1、ICS 35.240 CCS L 72 DB11 北京市地方标准 DB11/T 1918 2021 政务数据分级与安全保护规范 Specification for government data classfication and security protection 2021-12-28发布 2022-04-01实施 北京市市场监督管理局 发布 DB11/T 1918 2021 I 目 次 前言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 缩略语 . 3 5 数据分级 . 3 6 数据分级安全保护要求 . 8 附录 A(资料性)示例 . 10 附录
2、B(资料性)分级实施与级别判定流程示例 . 17 附录 C(规范性)数据共享开放形态分级管控 . 18 附录 D(规范性)政务数据分级安全保护要求 . 20 参考文献 . 27 DB11/T 1918 2021 II 前 言 本文件按照 GB/T 1.1 2020标准化工作导则 第 1部分:标准化文件的结构和起草规则的规定 起草。 本文件由北京市经济和信息化局提出并归口。 本文件由北京市经济和信息化局组织实施。 本文件起草单位:北京市经济和信息化局 、 北京市 大 数据 中心、 北京信息安全 测评中心、联通 数 字 科技有限公司、中电长城网际系统应 用 有限公司、 北京 金融大 数据 有限公司
3、、 北京 科技大学、福建博思 软 件 股份有限公司、中城智慧科技有限公司、 北京 知道创宇 信息 技 术 股份有限公司、 北京 观 安信息 技 术 有限公司、 北京安 华金 和 科技有限公司、 北京 启明星辰 信息安全 技 术 有限公司、 北京 神州绿盟科技有限 公司、 北京 明朝万达科技股份有限公司、九次方大 数据信息 集团 。 本文件 主 要起草 人 : 潘锋、刘国伟、唐建国、刘旭、王岩、石志国、刘海峰、沈剑、张兴、高磊、 康晓宇、冉祥栋、赵莹、李媛、赵章界、窦腾飞、贾晓丰、张晰、 江茜 、 陈桂红 、 林 峰 璞 、 曹薇 、李 依 轩 、 田涛 、 施 阳 、李 振军 、 朱 岩、 舒
4、鹏 、 聂 明、赵 昕 、 谢江 、李 佐 、刘 勇 、张 帆 、 何晋昊 、 郎佩佩 。 DB11/T 1918 2021 1 政务数据分级与安全保护规范 1 范围 本文件 给 出 了 电 子 政务数据分级的 原 则 、方 法 、 流程 , 规范 了 政务数据的安全保护 通 用要求 、技 术 要求和管 理 要求 , 并 给 出 了 安全保护与共享开放 之间 的 关 系 。 本文件 适 用 于指 导政务部 门 ( 包括行 政 机关 和 具 有公 共 事 务管 理职能 的 事业 单位) 在 政务数据 采 集、 汇聚 、 传输 、 存储 、 加 工 、 共享 、 开放 、 使 用 、 销毁等 全
5、生命周期 的分级安全 防 护 ,也适 用 于指 导 网 络 安全 主 管部 门对 政务数据安全保护的 监督 管 理 。 本文件 适 用 于不涉及 国 家秘密 信息的政务数据。 2 规范性引用文件 下列 文件 中 的 内容 通 过 文 中 的规范性引用 而 构 成 本文件 必不可少 的 条款 。 其 中 , 注日 期 的引用文件 , 仅该日 期对 应 的 版 本 适 用 于 本文件 ; 不 注日 期 的引用文件 ,其 最新版 本( 包括 所 有 的 修改 单) 适 用 于 本 文件。 GB/T 22240 信息安全 技 术 网 络 安全 等 级保护定级 指 南 3 术语和定义 下列 术语和定义
6、适 用 于 本文件。 3.1 信息(在信息处理中) information( in information processing) 关于 客体 ( 如 事 实 、 事 件 、 事 物 、 过 程 或 思 想 ,包括 概念 )的 知 识 ,在 一 定的 场合 中 具 有 特 定的 意 义。 来源 : GB/T 5271.1-2000,2.1 3.2 数据 data 指 任 何 以 电 子 或者 其 他 方 式 对 信息的 记 录。 3.3 政务数据 government data 政务部 门在 履 行职 责 过 程 中 制 作 或获取 的 , 以 电 子 化形 式记 录 、 保 存 的结构化数据
7、和 非 结构化数据 , 包括 政务部 门 直接或 通 过 第 三 方 依法采 集 的 、 依法 授权 管 理 的和 因履 行职 责需 要 依 托 政务信息 系统 形 成 的数据。 3.4 数据分级 data classification DB11/T 1918 2021 2 对采 集、 汇聚 、 传输 、 存储 、 开放 、 共享和 使 用 等 数据全 生命周期 中 的政务数据 , 按照 一 定的 原 则 和流程 等 方 法 将 其 划 分 为 不 同 级别 , 以便 对不 同 级别的数据实 行 有 针 对 性的保护。 3.5 敏感数据 sensitive data 不 为 公 众所 知 悉
8、、 具 有 价值 并经 权利 人 采 取相 应 保 密 措 施的数据。 3.6 个人信息 personal information 以 电 子 或者 其 他 方 式记 录的与 已识 别 或者 可 识 别的 自然 人有 关 的 各种 信息 ,不包括 匿名 化 处 理 后 的 信息。 3.7 个人敏感信息 personal sensitive information 一旦泄露或者非 法使 用 ,容 易 导 致自然 人 的 人 格尊严受到侵害或者 人 身 、 财产 安全 受到危害 的 个 人 信息 ,包括生 物识 别 、 宗教 信 仰 、 特 定 身 份、 医疗健 康、金融 账户 、 行 踪轨迹 等
9、 信息 , 以 及不 满十四 周 岁未 成 年 人 的 个 人 信息。 3.8 重要数据 important data 一旦 遭 到 篡 改 、 破坏 、 泄露或者非 法 获取 、 非 法 利 用 ,可能 危害 国 家 安全 、公 共 利 益 的数据。 3.9 核心数据 core data 关 系国 家 安全 、国 民 经济 命 脉 、 重 要 民 生 和 重 大公 共 利 益 等 的数据。 3.10 一般数据 common data 重 要数据 、 核 心 数据 以 外 的数据。 3.11 数据专区 data specific area 在 特 定的安全 区域 内 、 特 定的 监 管 条
10、件 下,对 特 定数据 进 行 开放 , 引 入社会力量 开 展 数据 汇聚 融 合 、 清洗 加 工 、 挖掘 分 析 、 产 品服 务 等 活动 , 推动 大 数据 技 术 创 新 、应 用 创 新 、 服 务 创 新 的 支撑载 体 。 3.12 政务数据共享 government data sharing 政务部 门 因履 行职 责需 要 使 用 其 他 政务部 门 的政务数据 或者为 其 他 政务部 门 提 供 政务数据的 行 为 。 DB11/T 1918 2021 3 3.13 政务数据开放 government data opening 政务部 门 面向 公 民 、 法 人 和
11、 其 他 组织提 供 政务数据的 行 为 。 4 缩略语 下列 缩略语 适 用 于 本文件。 APP 应 用程 序 ( Application) IP 网 络之间 互 联 的 协议 ( Internet Protocol) 5 数据分级 5.1 分级原则 5.1.1 分级管控原则 分级 防 护 , 促进 应 用。 通 过对 数据 进 行 分级 , 推动 建 立基 于 分级的数据全 生命周期 安全 防 护 体 系 , 确 保 在 安全 可 控的 环境 下, 促进 数据共享和开放。 5.1.2 自主定级原则 自 主 分级 , 参考判例。政务部 门 应 按照本文件的分级 方 法 自 主 对 数据 进
12、 行 分级 , 当 已 有 相 类似 的数 据分级 案 例 时 , 应 参考 相 似案 例 进 行 分级。 5.1.3 综合判定原则 场 景 导 向 , 兼顾 内容 。数据分级 时 应 结 合 数据的 应 用 场 景 、 组 合 、 取值 、 数据 量 的 大 小 等, 力 求数 据分级准 确 合 理 。 5.2 分级方法 5.2.1 分级对象 5.2.1.1 数据分级的粒度 从 数据分级的 粒度上 分 ,可 以 对 数据 项进 行 分级 ,也可 以 对 数据 项 集 合 进 行 整 体 分级 , 还 可 以 既 对 数据 项 集 合 整 体 进 行 分级 , 又 同 时 对其 中 的数据 项
13、进 行 分级。数据 项既 可 以 是 结构化数据 中 的单 个 数据 字 段 ,也可 以 是 单 个非 结构化数据 , 单 个非 结构化数据作 为一个 整 体 进 行 分级。 5.2.1.2 数据项分级 当 仅 对 数据 项进 行 分级 时 , 默认 数据 项 集 合 的级别 为 其 所 包 含 数据 项 级别的 最 高 级别。 5.2.1.3 数据项集合分级 当 仅 对 数据 项 集 合 进 行 分级 时 , 默认 其包 含 的数据 项 级别 为该 数据 项 集 合 的级别。 DB11/T 1918 2021 4 5.2.1.4 数据项集合和其中的数据项同时分级 当 对 数据 项 集 合 和
14、 其 中 的数据 项 同 时 分级 时 , 数据 项 集 合 整 体 级别 不 应 低 于其包 含 数据 项 级别的 最 高 级。 5.2.2 分级因素 5.2.2.1 因素构成 数据分级 基 于 分级 因 素进 行 综 合 判定 , 分级 因 素 包括 :数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响 对 象 、 影响 程 度 和 影响 范围。 5.2.2.2 影 响 对象 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响 对 象 包括 国 家 安全 、公 共 利 益 或者个 人、 组织 合 法 权 益 , 数据 来源如 下 : a) 国 家 安全 ,包
15、括 国 家 政 权 、主 权 、 统 一 和 领土完整 、人 民 福 祉 、 经济 社会 可 持续发展 和 国 家其 他 重 大 利 益 相 对 处 于 没 有 危 险 和 不 受 内 外 威胁 的 状 态 , 以 及 保 障 持续 安全 状 态的 能 力 ; b) 党 政 机关,包括 党 的 机关 、人大 机关 、 行 政 机关 、 政 协 机关 、 审 判 机关 、公 安 机关 、 检察 机关 、 以 及 各 级 党 政 机关 派 出 机 构 、 直 属 事业 单位 及 人 民 团 体 等 ; c) 公 共 服 务 机 构 ,包括 教 育 、 医疗 、金融、 供 水 、 供 电、 供 气
16、、 供 热 、 环 保 、公 共 交 通、通 讯 等 与 人 民 群 众利 益 密 切 相 关 的 公 共 企 事业 单位 ; d) 其 他 机 构 ,包括 除党 政 机关 、公 共 服 务 机 构 以 外 的 企 业 和 社会 组织 ; e) 自然 人 。 注: 自然 人 是 指依 自然 规 律 出 生而 取 得 民 事 主 体 资 格 的 人 。 5.2.2.3 影 响程 度 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响 程 度 包括 一 般 影响 、 严 重影响 和 特 别 严 重影响 , 见表 1。 表 1 影 响程 度 程 度 定义 一 般 影响 数据 发 生
17、泄露 、 篡 改 、 丢失 或 滥 用 后 对 国 家 安全 、 党 政 机关 、公 共 服 务 机 构 、 其 他 机 构 及 自 然 人 的 运 行 、 资 产 、 安全 造 成 轻微损 害或一 般损 害 , 且 结 果 可 以 补救 。例 如 : 对机 构的 相 关 工作 产 生 轻微干扰 , 但 工作 仍 可 正常运转 ; 对 自然 人 造 成 轻微 人 身 伤 害或 轻微 财产 损 失 。 严 重影响 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 对 国 家 安全 、 党 政 机关 、公 共 服 务 机 构 、 其 他 机 构 及 自 然 人 的 运 行 、 资 产 、
18、安全 造 成 严 重 损 害 , 且 结 果 不可 逆但 可 以 采 取措 施 降 低 损 失 。例 如 : 对 机 构的 相 关 工作 产 生 较 大 干扰 , 但 工作 仍 可 继 续 运转 ; 对 自然 人 造 成 严 重 人 身 伤 害或 较 大 财 产 损 失 。 特 别 严 重影响 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 对 国 家 安全 、 党 政 机关 、公 共 服 务 机 构 、 其 他 机 构 及 自 然 人 的 运 行 、 资 产 、 安全 造 成 特 别 严 重 损 害 , 且 结 果 不可 逆 。例 如 : 对机 构的 相 关 工作 产 生 极 大
19、干扰 , 导 致 工作 运转 失 灵 或 几近瘫痪 ;致 使 自然 人 死亡 或 导 致 重 大 财产 损 失 。 5.2.2.4 影 响 范围 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响 范围 , 根 据 其 影响 规 模 可 划 分 为 : 较 大 范围 影响 和 较 小 范围 影响 , 根 据 其可 控程 度 可 划 分 为 : 强 可 控 影响 和 弱 可 控 影响 , 见表 2。 DB11/T 1918 2021 5 表 2 影 响 范围 影响 范围 定义 影响 规 模 较 小 范围 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 , 影响 规 模
20、同 时满 足 以 下 情 形: a) 影响 党 政 机关 、公 共 服 务 机 构的数 量 ,不 超 过 1个 ( 含 1个 ); b) 影响 其 他 机 构的数 量 ,不 超 过 3个 ( 含 3个 ); c) 影响 自然 人 的数 量 ,不 超 过 50个 ( 含 50个 )。 较 大 范围 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 , 影响 规 模 满 足 以 下 情 形 之 一 : a) 影响 党 政 机关 、公 共 服 务 机 构的数 量 , 超 过 1个; b) 影响 其 他 机 构的数 量 , 超 过 3个; c) 影响 自然 人 的数 量 , 超 过 50个 。
21、 可 控程 度 强 可 控 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 ,可 控程 度 同 时满 足 以 下 情 形: a) 可 通 过采 取措 施 降 低影响 对 象 的数 量 或 控 制 其 增 长 ; b) 影响 仅 发 生在 影响 对 象 所 在 区域 和 行业, 或 可 通 过采 取措 施 减 少 影响区域 、 行业 数 量 , 或 缩 小影响区域 ; c) 影响持续时 间 较短 , 或 可 通 过采 取措 施缩 减 影响 频 次、 周期, 或 能 够 在可 知 时 间内 消 除 影响 。 弱 可 控 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 ,可 控程
22、 度满 足 以 下 情 形 之 一 : a) 影响 对 象 的数 量 难 以 预 知 或 难 以 控 制; b) 影响 涉及 多 个 区域 或 跨 行业, 或 影响区域 、 行业 范围 难 以 预 知 或 难 以 控 制; c) 影响持续时 间 较 长 , 或 影响 频 次、 周期 难 以 预 知 或 难 以 控 制 , 或 难 以 在可 知 时 间内 消 除 影响 。 注: 当影响 对 象 为 国 家 安全 时 , 默认影响 规 模 为 较 大 范围 、 可 控程 度 为 弱 可 控。 5.2.3 分级 描述 综 合 考 虑 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响
23、 对 象 、 影响 程 度 、 影响 范围 , 将 数据 划 分 为 四 级。 具 体 描述 , 见表 3。 表 3 分级定义 数据级别 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响 一 级 对 党 政 机关 、公 共 服 务 机 构 、 其 他 机 构 、 自然 人 造 成 较 小 范围 且强 可 控的 一 般 影响 。 对其 他 机 构 、 自然 人 造 成 较 小 范围 且弱 可 控的 一 般 影响 。 对其 他 机 构 造 成 较 大 范围 且强 可 控的 一 般 影响 。 二 级 对 党 政 机关 、公 共 服 务 机 构 造 成 较 小 范围 且弱 可 控的
24、一 般 影响 。 对 党 政 机关 、公 共 服 务 机 构 、 自然 人 造 成 较 大 范围 且强 可 控的 一 般 影响 。 对其 他 机 构 、 自然 人 造 成 较 大 范围 且弱 可 控的 一 般 影响 。 对其 他 机 构 、 自然 人 造 成 较 小 范围 且强 可 控的 严 重影响 。 三 级 对 国 家 安全 造 成 一 般 影响 。 对 党 政 机关 、公 共 服 务 机 构 造 成 较 大 范围 且弱 可 控的 一 般 影响 。 对 党 政 机关 、公 共 服 务 机 构 造 成 较 小 范围 且强 可 控的 严 重影响 。 对 党 政 机关 、公 共 服 务 机 构
25、、 其 他 机 构 、 自然 人 造 成 较 小 范围 且弱 可 控的 严 重影响 。 对 党 政 机关 、公 共 服 务 机 构 、 其 他 机 构 、 自然 人 造 成 较 大 范围 且强 可 控的 严 重影响 。 DB11/T 1918 2021 6 表 3 分级定义 ( 续 ) 数据级别 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响 三 级 对其 他 机 构 、 自然 人 造 成 较 大 范围 且弱 可 控的 严 重影响 。 对其 他 机 构 造 成 较 小 范围 且强 可 控的 特 别 严 重影响 。 四 级 对 国 家 安全 造 成 严 重影响 或特 别 严
26、重影响 。 对 党 政 机关 、公 共 服 务 机 构 造 成 较 大 范围 且弱 可 控的 严 重影响 。 对 党 政 机关 、公 共 服 务 机 构 、 自然 人 造 成 特 别 严 重影响 。 对其 他 机 构 造 成 较 小 范围 且弱 可 控的 特 别 严 重影响 。 对其 他 机 构 造 成 较 大 范围的 特 别 严 重影响 。 5.2.4 分级因素与数据级 别 的 关系 5.2.4.1 分级因素与数据级 别 对 应关系 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响 对 象 、 影响 程 度 、 影响 范围 等 分级 因 素 与数据级别 对 应 关 系 ,
27、见表 4。 表 4 分级因素与数据级 别 的 关系 影响 程 度 影响 范围 影响 对 象 影响 规 模 可 控程 度 国 家 安全 党 政 机关 、公 共 服 务 机 构 自然 人 其 他 机 构 一 般 影响 较 小 范围 强 可 控 - 一 级 一 级 一 级 弱 可 控 - 二 级 一 级 一 级 较 大 范围 强 可 控 - 二 级 二 级 一 级 弱 可 控 三 级 三 级 二 级 二 级 严 重影响 较 小 范围 强 可 控 - 三 级 二 级 二 级 弱 可 控 - 三 级 三 级 三 级 较 大 范围 强 可 控 - 三 级 三 级 三 级 弱 可 控 四 级 四 级 三 级
28、 三 级 特 别 严 重影响 较 小 范围 强 可 控 - 四 级 四 级 三 级 弱 可 控 - 四 级 四 级 四 级 较 大 范围 - 四 级 四 级 四 级 四 级 5.2.4.2 多 影 响 对象的数据级 别 定义 分级 对 象 的 影响 对 象 涉及 国 家 安全 、 党 政 机关 、公 共 服 务 机 构 、 其 他 机 构 、 自然 人中 的 两 类 及 两 类 以 上时 , 分级 对 象 级别 应 为 其 影响 对 象类 别 中 的 最 高 级。 5.2.4.3 与 业 务 应 用场 景有关 的数据级 别 定义 由 于 数据 项 或 数据 项 集 合 与 业 务 应 用 场
29、景 有 关, 因 此 在不 同 应 用 场 景 下, 数据的级别 也 会发 生 变 化。 本文件分别 给 出 了不 考 虑 应 用 场 景 和考 虑 应 用 场 景 下 的部分数据 项 或 数据 项 集 合 的分级示例 , 见 附录 A。 DB11/T 1918 2021 7 5.2.5 数据级 别 与 网络 安全保护 等 级的 关系 根 据 国 家 网 络 安全 等 级保护 制 度 相 关 要求 , 结 合 数据分级管控 原 则 , 信息 系统 与 其可 承 载 的数据 具 有 对 应 关 系 , 见表 5。 表 5中 信息 系统 安全保护 等 级 执 行 GB/T 22240。 表 5 数
30、据级 别 与 系统 安全保护 等 级的 关系 信息 系统 安全保护 等 级 可 承 载 的数据级别 三 级 及 以 上 一 级 、 二 级 、 三 级 、 四 级 二 级 一 级 、 二 级 一 级 一 级 5.2.6 数据的保护级 别 本文件 中 核 心 数据的数据保护级别 应 不 低 于 四 级 , 重 要数据的数据保护级别 应 不 低 于 三 级 , 一 般 数 据的数据保护级别 可 为一 级 或 二 级。 5.3 分级 流程 根 据 等 级保护 对 象 定级工作的 一 般 流程 , 本文件 给 出数据分级流程 , 见图 1。 图 1 数据分级 流程 如 图 1所 示 , 数据分级的 具
31、 体 流程 如 下 : a)全 面 梳 理 数据资 产 , 明 确 应 用 场 景 和数据 责任 主 体 , 形 成 数据 目 录 ; b)确 定数据分级 对 象 , 初步 确 定 拟 分级的数据范围和 对 象 ; DB11/T 1918 2021 8 c)初步 确 定数据级别 , 结 合 现 有 和 可 预 期 的数据 应 用 场 景 , 综 合 考 虑 数据 发 生 泄露 、 篡 改 、 丢失 或 滥 用 后 的 影响 对 象 、 影响 程 度 、 影响 范围 , 参照 表 4初步 确 定数据级别( 以 结构化数据 为 例 , 分级实施 与级别判定流程示例 , 见 附录 B) ; d)专
32、家 评 审 , 组织 网 络 安全和 业 务 专 家,对 数据 初步 分级结 果 进 行 评 审 , 确 保分级的准 确 性和 科学 性 , 若 评 审 不 通 过, 则 应 重 新 确 定数据级别 ; e)主 管 领 导 审批 , 将 通 过 专 家 评 审 的数据分级结 果报 主 管 领 导 审批 ; f)最 终 确 定数据级别 , 主 管 领 导 审批 通 过 后 , 最 终 确 定数据级别 ; g)数据级别 变更 , 当发 生 以 下 情 形 时 , 应 重 新 对 数据 进 行 分级: 1)数据分级 对 象发 生了 增 加 、 减 少 、 改 变 等 情况 影响 数据级别的 ; 2)
33、数据 在汇聚 、 加 工 、 分 析 等过 程 中 级别 发 生 变 化 或产 生 新 数据( 如 脱 敏 后 的数据 、统 计 产 生 的数据 等 ) ; 3)数据 应 用 场 景发 生 变 化导 致 数据级别 变 化。 6 数据分级安全保护要 求 6.1 总体 要 求 数据安全保护 应 遵循 政务部 门 负 责 、 行业 部 门指 导和 监 管的 原 则 , 落 实数据保护的 主 体责任 和 监 管 职 责 。 数据安全保护 应 依 据本文件 , 根 据数据级别 采 取相 应 的管 理 措 施和 技 术 手 段 对 数据 采 集、 汇聚 、 传 输 、 存储 、 加 工 、 共享 、 开放
34、 、 使 用 、 销毁等 环 节 进 行 有 针 对 性的保护 , 个 人 信息 、 敏感 数据和 重 要数 据要 加 强 安全管控 措 施 , 核 心 数据 应 采 取 更 加 严格 的管控 措 施。 6.2 数据共享开放要 求 对于 各 级数据的共享开放要求 , 见表 6。 表 6 各 级数据共享开放要 求 数据级别 共享要求 开放要求 一 级 无 条 件共享 ( 原 则 上 无 条 件共享 , 如 列 为 有 条 件共享 , 应 当 有 法 律 、 行 政 法 规的规定 或者相 关 政 策 为 依 据。) 无 条 件开放 ( 原 则 上 在不 违反 法 律 法 规的 条 件 下, 面向社
35、会完 全开放 或 脱 敏 后 开放。) 二 级 有 条 件共享 ( 原 则 上 有 条 件共享 , 如 列 为 不 予 共享 , 应 当 有 法 律 、 行 政 法 规的规定 或者相 关 政 策 为 依 据。) 有 条 件开放 ( 原 则 上 在不 违反 法 律 法 规的 条 件 下, 脱 敏 后 面向 社会 有 条 件开放。) 三 级 四 级 不 予 共享 /有 条 件共享 ( 原 则 上 不 予 共享 , 或 提 供 可 用 不可 见 的 有 条 件共 享。) 不 予 开放 /有 条 件开放 ( 原 则 上 不 予 开放 , 或 在不 违反 法 律 法 规的 条 件 下 提 供 可 用 不
36、可 见 的 有 条 件开放。) 注: 可 用 不可 见 是 指 数据 使 用 方 不可 以 明 细 方 式获取或 访问 数据 ,可 以 通 过 部 署 模 型 并 通 过 数据 建 模 分 析 获 得 或 访 问 统 计 级结 果 数据 以 及 模 型 自身 参数。 数据共享开放形态和分级管控要求 , 应 符 合 附录 C。 DB11/T 1918 2021 9 6.3 数据共享开放 审批流程 根 据数据级别与数据共享开放要求的 对 应 关 系 , 本文件 给 出数据共享开放 审批 的 一 般 流程 , 见图 2。 图 2 数据共享开放 审批流程 如 图 2所 示 , 数据共享开放的 具 体
37、流程 如 下 : a)梳 理 拟 共享开放的数据 , 明 确 应 用 场 景 和数据 责任 主 体以 及 拟 共享开放数据的级别 ; b)初步 确 定 拟 共享开放数据的数据形态 , 并 区 分数据共享形态和开放形态 ; c)判 断 是 否符 合 数据分级管控要求 , 若 不 符 合 要求 , 则 应 重 新 确 定数据共享形态和开放形态 ; d)主 管 领 导 审批 , 将 符 合 要求的数据共享开放结 果报 主 管 领 导 审批 , 审批 通 过 方 可 实施数据共享开 放 相 关 操 作 , 若审批 不 通 过, 则 应 重 新 梳 理 拟 共享开放数据。 6.4 数据安全保护 具体 要
38、 求 数据安全保护要求分 为 通 用要求 、技 术要求和管 理 要求 三 部分 ,其 中通 用要求规定 了 概 括 性 、 整 体 性的数据安全保护要求 , 技 术要求规定 了 数据全 生命周期 的安全保护 技 术要求 , 管 理 要求规定 了 数据安 全 相 关 的组织 机 构 、人 员 以 及 活动 的安全保护管 理 要求。 各 部分 具 体 要求 , 应 符 合 附录 D。 DB11/T 1918 2021 10 A A 附 录 A ( 资料 性) 示例 A.1 不考虑应 用场 景下 的个人信息数据项分级 示例 A.1.1 概述 个 人 信息 是 政务数据的 重 要组 成 部分 , 个
39、人 业 务 应 用 在 各 类 政务部 门 均 有 涉及, 实 际 分级 时 要 紧 密 结 合个 人 信息的 应 用 场 景 、 个 人 信息数据 项 的组 合 、 数据 量 的 大 小 等, 力 求数据分级准 确 合 理 。 A.1.2 分级 示例 在不 考 虑 应 用 场 景 的 情况 下, 表 A.1给 出 了 较 小 范围 影响 规 模情 形 下 一 些典型 个 人 信息单 个 数据 项 的分级示例。 表 A.1 典型 个人信息分级 示例 分 类 数据 项 影响 对 象 影响 程 度 影响 规 模 可 控程 度 数据级别 个 人 基 本信息 姓 名 自然 人 一 般 影响 较 小 范
40、围 强 可 控 二 级 生 日 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 性别 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 民 族 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 国 籍 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 家 庭 关 系 自然 人 一 般 影响 较 小 范围 强 可 控 二 级 住址 自然 人 一 般 影响 较 小 范围 强 可 控 二 级 个 人电 话号码 自然 人 一 般 影响 较 小 范围 强 可 控 二 级 电 子 邮箱地址 自然 人 一 般 影响 较 小 范围 强 可 控 二 级 个 人 身 份 信息 身
41、 份 证号码 自然 人 严 重影响 较 小 范围 强 可 控 二 级 个 人 生 物识 别 信息 基 因 自然 人 特 别 严 重影响 较 小 范围 弱 可 控 四 级 指 纹 自然 人 特 别 严 重影响 较 小 范围 弱 可 控 四 级 面 部 识 别 特 征 自然 人 特 别 严 重影响 较 小 范围 弱 可 控 四 级 网 络 标 识 信息 个 人 信息 主 体账 号 自然 人 严 重影响 较 小 范围 强 可 控 二 级 IP地址 自然 人 严 重影响 较 小 范围 强 可 控 二 级 个 人 数 字 证书 自然 人 严 重影响 较 小 范围 强 可 控 二 级 个 人 医疗 信息
42、病症 自然 人 严 重影响 较 小 范围 强 可 控 二 级 医 嘱 单 自然 人 严 重影响 较 小 范围 强 可 控 二 级 检 验 报 告 自然 人 严 重影响 较 小 范围 强 可 控 二 级 手 术 及 麻醉 记 录 自然 人 严 重影响 较 小 范围 强 可 控 二 级 用 药 记 录 自然 人 严 重影响 较 小 范围 强 可 控 二 级 药 物 食 物 过 敏 信息 自然 人 严 重影响 较 小 范围 强 可 控 二 级 生 育 信息 自然 人 严 重影响 较 小 范围 强 可 控 二 级 DB11/T 1918 2021 11 表 A.1 典型 个人信息分级 示例 ( 续 )
43、 分 类 数据 项 影响 对 象 影响 程 度 影响 规 模 可 控程 度 数据级别 个 人 医疗 信息 以 往病史 自然 人 严 重影响 较 小 范围 强 可 控 二 级 家 族病史 自然 人 严 重影响 较 小 范围 强 可 控 二 级 个 人 身体健 康 体 重 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 身 高 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 肺 活量 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 个 人 工作信息 职业 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 职 位 自然 人 一 般 影响 较 小 范围 强 可 控
44、 一 级 工作单位 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 工作经 历 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 个 人 教 育 信息 学 历 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 教 育 经 历 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 培训 记 录 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 成 绩 单 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 个 人 财产 信息 银 行 账户 自然 人 严 重影响 较 小 范围 强 可 控 二 级 鉴 别信息 (口 令 ) 自然 人 特 别 严 重影响 较
45、 小 范围 强 可 控 四 级 存款 信息 自然 人 严 重影响 较 小 范围 强 可 控 二 级 房 产 信息 自然 人 严 重影响 较 小 范围 强 可 控 二 级 信 贷 记 录 自然 人 严 重影响 较 小 范围 强 可 控 二 级 征 信信息 自然 人 严 重影响 较 小 范围 强 可 控 二 级 交 易 和 消 费 记 录 自然 人 严 重影响 较 小 范围 强 可 控 二 级 流 水 记 录 自然 人 严 重影响 较 小 范围 强 可 控 二 级 虚 拟 货币 自然 人 严 重影响 较 小 范围 强 可 控 二 级 虚 拟交 易 自然 人 严 重影响 较 小 范围 强 可 控 二
46、 级 游戏 类 兑换码 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 个 人 上 网 记 录 网 站浏览 记 录 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 软 件 使 用 记 录 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 点击 记 录 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 收藏 列 表 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 个 人 常 用 设备 信息 硬 件 序 列 号 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 设备 MAC地址 自然 人 严 重影响 较 小 范围 强 可 控 二 级 软 件 列
47、 表 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 唯 一 设备 识 别 码 自然 人 严 重影响 较 小 范围 强 可 控 二 级 个 人 位 置 信息 行 踪轨迹 自然 人 严 重影响 较 小 范围 强 可 控 二 级 精 准定位信息 自然 人 严 重影响 较 小 范围 强 可 控 二 级 住宿 信息 自然 人 严 重影响 较 小 范围 强 可 控 二 级 其 他 信息 婚史 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 宗教 信 仰 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 性 取 向 自然 人 一 般 影响 较 小 范围 强 可 控 一 级 未 公 开的 违 法 犯罪 记 录 自然 人 严 重影响 较 小 范围 强 可 控 二 级 DB11/T 1918 2021 12 A.2 不考虑应 用场 景下 的 运营商 数据项分级 示例 A.2.1 运营商 数据项分级 示
