TC260-PG-20212A

網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南

—網(wǎng)絡(luò)數(shù)據(jù)分類分級指引

（v1.0-202112）

全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處

2021年12月

本文檔可從以下網(wǎng)址獲得：

/

前言

《網(wǎng)絡(luò)安全標(biāo)準(zhǔn)實踐指南》（以下簡稱《實踐指南》）

是全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（以下簡稱“信安標(biāo)委”）

秘書處組織制定和發(fā)布的標(biāo)準(zhǔn)相關(guān)技術(shù)文件，旨在圍繞網(wǎng)絡(luò)

安全法律法規(guī)政策、標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全熱點和事件等主題，宣

傳網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)及知識，提供標(biāo)準(zhǔn)化實踐指引。

I

聲明

本《實踐指南》版權(quán)屬于信安標(biāo)委秘書處，未經(jīng)秘書處

書面授權(quán)，不得以任何方式抄襲、翻譯《實踐指南》的任何

部分。凡轉(zhuǎn)載或引用本《實踐指南》的觀點、數(shù)據(jù)，請注明

“來源：全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處”。

技術(shù)支持單位

本《實踐指南》得到中國電子技術(shù)標(biāo)準(zhǔn)化研究院、中國

移動通信集團(tuán)有限公司、中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、

北京信息安全測評中心、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、

亞信科技（成都）有限公司、北京百度網(wǎng)訊科技有限公司、

北京奇虎科技有限公司、聯(lián)通大數(shù)據(jù)有限公司、北京明朝萬

達(dá)科技股份有限公司、天翼電子商務(wù)有限公司、螞蟻科技集

團(tuán)股份有限公司、深信服科技股份有限公司、北京愛奇藝科

技有限公司、杭州安恒信息技術(shù)股份有限公司、北京字節(jié)跳

動科技有限公司、阿里巴巴（北京）軟件服務(wù)有限公司、OPPO

廣東移動通信有限公司、中國電信集團(tuán)有限公司、北京數(shù)安

行科技有限公司、順豐速運有限公司、深圳市騰訊計算機系

統(tǒng)有限公司、北京小桔科技有限公司、京東科技控股股份有

限公司、閃捷信息科技有限公司、內(nèi)蒙古自治區(qū)大數(shù)據(jù)中心

等單位的技術(shù)支持。

II

摘要

為貫徹落實《中華人民共和國數(shù)據(jù)安全法》中“國家建

立數(shù)據(jù)分類分級保護(hù)制度”要求，保障國家安全、公共利益、

個人和組織的合法權(quán)益，本實踐指南依據(jù)法律法規(guī)和政策標(biāo)

準(zhǔn)要求，給出了網(wǎng)絡(luò)數(shù)據(jù)分類分級的原則、框架和方法，可

用于指導(dǎo)數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作，也可為主管監(jiān)

管部門進(jìn)行數(shù)據(jù)分類分級管理提供參考。

III

目錄

1范圍.......................................................................1

2術(shù)語定義...................................................................1

3數(shù)據(jù)分類分級原則...........................................................3

4數(shù)據(jù)分類分級框架...........................................................3

4.1數(shù)據(jù)分類框架.........................................................3

4.2數(shù)據(jù)分級框架.........................................................4

5數(shù)據(jù)分類方法...............................................................5

5.1數(shù)據(jù)分類流程.........................................................5

5.2個人信息識別與分類...................................................7

5.3公共數(shù)據(jù)識別與分類..................................................10

5.4公共傳播信息識別與分類..............................................11

6數(shù)據(jù)分級方法..............................................................12

6.1分級要素............................................................12

6.2基本分級規(guī)則........................................................14

6.3一般數(shù)據(jù)分級規(guī)則....................................................14

6.4定級方法............................................................15

6.5重新定級............................................................19

7數(shù)據(jù)分類分級實施流程......................................................21

附錄A組織經(jīng)營維度數(shù)據(jù)分類參考示例.........................................23

附錄B個人信息分類示例.....................................................24

附錄C部分行業(yè)數(shù)據(jù)分類分級參考示例.........................................29

參考文獻(xiàn)....................................................................35

IV

1范圍

本實踐指南給出了網(wǎng)絡(luò)數(shù)據(jù)分類分級的原則、框架和方法。

本實踐指南適用于指導(dǎo)數(shù)據(jù)處理者開展數(shù)據(jù)分類分級工作，也可

為主管監(jiān)管部門進(jìn)行數(shù)據(jù)分類分級管理提供參考。

2術(shù)語定義

2.1網(wǎng)絡(luò)數(shù)據(jù)

簡稱數(shù)據(jù)，是指任何以電子方式對信息的記錄。

注：數(shù)據(jù)分類分級的對象通常是數(shù)據(jù)項、數(shù)據(jù)集。數(shù)據(jù)項是數(shù)據(jù)庫表的某一列字段。數(shù)

據(jù)集是由多個數(shù)據(jù)項組成的集合，如數(shù)據(jù)庫表、數(shù)據(jù)文件等。

2.2重要數(shù)據(jù)

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害

國家安全、公共利益的數(shù)據(jù)。

注1：重要數(shù)據(jù)不包括國家秘密。

注2：重要數(shù)據(jù)一般不包括個人信息和企業(yè)內(nèi)部管理信息，但達(dá)到一定規(guī)模的個人信息

或者基于海量個人信息加工形成的衍生數(shù)據(jù)，如其一旦遭到篡改、破壞、泄露或者

非法獲取、非法利用可能危害國家安全、公共利益，也應(yīng)滿足重要數(shù)據(jù)保護(hù)要求。

2.3核心數(shù)據(jù)

即國家核心數(shù)據(jù)，是指關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生、

重大公共利益等的數(shù)據(jù)。

2.4一般數(shù)據(jù)

一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能對個

人、組織合法權(quán)益造成危害，但不會危害國家安全、公共利益的數(shù)據(jù)。

1

2.5個人信息

以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)

的各種信息，不包括匿名化處理后的信息。

2.6公共數(shù)據(jù)

國家機關(guān)和依法經(jīng)授權(quán)、受委托履行公共管理和服務(wù)職能的組織

（以下統(tǒng)稱公共管理和服務(wù)機構(gòu)），在依法履行公共管理職責(zé)或提供

公共服務(wù)過程中收集、產(chǎn)生的數(shù)據(jù)。

注1：公共管理和服務(wù)機構(gòu)，包括各級政務(wù)機關(guān)、事業(yè)單位，其他依法經(jīng)授權(quán)或受委托

管理公共事務(wù)的組織，以及供水、供電、供氣、公共交通、教育、衛(wèi)生健康、社

會福利、環(huán)境保護(hù)等提供公共服務(wù)的組織。

注2：本實踐指南給出的公共數(shù)據(jù)是廣義概念，實際使用時也存在狹義的公共數(shù)據(jù)，即

僅將提供公共服務(wù)的組織在公共服務(wù)過程中收集產(chǎn)生的數(shù)據(jù)作為公共數(shù)據(jù)，將政

務(wù)機關(guān)履職過程中收集產(chǎn)生的數(shù)據(jù)作為政務(wù)數(shù)據(jù)。

注3：公共數(shù)據(jù)通常不包括組織專有的知識產(chǎn)權(quán)數(shù)據(jù)和商業(yè)秘密。

2.7公共傳播信息

也稱公共信息，數(shù)據(jù)處理者在提供公共服務(wù)過程中收集、產(chǎn)生的

具有公共傳播特性的信息。

2.8組織數(shù)據(jù)

組織在自身的業(yè)務(wù)生產(chǎn)、經(jīng)營管理和信息系統(tǒng)運維過程中收集和

產(chǎn)生的數(shù)據(jù)。

2.9衍生數(shù)據(jù)

原始數(shù)據(jù)經(jīng)過統(tǒng)計、關(guān)聯(lián)、挖掘或聚合等加工活動而產(chǎn)生的數(shù)據(jù)。

2.10商業(yè)秘密

不為公眾所知悉、具有商業(yè)價值并經(jīng)權(quán)利人采取相應(yīng)保密措施的

技術(shù)信息、經(jīng)營信息等商業(yè)信息。

2

3數(shù)據(jù)分類分級原則

數(shù)據(jù)分類分級按照數(shù)據(jù)分類管理、分級保護(hù)的思路，依據(jù)以下原

則進(jìn)行劃分：

a）合法合規(guī)原則：數(shù)據(jù)分類分級應(yīng)遵循有關(guān)法律法規(guī)及部門規(guī)

定要求，優(yōu)先對國家或行業(yè)有專門管理要求的數(shù)據(jù)進(jìn)行識別和管理，

滿足相應(yīng)的數(shù)據(jù)安全管理要求。

b）分類多維原則：數(shù)據(jù)分類具有多種視角和維度，可從便于數(shù)

據(jù)管理和使用角度，考慮國家、行業(yè)、組織等多個視角的數(shù)據(jù)分類。

c）分級明確原則：數(shù)據(jù)分級的目的是為了保護(hù)數(shù)據(jù)安全，數(shù)據(jù)

分級的各級別應(yīng)界限明確，不同級別的數(shù)據(jù)應(yīng)采取不同的保護(hù)措施。

d）就高從嚴(yán)原則：數(shù)據(jù)分級時采用就高不就低的原則進(jìn)行定級，

例如數(shù)據(jù)集包含多個級別的數(shù)據(jù)項，按照數(shù)據(jù)項的最高級別對數(shù)據(jù)集

進(jìn)行定級。

e）動態(tài)調(diào)整原則：數(shù)據(jù)的類別級別可能因時間變化、政策變化、

安全事件發(fā)生、不同業(yè)務(wù)場景的敏感性變化或相關(guān)行業(yè)規(guī)則不同而發(fā)

生改變，因此需要對數(shù)據(jù)分類分級進(jìn)行定期審核并及時調(diào)整。

4數(shù)據(jù)分類分級框架

4.1數(shù)據(jù)分類框架

數(shù)據(jù)分類具有多種視角和維度，其主要目的是便于數(shù)據(jù)管理和使

用。本實踐指南采用面分類法，從國家、行業(yè)、組織等視角給出了多

個維度的數(shù)據(jù)分類參考框架。常見的數(shù)據(jù)分類維度，包括但不限于：

3

a）公民個人維度：按照數(shù)據(jù)是否可識別自然人或與自然人關(guān)聯(lián)，

將數(shù)據(jù)分為個人信息、非個人信息。

b）公共管理維度：為便于國家機關(guān)管理數(shù)據(jù)、促進(jìn)數(shù)據(jù)共享開

放，將數(shù)據(jù)分為公共數(shù)據(jù)、社會數(shù)據(jù)。

注：b）給出的分類是按照廣義的公共數(shù)據(jù)進(jìn)行分類，如果從狹義的公共數(shù)據(jù)角度，數(shù)

據(jù)也可分為政務(wù)數(shù)據(jù)、公共數(shù)據(jù)、社會數(shù)據(jù)。

c）信息傳播維度：按照數(shù)據(jù)是否具有公共傳播屬性，將數(shù)據(jù)分

為公共傳播信息、非公共傳播信息。

d）行業(yè)領(lǐng)域維度：按照數(shù)據(jù)處理涉及的行業(yè)領(lǐng)域，將數(shù)據(jù)分為

工業(yè)數(shù)據(jù)、電信數(shù)據(jù)、金融數(shù)據(jù)、交通數(shù)據(jù)、自然資源數(shù)據(jù)、衛(wèi)生健

康數(shù)據(jù)、教育數(shù)據(jù)、科技數(shù)據(jù)等，其他行業(yè)領(lǐng)域可參考GB/T4754—

2017《國民經(jīng)濟(jì)行業(yè)分類》。

e）組織經(jīng)營維度：在遵循國家和行業(yè)數(shù)據(jù)分類分級要求的基礎(chǔ)

上，數(shù)據(jù)處理者也可按照組織經(jīng)營維度，將個人或組織用戶的數(shù)據(jù)單

獨劃分出來作為用戶數(shù)據(jù)，用戶數(shù)據(jù)之外的其他數(shù)據(jù)從便于業(yè)務(wù)生產(chǎn)

和經(jīng)營管理角度進(jìn)行分類。附錄A給出了組織經(jīng)營維度的數(shù)據(jù)分類

參考示例，分為用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安

全數(shù)據(jù)。

數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)分類時，可在遵循國家和行業(yè)數(shù)據(jù)分類要求

的基礎(chǔ)上，采用面分類法從多個維度進(jìn)行分類，對不同維度的數(shù)據(jù)類

別進(jìn)行標(biāo)識，每個維度的數(shù)據(jù)分類也可采用線分類法進(jìn)行細(xì)分。

4.2數(shù)據(jù)分級框架

按照《中華人民共和國數(shù)據(jù)安全法》要求，根據(jù)數(shù)據(jù)一旦遭到篡

4

改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或

者個人、組織合法權(quán)益造成的危害程度，將數(shù)據(jù)從低到高分成一般數(shù)

據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)共三個級別。

上述三個級別是從國家數(shù)據(jù)安全角度給出的數(shù)據(jù)分級基本框架。

由于一般數(shù)據(jù)涵蓋數(shù)據(jù)范圍較廣，采用同一安全級別保護(hù)可能無法滿

足不同數(shù)據(jù)的安全需求。因此建議數(shù)據(jù)處理者優(yōu)先按照基本框架進(jìn)行

定級，在基本框架定級的基礎(chǔ)上也可結(jié)合行業(yè)數(shù)據(jù)分類分級規(guī)則或組

織生產(chǎn)經(jīng)營需求，對一般數(shù)據(jù)進(jìn)行細(xì)化分級，本實踐指南6.3給出了一

般數(shù)據(jù)分級的參考規(guī)則。

核心數(shù)據(jù)、重要數(shù)據(jù)的識別和劃分，按照國家和行業(yè)的核心數(shù)據(jù)

目錄、重要數(shù)據(jù)目錄執(zhí)行，目錄不明確時可參考有關(guān)規(guī)定或標(biāo)準(zhǔn)，本

實踐指南不對重要數(shù)據(jù)、核心數(shù)據(jù)的識別和劃分進(jìn)行闡釋。

5數(shù)據(jù)分類方法

5.1數(shù)據(jù)分類流程

數(shù)據(jù)處理者進(jìn)行數(shù)據(jù)分類時，應(yīng)優(yōu)先遵循國家、行業(yè)的數(shù)據(jù)分類

要求，如果所在行業(yè)沒有行業(yè)數(shù)據(jù)分類規(guī)則，也可從組織經(jīng)營維度進(jìn)

行數(shù)據(jù)分類，數(shù)據(jù)分類流程如圖1所示。

5

圖1數(shù)據(jù)分類流程

具體數(shù)據(jù)分類步驟包括：

a）識別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數(shù)

據(jù)類別，并對識別的數(shù)據(jù)類別進(jìn)行區(qū)分標(biāo)識，包括但不限于：

1)從公共個人維度識別是否存在個人信息，個人信息識別見

5.2.1；

2)從公共管理維度識別是否存在公共數(shù)據(jù)，公共數(shù)據(jù)識別見

5.3.1；

6

3)從信息傳播維度識別是否存在公共傳播信息，公共傳播信

息識別見5.4.1。

b）從行業(yè)領(lǐng)域維度，確定待分類數(shù)據(jù)的數(shù)據(jù)處理活動涉及的行

業(yè)領(lǐng)域。

1)如果該行業(yè)領(lǐng)域存在行業(yè)主管部門認(rèn)可或達(dá)成行業(yè)共識

的行業(yè)數(shù)據(jù)分類規(guī)則，應(yīng)按照行業(yè)數(shù)據(jù)分類規(guī)則對數(shù)據(jù)進(jìn)

行分類；

2)如果該行業(yè)領(lǐng)域不存在行業(yè)數(shù)據(jù)分類規(guī)則，可從組織經(jīng)營

維度結(jié)合自身數(shù)據(jù)管理和使用需要對數(shù)據(jù)進(jìn)行分類，參考

示例見附錄A；

3)如果數(shù)據(jù)處理涉及多個行業(yè)領(lǐng)域，建議分別按照各行業(yè)的

數(shù)據(jù)分類規(guī)則對數(shù)據(jù)類別進(jìn)行標(biāo)識。

c）完成上述數(shù)據(jù)分類后，數(shù)據(jù)處理者可采用線分類法對類別進(jìn)

一步細(xì)分，其中個人信息分類見5.2.2和附錄B.1，公共數(shù)據(jù)分類見

5.3.2，公共傳播信息分類見5.4.2，行業(yè)領(lǐng)域數(shù)據(jù)分類參考示例見附錄

C。

5.2個人信息識別與分類

5.2.1個人信息識別

通過分析特定自然人與信息之間的關(guān)系，符合下述情形之一的信

息，可判定為個人信息。

a）可識別特定自然人：即從信息到個人，依據(jù)信息本身的特殊

性可識別出特定自然人，包括單獨或結(jié)合其他信息識別出特定自然人。

7

按照個人信息標(biāo)識特定自然人的程度，可分為直接標(biāo)識信息、準(zhǔn)標(biāo)識

信息。

直接標(biāo)識信息，是指在特定環(huán)境下可單獨唯一識別特定自然人的

信息。特定環(huán)境即個人信息使用的具體場景，如在一個具體的學(xué)校，

通過學(xué)號可以直接識別出一個具體的學(xué)生。常見的直接標(biāo)識信息有：

姓名、公民身份號碼、護(hù)照號、駕照號、詳細(xì)住址、電子郵件地址、

移動電話號碼、銀行賬戶、社會保障號碼、唯一設(shè)備識別碼、車輛識

別碼、健康卡號碼、病歷號碼、學(xué)號、IP地址、網(wǎng)絡(luò)賬號等。

準(zhǔn)標(biāo)識信息，是指在特定環(huán)境下無法單獨唯一標(biāo)識特定自然人，

但結(jié)合其他信息可以唯一標(biāo)識特定自然人的信息。常見的準(zhǔn)標(biāo)識信息，

如性別、出生日期或年齡、國籍、籍貫、民族、職業(yè)、婚姻狀況、受

教育水平、宗教信仰、收入狀況等。

個人信息通過去標(biāo)識化等處理后，如果達(dá)到無法識別特定自然人

且不能復(fù)原的匿名化效果，那么處理后的信息不再屬于個人信息。

b）與特定自然人關(guān)聯(lián)：即從個人到信息，如已知特定自然人，

由該特定自然人在其活動中產(chǎn)生的信息（如個人位置信息、個人通話

記錄、網(wǎng)頁瀏覽記錄等），可識別為個人信息。

5.2.2個人信息分類

按照涉及的自然人特征，個人信息可分為個人基本資料、個人身

份信息等16個類別，具體分類示例見附錄B.1。

a）個人基本資料：個人基本情況信息，如個人姓名、生日、年齡、

性別、民族、國籍、籍貫等。

8

b）個人身份信息：個人身份標(biāo)識和證明信息，如身份證、軍官

證、護(hù)照、駕駛證、工作證、出入證、社保卡等證件信息。

c）個人生物識別信息：個人生物特征識別原始信息和比對信息，

如人臉、指紋、步態(tài)、聲紋、基因、虹膜等生物識別信息。

d）網(wǎng)絡(luò)身份標(biāo)識信息：網(wǎng)絡(luò)身份標(biāo)識和賬戶相關(guān)資料信息，如

用戶賬號、用戶ID、即時通信賬號、頭像、昵稱、IP地址等。

e）個人健康生理信息：個人醫(yī)療就診和健康狀況信息，包括病

癥、住院志等個人醫(yī)療信息，和身高、體溫等個人健康狀況信息。

f）個人教育工作信息：個人教育培訓(xùn)、工作求職信息，包括學(xué)歷、

學(xué)位等個人教育信息，及個人職業(yè)、工作單位等個人工作信息。

g）個人財產(chǎn)信息：個人實體和虛擬財產(chǎn)信息，包括銀行卡號等

金融賬戶信息，交易訂單等個人交易信息，收入狀況、房產(chǎn)信息、虛

擬財產(chǎn)等個人資產(chǎn)信息，及借款信息、還款信息等個人借貸信息。

h）身份鑒別信息：用于鑒別用戶身份的數(shù)據(jù)，如賬戶登錄密碼、

銀行卡密碼、支付密碼、賬戶查詢密碼、交易密碼等。

i）個人通信信息：個人通信數(shù)據(jù)和內(nèi)容，如通信記錄，短信、彩

信、話音、電子郵件、即時通信等通信內(nèi)容等。

j）聯(lián)系人信息：描述個人與關(guān)聯(lián)方關(guān)系的信息，如通訊錄、好友

列表、群列表、電子郵件地址列表等。

k）個人上網(wǎng)記錄：個人在使用業(yè)務(wù)服務(wù)過程中的操作記錄和行

為數(shù)據(jù)，如網(wǎng)頁瀏覽記錄、軟件使用記錄、點擊記錄等。

9

l）個人設(shè)備信息：個人設(shè)備標(biāo)識信息和應(yīng)用安裝信息，不包括設(shè)

備型號、品牌、廠商、屏幕分辨率等設(shè)備基本信息。

m）個人位置信息：描述能精確或粗略定位到個人的地理位置數(shù)

據(jù)，包括精確位置信息、粗略位置信息等。

n）個人標(biāo)簽信息：根據(jù)個人上網(wǎng)日志等各類個人信息構(gòu)建的，

用于對個人用戶分類分析的描述信息，如興趣愛好、App偏好等。

o）個人運動信息：描述個人運動活動或狀態(tài)的信息，如步數(shù)、

運動時長等。

p）其他個人信息：作為上述個人信息的補充，如宗教、個人違

法記錄等。

5.3公共數(shù)據(jù)識別與分類

5.3.1公共數(shù)據(jù)識別

符合以下任一情形的數(shù)據(jù)，可識別為公共數(shù)據(jù)。

a）各級政務(wù)機關(guān)在依法履行公共管理和服務(wù)職能過程中收集和

產(chǎn)生的數(shù)據(jù)；

b）具有公共管理和服務(wù)職能的企事業(yè)單位和社會團(tuán)體，在依法

履行公共管理和服務(wù)職能過程中收集和產(chǎn)生的數(shù)據(jù)；

c）提供公共服務(wù)的組織，在開展公共服務(wù)（如供水、供電、供熱、

供氣、教育、醫(yī)療、公共交通、通信、郵政、養(yǎng)老、環(huán)保等）過程中

收集和產(chǎn)生的數(shù)據(jù)；

d）在為國家機關(guān)提供服務(wù)，參與公共基礎(chǔ)設(shè)施、公共服務(wù)系統(tǒng)

建設(shè)運維管理，利用公共資源提供服務(wù)過程中收集、產(chǎn)生的數(shù)據(jù)。

10

5.3.2公共數(shù)據(jù)分類

公共數(shù)據(jù)分類，可參考以下規(guī)則實施：

a）政務(wù)數(shù)據(jù)的分類，優(yōu)先按照國家或當(dāng)?shù)氐碾娮诱?wù)信息目錄

進(jìn)行分類，也可參考GB/T21063.4—2007《政務(wù)信息資源目錄體系第

4部分：政務(wù)信息資源分類》等相關(guān)電子政務(wù)國家標(biāo)準(zhǔn)執(zhí)行；

b）如存在公共數(shù)據(jù)目錄，按照公共數(shù)據(jù)目錄規(guī)則進(jìn)行分類；

c）如不存在公共數(shù)據(jù)目錄，公共數(shù)據(jù)可按照主題、部門或行業(yè)

領(lǐng)域進(jìn)行分類，也可從數(shù)據(jù)共享、開放角度進(jìn)行分類。

注：公共數(shù)據(jù)從共享、開放角度，可分成無條件共享/開放數(shù)據(jù)、有條件共享/開放數(shù)據(jù)、

禁止共享/開放數(shù)據(jù)。

5.4公共傳播信息識別與分類

5.4.1公共傳播信息識別

公共傳播信息可通過判斷信息是否具有公共傳播屬性進(jìn)行識別，

公共傳播屬性可參考以下任一原則判斷：

a）已合法公開的信息；

b）以廣泛傳播為目的發(fā)布，接收者不特定；

c）在傳播過程中事實上被廣泛傳播的信息；

d）即時通信服務(wù)平臺的非個人通信信息，按照公共傳播信息有

關(guān)規(guī)定進(jìn)行管理。

5.4.2公共傳播信息分類

公共傳播信息分類，從信息傳播類型角度可分為以下類別：

a）公開發(fā)布信息；

b）可轉(zhuǎn)發(fā)信息；

11

c）無明確接收人信息。

6數(shù)據(jù)分級方法

6.1分級要素

數(shù)據(jù)分級主要從數(shù)據(jù)安全保護(hù)的角度，考慮影響對象、影響程度

兩個要素進(jìn)行分級。

a）影響對象：是指數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲

取、非法利用后受到危害影響的對象，包括國家安全、公共利益、個

人合法權(quán)益、組織合法權(quán)益四個對象。

b）影響程度：是指數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲

取、非法利用后，所造成的危害影響大小。危害程度從低到高可分為

輕微危害、一般危害、嚴(yán)重危害。表3給出了針對各個危害對象的危

害程度描述。

表3影響對象的影響程度描述

影響對象影響程度參考說明

1.對政治、國土、軍事、經(jīng)濟(jì)、文化、社會、科技、網(wǎng)絡(luò)、生態(tài)、資源、核安

全等構(gòu)成嚴(yán)重威脅，嚴(yán)重影響海外利益、生物、太空、極地、深海、人工智能

等重點領(lǐng)域安全

嚴(yán)重危害2.對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域的重要骨干企業(yè)、關(guān)鍵信息基礎(chǔ)設(shè)

施、重要資源等造成嚴(yán)重影響

3.導(dǎo)致對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域大范圍停工停產(chǎn)、大面積網(wǎng)絡(luò)與

國家安全服務(wù)癱瘓、大量業(yè)務(wù)處理能力喪失

1.對政治、國土、軍事、經(jīng)濟(jì)、文化、社會、科技、網(wǎng)絡(luò)、生態(tài)、資源、核安

全等構(gòu)成威脅，影響海外利益、生物、太空、極地、深海、人工智能等重點領(lǐng)

域安全

一般危害

2.對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域生產(chǎn)、運行和經(jīng)濟(jì)利益等造成影響

3.引發(fā)的級聯(lián)效應(yīng)明顯，影響范圍涉及多個行業(yè)、區(qū)域或者行業(yè)內(nèi)多個企業(yè)，

或者影響持續(xù)時間長，對行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成嚴(yán)重影響

12

影響對象影響程度參考說明

1.對本地區(qū)、本部門以及相關(guān)行業(yè)、領(lǐng)域生產(chǎn)、運行和經(jīng)濟(jì)利益等造成輕微影

輕微危害響

國家安全

2.影響持續(xù)時間短，對行業(yè)發(fā)展、技術(shù)進(jìn)步和產(chǎn)業(yè)生態(tài)等造成一般影響

無危害對國家安全不造成影響

波及到一個或多個省市的大部分地區(qū)，引起社會動蕩，對經(jīng)濟(jì)建設(shè)有極其惡劣

嚴(yán)重危害

的負(fù)面影響

波及到一個或多個地市的大部分地區(qū)引起社會恐慌，對經(jīng)濟(jì)建設(shè)有重大的負(fù)

一般危害

公共利益面影響

波及到一個地市或地市以下的部分地區(qū)，擾亂社會秩序，對經(jīng)濟(jì)建設(shè)有一定的

輕微危害

負(fù)面影響

無危害對公共利益不造成影響

個人信息主體可能會遭受重大的、不可消除的、可能無法克服的影響，容易導(dǎo)

嚴(yán)重危害致自然人的人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害。如遭受無法承擔(dān)

的債務(wù)、失去工作能力、導(dǎo)致長期的心理或生理疾病、導(dǎo)致死亡等

個人信息主體可能遭受較大影響，個人信息主體克服難度高，消除影響代價較

個人合法

一般危害大。如遭受詐騙、資金被盜用、被銀行列入黑名單、信用評分受損、名譽受損、

權(quán)益

造成歧視、被解雇、被法院傳喚、健康狀況惡化等

個人信息主體可能會遭受困擾，但尚可以克服。如付出額外成本、無法使用應(yīng)

輕微危害

提供的服務(wù)、造成誤解、產(chǎn)生害怕和緊張的情緒、導(dǎo)致較小的生理疾病等

無危害對個人信息合法權(quán)益不造成影響，或僅造成微弱影響但可忽略不計

可能導(dǎo)致組織遭到監(jiān)管部門嚴(yán)重處罰（包括取消經(jīng)營資格、長期暫停相關(guān)業(yè)務(wù)

嚴(yán)重危害等），或者影響重要/關(guān)鍵業(yè)務(wù)無法正常開展的情況，造成重大經(jīng)濟(jì)或技術(shù)損

失，嚴(yán)重破壞機構(gòu)聲譽，企業(yè)面臨破產(chǎn)

可能導(dǎo)致組織遭到監(jiān)管部門處罰（包括一段時間內(nèi)暫停經(jīng)營資格或業(yè)務(wù)等），

組織合法一般危害或者影響部分業(yè)務(wù)無法正常開展的情況，造成較大經(jīng)濟(jì)或技術(shù)損失，破壞機構(gòu)

權(quán)益聲譽

可能導(dǎo)致個別訴訟事件，或在某一時間造成部分業(yè)務(wù)中斷，使組織的經(jīng)濟(jì)利

輕微危害

益、聲譽、技術(shù)等輕微受損

對組織合法權(quán)益不造成影響，或僅造成微弱影響但不會影響國家安全、公共利

無危害

益、市場秩序或各項業(yè)務(wù)的正常開展

13

6.2基本分級規(guī)則

本實踐指南4.2的數(shù)據(jù)分級框架給出了數(shù)據(jù)分級基本框架，將數(shù)

據(jù)從低到高分成一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)三個級別。各級別與

影響對象、影響程度的對應(yīng)關(guān)系如表4所示。

表4數(shù)據(jù)安全基本分級規(guī)則

影響對象

基本級別

國家安全公共利益?zhèn)€人合法權(quán)益組織合法權(quán)益

一般危害、嚴(yán)重

核心數(shù)據(jù)嚴(yán)重危害——

危害

一般危害、輕微

重要數(shù)據(jù)輕微危害——

危害

無危害、輕微危無危害、輕微危

一般數(shù)據(jù)無危害無危害害、一般危害、害、一般危害、

嚴(yán)重危害嚴(yán)重危害

6.3一般數(shù)據(jù)分級規(guī)則

按照數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，

對個人、組織合法權(quán)益造成的危害程度，將一般數(shù)據(jù)從低到高分為1

級、2級、3級、4級共四個級別，具體分級規(guī)則見表5：

a）1級數(shù)據(jù)：數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非

法利用，不會對個人合法權(quán)益、組織合法權(quán)益造成危害。1級數(shù)據(jù)具

有公共傳播屬性，可對外公開發(fā)布、轉(zhuǎn)發(fā)傳播，但也需考慮公開的數(shù)

據(jù)量及類別，避免由于類別較多或者數(shù)量過大被用于關(guān)聯(lián)分析。

b）2級數(shù)據(jù)：數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非

法利用，可能對個人合法權(quán)益、組織合法權(quán)益造成輕微危害。2級數(shù)

據(jù)通常在組織內(nèi)部、關(guān)聯(lián)方共享和使用，相關(guān)方授權(quán)后可向組織外部

共享。

14

c）3級數(shù)據(jù)：數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非

法利用，可能對個人合法權(quán)益、組織合法權(quán)益造成一般危害。3級數(shù)

據(jù)僅能由授權(quán)的內(nèi)部機構(gòu)或人員訪問，如果要將數(shù)據(jù)共享到外部，需

要滿足相關(guān)條件并獲得相關(guān)方的授權(quán)。

d）4級數(shù)據(jù)：數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非

法利用，可能對個人合法權(quán)益、組織合法權(quán)益造成嚴(yán)重危害，但不會

危害國家安全或公共利益。4級數(shù)據(jù)按照批準(zhǔn)的授權(quán)列表嚴(yán)格管理，

僅能在受控范圍內(nèi)經(jīng)過嚴(yán)格審批、評估后才可共享或傳播。

表5一般數(shù)據(jù)分級規(guī)則

影響對象

安全級別

個人合法權(quán)益組織合法權(quán)益

4級數(shù)據(jù)嚴(yán)重危害嚴(yán)重危害

3級數(shù)據(jù)一般危害一般危害

2級數(shù)據(jù)輕微危害輕微危害

1級數(shù)據(jù)無危害無危害

6.4定級方法

6.4.1定級流程

數(shù)據(jù)處理者按照基本分級框架（見4.2、6.2）和一般數(shù)據(jù)分級規(guī)

則（見6.3）對數(shù)據(jù)進(jìn)行定級時，可參考如圖2所示流程實施。

數(shù)據(jù)定級的具體步驟包括：

a）按照國家和行業(yè)領(lǐng)域的核心數(shù)據(jù)目錄、重要數(shù)據(jù)目錄，依次

判定是否核心數(shù)據(jù)、重要數(shù)據(jù)，如是則按照就高從嚴(yán)原則定為核心數(shù)

據(jù)級、重要數(shù)據(jù)級，其他數(shù)據(jù)定為一般數(shù)據(jù)；

b）國家和行業(yè)核心數(shù)據(jù)、重要數(shù)據(jù)目錄不明確時，可參考核心

數(shù)據(jù)、重要數(shù)據(jù)認(rèn)定的規(guī)定或標(biāo)準(zhǔn)，分析數(shù)據(jù)一旦遭到篡改、破壞、

15

泄露或者非法獲取、非法利用的危害對象和危害程度，參照6.2的表

4進(jìn)行基本定級，確定核心數(shù)據(jù)、重要數(shù)據(jù)和一般數(shù)據(jù)級別；

c）按照6.3一般數(shù)據(jù)分級規(guī)則或者所屬行業(yè)共識的數(shù)據(jù)分級規(guī)

則對一般數(shù)據(jù)進(jìn)行定級，確定一般數(shù)據(jù)細(xì)分級別。部分行業(yè)領(lǐng)域與本

實踐指南的分級對應(yīng)關(guān)系如附錄B.4所示。

d）如果數(shù)據(jù)屬于個人信息，應(yīng)識別敏感個人信息、一般個人信

息，按照6.4.2對個人信息進(jìn)行定級。

圖2數(shù)據(jù)定級流程

以上定級方法主要針對數(shù)據(jù)項，如針對數(shù)據(jù)集定級，建議在確定

數(shù)據(jù)集中數(shù)據(jù)項級別的基礎(chǔ)上，按照就高從嚴(yán)原則確定數(shù)據(jù)集的級別。

16

6.4.2個人信息定級

根據(jù)《中華人民共和國個人信息保護(hù)法》要求，按照個人信息一

旦泄露或者非法使用，對個人合法權(quán)益造成的危害程度，個人信息可

分為一般個人信息、敏感個人信息。一般個人信息是指一旦泄露或者

非法使用，對自然人個人信息權(quán)益造成輕微或一般影響，不易導(dǎo)致自

然人的人格尊嚴(yán)、人身安全、財產(chǎn)安全受到侵害，例如網(wǎng)絡(luò)身份標(biāo)識

信息。敏感個人信息是指一旦泄露或者非法使用，容易導(dǎo)致自然人的

人格尊嚴(yán)受到侵害或者人身、財產(chǎn)安全受到危害的個人信息，包括生

物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信

息，以及不滿十四周歲未成年人的個人信息。附錄B.2給出了可能屬

于敏感個人信息的參考示例。

個人信息定級，可優(yōu)先判定是否屬于敏感個人信息，如果屬于敏

感個人信息，則定為一般數(shù)據(jù)4級。如果屬于一般個人信息，則按照

一般數(shù)據(jù)分級規(guī)則，分析影響程度確定屬于哪個級別。

其中，敏感個人信息判定，可通過分析個人信息遭到泄露或者非

法利用對個人信息主體權(quán)益可能造成的影響，符合以下任一影響的可

判定為敏感個人信息：

a）個人信息遭到泄露或者非法使用，可能直接侵害個人信息主

體的人格尊嚴(yán)。例如，特定身份、醫(yī)療健康、犯罪記錄等信息屬于一

旦泄露即侵害人格尊嚴(yán)的敏感個人信息。

b）個人信息遭到泄露或者非法使用，不會直接侵害個人信息主

體的人格尊嚴(yán)，但可能由于社會偏見、歧視性待遇而間接侵害個人信

17

息主體的人格尊嚴(yán)。例如因個人種族、宗教信仰、性取向遭到歧視性

待遇。

c）個人信息遭到泄露或者非法使用，可能直接或間接危害個人

信息主體的人身、財產(chǎn)安全。例如，泄露、非法使用家庭住址、家屬

關(guān)系等家庭相關(guān)信息，可能會為入室搶劫或綁架等犯罪所利用；個人

信息主體的身份證復(fù)印件被他人用于手機號卡實名登記、銀行賬戶開

戶辦卡等。

6.4.2最低參考級別

特定類型一般數(shù)據(jù)的最低參考級別如下：

a）敏感個人信息不低于4級，一般個人信息不低于2級；

b）組織內(nèi)部員工個人信息不低于2級；

c）有條件開放/共享的公共數(shù)據(jù)級別不低于2級，禁止開放/共享

的公共數(shù)據(jù)不低于4級。

6.4.3衍生數(shù)據(jù)定級

按照數(shù)據(jù)加工程度不同，數(shù)據(jù)通?？煞譃樵紨?shù)據(jù)、脫敏數(shù)據(jù)、

標(biāo)簽數(shù)據(jù)、統(tǒng)計數(shù)據(jù)、融合數(shù)據(jù)，其中脫敏數(shù)據(jù)、標(biāo)簽數(shù)據(jù)、統(tǒng)計數(shù)

據(jù)、融合數(shù)據(jù)均屬于衍生數(shù)據(jù)。數(shù)據(jù)加工程度維度數(shù)據(jù)分類見表6。

表6數(shù)據(jù)加工程度維度的數(shù)據(jù)分類

數(shù)據(jù)類別類別定義數(shù)據(jù)示例

是指數(shù)據(jù)的原本形式和內(nèi)容，未作任何

原始數(shù)據(jù)如采集的原始數(shù)據(jù)等

加工處理。

如去標(biāo)識化的手機號碼（如

對數(shù)據(jù)（如個人信息）按照脫敏規(guī)則進(jìn)行

脫敏數(shù)據(jù)138*******6）等，個人信息去標(biāo)識化、

數(shù)據(jù)變形處理后的新數(shù)據(jù)。

匿名化處理后的數(shù)據(jù)屬于脫敏數(shù)據(jù)

18

數(shù)據(jù)類別類別定義數(shù)據(jù)示例

對用戶個人敏感屬性等數(shù)據(jù)進(jìn)行區(qū)間

標(biāo)簽數(shù)據(jù)化、分級化、統(tǒng)計分析后形成的非精確的偏好標(biāo)簽、關(guān)系標(biāo)簽等

模糊化標(biāo)簽數(shù)據(jù)。

即群體性綜合性數(shù)據(jù)，是由多個用戶個如群體用戶位置軌跡統(tǒng)計信息、群體

統(tǒng)計數(shù)據(jù)人或?qū)嶓w對象的數(shù)據(jù)進(jìn)行統(tǒng)計或分析后統(tǒng)計指數(shù)、交易統(tǒng)計數(shù)據(jù)、統(tǒng)計分析報

形成的數(shù)據(jù)表、分析報告方案等。

對不同業(yè)務(wù)目的或地域的數(shù)據(jù)匯聚，進(jìn)如多個業(yè)務(wù)、多個地市的數(shù)據(jù)整合、匯

融合數(shù)據(jù)

行挖掘或聚合聚等

原始數(shù)據(jù)可按照上文介紹的方法進(jìn)行定級，衍生數(shù)據(jù)級別原則上

依據(jù)就高從嚴(yán)原則，對照加工的原始數(shù)據(jù)集級別進(jìn)行定級，同時按照

數(shù)據(jù)加工程度也可進(jìn)行升級或降級調(diào)整。

a）脫敏數(shù)據(jù)級別可比原始數(shù)據(jù)集級別降低，去標(biāo)識化的個人信

息不低于2級，匿名化個人信息不低于1級。

b）標(biāo)簽數(shù)據(jù)級別可比原始數(shù)據(jù)集級別降低，個人標(biāo)簽信息不低

于2級。

c）統(tǒng)計數(shù)據(jù)如涉及大規(guī)模群體特征或行動軌跡，應(yīng)設(shè)置比原始

數(shù)據(jù)集級別更高的級別。

d）融合數(shù)據(jù)級別要考慮數(shù)據(jù)匯聚融合結(jié)果，如果結(jié)果數(shù)據(jù)匯聚

了更多的原始數(shù)據(jù)或挖掘出更敏感的數(shù)據(jù)，級別需要升高，但如果結(jié)

果數(shù)據(jù)降低了標(biāo)識化程度等，級別可以降低。

6.5重新定級

6.5.1重新定級情形

數(shù)據(jù)安全定級完成后，出現(xiàn)下列情形之一時，應(yīng)重新定級：

a）數(shù)據(jù)內(nèi)容發(fā)生變化，導(dǎo)致原有數(shù)據(jù)的安全級別不再適用；

19

b）數(shù)據(jù)內(nèi)容未發(fā)生變化，但數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)應(yīng)用場

景、數(shù)據(jù)加工處理方式等發(fā)生變化；

c）多個原始數(shù)據(jù)直接合并，導(dǎo)致原有的安全級別不再適用合并后

的數(shù)據(jù)；

d）因?qū)Σ煌瑪?shù)據(jù)選取部分?jǐn)?shù)據(jù)進(jìn)行合并形成的新數(shù)據(jù)，導(dǎo)致原有

數(shù)據(jù)的安全級別不再適用合并后的數(shù)據(jù)；

e）不同數(shù)據(jù)類型經(jīng)匯聚融合形成新的數(shù)據(jù)類別，導(dǎo)致原有的數(shù)據(jù)

級別不再適用于匯聚融合后的數(shù)據(jù)；

f）因國家或行業(yè)主管部門要求，導(dǎo)致原定的數(shù)據(jù)級別不再適用；

g）需要對數(shù)據(jù)安全級別進(jìn)行變更的其他情形。

6.5.2數(shù)據(jù)變化的定級參考

數(shù)據(jù)發(fā)生變化導(dǎo)致安全級別變化的規(guī)則（見表7），包括但不限

于：

表7數(shù)據(jù)安全級別變化示例

措施或情形安全級別變化

數(shù)據(jù)體量增加到特定規(guī)模導(dǎo)致社會重大影響升級

達(dá)到國家有關(guān)部門規(guī)定精度的數(shù)據(jù)升級

關(guān)聯(lián)多個業(yè)務(wù)部門數(shù)據(jù)升級

大量多維數(shù)據(jù)進(jìn)行關(guān)聯(lián)升級

發(fā)生特定事件導(dǎo)致數(shù)據(jù)敏感性增強升級

數(shù)據(jù)已被公開或披露降級

數(shù)據(jù)進(jìn)行脫敏或刪除關(guān)鍵字段降級

數(shù)據(jù)進(jìn)行去標(biāo)識化、假名化、匿名化降級

數(shù)據(jù)發(fā)生特定事件導(dǎo)致數(shù)據(jù)失去敏感性降級

注：處理100萬人以上個人信息的數(shù)據(jù)處理者，按照重要數(shù)據(jù)處理者進(jìn)行管理，應(yīng)滿足

重要數(shù)據(jù)保護(hù)要求。

20

7數(shù)據(jù)分類分級實施流程

數(shù)據(jù)處理者在開展數(shù)據(jù)分類分級時，可按照圖3所示流程實施，

具體步驟包括：

數(shù)據(jù)資產(chǎn)梳理

?·結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)梳理

?·非結(jié)構(gòu)化數(shù)據(jù)資產(chǎn)梳理

?資產(chǎn)基本信息和相關(guān)方

識別

?形成數(shù)據(jù)資產(chǎn)清單

數(shù)據(jù)分類

?·公民個人維度數(shù)據(jù)分類

?·公共管理維度數(shù)據(jù)分類

?·信息傳播維度數(shù)據(jù)分類

?行業(yè)領(lǐng)域維度數(shù)據(jù)分類

?組織經(jīng)營維度數(shù)據(jù)分類

數(shù)

據(jù)

資數(shù)據(jù)定級

產(chǎn)

發(fā)?·識別國家核心數(shù)據(jù)

生?識別重要數(shù)據(jù)

變?一般數(shù)據(jù)定級

化?個人信息定級

/

評

審

審核標(biāo)識管理

不

通?·分類分級評審

過?批準(zhǔn)發(fā)布實施

?·數(shù)據(jù)分類分級標(biāo)識

?維護(hù)管理更新

?·數(shù)據(jù)資產(chǎn)分類分級清單

數(shù)據(jù)分類分級保護(hù)

?數(shù)據(jù)分類分級保護(hù)策略

?核心數(shù)據(jù)嚴(yán)格管理

?重要數(shù)據(jù)重點保護(hù)

?個人信息安全合規(guī)

?一般數(shù)據(jù)全流程分級保

護(hù)

圖3數(shù)據(jù)分類分級實施流程

a）數(shù)據(jù)資產(chǎn)梳理：對組織的數(shù)據(jù)資產(chǎn)進(jìn)行全面梳理，包括以物

21

理或電子形式記錄的數(shù)據(jù)庫表、數(shù)據(jù)項、數(shù)據(jù)文件等結(jié)構(gòu)化和非結(jié)構(gòu)

化數(shù)據(jù)資產(chǎn)，明確數(shù)據(jù)資產(chǎn)基本信息和相關(guān)方，形成數(shù)據(jù)資產(chǎn)清單。

b）數(shù)據(jù)分類：參考4.1和第5章從多個維度，建立自身的數(shù)據(jù)

分類規(guī)則，參考5.1的數(shù)據(jù)分類流程對數(shù)據(jù)進(jìn)行分類。

c）數(shù)據(jù)分級：參考4.2和第6章建立自身的數(shù)據(jù)分級規(guī)則，按照

6.4對數(shù)據(jù)進(jìn)行定級。

d）審核標(biāo)識管理：對數(shù)據(jù)資產(chǎn)分類分級結(jié)果進(jìn)行評審和完善，

最后批準(zhǔn)發(fā)布實施，形成數(shù)據(jù)資產(chǎn)分類分級清單。并對數(shù)據(jù)資產(chǎn)和數(shù)

據(jù)分類分級進(jìn)行維護(hù)、管理和定期審核。重新定級情形可參考6.5。

e）數(shù)據(jù)分類分級保護(hù)：依據(jù)國家給出的關(guān)于核心數(shù)據(jù)、重要數(shù)

據(jù)、個人信息、公共數(shù)據(jù)等安全要求，以及行業(yè)領(lǐng)域給出的數(shù)據(jù)分類

分級保護(hù)要求，建立數(shù)據(jù)分類分級保護(hù)策略，按照核心數(shù)據(jù)嚴(yán)格管理、

重要數(shù)據(jù)重點保護(hù)、個人信息安全合規(guī)和一般數(shù)據(jù)分級保護(hù)的思路，

對數(shù)據(jù)實施全流程分類分級管理和保護(hù)。

22

附錄A組織經(jīng)營維度數(shù)據(jù)分類參考示例

表A.1按照組織經(jīng)營維度，將組織數(shù)據(jù)分為用戶數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、

經(jīng)營管理數(shù)據(jù)、系統(tǒng)運行和安全數(shù)據(jù)。

表A.1組織經(jīng)營維度的數(shù)據(jù)分類參考示例

數(shù)據(jù)類別類別定義示例

組織在開展業(yè)務(wù)服務(wù)過程中從個人用如個人用戶信息（即個人信息）、組織

用戶數(shù)據(jù)戶或組織用戶收集的數(shù)據(jù)，以及在業(yè)務(wù)用戶信息（如組織基本信息、組織賬號

服務(wù)過程中產(chǎn)生的歸屬于用戶的數(shù)據(jù)信息、組織信用信息等）

參考業(yè)務(wù)所屬的行業(yè)數(shù)據(jù)分類分級，結(jié)

組織在業(yè)務(wù)生產(chǎn)過程中收集和產(chǎn)生的

業(yè)務(wù)數(shù)據(jù)合自身業(yè)務(wù)特點進(jìn)行細(xì)分，如產(chǎn)品數(shù)

非用戶類數(shù)據(jù)

據(jù)、合同協(xié)議等

經(jīng)營管理數(shù)組織在機構(gòu)經(jīng)營管理過程中收集和產(chǎn)如經(jīng)營戰(zhàn)略、財務(wù)數(shù)據(jù)、并購及融資信

據(jù)生的數(shù)據(jù)息等

如網(wǎng)絡(luò)和信息系統(tǒng)的配置數(shù)據(jù)、網(wǎng)絡(luò)安

系統(tǒng)運行和

網(wǎng)絡(luò)和信息系統(tǒng)運維及網(wǎng)絡(luò)安全數(shù)據(jù)全監(jiān)測數(shù)據(jù)、備份數(shù)據(jù)、日志數(shù)據(jù)、安

安全數(shù)據(jù)

全漏洞信息等

23

附錄B個人信息分類示例

B.1個人信息分類示例

表B.1給出了個人信息的一級類別、二級類別和相關(guān)數(shù)據(jù)示例。

表B.1個人信息分類參考示例

一級類別二級類別典型示例和說明

自然人基本情況信息，如個人姓名、生日、年齡、性

個人基本資料個人基本資料別、民族、國籍、籍貫、婚姻狀況、家庭關(guān)系、住址、

個人電話號碼、電子郵件地址、興趣愛好等

可直接標(biāo)識自然人身份的信息，如身份證、軍官證、

護(hù)照、駕駛證、工作證、出入證、社?？ā⒕幼∽C、

個人身份信息個人身份信息

港澳臺通行證等證件號碼、證件有效期、證件照片

或影印件等

生物識別原始信息（如樣本、圖像等）和比對信息

個人生物識別個人生物識別信

（如特征值、模板等），如人臉、指紋、步態(tài)、聲紋、

信息息

基因、虹膜、筆跡、掌紋、耳廓、眼紋等

可直接標(biāo)識網(wǎng)絡(luò)或通信用戶身份的信息及賬戶相關(guān)

網(wǎng)絡(luò)身份標(biāo)識網(wǎng)絡(luò)身份標(biāo)識信資料信息（金融賬戶除外），如用戶賬號、用戶ID、

信息息即時通信賬號、網(wǎng)絡(luò)社交用戶賬號、用戶頭像、昵

稱、個性簽名、IP地址、賬戶開立時間等

與個人身體健康狀況相關(guān)的一般信息，如體重、身

健康狀況信息

高、體溫、肺活量、血壓、血型等

個人因生病醫(yī)治等產(chǎn)生的相關(guān)記錄，如病癥、住院

個人健康生理

志、醫(yī)囑單、檢驗報告、體檢報告、手術(shù)及麻醉記

信息

個人醫(yī)療信息錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育

信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳

染病史、吸煙史等

個人受教育和培訓(xùn)情況相關(guān)信息，如學(xué)歷、學(xué)位、教

個人教育信息育經(jīng)歷（如入學(xué)日期、畢業(yè)日期、學(xué)校、院系、專業(yè)

個人教育工作等）、成績單、資質(zhì)證書、培訓(xùn)記錄等

信息個人求職和工作情況相關(guān)信息，如個人職業(yè)、職位、

個人工作信息職稱、工作單位、工作地點、工作經(jīng)歷、工資、工作

表現(xiàn)、簡歷等

24

一級類別二級類別典型示例和說明

金融賬戶及賬戶相關(guān)信息，如銀行卡號、支付賬號、

銀行卡磁道數(shù)據(jù)（或芯片等效信息）、銀行卡有效

金融賬戶信息期、證券賬戶、基金賬戶、保險賬戶、公積金賬戶、

公積金聯(lián)名賬號、賬戶開立時間、開戶機構(gòu)、賬戶余

額、支付標(biāo)記信息等

交易過程中產(chǎn)生的交易信息和消費記錄，如交易訂

單、交易金額、支付記錄、透支記錄、交易狀態(tài)、交

個人交易信息

易日志、交易憑證、賬單，證券委托、成交、持倉信

個人財產(chǎn)信息息，保單信息、理賠信息等

個人實體和虛擬財產(chǎn)信息，如個人收入狀況、房產(chǎn)

信息、存款信息、車輛信息、納稅額、公積金繳存明

個人資產(chǎn)信息細(xì)（含余額、基數(shù)、繳納公司、公積金中心、狀態(tài)

等）、銀行流水、虛擬財產(chǎn)（虛擬貨幣、虛擬交易、

游戲類兌換碼等）、個人社保與醫(yī)保存繳金額等。

個人在借貸過程中產(chǎn)生的信息，如個人借款信息、

個人借貸信息還款信息、欠款信息、信貸記錄、征信信息、擔(dān)保情

況等

用于身份鑒別的數(shù)據(jù)，如賬戶登錄密碼、銀行卡密

碼、支付密碼、賬戶查詢密碼、交易密碼、銀行卡有

效期、銀行卡片驗證碼（CVN和CVN2）、USBKEY、

身份鑒別信息身份鑒別信息

動態(tài)口令、U盾（網(wǎng)銀、手機銀行密保工具信息）、

短信驗證碼、密碼提示問題答案、手機客服密碼、個

人數(shù)字證書、隨機令牌等

通信記錄，短信、彩信、話音、電子郵件、即時通信

個人通信信息個人通信信息等通信內(nèi)容（如文字、圖片、音頻、視頻、文件等），

及描述個人通信的元數(shù)據(jù)（如通話時長）等

描述個人與關(guān)聯(lián)方關(guān)系的信息，如通訊錄、好友列

聯(lián)系人信息聯(lián)系人信息表、群列表、電子郵件地址列表、家庭關(guān)系、工作關(guān)

系、社交關(guān)系等

個人在業(yè)務(wù)服務(wù)過程中的操作記錄和行為數(shù)據(jù)，包

個人上網(wǎng)記錄個人操作記錄括網(wǎng)頁瀏覽記錄、軟件使用記錄、點擊記錄、Cookie、

發(fā)布的社交信息、點擊記錄、收藏列表、搜索記錄、

25

一級類別二級類別典型示例和說明

服務(wù)使用時間、下載記錄、訪問時間（含登錄時間、

退出時間）等

用戶使用某業(yè)務(wù)的行為記錄（如游戲業(yè)務(wù)：用戶游

業(yè)務(wù)行為數(shù)據(jù)戲登錄時間、最近充值時間、累計充值額度、用戶通

關(guān)記錄）等

可變更的唯一設(shè)

AndroidID、IDFA、IDFV、OAID等

備識別碼

不可變更的唯一IMEI、IMSI、MEID、設(shè)備MAC地址、硬件序列號、

個人設(shè)備信息

設(shè)備識別碼ICCID等

終端上安裝的應(yīng)用程序列表，如每款應(yīng)用軟件的名

應(yīng)用軟件列表

稱、版本等

僅能定位到行政區(qū)、縣級等的位置信息，如地區(qū)代

粗略位置信息

碼、城市代碼等

個人位置信息