1. 標準概述

1.1 目的與意義

國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》的制定，旨在為數據分類分級管理工作提供標準化的指導和規范，以保障數據的安全性和保密性。該標準的實施有助于明確數據分類與分級的基本原則，包括業務相關性、數據敏感性、風險可控性等，從而為數據安全管理提供科學、合理的依據。

• 該標準的發布，反映了國家對數據安全保護的高度重視，是響應當前數據安全形勢的迫切需求，對于提升國家數據安全治理能力具有重要意義。

• 通過規范數據分類分級，可以更有效地識別和保護重要數據，尤其是對國家安全、經濟運行、社會穩定具有重大影響的核心數據，確保這些數據不被非法獲取、泄露或濫用。

1.2 適用范圍

GB/T 43697-2024標準適用于各類組織和個人在數據處理活動中的數據分類分級工作，包括但不限于政府部門、企事業單位、科研機構等。該標準為不同領域和行業的數據安全管理提供了統一的框架和方法，有助于實現數據安全風險的可控性。

• 該標準不僅適用于傳統的數據管理領域，也適用于新興的大數據、云計算、人工智能等技術領域，確保了標準的前瞻性和實用性。

• 通過該標準的實施，可以促進數據安全技術的發展和創新，推動數據安全產業的健康成長，為數字經濟的發展提供堅實的安全保障。

1.3 主要內容

GB/T 43697-2024標準明確了數據分類分級的原則、框架、方法和流程，并提供了重要數據識別指南。該標準的核心內容包括：

• 數據分類：根據業務特點和數據屬性進行劃分，如個人信息、商業秘密、國家秘密等，確保數據分類的科學性和合理性。

• 數據分級：根據數據的敏感性、重要性和潛在風險進行劃分，如一般數據、重要數據、核心數據等，以實現數據保護的差異化和精準化。

• 重要數據與核心數據的界定：明確了重要數據和核心數據的定義、范圍和保護要求，為關鍵數據的安全管理提供了明確指導。

• 數據分類分級的實施流程：包括數據識別、分類、分級、保護和審核等環節，確保數據分類分級工作的系統性和有效性。

2. 數據分類

2.1 分類原則

國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》明確了數據分類的三大原則：業務相關性、數據敏感性、風險可控性。

• 業務相關性原則要求數據分類應緊密結合組織的業務特點和需求，確保數據分類結果能夠支持業務流程和決策。

• 數據敏感性原則強調數據的隱私和保密要求，對涉及個人隱私、商業秘密等敏感數據應給予更高級別的保護。

• 風險可控性原則指出數據分類應考慮數據泄露、濫用等潛在風險，通過分類實現對不同風險等級數據的差異化管理。

2.2 分類框架

該標準提出了一個多層次的數據分類框架，包括行業領域分類和業務屬性分類兩個維度。

• 行業領域分類將數據分為工業、電信、金融、能源、交通運輸、自然資源、衛生健康、教育、科學數據等。

• 業務屬性分類則進一步細分為業務領域、責任部門、描述對象、流程環節、數據主體、內容主題、數據用途、數據處理和數據來源等。

2.3 分類方法

標準建議采用以下方法進行數據分類：

• 結合行業特征和業務需求，明確數據分類的目標和范圍。

• 識別和標注數據的敏感性和風險等級，為后續的分級保護提供依據。

• 利用自動化工具和算法輔助分類，提高分類效率和準確性。

• 定期審查和更新分類結果，確保數據分類與組織業務和安全需求保持一致。

3. 數據分級

3.1 分級原則

國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》提出了數據分級的五大原則，這些原則是數據安全管理和保護工作的基礎。

• 合法合規原則：數據分級應遵循國家法律法規要求，確保數據安全管理符合國家數據安全法、網絡安全法等相關法律法規的規定。

• 業務相關性原則：數據分級應考慮數據與業務的相關性，確保數據的分類和級別能夠反映其在業務流程中的重要性和作用。

• 數據敏感性原則：數據分級應基于數據的敏感程度，包括數據泄露、篡改或損毀后可能造成的損害程度，以及數據的保密性、隱私性等。

• 風險可控性原則：數據分級應評估數據安全風險，確保分級后的數據能夠得到相應級別的保護措施，以控制和降低數據安全風險。

• 動態調整原則：數據分級應根據數據使用環境、業務需求和技術發展等因素的變化，定期進行審查和調整，以保持數據分級的時效性和適應性。

3.2 分級框架

國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》建立了從低到高的數據分級框架，將數據分為一般數據、重要數據和核心數據三個級別。

• 一般數據：指在日常業務活動中產生的，對組織運行和個人權益影響較小的數據。這類數據通常不需要嚴格的保護措施，但仍然需要基本的安全保障。

• 重要數據：指對組織運行、個人權益或公共利益具有較大影響的數據。這類數據需要采取更為嚴格的保護措施，以防止數據泄露、濫用或非授權訪問。

• 核心數據：指對國家安全、經濟運行、社會穩定、公共健康和安全具有重大影響的數據。這類數據需要最高級別的保護，通常涉及國家秘密、關鍵基礎設施信息等。

3.3 分級方法

國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》提供了一套系統的數據分級方法，包括數據分類、數據分級要素識別、數據影響分析和級別確定規則。

• 數據分類：首先根據數據的來源、內容、用途等屬性進行分類，形成數據分類體系，為后續分級提供基礎。

• 數據分級要素識別：分析數據的敏感性、重要性、潛在風險等要素，識別數據的關鍵屬性和特征。

• 數據影響分析：評估數據泄露、篡改、損毀或非法使用等情況下可能影響的對象和影響程度，確定數據的安全風險等級。

• 級別確定規則：根據數據影響分析的結果，結合國家和行業標準，確定數據的具體級別，制定相應的數據保護措施。

4. 重要數據識別

4.1 識別指南

國家標準GB/T 43697-2024提供了一套系統的數據分類分級框架，旨在幫助組織和個人識別和保護重要數據。根據該標準，重要數據的識別應遵循以下指南：

• 領域相關性：識別與國家安全、經濟運行、社會穩定、公共健康和安全直接相關的數據。

• 數據敏感性：評估數據的敏感程度，包括個人信息、商業秘密、國家秘密等。

• 風險可控性：分析數據泄露、篡改或損毀可能帶來的風險，以及這些風險是否可控。

• 精度和規模：考慮數據的精度和規模，以及這些因素如何影響數據的重要性。

• 覆蓋度和深度：評估數據的覆蓋范圍和深度，以及它們對決策和分析的影響。

4.2 核心數據與重要數據界定

根據GB/T 43697-2024標準，核心數據和重要數據的界定如下：

• 核心數據：指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的，一旦被非法使用或共享，可能直接影響政治安全的重要數據。這主要包括關系國家安全重點領域的數據，關系國民經濟命脈、重要民生、重大公共利益的數據，以及經國家有關部門評估確定的其他數據。

• 重要數據：指特定領域、特定群體、特定區域或達到一定精度和規模的，一旦被泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。這類數據通常具有較高的敏感性和風險性，需要特別的保護措施。

• 界定標準：核心數據和重要數據的界定應基于數據的特性、使用場景、潛在影響等多個維度進行綜合評估。組織應根據國家標準和行業指導原則，結合自身業務特點，制定具體的數據分類分級標準和流程。

5. 標準實施與影響

5.1 實施時間

國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》已于2024年3月15日發布，預計將于2024年10月1日起正式實施。這一時間節點標志著中國在數據安全領域的法規體系進一步完善，為數據處理者提供了明確的分類分級指導，同時也為監管部門提供了執法依據。

5.2 預期影響

該標準的實施預期將對中國的數據安全環境產生以下幾方面的影響：

• 提升數據安全意識：通過明確數據分類分級的要求，企業和組織將更加重視數據安全，從而提高整體的數據保護意識。

• 規范數據處理活動：標準提供了一套科學的分類分級方法，有助于企業和組織規范其數據處理活動，減少數據安全風險。

• 促進數據合理利用：明確的分類分級規則有助于企業和組織更合理地利用數據，平衡數據安全與數據流通的需要。

• 加強法律執行力度：為監管部門提供了明確的執法依據，有助于加強數據安全領域的法律執行力度，打擊違法違規行為。

5.3 行業應用

《數據安全技術 數據分類分級規則》的行業應用將體現在以下幾個方面：

• 金融行業：金融行業擁有大量敏感數據，該標準的實施將指導金融機構如何對客戶信息、交易數據等進行分類分級，確保數據安全。

• 醫療健康行業：醫療數據的敏感性和重要性極高，該標準將幫助醫療機構和相關企業合理分類患者信息、遺傳數據等，加強數據保護。

• 工業領域：工業數據的分類分級對于保護工業知識產權、商業秘密至關重要，該標準將促進工業企業加強數據安全管理。

• 互聯網企業：互聯網企業處理大量用戶數據，該標準的實施將指導企業如何對用戶數據進行分類分級，提高數據安全水平。

隨著標準的實施，預計將有更多的行業和領域根據自身特點，制定更為詳細和具體的數據分類分級指南，以滿足國家標準的要求。同時，行業間的數據交流和合作也將在這一標準的指導下更加規范和安全。