1. 标準概述

1.1 目的與意義

國(guó)家标準GB/T 43697-2024《數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》的制定，旨在為(wèi)數據分(fēn)類分(fēn)級管理(lǐ)工(gōng)作(zuò)提供标準化的指導和規範，以保障數據的安(ān)全性和保密性。該标準的實施有(yǒu)助于明确數據分(fēn)類與分(fēn)級的基本原則，包括業務(wù)相關性、數據敏感性、風險可(kě)控性等，從而為(wèi)數據安(ān)全管理(lǐ)提供科(kē)學(xué)、合理(lǐ)的依據。

• 該标準的發布，反映了國(guó)家對數據安(ān)全保護的高度重視，是響應當前數據安(ān)全形勢的迫切需求，對于提升國(guó)家數據安(ān)全治理(lǐ)能(néng)力具(jù)有(yǒu)重要意義。

• 通過規範數據分(fēn)類分(fēn)級，可(kě)以更有(yǒu)效地識别和保護重要數據，尤其是對國(guó)家安(ān)全、經濟運行、社會穩定具(jù)有(yǒu)重大影響的核心數據，确保這些數據不被非法獲取、洩露或濫用(yòng)。

1.2 适用(yòng)範圍

GB/T 43697-2024标準适用(yòng)于各類組織和個人在數據處理(lǐ)活動中(zhōng)的數據分(fēn)類分(fēn)級工(gōng)作(zuò)，包括但不限于政府部門、企事業單位、科(kē)研機構等。該标準為(wèi)不同領域和行業的數據安(ān)全管理(lǐ)提供了統一的框架和方法，有(yǒu)助于實現數據安(ān)全風險的可(kě)控性。

• 該标準不僅适用(yòng)于傳統的數據管理(lǐ)領域，也适用(yòng)于新(xīn)興的大數據、雲計算、人工(gōng)智能(néng)等技(jì )術領域，确保了标準的前瞻性和實用(yòng)性。

• 通過該标準的實施，可(kě)以促進數據安(ān)全技(jì )術的發展和創新(xīn)，推動數據安(ān)全産(chǎn)業的健康成長(cháng)，為(wèi)數字經濟的發展提供堅實的安(ān)全保障。

1.3 主要内容

GB/T 43697-2024标準明确了數據分(fēn)類分(fēn)級的原則、框架、方法和流程，并提供了重要數據識别指南。該标準的核心内容包括：

• 數據分(fēn)類：根據業務(wù)特點和數據屬性進行劃分(fēn)，如個人信息、商(shāng)業秘密、國(guó)家秘密等，确保數據分(fēn)類的科(kē)學(xué)性和合理(lǐ)性。

• 數據分(fēn)級：根據數據的敏感性、重要性和潛在風險進行劃分(fēn)，如一般數據、重要數據、核心數據等，以實現數據保護的差異化和精(jīng)準化。

• 重要數據與核心數據的界定：明确了重要數據和核心數據的定義、範圍和保護要求，為(wèi)關鍵數據的安(ān)全管理(lǐ)提供了明确指導。

• 數據分(fēn)類分(fēn)級的實施流程：包括數據識别、分(fēn)類、分(fēn)級、保護和審核等環節，确保數據分(fēn)類分(fēn)級工(gōng)作(zuò)的系統性和有(yǒu)效性。

2. 數據分(fēn)類

2.1 分(fēn)類原則

國(guó)家标準GB/T 43697-2024《數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》明确了數據分(fēn)類的三大原則：業務(wù)相關性、數據敏感性、風險可(kě)控性。

• 業務(wù)相關性原則要求數據分(fēn)類應緊密結合組織的業務(wù)特點和需求，确保數據分(fēn)類結果能(néng)夠支持業務(wù)流程和決策。

• 數據敏感性原則強調數據的隐私和保密要求，對涉及個人隐私、商(shāng)業秘密等敏感數據應給予更高級别的保護。

• 風險可(kě)控性原則指出數據分(fēn)類應考慮數據洩露、濫用(yòng)等潛在風險，通過分(fēn)類實現對不同風險等級數據的差異化管理(lǐ)。

2.2 分(fēn)類框架

該标準提出了一個多(duō)層次的數據分(fēn)類框架，包括行業領域分(fēn)類和業務(wù)屬性分(fēn)類兩個維度。

• 行業領域分(fēn)類将數據分(fēn)為(wèi)工(gōng)業、電(diàn)信、金融、能(néng)源、交通運輸、自然資源、衛生健康、教育、科(kē)學(xué)數據等。

• 業務(wù)屬性分(fēn)類則進一步細分(fēn)為(wèi)業務(wù)領域、責任部門、描述對象、流程環節、數據主體(tǐ)、内容主題、數據用(yòng)途、數據處理(lǐ)和數據來源等。

2.3 分(fēn)類方法

标準建議采用(yòng)以下方法進行數據分(fēn)類：

• 結合行業特征和業務(wù)需求，明确數據分(fēn)類的目标和範圍。

• 識别和标注數據的敏感性和風險等級，為(wèi)後續的分(fēn)級保護提供依據。

• 利用(yòng)自動化工(gōng)具(jù)和算法輔助分(fēn)類，提高分(fēn)類效率和準确性。

• 定期審查和更新(xīn)分(fēn)類結果，确保數據分(fēn)類與組織業務(wù)和安(ān)全需求保持一緻。

3. 數據分(fēn)級

3.1 分(fēn)級原則

國(guó)家标準GB/T 43697-2024《數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》提出了數據分(fēn)級的五大原則，這些原則是數據安(ān)全管理(lǐ)和保護工(gōng)作(zuò)的基礎。

• 合法合規原則：數據分(fēn)級應遵循國(guó)家法律法規要求，确保數據安(ān)全管理(lǐ)符合國(guó)家數據安(ān)全法、網絡安(ān)全法等相關法律法規的規定。

• 業務(wù)相關性原則：數據分(fēn)級應考慮數據與業務(wù)的相關性，确保數據的分(fēn)類和級别能(néng)夠反映其在業務(wù)流程中(zhōng)的重要性和作(zuò)用(yòng)。

• 數據敏感性原則：數據分(fēn)級應基于數據的敏感程度，包括數據洩露、篡改或損毀後可(kě)能(néng)造成的損害程度，以及數據的保密性、隐私性等。

• 風險可(kě)控性原則：數據分(fēn)級應評估數據安(ān)全風險，确保分(fēn)級後的數據能(néng)夠得到相應級别的保護措施，以控制和降低數據安(ān)全風險。

• 動态調整原則：數據分(fēn)級應根據數據使用(yòng)環境、業務(wù)需求和技(jì )術發展等因素的變化，定期進行審查和調整，以保持數據分(fēn)級的時效性和适應性。

3.2 分(fēn)級框架

國(guó)家标準GB/T 43697-2024《數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》建立了從低到高的數據分(fēn)級框架，将數據分(fēn)為(wèi)一般數據、重要數據和核心數據三個級别。

• 一般數據：指在日常業務(wù)活動中(zhōng)産(chǎn)生的，對組織運行和個人權益影響較小(xiǎo)的數據。這類數據通常不需要嚴格的保護措施，但仍然需要基本的安(ān)全保障。

• 重要數據：指對組織運行、個人權益或公(gōng)共利益具(jù)有(yǒu)較大影響的數據。這類數據需要采取更為(wèi)嚴格的保護措施，以防止數據洩露、濫用(yòng)或非授權訪問。

• 核心數據：指對國(guó)家安(ān)全、經濟運行、社會穩定、公(gōng)共健康和安(ān)全具(jù)有(yǒu)重大影響的數據。這類數據需要最高級别的保護，通常涉及國(guó)家秘密、關鍵基礎設施信息等。

3.3 分(fēn)級方法

國(guó)家标準GB/T 43697-2024《數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》提供了一套系統的數據分(fēn)級方法，包括數據分(fēn)類、數據分(fēn)級要素識别、數據影響分(fēn)析和級别确定規則。

• 數據分(fēn)類：首先根據數據的來源、内容、用(yòng)途等屬性進行分(fēn)類，形成數據分(fēn)類體(tǐ)系，為(wèi)後續分(fēn)級提供基礎。

• 數據分(fēn)級要素識别：分(fēn)析數據的敏感性、重要性、潛在風險等要素，識别數據的關鍵屬性和特征。

• 數據影響分(fēn)析：評估數據洩露、篡改、損毀或非法使用(yòng)等情況下可(kě)能(néng)影響的對象和影響程度，确定數據的安(ān)全風險等級。

• 級别确定規則：根據數據影響分(fēn)析的結果，結合國(guó)家和行業标準，确定數據的具(jù)體(tǐ)級别，制定相應的數據保護措施。

4. 重要數據識别

4.1 識别指南

國(guó)家标準GB/T 43697-2024提供了一套系統的數據分(fēn)類分(fēn)級框架，旨在幫助組織和個人識别和保護重要數據。根據該标準，重要數據的識别應遵循以下指南：

• 領域相關性：識别與國(guó)家安(ān)全、經濟運行、社會穩定、公(gōng)共健康和安(ān)全直接相關的數據。

• 數據敏感性：評估數據的敏感程度，包括個人信息、商(shāng)業秘密、國(guó)家秘密等。

• 風險可(kě)控性：分(fēn)析數據洩露、篡改或損毀可(kě)能(néng)帶來的風險，以及這些風險是否可(kě)控。

• 精(jīng)度和規模：考慮數據的精(jīng)度和規模，以及這些因素如何影響數據的重要性。

• 覆蓋度和深度：評估數據的覆蓋範圍和深度，以及它們對決策和分(fēn)析的影響。

4.2 核心數據與重要數據界定

根據GB/T 43697-2024标準，核心數據和重要數據的界定如下：

• 核心數據：指對領域、群體(tǐ)、區(qū)域具(jù)有(yǒu)較高覆蓋度或達到較高精(jīng)度、較大規模、一定深度的，一旦被非法使用(yòng)或共享，可(kě)能(néng)直接影響政治安(ān)全的重要數據。這主要包括關系國(guó)家安(ān)全重點領域的數據，關系國(guó)民(mín)經濟命脈、重要民(mín)生、重大公(gōng)共利益的數據，以及經國(guó)家有(yǒu)關部門評估确定的其他(tā)數據。

• 重要數據：指特定領域、特定群體(tǐ)、特定區(qū)域或達到一定精(jīng)度和規模的，一旦被洩露或篡改、損毀，可(kě)能(néng)直接危害國(guó)家安(ān)全、經濟運行、社會穩定、公(gōng)共健康和安(ān)全的數據。這類數據通常具(jù)有(yǒu)較高的敏感性和風險性，需要特别的保護措施。

• 界定标準：核心數據和重要數據的界定應基于數據的特性、使用(yòng)場景、潛在影響等多(duō)個維度進行綜合評估。組織應根據國(guó)家标準和行業指導原則，結合自身業務(wù)特點，制定具(jù)體(tǐ)的數據分(fēn)類分(fēn)級标準和流程。

5. 标準實施與影響

5.1 實施時間

國(guó)家标準GB/T 43697-2024《數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》已于2024年3月15日發布，預計将于2024年10月1日起正式實施。這一時間節點标志(zhì)着中(zhōng)國(guó)在數據安(ān)全領域的法規體(tǐ)系進一步完善，為(wèi)數據處理(lǐ)者提供了明确的分(fēn)類分(fēn)級指導，同時也為(wèi)監管部門提供了執法依據。

5.2 預期影響

該标準的實施預期将對中(zhōng)國(guó)的數據安(ān)全環境産(chǎn)生以下幾方面的影響：

• 提升數據安(ān)全意識：通過明确數據分(fēn)類分(fēn)級的要求，企業和組織将更加重視數據安(ān)全，從而提高整體(tǐ)的數據保護意識。

• 規範數據處理(lǐ)活動：标準提供了一套科(kē)學(xué)的分(fēn)類分(fēn)級方法，有(yǒu)助于企業和組織規範其數據處理(lǐ)活動，減少數據安(ān)全風險。

• 促進數據合理(lǐ)利用(yòng)：明确的分(fēn)類分(fēn)級規則有(yǒu)助于企業和組織更合理(lǐ)地利用(yòng)數據，平衡數據安(ān)全與數據流通的需要。

• 加強法律執行力度：為(wèi)監管部門提供了明确的執法依據，有(yǒu)助于加強數據安(ān)全領域的法律執行力度，打擊違法違規行為(wèi)。

5.3 行業應用(yòng)

《數據安(ān)全技(jì )術 數據分(fēn)類分(fēn)級規則》的行業應用(yòng)将體(tǐ)現在以下幾個方面：

• 金融行業：金融行業擁有(yǒu)大量敏感數據，該标準的實施将指導金融機構如何對客戶信息、交易數據等進行分(fēn)類分(fēn)級，确保數據安(ān)全。

• 醫(yī)療健康行業：醫(yī)療數據的敏感性和重要性極高，該标準将幫助醫(yī)療機構和相關企業合理(lǐ)分(fēn)類患者信息、遺傳數據等，加強數據保護。

• 工(gōng)業領域：工(gōng)業數據的分(fēn)類分(fēn)級對于保護工(gōng)業知識産(chǎn)權、商(shāng)業秘密至關重要，該标準将促進工(gōng)業企業加強數據安(ān)全管理(lǐ)。

• 互聯網企業：互聯網企業處理(lǐ)大量用(yòng)戶數據，該标準的實施将指導企業如何對用(yòng)戶數據進行分(fēn)類分(fēn)級，提高數據安(ān)全水平。

随着标準的實施，預計将有(yǒu)更多(duō)的行業和領域根據自身特點，制定更為(wèi)詳細和具(jù)體(tǐ)的數據分(fēn)類分(fēn)級指南，以滿足國(guó)家标準的要求。同時，行業間的數據交流和合作(zuò)也将在這一标準的指導下更加規範和安(ān)全。