一、GB/T 35273-2020 信息安全技术 个⼈信息安全规范
个⼈信息
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息,如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
判定某项信息是否属于个人信息,应考虑以下两条路径:
一是识别,即从信息到个人,由信息本身的特殊性识别出特定自然人,个人信息应有助于识别出特定个人。
二是关联,即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、个人浏览记录等)即为个人信息。
符合上述两种情形之一的信息,均应判定为个人信息。
| 类型 | 示例 |
| 个人基本资料 | 个人姓名、生日、性别、民族、国籍、家庭关系、住址、个人电话号码、电子邮件地址等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、出入证、社保卡、居住证等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 网络身份标识信息 | 个人信息主体账号、IP地址、个人数字证书等 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等,以及与个人身体健康状况相关的信息,如体重、身高、肺活量等 |
| 个人教育工作信息 | 个人职业、职位、工作单位、学历、学位、教育经历、工作经历、培训记录、成绩单等 |
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人通信信息 | 通信记录和内容、短信、彩信、电子邮件,以及描述个人通信的数据(通常称为元数据)等 |
| 联系人信息 | 通讯录、好友列表、群列表、电子邮件地址列表等 |
| 个人上网记录 | 指通过日志储存的个人信息主体操作记录,包括网站浏览记录、软件使用记录、点击记录、收藏列表等 |
| 个人常用设备信息 | 指包括硬件序列号、设备MAC地址、软件列表、唯一设备识别码(如IMEI/AndroidID/IDFA/OpenUDID/GUID/SIM卡IMSI信息等)等在内的描述个人常用设备基本情况的信息 |
| 个人位置信息 | 包括行踪轨迹、精准定位信息、住宿信息、经纬度等 |
| 其他信息 | 婚史、宗教信仰、性取向、未公开的违法犯罪记录等 |
个人敏感信息
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。
可从以下角度判定是否属于个人敏感信息:
泄露:个人信息一旦泄露,将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力,造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后,被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析,可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
非法提供:某些个人信息仅因在个人信息主体授权同意范围外扩散,即可对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,性取向、存款信息、传染病史等。
滥用:某些个人信息在被超出授权合理界限时使用(如变更处理目的、扩大处理范围等),可能对个人信息主体权益带来重大风险,应判定为个人敏感信息。例如,在未取得个人信息主体授权时,将健康信息用于保险公司营销和确定个体保费高低。
| 类型 | 示例 |
| 个人财产信息 | 银行账户、鉴别信息(口令)、存款信息(包括资金数量、支付收款记录等)、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等,以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息 |
| 个人健康生理信息 | 个人因生病医治等产生的相关记录,如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等 |
| 个人生物识别信息 | 个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等 |
| 个人身份信息 | 身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等 |
| 其他信息 | 性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等 |
二、工业数据分类分级指南(试行)
| 企业类型 | 分类 | 范围 |
| ⼯业企业 | 研发数据域 | 研发设计数据、开发测试数据等 |
| ⽣产数据域 | 控制信息、⼯况状态、⼯艺参数、系统⽇志等 | |
| 运维数据域 | 物流数据、产品售后服务数据等 | |
| 管理数据域 | 系统设备资产信息、客户与产品信息、产品供应链数据、业务统计数据等 | |
| 外部数据域 | 与其他主体共享的数据等 | |
| 平台企业 | 平台运营数据域 | 物联采集数据、知识库模型库数据、研发数据等 |
| 企业管理数据域 | 客户数据、业务合作数据、⼈事财务数据等 |
根据不同类别⼯业数据遭篡改、破坏、泄露或⾮法利⽤后,可能对⼯业⽣产、经济效益等带来的潜在影响,将⼯业数据分为⼀级、⼆级、三级等3个级别。
| 分级 | 释义 |
| 三级 | (⼀)易引发特别重⼤⽣产安全事故或突发环境事件,或造成直接经济损失特别巨⼤; (⼆)对国⺠经济、⾏业发展、公众利益、社会秩序乃⾄国家安全造成严重影响。 |
| ⼆级 | (⼀)易引发较⼤或重⼤⽣产安全事故或突发环境事件,给企业造成较⼤负⾯影响,或直接经济损失较⼤; (⼆)引发的级联效应明显,影响范围涉及多个⾏业、区域或者⾏业内多个企业,或影响持续时间⻓,或可导致⼤量供应商、客户资源被⾮法获取或⼤量个⼈信息泄露; (三)恢复⼯业数据或消除负⾯影响所需付出的代价较⼤。 |
| ⼀级 | (⼀)对⼯业控制系统及设备、⼯业互联⽹平台等的正常⽣产运⾏影响较⼩; (⼆)给企业造成负⾯影响较⼩,或直接经济损失较⼩; (三)受影响的⽤户和企业数量较少、⽣产⽣活区域范围较⼩、持续时间较短; (四)恢复⼯业数据或消除负⾯影响所需付出的代价较⼩。 |
三、YD/T 3813—2020 基础电信企业数据分类分级方法
| ⼀级⼦类 | ⼆级⼦类 | 三级⼦类 | 四级⼦类 |
| ⽤户相关数据 | ⽤户身份相关数据 | ⽤户身份相关数据 | ⾃然⼈身份标识、⽹络身份标识、⽤户基本资料、实体身份证明、⽤户私密资料 |
| ⽤户服务内容数据 | 服务内容和资料数据 | 服务内容数据、联系⼈信息 | |
| ⽤户服务衍⽣数据 | ⽤户服务使⽤数据 | 业务订购关系、服务记录和⽇志、消费信息和账单、位置数据、违规记录数据 | |
| 设备信息 | 终端设备标识、终端设备资料 | ||
| ⽤户统计分析类数据 | ⽤户使⽤习惯和⾏为分析数据 | / | |
| ⽤户上⽹⾏为相关统计分析数据 | / | ||
| 企业⾃身相关数据 | ⽹络与系统的建设与运⾏维护类数据 | 规划建设类数据(分发布前后) | ⽹络规划类、投资计划类、项⽬管理类 |
| ⽹络与系统资源类数据 | 公共资源类数据、传输资源类数据、承载⽹资源、核⼼⽹资源、接⼊⽹资源等 | ||
| ⽹络与系统运维类数据 | 信令、⽹路信息、⽹段、⽹址VLAN、划分、设备监测等 | ||
| ⽹络安全管理类数据 | 安全审计记录、⽹络安全应急预案、违法有害信息监测、核⼼区域监控等 | ||
| 业务运营类数据 | 业务运营服务数据 | 产品信息、渠道信息、客户服务信息、营销信息 | |
| 公开业务运营服务数据 | / | ||
| 企业管理数据 | 发展战略与重⼤决策 | 发展战略、重⼤决策、重要会议 | |
| 业务发展类 | 市场策略、营销管理、资费管理等 | ||
| 技术研发类 | 技术管理、技术研究报告、专利⼯作 | ||
| 运⾏管理类 | / | ||
| ⽣产经营类 | 财务预算、业绩披露、考核信息等 | ||
| 综合管理类 | ⼈⼒资源、财务信息、办公⾃动化、采购 | ||
| 其他数据 | 合作⽅提供数据 | / |
四、JR/T 0197-2020 金融数据安全 数据安全分级指南
| 分类 | 范围 | |
| 客户数据 | 个⼈数据 | 是指个⼈的⾃然属性信息,包括个⼈⾃然信息、个⼈身份鉴别信息、个⼈资讯信息等信息 |
| 单位数据 | 是指单位的⾃然属性数据,包含单位基本信息、单位身份鉴别信息、单位标签信息等单位信息 | |
| 业务数据 | 账户信息 | 指账户相关数据,如账户的基本信息、计息信息、冻结信息、介质信息和核算信息等 |
| 法定数字货币钱包信息 | 指法定数字货币钱包相关属性信息 | |
| 合同协议信息 | 指合同或协议所包含的所有属性信息,如合同法以及商业银⾏法所规定的基本信息 | |
| ⾦融监管和服务 | 包括反洗钱业务信息、贷款业务信息、货币⾦银业务信息、贷款保险业务信息等 | |
| 交易信息 | 交易通⽤信息、保险收付费信息等 | |
| 经营管理 | 营销服务 | 产品信息、渠道信息、营销信息 |
| 运营管理 | 安防管理信息、业务运维信息、客户服务信息、单证管理信息等 | |
| 风险管理信息 | 风险偏好信息、风险管控信息 | |
| 技术管理 | 项⽬管理信息、系统管理信息 | |
| 综合管理 | 战略规划信息、招聘信息、员⼯信息、机构信息等 | |
| 监管 | 数据报送 | 监管报送信息 |
| 数据收取 | 评级、处罚与违规信息、外部审计信息等 |
本标准根据⾦融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从⾼到低划分为5级、4级、3级、2级、1级。
| 分级 | 释义 |
| 5级 | (⼀)重要数据,通常主要⽤于⾦融业⼤型或特⼤型机构、⾦融交易过程中重要核⼼节点类机构的关键业务使⽤,⼀般针对特定⼈员公开,且仅为必须知悉的对象访问或使⽤。 (⼆)数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成严重影响。 |
| 4级 | (⼀)数据通常主要⽤于⾦融业⼤型或特⼤型机构、⾦融交易过程中重要核⼼节点类机构的重要业务使⽤,⼀般针对特定⼈员公开,且仅为必须知悉的对象访问或使⽤。 (⼆)个⼈⾦融信息中的C3类信息。 (三)数据安全性遭到破坏后,对公众权益造成⼀般影响,或对个⼈隐私或企业合法权益造成严重影响,但不影响国家安全。 |
| 3级 | (⼀)数据⽤于⾦融业机构关键或重要业务使⽤,⼀般针对特定⼈员公开,且仅为必须知悉的对象访问或使⽤。 (⼆)个⼈⾦融信息中的C2类信息。 (三)数据的安全性遭到破坏后,对公众权益造成轻微影响,或对个⼈隐私或企业合法权益造成⼀般影响,但不影响国家安全。 |
| 2级 | (⼀)数据⽤于⾦融业机构⼀般业务使⽤,⼀般针对受限对象公开,通常为内部管理且不宜⼴泛公开的数据。 (⼆)个⼈⾦融信息中的C1类信息。 (三)数据的安全性遭到破坏后,对个⼈隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益。 |
| 1级 | (⼀)数据⼀般可被公开或可被公众获知、使⽤。 (⼆)个⼈⾦融信息主体主动公开的信息。 (三)数据的安全性遭到破坏后,可能对个⼈隐私或企业合法权益不造成影响,或仅造成微弱影响但不影响国家安全、公众权益。 |
五、GB/T 39725-2020 信息安全技术 健康医疗数据安全指南
| 分类 | 范围 |
| 个⼈属性数据 | 单独或者与其他信息结合能够识别特定⾃然⼈的数据,如个⼈统计信息、个⼈身份信息、个⼈通讯信息、个⼈⽣物识别信息等。 |
| 健康状况数据 | 能反映个⼈健康情况或同个⼈健康情况有着密切关系的数据,如现病史、家族史、症状、体检检查数据、⽣活⽅式、基因测序等。 |
| 医疗应⽤数据 | 反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据,如住院医嘱、门诊病历、⽤药信息、护理记录、⼊院记录等。 |
| 医疗⽀付数据 | 医疗或保险等服务中所涉及的与费⽤相关的数据,如医保⽀付信息、交易⾦额、交易记录、保险状态、保险⾦额等。 |
| 卫⽣资源数据 | 可以反映卫⽣服务⼈员、卫⽣计划和卫⽣体系的能⼒与特征的数据,如医疗基本数据、医疗运营数据。 |
| 公共卫⽣数据 | 关系到国家或地区⼤众健康的公共事业相关数据,如环境卫⽣数据、传染病疫情数据、疫情监测数据、疫情预防数据等。 |
根据数据重要程度、⻛险级别以及对个⼈健康医疗数据主体可能造成的损害和影响的级别进⾏分级,可将健康医疗数据划分为以下5级:
| 分级 | 释义 |
| 5级 | 仅在极⼩范围内且在严格限制条件下供访问使⽤的数据,如果未经授权披露,可能会对个⼈健康医疗数据主体造成严重程度的损害。例如特殊病种(例如艾滋病、性病)的详细资料,仅限于主治医护⼈员访问且需要进⾏严格管控。 |
| 4级 | 在较⼩范围内供访问使⽤的数据,如果未经授权披露,可能会对个⼈健康医疗数据主体造成较⾼程度的损害。例如可以直接标识个⼈身份的数据,仅限于参与诊疗活动的医护⼈员访问使⽤。 |
| 3级 | 可在中等范围内供访问使⽤的数据,如果未经授权披露,可能对个⼈健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项⽬组范围内使⽤。 |
| 2级 | 可在较⼤范围内供访问使⽤的数据。例如不能标识个⼈身份的数据,各科室医⽣经过申请审批可以⽤于研究分析。 |
| 1级 | 可完全公开使⽤的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联⽹上⾯向公众公开。 |
六、JR/T 0158-2018 证券期货业数据分类分级指引
| 分类 | 范围 |
| 交易数据 | 包括成交信息、委托信息、交易业务参数信息、交易⽇志信息。 |
| 监管数据 | 包括监察参考信息、监管统计及预警信息、评价、处罚与违规信息、上报信息。 |
| 信息披露数据 | 包括产品发⾏信息(公开)与产品发⾏信息(未公开)。 |
| 其他数据 | 包括统计信息、其他业务信息、规划类数据、运⾏管理信息。 |
本标准中的数据等级分为四级,描述标识分为数据级别标识和数据重要程度标识两类,相互⼀⼀对应。数据定级⼀般使⽤等级本标准中的数据等级分应。
a)数据级别标识,从⾼到低划分为:4、3、2、1。
b)数据重要程度标识,与数据级别标识相对应,从⾼到低划分为:极⾼、⾼、中、低。
| 分级 | 释义 |
| 4级(极⾼) | 数据主要⽤于⾏业内⼤型或特⼤型机构中的重要业务使⽤,⼀般针对特定⼈员公开,且仅为必须知悉的对象访问或使⽤。 |
| 3级(⾼) | 数据⽤于重要业务使⽤,⼀般针对特定⼈员公开,且仅为必须知悉的对象访问或使⽤。 |
| 2级(中) | 数据⽤于⼀般业务使⽤,⼀般针对受限对象公开;⼀般指内部管理且不宜⼴泛公开的数据。 |
| 1级(低) | 数据⼀般可被公开或可被公众获知、使⽤。 |
七、GB/T 38667-2020 信息技术 大数据 数据分类指南
| 维度 | 分类 | 释义 |
| 技术选型维度 | 按产⽣频率分类 | 可划分为:每年更新数据、每⽉更新数据、每周更新数据、每⽇更新数据、每⼩时更新数据、每分钟更新数据、每秒更新数据、⽆更新数据等。 |
| 按产⽣⽅式分类 | 可划分为:⼈⼯采集数据、信息系统产⽣数据、感知设备产⽣数据、原始数据、⼆次加⼯数据等。 | |
| 按结构化特征分类 | 可划分为:结构化数据,如零售、财务、⽣物信息学、地理数据等;⾮结构化数据,如图像、视频、传感器数据、网页等;半结构化数据,如应⽤系统⽇志、电⼦邮件等。 | |
| 按存储⽅式分类 | 可划分为:关系数据库存储数据、键值数据库存储数据、列式数据库存储数据、图数据库存储数据、⽂档数据库存储数据。 | |
| 按稀疏程度分类 | 可划分为:稠密数据和稀疏数据 | |
| 按处理时效性分类 | 可划分为:实时处理数据、准实时处理数据、批量处理数据。 | |
| 业务应⽤维度 | 按产⽣来源分类 | 可划分为:⼈为社交数据、电⼦商务平台交易数据、移动通信数据、物联⽹感知数据、系统运⾏⽇志数据等。 |
| 按业务归属分类 | 可划分为:⽣产类业务数据、管理类业务数据、经营类业务数据 | |
| 按流通类型分类 | 可划分为:可直接交易数据、间接交易数据、不可交易数据。 | |
| 按数据质量分类 | 可划分为:⾼质量数据、普通质量数据、低质量数据。 |
八、DB 52/T 1123-2016 政务数据 数据分类分级指南
| 分类 | 范围 |
| 主题分类 | 综合政务、经济管理、国⼟资源、能源、⼯业、交通、邮政、信息产业、城乡建设、环境保护、农业、⽔利、财政、商业、贸易、旅游、服务业、⽓象、⽔⽂、测绘、地震、对外事务、政法、监察、科技、教育、⽂化、卫⽣、体育、军事、国防、劳动、⼈事、民政、社区、⽂秘、⾏政、综合党团。 |
| ⾏业分类 | 农、林、牧、渔业;采矿业;制造业;电⼒、热⼒、燃⽓及⽔⽣产和供应业;建筑业;批发和零售业;交通运输、仓储和邮政业;住宿和餐饮业;信息传输、软件和信息技术服务业;⾦融业;房地产业;租赁和商务服务业;科学研究和技术服务业等 |
| 服务分类 | 惠民服务、服务交付⽅式、服务交付的⽀撑、政府资源管理。 |
政府数据的分级由数据的敏感程度划分,分为如下3个级别。
| 分级 | 释义 |
| ⾮敏感数据 | 此类数据为公开数据。政府部门无条件共享。 |
| 涉及⽤户隐私数据 | 此类数据为政府内部数据。原则上政府部门⽆条件共享,部分涉及公民法⼈、其他组织权益的敏感信息可在政府许可的情况下有条件共享。 |
| 涉及国家秘密数据 | 此类数据为涉密数据。依据法律法规决定是否共享。 |
九、TC260-PG-20212A 网络安全标准实践指南-网络数据分级分类指引
| 分类 | 范围 |
| 公民个人维度 | 个⼈信息 |
| ⾮个⼈信息 | |
| 公共管理维度 | 公共数据 |
| 社会数据 | |
| 信息传播维度 | 公共传播数据 |
| ⾮公共传播数据 | |
| ⾏业领域维度 | ⼯业数据、电信数据、⾦融数据、交通数据、⾃然资源数据、卫⽣健康数据等 |
| 组织运营维度 | ⽤户数据、业务数据、经营管理数据、系统运⾏与安全数据 |
按照该指引,数据可以分为核⼼数据、重要数据及⼀般数据。按照数据⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤,对个⼈、组织合法权益造成的危害程度,将⼀般数据从低到⾼分为1级、2级、3级、4级共四个级别。
| 类型 | 分级 | 释义 |
| 核⼼数据 | ⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤,会对国家安全产⽣⼀般危害、严重危害,会对公共利益造成严重危害的数据。 | |
| 重要数据 | ⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤,会对国家安全产⽣轻微危害,会对公共利益造成⼀般危害、轻微危害的数据。 | |
| ⼀般数据 | 1级数据 | 数据⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤,不会对个⼈合法权益、组织合法权益造成危害。 1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过⼤被⽤于关联分析。 |
| 2级数据 | 数据⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤,可能对个⼈合法权益、组织合法权益造成轻微危害。 2级数据通常在组织内部、关联⽅共享和使⽤,相关⽅授权后可向组织外部共享。 |
|
| 3级数据 | 数据⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤,可能对个⼈合法权益、组织合法权益造成⼀般危害。 3级数据仅能由授权的内部机构或⼈员访问,如果要将数据共享到外部,需要满⾜相关条件并获得相关⽅的授权。 |
|
| 4级数据 | 数据⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤,可能对个⼈合法权益、组织合法权益造成严重危害,但不会危害国家安全或公共利益。 4级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。 |
|