jù)的業(yè)務類型、應用場景、產(chǎn)生來源等特性確定分類對象。

b選擇分類維度：選擇分類維度，梳理分類視角的數(shù)據(jù)特征和根據(jù)數(shù)據(jù)特征選取分類維度。

c選擇分類方法：選擇分類方法過程需明確分類維度的排列順序和組合方式。

d確定分類結(jié)果：初步確定分類結(jié)果。

e公共管理和服務機構(gòu)內(nèi)部審核分類結(jié)果：測試評估本機構(gòu)內(nèi)的數(shù)據(jù)分類情況，給出審核結(jié)果和意見。

f公共數(shù)據(jù)主管部門審核分類結(jié)果：公共數(shù)據(jù)主管部門審核分類結(jié)果。

圖1數(shù)據(jù)分類流程

5

DB3203/T1024—2023

分類變更

4.5.1變更類型

分類變更包含新增分類、修改分類、刪除分類。

4.5.2變更原則

分類變更過程需符合本文件中定義的分類原則、要求、維度及方法，變更流程經(jīng)審批通過后執(zhí)行變

更操作。

4.5.3變更流程

變更申請需明確變更類型、變更范圍以及變更原因，變更審核不通過的需返回未通過原因，對于刪

除類的變更，申請單位需提供相對應的數(shù)據(jù)處置方案。

5公共數(shù)據(jù)分級

分級原則

5.1.1依法依規(guī)

數(shù)據(jù)級別劃分應滿足相關(guān)法律、法規(guī)及監(jiān)管要求。

5.1.2自主定級

各級公共管理和服務機構(gòu)在采集、存儲、傳輸、處理、共享、開放、銷毀公共數(shù)據(jù)等行為之前，應

按照本文件自主對各種類型公共數(shù)據(jù)進行分級。

5.1.3綜合判定

公共數(shù)據(jù)的分級是客觀且可被校驗的，即通過數(shù)據(jù)自身的屬性和分級規(guī)則即可判定其分級。應與其

共享、開放的類型、范圍、審批和管理要求直接相關(guān)。應充分考慮數(shù)據(jù)聚合情況、數(shù)據(jù)體量、數(shù)據(jù)時效

性、數(shù)據(jù)脫敏處理等因素。應結(jié)合字段的含義和具體應用場景進行定級。在多類數(shù)據(jù)中均出現(xiàn)的通用數(shù)

據(jù)，可根據(jù)實際內(nèi)容獨立分級。

5.1.4就高從嚴

應按照就高從嚴原則確定數(shù)據(jù)級別，數(shù)據(jù)集的級別應根據(jù)其包含數(shù)據(jù)項的最高級來定級。

5.1.5分級管控

各級公共管理和服務機構(gòu)確定數(shù)據(jù)等級后，根據(jù)數(shù)據(jù)等級實施分級管控措施，在公共數(shù)據(jù)全生命周

期采取差異化管理措施。

5.1.6及時更新

數(shù)據(jù)的分級具有一定的時效性。數(shù)據(jù)的級別可能因時間變化而按照一些預定的安全策略發(fā)生改變。

5.1.7科學合理

數(shù)據(jù)級別具有合理性。級別劃定過低可能導致數(shù)據(jù)不能得到有效保護；級別劃定過高可能導致不必

要的業(yè)務開支。

6

DB3203/T1024—2023

分級方法

5.2.1分級概述

數(shù)據(jù)分級通過定量與定性相結(jié)合的方式，首先識別數(shù)據(jù)分級要素情況，然后對數(shù)據(jù)因素進行分析，

確定數(shù)據(jù)一旦遭到泄露、篡改、破壞或者非法獲取、非法利用、非法共享，可能影響的對象和影響程度，

最終綜合確定數(shù)據(jù)級別。

5.2.2分級要素

數(shù)據(jù)分級的要素，包括數(shù)據(jù)領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度、重要性、安全風險等，

其中領(lǐng)域、群體、區(qū)域、重要性、安全風險通常屬于定性要素，精度、規(guī)模、覆蓋度屬于定量要素，深

度通常作為衍生數(shù)據(jù)的分級要素。識別數(shù)據(jù)定級要素相關(guān)情況。分級要素定義見附錄A。

5.2.3影響分析

數(shù)據(jù)分級基于影響分析進行綜合判定，影響分析包括：數(shù)據(jù)發(fā)生泄露、篡改、丟失或濫用后的影響

對象和影響程度。

5.2.3.1影響對象

通常包括國家安全、經(jīng)濟運行、社會穩(wěn)定、公共利益、組織權(quán)益、個人權(quán)益等，影響對象定義和判

斷可能對影響對象產(chǎn)生影響的常見考慮因素見附錄B。

5.2.3.2影響程度

影響程度從高到低劃分為四個程度分別是嚴重危害、一般危害、輕微危害和無危害，影響程度參考

示例見附錄C，可作為危害程度判別的參考；影響程度的確定需綜合考慮數(shù)據(jù)類型、數(shù)據(jù)特征、數(shù)據(jù)規(guī)

模等因素，并結(jié)合業(yè)務屬性確定數(shù)據(jù)安全性遭到破壞后的影響程度。

5.2.4分級規(guī)則

公共數(shù)據(jù)分級按照基本級別、細分級別劃分，基本級別從低到高分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)

據(jù)三個級別；細分級別對應到基本級別，從低到高分為一級到四級，數(shù)據(jù)分級后需與數(shù)據(jù)的開放和共享

形成對應。分級規(guī)則見表1。

表1分級規(guī)則

基本細分影響對象

敏感程度共享屬性開放屬性

級別級別國家安全經(jīng)濟運行社會穩(wěn)定公共利益?zhèn)€人權(quán)益組織權(quán)益

核心一般危害、有條件共享

四級高敏感數(shù)據(jù)嚴重危害嚴重危害嚴重危害嚴重危害嚴重危害不予開放

數(shù)據(jù)嚴重危害/不予共享

有條件開

重要輕微危害、輕微危害、輕微危害、有條件共享

三級敏感數(shù)據(jù)輕微危害一般危害一般危害放/不予

數(shù)據(jù)一般危害一般危害一般危害/不予共享

開放

無條件共享

有條件開

二級低敏感數(shù)據(jù)輕微危害輕微危害/有條件共

一般放

無危害無危害無危害無危害享

數(shù)據(jù)

無條件開

一級不敏感數(shù)據(jù)無危害無危害無條件共享

放

7

DB3203/T1024—2023

定級實施

5.3.1定級概述

根據(jù)影響分析和分級規(guī)則對庫表、文件、接口存儲和傳輸?shù)臄?shù)據(jù)做定級。對于沒有分級的公共數(shù)據(jù)，

暫時不予開放，待確定等級之后安全有序開放。

數(shù)據(jù)資源的等級劃分要結(jié)合數(shù)據(jù)項（字段）和業(yè)務場景進行綜合判定并實施定級，公共數(shù)據(jù)級別判

定流程包括數(shù)據(jù)項（字段）定級、業(yè)務場景定級、綜合定級三個步驟，最后按照就高從嚴、綜合判定的

原則確定數(shù)據(jù)資源安全等級，具體分級示例見附錄D，數(shù)據(jù)級別判定流程見圖2。

a數(shù)據(jù)項（字段）定級。依據(jù)字段含義，按照數(shù)據(jù)分級規(guī)則，對待定級的數(shù)據(jù)資源包含的所有數(shù)據(jù)項（字段）進行

等級劃分，數(shù)據(jù)資源定級為其包含的數(shù)據(jù)項的最高安全等級，記為G_b；

b業(yè)務場景定級。依據(jù)數(shù)據(jù)資源的業(yè)務場景，根據(jù)原始數(shù)據(jù)在業(yè)務場景中可形成的衍生數(shù)據(jù)情況，判斷衍生數(shù)據(jù)的

安全等級，數(shù)據(jù)資源定級為其業(yè)務場景下衍生的數(shù)據(jù)的最高安全等級，記為G_s；

c綜合定級。步驟1的數(shù)據(jù)項（字段）定級G_b與步驟2的業(yè)務場景定級G_s，兩者取最大值作為待定級數(shù)據(jù)資源

的最終定級G=MAX{G_b,G_s}。

圖2數(shù)據(jù)級別判定流程

5.3.2數(shù)據(jù)項定級

根據(jù)數(shù)據(jù)項定級可參考如下規(guī)則：

a)已合法公開披露的公共數(shù)據(jù)可定為一級；法律法規(guī)規(guī)章未明確要求公開的個人信息等級不得

低于二級；法律法規(guī)明確要求保護的公共數(shù)據(jù)，數(shù)據(jù)安全等級應定為三級以上；

b)一般個人信息不低于二級；敏感個人信息不低于三級；個人一般信息和敏感信息參考清單見

附錄E；

c)對于在庫表、數(shù)據(jù)文件存儲的數(shù)據(jù)分級標記應細化至數(shù)據(jù)的字段級，相關(guān)庫表、文件的級別

按照包含字段的最高安全級別定級；

d)對數(shù)據(jù)接口定級按照其響應請求返回字段中安全級別最高的字段級別定級。

5.3.3業(yè)務場景定級

對有數(shù)據(jù)融合場景的應用數(shù)據(jù)，注意根據(jù)數(shù)據(jù)融合風險對數(shù)據(jù)定級，應結(jié)合場景、數(shù)據(jù)可整合關(guān)聯(lián)

的信息綜合判定數(shù)據(jù)級別，因數(shù)據(jù)整合應用產(chǎn)生更高級別的敏感度的情況下，按照高級別的敏感度定級；

例如：數(shù)據(jù)集A采用了屏蔽身份證號碼中間8位的匿名處理后開放方式（樣例數(shù)據(jù)：320324********4321），

但數(shù)據(jù)表字段B可獲取自然人的出生年月日8位數(shù)，兩個數(shù)據(jù)集整合后可能存在泄露個人信息的情況，需

8

DB3203/T1024—2023

對數(shù)據(jù)集A改變匿名方式或者對上述兩個字段重新定級，對于無法評估或者不能完全清楚的潛在不確定

風險，建議通過組織專家評審方式數(shù)據(jù)定級。

5.3.4定級實施流程

數(shù)據(jù)定級實施流程見圖3。

a確定分級對象。確定待分級的數(shù)據(jù)，如數(shù)據(jù)項、數(shù)據(jù)集、衍生數(shù)據(jù)等。

b識別分級要素。識別數(shù)據(jù)的領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、重要性、安全風險等分級要素情況。

c確定影響對象。確定該類數(shù)據(jù)安全屬性（完整性、保密性、可用性）遭到破壞后可能影響的范圍，包括個人利益

相關(guān)、公共利益相關(guān)、社會秩序相關(guān)、國家安全相關(guān)。

d確定影響程度。確定該類數(shù)據(jù)安全屬性（完整性、保密性、可用性）遭到破壞后可能影響程度，包括嚴重、一般、

輕微、無。

e數(shù)據(jù)定級綜合判別。必須遵守原則包括已合法公開披露的公共數(shù)據(jù)可定為一級；法律法規(guī)規(guī)章未明確要求公開的

個人信息等級不得低于二級；法律法規(guī)明確要求保護的公共數(shù)據(jù)，數(shù)據(jù)安全等級應定為三級以上；其他數(shù)據(jù)參考

上文判定標準自主定級。

f數(shù)據(jù)定級。綜合上述步驟確定的該類數(shù)據(jù)安全屬性（完整性、保密性、可用性）遭到破壞后的影響對象、影響范

圍、影響程度，對數(shù)據(jù)進行定級。

圖3數(shù)據(jù)定級實施流程

分級流程

數(shù)據(jù)分級流程見圖4。

9

DB3203/T1024—2023

a數(shù)據(jù)分級：公共管理和服務機構(gòu)按照本文件指導實施數(shù)據(jù)分級工作，工作步驟包括確定分級對象、分級影響要素

識別、數(shù)據(jù)影響分析、明確分級規(guī)則并初步確定數(shù)據(jù)等級。

b公共管理和服務機構(gòu)內(nèi)部審核分級結(jié)果：公共管理和服務機構(gòu)應對數(shù)據(jù)的分級結(jié)果進行內(nèi)部審核。

c公共數(shù)據(jù)主管部門審核分級結(jié)果：公共數(shù)據(jù)主管部門審核數(shù)據(jù)分級結(jié)果。

圖4數(shù)據(jù)分級流程

分級變更

對于需要進行級別變更的數(shù)據(jù)，按照分級原則要求重新進行分級。

5.5.1變更原則

數(shù)據(jù)安全級別變更必須遵循以下的原則：

a)從原始數(shù)據(jù)中直接部分復制出來的新數(shù)據(jù)級別不應高于原有數(shù)據(jù)級別；

b)從多個原始數(shù)據(jù)直接合并的新數(shù)據(jù)不應低于原有數(shù)據(jù)最高級別；

c)對不同數(shù)據(jù)選取部分數(shù)據(jù)進行合并形成的新數(shù)據(jù)，應根據(jù)新數(shù)據(jù)的關(guān)鍵要素進行重新判定；

d)數(shù)據(jù)內(nèi)容不發(fā)生變化時，進行級別變更時需有明確的依據(jù)；

10

DB3203/T1024—2023

e)安全級別變更時，應由本組織機構(gòu)的主要領(lǐng)導人進行審批同意；

f)匯聚數(shù)據(jù)的安全級別須經(jīng)數(shù)據(jù)使用方和數(shù)據(jù)資源管理機構(gòu)聯(lián)合評估確認后進行判定。

5.5.2變更制度

公共數(shù)據(jù)分級變更必須遵守以下變更制度要求，除本變更制度規(guī)定以外任何形式的變更通知均不予

接受：

a)變更類型包含：新增分級、修改分級、刪除分級；變更范圍包含：維度變更和級別調(diào)整；

b)數(shù)據(jù)變更需符合本文件中定義的分級原則、要求、維度及方法；

c)變更申請單需明確變更類型、變更范圍以及變更原因；

d)審核不通過的兩種情況：內(nèi)部審核不通過的直接結(jié)束流程并返回不通過原因，數(shù)據(jù)審核部門

審核不通過的則返回申請人重新提交變更申請并返回不通過原因；

e)進入執(zhí)行階段的流程不可進行取回、回退、中斷等操作；

f)對于刪除類的變更，申請單位需提供相對應的數(shù)據(jù)處置方案。

5.5.3變更場景

公共數(shù)據(jù)分級完成以后，出現(xiàn)以下情形之一時，宜對相關(guān)數(shù)據(jù)的安全級別進行變更，并按照數(shù)據(jù)分

級辦法對變更后的數(shù)據(jù)重新分級，安全級別變更情況包括：

a)數(shù)據(jù)內(nèi)容發(fā)生變化，導致原有數(shù)據(jù)的安全級別不適用變化后的數(shù)據(jù)；

b)數(shù)據(jù)內(nèi)容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)

生變化，導致原定的數(shù)據(jù)安全級別不再適用；

c)因數(shù)據(jù)匯集融合，導致原有數(shù)據(jù)安全級別不再適用匯聚融合后的數(shù)據(jù)；

d)因國家和行業(yè)主管部門要求或新政策法規(guī)要求，導致原定的安全級別不再適用；

e)需要對數(shù)據(jù)安全級別變更的其他情況。

5.5.3.1安全級別提升

發(fā)生以下場景時，應考慮提升數(shù)據(jù)級別：

a)聚合多家業(yè)務部門數(shù)據(jù)；

b)大量數(shù)據(jù)進行聚合；

c)發(fā)生特定事件導致數(shù)據(jù)具有敏感性。

5.5.3.2安全級別降低

發(fā)生以下場景時，可考慮降低數(shù)據(jù)級別：

a)數(shù)據(jù)已被公開或披露；

b)數(shù)據(jù)進行脫敏或刪除關(guān)鍵字段；

c)數(shù)據(jù)經(jīng)過較長時間（需明確數(shù)據(jù)含義和時間點）；

d)發(fā)生特定事件導致數(shù)據(jù)失去敏感性時。

分級管控

5.6.1各級數(shù)據(jù)共享開放要求

對于各級數(shù)據(jù)對應的共享開放要求見表2。

11

DB3203/T1024—2023

表2各級數(shù)據(jù)共享開放要求

基本細分

敏感程度共享屬性開放屬性共享開放要求

級別級別

對于四級數(shù)據(jù)的共享需要通過專家委員會一事一議，四級數(shù)據(jù)不

予開放。技術(shù)能力上，使用兩種以上方式對數(shù)據(jù)使用者身份鑒權(quán)，

核心有條件共享具備網(wǎng)絡流向控制、請求控制和限流，建立專門的數(shù)據(jù)流轉(zhuǎn)通道；

四級高敏感數(shù)據(jù)不予開放

數(shù)據(jù)/不予共享保證系統(tǒng)高可用性；必須對數(shù)據(jù)進行脫敏處理；具備數(shù)據(jù)溯源能

力，對開放、共享過程進行日志記錄和評審；業(yè)務結(jié)束后以不可

逆方式銷毀數(shù)據(jù)，對銷毀過程有審批、記錄、監(jiān)督。

重要有條件共享有條件開放有條件共享適用于二級、三級、四級敏感數(shù)據(jù)。管理監(jiān)督上，需

三級敏感數(shù)據(jù)

數(shù)據(jù)/不予共享/不予開放要明確數(shù)據(jù)共享目的、用途和范圍；評估認定數(shù)據(jù)共享、開放不

產(chǎn)生輕微以上的影響，對數(shù)據(jù)安全問題可控制；需數(shù)據(jù)使用方依

法合規(guī)使用數(shù)據(jù)；嚴格審批流程。技術(shù)能力上，對數(shù)據(jù)使用者能

夠進行身份鑒權(quán)；具備網(wǎng)絡流向控制，建立專門的數(shù)據(jù)流轉(zhuǎn)通道；

保證系統(tǒng)高可用性，具備數(shù)據(jù)脫敏處理能力；對共享過程進行日

無條件共享

志記錄和審計；業(yè)務結(jié)束后采用刪除、覆蓋和格式化方式銷毀數(shù)

一般二級低敏感數(shù)據(jù)/有條件共有條件開放

據(jù)，確保銷毀數(shù)據(jù)不可恢復并對銷毀過程有審批、記錄、監(jiān)督。

數(shù)據(jù)享

有條件開放適用于二級、三級敏感數(shù)據(jù)。管理監(jiān)督上，需要確保

數(shù)據(jù)開放的目的、用途和范圍，原則上向特定對象授權(quán)使用；評

估認定數(shù)據(jù)開放不產(chǎn)生一般以上的影響，對數(shù)據(jù)安全問題全程可

控，數(shù)據(jù)使用者依法合規(guī)使用數(shù)據(jù)；嚴格規(guī)范整個審批流程。

一級不敏感數(shù)據(jù)無條件共享無條件開放一級數(shù)據(jù)無條件共享，無條件開放。

5.6.2數(shù)據(jù)全生命周期分級管控

不同級別數(shù)據(jù)對其數(shù)據(jù)生命周期進行差異化的管控，按照采集、傳輸、存儲、處理、共享、開放、

銷毀等階段實施數(shù)據(jù)生命周期分級管控，具體管控要求見附錄F。

5.6.3數(shù)據(jù)各類形態(tài)分級管控

5.6.3.1數(shù)據(jù)形態(tài)

數(shù)據(jù)存在形態(tài)一般分為原始數(shù)據(jù)、統(tǒng)計數(shù)據(jù)、脫敏數(shù)據(jù)，數(shù)據(jù)形態(tài)描述見表3。

12

DB3203/T1024—2023

表3數(shù)據(jù)形態(tài)

數(shù)據(jù)形態(tài)描述

原始數(shù)據(jù)匯聚數(shù)據(jù)的原本形式和內(nèi)容，沒做任何加工處理。

對各類敏感數(shù)據(jù)所包含的敏感信息進行模糊化、加擾、加密或轉(zhuǎn)換后（如：對身份證號碼進行不可

脫敏數(shù)據(jù)逆置換，但仍保持相應格式）形成的，無法通過推算演繹（含逆向推算、枚舉推算等）、關(guān)聯(lián)分析

等方式識別出敏感信息的新數(shù)據(jù)。

通過對采集的數(shù)據(jù)（如稅務數(shù)據(jù)、移動運營商數(shù)據(jù)、市民刷卡交易統(tǒng)計數(shù)據(jù)）等進行統(tǒng)計分析、挖

統(tǒng)計數(shù)據(jù)掘、統(tǒng)計，以圖形、圖像處理、計算機視覺以及用戶界面的技術(shù)，通過表達、建模以及對立體、表

面、屬性加以動畫的顯示，對數(shù)據(jù)加以統(tǒng)計及可視化等。

5.6.3.2數(shù)據(jù)各類形態(tài)分級管控要求

數(shù)據(jù)三種形態(tài)在數(shù)據(jù)共享、開放、處理時應遵循的分級管控要求：

——一級數(shù)據(jù)在共享時，允許以原始數(shù)據(jù)、脫敏數(shù)據(jù)以及統(tǒng)計數(shù)據(jù)形態(tài)提供；二級、三級數(shù)據(jù)在

共享時，允許以原始數(shù)據(jù)、脫敏數(shù)據(jù)以及統(tǒng)計數(shù)據(jù)形態(tài)經(jīng)加密處理后提供；四級數(shù)據(jù)在共享

時，不允許以原始數(shù)據(jù)、脫敏數(shù)據(jù)形態(tài)提供，允許以統(tǒng)計數(shù)據(jù)形態(tài)經(jīng)加密處理后提供。

——一級數(shù)據(jù)在開放時，允許以原始數(shù)據(jù)、脫敏數(shù)據(jù)以及統(tǒng)計數(shù)據(jù)形態(tài)提供；二級、三級數(shù)據(jù)在

開放時，不允許以原始數(shù)據(jù)形態(tài)提供，允許以脫敏數(shù)據(jù)、統(tǒng)計數(shù)據(jù)形態(tài)經(jīng)加密處理后提供；

四級數(shù)據(jù)在開放時，不允許以原始數(shù)據(jù)、脫敏數(shù)據(jù)形態(tài)提供，允許以統(tǒng)計數(shù)據(jù)形態(tài)經(jīng)加密處

理后提供。

——一級數(shù)據(jù)在部門內(nèi)加工、分析時，允許以原始數(shù)據(jù)、脫敏數(shù)據(jù)以及統(tǒng)計數(shù)據(jù)形態(tài)提供；二級、

三級數(shù)據(jù)在部門內(nèi)加工、分析時，不允許以原始數(shù)據(jù)形態(tài)提供，允許以脫敏數(shù)據(jù)、統(tǒng)計數(shù)據(jù)

形態(tài)提供；四級數(shù)據(jù)在部門內(nèi)加工、分析時，不允許以原始數(shù)據(jù)形態(tài)提供，允許以脫敏數(shù)據(jù)、

統(tǒng)計數(shù)據(jù)形態(tài)經(jīng)加密處理后提供。

5.6.4數(shù)據(jù)內(nèi)部處理分級管控

數(shù)據(jù)除了用于共享及對外開放之外，還涉及數(shù)據(jù)所有者對于數(shù)據(jù)的處理、分析挖掘等過程，主要對

象為內(nèi)部人員，所有的數(shù)據(jù)集的使用安全管理過程應按照數(shù)據(jù)項融合后的最高級別進行，數(shù)據(jù)內(nèi)部處理

分級管控見表4。

13

DB3203/T1024—2023

表4數(shù)據(jù)內(nèi)部處理分級管控要求

數(shù)據(jù)等級數(shù)據(jù)內(nèi)部處理分級管控

1.可以以原始數(shù)據(jù)的方式被授權(quán)訪問。

2.應保證使用被授權(quán)的賬號進行數(shù)據(jù)訪問，并且該賬號可以定位到個人。

一級3.申請授權(quán)時應明確數(shù)據(jù)加工、分析的目標和范圍，確保加工前后數(shù)據(jù)映射關(guān)系。

4.應對數(shù)據(jù)加工、分析等處理環(huán)節(jié)的操作行為建立日志，日志保存期限應不少于6個月。

5.在終端上分析、加工數(shù)據(jù)后，不應保存原始數(shù)據(jù)。

1.原則上以脫敏數(shù)據(jù)和統(tǒng)計數(shù)據(jù)的方式被訪問，因業(yè)務需要原始數(shù)據(jù)時，需通過審批。

2.需使用被授權(quán)的賬號進行數(shù)據(jù)訪問，該賬號可以定位到個人。

3.需過審批授權(quán)后，進行應用認證和授權(quán)處理的方式訪問數(shù)據(jù)。數(shù)據(jù)申請時明確數(shù)據(jù)加工、分析的

目標和范圍，確保加工前后數(shù)據(jù)映射關(guān)系。

4.應對數(shù)據(jù)加工、分析等處理環(huán)節(jié)的操作行為建立日志，日志保存期限應不少于1年。

二級

5.當需要導出到終端上分析、加工數(shù)據(jù)時，需在平臺上通過二次審批并下發(fā)導出安全策略，分析完

成后終端上不允許保留導出數(shù)據(jù)。

6.遠程加工、分析數(shù)據(jù)時，應嚴格限制數(shù)據(jù)加工、分析終端的外部接入IP數(shù)量和地址。

7.使用網(wǎng)絡DLP設備對終端進行敏感數(shù)據(jù)識別和發(fā)現(xiàn)；應對加工、分析產(chǎn)生的新數(shù)據(jù)設置級別標簽，

分析后的結(jié)果應通過風險評估、審核審批之后方可發(fā)送給數(shù)據(jù)需求方。

1.原則上以脫敏數(shù)據(jù)和統(tǒng)計數(shù)據(jù)的方式被訪問，因業(yè)務需要原始數(shù)據(jù)時，需通過審批，審批級別高

于二級數(shù)據(jù)。

2.需要使用被授權(quán)的賬號進行數(shù)據(jù)訪問，該賬號可以定位到個人。

3.需通過審批授權(quán)后，進行應用認證和授權(quán)處理的方式訪問數(shù)據(jù)。申請時明確數(shù)據(jù)加工、分析的目

標和范圍，確保加工前后數(shù)據(jù)映射關(guān)系。

三級4.應對數(shù)據(jù)加工、分析等處理環(huán)節(jié)的操作行為建立日志，日志保存期限應不少于3年。

5.保證數(shù)據(jù)僅能在內(nèi)部進行數(shù)據(jù)加工、分析操作，并采取技術(shù)措施禁止遠程加工、分析數(shù)據(jù)。

6.通常情況下不允許導出到終端上分析、加工數(shù)據(jù)，如分析需要，需在平臺上通過二次審批并下發(fā)

導出安全策略，終端上不允許保留導出數(shù)據(jù)。

7.使用網(wǎng)絡DLP設備對終端進行敏感數(shù)據(jù)識別和發(fā)現(xiàn)；應對加工、分析產(chǎn)生的新數(shù)據(jù)設置級別標簽，

分析后的結(jié)果應通過風險評估、審核審批之后方可發(fā)送給數(shù)據(jù)需求方。

四級不允許數(shù)據(jù)處理者直接訪問四級數(shù)據(jù)。

6監(jiān)督保障

職責劃分

公共數(shù)據(jù)主管部門負責組織、指導、協(xié)調(diào)、監(jiān)督公共數(shù)據(jù)分類分級規(guī)范管理，指導、協(xié)調(diào)行業(yè)主管

部門制定公共數(shù)據(jù)分類分級行業(yè)規(guī)范并督促落實。

行業(yè)主管部門負責牽頭制定數(shù)據(jù)分類分級行業(yè)規(guī)范，結(jié)合行業(yè)特點，確定相應的管控措施。協(xié)調(diào)下

屬公共管理和服務機構(gòu)落實分類分級行業(yè)規(guī)范的工作要求。

各公共管理和服務機構(gòu)嚴格執(zhí)行公共數(shù)據(jù)分類分級規(guī)范，建立工作體系，做好本機構(gòu)公共數(shù)據(jù)分類

分級，落實管控要求。

管理流程

分類分級管理流程見圖5。

14

DB3203/T1024—2023

a公共管理和服務機構(gòu)對數(shù)據(jù)分類分級。公共管理和服務機構(gòu)結(jié)合自身業(yè)務，按照本文件初步判定數(shù)據(jù)的分類類別

和數(shù)據(jù)敏感等級。

b公共管理和服務機構(gòu)確定共享及開放屬性。公共管理和服務機構(gòu)根據(jù)數(shù)據(jù)分類分級情況確定數(shù)據(jù)的共享屬性和開

放屬性，對不予共享數(shù)據(jù)、有條件共享數(shù)據(jù)、不予開放數(shù)據(jù)、有條件開放數(shù)據(jù)，須說明理由和依據(jù)。

c公共管理和服務機構(gòu)自主審核上報分類分級結(jié)果和共享開放屬性。應對數(shù)據(jù)在各維度的初步分類分級結(jié)果進行部

門內(nèi)部自主檢查，檢查通過后提交至本級公共數(shù)據(jù)主管部門審查。

d公共數(shù)據(jù)主管部門審核分類分級結(jié)果。公共數(shù)據(jù)主管部門對本級公共管理和服務機構(gòu)的數(shù)據(jù)分類分級結(jié)果進行初

步審查，發(fā)現(xiàn)數(shù)據(jù)分類分級明顯錯誤，應指導數(shù)據(jù)提供方予以更正。

e公共數(shù)據(jù)主管部門審核公共管理與服務機構(gòu)數(shù)據(jù)共享開放屬性。對于敏感級別為三級、四級的數(shù)據(jù)，若需要共享

或開放，公共數(shù)據(jù)主管部門應與公共管理和服務機構(gòu)核對確認，經(jīng)過初審之后，然后進一步復審，復審通過后方

可共享或開放。

f公共數(shù)據(jù)主管部門對公共管理和服務機構(gòu)的數(shù)據(jù)分級管控措施進行評估并指導實施。公共管理與服務機構(gòu)對三四

級數(shù)據(jù)的共享、開放、處理等操作的實施方案需經(jīng)公共數(shù)據(jù)主管部門評估、審查、批準后實施。

g動態(tài)更新管理。分類分級更新，公共數(shù)據(jù)主管部門應定期組織對分類分級結(jié)果的合理性、有效性進行評估，當數(shù)

據(jù)狀態(tài)、服務范圍等方面發(fā)生變化時，及時對分類分級結(jié)果進行變更，并記錄變更過程。

圖5分類分級管理流程

15

DB3203/T1024—2023

管控要求

公共數(shù)據(jù)主管部門和公共管理和服務機構(gòu)對各自負責管理的數(shù)據(jù)實行全生命周期安全管控，嚴格落

實管控要求，設置專職崗位和人員，建立制定與本部門公共數(shù)據(jù)相適應的機制、措施、技術(shù)、工具，確

保公共數(shù)據(jù)在各生命周期安全可控。

評價機制

公共數(shù)據(jù)分類分級工作納入評價管理，公共數(shù)據(jù)主管部門制定考核評價機制，對各公共管理和服務

機構(gòu)工作成效進行評價。

對于安全級別較高的數(shù)據(jù)，不遵守此文件分級要求的行為，包括但不限于分級錯誤、分級正確但未

遵守級別對應的安全管控措施，綜合安全事件可控程度、涉及數(shù)據(jù)量大小和數(shù)據(jù)項數(shù)進行綜合評價。

16

DB3203/T1024—2023

A

附錄A

（資料性）

分級要素

分級要素定義見表A.1。

表A.1分級要素定義

分級要素定義

數(shù)據(jù)描述的業(yè)務范疇，數(shù)據(jù)領(lǐng)域識別可考慮數(shù)據(jù)描述的行業(yè)領(lǐng)域、業(yè)務條線、生產(chǎn)

領(lǐng)域

經(jīng)營活動、上下游環(huán)節(jié)、內(nèi)容主題等因素。

數(shù)據(jù)描述的主體或?qū)ο蠹?，?shù)據(jù)群體識別可考慮數(shù)據(jù)描述的特定人群、特定組織、

群體

網(wǎng)絡和信息系統(tǒng)、資源物資、設備設施等因素。

數(shù)據(jù)涉及的地區(qū)范圍，數(shù)據(jù)區(qū)域識別可考慮數(shù)據(jù)描述的行政區(qū)劃、特定地區(qū)、物理

區(qū)域

場所等。

數(shù)據(jù)的精確或準確程度，數(shù)據(jù)精度越高表示采集數(shù)據(jù)和真實數(shù)據(jù)的誤差越小。數(shù)據(jù)

精度

精度識別可考慮數(shù)值精度、空間精度、時間精度等因素。

數(shù)據(jù)規(guī)模及數(shù)據(jù)描述的對象范圍或能力大小，數(shù)據(jù)規(guī)模識別可考慮數(shù)據(jù)存儲量、群

規(guī)模

體規(guī)模、區(qū)域規(guī)模、領(lǐng)域規(guī)模、生產(chǎn)加工能力等因素。

通過數(shù)據(jù)統(tǒng)計、關(guān)聯(lián)、挖掘或融合等加工處理，對數(shù)據(jù)描述對象的隱含信息或多維

深度度細節(jié)信息的刻畫程度。數(shù)據(jù)深度識別可考慮數(shù)據(jù)在刻畫描述對象的經(jīng)濟運行、發(fā)

展態(tài)勢、行蹤軌跡、活動記錄、對象關(guān)系、歷史背景、產(chǎn)業(yè)供應鏈等方面的情況。

數(shù)據(jù)對領(lǐng)域、群體、區(qū)域、時段等的覆蓋分布或疏密程度。數(shù)據(jù)覆蓋度識別可考慮

覆蓋度

對特定領(lǐng)域、特定群體、特定區(qū)域、時間段的覆蓋占比、覆蓋分布等因素。

數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度。重要性識別可考慮數(shù)據(jù)在經(jīng)濟建設、社會建設、

重要性

政治建設、文化建設、生態(tài)文明建設等的重要程度。

安全風險主要識別數(shù)據(jù)可能遭到泄露、篡改、破壞、非法獲取、非法利用、非法共享的風險。

17

DB3203/T1024—2023

B

附錄B

（資料性）

影響對象

影響對象常見考慮因素見表B.1。

表B.1影響對象常見考慮因素

影響對象定義判定影響的常見考慮因素

1.影響領(lǐng)土安全、國家統(tǒng)一、邊疆安全和國家海洋權(quán)益；2.影響基本經(jīng)濟制度安全、供

給側(cè)結(jié)構(gòu)性改革、產(chǎn)業(yè)鏈和供應鏈安全、糧食安全、能源安全、重要資源安全、系統(tǒng)性

金融風險、國際開放合作安全；3.影響我國科技實力、科技自主創(chuàng)新、關(guān)鍵核心技術(shù)、

數(shù)據(jù)一旦遭到泄露、國際科技競爭力、科技倫理風險、出口管制物項；4.影響我國文化自信、社會主義核

篡改、破壞或者非法心價值觀、文化軟實力、中華優(yōu)秀傳統(tǒng)文化等；5.影響我國社會治理體系、社會治安防

獲取、非法利用、非控體系、應急管理體系等；6.影響我國生態(tài)環(huán)境安全、綠色生態(tài)發(fā)展、污染防治、生

法共享，可能影響國態(tài)系統(tǒng)質(zhì)量和穩(wěn)定性、生態(tài)環(huán)境領(lǐng)域國家治理體系等；7.影響我國國防和軍隊現(xiàn)代化

家政治、國土、經(jīng)濟、建設等，或者可被其他國家或組織利用發(fā)起對我國的軍事打擊；8.影響我國網(wǎng)絡空間

國家安全科技、文化、社會、安全、關(guān)鍵信息基礎(chǔ)設施安全、新一代人工智能安全，或者可能被利用實施對關(guān)鍵信

生態(tài)、軍事、網(wǎng)絡、息基礎(chǔ)設施、核心技術(shù)設備等的網(wǎng)絡攻擊，可能導致特別重大或重大網(wǎng)絡安全和數(shù)據(jù)

人工智能、核、生物、安全事件；9.影響核材料、核設施、核活動情況，或可被利用造成核破壞或其他核安全

太空、深海、極地、事件；10.影響國家生物安全治理體系、生物資源和人類遺傳資源安全、生命安全和生

海外利益等領(lǐng)域國家物安全領(lǐng)域的重大科技成果、疾病防控和公共衛(wèi)生應急體系安全，或者可能導致重大傳

利益安全。染病、重大生物安全風險；11.影響我國在太空、深海、極地等領(lǐng)域的國家利益和國際

合作安全；12.影響我國企業(yè)海外投資、海外重大項目和人員機構(gòu)安全、海外能源資源

安全、海上戰(zhàn)略通道安全，或可被利用實施對我國參與國際經(jīng)貿(mào)、文化交流活動的破壞

或?qū)ξ覈鴮嵤┢缫曅越?、限制或其他類似措施?/p>

數(shù)據(jù)一旦遭到泄露、1.影響市場準入、市場行為、市場結(jié)構(gòu)、商品銷售、交換關(guān)系、生產(chǎn)經(jīng)營秩序、涉外經(jīng)

篡改、破壞或者非法濟關(guān)系等市場經(jīng)濟運行秩序；2.影響社會總供給和總需求、國民經(jīng)濟總產(chǎn)值和增長速度、

獲取、非法利用、非國民經(jīng)濟中主要比例關(guān)系、物價總水平、勞動就業(yè)總水平與失業(yè)率、貨幣發(fā)行總規(guī)模與

經(jīng)濟運行法共享，可能影響市增長速度、進出口貿(mào)易總規(guī)模與變動等宏觀經(jīng)濟形勢；3.影響行業(yè)領(lǐng)域的生產(chǎn)、流通、

場經(jīng)濟運行秩序、宏分配、消費等經(jīng)濟活動，產(chǎn)業(yè)鏈、供應鏈或經(jīng)濟效益；4.影響涉及國家安全的行業(yè)、支

觀經(jīng)濟形勢、國民經(jīng)柱產(chǎn)業(yè)和高新技術(shù)產(chǎn)業(yè)中的重要骨干企業(yè)、提供重要公共產(chǎn)品的行業(yè)、重大基礎(chǔ)設施和

濟命脈等經(jīng)濟利益。重要礦產(chǎn)資源行業(yè)等國民經(jīng)濟命脈。

數(shù)據(jù)一旦遭到泄露、1.導致重大突發(fā)事件、群體性事件、社會矛盾激化、暴力恐怖活動、社會治安問題等；

篡改、破壞或者非法2.影響人民群眾的民生保障或日常生活秩序，如扶貧、就業(yè)、收入、教育、文化體育、

獲取、非法利用、非健康、養(yǎng)老和社保等民生事項或供電、供氣、供水等基本服務保障工程；3.影響各級黨

法共享，可能影響社政機關(guān)依法履行公共管理和服務職能；4.影響企事業(yè)單位、社會團體的生產(chǎn)秩序、經(jīng)營

社會穩(wěn)定

會治安和公共安全、秩序、教學科研秩序、醫(yī)療衛(wèi)生秩序；5.影響公共場所的活動秩序、公共交通秩序。

社會日常生活秩序、

民生福祉、法治和倫

理道德等。

18

DB3203/T1024—2023

表B.1影響對象常見考慮因素（續(xù)）

影響對象定義判斷影響的常見考慮因素

數(shù)據(jù)一旦遭到泄露、1.影響對重大疾病尤其是傳染病的預防、監(jiān)控和治療，或者可能引發(fā)突發(fā)公共衛(wèi)生事件、

篡改、破壞或者非法造成社會公眾健康危害；2.影響社會成員使用公共設施；3.影響社會成員獲取公開數(shù)據(jù)

獲取、非法利用、非資源；4.影響社會成員接受公共服務等方面；5.其他影響公共利益、社會秩序等數(shù)據(jù)。

法共享，可能影響社

公共利益

會公眾使用公共服

務、公共設施、公共

資源或影響公共健康

安全等。

數(shù)據(jù)一旦遭到泄露、1.可能導致組織遭到監(jiān)管部門處罰、安全事件或法律訴訟；2.影響組織的重要或關(guān)鍵業(yè)

篡改、破壞或者非法務生產(chǎn)經(jīng)營；3.造成組織經(jīng)濟損失；4.破壞組織聲譽形象、公信力等；5.影響組織的知

獲取、非法利用、非識產(chǎn)權(quán)、技術(shù)損失等；6.其他影響法人、非法人組織合法權(quán)益的數(shù)據(jù)。

法共享，可能影響法

組織權(quán)益

人和其他組織的生產(chǎn)

運營、資本資產(chǎn)、聲

譽形象、公信力、知

識產(chǎn)權(quán)等。

19

DB3203/T1024—2023

附錄C

（資料性）

影響程度

影響對象的影響程度說明見表C.1。

表C.1影響對象的影響程度說明

影響對象影響程度參考說明

1.對政治、國土、軍事、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核安全等構(gòu)成嚴

重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等重點領(lǐng)域安全。

2.對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設施、重要資源

嚴重危害

等造成嚴重影響。

3.導致對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域大范圍停工停產(chǎn)、大面積網(wǎng)絡與服務癱瘓、

大量業(yè)務處理能力喪失。

1.對政治、國土、軍事、經(jīng)濟、文化、社會、科技、網(wǎng)絡、生態(tài)、資源、核安全等構(gòu)成威

國家安全

脅，影響海外利益、生物、太空、極地、深海、人工智能等重點領(lǐng)域安全。

一般危害2.對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域生產(chǎn)、運行和經(jīng)濟利益等造成影響。

3.引發(fā)的級聯(lián)效應明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內(nèi)多個企業(yè)，或者影響持

續(xù)時間長，對行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成嚴重影響。

1.對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域生產(chǎn)、運行和經(jīng)濟利益等造成輕微影響。

輕微危害

2.影響持續(xù)時間短，對行業(yè)發(fā)展、技術(shù)進步和產(chǎn)業(yè)生態(tài)等造成一般影響。

無危害對國家安全不造成影響。

1.直接影響涉及國家安全的行業(yè)、支柱產(chǎn)業(yè)和高新技術(shù)產(chǎn)業(yè)中的重要骨干企業(yè)、提供重要

公共產(chǎn)品的行業(yè)、重大基礎(chǔ)設施和重要礦產(chǎn)資源行業(yè)等關(guān)系國民經(jīng)濟命脈行業(yè)的運