【资讯】GB/T 43697-2024《数据安全技术数据分类分级规则》发布

如何划分一般数据、重要数据、核心数据呢？3月21日，国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》（以下简称“国标”）正式发布，给出了数据分类分级的通用规则，为数据分类分级管理工作的落地执行提供重要指导。

据悉，该国标将于2024年10月1日起正式实施。值得注意的是，国标针对重要数据专门制定了识别指南。规范、准确识别涉及的重要数据和核心数据，是建立相应数据安全保护措施、推动数据有序跨境流动的前提。

国标的主要起草人之一、中国科学技术大学公共事务学院、网络空间安全学院教授左晓栋表示，国标的出台对于我国数据跨境流动安全管理制度的实施具有重大意义，回应了社会的普遍期待。

该国标的核心内容包含：

适用范围：适用于行业领域主管（监管）部门制定数据分类分级标准规范，适用于各地区、各部门和数据处理者开展数据分类分级工作。不适用于国家秘密和军事数据。
基本原则：数据分类分级遵循科学实用、边界清晰、就高从严、点面结合和动态更新的原则。
数据分类规则：数据按照行业领域分类，分为工业数据、电信数据、金融数据、能源数据、交通运输数据、自然资源数据、卫生健康数据、教育数据、科学数据等。再按业务属性细分，包括业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理和数据来源等。
数据分级规则：数据分级框架将数据分为核心数据、重要数据和一般数据三个级别，根据数据的重要程度和可能造成的危害程度进行分级。
数据分级要素：包括数据的领域、群体、区域、精度、规模、深度、覆盖度和重要性等。
数据影响分析：分析数据一旦遭到泄露、篡改、损毁或非法使用等情况下，可能影响的对象和影响程度。
级别确定规则：根据数据影响对象和影响程度，确定数据为核心数据、重要数据或一般数据。
数据分类分级流程：包括行业领域数据分类分级流程和处理者数据分类分级流程，涉及制定标准规范、开展分类分级、审核上报目录和动态更新管理等步骤。
附录：提供了基于描述对象与数据主体的数据分类参考、个人信息分类示例、数据分级要素识别常见考虑因素、安全风险常见考虑因素、影响对象考虑因素、影响程度参考示例、重要数据识别指南、一般数据分级参考、衍生数据分级参考和动态更新情形参考等。