内容简介
ICS 35.240.20CCS L 67
DB23
黑 龙 江 省 地 方 标 准
DB23/T 3849-2024
公共数据分类分级规范
2024-08-30发布 2024-09-29实施
黑龙江省市场监督管理局 发 布
DB23/T 3849—2024
目 次
前言………………………………………………………………………………………………………………………………………………………………………………………………II
1 范围………………………………………………………………………………………………………………………………………………………………………………………………………………1
2 规范性引用文件……………………………………………………………………………………………………………………………………………………………………………………1
3 术语和定义……………………………………………………………………………………………………………………………………………………………………………………1
4 基本原则…………………………………………………………………………………………………………………………………………………………………………………………1
5 公共数据分类………………………………………………………………………………………………………………………………………………………………………………2
6 公共数据分级………………………………………………………………………………………………………………………………………………………………………………3
7 实施流程…………………………………………………………………………………………………………………………………………………………………………………6
附录A(资料性) 主题分类参考示例…………………………………………………………………………………………………………………………………7
附录B(资料性) 公共管理和服务机构分类参考示例………………………………………………………………………………………………8
附录C(资料性) 数据管理特征分类………………………………………………………………………………………………………………………………11
附录D(资料性) 数据对象分类……………………………………………………………………………………………………………………………………12
附录E(资料性) 影响程度判别参考依据……………………………………………………………………………………………………………………13
附录F(资料性) 数据项最低参考级别…………………………………………………………………………………………………………………………15
附录G(资料性) 公共数据分类分级示例……………………………………………………………………………………………………………………16
参考文献……………………………………………………………………………………………………………………………………………………………………………………………17
DB23/T 3849—2024
前 言
本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本文件由黑龙江省政务大数据中心提出。
本文件由黑龙江省营商环境建设监督局归口。
本文件起草单位:黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标准化研究院、中国移动通信集团黑龙江有限公司、浪潮云信息技术股份公司。
本文件主要起草人:王峰、梅兵、赵文敬、臧爱英、高鹏、何振江、孙亚楠、张宪凯、史悦琦、仇静、张安文、赵文敬、王生瑶、向晓燕、周廷楠、刘继遥、刘珊珊。
11
DB23/T 3849—2024
公共数据分类分级规范
1 范围
本文件规定了公共数据分类分级的基本原则、公共数据分类、公共数据分级和实施流程。
本文件适用于黑龙江省开展公共数据的分类分级工作。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 4754 国民经济行业分类
GB/T 38667 信息技术 大数据 数据分类指南
GB/T 43697 数据安全技术 数据分类分级规则
3 术语和定义
GB/T 38667和 GB/T 43697界定的以及下列术语和定义适用于本文件。
3.1
公共数据
各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位,在依法履行公共事务管理职责或提供公共服务过程中收集、产生的数据。
[来源:GB/T 43697,3.8]
3.2
公共数据分类
根据公共数据的属性和特征,将其按一定的原则和方法进行区分和归类,并建立起一定分类体系和排列顺序的过程。
[来源:GB/T 38667,3.3,有修改]
3.3
公共数据分级
公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,根据对影响对象的影响程度,按照一定的原则和方法进行定级,并建立分级体系的过程。
4 基本原则
4.1 科学实用原则
从便于数据管理和使用的角度,科学选择常见、稳定的属性或特征作为数据分类的依据,并结合实际需要对数据进行细化分类。
4.2 边界清晰原则
1
DB23/T 3849—2024
数据分级的各级别应边界清晰,对不同级别的数据采取相应的保护措施。
4.3 就高从严原则
采用就高不就低的原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。
4.4 点面结合原则
数据分级既要考虑单项数据分级,也要充分考虑多个领域、群体或区域的数据汇聚融合后的安全影响,综合确定数据级别。
4.5 动态更新原则
根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
5 公共数据分类
5.1 分类要求
5.1.1 采取多维度的分类方法,从主题、行业、公共管理和服务机构、数据管理特征、数据对象、数据共享属性、数据开放属性等维度进行分类。
5.1.2 对于每个维度将其分为大类、中类和小类三级。
5.1.3 公共管理和服务机构可根据业务需要对小类再行细分。对小类的细分,可根据业务数据的性质、功能、技术手段等一系列特征进行扩展细分。
5.2 分类方法
5.2.1 按照本公共管理和服务机构职责,明确自身管理的数据范围。
5.2.2 根据本公共管理和服务机构公共数据特征,从主题、行业、公共管理和服务机构、数据管理特征、数据对象、数据共享属性、数据开放属性等维度确定自身公共数据分类细则。
5.2.3 根据确定的自身公共数据分类细则进行公共数据分类。
5.3 分类维度
5.3.1 按主题分类
按照公共数据资源所涉及的主题范畴,将公共数据按照主题进行分类,主题分类参考示例见附录 A.若分类不满足工作需要,可根据实际业务情况另行分类。
5.3.2 按行业分类
按照公共数据所涉及的行业领域范畴,按照 GB/T4754 的规定,将其四级类目的前三级(即门类、大类、中类)对应为本文件的大类、中类、小类。若分类不满足工作需要,可根据实际业务情况另行分类。
5.3.3 按公共管理和服务机构分类
按照公共数据所属公共管理和服务机构进行细化分类,公共管理和服务机构分类参考示例见附录 B.若分类不满足工作需要,可根据实际业务情况另行分类。
2
DB23/T 3849—2024
5.3.4 按数据管理特征分类
按照公共数据的数据管理特征进行细化分类,数据特征维度包括但不限于数据产生频率、数据产生方式、数据结构化特征、数据存储方式。数据管理特征分类见附录 C.
5.3.5 按数据对象分类
按照公共数据所描述的对象将公共数据分为个人数据、组织数据和客体数据,数据对象分类见附录D.
5.3.6 按数据共享属性分类
根据数据共享属性将公共数据分为无条件共享类、有条件共享类和不予共享类。
5.3.7 按数据开放属性分类
根据数据开放属性将公共数据分为无条件开放类、有条件开放类和不予开放类。
6 公共数据分级
6.3 分级要求
将公共数据分为核心数据、重要数据、 一般数据Ⅲ、 一般数据Ⅱ和一般数据Ⅰ五个级别。
6.2 分级方法
6.2.1 确定待分级的数据,如数据项、数据集、衍生数据、跨行业领域数据等。
6.2.2 根据本公共管理和服务机构公共数据特征,按照本文件6.3识别数据涉及的分级要素情况及6.4数据影响分析确定自身公共数据分级细则。
6.2.3 综合确定数据级别。
6.3 分级要素
影响公共数据分级的要素,包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等,其中领域、群体、区域、重要性通常属于定性描述的分级要素;精度、规模、覆盖度属于定量描述的分级要素:深度通常作为衍生数据的分级要素。
6.4 影响分析
6.4.1 影响对象
影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。影响对象判别见表 1.
表1影响对象判别参考依据
影响对象 定义描述
国家安全
公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,影响国家政治、国土、军事、经济、文
化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智
能等国家利益安全
经济运行
公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,影响市场经济运行秩序、宏观经济形势、
国民经济命脉、行业领域产业发展等经济运行机制
3
DB23/T 3849—2024
表1 影响对象判别参考依据(续)
影响对象 定义描述
社会秩序
公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,影响社会治安和公共安全、社会日常生
活秩序、民生福祉、法治和伦理道德等社会秩序
公共利益
公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,影响社会公众使用公共服务、公共设施、
公共资源或影响公共健康安全等公共利益
组织权益
公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,影响组织自身或其他组织的生产运营、
声誉形象、公信力、知识产权等组织权益
个人权益 公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益
6.4.2 影响程度
根据公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后对影响对象所造成的危害程度,从高到低划分为特别严重危害、严重危害、一般危害、轻微危害和无危害。对不同影响对象进行影响程度判断时,采取的基准不同。如果影响对象是国家安全、经济运行、社会秩序或公共利益,则以国家、社会或行业领域的整体利益作为判断影响程度的基准。如果影响对象仅是组织或个人权益,则以组织或公民个人的权益作为判断影响程度的基准。影响程度判别参考依据见附录 E.
6.4.3 分级规则
6.4.3.1 核心数据、重要数据的确定依据GB/T 43697的规定。一般数据Ⅲ、 一般数据Ⅱ、 一般数据Ⅰ的确定规则如下:
a) 满足以下任一条件的数据,识别为一般数据Ⅲ:
1) 公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对经济运行、社会秩序造成一般危害:
2) 公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对公共利益造成一般危害;
3) 公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对组织权益、个人权益造成特别严重危害或严重危害。
b) 满足以下任一条件的数据,识别为一般数据Ⅱ:
1) 公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对经济运行、社会秩序造成轻微危害:
2) 公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对公共利益造成轻微危害;
3) 公共数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对组织权益、个人权益造成一般危害或轻微危害。
c) 未识别为一般数据Ⅲ、 一般数据Ⅱ的其他数据,确定为一般数据Ⅰ。
6.4.3.2 公共数据等级划分依据见表 2.
表2 公共数据等级划分表
影响对象 影响程度
特别严重危害 严重危害 一般危害 轻微危害 无危害
国家安全 核心数据 核心数据 重要数据 — —
经济运行、社会秩序 核心数据 重要数据 一般数据Ⅲ 一般数据Ⅱ 一般数据Ⅰ
公共利益 核心数据 重要数据 一般数据Ⅲ 一般数据Ⅱ 一般数据1
组织权益、个人权益 一般数据Ⅲ 一般数据Ⅲ 一般数据Ⅱ 一般数据Ⅱ 一般数据1
4
DB23/T 3849—2024
6.5 综合确定级别
6.5.1 数据项定级
依据数据项(字段)含义,按照数据分级规则,对待定级的数据资源包含的所有数据项(字段)进行等级划分,数据资源定级为其包含的数据项的最高级别。数据项最低参考级别见附录 F.
6.5.2 数据集定级
数据集定级应充分考虑数据规模的影响,数据集规模达到该公共服务和管理机构分级细则规定的数量后,应在数据项(字段)级别基础上提高级别。
6.5.3 业务场景定级
公共数据在业务场景中加工程度不同,可形成不同的衍生数据。公共数据定级应结合业务场景,考虑在业务场景下产生的衍生数据的安全风险,内容包括:
a) 衍生数据级别宜依据就高从严原则,对照加工的原始数据集级别进行定级,同时可按照数据加工程度进行升级或降级:
1) 脱敏数据级别可比原始数据集级别降低,去标识化的个人信息不低于一般数据Ⅱ,匿名化的个人信息可设置为一般数据Ⅰ:
2) 标签数据级别可比原始数据集级别降低,个人标签信息不低于一般数据Ⅱ:
3) 统计数据如涉及大规模群体特征或行动轨迹,应设置比原始数据级别更高的级别:统计数据如不包含个人、组织的敏感信息,且不对国家安全、公共利益造成危害,可设置比原始数据级别更低的级别:
4) 融合数据级别根据数据汇聚融合结果,结果数据汇聚了更多的原始数据或挖掘出更敏感的数据,级别应升高;结果数据降低了标识化程度,级别可降低。
b) 对于无法评估的不确定性风险,宜通过专家座谈研讨等方式确定数据级别。
6.5.4 综合定级
取数据集级别与业务场景级别的最大值作为数据资源最终级别。
6.6 级别变更
公共数据分级完成后,应定期检查复核。当数据的业务属性、重要程度和可能造成的危害程度发生变化时,宜进行动态更新,动态更新包括但不限于以下情形:
a) 数据内容发生变化,导致原有数据的级别不适用变化后的数据;数据内容未发生变化,但因数据:
b) 时效性、数据规模、数据使用场景、数据加工处理方式等发生变化,导致原定的数据级别不再适用:
c) 因数据汇聚融合,导致原有数据级别不再适用汇聚融合后的数据:
d) 对不同数据加工整合后形成的新数据,导致原有数据的级别不再适用新数据;
e) 对数据进行脱敏、删除关键数据项(字段),或经过去标识化、假名化、匿名化处理;
f) 发生数据安全事件,导致数据敏感性发生变化:
g) 因国家或行业主管部门要求,导致原定的数据级别不再适用:
h) 需要对数据级别进行变更的其他情形。
5
DB23/T X3849—2024
7 实施流程
公共管理和服务机构按以下步骤开展自身公共数据分类分级工作:
a) 数据资产梳理:各公共管理和服务机构对数据资产进行全面梳理,形成待分类分级公共数据清单:
b) 制定内部细则:按照自身公共数据所属行业领域数据分类分级标准规范,结合自身数据特点,参照本文件制定本公共管理和服务机构的公共数据分类分级细则。明确以下内容:
1) 明确本公共管理和服务机构公共数据分类细则,给出按照主题、行业、公共管理和服务机构、数据管理特征、数据对象、数据共享属性、数据开放属性等维度划分的数据类别:
2) 分析本公共管理和服务机构公共数据的领域、群体、区域、精度、规模、深度、重要性等分级要素,明确本公共管理和服务机构各级数据识别细则。
c) 实施数据分类:按本文件第 5 章建立的数据分类规则及自身公共数据分类细则,对公共数据进行分类,公共数据分类分级示例见附录 G:
d) 实施数据分级:按本文件第 6 章建立的数据分级规则及自身公共数据分级细则,对公共数据进行分级:
e) 审核上报目录:各公共管理和服务机构对数据分类分级结果进行审核和完善,形成公共数据分类分级清单,并对公共数据进行分类分级标识,按有关程序报送;
f) 动态更新管理:根据公共数据重要程度和可能造成的危害程度变化,对公共数据分类分级规则、公共数据分类分级清单和标识等进行动态更新管理。
DB23/T 3849—2024
附 录 A
(资料性)
主题分类参考示例
主题分类参考示例见表 A.1.
表A.1主题分类参考示例
序号 主题
1 科技创新
2 商贸流通
3 社会救助
4 城建住房
5 教育文化
6 工业农业
7 机构团体
8 地理空间
9 资源能源
10 市场监管
11 生活服务
12 生态环境
13 交通运输
14 安全生产
15 社保就业
16 医疗卫生
17 信用服务
18 公共安全
19 财税金融
20 气象服务
21 法律服务
--- ···
DB23/T 3849—2024
附 录 B
(资料性)
公共管理和服务机构分类参考示例
公共管理和服务机构分类参考示例见表 B.1.
表B.1公共管理和服务机构分类参考示例
编码 公共管理和服务机构名称
0101 省委组织部
0102 省委宣传部
0103 省委统战部
0104 省委网信办
0105 省委编办
0106 省委军民融合办
0107 省信访局
0108 省委保密办
0109 省委机要局
0201 省人大办公厅
0301 省发改委
0302 省教育厅
0303 省科技厅
0304 省工信厅
0305 省民宗委
0306 省公安厅
0307 省民政厅
0308 省司法厅
0309 省财政厅
0310 省人社厅
0311 省自然资源厅
0312 省生态环境厅
0313 省住建厅
0314 省交通厅
0315 省水利厅
0316 省农业农村厅
0317 省商务厅
0318 省文旅厅
0319 省卫健委
0320 省退役军人事务厅
0321 省应急厅
0322 省审计厅
8
DB23/T 3849—2024
表B.1 公共管理和服务机构分类参考示例(续)
编码 公共管理和服务机构名称
0323 省市场监管局
0324 省广播电视局
0325 省体育局
0326 省统计局
0327 省医保局
0328 省地方金融监管局
0329 省营商环境建设监督局
0330 省林草局
0331 省机关事务管理局
0332 省扶贫办
0333 省粮食局
0334 省煤管局
0335 省药监局
0336 省知识产权局
0337 省安全厅
0401 省政协办公厅
0501 省人民法院办公室
0601 省人民检察院办公室
0701 省民主党派办公室
0801 省残联
0901 省税务局
0902 省通信管理局
0903 省邮政局
0904 省气象局
0905 省烟草专卖局
0906 哈尔滨海关
0907 黑龙江海事局
0908 国家统计局黑龙江调查总队
0909 黑龙江省地震局
0910 黑龙江煤监局
0911 馬龙江测绘地信局
0912 黑龙江证监局
0913 黑龙江银保监局
0914 人民银行哈尔滨中心支行
0915 中国民用航空黑龙江安全监督管理局
1001 省电力公司
1002 中国铁路哈尔滨局集团有限公司
---
9
DB23/T 3849—2024
附 录 C
(资料性)
数据管理特征分类
C.1 数据产生频率
按产生频率分类是指根据公共数据产生的频率(单位时间内产生的数据量或达到指定数据量的频率)对公共数据进行分类。根据公共数据产生周期可分为实时、天、周、月、季度、半年、年等。
C.2 数据产生方式
按公共数据产生方式可分为人工采集数据、信息系统产生数据、感知设备产生数据、原始数据、二次加工数据等。
C.3 根据数据结构化特征
按公共数据的结构化特征可分为结构化数据、半结构化数据和非结构化数据。
C.4 数据存储方式
根据公共数据储存方式可分为关系型数据库存储数据、键值数据库存储数据、列式数据库存储数据、文档数据库存储数据等。
10
DB23/T 3849—2024
附 录 D
(资料性)
数据对象分类
D.1 个人数据
个人数据为个人的属性数据和行为数据,包括但不限于:
———个人的姓名:
———出生日期:
——身份证件号码:
———个人生物识别信息:
———住址:
———电话号码。
D.2 组织数据
组织数据为政府部门、企事业单位、其他法人和非法人组织、团体等组织的属性数据和业务数据,包括但不限于组织在运营过程中产生或获取的:
——基础数据:
——资产数据:
——人事劳保:
——税务数据:
——信用数据:
——行政许可。
D.3 客体数据
客体数据为非个人或组织的客观实体(如道路、建筑、视频捕捉设备等)的属性数据和感应数据,包括但不限于:
——公共设施基本信息、设备的位置、指标参数、运行状态:
——公共基础设施的属性数据:
——地理、海洋、气象、空气质量、水质等监测数据。
11
DB23/T 3849—2024
附 录 E
(资料性)
影响程度判别参考依据
不同影响对象对应的影响程度参考示例见表E.1.
表E.1影响程度判别参考依据表
影响对象 影响程度 参考说明
国家安全 特别严重危害 直接影响国家政治安全
严重危害 关系其他国家安全重点领域,或者对国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全造成严重威胁
一般危害 对国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空极地、深海、生物、人工智能等安全造成威胁
经济运行 特别严重危害 1)直接影响关系国民经济命脉的重要行业和关键领域的经济利益安全,如涉及国家安全的行业、提供重要公共产品的行业、重要资源行业等;2) 直接影响关系国民经济命脉的重点产业、重大基础设施、重大建设项目以及其他重大经济利益安全;3) 对一个或多个行业领域的经济发展、业务生产、技术进步、产业生态造成特别严重危害,如对支柱产业和高新技术产业中的重要骨干企业造成重大损害。导致大面积业务中断、大量业务处理能力丧失等;4)对一个或多个市地的经济运行造成特别严重危害,例如导致大范围停工停产、大规模基础设施长时间中断运行等
严重危害
1) 直接影响宏观经济运行状况和发展趋势,如社会总供给和总需求、国民经济总值和增长速度、国民经济主要比例关系、物价总水平、劳动就业总水平与失业率、货币发行总规模与增长速度、进出口贸易总规模与变动等;
2) 直接影响一个或多个市地、行业内多个企业或大规模用户,对行业发展、技术进步和产业生态等造成严重影响,或者直接影响行业领域核心竞争力、核心业务运行、关键产业链、核心供应链等
一般危害
1)
对单个行业领域发展、业务经营、技术进步、产业生态等造成一般危害,如受影响的用户和企业数量较小、生产生活区域范围较小、持续时间较短、社会负面影响较小;
2) 对单个行业领域或市地的经济运行造成一般危害
轻微危害 影响行业内少数企业,不对行业领域发展、生产、运行和经济效益直接造成危害
无危害 对经济运行不造成影响
社会秩序 特别严重危害 1)关系重要民生,直接影响人民群众重要民生保障的事项、物资、工程或项目等;2)直接导致特别重大突发事件、特别重大群体性事件、暴力恐怖活动等,引起一个或多个市地大部分地区的社会恐慌,严重影响社会正常运行
严重危害
1) 直接导致重大突发事件、重大群体性事件等,影响一个或多个区县的社会稳定:
2) 严重影响人民群众的日常生活秩序;
3) 严重影响各级政务部门履行公共管理和服务职能;
4) 严重影响法治和社会伦理道德规范
一般危害
1) 对人民群众的日常生活秩序造成一般影响:)
2)直接影响全事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序:
3)直接影响公共场所的活动秩序、公共交通秩序
轻微危害 对人民群众的日常生活秩序造成轻微影响
无危害 对社会秩序不造成影响
12
DB23/T 3849—2024
表E.1影响程度判别参考依据表(续)
影响对象 影响程度 参考说明
公共利益 特别严重危害 1) 关系重大公共利益,导致一个或多个市地大部分地区的社会公共资源供应长期、大面积瘫痪,大范围社会成员(如1000万人以上)无法使用公共设施、获取公开数据资源、接受公共服务;2) 导致特别重大网络安全和数据安全事件,或者导致特别重大事故级别的安全生产事故,对公共利益造成特别严重影响,社会负面影响大;3) 导致特别重大突发公共卫生事件(1级),造成社会公众健康特别严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件
严重危害
1) 直接危害公共健康和安全,如严重影响疫情防控、传染病的预防监控和治疗等;
2) 导致重大突发公共卫生事件(Ⅱ级),造成社会公众健康严重损害的重大传染病疫情、群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件:
3) 导致一个或多个地市大部分地区的社会公共资源供应较长期中断,较大范围社会成员(如100 万人以上)无法使用公共设施、获取公开数据资源、接受公共服务
一般危害 导致一个市地部分地区的社会公共资源供应短期中断,较小范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务
轻微危害 波及市地以下的部分地区,扰乱社会秩序,对经济建设有一定的负面影响
无危害 对公共利益不造成影响
组织利益 特别严重危害 导致组织遭到监管部门严重处罚(包括取消经营资格、长期暂停相关业务等),或者影响重要/关键业务无法正常开展的情况,造成重大经济或技术损失,严重破坏机构声誉,企业面临破产
严重危害 可能导致组织遭到监管部门处罚(包括一段时间内暂停经营资格或业务等),或者影响部分业务无法正常开展的情况,造成较大经济或技术损失,破坏机构声誉
一般危害 可能导致个别诉讼事件,或在某一时间造成部分业务中断,使组织的经济利益、声誉、技术等轻微受损
轻微危害 对组织合法权益仅造成微弱影响但不会影响国家安全、公共利益、市场秩序或各项业务的正常开展,造成的微弱影响可被补救或者补偿
无危害 对组织合法权益不造成影响
个人权益 特别严重危害 个人信息主体可能遭受重大的、不可消除的、无法克服的影响,导致个人的人身安全、财产安全、健康状况、精神状况、人格尊严、个人名誉等出现严重损害。如遭受无法承担的债务、失去工作能力、导致长期的心理或生理疾病、导致死亡等
严重危害 个人信息主体可能遭受较大影响,个人信息主体克服难度高,消除影响代价较大。导致人身安全、财产安全、健康状况、精神状况、人格尊严、个人名誉等出现损害。如遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇,被法院传唤。健康状况恶化等
一般危害 个人信息主体遭受困扰,但尚可以克服。如付出额外成本,无法使用应提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等
轻微危害 对个人合法权益仅造成微弱影响
无危害 对个人合法权益不造成影响
13
DB23/T 3849—2024
附 录 F
(资料性)
数据项最低参考级别
数据项最低参考级别包括:
a) 已合法公开披露的公共数据可定为一般数据Ⅰ:法律法规规章未明确要求公开的个人信息等级不应低于一般数据Ⅱ:有条件共享/开放的公共数据级别不应低于一般数据Ⅱ:法律法规明确要求保护的公共数据,数据级别不应低于一般数据Ⅲ:不予开放的公共数据不应低于一般数据Ⅲ:不予共享的公共数据不应低于重要数据:
b) 一般个人信息不低于一般数据Ⅱ:敏感个人信息不低于一般数据Ⅲ。通过分析个人信息遭到泄露或者非法利用对个人信息主体权益可能造成的影响,符合以下任一影响的可判定为敏感个人信息:
1) 个人信息遭到泄露或者非法使用,可能直接侵害个人信息主体的人格尊严,如特定身份、医疗健康、犯罪记录等:
2) 个人信息遭到泄露或者非法使用,不会直接侵害个人信息主体的人格尊严,但可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严,如个人种族、宗教信仰、性取向等:
3) 个人信息遭到泄露或者非法使用,可能直接或间接危害个人信息主体的人身、财产安全,如家庭住址、家属关系等家庭相关信息,身份证复印件等。
c) 对于在库表、数据文件存储的数据分级标记应细化至数据的数据项(字段)级,相关库表、文件的级别按照包含数据项(字段)的最高级别定级:
d) 对数据接口定级按照其响应请求返回数据项(字段)中级别最高的数据项(字段)级别定级。
14
DB23/T 3849—2024
附 录 G
(资料性)
公共数据分类分级示例
G.1 数据分类
数据集名称:中小学生信息
按主题分类属于教育文化类,按行业分类属于教育大类,按公共管理和服务机构分类属于省教育厅类,按数据管理特征分类更新频率为年、数据产生方式为原始数据、数据结构化特征为结构化数据、数据存储方式为关系型数据库存储数据,按数据对象分类属于个人数据类,按数据共享属性分类属于有条件共享类,按数据开放属性分类属于不予开放类。
G.2 数据分级
数据集名称:中小学生信息
数据项:主管教育局名称、学生名称、性别、身份证件号、学籍号、学校名称、学校标识码、年级、入学年月、户口所在地、是否独生子女、监护人1姓名、监护人2姓名、班级名称、民族
数据项定级:
一般数据Ⅰ:主管教育局名称、学校名称、学校标识码数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对相关影响对象无危害,列入一般数据Ⅰ。
一般数据Ⅱ:学生名称、性别、年级、入学年月、户口所在地、是否独生子女、监护人1姓名、监护人2姓名、班级名称、民族数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对个人权益造成一般危害或轻微危害,列入一般数据Ⅱ。
一般数据Ⅲ:身份证件号、学籍号数据遭到篡改、破坏、泄露或者非法获取、非法利用后,对个人权益造成严重危害,列入一般数据Ⅲ。
综合定级:
按照数据分级的弃低取高原则,针对数据项集合的定级,应取该数据项集合中所有数据项级别的最高值,所以列入一般数据Ⅲ。
15
DB23/T 3849—2024
参 考 文 献
[1]《中华人民共和国数据安全法》 (2021年9月1日施行)
[2]《中华人民共和国网络安全法》 (2016年11月7日施行)
[3]《黑龙江省促进大数据发展应用条例》 (2023年4月14日施行)
16