1. 标准概述

1.1 目的与意义

国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》的制定，旨在为数据分类分级管理工作提供标准化的指导和规范，以保障数据的安全性和保密性。该标准的实施有助于明确数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等，从而为数据安全管理提供科学、合理的依据。

• 该标准的发布，反映了国家对数据安全保护的高度重视，是响应当前数据安全形势的迫切需求，对于提升国家数据安全治理能力具有重要意义。

• 通过规范数据分类分级，可以更有效地识别和保护重要数据，尤其是对国家安全、经济运行、社会稳定具有重大影响的核心数据，确保这些数据不被非法获取、泄露或滥用。

1.2 适用范围

GB/T 43697-2024标准适用于各类组织和个人在数据处理活动中的数据分类分级工作，包括但不限于政府部门、企事业单位、科研机构等。该标准为不同领域和行业的数据安全管理提供了统一的框架和方法，有助于实现数据安全风险的可控性。

• 该标准不仅适用于传统的数据管理领域，也适用于新兴的大数据、云计算、人工智能等技术领域，确保了标准的前瞻性和实用性。

• 通过该标准的实施，可以促进数据安全技术的发展和创新，推动数据安全产业的健康成长，为数字经济的发展提供坚实的安全保障。

1.3 主要内容

GB/T 43697-2024标准明确了数据分类分级的原则、框架、方法和流程，并提供了重要数据识别指南。该标准的核心内容包括：

• 数据分类：根据业务特点和数据属性进行划分，如个人信息、商业秘密、国家秘密等，确保数据分类的科学性和合理性。

• 数据分级：根据数据的敏感性、重要性和潜在风险进行划分，如一般数据、重要数据、核心数据等，以实现数据保护的差异化和精准化。

• 重要数据与核心数据的界定：明确了重要数据和核心数据的定义、范围和保护要求，为关键数据的安全管理提供了明确指导。

• 数据分类分级的实施流程：包括数据识别、分类、分级、保护和审核等环节，确保数据分类分级工作的系统性和有效性。

2. 数据分类

2.1 分类原则

国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》明确了数据分类的三大原则：业务相关性、数据敏感性、风险可控性。

• 业务相关性原则要求数据分类应紧密结合组织的业务特点和需求，确保数据分类结果能够支持业务流程和决策。

• 数据敏感性原则强调数据的隐私和保密要求，对涉及个人隐私、商业秘密等敏感数据应给予更高级别的保护。

• 风险可控性原则指出数据分类应考虑数据泄露、滥用等潜在风险，通过分类实现对不同风险等级数据的差异化管理。

2.2 分类框架

该标准提出了一个多层次的数据分类框架，包括行业领域分类和业务属性分类两个维度。

• 行业领域分类将数据分为工业、电信、金融、能源、交通运输、自然资源、卫生健康、教育、科学数据等。

• 业务属性分类则进一步细分为业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等。

2.3 分类方法

标准建议采用以下方法进行数据分类：

• 结合行业特征和业务需求，明确数据分类的目标和范围。

• 识别和标注数据的敏感性和风险等级，为后续的分级保护提供依据。

• 利用自动化工具和算法辅助分类，提高分类效率和准确性。

• 定期审查和更新分类结果，确保数据分类与组织业务和安全需求保持一致。

3. 数据分级

3.1 分级原则

国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》提出了数据分级的五大原则，这些原则是数据安全管理和保护工作的基础。

• 合法合规原则：数据分级应遵循国家法律法规要求，确保数据安全管理符合国家数据安全法、网络安全法等相关法律法规的规定。

• 业务相关性原则：数据分级应考虑数据与业务的相关性，确保数据的分类和级别能够反映其在业务流程中的重要性和作用。

• 数据敏感性原则：数据分级应基于数据的敏感程度，包括数据泄露、篡改或损毁后可能造成的损害程度，以及数据的保密性、隐私性等。

• 风险可控性原则：数据分级应评估数据安全风险，确保分级后的数据能够得到相应级别的保护措施，以控制和降低数据安全风险。

• 动态调整原则：数据分级应根据数据使用环境、业务需求和技术发展等因素的变化，定期进行审查和调整，以保持数据分级的时效性和适应性。

3.2 分级框架

国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》建立了从低到高的数据分级框架，将数据分为一般数据、重要数据和核心数据三个级别。

• 一般数据：指在日常业务活动中产生的，对组织运行和个人权益影响较小的数据。这类数据通常不需要严格的保护措施，但仍然需要基本的安全保障。

• 重要数据：指对组织运行、个人权益或公共利益具有较大影响的数据。这类数据需要采取更为严格的保护措施，以防止数据泄露、滥用或非授权访问。

• 核心数据：指对国家安全、经济运行、社会稳定、公共健康和安全具有重大影响的数据。这类数据需要最高级别的保护，通常涉及国家秘密、关键基础设施信息等。

3.3 分级方法

国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》提供了一套系统的数据分级方法，包括数据分类、数据分级要素识别、数据影响分析和级别确定规则。

• 数据分类：首先根据数据的来源、内容、用途等属性进行分类，形成数据分类体系，为后续分级提供基础。

• 数据分级要素识别：分析数据的敏感性、重要性、潜在风险等要素，识别数据的关键属性和特征。

• 数据影响分析：评估数据泄露、篡改、损毁或非法使用等情况下可能影响的对象和影响程度，确定数据的安全风险等级。

• 级别确定规则：根据数据影响分析的结果，结合国家和行业标准，确定数据的具体级别，制定相应的数据保护措施。

4. 重要数据识别

4.1 识别指南

国家标准GB/T 43697-2024提供了一套系统的数据分类分级框架，旨在帮助组织和个人识别和保护重要数据。根据该标准，重要数据的识别应遵循以下指南：

• 领域相关性：识别与国家安全、经济运行、社会稳定、公共健康和安全直接相关的数据。

• 数据敏感性：评估数据的敏感程度，包括个人信息、商业秘密、国家秘密等。

• 风险可控性：分析数据泄露、篡改或损毁可能带来的风险，以及这些风险是否可控。

• 精度和规模：考虑数据的精度和规模，以及这些因素如何影响数据的重要性。

• 覆盖度和深度：评估数据的覆盖范围和深度，以及它们对决策和分析的影响。

4.2 核心数据与重要数据界定

根据GB/T 43697-2024标准，核心数据和重要数据的界定如下：

• 核心数据：指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。这主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，以及经国家有关部门评估确定的其他数据。

• 重要数据：指特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。这类数据通常具有较高的敏感性和风险性，需要特别的保护措施。

• 界定标准：核心数据和重要数据的界定应基于数据的特性、使用场景、潜在影响等多个维度进行综合评估。组织应根据国家标准和行业指导原则，结合自身业务特点，制定具体的数据分类分级标准和流程。

5. 标准实施与影响

5.1 实施时间

国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》已于2024年3月15日发布，预计将于2024年10月1日起正式实施。这一时间节点标志着中国在数据安全领域的法规体系进一步完善，为数据处理者提供了明确的分类分级指导，同时也为监管部门提供了执法依据。

5.2 预期影响

该标准的实施预期将对中国的数据安全环境产生以下几方面的影响：

• 提升数据安全意识：通过明确数据分类分级的要求，企业和组织将更加重视数据安全，从而提高整体的数据保护意识。

• 规范数据处理活动：标准提供了一套科学的分类分级方法，有助于企业和组织规范其数据处理活动，减少数据安全风险。

• 促进数据合理利用：明确的分类分级规则有助于企业和组织更合理地利用数据，平衡数据安全与数据流通的需要。

• 加强法律执行力度：为监管部门提供了明确的执法依据，有助于加强数据安全领域的法律执行力度，打击违法违规行为。

5.3 行业应用

《数据安全技术 数据分类分级规则》的行业应用将体现在以下几个方面：

• 金融行业：金融行业拥有大量敏感数据，该标准的实施将指导金融机构如何对客户信息、交易数据等进行分类分级，确保数据安全。

• 医疗健康行业：医疗数据的敏感性和重要性极高，该标准将帮助医疗机构和相关企业合理分类患者信息、遗传数据等，加强数据保护。

• 工业领域：工业数据的分类分级对于保护工业知识产权、商业秘密至关重要，该标准将促进工业企业加强数据安全管理。

• 互联网企业：互联网企业处理大量用户数据，该标准的实施将指导企业如何对用户数据进行分类分级，提高数据安全水平。

随着标准的实施，预计将有更多的行业和领域根据自身特点，制定更为详细和具体的数据分类分级指南，以满足国家标准的要求。同时，行业间的数据交流和合作也将在这一标准的指导下更加规范和安全。