《行业数据分类分级规范(试行)》.docxVIP

《行业数据分类分级规范(试行)》

行业数据分类分级工作以保障数据安全、促进数据合规利用为核心目标，覆盖行业内各主体在生产、运营、管理等活动中产生或采集的各类数据，包括但不限于业务运营数据、用户数据、管理数据、技术数据等。分类分级遵循“业务驱动、动态调整、最小必要、责任明确”原则，其中“业务驱动”指以实际业务需求为导向，结合数据在业务流程中的作用确定分类维度；“动态调整”要求根据业务变化、数据关联关系改变或安全风险升级及时更新分类分级结果；“最小必要”强调分类分级范围应与数据实际用途和安全保护需求相匹配，避免过度扩展；“责任明确”需明确数据分类分级各环节的责任主体及相应职责。

数据分类采用“基础维度+行业特色维度”的复合分类体系。基础维度包括数据来源（内部生成、外部采集）、数据形态（结构化、非结构化、半结构化）、数据生命周期（产生、传输、存储、使用、归档、销毁）；行业特色维度由各行业根据业务特性补充，例如金融行业增加“业务类型”维度（支付、信贷、理财），医疗行业增加“健康信息类别”维度（诊疗记录、检验报告、用药信息）。分类标签采用“基础维度代码+行业维度代码”的组合编码方式，如金融行业支付业务产生的结构化内部生成数据，编码为“J-R-S-N-P”（J代表金融，R代表内部生成，S代表结构化，N代表支付业务），确保分类标签的唯一性和可识别性。

数据分级以数据泄露、篡改、丢失可能造成的影响