交通运输数据安全分级和管控要求.docx

《交通运输数据安全分级和管控要求.docx》由会员分享，可在线阅读，更多相关《交通运输数据安全分级和管控要求.docx（21页珍藏版）》请在课桌文档上搜索。

1、交通运输数据安全分级和管控要求1范围本文件规定了交通运输数据安全分级、数据管控以及实施要求。本文件适用于交通运输数据安全管理过程中的数据定级和数据分级管控。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语GB/T352732020信息安全技术个人信息安全规范3术语和定义GB/T25069、GB/T352732020界定的以及下列术语和定义适用于本文件。3. 13.1交通运输数据transportationdat

2、a任何以电子或其他方式对公路水路建设、运营、服务、管理过程中所处理信息的记录。3.23.2个人信息persona1.information以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。3. 33.3敏感个人信息sensitivepersona1.information一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。3.43.4衍生数据deriveddata原始数据经过统计、关联、挖掘或者聚合等加工活动而产生的数据。3. 53.5数据脱敏datamasking通过一系列数据处理方法对原始数据进行处理以屏蔽敏

3、感数据的一种数据保护方法。4数据安全分级要求3.1 分级原则交通运输数据（以下简称“数据”）安全分级符合以下原则：a）边界清晰原则：不同级别应界限明确，并采用不同的管控手段和保护措施；b）就高从严原则：采用就高不就低的原则进行定级，当数据集包含多个级别的数据项时，按照数据项的最高级别对数据集进行定级；c）综合研判原则：既考虑单项数据分级，也考虑多个领域、群体或区域的数据汇聚融合后对数据规模、精度和深度的影响，综合确定数据级别；d）动态更新原则：数据级别可能因时间变化、政策变化、安全事件及不同业务场景的敏感性变化或相关业务规则不同而发生改变，应对数据分级进行定期审核并及时更新。4. 2分级框架根

4、据数据一旦遭到泄露、篡改、毁损、非法使用或共享，对国家安全、经济运行、社会稳定、公共健康和安全或者个人、组织合法权益造成的危害程度，将数据安全分级级别从高到低分为核心数据、重要数据、一般数据三个级别：a）核心数据：一旦遭到泄露、篡改、毁损、非法使用或共享，可能直接危害政治安全的重要数据，以及对国家安全其他领域安全造成严重危害的重要数据；b）重要数据：一旦遭到泄露、篡改、毁损、非法使用或共享，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全数据；注：重要数据不包括涉及国家秘密的数据，仅影响组织自身或公民个体的数据一般也不作为重要数据。c）一般数据：除重要数据、核心数据以外的其他数据。一般

5、数据可进一步进行安全分级，从高到低分为一般数据3级、一般数据2级和一般数据1级三个级别。4.3分级要素数据安全分级应考虑的要素主要包括数据的规模、精度、深度等。要素定义及常见考虑因素见表1。表1数据安全分级要素要素名称要素定义常见要素及举例规模数据描述对象覆盖的群体、区域的范围或数量大小。1 .数据存储量，如公路养护数据10GB。2 .群体规模，如北京市10万人网约车驾驶员数据，覆盖北京市网约车驾驶员群体的比例为80%；全国1000家水运工程建设企业数据，覆盖全水运工程建设企业群体的比例为60%o3 .区域范围，如北京全市公交车运行数据。表1（续）要素名称要素定义常见要素及举例精度数据的精确程

6、度。数据精度越高标识采集数据和真实数据的误差越小。1 .定位精度，如米级位置定位数据。2 .地图精度，如精度和比例尺优于开放标准的地图数据。3 .图像清晰度，如高速公路摄像头采集的720P视频。深度对数据描述对象的隐含信息挖掘的触达程度，或多维度细节信息的刻画程度。1 .科技成果，如包含“科技成果名称、完成单位、完成人”的数据，与包含“科技成果名称、完成单位、完成人、创新点、关键技术”的数据深度不同。2 .动态轨迹，如包含“车牌号、经度、纬度、定位时间”的数据，与包含“车牌号、经度、纬度、定位时间、车速、方向、海拔高度”的数据深度不同。4.4安全风险分析深度等要素，综合判定数据一旦遭到泄露、篡

7、改、毁损、非社会稳定、公共健康和安全，以及个人、组织合法权益。危无危害。危害对象和危害程度描述见表2。安全风险分析应结合数据的规模、精度、法使用或共享所危害的对象及危害的程度。危害对象主要包括国家安全、经济运行、害程度从高到低可分为严重危害、轻微危害、表2安全风险分析描述危害对象危害程度说明国家安全严重危害1 .对国土、军事、经济、社会、科技、网络、资源、深海等领域安全构成严重影响。2 .影响国家政治安全及中华民族伟大复兴历史进程。轻微危害对国土、军事、经济、社会、科技、网络、资源、深海等领域安全构成较小影响。无危害对国家安全不造成影响或造成的影响可忽略不计。经济运行严重危害1 .严重影响国家

8、重大战略政策正常实施。2 .导致一个省（自治区、直辖市）或多个省的大部分地区交通秩序混乱、交通业务处理能力丧失，对交通运输行业运行造成重大损失或负面影响。3 .导致公路水路关键信息基础设施运行中断4小时以上。4 .导致直接经济损失在5000万元以上。轻微危害1 .对国家重大战略政策落实带来较小影响。2 .导致一个地市或多个地市的大部分地区交通运行和服务收到影响，对交通运输行业运行造成较小损失或负面影响。3 .导致公路水路关键信息基础设施运行中断4小时以下。4 .导致直接经济损失在5000万元以下。无危害对经济运行不造成影响，或造成的影响可忽略不计。表2（续）危害对象危害程度说明社会稳定严重危害

9、1 .引起社会恐慌或社会动荡，影响范围波及到一个省（自治区、直辖市）或多个省的大部分地区，严重扰乱社会秩序。2 .导致交通运输从业者或其他自然人围堵党政机关、静坐请愿、集会闹事、游行罢工等事件，范围波及一个省（自治区、直辖市）或多个省的大部分地区，严重影响社会正常运行。3 .可能被境内外敌对势力、恐怖组织、极端个人等利用数据实施严重违法犯罪，对人民群众的生命和财产安全构成重大威胁，对社会稳定带来严重负面影响。轻微危害扰乱社会秩序或影响社会正常运行，范围波及一个地市或多个地市的大部分地区。无危害对社会稳定不造成影响，或造成的影响可忽略不计。公共健康和安全严重危害1 .引发重大或特别重大突发公共卫

10、生事件（II级或I级）。2 .导致重大事故或特别重大事故级别的安全生产事故。3 .导致超过50人以上遭受不可消除的、可能无法克服的影响，使自然人的人格尊严受到侵害或者人身安全受到危害，如导致长期的心理或生理疾病。轻微危害1 .引发较大（In级）或以下级别的重大突发公共卫生事件。2 .导致较大或以下级别的安全生产事故。3 .导致超过50人以下遭受不可消除的、可能无法克服的影响，使自然人的人格尊严受到侵害或者人身安全受到危害，如导致长期的心理或生理疾病。无危害对公共健康和安全不造成影响，或造成的影响可忽略不计。个人合法权益严重危害个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响，容易导

11、致自然人的人格尊严受到侵害或者人身、财产安全受到危害。如遭受无法承担的债务、诈骗、资金被盗用、失去工作能力、被解雇、健康状况恶化、导致长期的心理或生理疾病、导致死亡等。轻微危害个人信息主体可能会遭受一定程度困扰。如信用评分受损、名誉受损、造成歧视、付出额外成本、无法使用应提供的服务、造成误解、产生害怕和紧张的情绪、导致较小的生理疾病等。无危害对个人信息合法权益不造成影响，或造成的影响可忽略不计。组织合法权益严重危害可能导致组织遭到监管部门严重处罚（包括取消经营资格、长期暂停相关业务等），或者影响重要/关键业务无法正常开展的情况，造成重大经济或技术损失，严重破坏机构声誉，企业面临破产。轻微危害1

12、.可能导致组织遭到监管部门处罚（包括一段时间内暂停经营资格或业务等），或者影响部分业务无法正常开展的情况，造成较大经济或技术损失，破坏机构声誉。2可能导致诉讼事件，或在某一时间造成部分业务中断。无危害对组织合法权益不造成影响，或造成的影响可忽略不计。4.5分级方法4.5.1基本分级规则4.5.1.1依据本文件4.2分级框架、4.3分级要素和4.4安全风险分析，可参考以下规则确定数据级别。a）满足以下任一条件的数据，可考虑确定为核心数据：D数据一旦遭到泄露、篡改、毁损、非法使用或共享，可能直接对国家安全造成严重危害的，可考虑确定为核心数据；2）经有关部门评估确定的核心数据。b）满足以下任一条件的

13、数据，可考虑确定为重要数据：D数据一旦遭到泄露、篡改、毁损、非法使用或共享，可能直接对国家安全造成轻微危害；2）数据一旦遭到泄露、篡改、毁损、非法使用或共享，可能直接对经济运行造成严重危害；3）数据一旦遭到泄露、篡改、毁损、非法使用或共享，可能直接对社会稳定造成严重危害；4）数据一旦遭到泄露、篡改、毁损、非法使用或共享，可能直接对公共健康和安全造成严重危害；5）经交通运输部评估确定的重要数据。c）满足以下任一条件的数据，可考虑确定为一般数据：D数据一旦遭到泄露、篡改、毁损、非法使用或共享，仅影响组织和个人合法权益；2）经国家有关部门、各行业各领域主管（监管）部门和各地区、各部门等评估，均未被确

14、定为核心数据和重要数据的数据。4.5.1.2核心数据、重要数据、一般数据三个级别与安全风险的判定关系符合表3的规定。表3基本级别与安全风险的判定关系基本级别危害对象和危害程度国家安全经济运行社会稳定公共健康和安全个人合法权益风险组织合法权益风险核心数据严重危害重要数据轻微危害严重危害严重危害严重危害一般数据无危害轻微危害、无危害轻微危害、无危害轻微危害、无危害无危害、轻微危害、严重危害无危害、轻微危害、严重危害4.5.2一般数据分级规则4. 5.2.1一般数据分级规则如下。a） 3级数据：数据一旦遭到泄露、篡改、毁损、非法使用或共享，可能对个人或组织合法权益造成严重危害。3级数据仅能由授权的内

15、部机构或人员访问，如果要将数据共享到外部，应经过严格审批、评估后才能够共享或传播。b） 2级数据：数据一旦遭到泄露、篡改、毁损、非法使用或共享，可能对个人或组织合法权益造成轻微危害。2级数据通常在组织内部、关联方共享和使用，相关方授权后方能向组织外部共享。c） 1级数据：数据一旦遭到泄露、篡改、毁损、非法使用或共享，不会对个人和组织合法权益造成危害。1级数据具有公共传播属性，能够对外公开发布、转发传播，但也应考虑公开的数据量及类别，避免由于类别较多或者数据量过大被用于关联分析。4.5.2.2一般数据级别与安全风险之间的判定关系符合表4的规定。表4一般数据级别与安全风险的判定关系一般数据安全级别

16、安全风险个人合法权益风险组织合法权益风险3级数据严重危害严重危害2级数据轻微危害轻微危害1级数据无危害无危害4.5.3个人信息分级规则4. 5.3.1如果数据包含个人信息，其数据分级在遵循本文件4.5.1至4.5.2基础上，还应遵循以下规则：a）超过一百万人以上的个人信息数据集首先判定是否为重要数据、核心数据，如不属于重要数据，其数据集的安全级别不低于一般数据3级；b）敏感个人信息数据安全级别不低于一般数据3级；c）非敏感个人信息数据安全级别通常不低于一般数据2级。4.5.3.2个人信息和敏感个人信息的识别、示例可参考附录A。4.6分级步骤4.6.1交通运输数据应按照以下步骤进行分级：a）确定

17、分级对象：确定待分级的数据，如数据项、数据集、衍生数据等；b）按照国家发布的核心数据、重要数据目录及有关识别要求，依次判定数据是否为重要数据、核心数据，如是则按照相关要求定为重要数据级、核心数据级；c）在国家相关要求基础上，或国家核心数据、重要数据目录不明确时，依据本文件4.5.1依次判定数据是否为重要数据、核心数据，确定其为重要数据级、核心数据级；d）经过以上两步尚未确定级别的数据为一般数据级别；e）依据本文件4.5.2对一般数据进行定级，确定一般数据细分级别。注1.数据安全分级的对象通常是数据项、数据集，数据项是数据库表的某一列字段，数据集是由多个数据项组成的集合，如数据库表、数据文件等。

18、注2：对于原始数据级别已经确定的情况，其衍生数据的级别确定可基于原始数据级别基础上进一步判断，具体规则参考附录B。4.6.2数据分级步骤示意见图1。图1数据分级步骤4.7数据知悉范围数据的知悉范围宜首先考虑该数据的安全级别。数据共享和开放属性、共享和开放条件等内容与数据安全级别关系见附录C。4.8数据级别动态更新4.8.1更新情形4. 8.1.1数据级别确定后，出现下列情形之一时，应对数据级别进行及时更新：a）数据内容发生变化，导致原定的数据级别不再适用；b）数据内容未发生变化，但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生变化,导致原定的数据级别不再适用；c）多个原始数据直接合

19、并，导致原定的数据级别不再适用合并后的数据；d）因对不同数据选取部分数据进行合并形成新的数据，导致原定的数据级别不再适用合并后的数据;e）不同数据类型经汇聚融合形成新的数据，导致原定的数据级别不再适用汇聚融合后的数据；f）因国家或行业主管部门要求，导致原定的数据级别不再适用；g）需要对数据安全级别进行变更的其他情形。4.8.1.2数据发生变化导致安全级别变化的规则见附录Do4.8.2重要数据目录更新重要数据或核心数据级别及其有关信息发生变化的，应及时更新重要数据目录。4.8.3个人信息级别更新个人违规、违法等内容，依法依规公开、公示后，数据安全级别应下降1级。超过一年以上的个人行踪数据安全级别

20、应降低至一般2级或一般1级。5.1总则数据管控依据数据安全级别采用分级保护思路，管控措施贯穿数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理过程环节。数据管控要求分为基本管控要求和分级管控要求。5.2基本管控要求1.1.1 1数据收集应确保数据来源可信和传输过程中的不被篡改，保证数据的准确性、完整性与合规性，并对所收集数据的安全级别进行标识。1.1.2 数据存储应根据数据安全级别采取分级分域的存储处理方式，明确各类数据保存期限，同时建立数据备份与恢复机制，明确数据备份范围、频率、工具、过程、日志记录等要求，定期检测备份数据有效性。并应对分布式处理过程中不同数据副本节点数据的完整性和

21、一致性进行定期检测。1.1.3 数据使用应确保在数据收集声明或授权范围内使用数据。使用其他部门提供的数据时，按照不低于数据提供方的安全要求和约定的使用条件落实数据安全管理和防护措施。1.1.4 数据加工应保证对数据进行的计算、分析、可视化等加工操作的合规性，能够识别发现因数据加工、二次关联等产生新的敏感数据。加工其他部门提供的数据时，不得对数据水印等溯源技术进行清洗。1.1.5 数据传输应建立相关的安全防护措施对数据传输过程实施数据完整性校验，根据数据级别和不同的传输需求，采用适当的加密保护措施对传输信道进行加密，并按照分区分域原则在不同网络安全区域采取不同级别的加密传输措施，保障数据在传输过

22、程中的完整性、保密性和可信任性。1.1.6 数据提供向其他部门提供数据时应明示数据安全级别，明确数据安全要求，并可根据数据业务特点和数据安全级别对数据保存期限、数据接口调用频次等使用条件进行进一步约定。提供数据以数据共享、开放为目的,应符合相关法律法规和政策制度要求，保证合规性；有条件共享、有条件开放的数据提供方应明确共享条件或开放条件。1.1.7 数据公开公开数据前应依据数据级别进行必要的安全风险评估，履行必要的审批流程。公开数据时依据应用场景按最小够用原则进行必要的脱敏处理，其中个人信息脱敏应保证去标识化。1.1.8 数据删除应及时对超出保存期限的数据、本地临时数据采用适当技术手段进行删除

23、、销毁。建立覆盖数据处理全过程的身份鉴别、访问控制、权限分级、日志和安全审计管理机制，严格控制外包、临时工作人员数据访问权限。5. 3分级管控要求6. 3.1总体要求针对以下不同安全级别的数据，应分别从管理和技术两个维度明确具体的管控措施：a） 一般1级数据：实施基本的内部安全管理措施，实施基本的数据处理全过程安全管理；b） 一般2级数据：实施必要的内部安全管理措施、审批制度及应急处置措施，并将相关的安全责任落实到项目负责人，签订负责人安全承诺，必要时实施加强的数据处理全过程安全管理；采用必要的技术措施保障数据安全；建立安全预警机制；c） 一般3级数据：实施加强的内部安全管理措施、审批制度及应

24、急处置措施，并将相关的安全责任落实到接触数据个人，签订个人安全承诺，实施加强的数据处理全过程安全管理；在收集、转移用户个人信息时应征得用户同意；采用加强的技术措施保障数据安全；建立准实时安全预警机制；d）重要数据：实施严格的内部安全管理措施、审批制度及应急处置措施，并将相关的安全责任落实到接触数据个人，签订个人安全承诺，实施严格的数据处理全过程安全管理；在收集、转移用户个人信息时应征得用户同意；采用严格的技术措施保障数据安全；建立实时安全预警机制；e）核心数据：按国家有关规定执行最严格的管控措施。5.3.2一般1级数据满足本文件5.2基本管控要求，数据访问控制主体粒度为用户或用户组级，客体粒度

25、为文件/数据表级。5.3.3一般2级数据满足一般1级数据安全防护要求基础上，还应提供以下保护措施：a）数据收集：跟踪和记录数据收集过程，保障数据收集过程的可追溯性，实现安全域外溯源；b）数据存储：提供有效的访问控制机制，防止数据被非授权访问；c）数据使用：生产数据用于测试时，应进行不可逆脱敏处理；d）数据加工：能对数据加工处理的异常行为发现并告警；e）数据传输：采用技术措施保证鉴别信息（指用于鉴定用户身份是否合法的信息，如用户登录各种业务系统的账号和密码、服务密码等）传输的保密性；f）数据提供：应对数据提供过程进行监控记录，确保可追溯；g）数据公开：2级数据公开前应履行必要的审批流程；数据公开

26、涉及个人信息的，脱敏处理宜参考附录E；h）数据删除：删除、覆写数据并格式化；i）数据全过程处理：记录用户所有操作日志，对数据输入、输出日志进行审计；访问控制主体粒度为用户级，客体粒度为文件/数据表级；对访问、使用数据的用户应至少采用用户名和口令方式进行身份认证，口令需定期更新或采用短信动态口令。5.3.4一般3级数据在满足一般2级数据安全防护要求基础上，还应提供以下保护措施。a）数据收集：跟踪和记录数据收集过程，保障数据收集过程的可追溯性，实现安全域内、域外溯源。对收集系统进行接入鉴权，限制其IP地址、端口号等，同时进行基于账号密码的认证鉴权，防止恶意工具非法收集数据；记录异常收集行为并告警。

27、b）数据存储：必要时对3级数据字段采用符合国家要求的密码算法进行加密存储；提供基于角色的细粒度访问控制机制，支持对密码算法、强度和方式等参数的可选配置，能够检测到数据在存储过程中完整性受到破坏，对数据重大操作应纳入多人操作管理模式，确保单人无法拥有重要数据的完整操作权限。c）数据使用：对不具有访问权限的应用请求访问3级数据等非授权行为进行监测并告警；对不带条件的SQ1.3级数据查询行为等授权行为的非合规参数的数据访问行为进行监测并告警。d）数据加工：控制数据的计算区域，保证数据在可控范围内计算；数据处理平台内所有组件之间应开启令牌等安全认证。e）数据传输：采用加密信道或专线传输。对传输过程中传

28、输中断的情况给予告警，对传输过程中目标文件库的存储量超过设定阈值的情况给予告警，确保数据在传输过程中数据的机密性和完整性不受到破坏。f）数据提供：3级数据提供之前应履行严格的审批流程。能够对获得授权的用户提供多种数据脱敏算法，供数据管理员灵活选择和配置；能够实现对数据的屏蔽、隐藏，使数据管理员能够灵活控制返回给用户的数据流中的敏感信息，从而达到敏感数据保护的目的。提供统一的数据使用访问接口，提供基于用户名、IP地址以及用户名等多种方式的认证及细粒度权限控制。本节中对数据使用的要求同样适用于本条。g）数据公开：3级数据公开应自行组织安全风险评估，并将评估结果报有关主管部门备案。h）数据删除：删除

29、、覆写数据并格式化，然后对磁盘进行消磁。D数据全过程处理：记录所有用户操作日志、数据流转日志并对其审计；访问控制主体粒度为用户级，客体粒度为文件/数据表或字段级；对访问、使用数据的用户应采用双因子或数字证书方式进行身份认证；采用必要的脱敏展示、密文展示、IP/MAC地址绑定等方式限定数据运维终端。5.3.5 重要数据在满足一般数据安全防护要求基础上，还应提供以下保护措施。a）数据收集：禁止通过contro1.,USB口等设备拓展接口进行数据访问；对关键的数据收集设备进行物理隔离，并采用多人分级分权形式进行设备的管理、维护；对重复收集和传输量超过设定阈值的情况给予告警。b）数据存储：对重要数据采

30、用符合国家要求的密码算法进行加密存储；能够检测到数据在存储过程中完整性是否受到破坏，并在检测到完整性错误时采取必要的恢复措施；提供基于数据库列级别的细粒度访问控制机制。数据备份实施多重备份机制，其中至少1份备份介质存放于同城或异地安全区域。c）数据使用：能对异序执行行为发现并告警，对接口调用、指令执行间隔异常发现并告警，对长时间执行某一条SQ1.或访问某块数据的应用行为监测并告警；支持对Hive不同操作的独立授权（如SE1.ECT.INSERT.CREATE等），支持对URI进行授权，以实现数据导入导出的权限控制。d）数据加工：对上层应用数据量异常访问的行为进行发现并告警。e）数据传输：传输过

31、程对数据内容进行加密。f）数据提供：重要数据提供之前应履行严格的审批流程。能针对不同用户和不同敏感数据可根据需求动态配置不同的敏感数据脱敏算法，提供细粒度的敏感数据保护，管理员可以配置用户查询特定数据库的特定表的特定列时的脱敏算法，在保证脱敏的同时不影响用户体验。本节中对数据使用的要求同样适用于本条。g）数据公开：重要数据不公开。h）数据删除：删除行为应报部有关主管部门备案。i）存储处理重要数据的信息网络和应用系统要落实三级及以上网络安全等级保护要求。j）还应满足国家和行业对重要数据的其他安全管理要求。5.3.6 核心数据存储处理核心数据的信息网络和应用系统要落实四级及以上网络安全等级保护或关

32、键信息基础设施保护要求。核心数据管控应按国家有关要求采取更严格的措施。6安全分级和管控实施要求6.1 在开展数据分级和落实管控时，宜按照以下流程实施：a）数据资源梳理：制定数据资源描述策略，并根据已制定的策略对数据资源进行全面梳理，包括数据库表、数据项、数据文件等结构化和非结构化数据，梳理形成数据目录；b）数据分级：依据本文件第4章，开展数据定级；c）上报审核标识：对数据分级结果进行上报、审定和完善，最后发布实施，在数据目录基础上补充定级标识信息，形成数据分级清单；核心数据和重要数据应编入重要数据目录（此目录包含核心数据、重要数据），并按照国家数据安全工作协调机制和交通运输部规定的流程报送，目

33、录编制内容参见附录F；超过一百万人以上的个人信息也应按照国家有关要求报送数据目录；d）数据分级管控：依据国家给出的关于核心数据、重要数据、个人信息等安全要求，同时依据本文件第5章，对数据实施处理全过程管理和保护。6.2 数据安全分级和管控实施流程见图2。数据资源梳理 制定数据资源描述策略 数据资源梳理 形成数据目录开展数据定级数据发生变化/审核不通过 识别重要数据 识别核心数据 一般数据定级上报审核标识 上报数据定级结果（含重要数据目录、核心数据目录） 数据分级结果审定 发布实施 数据分级标识 维护管理更新数据分级管控 实施数据分级管控策略 核心数据严格管理 重要数据重点保护 个人信息安全合规

34、 一般数据全过程分级保护图2数据安全分级和管控实施流程附录A（资料性）个人信息识别及参考示例A.1个人信息识别通过分析特定自然人与信息之间的关系，符合下述情形之一的信息，可识别为个人信息。a）识别特定自然人：从信息到个人，依据信息本身的特殊性可识别出特定自然人，包括单独或结合其他信息识别出特定自然人。按照个人信息标识特定自然人的程度，可分为。D直接标识信息：在特定环境下可单独唯一识别特定自然人的信息。特定环境即个人信息使用的具体场景，如在一个具体的机构，通过员工编号可以直接识别出一个具体的职工。常见的直接标识信息有：姓名、公民身份证号码、护照号、驾驶证号、详细住址、电子邮件地址、移动电话号码、

35、银行账户、车辆识别码、职业资格证号、IP地址、网络账号等。2）准标识信息：在特定环境下无法单独唯一标识特定自然人，但结合其他信息可以唯一标识特定自然人的信息。常见的准标识信息，如性别、出生日期或年龄、国籍、籍贯、民族、职业、受教育水平等。注：个人信息通过去标识化等处理后，如果达到无法识别特定自然人且不能复原的匿名化效果，处理后的信息不再属于个人信息。b）与特定自然人关联：从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息，如个人位置信息、个人通话记录、网页浏览记录等，可识别为个人信息。A.2敏感个人信息识别敏感个人信息的识别，可通过分析个人信息遭到泄露或者非法利用对个人合法权益

36、可能造成的影响，符合以下任一影响的可判定为敏感个人信息。a）个人信息遭到泄露或者非法利用，可能直接侵害个人信息主体的人格尊严。例如医疗健康、未公开的违法犯罪记录等信息属于一旦泄露即侵害人格尊严的敏感个人信息。b）个人信息遭到泄露或者非法利用，不会直接侵害个人信息主体的人格尊严，但可能由于社会偏见，歧视性待遇而间接侵害个人信息主体的人格尊严。例如因个人种族、宗教信仰遭到歧视性待遇。c）个人信息遭到泄露或者非法利用，可能直接或间接危害个人信息主体的人身、财产安全。例如，泄露、非法使用家庭住址等相关信息，可能会为入室抢劫等犯罪所利用。A.3个人信息举例在交通运输数据中，个人信息主要包括个人基本信息、

37、个人身份信息、个人教育工作信息、个人财产信息、个人轨迹位置信息、个人违法违规信息、个人生理健康信息、身份鉴别信息以及其他个人信息。其中个人基本信息的家庭住址、个人财产信息、个人轨迹位置信息、未公开的个人违规违法信息、个人生理健康信息、身份鉴别信息属于敏感个人信息，个人身份信息在能够与敏感个人信息关联的情况下也应视为敏感个人信息。个人信息分类及具体内容举例见表A.1。表A.1个人信息分类及具体内容举例序号数据类别具体内容举例1个人基本信息姓名、生日、性别、国籍、民族、家庭住址、手机号、固定电话、邮箱地址、通信地址等2个人身份信息身份证号、护照号、驾驶证号、工作证号、执法证号、照片等3个人教育工作

38、信息职业、职位、工作单位、学历、学位、教育经历、工作经历、工作记录、资格证书、培训记录、考试信息，从业过程中的良好行为、奖励表彰、失信行为、信用等级及评分等4个人财产信息高速公路ETC卡等金融账户信息、交易和消费记录等5个人轨迹位置信息行踪轨迹、实时定位等6个人违规违法信息违规、违法记录7个人生理健康信息与个人身体健康状况、病史相关的信息8身份鉴别信息账户登录密码、USBKEY.动态口令、U盾、短信验证码、个人数字证书等9其他个人信息用户账号、车牌号等A. 4个人信息定级参考示例交通运输典型个人信息定级参考示例见表A.20表A.2交通运输典型个人信息定级参考示例序号数据名称数据类别数据内容数据

39、项参考级别数据集参考级别1道路运输从业人员基本信息个人基本信息从业人员户籍地行政区划、姓名、性别、民族一般数据2级一般数据2级个人身份信息证件号码一般数据2级个人教育工作信息技术职称、文化程度、从业资格类别、从业资格证号、从业资格证初领证日期、有效期止、证照状态、从业资格证发证日期一般数据2级2水运工程和交通支持系统工程评标专家信息个人基本信息姓名、性别、单位、出生日期、籍贯、办公电话、手机、通讯地址、邮编一般数据2级般数据3级个人身份信息身份证号一般数据2级个人教育工作信息职务、职称、所学专业、从事专业、毕业学校、学位、专家库类别、参与项目名称、是否参加一般数据2级3安全生产举报管理信息个人

40、基本信息举报人姓名、地区、举报联系人手机、电话、邮箱、举报地区邮编一般数据2级般数据3级个人基本信息举报联系人地址一般数据3级个人教育工作信息证书编号、所属公司编号、举报内容一般数据2级附录B（资料性）衍生数据分级规则B. 1衍生数据分类按照对原始数据的加工程度不同，衍生数据通常可分为脱敏数据、标签数据、统计数据、融合数据等。衍生数据不同类别参考表B.1。表B.1衍生数据分类及示例数据类别类别定义数据示例脱敏数据对原始数据中的敏感信息通过数据变形、去标识化、匿名化等手段进行处理形成的数据。如脱敏后的手机号码186*70标签数据对用户个人敏感属性等数据进行区间化、分级化、统计分析后形成的非精确、

41、模糊化的特征性数据。如把经常超时驾驶人员标识为“存在高风险驾驶行为”。统计数据即群体综合性数据，是由多个对象的数据进行统计计算或分析后形成的数据。如群体用户位置轨迹统计信息，群体统计指数，出行统计数据、统计分析报表等。融合数据对不同业务目的或地域的数据汇聚，进行关联、挖掘或聚合形成的数据。如多个业务领域、多个地市的数据整合、汇聚等。C. 2衍生数据定级衍生数据宜依据数据加工程度对照原始数据级别进行定级，在原始数据级别基础上进行升级或降级调整。其分级遵循以下原则：a）脱敏数据级别一般比原始数据集级别低，如去标识化、匿名化的个人信息应酌情降级；b）标签数据级别一般比原始数据集级别低，个人标签信息应

42、酌情降级；c）统计数据如涉及大规模群体特征或行动轨迹，应设置比原始数据级别更高的级别，尤其是未公开的统计数据；d）融合数据级别要考虑数据汇聚融合结果，如果结果数据汇聚了更多的原始数据或挖掘出更敏感的信息，级别应升高，但如果结果数据降低了敏感性，级别应酌情降低。附录C（资料性）不同数据安全级别知悉范围数据共享开放属性、共享开放条件与数据安全级别关系见表C.1。表C.1数据共享开放属性、共享开放条件与数据安全级别关系安全级别共享属性共享条件开放属性开放条件一般1级无条件共享无条件开放一般2级无条件共享有条件开放依申请开放等一般3级有条件共享用于一定范围、某些方式和业务场景的共享有条件开放或不予开放

43、开放条件可包括开放时间、开放方式、开放范围等重要数据有条件共享用于特定范围、特定方式和特定业务场景的共享。共享过程应经过严格审批。国家相关法律法规或政策制度明确不得共享的除外不予开放核心数据有条件共享或不与共享用于特定范围、特定方式和特定业务场景的共享。共享过程应经过严格审批不予开放附录D（资料性）数据安全级别变化规则数据安全级别变化示例见表D.1。表D.1数据安全级别变化示例措施或情形安全级别变化数据体量增加到特定规模导致对社会影响增大升级达到国家有关部门规定的精度的数据升级关联多个组织机构、业务部门的数据升级大量多维数据进行关联升级发生特定事件导致数据敏感性增强升级数据已被公开或披露降级数

44、据进行脱敏或删除敏感字段降级数据进行去标识化、假名化、匿名化降级数据发生特定事件导致数据失去敏感性降级附录E（资料性）个人信息去标识化脱敏措施参考示例个人信息去标识化脱敏措施参考示例见表E.1。表E.1个人信息脱敏措施参考示例个人信息字段脱敏措施参考示例姓名两个字或三个字的至少隐藏1个字，大于三个字的至少隐藏2个字，示例：*明身份证号显示最后四位，其他隐臧，例：*4136证件有效日期和失效日期显示后4位，其他隐藏，示例：*0423手机号码显示前3位和后4位，其他隐藏，示例：186*8937邮箱地址前小于等于5位的隐藏前2位；大于5位的，保留前3位其余隐藏。示例：1.eyu脱敏后为*yu,158

45、901234567脱敏后为158*家庭住址长度大于12时，只显示前6位，不足12位显示不超过50%,其他隐藏，示例：北京市西*车牌号保留地区编码和流水号最后2位，其余隐藏，不例：川AN*77银行卡号保留前4位和最后4位，中间用*代替。例如95553301202106561234脱敏后为9555*1234行踪轨迹直接删除或将其置为NU1.1.值附录F（资料性）重要数据目录编制内容F.1重要数据目录编制内容包括但不限于：a）数据基本情况，包括数据类别、数据级别、数据载体、数据来源、数据数量、详细描述等；b）责任主体情况，包括重要数据处理这单位名称、主要负责人、数据安全负责人及其联系方式等；C）数据处理情况，包括数据使用或共享的范围和方式、是否出境、是否跨主体流动等；d）数据安全情况，包括数据安全风险评估情况、工作所依据的数据分类分级管理标准规范、开展评估的时间和评估结论、整改措施等。F.2重要数据目录表样见表F.1。JT/TXXXXXXXX表F.1重要数据目录表样序号数据基本情况数据处理者情况数据处理情况网络安全关键信息施安全保等保和基础设护情况备注数据名称*业务领域*数据类别*数据级别*数据载体*数据来源*数据数量（单位：GB）*数据数量（