数据分类分级标准 网，网90 保护法定义务之一。 ，》6 护制度”及其基本原则。 2021年11月，《个人信息保护法》、《网络数据安全管理条例（征 求意见稿）》相继出台，明确提出建立数据分类分级保护制度。 近年来，国家层面相继出台多项数据分类分级标准规范；金 融、工业等行业监管制定出了相关配套标准指引；浙江省、贵州 省等多地分别发布公共数据开放分级分类试行指南，为落实数据 分类分级管理提供指导性参考。 本文将「国家层面、行业层面、地方层面」出台的 12 项数据分 类分级标准指南进行总结汇编，希望对此领域感兴趣的同学能够起到 一定借鉴作用。 目录 JIDUN. 标准或指南 发布组织 发布时间 页码 GB/T35273-2020 国家市场监督管理总局 2020-03-06 01 信息安全技术个人信息安全规范 国家标准化管理委员会 GB/T 38667-2020 国家市场监督管理总局 2020-04-28 03 信息技术大数据数据分类指南 国家标准化管理委员会 TC260-PG-20212A 全国信息安全标准化技术委 2021-12-31 05 网络安全标准实践指南-网络数据分类分级指引 员会秘书处 JR/T0197-2020 2020-09-23 08 中国人民银行 金融数据安全数据安全分级指南 2018-09-27 10 JR/T0158-2018 中国证券监督管理委员会 证券期货业数据分类分级指引 GB/T 39725-2020 国家市场监督管理总局 2020-12-14 12 信息安全技术健康医疗数据安全指南 国家标准化管理委员会 13 工业和信息化部办公厅 工业数据分类分级指南（试行) 2020-02-27 YD/T3813—2020 14 中国通信标准化协会 2020-12-09 基础电信企业数据分类分级方法 DB33/T2351—2021 浙江省市场监督管理局 2021-07-05 15 数字化改革公共数据分类分级指南 DB52/T1123-2016 贵州省质量技术监督局 2016-09-28 16 政务数据数据分类分级指南 DB3301/T0322.3—2020 杭州市市场监督管理局 2020-10-31 17 数据资源管理第3部分：政务数据分类分级 DB2201/T17—2020 18 长春市市场监督管理局 2022-01-04 政务数据安全分类分级指南 《GB/T35273-2020信息安全技术个人信息安全规范》 个人信息personalinformation 个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身 份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识 别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪 轨迹、住宿信息、健康生理信息、交易信息等。 判定某项信息是否属于个人信息，应考虑以下两条路径：一是识别，即从信息到个人，由信 息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。二是关联，即从个人 到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通 话记录、个人浏览记录等）即为个人信息。符合上述两种情形之一的信息，均应判定为个人信息 个人基本资料 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、 电子邮件地址等 个人身份信息 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 个人生物识别信息 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 网络身份标识信息 个人信息主体账号、IP地址、个人数字证书等 个人健康生理信息 个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报 告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生 育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以 及与个人身体健康状况相关的信息，如体重、身高、肺活量等 个人教育工作信息 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训 记录、成绩单等 个人财产信息 银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录 等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等， 以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 个人通信信息 通信记录和内容、短信、彩信、电子邮件，以及描述个人通信的数据 (通常称为元数据）等N 联系人信息 通讯录、好友列表、群列表、电子邮件地址列表等 个人上网记录 指通过日志储存的个人信息主体操作记录，包括网站浏览记录、软件使 用记录、点击记录、收藏列表等 个人常用设备信息 指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如 IMEI/AndroidID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在 内的描述个人常用设备基本情况的信息 个人位置信息 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 其他信息 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 01 个人敏感信息personalsensitiveinformation 个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名 誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，14岁以下（含）儿童的个人信息 和涉及自然人隐私的信息属于个人敏感信息。可从以下角度判定是否属于个人敏感信息 泄露：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对 个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后，被以 违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益 带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机 号卡实名登记、银行账户开户办卡等。 非法提供：某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权 益带来重大风险，应判定为个人敏感信息。例如，性取向、存款信息、传染病史等。 滥用：某些个人信息在被超出授权合理界限时使用（如变更处理目的、扩大处理范围等），可 能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，在未取得个人信息主体 授权时，将健康信息用于保险公司营销和确定个体保费高低。 个人财产信息 银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收 款记录等）、房产信息、信贷记录、征信信息、交易和消费记 录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码 等虚拟财产信息 个人健康生理信息 个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、 检验报告、手术及麻醉记录、护理记录、用药记录、药物食 物过敏信息、生育信息、以往病史、诊治情况、家族病史、 现病史、传染病史等 个人生物识别信息 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 个人身份信息 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等 其他信息 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录 和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏 览记录、住宿信息、精准定位信息等 02 《GBT38667-2020信息技术大数据数据分类指南》 大数据分类方法： 线分类法 面分类法 面分类法是将所选定的分类对象依据其本身 线分类法旨在将分类对象按选定的若干个属 的固有的各种属性或特征，分成相互之间没 性或特征，逐次分为若干层级，每个层级又 有隶属关系即彼此独立的面，每个面中都包 分为若干类别。同一分支的同层级类别之间 了一组类别。将某个面中的一种类别和另 构成并列关系，不同层级类别之间构成隶属 外的一 一个或多个面的一种类别组合在一起， 可以组成一个复合类别。面分类法是并行化 关系。同层级类别互不重复，互不交叉。 分类方式，同一层级可有多个分类维度。 适用： 适用： 线分类法适用于针对一个类别只选取单一分 面分类法适用于对一个类别同时选取多个分 类维度进行分类的场景。 类维度进行分类的场景。 特点： 特点： 层次性好，能较好地反映类别之间的逻 弹性较大，一个“面”内类别的改变， 辑关系 不会影响其他的“面" 实用方便，便于机器处理信息 2. 适应性强，可根据需要组成任何类别 2. 3. 结构弹性较差，分类结构一经确定，不 易于添加和修改类别 3. 易改动 可组配的类别很多，但实际应用的类别 ，当分类层次较多时，影响数 4. 效率较低， 不多 据处理速度。 混合分类法 混合分类法是将线分类法和面分类法组合使用，克服这两种基本方法的不足，得到更为合理 的分 类。混合分类法的特点是以其中一种分类方法为主，另一种做补充。 适用： 混合分类法适用于以一个分类维度划分大类、另一个分类维度划分小类的场景。 特点： ：可以根据实际需要，对两种分类方法进行灵活的配置，吸取两种分类方法的优点 2．适应一些综合性较强、属性或者特征不是十分明确的数据分类。 03 大数据分类规则： 维度 分类 释义 可划分为：每年更新数据、每月更新数据、每周更 按产生频率分类 新数据、每日更新数据、每小时更新数据、每分 钟更新数据、每秒更新数据、无更新数据等。 可划分为：人工采集数据、信息系统产生数据、感 按产生方式分类 知设备产生数据、原始数据、二次加工数据等。 可划分为：结构化数据，如零售、财务、生物信息 学、地理数据等；非结构化数据，如图像、视频、 按结构化特征分类 技术选型维度 传感器数据、网页等；半结构化数据，如应用系统 日志、电子邮件等。 可划分为：关系数据库存储数据、键值数据库