日前，国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》（报批稿）面向社会公开发布，给出了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供重要指导。

　　我们围绕《规定》以及紧密关联的GB/T 43697-2024《数据安全技术 数据分类分级规则》（报批稿）中数据分类分级与重要数据识别相关规定，展开联动解读。欲知国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》内容，请看下文。

　　GB/T 43697-2024《数据安全技术 数据分类分级规则》

　　发布时间：2024-3-21

　　根据《中华人民共和国数据安全法》《中华人民共和国网 络安全法》《中华人民共和国个人信息保护法》及有关规定，在国家数据安全工作协调机制指导下， 围绕数据分类分级和重要数据识别，给出了数据分类分级的通用规则，用于指导各行业领域、各地区、 各部门和数据处理者开展数据分类分级工作。

　　【数据分类框架：先行业领域分类、再业务属性分类】

　　数据按照先行业领域分类、再业务属性分类的思路进行分类。

　　a) 按照行业领域，将数据分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。

　　b) 各行业各领域主管（监管）部门根据本行业本领域业务属性，对本行业领域数据进行细化分类。

　　常见业务属性包括但不限于：

　　1) 业务领域：按照业务范围、业务种类或业务功能进行细化分类；

　　2) 责任部门：按照数据管理部门或职责分工进行细化分类；

　　3) 描述对象：按照数据描述的对象进行细化分类；

　　注1：按照描述对象可以分为用户数据、业务数据、经营管理数据、系统运维数据，见 A.1。

　　4) 流程环节：按照业务流程、产业链环节进行细化分类；

　　注 2：能源数据按照流程环节可以分为探勘、开采、生产、加工、销售、使用等数据。

　　5) 数据主体：按照数据主体或属主进行细化分类；

　　注 3：按照数据主体可以分为公共数据、组织数据、个人信息，见 A.2。

　　6) 内容主题：按照数据描述的内容主题进行细化分类；

　　7) 数据用途：按照数据处理目的、用途进行细化分类；

　　8) 数据处理：按照数据处理活动或数据加工程度进行细化分类；

　　9) 数据来源：按照数据来源、收集方式进行细化分类。

　　c) 如涉及法律法规有专门管理要求的数据类别（如个人信息等），应按照有关规定和标准进行识别和分类。

　　【数据分类方法：根据数据管理和使用需求】

　　根据数据管理和使用需求，结合已有数据分类基础，灵活选择业务属性将数据细化分类。具体参考以下步骤开展行业领域数据分类。

　　a) 明确数据范围：按照行业领域主管（监管）部门职责，明确本行业本领域管理的数据范围。

　　b) 细化业务分类：对本行业本领域业务进行细化分类，包括：

　　1) 结合部门职责分工，明确行业领域或业务条线的分类；

　　注1：工业领域数据，按照部门职责可以分成原材料、装备制造、消费品、电子信息制造、软件和信息技术服务等类别。

　　2) 按照业务范围、运营模式、业务流程等，细化行业领域或明确各业务条线的关键业务分类。

　　注2：原材料可以分为钢铁、有色金属、石油化工等；装备制造可以分为汽车、船舶、航空、航天、工业母机、工程机械等。

　　c) 业务属性分类：选择合适的业务属性，对关键业务的数据进行细化分类。

　　d) 确定分类规则：梳理分析各关键业务的数据分类结果，根据行业领域数据管理和使用需求， 确定行业领域数据分类规则，

　　例如：1) 可采取“业务条线—关键业务—业务属性分类”的方式给出数据分类规则

　　注 3：钢铁数据按照数据描述对象，可以分为用户数据、业务数据、经营管理数据、系统运维数据等，业务数据可以细分为研发设计数据、控制信息、工艺参数等，其中研发设计数据类别可以标识为“工业数据-原材料数据-钢铁数据-业务数据-研发设计数据”。

　　2) 也可对关键业务的数据分类结果进行归类分析，将具有相似主题的数据子类进行归类。

　　注 4：工业领域数据也可以按照数据处理、流程环节等业务属性进行分类，首先按照数据处理者类型分为工业企业工业数据、平台企业工业数据，再将工业企业工业数据分为研发数据、生产数据、运维数据、管理数据、外部数据，然后按照数据主题将生产数据分为控制信息、工况状态、工艺参数、系统日志等。

　　【数据分级框架】

　　?根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为三个级别：

　　◆核心数据

　　◆重要数据

　　◆一般数据

　　【数据分级方法】

　　数据分级的目的是为了保护数据安全，具体可参考以下步骤进行数据分级。

　　a) 确定分级对象：确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数据等。

　　注 1：数据项通常表现为数据库表某一列字段等。数据集是由多个数据记录组成 的集合，如数据库表、数据库一行或多行记录集合、数据文件等。

　　注 2：跨行业领域数据是指某个行业领域收集或产生的数据流转到另一个行业领域，以及两个或两个以上行业领域的数据融合加工产生的数据。

　　b) 分级要素识别：结合自身数据特点，按照 6.3 识别数据涉及的分级要素情况。

　　c) 数据影响分析：结合数据分级要素识别情况，分析数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能影响的对象（见 6.4.1）和影响程度（见 6.4.2）。

　　d) 综合确定级别：按照 6.5 和 6.6，综合确定数据级别。

　　【数据分级要素】

　　影响数据分级的要素，包括数据的领域、群体、区域、精度、规模、深度、覆盖度、重要性等，其中领域、群体、区域、重要性通常属于定性描述的分级要素，精度、规模、覆盖度属于定量描述的分级要素，深度通常作为衍生数据的分级要素。数据分级应首先识别以下数据分级要素情况，具体考虑因素见附录C。

　　a) 领域：是指数据描述的业务或内容范畴。数据领域可识别数据描述的行业领域、业务条线、流程环节、内容主题等因素。

　　b) 群体：是指数据主体或描述对象集合。数据群体可识别数据描述的人群、组织、网络和信息系统、资源物资等因素。

　　c) 区域：是指数据涉及的地区范围。数据区域可识别数据描述的行政区划、特定地区等因素。

　　d) 精度：是指数据的精确或准确程度。数据精度可识别数值精度、空间精度、时间精度等因素。

　　e) 规模：是指数据规模及数据描述的对象范围或能力大小。数据规模可识别数据存储量、群体规模、区域规模、领域规模、生产加工能力等因素。

　　f) 深度：是指通过数据统计、关联、挖掘或融合等加工处理，对数据描述对象的隐含信息或多维度细节信息的刻画程度。数据深度可识别数据在刻画描述对象的经济运行、发展态势、行踪轨迹、活动记录、对象关系、历史背景、产业供应链等方面的情况。

　　g) 覆盖度：是指数据对领域、群体、区域、时段等的覆盖分布或疏密程度。数据覆盖度可识别对领域、群体、区域、时间段的覆盖占比、覆盖分布等因素。

　　h) 重要性：是指数据在经济社会发展中的重要程度。重要性可识别数据在经济建设、政治建设、文化建设、社会建设、生态文明建设等方面的重要程度。

　　【数据影响分析——影响对象】

　　影响对象是指数据面临安全风险时，可能影响的对象。其中，安全风险主要考虑数据遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享等风险，见附录 D。

　　影响对象通常包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益，判断影响对象的常见考虑因素见附录 E。

　　a) 国家安全：影响国家政治、国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全。

　　b) 经济运行：影响市场经济运行秩序、宏观经济形势、国民经济命脉、行业领域产业发展等经济运行机制。

　　c) 社会秩序：影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序。

　　d) 公共利益：影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。

　　e) 组织权益：影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益。

　　f) 个人权益：影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。

【数据影响分析——影响程度】

　　影响程度是指数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，可能造成的影响程度。

　　影响程度从高到低可分为特别严重危害、严重危害、一般危害。

　　对不同影响对象进行影响程度判断时，采取的基准不同。

　　如果影响对象是国家安全、经济运行、社会秩序或公共利益，则以国家、社会或行业领域的整体利益作为判断影响程度的基准。

　　如果影响对象仅是组织或个人权益，则以组织或公民个人的权益作为判断影响程度的基准。

　　开展数据影响分析时，应按照以下规则确定影响程度，影响程度参考示例见附录 F。

　　a) 当影响对象是国家安全时：

　　1) 如果直接影响政治安全，应将影响程度确定为特别严重危害；

　　2) 如果关系其他国家安全重点领域，应将影响程度确定为严重危害；

　　3) 其他直接危害国家安全的情形，应将影响程度确定为一般危害。

　　b) 当影响对象是经济运行时：

　　1) 如果关系国民经济命脉，应将影响程度确定为特别严重危害；

　　2) 如果直接危害宏观经济运行，或对行业领域或地区的经济发展造成严重危害，应将影响程度确定为严重危害。

　　c) 当影响对象是社会秩序时：

　　1) 如果关系重要民生，应将影响程度确定为特别严重危害；

　　2) 如果直接危害社会稳定，应将影响程度确定为严重危害。

　　d) 当影响对象是公共利益时：

　　1) 如果关系重大公共利益，应将影响程度确定为特别严重危害；

　　2) 如果直接危害公共健康和安全，应将影响程度确定为严重危害。

　　e) 当影响对象是个人或组织权益时，如果影响大规模的个人或组织权益，需要同时研判是否会对国家安全、经济运行、社会秩序或公共利益造成影响以及影响程度。

　　【数据影响分析——级别确定规则表】

　　【数据影响分析——级别确定规则】

　　核心数据、重要数据、一般数据的确定规则如下，数据级别与影响对象、影响程度的对应关系见前表

　　a) 满足以下任一条件的数据，识别为核心数据：

　　1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成特别严重危害（如直接影响政治安全）或严重危害（如关系其他国家安全重点领域）；

　　2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成特别严重危害（如关系国民经济命脉）；

　　3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成特别严重危害（如关系重要民生）；

　　4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成特别严重危害（如关系重大公共利益）；

　　5) 对领域、群体、区域具有较高覆盖度，直接影响政治安全的重要数据；

　　6) 达到较高精度、较大规模、较高重要性或深度，直接影响政治安全的重要数据；

　　7) 经有关部门评估确定的核心数据。

　　b) 满足以下任一条件的数据，识别为重要数据：

　　1) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对国家安全造成一般危害；

　　2) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对经济运行造成严重危害；

　　3) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对社会秩序造成严重危害（如影响社会稳定）；

　　4) 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，直接对公共利益造成严重危害（如危害公共健康和安全）；

　　5) 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域；

　　6) 数据达到一定精度、规模、深度或重要性，直接影响国家安全、经济运行、社会稳定、公共健康和安全；

　　7) 经行业领域主管（监管）部门评估确定的重要数据。

　　c) 未识别为核心数据、重要数据的其他数据，确定为一般数据。

　　【重要数据识别指南（规范性）：具备以下因素之一的数据】

　　重要数据识别应在符合 6.5 b)级别确定规则表的基础上，考虑如下因素：

　　a) 直接影响领土安全和国家统一，或反映国家自然资源基础情况，如未公开的领陆、领水、领空数据；

　　a) 可被其他国家或组织利用发起对我国的军事打击，或反映我国战略储备、应急动员、作战等能力，如满足一定精度指标的地理数据或与战略物资产能、储备量有关的数据；

　　b) 直接影响市场经济秩序，如支撑关键信息基础设施所在行业、领域核心业务运行或重要经济领域生产的数据；

　　c) 反映我国语言文字、历史、风俗习惯、民族价值观念等特质，如记录历史文化遗产的数据；

　　d) 反映重点目标、重要场所物理安全保护情况或未公开地理目标的位置，可被恐怖分子、犯罪分子利用实施破坏，如描述重点安保单位、

　　重要生产企业、国家重要资产（如铁路、输油管道）的施工图、内部结构、安防情况的数据；

　　e) 关系我国科技实力、影响我国国际竞争力，或关系出口管制物项，如反映国家科技创新重大成果，或描述我国禁止出口限制出口物项的设计原理、工艺流程、制作方法的数据，以及涉及源代码、集成电路布图、技术方案、重要参数、实验数据、检测报告的数据；

　　f) 反映关键信息基础设施总体运行、发展和安全保护情况及其核心软硬件资产信息和供应链管理情况，可被利用实施对关键信息基础设施的网络攻击，如涉及关键信息基础设施系统配置信息、系统拓扑、应急预案、测评、运行维护、审计日志的数据；

　　g) 涉及未公开的攻击方法、攻击工具制作方法或攻击辅助信息，可被用来对重点目标发起供应链攻击、社会工程学攻击等网络攻击，如政府、军工单位等敏感客户清单，以及涉及未公开的产品和服务采购情况、未公开重大漏洞情况的数据；

　　h) 反映自然环境、生产生活环境基础情况，或可被利用造成环境安全事件，如未公开的与土壤、气象观测、环保监测有关的数据；

　　i) 反映水资源、能源资源、土地资源、矿产资源等资源储备和开发、供给情况，如未公开的描述水文观测结果、耕地面积或质量变化情况的数据；

　　具备以上因素之一的数据，可被识别为重要数据。

　　重要数据识别应在符合 6.5 b)的基础上，考虑如下因素：

　　j) 反映核材料、核设施、核活动情况，或可被利用造成核破坏或其他核安全事件，如涉及核电站设计图、核电站运行情况的数据；

　　k) 关系海外能源资源安全、海上战略通道安全、海外公民和法人安全，或可被利用实施对我国参与国际经贸、文化交流活动的破坏或对我国实施歧视性禁止、限制或其他类似措施，如描述国际贸易中特殊物项生产交易以及特殊装备配备、使用和维修情况的数据；

　　l) 关系我国在太空、深海、极地等战略新疆域的现实或潜在利益，如未公开的涉及对太空、深海、极地进行科学考察、开发利用的数据，以及影响人员在上述领域安全进出的数据；

　　m) 反映生物技术研究、开发和应用情况，反映族群特征、遗传信息，关系重大突发传染病、动植物疫情，关系生物实验室安全，或可能被利用制造生物武器、实施生物恐怖袭击，关系外来物种入侵和生物多样性，如重要生物资源数据、微生物耐药基础研究数据；

　　n) 反映全局性或重点领域经济运行、金融活动状况，关系产业竞争力，可造成公共安全事故或影响公民生命安全，可引发群体性活动或影响群体情感与认知，如未公开的统计数据、重点企业商业秘密；

　　o) 反映国家或地区群体健康生理状况，关系疾病传播与防治，关系食品药品安全，如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据；

　　p) 其他可能影响国土、军事、经济、文化、社会、科技、电磁空间、网络、生态、资源、核、海外利益、太空、极地、深海、生物、人工智能等安全的数据；

　　注 1：影响国家安全的考虑因素见 E.1。

　　q) 其他可能对经济运行、社会秩序或公共利益造成严重危害的数据。

　　注 2：对经济运行、社会秩序、公共利益造成严重危害的参考示例见表 F.1。

　　具备以上因素之一的数据，可被识别为重要数据。

　　【个人信息分类参考示例】

　　【影响程度参考示例】