国家标准《信息安全技术 网络数据分类分级要求》（征求意见稿）

本标准在编制过程中遵循了问题导向原则、协调性原则。本标准旨在支撑《中华人民共和国数据安全法》第二十一条提出的数据分类分级保护制度的贯彻落实，解决由于缺乏国家统一的数据分类分级规则，导致相关国家数据安全制度、数据分类分级保护要求不易落地的问题。 本标准给出了数据分类分级基本原则、数据分类方法、数据分级框架和数据定级方法等，包括： 1)数据分类分级的基本原则; 2)数据分类框架和方法，包括数据分类框架、行业领域数据分类方法、处理者数据分类流程等; 3)数据分级框架; 4)数据分级确定方法，包括概述、数据分级要素、数据影响分析、分级参考规则、数据分级流程等; 5)数据分类分级实施流程; 6)基于数据描述对象的行业领域数据分类参考示例; 7)分级要素识别常见考虑因素; 8)影响对象考虑因素; 9)影响程度参考示例; 10)衍生数据定级参考; 11)动态更新情形参考; 12)一般数据分级参考; 13)个人信息分类示例。 与现行相关法律、法规、规章及相关标准的协调性 本标准与现行法律、法规以及国家标准不存在冲突与矛盾，与其他标准属于配套衔接关系。 法律方面，《中华人民共和国数据安全法》中提出“国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国 家 安 全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护”，《中华人民共和国个人信息保护法》也提出了“对个人信息实行分类管理”的要求。 政策方面，《关于构建更加完善的要素市场化配置体制机制的意见》指出“推动完善适用于大数据环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护”，《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出“完善适用于大数据环境下的数据分类分级保护制度”。国家标准方面，GB/T 35273-2020《信息安全技术 个人信息安全规范》给出了个人信息和个人敏感信息的类别及示例，GB/T 38667-2020《信息技术 大数据数据分类指南》提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导，GB/T 37973-2019《信息安全技术 大数据安全管理指南》提出了大数据安全管理基本原则以及大数据分类分级的流程。行业标准方面，JR/T 0197—2020《个人金融信息保护技术规范》、JRT 0197—2020《金融数据安全 数 据安全分级指南》、JR/T 0158—2018《证券期货业数据分类分级指引》给出了金融行业相关的数据分类分级指南，YD/T 3813-2020《基础电信企业数据分类分级方法》给出了基础电信企业数据的分类分级方法。地方标准方面，DB52/T 1123-2016《政府数据 数据分类分级指南》给出了贵州政府数据的分类分级指南。本标准充分借鉴和参考 上述 标准，且与GB/T35273-2020《信息安全技术 个人信息安全规范》等相关国家标准属于协调配套关系。