随着数字浙江建设进入新阶段，为加强公共数据安全管理，统一规范公共数据类别和安全级别，《数字化改革 公共数据分类分级指南》（DB33/T 2350-2021）（以下简称《指南》）省级地方标准已于日前批准发布，将于8月5日起正式实施。

《指南》的制定与实施，有助于规范处理数据共享与开发、发展与安全、效率与公平的关系，促进公共数据共享开放和增值利用，强化全省数字化改革的数据安全基础，推进数字浙江整体智治，沉淀提炼出省域治理现代化的“浙江经验”。

附件：DB33T 2351-2021 数字化改革 公共数据分类分级指南

数字化改革 公共数据分类分级指南

1 范围

本标准规定了公共数据分类分级的一般要求、维度与方法。

本标准适用于公共数据的分类分级管理。公共管理和服务机构使用相关企业、第三方平台等数据的分类分级管理可参考执行。

本标准不适用于涉密公共数据的分类分级管理。

2 规范性引用文件

下列文件对于本标准的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本标准。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本标准。

GB/T 4754-2017 国民经济行业分类

GB/T 10113-2003 分类与编码通用术语

GB/T 25069-2010 信息安全技术 术语

GB/T 35295-2017 信息技术 大数据 术语

GB/T 38667-2020 信息技术 大数据 数据分类指南

3 术语和定义

GB/T 10113-2003、GB/T 25069-2010、GB/T 35295-2017和GB/T 38667-2020界定的以及下列术语与定义适用于本标准。

3.1 公共数据 public data

国家机关、法律法规规章授权的具有管理公共事务职能的组织（以下统称公共管理和服务机构）在依法履行职责和提供公共服务过程中获取的数据资源以及法律法规规章规定纳入公共数据管理范围的其他数据资源。

3.2 数据分类 data classification

按照公共数据具有的某种共同属性或特征（包括数据对象、重要程度、共享属性、开放属性、应用场景等），采用一定的原则和方法进行区分和归类，以便于管理和使用公共数据。

3.3 数据分级 date grading

按照公共数据遭到破坏（包括攻击、泄露、篡改、非法使用等）后对国家安全、社会秩序、公共利益以及个人、法人和其他组织的合法权益（受侵害客体）的危害程度对公共数据进行定级，为数据全生命周期管理的安全策略制定提供支撑。

4 数据分类

4.1 一般要求

4.1.1 应按照公共数据的多维特征及其相互间存在的逻辑关联进行科学、系统的分类。

4.1.2 使用的词语或短语应能准确表达数据类目的实际内容、内涵和外延，相同概念的用语应保持一致。

4.1.3 应结合现实需求，符合用户对公共数据区分和归类的普遍认知。每个类目下都有公共数据，不设没有意义的类目。

4.1.4 应保持与国家、地方、行业法律法规关于公共数据分类分级的标准和要求相一致，原则上同一分类维度内，同一条公共数据只分入一个类目。

4.2 分类维度

4.2.1 数据管理维度

应从元数据角度对公共数据资源目录中的数据进行数据管理维度分类，主要包括：

——数据产生频率；

——数据产生方式；

——数据结构化特征；

——数据存储方式；

——数据质量要求。

4.2.1.1 数据产生频率

根据数据产生的频率（单位时间内产生的数据量或达到指定数据量的频率）对数据进行分类，数据产生与更新的单位周期可分为：每秒、分、时、天、周、月、季度、半年、年，不定期，不更新等。

4.2.1.2 数据产生方式

根据公共数据产生方式可分为：人工采集数据、信息系统产生数据、感知设备产生数据，原始数据、二次加工数据等。

4.2.1.3 数据结构化特征

根据公共数据的结构化特征可分为：结构化数据、半结构化数据和非结构化数据。

4.2.1.4 数据存储方式

根据公共数据储存方式可分为：关系型数据库存储数据、键值数据库存储数据、列式数据库存储数据、图数据库存储数据、文档数据库存储数据等。

4.2.1.5 数据质量要求

根据数据完整性、时效性、准确性等维度的质量要求对数据进行分类。

4.2.2 业务应用维度

对公共数据资源目录中的数据进行业务应用维度分类，主要包括：

——数据产生来源；

——数据所属行业；

——数据应用领域；

——数据使用频率；

——数据共享属性；

——数据开放属性。其中数据产生来源、数据所属行业应按照GB/T 38667-2020中6.3 业务应用视角相关要求，具体行业领域分类可参照GB/T 4754-2017中第3章和第5章的相关要求。

4.2.2.1 数据应用领域

根据数据应用领域分类体现公共数据对数字化改革的支撑作用，可分为：党政机关整体智治、数字 政府、数字经济、数字社会、数字法治等领域。

4.2.2.2 数据使用频率

根据数据使用的频率进行分类，综合考虑数据的访问频次和分析引用层面可分为：冷数据、温数据、热数据。

——冷数据类包括离线的，长期存档的，很少被访问和使用的数据；

——温数据类包括经常被访问和使用的数据；

——热数据类包括是需要被计算节点频繁访问的在线类数据。

4.2.2.3 数据共享属性

根据数据共享属性可分为：无条件共享类、受限共享类和不共享类。

a) 可以提供给所有公共管理和服务机构共享使用的，为无条件共享数据。

b) 可以部分提供或者按照特定要求提供给相关公共管理和服务机构共享使用的，为受限共享数据。列入受限共享数据的，数据提供单位应当明确共享条件。

c) 不宜提供给其他公共管理和服务机构共享使用的，为不共享数据。列入不共享数据的，应当有明确的法律、法规、规章依据和国家、省有关要求。

d) 列入受限共享和不共享的数据，可以经脱敏、脱密等处理后向公共管理和服务机构提供，法律、法规另有规定的除外。

4.2.2.4 数据开放属性

根据数据开放属性可分为：禁止开放类、受限开放类、无条件开放类。其中，

a)禁止开放类包括：

1)开放后危及国家安全、公共安全、经济安全和社会稳定的；

2)涉及商业秘密、个人隐私的；

3)因数据获取协议或者知识产权保护等禁止开放的；

4)法律、法规规定不得开放的。

b)受限开放类包括：

1)涉及商业秘密、个人隐私，其指向的特定公民、法人或者其他组织同意开放，且法律、法 规未禁止的；

2)开放将严重挤占公共基础设施资源，影响公共数据处理效率的；

3)开放安全风险难以评估的；

4)依法经脱敏、脱密等处理的禁止开放类公共数据，符合受限开放的，应列为受限开放类公 共数据。

c)无条件开放类包括：

1)除禁止开放类与受限开放类公共数据以外的其他公共数据；

2)已脱敏、脱密等处理的禁止开放类与受限开放类公共数据，符合无条件开放的，可列为无 条件开放类公共数据。

4.2.3 安全保护维度

从数据的重要程度等对公共数据资源目录中的数据进行安全保护维度分类，包括：

——核心数据：对公共管理和服务机构履行社会管理职能或从事经营活动极其重要的公共数据；

——重要数据：公共管理和服务机构收集、产生、控制的不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及公共利益密切相关的公共数据；

——一般数据：公共管理和服务机构履行社会管理职能或从事经营活动等一系列活动中产生的可存储的公共数据，不包括核心数据和重要数据。

4.2.4 数据对象维度

对公共数据资源目录中的数据进行数据对象维度分类，包括：

——个人：指自然人，包括属性数据和行为数据；

——组织：指政府部门、企事业单位、其他法人和非法人组织、团体，包括属性数据和业务数据；

——客体：指非个人或组织的客观实体，如道路、建筑、视频捕捉设备等，包括属性数据和感应数据。

4.3 分类方法

公共数据分类相关方法可参照GB/T 38667-2020第8章的相关要求。

5 数据分级

5.1 一般要求

5.1.1 应客观且可被校验，即通过数据自身的属性和分级规则即可判定其分级。

5.1.2 公共数据的分级应与其共享、开放的类型、范围、审批和管理要求直接相关。

5.1.3 应按照就高从严原则确定数据级别。

5.1.4 应充分考虑数据聚合情况、数据体量、数据时效性、数据脱敏处理等因素。

5.1.5 数据集的级别应根据下属数据项的最高级来定级。

5.1.6 在多类数据中均出现的 “通用数据”，可根据实际内容独立分级。

5.1.7 应结合具体应用场景定级。

5.2 分级维度

根据公共数据破坏后对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益（受侵害客体）的危害程度来确定数据的安全级别，共分为4级，由高至低分别为：敏感数据（L4级）、较敏感数据（L3级）、低敏感数据（L2级）、不敏感数据（L1级），详细数据级别及分级参考判断标准见表1。

5.3 分级方法

应根据公共数据遭篡改、破坏、泄露或非法利用后，可能带来的潜在影响的范围和程度进行安全分级，其中：

——影响范围包括：国家安全，全社会、多个行业、行业内多个组织，单个组织或个人；

——影响程度包括：极其严重、严重、中等、轻微、无。

5.4 数据级别变更

5.4.1 主要因素

数据级别变更的主要因素包括：

a) 聚合因素；

b) 体量因素；

c) 时效因素；

d) 加工因素。

5.4.1.1 数据聚合因素

因业务需要将相同或不同级别的公共数据汇聚并进行分析、处理的，数据级别变更应遵循以下原则：

a) 聚合数据的部门应对数据重新定级；

b) 聚合数据安全级别一般不应低于所汇聚的原始数据的最高级别；

c) 原则上不允许原始数据落地，仅允许获取数据分析、处理后的结果。原始数据和临时数据使用应在中间存储环节有效清除。

5.4.1.2 数据加工因素

对公共数据进行汇总、分析、加工后产生的公共数据，若与原始数据之间存在较大差异，宜对新产生的公共数据重新定级，定级的结果可高于、等于、低于原始数据。

5.4.1.3 其他要求

已合法公开披露的公共数据可定为L1级。已脱敏数据可单独定级，经有效脱敏后的公共数据，可视情况降1级。法律法规规章未明确要求公开的个人信息等级不得低于L2级；法律法规明确保护的公共数据，数据安全等级应定为L3级以上；没有任何安全属性标识的公共数据，默认为L2级。

*来源：浙江省市监局