年12月31号,全国信息安全标准化技术委员会秘书处发布了《网络安全标准实践指南——网络数据分类分级指引》(以下简称“《指引》”),给出了网络数据分类分级的原则、框架和方法。
北京明朝万达科技股份有限公司作为该《指引》的技术支持单位,从专业角度为大家进行解读。编制单位与适用范围
全国信息安全标准化技术委员会(简称“信安标委”)是在信息安全技术专业领域内,从事信息安全标准化工作的技术工作组织。委员会负责组织开展国内信息安全有关的标准化技术工作,技术委员会主要工作范围包括:安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。
信安标委组织机构图
《实践指南》系列是由全国信息安全标准化技术委员会秘书处(简称“秘书处”)组织制定和发布的标准相关技术文件,旨在围绕网络安全法律法规政策、标准、网络安全热点和事件等主题,宣传网络安全相关标准及知识,提供标准化实践指引。
为贯彻落实《数据安全法》提出的“国家建立数据分类分级保护制度”要求,指导数据处理者开展数据分类分级工作,秘书处组织编制了《网络安全标准实践指南——网络数据分类分级指引》(简称“指引”),并于年12月31日正式公开发布。指引依据法律法规和政策标准相关要求,给出了网络数据分类分级的原则、框架和方法,适用于指导数据处理者开展数据分类分级工作,也可为主管监管部门进行数据分类分级管理提供参考。
原则与框架
定义网络数据
网络数据“简称数据,是指任何以电子方式对信息的记录”,指引中对网络数据给出了明确的定义,包括以电子方式记录的各种数据类型、各种文件格式、各种资讯来源以及各种硬件载体之上的信息,切忌望文生义,误以为网络数据仅指互联网上接收或发送的数据,或者网络承载的电子信息。一切电子形式的信息记录都是网络数据,均可应用本指引中原则、框架与方法指导、开展和管理分类分级工作。
数据项与数据集
本指引中简明扼要的阐明了数据分类分级的对象分为数据项和数据集,并且清晰易懂的介绍了数据项与数据集。在分类分级工作中要注意数据项与数据集是不同层级上的概念,数据项的概念比较复杂,在数据结构中数据项是数据不可分割的最小单位,在结构化数据分类分级工作中数据项就是数据库表的字段列;与之相对,非结构化数据文件是多个数据项的集合,数据集的分类识别与安全定级要依据就高从严原则,数据集合中安全级别最高的数据项的定级是本数据文件最低的安全级别,此外还要考虑数据规模是否会造成数据集的安全级别升高。
分类分级原则
数据分类分级按照数据分类管理、分级保护的思路,依据合法合规、分类多维、分级明确、就高从严、动态调整原则进行划分:
分类分级工作首重合规,优先对国家或行业有专门管理要求的数据进行识别和管理;
可以从多种视角和维度开展分类,推荐从便于组织或企业数据管理和使用角度进行分类;
分级标准必须明确,各级别数据应该界限分明,不同级别的数据应采取不同的保护措施;
包含多个级别数据项的数据集,必须按照数据项的最高级别对数据集进行定级;
因时间变化、政策变化、安全事件发生、不同业务场景的敏感性变化或相关行业规则不同,数据安全级别也有可能发生变化,因此数据分类分级进行定期审核并及时调整。
数据分类框架
便于数据管理和使用目的,本指引采用面分类法,从国家、行业、组织等视角给出了多个维度的数据分类参考框架,每个维度的数据也可采用线分类法进行细分:
a)公民个人维度:个人信息、非个人信息;
b)公共管理维度:广义公共数据(政务数据、狭义公共数据)、社会数据;
c)信息传播维度:公共传播信息、非公共传播信息;
d)行业领域维度:工业数据、电信数据、金融数据、交通数据、自然资源数据、卫生健康数据、教育数据、科技数据等(GB/T-国民经济行业分类);
e)组织经营维度:用户数据、业务数据、经营管理数据、系统运行和安全数据。
数据分级框架
指引从国家数据安全角度给出的数据分级基本框架,将数据从低到高分成一般数据、重要数据、核心数据共三个级别。核心数据、重要数据的识别和划分,按照国家和行业的核心数据目录、重要数据目录执行,目录不明确时可参考有关规定或标准。
由于一般数据涵盖数据范围较广,采用同一安全级别保护可能无法满足不同数据的安全需求。因此建议数据处理者在基本框架定级的基础上也可结合行业数据分类分级规则或组织生产经营需求,对一般数据进行细化分级。
数据分类管理
分类流程与步骤
数据处理者优先遵循国家、行业的数据分类要求,也可从组织经营维度进行数据分类,数据分类流程参考下图实施。
a)识别是否存在法律法规或主管监管部门有专门管理要求的数据类别,并对识别的数据类别进行区分标识,包括但不限于:
1)从公民个人维度识别是否存在个人信息;
2)从公共管理维度识别是否存在公共数据;
3)从信息传播维度识别是否存在公共传播信息。
b)从行业领域维度,确定待分类数据的数据处理活动涉及的行业领域:
1)如果该行业领域存在行业主管部门认可或达成行业共识的行业数据分类规则(《指引》附录C中包含了工业、电信、金融行业的数据分级规则与数据分级对应关系参考),应按照行业数据分类规则对数据进行分类;
2)如果该行业领域不存在行业数据分类规则,可从组织经营维度结合自身数据管理和使用需要对数据进行分类,可参考下图实施;
3)如果数据处理涉及多个行业领域,建议分别按照各行业的数据分类规则对数据类别进行标识。
c)完成上述数据分类后,数据处理者可采用线分类法对类别进一步细分。
个人信息识别
通过分析特定自然人与信息之间的关系,符合下述情形之一的信息,可判定为个人信息:
a)可识别特定自然人:即从信息到个人,依据信息本身的特殊性可识别出特定自然人,包括单独或结合其他信息识别出特定自然人。(按照个人信息标识特定自然人的程度,可分为直接标识信息、准标识信息。)
b)与特定自然人关联:即从个人到信息,如已知特定自然人,由该特定自然人在其活动中产生的信息(如个人位置信息、个人通话记录、网页浏览记录等),可识别为个人信息。
《指引》中明确了可识别特定自然人的个人信息通过去标识化等处理后,如果达到无法识别特定自然人且不能复原的匿名化效果,那么处理后的信息不再属于个人信息。
直接标识信息,是指在特定环境下可单独唯一识别特定自然人的信息。常见的直接标识信息有:姓名、公民身份号码、护照号、驾照号、详细住址、电子邮件地址、移动电话号码、银行账户、社会保障号码、唯一设备识别码、车辆识别码、健康卡号码、病历号码、学号、IP地址、网络账号等。
准标识信息,是指在特定环境下无法单独唯一标识特定自然人,但结合其他信息可以唯一标识特定自然人的信息。常见的准标识信息有:性别、出生日期或年龄、国籍、籍贯、民族、职业、婚姻状况、受教育水平、宗教信仰、收入状况等。
个人信息分类
按照涉及的自然人特征,个人信息可分为个人基本资料、个人身份信息等16个类别,具体分类示例参考:
a)个人基本资料:个人基本情况信息,如个人姓名、生日、年龄、性别、民族、国籍、籍贯等。
b)个人身份信息:个人身份标识和证明信息,如身份证、军官证、护照、驾驶证、工作证、出入证、社保卡等证件信息。
c)个人生物识别信息:个人生物特征识别原始信息和比对信息,如人脸、指纹、步态、声纹、基因、虹膜等生物识别信息。
d)网络身份标识信息:网络身份标识和账户相关资料信息,如用户账号、用户ID、即时通信账号、头像、昵称、IP地址等。
e)个人健康生理信息:个人医疗就诊和健康状况信息,包括病症、住院志等个人医疗信息,和身高、体温等个人健康状况信息。
f)个人教育工作信息:个人教育培训、工作求职信息,包括学历、学位等个人教育信息,及个人职业、工作单位等个人工作信息。
g)个人财产信息:个人实体和虚拟财产信息,包括银行卡号等金融账户信息,交易订单等个人交易信息,收入状况、房产信息、虚拟财产等个人资产信息,及借款信息、还款信息等个人借贷信息;
h)身份鉴别信息:用于鉴别用户身份的数据,如账户登录密码、银行卡密码、支付密码、账户查询密码、交易密码等;
i)个人通信信息:个人通信数据和内容,如通信记录,短信、彩信、话音、电子邮件、即时通信等通信内容等;
j)联系人信息:描述个人与关联方关系的信息,如通讯录、好友列表、群列表、电子邮件地址列表等;
k)个人上网记录:个人在使用业务服务过程中的操作记录和行为数据,如网页浏览记录、软件使用记录、点击记录等;
l)个人设备信息:个人设备标识信息和应用安装信息,不包括设备型号、品牌、厂商、屏幕分辨率等设备基本信息;
m)个人位置信息:描述能精确或粗略定位到个人的地理位置数据,包括精确位置信息、粗略位置信息等;
n)个人标签信息:根据个人上网日志等各类个人信息构建的,用于对个人用户分类分析的描述信息,如兴趣爱好、App偏好等;
o)个人运动信息:描述个人运动活动或状态的信息,如步数、运动时长等;
p)其他个人信息:作为上述个人信息的补充,如宗教、个人违法记录等。
公共数据识别与分类
符合以下任一情形的数据,可识别为(广义)公共数据:
a)各级政务机关在依法履行公共管理和服务职能过程中收集和产生的数据;
b)具有公共管理和服务职能的企事业单位和社会团体,在依法履行公共管理和服务职能过程中收集和产生的数据;
c)提供公共服务的组织,在开展公共服务(如供水、供电、供热、供气、教育、医疗、公共交通、通信、邮政、养老、环保等)过程中收集和产生的数据;
d)在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据。
公共数据分类,可参考以下规则实施:
a)政务数据的分类,优先按照国家或当地的电子政务信息目录进行分类,也可参考GB/T.4-《政务信息资源目录体系第4部分:政务信息资源分类》等相关电子政务国家标准执行;
b)如存在公共数据目录,按照公共数据目录规则进行分类;
c)如不存在公共数据目录,公共数据可按照主题、部门或行业领域进行分类,也可从数据共享、开放角度进行分类。
公共数据从共享、开放角度,可分成无条件共享/开放数据、有条件共享/开放数据、禁止共享/开放数据。
公共传播信息识别与分类
公共传播信息可通过判断信息是否具有公共传播属性进行识别,公共传播属性可参考以下任一原则判断:
a)已合法公开的信息;
b)以广泛传播为目的发布,接收者不特定;
c)在传播过程中事实上被广泛传播的信息;
d)即时通信服务平台的非个人通信信息,按照公共传播信息有关规定进行管理。
公共传播信息分类,从信息传播类型角度可分为以下类别:
a)公开发布信息;
b)可转发信息;
c)无明确接收人信息。
数据分级保护
分级要素与规则
数据分级主要从数据安全保护的角度,考虑影响对象、影响程度两个要素进行分级。影响对象包括国家安全、公共利益、个人合法权益、组织合法权益四个对象。影响程度从低到高可分为无危害、轻微危害、一般危害、严重危害。下表给出了针对各个危害对象的危害程度描述。
本指引中建议数据处理者按照数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对个人、组织合法权益造成的危害程度,将一般数据从低到高分为1级、2级、3级、4级共四个级别,分级规则详情参见:
a)1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析;
b)2级数据通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享;
c)3级数据仅能由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权;
d)4级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。
定级流程与步骤
数据处理者按照基本分级框架和一般数据分级规则对数据进行定级时,可参考下图实施。
a)按照国家和行业领域的核心数据目录、重要数据目录,依次判定是否核心数据、重要数据,如是则按照就高从严原则定为核心数据级、重要数据级,其他数据定为一般数据;
b)参照下表进行基本定级,确定核心数据、重要数据和一般数据级别;
c)按照一般数据分级规则或者所属行业共识的数据分级规则对一般数据进行定级,确定一般数据细分级别;
d)如果数据属于个人信息,应识别敏感个人信息、一般个人信息,对个人信息进行定级。
敏感个人信息识别
根据《中华人民共和国个人信息保护法》要求,按照个人信息一旦泄露或者非法使用,对个人合法权益造成的危害程度,个人信息可分为一般个人信息、敏感个人信息。
一般个人信息是指一旦泄露或者非法使用,对自然人个人信息权益造成轻微或一般影响,不易导致自然人的人格尊严、人身安全、财产安全受到侵害,例如网络身份标识信息。
敏感个人信息是指一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。下表给出了可能属于敏感个人信息的参考示例。
敏感个人信息判定,可通过分析个人信息遭到泄露或者非法利用对个人信息主体权益可能造成的影响,符合以下任一影响的可判定为敏感个人信息:
a)个人信息遭到泄露或者非法使用,可能直接侵害个人信息主体的人格尊严。例如,特定身份、医疗健康、犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息。
b)个人信息遭到泄露或者非法使用,不会直接侵害个人信息主体的人格尊严,但可能由于社会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严。例如因个人种族、宗教信仰、性取向遭到歧视性待遇。
c)个人信息遭到泄露或者非法使用,可能直接或间接危害个人信息主体的人身、财产安全。例如,泄露、非法使用家庭住址、家属关系等家庭相关信息,可能会为入室抢劫或绑架等犯罪所利用;个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。
个人信息定级
指引中对于个人信息定级,优先判定是否属于敏感个人信息,如果属于敏感个人信息,则定为一般数据4级。如果属于一般个人信息,则按照一般数据分级规则,分析影响程度确定属于哪个级别。一般数据的最低参考级别如下:
a)敏感个人信息不低于4级,一般个人信息不低于2级;
b)组织内部员工个人信息不低于2级;
c)有条件开放/共享的公共数据级别不低于2级,禁止开放/共享的公共数据不低于4级。
按照数据加工程度不同,数据通常可分为原始数据、脱敏数据、标签数据、统计数据、融合数据,其中脱敏数据、标签数据、统计数据、融合数据均属于衍生数据。数据加工程度维度数据分类见下表。
衍生数据依据就高从严原则,对照加工的原始数据集级别进行定级,同时按照数据加工程度也可进行升级或降级调整:
a)脱敏数据级别可比原始数据集级别降低,去标识化的个人信息不低于2级,匿名化个人信息不低于1级;
b)标签数据级别可比原始数据集级别降低,个人标签信息不低于2级;
c)统计数据如涉及大规模群体特征或行动轨迹,应设置比原始数据集级别更高的级别;
d)融合数据级别要考虑数据汇聚融合结果,如果结果数据汇聚了更多的原始数据或挖掘出更敏感的数据,级别需要升高,但如果结果数据降低了标识化程度等,级别可以降低。
私密个人信息识别
指引开创性的按照个人信息的私密程度,把个人信息分成私密个人信息、非私密个人信息。私密个人信息,是个人信息中不愿为他人知晓的个人隐私信息。
私密个人信息的判定,需要同时满足“秘密性”和“私人性”两个条件:
a)该信息为私人所享有,信息主体有权决定是否对该信息进行公开;
b)从社会公众的一般认知和价值认识综合权衡,该信息一旦泄露,会侵害个人的隐私权,但通常不会危害他人及公共利益。
在考虑场景的前提下,常见的私密个人信息有:身体缺陷、女性三围、心理特征、个人感情生活、性取向、未公开的违法犯罪记录、个人身体私密部位信息、个人私密录音等。
重新定级
数据安全定级完成后,出现下列情形之一时,应重新定级:
a)数据内容发生变化,导致原有数据的安全级别不再适用;
b)数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化;
c)多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;
d)因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并后的数据;
e)不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的数据;
f)因国家或行业主管部门要求,导致原定的数据级别不再适用;
g)需要对数据安全级别进行变更的其他情形。
数据发生变化导致安全级别变化的规则参见下表。
分类分级实施流程
数据处理者在开展数据分类分级时,按照下图所示流程实施,具体步骤包括:
a)数据资产梳理:对组织的数据资产进行全面梳理,包括以物理或电子形式记录的数据库表、数据项、数据文件等结构化和非结构化数据资产,明确数据资产基本信息和相关方,形成数据资产清单;
b)数据分类:从多个维度,建立自身的数据分类规则,参考数据分类流程对数据进行分类;
c)数据分级:建立自身的数据分级规则,对数据进行定级;
d)审核标识管理:对数据资产分类分级结果进行评审和完善,最后批准发布实施,形成数据资产分类分级清单。并对数据资产和数据分类分级进行维护、管理和定期审核。
e)数据分类分级保护:依据国家给出的关于核心数据、重要数据、个人信息、公共数据等安全要求,以及行业领域给出的数据分类分级保护要求,建立数据分类分级保护策略,按照核心数据严格管理、重要数据重点保护、个人信息安全合规和一般数据分级保护的思路,对数据实施全流程分类分级管理和保护。
作为中国新一代信息安全技术企业的代表厂商,明朝万达专注于数据安全、公共安全、云安全、大数据安全及加密应用技术解决方案等服务,历经十六年的积累和沉淀,客户覆盖金融、政府、公安、电信运营商等诸多行业。
公司始终以守护用户数据价值为己任,致力于让安全真正服务于业务发展,组建有一支以清华博士、硕士为骨干力量的核心团队,截止目前公司已申请发明专利余项,授权专利余项。在不断提高科研能力的同时,明朝万达注重技术与业务的深度融合,为客户提供量身定制的数据安全解决方案。
转载请注明:http://www.louisfeny.net/pxynxzz/9646.html
