附录  F
(资料性)
动态更新情形参考
数据分类分级完成后,当数据的业务属性、重要程度和可能造成的危害程度的变化时通常需要进行动态更新,动态更新常见情形包括但不限于:
a)数据内容发生变化,导致原有数据的安全级别不再适用;
b)数据内容未发生变化,但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生
显著变化;
c)多个原始数据直接合并,导致原有的安全级别不再适用合并后的数据;
d)因对不同数据选取部分数据进行合并形成的新数据,导致原有数据的安全级别不再适用合并
后的数据;
e)不同数据类型经汇聚融合形成新的数据类别,导致原有的数据级别不再适用于汇聚融合后的
数据;个人敏感信息
f)数据进行脱敏或删除关键字段,或者经过去标识化、假名化、匿名化处理;
g)发生数据安全事件,导致数据敏感性发生变化;
h)因国家或行业主管部门要求,导致原定的数据级别不再适用;
i)需要对数据安全级别进行变更的其他情形。
附录G
(资料性)
一般数据分级参考
G.1 一般数据分4级参考
按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对社会稳定、公共利益或个人、组织合法权益等造成的危害程度,将一般数据从低到高分为1级、2级、3级、4级共四个级别:
a)1级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,不会对个人权益、组
织合法权益造成危害。1级数据具有公共传播属性,可对外公开发布、转发传播,但也需考虑公开的数据量及类别,避免由于类别较多或者数量过大被用于关联分析;
b)2级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组
织合法权益造成一般危害。2级数据通常在组织内部、关联方共享和使用,相关方授权后可向组织外部共享;
c)3级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组
织合法权益造成严重危害。3级数据仅可由授权的内部机构或人员访问,如果要将数据共享到外部,需要满足相关条件并获得相关方的授权;
d)4级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组
织合法权益造成特别严重危害,或可能对公共利益、社会稳定造成一般危害。4级数据按照批准的授权列表严格管理,仅能在受控范围内经过严格审批、评估后才可共享或传播。
G.2 一般数据分3级参考
按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对社会稳定、公共利益或个人、组织合法权益等造成的危害程度,将一般数据从低到高分为1级、2级、3级共三个级别:
a)1级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组
织合法权益造成一般危害;
b)2级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组
织合法权益造成严重危害;
c)3级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组
织合法权益造成特别严重危害,或者可能对公共利益、社会稳定造成一般危害。
G.3 一般数据分2级参考
按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,对社会稳定、公共利益或个人、组织合法权益等造成的危害程度,将一般数据从低到高分为1级、2级:
a)1级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织权益造
成一般或严重危害;
b)2级数据:数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用,可能对个人权益、组织权益造成特别严重危害,或者可能对公共利益、社会稳定造成一般危害;
G.4 最低参考级别
一般数据分级要考虑敏感个人信息等特定类型数据的敏感性,特定类型数据最低参考级别包括:a)在一般数据分4级框架下,特定类型一般数据的最低参考级别如下:
1)敏感个人信息不低于4级,一般个人信息不低于2级;
2)组织内部员工个人信息不低于2级;
3)去标识化的个人信息不低于2级,匿名化个人信息不低于1级;
4)个人标签信息不低于2级;
5)有条件开放/共享的公共数据级别不低于2级,禁止开放/共享的公共数据或政务数据不低
于4级。
b)在一般数据3级框架下,敏感个人信息不低于3级,禁止开放/共享的公共数据或政务数据不低于3级。
c)在一般数据2级框架下,敏感个人信息不低于2级,禁止开放/共享的公共数据或政务数据不低于2级。
附录H
(资料性)
个人信息分类示例
表H.1给出了个人信息的一级类别、二级类别和相关数据示例。
表H.1 个人信息分类参考示例