1、 ICS 35.240.70 CCS L 70 上海市地方标准 DB31/T 14462023 公共数据安全分级指南 Guidelines to the security classification of public data 2023-11-21 发布 2024-03-01 实施上海市市场监督管理局 发 布 DB31/Txxx2023 I 目 次 前 言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 分级原则.1 4.1 合法合规.1 4.2 边界清晰.2 4.3 就高从严.2 4.4 动态调整.2 5 分级规则.2 5.1 分级框架.2 5.2 核心数据.2 5.
2、3 重要数据.2 5.4 一般数据.2 6 分级流程.3 6.1 公共数据目录编制.3 6.2 潜在影响评估.3 6.3 公共数据目录分级.3 6.4 分级结果评审备案.3 6.5 数据级别重新定级.3 附 录 A(资料性)一般数据分级与使用说明.5 附 录 B(资料性)公共数据安全定级分析示例.7 附 录 C(资料性)公共数据安全重新定级示例.8 参考文献.9 DB31/Txxx2023 II 前 言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由上海市人民政
3、府办公厅提出并组织实施。本文件由上海市数据标准化技术委员会和上海市信息安全标准化技术委员会共同归口。本文件起草单位:上海市互联网信息办公室、上海市大数据中心、上海市信息安全测评认证中心、上海观安信息技术股份有限公司、上海计算机软件技术开发中心、云赛智联股份有限公司。本文件主要起草人:杨海军、刘迎风、张庆利、储昭武、张照龙、杨琳、陈正伟、黄丽娜、冯骏、梁满、王征、邹武、夏娟、章建兵、傅行晓、陈磊、何怡、王昕平、陈岚、朱雪雅、连娅、刘硕、周子尧、李闰玲。DB31/Txxx2023 1 公共数据安全分级指南 1 范围 本文件提供了上海市公共数据安全分级原则、规则和流程。本文件适用于指导上海市公共管理
4、和服务机构开展公共数据安全分级工作。本文件不适用于涉及国家秘密的数据和军事数据。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2022 信息安全技术 术语 3 术语和定义 GB/T 25069-2022 界定的以及下列术语和定义适用于本文件。3.1 公共管理和服务机构 public management and service institutions 本市国家机关、事业单位,经依法授权具有管理公共事务职能的组织,以
5、及供水、供电、供气、公共交通等提供公共服务的组织。3.2 公共数据 public data 公共管理和服务机构在依法履行公共管理和服务职责过程中收集和产生的数据。3.3 个人信息 personal information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。注 1:个人信息包括个人基本资料、个人身份信息、个人生物识别信息、网络身份标识信息、个人健康生理信息、个人教育工作信息、个人财产信息、个人通信信息、联系人信息、个人上网记录、个人常用设备信息、个人位置信息和其他个人信息。注 2:个人信息控制者通过个人信息或者其他信息加工
6、处理后形成的信息,例如,用户画像或者特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。来源:GB/T 35273-2020,3.1 4 分级原则 4.1 合法合规 遵循有关法律法规及部门规定要求,对公共数据进行识别和管理,满足相应的数据安全管理要求。DB31/Txxx2023 2 4.2 边界清晰 各个数据安全级别做到边界清晰,采取相应的数据安全保护措施。4.3 就高从严 采用就高不就低的原则确定公共数据目录安全级别。当多个因素可能影响数据分级时,按照可能造成的最大影响程度确定级别。4.4 动态调整 根据数据的业务属性、重要性和可能造成的危害程度
7、的变化,对已定义的数据分级进行审核和按需调整。5 分级规则 5.1 分级框架 根据公共数据一旦遭篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成危害程度,将公共数据分为核心数据、重要数据和一般数据,一般数据再由高到低分为 4 级、3 级、2 级和 1 级。5.2 核心数据 核心数据是对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。5.3 重要数据 重要数据是特
8、定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的数据一般不作为重要数据。重要数据目录由行业主管部门编制,并制定安全防护措施及管理制度。5.4 一般数据 5.4.1 概述 一般数据是核心数据、重要数据之外的其他数据,由公共管理和服务机构对本机构所管理的一般数据的数据项进行分级,分级与使用见附录A。5.4.2 4 级数据 公共数据中潜在影响符合下列条件之一的为 4 级数据:a)一般危害社会秩序、公共利益;b)特别严重危害法人和其他组织合法权益;c)特别严重危害个人合法权益。5.4.3
9、3 级数据 公共数据中潜在影响符合下列条件之一的为 3 级数据:a)严重危害法人和其他组织合法权益;DB31/Txxx2023 3 b)严重危害个人合法权益。5.4.4 2 级数据 公共数据中潜在影响符合下列条件之一的为 2 级数据:a)一般危害法人和其他组织合法权益;b)一般危害个人合法权益。5.4.5 1 级数据 公共数据中潜在影响符合下列条件之一的为 1 级数据:a)不会危害法人和其他组织合法权益;b)不会危害个人合法权益。6 分级流程 6.1 公共数据目录编制 公共管理和服务机构按其公共管理和服务职责范围,根据支撑履职的信息系统所产生的数据资源,编制公共数据目录。6.2 潜在影响评估
10、公共管理和服务机构按照本文件第5章的要求进行分级,评估本机构公共数据目录及其数据项遭篡改、破坏、泄露或者非法利用等可能带来的潜在影响。6.3 公共数据目录分级 公共管理和服务机构遵循国家和行业领域数据分级要求,将公共数据目录的“数据目录安全等级”定义为“核心数据目录”、“重要数据目录”或“一般数据目录”。对于“一般数据目录”,公共管理和服务机构识别确定各数据项安全等级,并将数据项的“数据项安全等级”定义为“4级”、“3级”、“2级”和“1级”。注:公共数据目录及其数据项安全定级分析示例参见附录 B。6.4 分级结果评审备案 公共管理和服务机构组织公共数据目录安全分级评审,并提交市、区公共数据主
11、管部门、网络和数据安全主管部门审核,评审不通过,重新组织分析数据资产,属于核心数据和重要数据目录的,上报市主管部门备案。6.5 数据级别重新定级 公共数据内容或者影响对象和程度发生变化后,公共管理和服务机构及时对公共数据安全级别进行重新定级(公共数据安全重新定级示例参见附录C),所发生变化形式包括但不限于:a)数据内容发生变化;b)数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化;c)多个原始数据直接合并;d)经过脱敏以后的数据;e)对不同数据选取部分数据进行合并形成的新数据;f)不同数据类型经汇聚融合形成新的数据类别;DB31/Txxx2023 4 g)国家或者行业主管部门要求
12、发生变化。DB31/Txxx2023 5 附 录 A(资料性)一般数据分级与使用说明 一般数据根据社会秩序、公共利益、组织权益、个人权益四个影响对象,产生不同影响程度,分级与使用说明见表A.1。表A.1 一般数据分级与使用说明 一般数据级别 影响对象 影响程度 参考说明及示例 数据使用要求 4级 社会秩序、公共利益 一般危害 例如:某公共场所一定精度人群的行踪轨迹,数据泄露及非法使用可能会直接影响公共场所的活动秩序。4级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。法人和组织权益 特别严重危害 例如:某个区的法人库全量信息或特定行业的法人库信息,关系到组织
13、供应链,数据泄露及非法使用可能会导致重要业务无法正常开展,造成重大经济或技术损失,严重破坏机构声誉,企业面临破产。个人权益 特别严重危害 例如:个人生物识别信息,包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,数据泄露及非法使用可能会使个人遭受无法承担的债务,导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。3级 法人和组织权益 严重危害 例如:1.技术信息:技术设计、技术样品、质量控制、应用试验、工艺流程、工业配方、化学配方、制作工艺、制作方法、计算机程序等;2.经营信息:发展规划、竞争方案、管理诀窍、客户名单、货源、产销策略、财务状况、投融资计划、标书标底、谈判方案等。数
14、据泄露可能导致组织业务无法正常开展,造成较大经济或技术损失,破坏机构声誉。3级数据仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权。个人权益 严重危害 例如:个人身份信息证件,包括身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等,数据泄露及非法使用可能会使个人遭受诈骗、资金被盗用、被银行列入黑名单、信用评分受损等。DB31/Txxx2023 6 表A.1 一般数据分级与使用说明(续)一般数据级别 影响对象 影响程度 参考说明及示例 数据使用要求 2级 法人和组织权益 一般危害 例如:组织应披露但未到披露时间节点的各类信息,如财务报表等,数据泄露可
15、能导致个别诉讼事件,使组织的经济利益、声誉、技术等轻微受损。2级数据通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享。个人权益 一般危害 识别特定自然人身份或者反映特定自然人活动情况的各种信息,例如:个人姓名、生日、性别、民族、国籍、个人电话号码、电子邮件地址等,数据泄露可能会使个人造成误解、产生害怕和紧张的情绪。1级 法人和组织权益 不会危害 例如:组织发布在网站、宣传册中或任何其他公开来源的数据,不会危害法人和组织权益。1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析。个人权益 不会危害 例如:个人已
16、授权公开的信息,不会危害个人权益。DB31/Txxx2023 7 附 录 B(资料性)公共数据安全定级分析示例 B.1 数据描述 公共数据目录:某行政机关作出的行政处罚决定。数据项:决定书编号、案件案号、处罚当事人姓名、处罚当事人身份证号码、处罚当事人联系方式、行政违法事实、处罚依据、处罚结果、行政处罚的实施机关、处罚日期。B.2 分析过程 分析过程包括:a)“决定书编号、案件案号、行政处罚的实施机关、处罚日期、处罚依据”五个数据项信息若被破坏或者非法利用不会危害个人合法权益,五个数据项安全级别被定义为 1 级;b)“处罚当事人姓名、行政违法事实、处罚结果、处罚当事人联系方式”四个数据项信息若
17、被泄露或者非法利用将会一般危害个人合法权益,四个数据项安全级别被定义为 2 级;c)“处罚当事人身份证号码”数据项信息,若被泄露和非法利用将会严重危害个人合法权益,本数据项安全级别被定义为 3 级;d)对于未成年人及法律规定的不得公开的信息宜提升安全评级为 3 级及以上。B.3 分级结果 某行政机关作出的行政处罚决定安全分级见表B.1。表B.1 某行政机关作出的行政处罚决定安全分级 对象类别 数据对象 安全分级 数据项 案件案号 1级 行政处罚的实施机关 1级 处罚日期 1级 处罚依据 1级 决定书编号 1级 处罚当事人姓名 2级 行政违法事实 2级 处罚结果 2级 处罚当事人联系方式 2级
18、处罚当事人身份证号码 3级 DB31/Txxx2023 8 附 录 C(资料性)公共数据安全重新定级示例 C.1 数据描述 公共数据目录:某行政机关作出的行政处罚决定。数据项:决定书编号、案件案号、处罚当事人姓名、处罚当事人身份证号码、处罚当事人联系方式、行政违法事实、处罚依据、处罚结果、行政处罚的实施机关、处罚日期。C.2 重新定级过程 公共数据内容或者影响对象和程度发生变化后,公共管理和服务机构及时重新定义数据安全级别,以下为示例:a)“某行政机关作出的行政处罚决定”由“行政处罚行为信息”和“行政处罚个人信息”两个目录组成;b)“行政处罚行为信息”目录包括“决定书编号、案件案号、处罚当事人
19、 ID、行政违法事实、处罚依据、处罚结果、行政处罚的实施机关、处罚日期”,用脱敏后的“处罚当事人 ID”代替“处罚当事人身份证号码”,该目录定级为 2 级;c)“行政处罚个人信息”目录包括“处罚当事人 ID、处罚当事人姓名、处罚当事人身份证号码、处罚当事人联系方式”,该目录定级为 3 级。该目录的数据量若超过 100 万个自然人,定级为重要数据。DB31/Txxx2023 9 参考文献 1 GB/T 352732020 信息安全技术 个人信息安全规范 2 GB/T 379732019 信息安全技术 大数据安全管理指南 3 GB/T 393352020 信息安全技术 个人信息安全影响评估指南 4
20、 TC260-PG-20212A 网络安全标准实践指南网络数据分类分级指引 5 中华人民共和国网络安全法(中华人民共和国主席令第五十三号)6 中华人民共和国数据安全法(中华人民共和国主席令第八十四号)7 中华人民共和国个人信息保护法(中华人民共和国主席令第九十一号)8 关键信息基础设施安全保护条例(中华人民共和国国务院令第745号)9 上海市数据条例(上海市第十五届人民代表大会常务委员会第三十七次会议)10 上海市公共数据共享实施办法(试行)(沪委办发20236号)11 上海市公共数据和一网通办管理办法(沪府令20189号)12 上海市公共数据开放暂行办法(沪府令201921号)13 上海市公共数据开放分级分类指南(试行)(沪经信推20191002号)_
