2021年12月31號，全國信息安全標準化技術委員會秘書處發布了《網絡安全標準實踐指南——網絡數據分類分級指引》（以下簡稱“《指引》”，文末戳“閱讀原文”可查看《指引》全文），給出了網絡數據分類分級的原則、框架和方法。

北京明朝萬達科技股份有限公司作為該《指引》的技術支持單位，從專業角度為大家進行解讀。

全國信息安全標準化技術委員會（簡稱“信安標委”）是在信息安全技術專業領域內，從事信息安全標準化工作的技術工作組織。委員會負責組織開展國內信息安全有關的標準化技術工作，技術委員會主要工作范圍包括：安全技術、安全機制、安全服務、安全管理、安全評估等領域的標準化技術工作。

《實踐指南》系列是由全國信息安全標準化技術委員會秘書處（簡稱“秘書處”）組織制定和發布的標準相關技術文件，旨在圍繞網絡安全法律法規政策、標準、網絡安全熱點和事件等主題，宣傳網絡安全相關標準及知識，提供標準化實踐指引。

為貫徹落實《數據安全法》提出的“國家建立數據分類分級保護制度”要求，指導數據處理者開展數據分類分級工作，秘書處組織編制了《網絡安全標準實踐指南——網絡數據分類分級指引》（簡稱“指引”），并于2021年12月31日正式公開發布。指引依據法律法規和政策標準相關要求，給出了網絡數據分類分級的原則、框架和方法，適用于指導數據處理者開展數據分類分級工作，也可為主管監管部門進行數據分類分級管理提供參考。

本指引中簡明扼要的闡明了數據分類分級的對象分為數據項和數據集，并且清晰易懂的介紹了數據項與數據集。在分類分級工作中要注意數據項與數據集是不同層級上的概念，數據項的概念比較復雜，在數據結構中數據項是數據不可分割的最小單位，在結構化數據分類分級工作中數據項就是數據庫表的字段列；與之相對，非結構化數據文件是多個數據項的集合，數據集的分類識別與安全定級要依據就高從嚴原則，數據集合中安全級別最高的數據項的定級是本數據文件最低的安全級別，此外還要考慮數據規模是否會造成數據集的安全級別升高。

數據分類分級按照數據分類管理、分級保護的思路，依據合法合規、分類多維、分級明確、就高從嚴、動態調整原則進行劃分：

? 分類分級工作首重合規，優先對國家或行業有專門管理要求的數據進行識別和管理；

? 可以從多種視角和維度開展分類，推薦從便于組織或企業數據管理和使用角度進行分類；

? 分級標準必須明確，各級別數據應該界限分明，不同級別的數據應采取不同的保護措施；

? 包含多個級別數據項的數據集，必須按照數據項的最高級別對數據集進行定級；

? 因時間變化、 政策變化、安全事件發生、不同業務場景的敏感性變化或相關行業規則不同，數據安全級別也有可能發生變化，因此數據分類分級進行定期審核并及時調整。

便于數據管理和使用目的，本指引采用面分類法，從國家、行業、組織等視角給出了多個維度的數據分類參考框架，每個維度的數據也可采用線分類法進行細分：

a) 公民個人維度：個人信息、非個人信息；

b) 公共管理維度：廣義公共數據（政務數據、狹義公共數據）、社會數據；

c) 信息傳播維度：公共傳播信息、非公共傳播信息；

d) 行業領域維度： 工業數據、電信數據、金融數據、交通數據、自然資源數據、衛生健康數據、教育數據、科技數據等（GB/T 4754-2017國民經濟行業分類）；

e) 組織經營維度 ：用戶數據、業務數據、經營管理數據、系統運行和安全數據。

指引從國家數據安全角度給出的數據分級基本框架，將數據從低到高分成一般數據、重要數據、核心數據共三個級別。核心數據、重要數據的識別和劃分，按照國家和行業的核心數據目錄、重要數據目錄執行，目錄不明確時可參考有關規定或標準。

由于一般數據涵蓋數據范圍較廣，采用同一安全級別保護可能無法滿足不同數據的安全需求。因此建議數據處理者在基本框架定級的基礎上也可結合行業數據分類分級規則或組織生產經營需求，對一般數據進行細化分級。

數據處理者優先遵循國家、行業的數據分類要求，也可從組織經營維度進行數據分類，數據分類流程參考下圖實施。

a) 識別是否存在法律法規或主管監管部門有專門管理要求的數據類別，并對識別的數據類別進行區分標識，包括但不限于：

1) 從公民個人維度識別是否存在個人信息；

2) 從公共管理維度識別是否存在公共數據；

3) 從信息傳播維度識別是否存在公共傳播信息。

b) 從行業領域維度，確定待分類數據的數據處理活動涉及的行業領域：

1) 如果該行業領域存在行業主管部門認可或達成行業共識的行業數據分類規則（《指引》附錄C中包含了工業、電信、金融行業的數據分級規則與數據分級對應關系參考），應按照行業數據分類規則對數據進行分類；

2) 如果該行業領域不存在行業數據分類規則，可從組織經營維度結合自身數據管理和使用需要對數據進行分類，可參考下圖實施；

3) 如果數據處理涉及多個行業領域，建議分別按照各行業的數據分類規則對數據類別進行標識。

c) 完成上述數據分類后，數據處理者可采用線分類法對類別進一步細分。

通過分析特定自然人與信息之間的關系，符合下述情形之一的信息，可判定為個人信息：

a) 可識別特定自然人： 即從信息到個人，依據信息本身的特殊性可識別出特定自然人，包括單獨或結合其他信息識別出特定自然人。（按照個人信息標識特定自然人的程度，可分為直接標識信息、準標識信息。）

b) 與特定自然人關聯：即從個人到信息，如已知特定自然人，由該特定自然人在其活動中產生的信息（如個人位置信息、個人通話記錄、網頁瀏覽記錄等），可識別為個人信息。

《指引》中明確了可識別特定自然人的個人信息通過去標識化等處理后，如果達到無法識別特定自然人且不能復原的匿名化效果，那么處理后的信息不再屬于個人信息。

直接標識信息，是指在特定環境下可單獨唯一識別特定自然人的信息。常見的直接標識信息有：姓名、公民身份號碼、護照號、駕照號、詳細住址、電子郵件地址、移動電話號碼、銀行賬戶、社會保障號碼、唯一設備識別碼、車輛識別碼、健康卡號碼、病歷號碼、學號、IP地址、網絡賬號等。

準標識信息，是指在特定環境下無法單獨唯一標識特定自然人，但結合其他信息可以唯一標識特定自然人的信息。常見的準標識信息有：性別、出生日期或年齡、國籍、籍貫、民族 、職業、婚姻狀況、受教育水平、宗教信仰、收入狀況等。