2021年12月31号,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》(以下简称“《指引》”,文末戳“阅读原文”可查看《指引》全文),给出了网络数据分类分级的原则、框架和方法。
北京明朝万达科技股份有限公司作为该《指引》的技术支持单位,从专业角度为大家进行解读。 
2021年12月31号,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》(以下简称“《指引》”,文末戳“阅读原文”可查看《指引》全文),给出了网络数据分类分级的原则、框架和方法。
编制单位与适用范围
全国信息安全标准化技术委员会(简称“信安标委”)是在信息安全技术专业领域内,从事信息安全标准化工作的技术工作组织。委员会负责组织开展国内信息安全有关的标准化技术工作,技术委员会主要工作范围包括:安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。
《实践指南》系列是由全国信息安全标准化技术委员会秘书处(简称“秘书处”)组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。
为贯彻落实《数据安全法》提出的“国家建立数据分类分级保护制度”要求,指导数据处理者开展数据分类分级工作,秘书处组织编制了《网络安全标准实践指南——网络数据分类分级指引》(简称“指引”),并于2021年12月31日正式公开发布。指引依据法律法规和政策标准相关要求,给出了网络数据分类分级的原则、框架和方法,适用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考。
原则与框架
定义网络数据
网络数据“简称数据,是指任何以电子方式对信息的记录”,指引中对网络数据给出了明确的定义,包括以电子方式记录的各种数据类型、各种文件格式、各种资讯来源以及各种硬件载体之上的信息,切忌望文生义,误以为网络数据仅指互联网上接收或发送的数据,或者网络承载的电子信息。一切电子形式的信息记录都是网络数据,均可应用本指引中原则、框架与方法指导、开展和管理分类分级工作。
数据项与数据集
本指引中简明扼要的阐明了数据分类分级的对象分为数据项和数据集,并且清晰易懂的介绍了数据项与数据集。在分类分级工作中要注意数据项与数据集是不同层级上的概念,数据项的概念比较复杂,在数据结构中数据项是数据不可分割的最小单位,在结构化数据分类分级工作中数据项就是数据库表的字段列;与之相对,非结构化数据文件是多个数据项的集合,数据集的分类识别与安全定级要依据就高从严原则,数据集合中安全级别最高的数据项的定级是本数据文件最低的安全级别,此外还要考虑数据规模是否会造成数据集的安全级别升高。
分类分级原则
数据分类分级按照数据分类管理、分级保护的思路,依据合法合规、分类多维、分级明确、就高从严、动态调整原则进行划分:
♦ 分类分级工作首重合规,优先对国家或行业有专门管理要求的数据进行识别和管理;
♦ 可以从多种视角和维度开展分类,推荐从便于组织或企业数据管理和使用角度进行分类;
♦ 分级标准必须明确,各级别数据应该界限分明,不同级别的数据应采取不同的保护措施;
♦ 包含多个级别数据项的数据集,必须按照数据项的最高级别对数据集进行定级;
♦ 因时间变化、 政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同,数据安全级别也有可能发生变化,因此数据分类分级进行定期审核并及时调整。
数据分类框架
便于数据管理和使用目的,本指引采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架,每个维度的数据也可采用线分类法进行细分:
a) 公民个人维度:个人信息、非个人信息;
b) 公共管理维度:广义公共数据(政务数据、狭义公共数据)、社会数据;
c) 信息传播维度:公共传播信息、非公共传播信息;
d) 行业领域维度: 工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等(GB/T 4754-2017国民经济行业分类);
e) 组织经营维度 :用户数据、业务数据、经营管理数据、系统运行和安全数据。
数据分级框架
指引从国家数据安全角度给出的数据分级基本框架,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。核心数据、重要数据的识别和划分,按照国家和行业的核心数据目录、重要数据目录执行,目录不明确时可参考有关规定或标准。
由于一般数据涵盖数据范围较广,采用同一安全级别保护可能无法满足不同数据的安全需求。因此建议数据处理者在基本框架定级的基础上也可结合行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级。
数据分类管理
分类流程与步骤
数据处理者优先遵循国家、行业的数据分类要求,也可从组织经营维度进行数据分类,数据分类流程参考下图实施。
a) 识别是否存在法律法规或主管监管部门有专门管理要求的数据类别,并对识别的数据类别进行区分标识,包括但不限于:
1) 从公民个人维度识别是否存在个人信息;
2) 从公共管理维度识别是否存在公共数据;
3) 从信息传播维度识别是否存在公共传播信息。
b) 从行业领域维度,确定待分类数据的数据处理活动涉及的行业领域:
1) 如果该行业领域存在行业主管部门认可或达成行业共识的行业数据分类规则(《指引》附录C中包含了工业、电信、金融行业的数据分级规则与数据分级对应关系参考),应按照行业数据分类规则对数据进行分类;
2) 如果该行业领域不存在行业数据分类规则,可从组织经营维度结合自身数据管理和使用需要对数据进行分类,可参考下图实施;
3) 如果数据处理涉及多个行业领域,建议分别按照各行业的数据分类规则对数据类别进行标识。
c) 完成上述数据分类后,数据处理者可采用线分类法对类别进一步细分。
个人信息识别
通过分析特定自然人与信息之间的关系,符合下述情形之一的信息,可判定为个人信息:
a) 可识别特定自然人: 即从信息到个人,依据信息本身的特殊性可识别出特定自然人,包括单独或结合其他信息识别出特定自然人。(按照个人信息标识特定自然人的程度,可分为直接标识信息、准标识信息。)
b) 与特定自然人关联:即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、网页浏览记录等),可识别为个人信息。
《指引》中明确了可识别特定自然人的个人信息通过去标识化等处理后,如果达到无法识别特定自然人且不能复原的匿名化效果,那么处理后的信息不再属于个人信息。
直接标识信息,是指在特定环境下可单独唯一识别特定自然人的信息。常见的直接标识信息有:姓名、公民身份号码、护照号、驾照号、详细住址、电子邮件地址、移动电话号码、银行账户、社会保障号码、唯一设备识别码、车辆识别码、健康卡号码、病历号码、学号、IP地址、网络账号等。
准标识信息,是指在特定环境下无法单独唯一标识特定自然人,但结合其他信息可以唯一标识特定自然人的信息。常见的准标识信息有:性别、出生日期或年龄、国籍、籍贯、民族 、职业、婚姻状况、受教育水平、宗教信仰、收入状况等。
