内容简介
ICS 35.240.99
CCS L 71
团
体 标 准
T/SZAS 85—2024
基因识别数据分类分级指南
Guidelines for classifying and grading genetic identification data
2024 - 7 - 16 发布
2024 - 8 - 1 实施
深圳市标准化协会 发 布
T/SZAS 85—2024
目
次
前言 .................................................................................. II
1 范围 ................................................................................ 1
2 规范性引用文件 ...................................................................... 1
3 术语和定义 .......................................................................... 1
4 基因识别数据分类分级原则 ............................................................ 2
5 基因识别数据分类分级体系建立的方法 .................................................. 3
6 基因识别数据分类规则认定 ............................................................ 6
7 基因识别数据分级规则认定 ............................................................ 6
8 基因识别数据分类规则和分级规则调整路径 .............................................. 9
9 基因识别数据中重要数据保护 ......................................................... 10
10 基因识别数据出境合规要求 .......................................................... 10
附录 A(资料性) 个体服务场景基因识别数据及关联信息分类分级参考表 .....................12
附录 B(资料性) 相关文件说明 .........................................................22
参考文献 .............................................................................. 23
I
T/SZAS 85—2024
前
言
本文件按照GB/T 1.1—2020《标准化工作导则
起草。
第1部分:标准化文件的结构和起草规则》的规定
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由深圳华大基因股份有限公司提出。
本文件由深圳市标准化协会归口。
本文件起草单位:深圳华大基因股份有限公司、深圳华大基因科技有限公司、深圳华大生命科学研
究院、深圳华大法医科技有限公司、杭州美创科技股份有限公司、北京炼石网络技术有限公司、深圳大
学第一附属医院(深圳市第二人民医院)、北京新航城智慧生态技术研究院有限责任公司、北京大兴国际
机场临空经济区(大兴)管理委员会、上海国际人类表型组研究院、深圳市网安计算机安全检测技术有
限公司。
本文件主要起草人:肖棉文、闻云霞、赖玲、白小勇、许四虎、郭小森、龙军、李泽松、杨洋、张
帅、柳遵梁、吴盛雅、王今安、张鹏程、魏晓锋、晋向前、李倩一、刘杨杨、尹烨、赵立见、丁国微、
卢岩、曾宪良、彭智宇、李良、李博文。
II
T/SZAS 85—2024
基因识别数据分类分级指南
1
范围
本文件提供了基因识别数据及关联信息的分类分级原则、体系建立的方法、分类规则认定、分级规
则认定、分类规则和分级规则调整路径、重要数据保护和数据处境合规要求的指导思路和方法。
本文件适用于基因识别数据及关联信息的处理者规范数据分类分级流程,也可为监管部门、第三方
评估机构对基因识别数据及关联信息分类分级进行监督、管理、评估提供参考。
本文件不适用于涉及国家秘密数据的分类分级工作。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
3 GB/T 22239—2019 信息安全技术 网络安全等级保护基本要求
GB/T 38667—2020 信息技术 大数据 数据分类指南
GB/T 41806—2022 信息安全技术 基因识别数据安全要求
GB/T 43697—2024 数据安全技术 数据分类分级规则
术语和定义
GB/T 41806—2022界定的以及下列术语和定义适用于本文件。
3.1
基因识别数据 genetic recognition data
使用技术手段,从遗传物质中提取的具有生物学特征的个体或群体遗传信息的数据。
注1:本文件中基因识别数据,包括:人类遗传资源信息、动植物遗传资源信息、微生物遗传资源信息等。
注2:本文件中基因识别数据指的是基因数据,主要包括:基因组核酸序列数据、功能基因组数据以及提取过程中
生成的原始数据和中间数据。
注3:基因组核酸序列数据是指在基因组层面,利用各类测序技术(如:Sanger测序技术、高通量测序技术、质谱
技术等)或基因分型技术(如:基因芯片技术、聚合酶链式反应技术等)获得的描述核酸排列顺序的数据以
及各类遗传变异的数据(如:单核苷酸多态性(Single Nucleotide Polymorphism,SNP)、插入缺失(Insertions
and Deletions,INDEL)突变、短串联重复序列(Short Tandem Repeat,STR)、拷贝数变异(Copy Number Variation,
CNV)及基因组结构变异(Structural Variation, SV)等);功能基因组数据是指遗传物质中除基因组核酸序
列数据外的表观遗传数据以及基因空间位置数据等。
[来源:GB/T 41806—2022,3.2,有修改]
3.2
关联信息 associated information
描述遗传资源及其数据主体的附加信息。
注1:遗传资源包括遗传资源材料和遗传资源信息。遗传资源材料是指含有基因组、基因等遗传物质的器官、组织、
细胞等遗传材料;遗传资源信息是指利用遗传资源材料产生的数据等信息资料。
注2:该信息包含部分敏感个人信息、其他个人信息及标签信息。常见的敏感个人信息包括身份证、家族病史、用
药记录等。其他个人信息包括性别、籍贯、民族、出生日期等。常见标签信息包括收集时间、收集地点、收
集对象、收集者、收集方式、样本类型、规格、单位、样本保存期限、测序平台信息、芯片信息、测序时间、
数据量、数据类型等。
[来源:GB/T 41806—2022,3.3,结合《中华人民共和国人类遗传资源管理条例》第二条进行修改]
3.3
重要数据 important data
1
T/SZAS 85—2024
指特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能
直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
注:重要数据不包括涉及国家秘密的数据;仅影响组织自身或者公民个体的数据一般不作为重要数据。
[来源:卫生健康行业数据分类分级指南(试行)第十二条,国卫办规划函〔2023〕233号]
3.4
核心数据 core data
指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的数据。一旦被非法
使用或共享,可能对国家安全、政治安全、经济运行、社会稳定、公共健康和安全生产等产生严重危害
的数据。
注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,或者
经国家有关部门评估认定的其他数据。
[来源:卫生健康行业数据分类分级指南(试行)第十三条,国卫办规划函〔2023〕233号,有修改]
3.5
一般数据 general data
除了重要数据、核心数据外的基因识别及关联信息数据。
[来源:卫生健康行业数据分类分级指南(试行)第十四条,国卫办规划函〔2023〕233号,有修改]
3.6
数据分类 data classification
把具有共同属性或特征的基因识别数据及关联信息,按照一定的原则和维度进行归类和区分,建立
起一定的分类体系和排列顺序,以便更好地管理和使用基因识别数据及关联信息。
3.7
数据分级 data grading
根据基因识别数据及关联信息的敏感程度和数据遭到破坏后对受影响对象的影响程度,按照一定的
原则和方法进行定级,为基因识别数据及关联信息全生命周期管理的安全策略制定提供支撑。
3.8
个体服务场景 individual service scenarios
针对数据主体,提取并使用基因识别数据及关联信息,得到结果,达到服务目标的场景。
注:其特点为在服务目标确定的情况下,所需的基因识别数据及关联信息种类和数量固定,使用方式、手段、流程
相对固定。
[来源:GB/T 41806—2022,4.2]
4
基因识别数据分类分级原则
4.1
数据分类原则
在数据分类过程中,可遵循以下原则:
a)
科学性原则:按照基因识别数据及关联信息的多维特征及其相互间客观存在的逻辑关联进行
科学和系统化的分类;
b)
规范性原则:所使用的词语或短语能确切表达数据类目的实际内容范围,在表达相同的概念
时,保证用语一致性;
c)
稳定性原则:基因识别数据及关联信息的分类以选择体现分类数据对象的本质特征,且不易
发生变化的维度和视角作为数据分类的基础和依据,以确保由此产生的分类结果稳定;
d)
扩展性原则:数据分类方案在总体上具有概括性和包容性,能够实现各种类型数据的分类,
以满足将来可能出现的数据类型。
4.2
数据分级原则
在数据分级过程中,可遵循以下原则:
a)
合规性原则:数据级别划分满足相关法律、法规及监管要求;
b)
符合伦理原则:数据分级时,涉及人的生命科学和医学研究符合伦理原则的要求;
c)
综合判定原则:数据分级时可结合数据的应用场景、组合、取值、数据量的大小等,力求数
据分级准确合理;
2
T/SZAS 85—2024
d)
就高原则:一个数据集包含多个不同级别的数据项时,按照数据项的最高级别对数据集进行
定级;
e)
动态调整原则:数据的类别级别可能因时间变化、政策变化、安全事件发生、不同业务场景
的敏感性变化或相关行业规则不同而发生改变,因此需要对数据分级进行定期审核并及时调
整。
5 基因识别数据分类分级体系建立的方法
5.1 组织制度
5.1.1 组织建设
数据分类分级工作的开展需要有组织保障,在具体实施过程中可明确以下组织职责:
a)
数据分类分级决策部门:
1)
一般由机构内高级管理层组织的领导小组,成立数据安全暨个人信息保护委员会(简称
“数委会”),由该委员会负责数据分类分级决策工作;
2)
总体负责数据分类分级工作的统筹组织、指导推进和协调落实;
3)
明确数据分类分级工作的牵头部门和执行部门,协调机构内部数据分类分级资源调配。
b)
数据分类分级的牵头部门,牵头部门职责如下:
1)
一般由机构内统筹实施数据安全工作的部门负责,如机构内无专门负责实施数据安全工
作的部门,则建议由相关部门(如相关的业务部门、信息系统建设部门等)的主要负责
人组成;
2)
牵头推动数据分类分级工作的开展,承担数据分类分级工作全面领导责任;
3)
负责制定分类分级工作的目标、要求;
4)
组织、协调、监督数据分类分级执行部门开展数据分类分级工作;
5)
负责制定数据分类分级管理制度、评估数据分类分级结果。
c)
数据分类分级工作执行部门,负责落实数据分类分级的具体工作:
1)
执行部门一般由业务部门、信息系统建设部门、信息系统运维部门设立数据分类分级岗
位,作为数据分类分级工作的执行层;
2)
负责数据分类分级准备工作,包括明确数据范围,梳理数据范围内的数据资源及梳理业
务维度和技术维度的对应关系;
3)
开展数据分类分级工作,制定数据分类分级策略,实施数据分类分级;
4)
对数据分类分级结果进行初审,识别并修改不符合要求的结果数据;
5)
组织数据分类分级结果复审工作,参与方包括牵头部门、执行部门及行业专家组等;并
根据复审结果进行修订;
6)
负责数据分类分级结果维护,定期或不定期组织数据分类分级符合性评估,按需开展数
据分类分级变更、维护工作。
d)
行业专家组,为数据分类分级工作提供指导建议:
1)
行业专家组一般由内部或外部相关行业专家组成,包括但不限于基因识别方面的行业专
家、数据分类分级领域专家、数据合规领域专家等;
2)
提供基因识别领域行业指导建议,如相关物种的分类、行业相关法律法规政策说明、特
殊物种的基因识别数据及关联信息处理规范等;
3)
提供基因识别领域数据分类分级工作建议指导,如数据分类分级规范制定、实施方案等
建议;
4)
参与数据分类分级结果复审工作,提供专家指导意见。
5.1.2
制度要求
结合实际情况,编制供组织内部使用的数据分类分级管理制度,用于指导数据分类分级工作。制度
中包含:
a)
数据分类分级管理办法:明确各方职责分工、分类分级工作范围,确定分类方法、分级方法、
级别变更、工作流程等;
3
T/SZAS 85—2024
b)
数据分类分级实施细则:分类分级工作步骤、实施工具使用指引、分类分级评审、分类分级
结果发布及维护方式等;
c)
数据安全分级管控策略:明确数据全生命周期各阶段的保护要求,建立完善的数据生命周期
防护机制等。
5.2 数据分类分级流程
5.2.1 数据分类分级步骤
开展数据分类分级步骤包括:
a)
分类分级准备:执行部门根据本机构情况,明确数据分类分级工作的数据范围;
1)
执行部门梳理范围内数据现状,包含对数据来源、存储位置、数据量大小、业务类型以
及数据权属等进行梳理;
2)
执行部门根据国家相关法律法规以及行业相关政策进行分级工作,确定分级要素。
b)
分类分级判定:
1)
执行部门按照实际业务情况,选择分类方法、明确分类维度(如数据管理维度、业务应
用维度、数据对象维度等),建立自身的数据分类规则;
2)
执行部门按照实际业务情况,考虑数据安全遭到破坏后对国家安全、经济运行、社会稳
定、公共利益、组织权益、个人权益的影响程度,确定数据分级规则。
c)
分类分级审批:
1)
牵头部门和执行部门一起审核数据分类维度、数据分级规则是否合理;
2)
若评审不通过,由执行部门重新确定数据等级。
d)
分类分级实施:执行部门结合数据实际情况,按照审核通过后的数据分类分级规则表对数据
进行分类分级,同时记录分类分级实施过程中的各个步骤及分类分级结果;
e)
结果核查:
1)
执行部门定期或不定期核查验证分类分级结果是否准确及实施过程是否合规,决策部门、
牵头部门、行业专家组视情况参与,核查内容包括但不限于分类分级方法、数据分类分
级规则表、分类分级过程记录和分类分级实施结果;
2)
审核通过后由执行部门发布实施,并对结果进行维护、管理工作;
3)
可根据监管要求或者本身业务需求,形成数据分类分级清单、重要数据目录、核心数据
目录,如有监管报送需求,则按有关程序报送重要数据和核心数据目录。
f)
数据分类分级保护:建立数据分类分级保护策略,根据不同级别的数据,制定和实施相应的
安全控制措施,对数据实施全生命周期的管理和保护。
详细过程如图1所示:
4
T/SZAS 85—2024
图 1
数据分类分级流程
5.2.2
数据分类分级实践方式
数据分类分级实践方式一般有三种:
a)
人工手动完成数据分类分级工作:数据分类分级工作全部由人工手动完成,这种方式适合数
据量少或者无法使用工具的场景;
b)
完全由工具完成数据分类分级工作:通过智能工具完成数据分类分级工作,可以降低人工分
类分级的成本;
c)
通过人工加工具的方式完成数据分类分级工作:
1)
人工完成数据分类分级准备、数据分类分级判定、分类分级评审工作,输出分类分级规
则表;
2)
工具实现分类分级规则落地:通过工具自动按照分类分级规则表内的规则完成数据分类
分级落地工作,给数据打上分类标签和分级标签;数据分类分级工具具备的功能包括但
不限于数据源识别能力(工具具备自动发现或者手动配置并识别数据源中数据的能力,
支持全量、增量扫描等);数据分类分级规则管理能力(工具支持数据分类分级规则自
定义,并具有对数据分类分级规则的增删改查能力);数据分类分级标签执行能力(工
具可以自动把所发现的数据与预定义的数据分类分级规则匹配,实现自动化分类分级打
标工作,同时可支持对分类分级结果人工修订、结果审核以及任务执行过程中的监控)
等;
5
T/SZAS 85—2024
3)
人工审核分类分级结果:对于工具完成的分类分级结果辅以人工验证,保证数据分类分
级结果的准确性;
4)
建议有条件的机构采用人工+工具的方式完成数据分类分级工作,更具可持续性。
6
基因识别数据分类规则认定
6.1
数据分类框架
数据分类有多种维度便于数据管理和使用,可参考GB/T 38667—2020进行数据的分类,同时,开展
数据分类工作时,可结合基因识别数据及关联信息的数据特征,灵活选择业务属性并将数据逐级细化分
类。常见的业务属性分类包括但不限于:
a)
数据来源:按数据来源进行细化分类;
b)
责任部门:按数据管理部门或职责分工进行细化分类;
c)
业务领域:按业务范围或业务种类进行细化分类,如生产类数据、管理类数据、经营分析类
数据等;
d)
描述对象:按数据描述对象进行细化分类,如个人数据、组织数据等;
e)
上下游环节:按业务运营活动的上下游环节进行细化分类;
f)
数据用途:按数据使用目的进行细化分类;
g)
数据处理:按数据处理者类型或者数据处理活动进行细化分类。
6.2
数据分类方法
基因识别数据及关联信息分类综合考虑数据属性、类型特征以及安全保护要求,将基因识别过程中
采集、产生的数据划分为三大类:个人信息、机构管理、生产经营,如图2所示:
注:在分类过程中可根据实际情况增加分类。分类目录详见附录A。
图 2
数据分类示例
在基因识别数据及关联信息的分类过程中,要充分考虑国家建立的生物安全名录和清单,对涉及生
物安全的材料、设备、技术、活动、重要生物资源数据、传染病、动植物疫病、外来入侵物种等数据建
立分类目录。
根据病原微生物的传染性、感染后对人和动物的个体或者群体的危害程度,对病原微生物进行分类
管理。
7
基因识别数据分级规则认定
7.1
数据分级要素
6
T/SZAS 85—2024
基因识别数据及关联信息定级要素包括影响对象及影响程度。
a)
影响对象,指数据安全属性遭到破坏后受到影响的对象,划分为:国家安全、经济运行、社
会稳定、公共利益、组织权益、个人权益,详细说明见表 1;
表 1
影响对象说明
影响对象 说明
国家安全 数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响国家政治、国土、 经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外 利益等领域国家利益安全
经济运行 数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响市场经济运行秩 序、宏观经济形势、国民经济命脉等经济利益
社会稳定 数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响社会治安和公共 安全、社会日常生活秩序、民生福祉、法治和伦理道德等
公共利益 数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响社会公众使用公 共服务、公共设施、公共资源或影响公共健康安全等
组织权益 数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能影响法人和其他组织 的生产运营、声誉形象、公信力、知识产权等
个人权益 数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用、非法共享,可能对个人隐私、个人财 产、生命安全、精神、名誉、私人生活和领域造成影响
b)
影响程度,指数据安全属性遭到破坏后带来的影响大小,划分为:特别严重危害、严重危害、
一般危害、无危害,影响程度详细说明见表 2,影响程度参考示例可参照 GB/T 43697—2024 中
影响程度的相关说明。
表 2
影响程度说明
影响程度 参考说明
特别严重危害 1、可能导致特别重大突发事件、特别重大群体性事件、暴力恐怖活动等,引起大范围社会恐慌,对社 会稳定造成特别严重危害 2、可能导致特别重大网络安全和数据安全事件,对公共利益造成特别严重影响,社会负面影响大 3、可能导致特别重大突发公共卫生事件,造成社会公众健康特别严重损害的重大传染病疫情、群体性 不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件 4、可能导致组织遭到监管部门严重处罚(包括取消经营资格、长期暂停相关业务等),或者影响重要/ 关键业务无法正常开展的情况,造成重大经济或技术损失,严重破坏机构声誉,企业面临破产 5、个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响。如遭受无法承担的债务、失 去工作能力、导致长期的心理或生理疾病、导致死亡等 6、波及一个或多个省市的大部分地区,引起社会动荡,对经济建设有极其恶劣的负面影响
严重危害 1、可能导致危及国家安全的重大事件,发生危害国家利益或造成重大损失的情况 2、可能对生态、人类遗传资源等构成严重威胁,严重影响生物等重点领域安全 3、对本地区、本部门以及基因检测、人类遗传资源相关行业、领域的重要机构或企业、关键信息基础 设施、重要资源等造成严重影响 4、可能导致严重危害社会秩序和公共利益,引发公众广泛诉讼等事件 5、可能导致组织遭到监管部门严重处罚,或影响重要/关键业务无法正常开展的情况,如导致对本地 区、本部门以及基因检测、人类遗传资源相关行业、领域大范围停工停产、大面积网络与服务瘫痪、 大量业务处理能力丧失 6、可能导致重大个人信息安全风险、侵犯个人隐私等严重危害个人权益的事件,如遭受诈骗、资金被 盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状况恶 化等 7、波及一个或多个地市的大部分地区引起社会恐慌,对经济建设有重大的负面影响
7
T/SZAS 85—2024
表2
影响程度说明(续)
影响程度 参考说明
一般危害 1、可能导致危害社会秩序和公共利益的事件,引发区域性集体诉讼事件 2、可能导致组织遭到监管部门处罚,或影响部分业务无法正常开展的情况,造成一行性经济或技术损 失,破坏机构声誉 3、可能导致一定规模的个人信息泄露、滥用等安全风险,或对个人权益可能造成一定影响的事件 4、波及一个地市或地市以下的部分地区,扰乱社会秩序,对经济建设有一定的负面影响 5、可能导致个别诉讼事件,使组织经济利益、声誉等轻微受损 6、个人信息主体可能会遭受困扰,但尚可以克服。如付出额外成本、无法使用应提供的服务、造成误 解、产生害怕和紧张的情绪、导致较小的生理疾病等
无危害 对组织权益和个人权益等不造成影响,或仅造成微弱影响但不会影响国家安全、公众权益或组织各项 业务正常开展
7.2
数据定级规则
从基因识别数据及关联信息在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非
法获取、非法利用,对国家安全、经济运行、社会稳定、公共利益、组织权益、个人权益等可能造成的
危害程度,将基因识别数据及关联信息划分为:核心数据、重要数据和一般数据。
a)
符合下列条件之一,可纳入重要数据的建议范围:
1)
人类研究相关:涉及 100 万人及以上个人信息或 10 万人及以上敏感个人信息;全国性的
业务数据,涉及 3000 例的族群生物特征数据等;有关国家主管部门制定的重要生物资源
中的数据,如重要遗传家系数据、特定地区人类遗传资源数据、特殊群体人类遗传资源
数据等;
2)
动植物相关:植物基因识别数据范围见《国家重点保护野生植物名录》;动物基因识别
数据范围见《国家重点保护野生动物名录》;
3)
畜禽相关:畜禽基因识别数据范围见国务院畜牧兽医行政主管部门制定的《中国国家级
畜禽遗传资源保护名录》中的基因数据;享受中央和省级财政资金支持的畜禽遗传基因
库;
4)
涉及国家生物安全的重要设备和特殊生物因子数据;
5)
出口管制及其他有关数据;
6)
经行业主管部门评估确定的其他重要数据。
注:相关文件介绍详见附录B相关文件说明。
b)
符合下列条件之一的重要数据,可纳入核心数据的建议范围:
1)
1000 万人及以上个人信息或 100 万人及以上敏感个人信息;
2)
覆盖某一个重要特定群体全部个体的数据,特定时期特定区域的群体数据;
3)
涉及 1000 万人及以上的基因数据,经过计算加工生产,对数据描述对象有较深刻画程度,
且影响国家安全的衍生数据;
4)
经行业主管部门评估确定的其他核心数据。
c)
一般数据:除了核心数据、重要数据之外的其他数据。
由于一般数据涵盖范围较广,采用同一安全级别保护可能无法满足不同数据的安全需求,因此,将
一般数据从高到低分为:4级、3级、2级、1级。
表 3
数据定级规则
影响对象 影响程度
特别严重危害 严重危害 一般危害 无危害
国家安全 核心数据 (5 级) 核心数据 (5 级) 重要数据 (4 级) 一般数据 (1 级)
8
T/SZAS 85—2024
表3
数据定级规则(续)
影响对象 影响程度
特别严重危害 严重危害 一般危害 无危害
经济运行 核心数据 (5 级) 重要数据 (4 级) 一般数据 (3 级) 一般数据 (1 级)
社会稳定 核心数据 (5 级) 重要数据 (4 级) 一般数据 (3 级) 一般数据 (1 级)
公共利益 核心数据 (5 级) 重要数据 (4 级) 一般数据 (3 级) 一般数据 (1 级)
组织权益 一般数据 (3 级) 一般数据 (3 级) 一般数据 (2 级) 一般数据 (1 级)
个人权益 一般数据 (3 级) 一般数据 (3 级) 一般数据 (2 级) 一般数据 (1 级)
8 基因识别数据分类规则和分级规则调整路径
8.1 数据分类分级变更
数据满足以下条件时,需对数据进行重新确定类别并分级:
a)
数据内容发生变化,导致原有数据的安全级别不再适用;
b)
数据内容未发生变化,但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发
生变化,导致原定的数据级别不再适用;
c)
数据共享或开放属性发生变化,如之前是内部公开的数据,因时效性变更,变成可公开的数
据等;
d)
因数据汇聚融合,聚合后的数据较原始数据获得的更多的敏感信息;
e)
因国家或者行业主管部门要求发生变化,导致原定的数据级别不再适用;
f)
需要对数据安全级别进行变更的其他情形。
8.2
数据级别变更原则
安全级别变更原则包括:
a)
从原始数据中直接部分复制出来的新数据级别不应高于原有数据级别;
b)
从多个原始数据直接合并的新数据不应低于原有数据级别;
c)
对不同数据选取部分数据进行合并形成的新数据,可根据新数据的关键要素进行重新判定;
d)
数据内容不发生变化时,进行级别变更时需有明确的依据。
8.3
数据级别变更场景
数据级别变更的场景如下:
a)
等级提升,发生以下场景时,可考虑提升数据级别:
1)
汇聚融合,特定部门特定时间后数据具有高安全等级;
2)
达到有关部门规定精度的数据;
3)
数据体量增加到特定规模导致社会重大影响,如对于 100 万人以上的个人信息,要满足
重要数据保护要求;
4)
发生特定事件导致数据具有敏感性。
b)
等级降低,发生以下场景时,可考虑降低数据级别:
1)
数据已被公开或披露;
9
T/SZAS 85—2024
2)
数据进行脱敏或去除能够直接定位到信息主体的内容,删除涉及敏感信息的内容,或者
经过去标识化、假名化的内容;
3)
数据经过较长时间(需明确数据含义和时间点)后,数据失去原有敏感性;
4)
响应国家相关要求,原不予共享的数据因特定事件需要对其他单位共享使用的;
5)
发生特定事件导致数据失去敏感性时。
9
基因识别数据中重要数据保护
9.1
基础要求
关于基因识别数据及关联信息中重要数据保护的一般性要求如下:
a)
可指定重要数据安全管理责任机构和负责人,落实重要数据安全保护责任;
b)