《中国(天津)自由贸易试验区企业数据分类分级标准规范.docx》由会员分享,可在线阅读,更多相关《中国(天津)自由贸易试验区企业数据分类分级标准规范.docx(18页珍藏版)》请在优知文库上搜索。
1、中国(天津)自由贸易试验区企业数据分类分级标准规范为促进和规范中国(天津)自由贸易试验区(以下简称天津自贸试验区)企业数据安全有序流动,提升数据安全保护能力,依据中华人民共和国数据安全法中华人民共和国网络安全法中华人民共和国个人信息保护法和天津市促进大数据发展应用条例等法律法规和政策规定,制定本规范。一、实施目的加快高水平对外开放,落实自贸试验区提升战略,在天津自贸试验区开展先行先试,对接国际高标准经贸规则,探索数据领域规则创新,建立天津自贸试验区数据分类分级保护制度,鼓励数据依法依规、安全有序流动。通过构建天津自贸试验区数据跨境流动管理新模式,解决企业数据跨境流动政策诉求,为企业数据出境提供
2、便利,保障商业数据安全顺畅流动,有效提升天津自贸试验区营商环境。二、总体要求坚持以习近平新时代中国特色社会主义思想为指导,以总体国家安全观为根本遵循,贯彻落实党中央、国务院对数据安全工作的重大决策部署,推动天津自贸试验区对接国际高标准经贸规则,统筹发展和安全,在国家数据分类分级总体框架下开展天津自贸试验区企业数据分类分级工作,制定天津自贸试验区企业重要数据目录,促进商业数据自由流动,消费者权益充分保障,天津自贸试验区企业数据跨境流动安全有序,数据汇聚融合、共享开放、开发利用和安全保障能力进一步增强,制度型开放进一步加快,发挥天津自贸试验区先行先试的示范带动作用。三、适用范围本规范适用于天津自贸
3、试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级。涉及国家秘密的数据、政务数据的分类分级不包含在本规范适用范围之内,按照有关法律、法规和规定执行。四、总体原则遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。(一)合法合规原则天津自贸试验区企业开展数据分类分级应按照有关法律法规,遵循行业主管部门数据分类分级标准规范,优先对国家或行业主管部门有明确要求的数据进行识别和管理,满足相应数据安全管理要求。(二)统筹兼顾原则统筹发展和安全,既维护国家安全、保护数据安全,又有利于促进数据开发利用,推动数字经济和数字贸易加快发展。发挥
4、政策创新优势,探索支持有序流动并有效保障安全的企业数据管理模式,促进天津自贸试验区内商业数据安全顺畅流动,构筑数字贸易发展新生态。(三)通用性和隐私保护相统一原则数据分类分级标准规范适用范围立足天津自贸试验区,面向更广泛对外开放场景,充分考虑通用性,力争覆盖天津自贸试验区的各类企业、各项业务,兼顾长远对外开放需求。注重个人信息隐私保护,在从国家安全角度考虑数据自身重要性的同时,关注并防范海量个人信息、个人隐私数据汇聚后可能对国家安全、公共利益和公民权益带来的影响。(四)就高从严原则采用就高原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。(五
5、)动态更新原则根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。五、术语和定义(一)核心数据对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。(二)重要数据特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。仅影响组织自身或公民个体的数据,一般不作为重要数据。(三
6、)一般数据核心数据、重要数据之外的其他数据。(四)数据分类按照数据具有的某种共同属性或特征(包括数据对象共享属性、开放属性、应用场景等),采用一定原则和方法进行区分和归类,以便于管理和使用数据。(五)数据分级数据分级目的是差异化保护数据安全,按照数据遭到破坏(包括攻击、泄露、篡改、非法使用等)后对国家安全、社会稳定、公共利益以及个人、法人和其他组织的合法权益(受侵害客体)的危害程度对数据进行定级,为数据全生命周期管理的安全策略制定提供支撑。(六)天津自贸试验区天津自贸试验区于2014年12月由国务院批准设立,2015年4月正式挂牌运行,是全国第二批、北方第一个自贸试验区。规划面积119.9平方
7、公里,包括天津机场片区、天津港东疆片区、滨海新区中心商务片区三个片区。其中,天津机场片区是天津先进制造业和研发转化的重要集聚区,重点发展航空航天、装备制造、新一代信息技术等高端制造业和研发设计、航空物流等生产性服务业。天津港东疆片区是中国北方国际航运中心和国际物流中心的核心功能区,重点发展航运物流、国际贸易、融资租赁等现代服务业。滨海新区中心商务片区是天津市金融改革创新集聚区,重点发展金融创新、总部经济、跨境电子商务、科技信息服务、文化传媒创意等现代服务业。六、数据分类机制按照国家部委关于各领域数据分类分级标准规范要求,结合天津自贸试验区企业应用需求和数据管理实际,将自贸试验区内企业在生产经营
8、过程中收集、存储、使用、加工、传输、提供、公开的数据按照所属行业性质分类,依次分为三层,每个层级又分成若干类目管理。同一层级的类目构成并列关系,不同层级类目构成隶属关系。一层分类划分为战略物资和大宗商品类、自然资源和环境类、工业类、国防科技工业类、电信类、广电视听传媒类、金融类、交通运输类、卫生健康和食品药品类、公共安全类、互联网服务和电子商务类、科学技术类以及其他数据类共十三类。二层分类是在一层分类的基础上,将十三类数据细分为四十个子类别。(一)战略物资和大宗商品类1.石油、石化和天然气。包括存储与交易数据、国际贸易数据、战略储备数据等。2 .农产品。包括国际合作数据、国际贸易数据、战略储备
9、数据等。(二)自然资源和环境类3 .地理信息。包括基础地理信息数据,可细分为定位基础数据、地名地址数据、地形地貌数据、其他基础地理信息数据;遥感影像数据,可细分为原始影像数据、影像产品数据和其他遥感影像数据等;专题地理信息数据,可细分为自然资源、生态环境等领域的专题地理信息。4 .气象。包括气象监测数据、空间大气监测数据、气象保障数据、区域气象数据、雷达基数据、气象台站元数据等。5 .海洋。包括海洋环境数据、海洋资源数据。6 .环保。包括反映污染物排放水平的自行监测、接受行政处罚或其他污染物排放等数据。7 .水利。包括水利业务数据、水利工程建筑信息模型等水利基础数据,水旱灾害灾情综合分析评价等
10、数据。(三)工业类8 .钢铁、有色金属。包括储量、产量、采购量等数据,国际合作数据、国际贸易数据等。9 .稀土。包括储量与开采数据、行业使用数据、出口数据等。10 .其他矿产。包括储量数据、国际合作数据、国际贸易谈判数据、与矿产有关的产业发展布局情况。11 .化学工业。包括生产作业场所和运输信息、生产销售信息、制作方法信息,民用爆炸物品行业相关数据信息。12 .电力。包括发电厂生产数据、输配电数据、建设运维数据。13 .电子信息。包括基础电子信息产品(关键芯片、操作系统、大型软件等)参数,源代码、集成电路布图等数据,产品测试数据,产品面向国防军工、政务等领域销售和服务情况。14 .民用核设施。
11、包括民用核设施科研中的试验或测试数据,核设施相关设计和制造工艺信息,核设施运行监控数据。15 .工业装备。包括工业装备研发、应用、生产、销售、运维、管理数据。16 .智能汽车。包括智能汽车运行过程中获取的地理信息、人员流量、车辆流量等数据,智能汽车用户用车数据。17 .其他。包括工业互联网的网络、平台、安全保障相关数据,工业控制系统的参数、控制、运行维护、测试数据。(四)国防科技工业类18 .国防科技工业类。包括经营管理、研发设计、生产制造、试验验证、维修保障等数据。(五)电信类19 .电信。包括网络规划运维数据、安全保障数据、经济运行和业务发展数据、关键技术成果数据、用户注册信息等。(六)广
12、电视听传媒类20 .广播电视。包括广电网络规划建设类数据,广电安全播出运维、应急保障、调度指挥等信息,广电监测监管系统数据,用户注册信息等。21 .新媒体。包括未公开或限制公开媒体资源类文件,用户数字画像、推送地址等数据。(七)金融类22 .银行。包括银行客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。23 .保险。包括保险机构客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。24 .证券期货。包括投资者类数据、技术类数据、业务类数据等。25 .融资租赁。包括客户数据、企业交易数据、经营管理数据等。(八)交通运输类26 .交通。包括铁路交通、公路交通、道路运输、城市交通、
13、水路交通、民用航空、邮政管理、综合管理等数据。(九)卫生健康和食品药品类27 .遗传资源。包括自然人基因数据、人类遗传资源信息等与种族、群体健康相关的数据。28 .健康医疗。包括医疗服务、电子病历、电子健康档案、医学研究等各类数据,健康数据、医疗救援保障数据、特定药品实验数据等,或对患者健康医疗数据的开发利用结果。29 .食品。包括食品安全溯源标识数据,食品生产中自动控制系统的参数和控制类数据。30 .药品。包括药品供应、药品审批过程中提交的实验数据,以及与药品生产流程、生产设施有关的试验数据。31 .生物安全。包括病毒研究或生物实验室相关数据。32 .疾控数据。包括突发公共卫生事件及与传染病
14、相关的疫情、治疗、疫苗、死因等数据。(十)公共安全类33 .物理安全。包括建筑基础数据、安保装备数据等。34 .网络安全。包括自贸试验区企业信息系统设计运行数据、网络设施拓扑架构数据、安全保障数据等。(十一)互联网服务和电子商务类35 .服务外包。包括境外客户委托境内企业提供服务过程中收集、产生的数据或与重要服务客户有关的数据。开展数字贸易、跨境电商业务中收集、产生的数据或与重要服务客户有关的数据。36 .互联网平台服务。包括提供互联网服务过程中产生的各类数据。(十二)科学技术类37 .属于出口管制法管制的相关数据。包括列入国家出口管制清单的相关物项数据。38 .知识产权和重大发现。包括涉及国
15、防、国家安全或其他非公开的知识产权,其他能显著提升国家安全能力或直接影响国家安全的科研论文、观测数据、产业化成果等。(十三)其他数据类39 .禁止出口限制出口技术。包括列入中国禁止出口限制出口技术目录所列技术有关的数据。40 .其他可能影响国家政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、极地、深海、生物等安全的数据。三层分类由数据处理者自行决定。七、数据分级机制数据分级旨在对数据要素进行全面梳理并确立适当级别。数据分级通过定量与定性结合方式开展,是数据安全管理和依法有序流动的基础工作。天津自贸试验区企业数据从高到低分为核心数据、重要数据、一般数据3个级别。经综合判定,数据要素符合核心数据定义时,优先识别为核心数据;不符合核心数据定义时,优先识别为重要数据;依次判定不符合核心数据和重要数据定义时,识别为一般数据。重要数据判定参照相关法律、法规和规定,结合本标准规范开展。如果行业主管部门已公开发布或已在行业内部发布本行业本领域数据分类分级标准规范,优先按照行业规范识别重要数据,行业主管部门未明确判定标准时,按照以下标准识别重要数据:(一)统一识别规则1 .天津自贸试验区企业掌握的100O万人以上个人信息;100万人以上个人敏感信息;10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息。2 .