隐私保护与数据安全合规(十三)
前言
笔者准备从渗透测试转向数据安全,本文算是自己学习的笔记产出,如果有任何偏差和遗漏,欢迎各位大佬的指正。
本文数据分类分级方法参考自iLaw合规创研院的《数据分类分级标准汇编》。
一、数据分类分级相关法律要求
名称 | 施行时间 | 具体内容 |
《中华人民共和国数据安全法》 | 2021年9月1日 | 第二十一条:国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护 。 |
《中华人民共和国个人信息保护法》 | 2021年11月1日 | 第五十一条:个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(六)法律、行政法规规定的其他措施。(注:结合《数据安全法》第二十一条,个人信息需根据敏感程度分级保护)。 |
《中华人民共和国网络安全法》 | 2017年6月1日 | 第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(五)法律、行政法规规定的其他义务。(注:等级保护制度与数据分类分级制度协同实施)。 |
《网络数据安全管理条例》 | 2025年1月1日 | 第五条:国家根据网络数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对网络数据实行分类分级保护。 第二十九条:国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的网络数据进行重点保护。 第三十一条:重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。风险评估应当重点评估下列内容:(一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要;(二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险。 |
《关键信息基础设施安全保护条例》 | 2021年9月1日 | 第三十条:网信部门、公安机关、保护工作部门等有关部门,网络安全服务机构及其工作人员对于在关键信息基础设施安全保护工作中获取的信息,只能用于维护网络安全,并严格按照有关法律、行政法规的要求确保信息安全,不得泄露、出售或者非法向他人提供。(注:关键信息基础设施中的数据需结合分类分级制度重点保护)。 |
二、数据分类分级流程
- 分类分级方案预研
- 预研准备
- 数据资产梳理
- 方案设计
- 分类分级方案确定
- 方案预审
- 方案汇报评审
- 评审材料
- 分类方案
- 分级方案
- 分类分级管控措施
- 方案变更流程
- 评审材料
- 方案发布
- 分类分级实施
- 分类分级标识
- 安全策略规划
三、个人信息类型示例
类型 | 示例 |
个人基本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码.电子邮件地址等 |
个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
网络身份标识信息 | 个信息主体账号、IP 地址、个人数字证书等 |
个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 |
个人教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
个人通信信息 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 |
联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
个人上网记录 | 指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
个人常用设备信息 | 指包括硬件序列号、设备 MAC 地址、软件列表、唯一设备识别码(如IMEl/Android ID/IDFA/OpenUDID/GUID/SIM 卡IMSI信息等)等在内的描述个人常用设备基本情况的信息 |
其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
四、数据分级规则
数据安全基本分级规则
基本级别 | 影响对象 | |||
国家安全 | 公共利益 | 个人合法权益 | 组织合法权益 | |
核心数据 | 一般危害、严重危害 | 严重危害 | —— | —— |
重要数据 | 轻微危害 | 一般危害、严重危害 | —— | —— |
一般数据 | 无危害 | 无危害 | 无危害、轻微危害、一般危害、严重危害 | 无危害、轻微危害、一般危害、严重危害 |
一般数据分级规则
依据:数据一旦遭到破坏,对个人和组织合法权益的影响程度
安全级别 | 影响对象 | |
个人合法权益 | 组织合法权益 | |
4级数据 | 严重危害 | 严重危害 |
3级数据 | 一般危害 | 一般危害 |
2级数据 | 轻微危害 | 轻微危害 |
1级数据 | 无危害 | 无危害 |
五、数据定级流程
六、不同领域对数据分类分级的要求
工业数据——工业数据分类分级指南(试行)
分类
企业类型 | 分类 | 范围 |
工业企业 | 研发数据域 | 研发设计数据、开发测试数据等 |
生产数据域 | 控制信息、工况状态、工艺参数、系统日志等 | |
运维数据域 | 物流数据、产品售后服务数据等 | |
管理数据域 | 系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等 | |
外部数据域 | 与其他主体共享的数据等 | |
平台企业 | 平台运营数据域 | 物联采集数据、知识库模型库数据、研发数据等 |
企业管理数据域 | 客户数据、业务合作数据、人事财务数据等 |
分级
分级 | 释义 |
三级 | (一)易引发特别重大生产安全事故或突发环境事件,或造成直接经济损失特别巨大; (二)对国民经济、行业发展、公众利益、社会秩序乃至国家安全造成严重影响。 |
二级 | (一)易引发较大或重大生产安全事故或突发环境事件,给企业造成较大负面影响,或直接经济损失较大; (二)引发的级联效应明显,影响范围涉及多个行业、区域或者行业内多个企业,或影响持续时间长,或可导致大量供应商、客户资源被非法获取或大量个人信息泄露; (三)恢复工业数据或消除负面影响所需付出的代价较大。 |
一级 | (一)对工业控制系统及设备、工业互联网平台等的正常生产运行影响较小; (二)给企业造成负面影响较小,或直接经济损失较小; (三)受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短; (四)恢复工业数据或消除负面影响所需付出的代价较小。 |
基础电信企业数据——YD/T 3813-2020 《基础电信企业数据分类分级方法》
分类
一级子类 | 二级子类 | 三级子类 | 四级子类 |
用户相关数据 | 用户身份相关数据 | 用户身份相关数据 | 自然人身份标识、网络身份标识、用户基本资料、实体身份证明、用户私密资料 |
用户服务内容数据 | 服务内容和资料数据 | 服务内容数据、联系人信息 | |
用户服务衍生数据 | 用户服务使用数据 | 业务订购关系、服务记录和日志、消费信息和账单、位置数据、违规记录数据 | |
设备信息 | 终端设备标识、终端设备资料 | ||
用户统计分析类数据 | 用户使用习惯和行为分析数据 | / | |
用户上网行为相关统计分析数据 | / | ||
企业自身相关数据 | 网络与系统的建设与运行维护类数据 | 规划建设类数据(分发布前后) | 网络规划类、投资计划类、项目管理类 |
网络与系统资源类数据 | 公共资源类数据、传输资源类数据、承载网资源、核心网资源、接入网资源等 | ||
网络与系统运维类数据 | 信令、网路信息、网段、网址VLAN、划分、设备监测等 | ||
网络安全管理类数据 | 安全审计记录、网络安全应急预案、违法有害信息监测、核心区域监控等 | ||
业务运营类数据 | 业务运营服务数据 | 产品信息、渠道信息、客户服务信息营销信息 | |
公开业务运营服务数据 | / | ||
企业管理数据 | 发展策略与重大决策 | 发展战略、重大决策、重要会议 | |
业务发展类 | 市场策略、营销管理、资费管理等 | ||
技术研发类 | 技术管理、技术研究报告、专利工作 | ||
运行管理类 | / | ||
生产经营类 | 财务预算、业绩披露、考核信息等 | ||
综合管理类 | 人力资源、财务信息、办公自动化、采购 | ||
其他数据 | 合作方提供数据 | / |
分级
行业数据分级 | 对应一般数据分级 |
四级 | 一般数据四级 |
三级 | 一般数据三级 |
二级 | 一般数据二级 |
一级 | 一般数据一级 |
金融数据——《JR/T 0197-2020 ⾦融数据安全 数据安全分级指南》
分类
分类 | 范围 | |
客户数据 | 个人数据 | 是指个人的自然属性信息,包括个人自然信息、个人身份鉴别信息、个人资讯信息等信息。 |
单位数据 | 是指单位的自然属性数据,包含单位基本信息、单位身份鉴别信息、单位标签信息等单位信息。 | |
业务数据 | 账户信息 | 指账户相关数据,如账户的基本信息、计息信息、冻结信息、介质信息和核算信息等。 |
法定数字货币钱包信息 | 指法定数字货币钱包相关属性信息。 | |
合同协议信息 | 指合同或协议所包含的所有属性信息,如合同法以及商业银行法所规定的基本信息。 | |
金融监管和服务 | 包括反洗钱业务信息、贷款业务信息、货币金银业务信息、贷款保险业务信息等 | |
交易信息 | 交易通用信息、保险收付费信息等 | |
经营管理 | 营销服务 | 产品信息、渠道信息、营销信息 |
运营管理 | 安防管理信息、业务运维信息、客户服务信息、单证管理信息等 | |
风险管理信息 | 风险偏好信息、风险管控信息 | |
技术管理 | 项目管理信息、系统管理信息 | |
综合管理 | 战略规划信息、招聘信息、员工信息、机构信息等 | |
监管 | 数据报送 | 监管报送信息 |
数据收取 | 评级、处罚与违规信息、外部审计信息等 |
分级
分级 | 释义 |
5级 | (一)重要数据,通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的关键业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 (二)数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。 |
4级 | (一)数据通常主要用于金融业大型或特大型机构、金融交易过程中重要核心节点类机构的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 (二)个人金融信息中的C3类信息。 (三)数据安全性遭到破坏后,对公众权益造成一般影响,或对个人隐私或企业合法权益造成严重影响,但不影响国家安全。 |
3级 | (一)数据用于金融业机构关键或重要业务使用,一般针对特定人员公开且仅为必须知悉的对象访问或使用。 (二)个人金融信息中的C2类信息。 (三)数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个人隐私或企业合法权益造成一般影响,但不影响国家安全。 |
2级 | (一)数据用于金融业机构一般业务使用,一般针对受限对象公开,通常为内部管理且不宜广泛公开的数据。 (二)个人金融信息中的C1类信息。 (三)数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。 |
1级 | (一)数据一般可被公开或可被公众获知、使用。 (二)个人金融信息主体主动公开的信息。 (三)数据的安全性遭到破坏后,可能对个人隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。 |
健康医疗数据——《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》
分类
分类 | 范围 |
个人属性数据 | 单独或者与其他信息结合能够识别特定自然人的数据,如个人统计信息、个人身份信息、个人通讯信息、个人生物识别信息等。 |
健康状况数据 | 能反映个人健康情况或同个人健康情况有着密切关系的数据,如现病史、家族史、症状、体检检查数据、生活方式、基因测序等。 |
医疗应用数据 | 反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据,如住院医嘱、门诊病历、用药信息、护理记录、入院记录等。 |
医疗支付数据 | 医疗或保险等服务中所涉及的与费用相关的数据,如医保支付信息、交易金额、交易记录、保险状态、保险金额等。 |
卫生资源数据 | 可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据,如医疗基本数据、医疗运营数据。 |
公共卫生数据 | 关系到国家或地区大众健康的公共事业相关数据,如环境卫生数据、传染病疫情数据、疫情监测数据、疫情预防数据等。 |
分级
分级 | 释义 |
5级 | 仅在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成严重程度的损害。例如特殊病种(例如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需要进行严格管控。 |
4级 | 在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据,仅限于参与诊疗活动的医护人员访问使用。 |
3级 | 可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项目组范围内使用。 |
2级 | 可在较大范围内供访问使用的数据。例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析。 |
1级 | 可完全公开使用的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联网上面向公众公开。 |
证券期货业数据——《JR/T 0158-2018 证券期货业数据分类分级指引》
分类
分类 | 范围 |
交易数据 | 包括成交信息、委托信息、交易业务参数信息、交易日志信息。 |
监管数据 | 包括监察参考信息、监管统计及预警信息、评价、处罚与违规信息、上报信息。 |
信息披露数据 | 包括产品发行信息(公开)与产品发行信息(未公开) |
其他数据 | 包括统计信息、其他业务信息、规划类数据、运行管理信息 |
分级
分级 | 释义 |
4级(极高) | 数据主要用于行业内大型或特大型机构中的重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 |
3级(高) | 数据用于重要业务使用,一般针对特定人员公开,且仅为必须知悉的对象访问或使用。 |
2级(中) | 数据用于一般业务使用,一般针对受限对象公开;一般指内部管理且不宜广泛公开的数据。 |
1级(低) | 数据一般可被公开或可被公众获知、使用。 |
大数据数据——《GB/T 38667-2020 信息技术 ⼤数据 数据分类指南》
分类
维度 | 分类 | 释义 |
技术选型维度 | 按产生频率分类 | 每年更新数据、每月更新数据、每周更新数据、每日更新数据、每小时更新数据、每分钟更新数据、每秒更新数据、无更新数据等。 |
按产生方式分类 | 人工采集数据、信息系统产生数据、感知设备产生数据,原始数据、二次加工数据等。 | |
按结构化特征分类 | 结构化数据,如零售、财务、生物信息学、地理数据等非结构化数据,如图像、视频、传感器数据、网页等;半结构化数据,如应用系统日志、电子邮件等 | |
按存储方式分类 | 关系数据库存储数据、键值数据库存储数据、列式数据库存储数据、图数据库存储数据、文档数据库存储数据。 | |
按稀疏程度分类 | 稠密数据和稀疏数据 | |
按处理时效性分类 | 实时处理数据、准实时处理数据、批量处理数据。 | |
业务应用维度 | 按产生来源分类 | 人为社交数据、电子商务平台交易数据、移动通信数据物联网感知数据、系统运行日志数据等。 |
按业务归属分类 | 生产类业务数据、管理类业务数据、经营类业务数据 | |
按流通类型分类 | 可直接交易数据、间接交易数据、不可交易数据 | |
按数据质量分类 | 高质量数据、普通质量数据、低质量数据 |
政务数据——《DB 52/T 1123-2016 政务数据 数据分类分级指南》
分类
分类 | 范围 |
主题分类 | 综合政务、经济管理、国土资源、能源、工业、交通、邮政、信息产业、城乡建设、环境保护、农业、水利、财政、商业、贸易、旅游、服务业、气象、水文、测绘、地震、对外事务政法、监察、科技、教育、文化、卫生、体育、军事、国防、劳动、人事、民 政、社区、文秘、行政、综合党团。 |
行业分类 | 农、林、牧、渔业;采矿业;制造业;电力、热力、燃气及水生产和供应业;建筑业;批发和零售业;交通运输、仓储和邮政业;住宿和餐饮业;信息传输、软件和信息技术服务业;金融业;房地产业;租赁和商务服务业;科学研究和技术服务业等 |
服务分类 | 惠民服务、服务交付方式、服务交付的支撑、政府资源管理 |
分级
分级 | 释义 |
非敏感数据 | 此类数据为公开数据。政府部门无条件共享。 |
涉及用户隐私数据 | 此类数据为政府内部数据。原则上政府部门无条件共享,部分涉及公民、法人、其他组织权益的敏感信息可在政府许可的情况下有条件共享。 |
涉及国家秘密数据 | 此类数据为涉密数据。依据法律法规决定是否共享。 |
网络数据——《TC260-PG-20212A ⽹络安全标准实践指南-⽹络数据分级分类指引》
分类
分类 | 范围 |
公民个人维度 | 个人信息 |
非个人信息 | |
公共管理维度 | 公共数据 |
社会数据 | |
信息传播维度 | 公共传播数据 |
非公共传播数据 | |
行业领域维度 | 工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据等 |
组织运营维度 | 用户数据、业务数据、经营管理数据、系统运行与安全数据 |
分级
类型 | 分级 | 释义 |
核心数据 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,会对国家安全产生一般危害、严重危害,会对公共利益造成严重危害的数据。 | |
重要数据 | 一旦遭到篡改、破坏、泄露或者非法获取、非法利用,会对国家安全产生轻微危害,会对公共利益造成一般危害、轻微危害的数据。 | |
一般数据 | 1级数据 | 数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,不会对个人合法权益、组织合法权益造成危害。1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析。 |
2级数据 | 数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成轻微危害。2级数据通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享。 | |
3级数据 | 数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成一般危害。3级数据仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权。 | |
4级数据 | 数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能对个人合法权益、组织合法权益造成严重危害,但不会危害国家安全或公共利益。4级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。 | |