立法动态｜浙江省发布《数字化改革 公共数据分类分级指南》省级地方标准

《指南》根据公共数据具有的共同属性或特征，从数据管理、业务应用、安全保护、数据对象四大维度，将公共数据分成30余个子项。根据《指南》，今后在浙江，每一条公共数据都将被打上分类标签，经精细化分类、精准化标签，政府部门可对数据采取有效管理。

《指南》还根据公共数据遭泄露、破坏后，对国家安全、社会秩序、公共利益以及对公民、法人和其他组织的合法权益（受侵害客体）的危害程度，确定了公共数据的安全级别，共分为4级，由高至低分别为：敏感数据（L4级）、较敏感数据（L3级）、低敏感数据（L2级）、不敏感数据（L1级）。以下为各级数据的标准：

1.敏感数据（L4级）：

公共数据被破坏后有下列情形之一：对全社会、多个行业、行业内多个组织造成严重影响；对单个组织的正常运作造成极其严重影响；对人身和财产安全、个人名誉造成严重损害的为敏感数据（L4级）。这类数据的特征是有国家法律法规明确保护，只向特定的人员公开，一旦泄露会造成严重的经济损失和社会严重损害。敏感数据主要包括：银行账户异动信息、法人账号信息、财务报表、出院记录、门诊就诊记录、城乡居民财政补助信息等等。

2.较敏感数据（L3级）：

公共数据被破坏后有下列情形之一：对全社会、多个行业、行业内多个组织造成中等程度的影响；对单个组织的正常运作造成严重影响；对个人名誉造成中等程度的损害的为较敏感数据（L3级）。这类数据主要是企业的内部数据，一旦泄露会给企业带来直接经济损失或名誉损失；或是法律法规明确保护的个人隐私数据。泄露会给个人带来直接经济损失；以及用于一般业务使用，针对受限对象共享或开放的政府内部信息。较敏感数据主要包括：出口退税外贸企业申报情况信息、社保欠费企业信息、企业年报、社会保障卡、户口本、居住证、不动产权证等等。

3.低敏感数据（L2级）：

公共数据被破坏后有下列情形之一：对全社会、多个行业、行业内多个组织造成轻微影响；对单个组织的正常运作造成中等程度或轻微影响；对个人的合法权益造成轻微损害的为低敏感数据（L2级）。这类数据的特征是：用于一般业务使用，针对受限对象共享或开放的企业内部或公民个人数据；以及经规定程序审核后可向社会公开的总体数据或粗颗粒度数据。低敏感数据主要包括：空气环境监测信息、道路运输许可证信息、科研信用行业评价信息、社会组织严重违法失信名单、老年人优待证信息，无偿献血证信息等等。

4.不敏感数据（L1级）：

被破坏后对社会秩序、公共利益、行业发展、信息主体均无影响的公共数据称之为不敏感数据。这类数据已经被明示公开或主动披露，通过一般渠道即可获取。不敏感数据主要包括：企业信用评价信息、已向社会公示的企业信息、许可信息、处罚信息、律师年度评价情况信息、公民法律援助申请信息、个人信用评价信息等。

《指南》数据分级中的一大亮点是数据级别的可变更。具体而言，数据级别变更的主要因素包括聚合因素、体量因素、时效因素和加工因素。以聚合和加工因素为例，因业务需要将相同或不同级别的公共数据汇聚并进行分析、处理的，聚合数据的部门应对数据重新定级，且聚合数据安全级别一般不应低于所汇聚的原始数据的最高级别；对公共数据进行汇总、分析、加工后产生的，与原始数据存在较大差异的公共数据，在对其重新定级时，结果可高于、等于或低于原始数据。

同时，《指南》的附录还规定了公共数据分级保护基本要求，明确了不同敏感等级的数据，在数据采集、传输、存储、访问、共享、开放、销毁全流程的加密方式或保护策略。如在数据采集阶段，敏感数据（L4级）相比于较敏感数据（L3级），其保护手段除安全认证、校验、加密等外，还添了水印溯源等技术。