国内首个自贸试验区数据分类分级标准规范发布!
为进一步推动该政策落地,广泛听取企业意见建议,连日来,天津自贸试验区举办多场企业座谈会,邀请金融、国际贸易、汽车、航空、医疗健康、服务外包、气象等自贸试验区多个行业领域的代表企业,就如何实施数据分类分级管理等内容进行深入交流。
座谈会上,相关企业纷纷表示,加强数据分类分级管理,促进企业数据跨境安全便捷流动,是企业发展的迫切需要。此次《标准规范》的发布,对解决困扰企业的重要数据认定难题,为企业数据安全有序流动提供一个安全、稳定、透明的预期具有重要意义。
眼下,天津自贸试验区正以《标准规范》发布为契机,加快实施政策创新、场景挖掘、政策宣讲、产业服务等系列措施,助力企业数字化创新发展。天津自贸试验区创新发展局相关负责人表示,目前自贸试验区管委会已会同市级有关部门和各片区,组建专门工作队伍,在各片区召开多场现场宣讲会,广泛开展政策宣传和培训指导,对企业相关问题现场答疑解惑,并推动和辅导金融、租赁、气象、大宗贸易等领域多家企业申报重要数据目录。“下一步我们将梳理相关典型问题,发布政策解读,进一步方便企业申报。”该负责人表示。
《标准规范》适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级,将企业数据分成13大类40子类,从高到低分为核心、重要、一般3个级别,明确了重要数据的识别标准。
数据分类:企业数据分类由三层级构成,第一层级为13大类,如工业类;第二层级为40子类,如工业类下的智能汽车子类;第三层级的分类由数据处理者自行决定;
数据分级:企业数据分为核心数据、重要数据、一般数据3个级别,就重要数据判定,应参照相关法律、法规和规定,行业主管部门未明确判定标准时,可按照《天津规范》提出的标准识别。
中国(天津)自由贸易试验区企业数据
分类分级标准规范
为促进和规范中国(天津)自由贸易试验区(以下简称天津自贸试验区)企业数据安全有序流动,提升数据安全保护能力,依据《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》和《天津市促进大数据发展应用条例》等法律法规和政策规定,制定本规范。
一、实施目的
加快高水平对外开放,落实自贸试验区提升战略,在天津自贸试验区开展先行先试,对接国际高标准经贸规则,探索数据领域规则创新,建立天津自贸试验区数据分类分级保护制度,鼓励数据依法依规、安全有序流动。通过构建天津自贸试验区数据跨境流动管理新模式,解决企业数据跨境流动政策诉求,为企业数据出境提供便利,保障商业数据安全顺畅流动,有效提升天津自贸试验区营商环境。
二、总体要求
坚持以习近平新时代中国特色社会主义思想为指导,以总体国家安全观为根本遵循,贯彻落实党中央、国务院对数据安全工作的重大决策部署,推动天津自贸试验区对接国际高标准经贸规则,统筹发展和安全,在国家数据分类分级总体框架下开展天津自贸试验区企业数据分类分级工作,制定天津自贸试验区企业重要数据目录,促进商业数据自由流动,消费者权益充分保障,天津自贸试验区企业数据跨境流动安全有序,数据汇聚融合、共享开放、开发利用和安全保障能力进一步增强,制度型开放进一步加快,发挥天津自贸试验区先行先试的示范带动作用。
三、适用范围
本规范适用于天津自贸试验区内企业在生产经营过程中产生、收集、存储、传输和处理的数据的分类分级。涉及国家秘密的数据、政务数据的分类分级不包含在本规范适用范围之内,按照有关法律、法规和规定执行。
四、总体原则
遵循国家数据分类分级保护要求,按照数据所属行业领域进行分类分级管理,依据以下原则对数据进行分类分级。
(一)合法合规原则
天津自贸试验区企业开展数据分类分级应按照有关法律法规,遵循行业主管部门数据分类分级标准规范,优先对国家或行业主管部门有明确要求的数据进行识别和管理,满足相应数据安全管理要求。
(二)统筹兼顾原则
统筹发展和安全,既维护国家安全、保护数据安全,又有利于促进数据开发利用,推动数字经济和数字贸易加快发展。发挥政策创新优势,探索支持有序流动并有效保障安全的企业数据管理模式,促进天津自贸试验区内商业数据安全顺畅流动,构筑数字贸易发展新生态。
(三)通用性和隐私保护相统一原则
数据分类分级标准规范适用范围立足天津自贸试验区,面向更广泛对外开放场景,充分考虑通用性,力争覆盖天津自贸试验区的各类企业、各项业务,兼顾长远对外开放需求。注重个人信息隐私保护,在从国家安全角度考虑数据自身重要性的同时,关注并防范海量个人信息、个人隐私数据汇聚后可能对国家安全、公共利益和公民权益带来的影响。
(四)就高从严原则
采用就高原则确定数据级别,当多个因素可能影响数据分级时,按照可能造成的各个影响对象的最高影响程度确定数据级别。
(五)动态更新原则
根据数据的业务属性、重要性和可能造成的危害程度的变化,对数据分类分级、重要数据目录等进行定期审核更新。
五、术语和定义
(一)核心数据
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据,一旦被非法使用或共享,可能直接影响政治安全。主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。
(二)重要数据
特定领域、特定群体、特定区域或达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。仅影响组织自身或公民个体的数据,一般不作为重要数据。
(三)一般数据
核心数据、重要数据之外的其他数据。
(四)数据分类
按照数据具有的某种共同属性或特征(包括数据对象共享属性、开放属性、应用场景等),采用一定原则和方法进行区分和归类,以便于管理和使用数据。
(五)数据分级
数据分级目的是差异化保护数据安全,按照数据遭到破坏(包括攻击、泄露、篡改、非法使用等)后对国家安全、社会稳定、公共利益以及个人、法人和其他组织的合法权益(受侵害客体)的危害程度对数据进行定级,为数据全生命周期管理的安全策略制定提供支撑。
(六)天津自贸试验区
天津自贸试验区于2014年12月由国务院批准设立,2015年4月正式挂牌运行,是全国第二批、北方第一个自贸试验区。规划面积119.9平方公里,包括天津机场片区、天津港东疆片区、滨海新区中心商务片区三个片区。其中,天津机场片区是天津先进制造业和研发转化的重要集聚区,重点发展航空航天、装备制造、新一代信息技术等高端制造业和研发设计、航空物流等生产性服务业。天津港东疆片区是中国北方国际航运中心和国际物流中心的核心功能区,重点发展航运物流、国际贸易、融资租赁等现代服务业。滨海新区中心商务片区是天津市金融改革创新集聚区,重点发展金融创新、总部经济、跨境电子商务、科技信息服务、文化传媒创意等现代服务业。
六、数据分类机制
按照国家部委关于各领域数据分类分级标准规范要求,结合天津自贸试验区企业应用需求和数据管理实际,将自贸试验区内企业在生产经营过程中收集、存储、使用、加工、传输、提供、公开的数据按照所属行业性质分类,依次分为三层,每个层级又分成若干类目管理。同一层级的类目构成并列关系,不同层级类目构成隶属关系。
一层分类划分为战略物资和大宗商品类、自然资源和环境类、工业类、国防科技工业类、电信类、广电视听传媒类、金融类、交通运输类、卫生健康和食品药品类、公共安全类、互联网服务和电子商务类、科学技术类以及其他数据类共十三类。
二层分类是在一层分类的基础上,将十三类数据细分为四十个子类别。
(一)战略物资和大宗商品类
1.石油、石化和天然气。包括存储与交易数据、国际贸易数据、战略储备数据等。
2.农产品。包括国际合作数据、国际贸易数据、战略储备数据等。
(二)自然资源和环境类
3.地理信息。包括基础地理信息数据,可细分为定位基础数据、地名地址数据、地形地貌数据、其他基础地理信息数据;遥感影像数据,可细分为原始影像数据、影像产品数据和其他遥感影像数据等;专题地理信息数据,可细分为自然资源、生态环境等领域的专题地理信息。
4.气象。包括气象监测数据、空间大气监测数据、气象保障数据、区域气象数据、雷达基数据、气象台站元数据等。
5.海洋。包括海洋环境数据、海洋资源数据。
6.环保。包括反映污染物排放水平的自行监测、接受行政处罚或其他污染物排放等数据。
7.水利。包括水利业务数据、水利工程建筑信息模型等水利基础数据,水旱灾害灾情综合分析评价等数据。
(三)工业类
8.钢铁、有色金属。包括储量、产量、采购量等数据,国际合作数据、国际贸易数据等。
9.稀土。包括储量与开采数据、行业使用数据、出口数据等。
10.其他矿产。包括储量数据、国际合作数据、国际贸易谈判数据、与矿产有关的产业发展布局情况。
11.化学工业。包括生产作业场所和运输信息、生产销售信息、制作方法信息,民用爆炸物品行业相关数据信息。
12.电力。包括发电厂生产数据、输配电数据、建设运维数据。
13.电子信息。包括基础电子信息产品(关键芯片、操作系统、大型软件等)参数,源代码、集成电路布图等数据,产品测试数据,产品面向国防军工、政务等领域销售和服务情况。
14.民用核设施。包括民用核设施科研中的试验或测试数据,核设施相关设计和制造工艺信息,核设施运行监控数据。
15.工业装备。包括工业装备研发、应用、生产、销售、运维、管理数据。
16.智能汽车。包括智能汽车运行过程中获取的地理信息、人员流量、车辆流量等数据,智能汽车用户用车数据。
17.其他。包括工业互联网的网络、平台、安全保障相关数据,工业控制系统的参数、控制、运行维护、测试数据。
(四)国防科技工业类
18.国防科技工业类。包括经营管理、研发设计、生产制造、试验验证、维修保障等数据。
(五)电信类
19.电信。包括网络规划运维数据、安全保障数据、经济运行和业务发展数据、关键技术成果数据、用户注册信息等。
(六)广电视听传媒类
20.广播电视。包括广电网络规划建设类数据,广电安全播出运维、应急保障、调度指挥等信息,广电监测监管系统数据,用户注册信息等。
21.新媒体。包括未公开或限制公开媒体资源类文件,用户数字画像、推送地址等数据。
(七)金融类
22.银行。包括银行客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。
23.保险。包括保险机构客户数据、业务数据、经营管理数据、系统运行和安全管理数据等。
24.证券期货。包括投资者类数据、技术类数据、业务类数据等。
25.融资租赁。包括客户数据、企业交易数据、经营管理数据等。
(八)交通运输类
26.交通。包括铁路交通、公路交通、道路运输、城市交通、水路交通、民用航空、邮政管理、综合管理等数据。
(九)卫生健康和食品药品类
27.遗传资源。包括自然人基因数据、人类遗传资源信息等与种族、群体健康相关的数据。
28.健康医疗。包括医疗服务、电子病历、电子健康档案、医学研究等各类数据,健康数据、医疗救援保障数据、特定药品实验数据等,或对患者健康医疗数据的开发利用结果。
29.食品。包括食品安全溯源标识数据,食品生产中自动控制系统的参数和控制类数据。
30.药品。包括药品供应、药品审批过程中提交的实验数据,以及与药品生产流程、生产设施有关的试验数据。
31.生物安全。包括病毒研究或生物实验室相关数据。
32.疾控数据。包括突发公共卫生事件及与传染病相关的疫情、治疗、疫苗、死因等数据。
(十)公共安全类
33.物理安全。包括建筑基础数据、安保装备数据等。
34.网络安全。包括自贸试验区企业信息系统设计运行数据、网络设施拓扑架构数据、安全保障数据等。
(十一)互联网服务和电子商务类
35.服务外包。包括境外客户委托境内企业提供服务过程中收集、产生的数据或与重要服务客户有关的数据。开展数字贸易、跨境电商业务中收集、产生的数据或与重要服务客户有关的数据。
36.互联网平台服务。包括提供互联网服务过程中产生的各类数据。
(十二)科学技术类
37.属于出口管制法管制的相关数据。包括列入国家出口管制清单的相关物项数据。
38.知识产权和重大发现。包括涉及国防、国家安全或其他非公开的知识产权,其他能显著提升国家安全能力或直接影响国家安全的科研论文、观测数据、产业化成果等。
(十三)其他数据类
39.禁止出口限制出口技术。包括列入《中国禁止出口限制出口技术目录》所列技术有关的数据。
40.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、极地、深海、生物等安全的数据。
三层分类由数据处理者自行决定。
七、数据分级机制
数据分级旨在对数据要素进行全面梳理并确立适当级别。数据分级通过定量与定性结合方式开展,是数据安全管理和依法有序流动的基础工作。
天津自贸试验区企业数据从高到低分为核心数据、重要数据、一般数据3个级别。经综合判定,数据要素符合核心数据定义时,优先识别为核心数据;不符合核心数据定义时,优先识别为重要数据;依次判定不符合核心数据和重要数据定义时,识别为一般数据。
重要数据判定参照相关法律、法规和规定,结合本标准规范开展。如果行业主管部门已公开发布或已在行业内部发布本行业本领域数据分类分级标准规范,优先按照行业规范识别重要数据,行业主管部门未明确判定标准时,按照以下标准识别重要数据:
(一)统一识别规则
1.天津自贸试验区企业掌握的1000万人以上个人信息;100万人以上个人敏感信息;10万人以上且包含个人银行账户、个人保险账户、个人注册账户、个人诊疗数据等的个人敏感信息。
2.被国家认定为关键信息基础设施的运营者掌握的个人信息。
3.天津自贸试验区企业在研发设计过程、生产制造过程、经营管理过程中收集和产生的与行业竞争力、行业生产安全相关的高价值敏感数据。涉及国家安全的企业供应链相关数据。
4.天津自贸试验区企业掌握的关系国计民生领域的自动控制系统参数以及控制、运行维护、测试数据。
(二)战略物资和大宗商品类
石油、石化、天然气领域可能推算出涉及国家重大战略的重要领域运行状况、发展态势、增长速度等的产品产量数据、国际贸易数据等。粮食、棉花、食用植物油、食糖、肉类、乳制品等大宗农产品国际合作数据、国际贸易数据、战略储备数据,达到一定精度或未公开农产品地理信息数据。
(三)自然资源和环境类
达到国家规定的覆盖度、精度和尺度等,或表现敏感区域和目标的基础地理信息数据和遥感影像数据。服务军事、国防科研、高科技领域的各类气象监测数据。不宜公开发布的具有军事价值的海洋环境监测数据、灾害防御数据等。
(四)工业类
1.具有重要军用、民用价值的有色金属储量、产量、采购量等数据,国家钢铁、有色金属战略储备数据或战略性有色金属矿床的重要地质数据,富含重要伴生矿资源的矿区数据。我国独特掌握的稀土开采、冶炼等生产技术数据。大宗原材料信息,以及能够左右原材料采购定价权的数据。
2.天津自贸试验区企业掌握的重点危险化学品检测监控、关键工艺、设备运行、产量储量等数据。民用核设施领域科研试验数据,运行监控数据(核事故应急准备和响应所需数据除外)等。
3.电子信息行业先进技术、集成电路先进设计和制造技术、重大计算装备设计数据、算法和软硬件架构以及重要电子元器件设备国产化率等信息。智能汽车领域汽车OTA参数。规上工业企业使用的工业互联网或工业控制系统安全运行保障数据。
(五)国防科技工业类
与国家军事、经济、科技、网络安全相关的数据,综合反映国防科技工业重要企事业单位科研与生产能力的数据,汇总后能反映国防科技工业整体情况的数据,国防科技工业领域相关特色重要数据。
(六)电信类
基础电信骨干网络、应急通信部署类数据。
(七)广电视听传媒类
天津自贸试验区企业掌握的广电网络的规划建设、运行维护、关键资源(如IP地址、接入网资源等)以及被滥用可能导致意识形态安全、公共安全的新媒体数据。
(八)金融类
银行、保险、证券期货及融资租赁领域的机构安保信息,以及其处理的重要企事业单位业务数据,包括国防军工企业、关系国家安全企业的相关信息。
(九)交通运输类
铁路交通、公路交通、道路运输、城市交通、水路交通、民用航空、邮政管理等领域影响生产安全的控制类数据、施工建设过程中获取的自然资源类数据、未公开的线路图、关键站点等数据,以及被泄露、篡改可能造成重大交通事故的数据。
(十)卫生健康和食品药品类
反映种族整体情况或关系生物安全的遗传资源数据,关系国家安全、生命安全、人类自身安全的食品、药品、生物安全和疾控数据。
(十一)公共安全类
给社会稳定造成严重危害的重要目标基础数据、安保装备数据、敏感场所安保部署数据;关键信息基础设施或重要网络规划、安全运行数据。
(十二)互联网服务和电子商务类
在提供互联网服务过程中产生的可用来实施社会动员的数据,相关退伍人员等敏感人群数字画像数据,对军工、政府类客户记录和跟踪的数据。
(十三)科学技术类
与国家安全和利益、履行防扩散等国际义务相关属于出口管制法管制的数据。涉及国防、国家安全的知识产权数据。
(十四)其他数据类
其他可能影响国家政治、国土、军事、经济、文化、社会、科技、网络、生态、资源、核、海外利益、太空、极地、深海、生物等安全,符合重要数据定义的数据。
核心数据的确定,由国家有关部门在重要数据目录的基础上认定并书面通知企业和有关部门。
八、数据分类分级程序
(一)企业开展数据分类分级。企业根据本规范开展内部数据分类分级工作,形成企业数据目录,明确本企业重要数据,并向天津自贸试验区网络数据安全工作主管部门报送重要数据目录。
(二)汇总形成重要数据目录汇总表。天津自贸试验区网络数据安全工作主管部门梳理汇总企业报送的重要数据目录,形成天津自贸试验区重要数据目录汇总表,并报送天津市数据安全工作协调机制。
(三)审核确认重要数据。由天津市数据安全工作协调机制对天津自贸试验区重要数据目录汇总表进行确认,形成天津自贸试验区企业重要数据目录,并按程序报送国家数据安全工作协调机制办公室。相关认定结果及时反馈企业作为开展数据安全保护和跨境流动等工作的基础。
(四)数据分类分级变更。当企业因应用场景、业务调整导致数据发生较大变化时,要及时调整数据目录,涉及重要数据变化的,按程序重新报送重要数据目录。对于企业未报备,但经有关主管、监管部门评估达到核心数据、重要数据的,及时将相关数据纳入目录,并通知涉及企业加强数据安全保护。
(五)定期检查评估。天津自贸试验区网络数据安全工作主管部门定期评估本规范的有效性和应用情况,并根据实际需要适时调整修订本规范。