数据安全每周观察 |GB/T 43697-2024《数据安全技术 数据分类分级规则》发布

近日，国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2024年第1号），全国网络安全标准化技术委员会归口的5项网络安全国家标准正式发布。具体清单如下：

《数据安全技术 数据分类分级规则》 为国家标准，由TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会，发布于2024年3月15日，将于2024年10月1日开始实施。

在信息化高速发展的今天，数据安全已成为国家、企业乃至个人必须面对的重要课题。GB/T 43697-2024《数据安全技术 数据分类分级规则》作为最新的数据安全管理标准，为我们提供了明确的数据分类分级指导。以下做主要介绍：

一、标准背景与意义

随着大数据、云计算、人工智能等技术的广泛应用，数据已成为推动社会发展的重要资源。然而，数据泄露、滥用等安全问题层出不穷，给国家安全、经济发展和个人隐私带来了严重威胁。因此，制定数据分类分级规则，对于加强数据安全管理、提升数据安全防护能力具有重要意义。

GB/T 43697-2024《数据安全技术 数据分类分级规则》旨在为我国数据安全管理提供统一、规范的标准，指导各单位根据自身业务特点和数据安全需求，合理划分数据类别和级别，制定相应的安全管理措施，从而确保数据的安全可控。

二、数据分类与分级原则

该标准明确了数据分类与分级的基本原则，包括业务相关性、数据敏感性、风险可控性等。具体而言，数据分类应根据业务特点和数据属性进行划分，如个人信息、商业秘密、国家秘密等；分级则应根据数据的敏感性、重要性和潜在风险进行划分，如一般数据、重要数据、核心数据等。

三、数据分类分级方法

标准中详细描述了数据分类分级的具体方法，包括数据识别、属性分析、风险评估等步骤。在实际操作中，各单位应根据自身情况，结合业务需求和数据特点，选择合适的方法进行分类分级。同时，标准还强调了数据分类分级的动态性，即随着业务发展和数据安全环境的变化，应及时调整数据分类分级结果。

四、数据安全管理与应用

数据分类分级是数据安全管理的基础，但仅仅分类分级是不够的。标准还强调了数据安全管理与应用的重要性，包括制定数据安全策略、建立数据安全组织、实施数据安全措施等。各单位应根据数据分类分级结果，制定相应的安全管理制度和措施，确保数据的安全可控。

此外，标准还提倡数据共享与利用的安全可控。在保障数据安全的前提下，推动数据的合理共享和有效利用，有助于发挥数据的最大价值，促进经济社会发展。

五、总结与展望

GB/T 43697-2024《数据安全技术 数据分类分级规则》为我国数据安全管理提供了有力的支撑。通过合理划分数据类别和级别，制定相应的安全管理措施，我们可以更好地保护数据安全，促进数据的合理共享和有效利用。

未来，随着技术的不断进步和业务的不断发展，数据安全将面临更多新的挑战和机遇。我们应继续深化对数据分类分级规则的研究和应用，不断完善数据安全管理体系，为数据安全保驾护航。

该标准的发布与实施，将有助于数据处理者、主管和监管部门等开展数据分类分级工作。

近日，国务院办公厅印发《扎实推进高水平对外开放更大力度吸引和利用外资行动方案》。

《方案》指出，要规范数据跨境安全管理，组织开展数据出境安全评估、规范个人信息出境标准合同备案等相关工作，促进外商投资企业研发、生产、销售等数据跨境安全有序流动。制定粤港澳大湾区跨境数据转移标准，依托横琴粤澳深度合作区、前海深港现代服务业合作区等重大合作平台，建立港澳企业数据跨境流动机制，探索建立跨境数据流动“白名单”制度，稳步推动实现粤港澳大湾区内数据便捷流动。

近日，国家金融监督管理总局修订发布了《消费金融公司管理办法》，并规定自2024年4月18日起施行。《办法》指出：

第三十九条  消费金融公司应当建立与信息系统运行管理模式相匹配的信息科技风险管理体系，强化网络安全、业务连续性、服务外包等领域的风险防控，保障数据安全及业务系统平稳、持续运行。

第四十七条  消费金融公司应当与合作机构签订合作协议。明确约定合作范围、双方权责、收益分配、风险分担、营销宣传、服务价格信息披露、消费者权益保护、数据保密、争议解决、违约责任以及合作机构承诺配合消费金融公司接受监管部门检查并提供有关信息和资料等内容，并要求合作机构不得将合作事项转包或变相转包。

第五十五条   消费金融公司应当建立消费者个人信息保护制度，坚持合法、正当、必要、诚信原则，保护消费者信息安全权。收集消费者个人信息应当向其告知收集使用的目的、方式和范围等。未经消费者同意，不得收集、存储、使用、加工、传输、提供、公开、删除个人信息，法律法规另有规定的除外。

近日，甘肃省人民政府办公厅正式印发《甘肃省“数据要素×”三年行动实施方案（2024—2026年）》（以下简称《实施方案》）。据悉，这是全国首个省级“数据要素×”三年行动方案。

《实施方案》响应《“数据要素×”三年行动计划（2024—2026年）》，因地制宜，结合甘肃省发展实际，在原有12个行业和领域基础上新增“数据要素×”绿色能源，同时强调突出：

要提升数据供给水平。加强数据采集、汇聚、加工、流通、应用等全流程管理，大力推进公共数据体系建设，开展公共数据授权开发利用，形成以数据换数据、以数据换技术、以数据换服务的新机制。按照“原始数据不出域、数据可用不可见”的要求，在保护个人信息、商业秘密、保密商务信息和确保公共安全的前提下，向社会提供数据产品和服务。

要加强数据安全保障。强化数据安全防护责任落实，贯彻落实国家网络安全法、数据安全法、个人信息保护法及关键信息基础设施安全保护条例等法律法规，加强数据分类分级保护、个人信息保护和全生命周期安全管理。制定重要数据和核心数据保护工作指南，对重要数据和核心数据进行有效保护。丰富数据安全产品，多部门协同加强数据安全合作，鼓励基础电信企业、数据安全企业、服务机构研发推广多层次、专业化、定制化数据安全产品，促进各行业各领域深度应用，推动数据安全产业高质量发展。培育数据安全服务，鼓励数据安全企业开展基于云端的安全服务，有效提升数据安全水平。

近期，在中共中央、国务院印发的“数据二十条”的基础上，北京、上海、广州等地陆续出台地方版“数据二十条”，加快完善数据基础制度，积极推进数据流通交易。3月19日，南京市数据局公开征求意见，研究出台《南京市委 市政府关于推进数据基础制度建设更好发挥数据要素作用的实施意见（征求意见稿）》。

《意见》以习近平新时代中国特色社会主义思想为指导，深入贯彻党的二十大精神和习近平总书记关于江苏工作重要指示精神，完整、准确、全面贯彻新发展理念，以维护国家数据安全、保护个人信息和商业秘密为前提，探索建立有利于数据安全保护、有效利用、合规流通的数据产权制度和实现路径，开展试点示范。强调加快形成数据要素治理新格局必须要：

健全数据安全管理机制。公共管理和服务机构承担本行业、本领域公共数据安全监管职责，落实国家相关法律法规要求，按照分类分级规则，结合本行业、本领域特点，制定公共数据分类分级实施细则，确定相应的监管防护措施。建立健全公共数据开发利用日常监测、安全风险评估、安全审查等机制，确保各参与主体在公共数据管理、需求审核、开发利用、技术支撑等全流程安全可控。督促指导企业按照本行业数据分类分级规范要求形成重要数据目录，对列入目录的数据进行重点保护。建立数据安全使用承诺制度，在数据采集汇聚、加工处理、流通交易、共享利用各环节，推动企业依法依规承担相应责任。规范企业参与政府信息化建设中的数据安全管理，确保有规可循、有序发展、安全可控。全面落实网络安全和数据安全主体责任，完善数据分类分级保护制度，厘清各方权责边界。依法依规加强个人信息保护，确保使用个人信息数据时的信息安全与个人隐私得到充分保障。加快完善数据安全配套规范，研究数据跨境、数据交易安全等方面的标准规范和制度性文件。

完善数据安全技术屏障。建设南京市可信数据空间，采用隐私计算、数据可控交换、数据 API 集成等一系列技术手段，保障数据在存储、使用、传输等过程中安全。升级可信帐户体系，打造“数据安全保险箱、数据流转工具箱、数据资产百宝箱”，为自然人、法人、非法人组织提供数据管家服务。完善数据安全技术体系，运用可信身份认证、数据签名、接口鉴权、数据溯源等数据保护措施和技术，实现数据安全与密码应用一体部署建设。强化对数据资源的安全防护，提高数据安全保障能力。加快数据安全核心技术创新突破，开展漏洞智能治理、隐私计算、零信任机制等领域核心技术攻关和应用，加强数据安全存储、可信传输、数据存证等国产化数据安全基础设施建设。

近日，西安未央网警成功打掉一个非法出售公民个人信息团伙，抓获犯罪嫌疑人124人，依法刑事拘留19人，冻结涉案银行卡账户13个，扣押电脑149台，查扣手机124部。

据调查，2023年10月，有群众举报自己在网上咨询法律业务时，对方声称可通过其所在的西安某某法律咨询公司查询各种包括银行卡、手机号等在内的公民个人身份信息，令人瞠目结舌。网安民警接到线索后立即进行侦查，初步查明该公司老板为李某，其上线为刘某，下线为4部12组运营管理体系，通过抖音、快手等网络社交平台发布广告引流，身披法律咨询业务外衣，以为客户提供诉讼代理为由，行“有偿查询、提供公民个人敏感信息”之实。且该公司所提供的查询内容包括身份证号查地址、身份证查手机等个人敏感信息，索要价格在600元至2000元不等，存在集团式非法买卖、获取公民个人信息的犯罪行为。

目前案件正在进一步侦办当中。

我国多部法律法规均明确规定了单位和个人在保护个人信息、数据方面的责任和义务，任何单位和个人在处理个人信息和数据过程中都要严格遵守法律法规，切实承担起保护个人信息的责任。

公民个人信息关系到每个人日常生活的开展、正常生活状态的维持，不仅关涉个人名誉，同时影响个人的社会评价。公民个人信息受到破坏或侵害，既可能给公民带来物质上的损失，也可能造成精神上的伤害。

国家市场监管总局、国家粮食和储备局签订“数据共享合作协议”

近日，国家市场监督管理总局、国家粮食和物资储备局签订数据共享合作协议，深化拓展双方在数据共享、业务协同等方面的合作，推动跨部门信息数据有序流转和融合运用，为加快建立新型监管机制、提升市场监管的精准性和有效性夯实数据基础。

合作协议明确了两部门深化合作的原则、目标、合作内容和合作方式等事项，确定数据共享和信息化保障工作的牵头单位，建立信息共享使用会商机制和效能反馈机制，在推进信息共享、强化协同监管、实施信用联合惩戒等方面深入开展合作。双方共享的数据主要为工作中归集的企业基础数据、行政许可、行政处罚、信用管理等数据，数据共享目录保持动态调整。在依法依规、保障数据安全的前提下，两部门将深挖数据价值，开展大数据分析和深度利用，实现数据多向赋能，助推监管和服务工作提质增效。

国家数据局党组书记、局长刘烈宏在《求是》发表署名文章：加快构建全国一体化算力网 推动建设中国式现代化数字基座

近日，国家数据局党组书记、局长刘烈宏在《求是》发表署名文章：加快构建全国一体化算力网 推动建设中国式现代化数字基座。

文章指出，数据基础制度建设事关国家发展和安全大局，要维护国家数据安全，保护个人信息和商业秘密，促进数据高效流通使用、赋能实体经济，统筹推进数据产权、流通交易、收益分配、安全治理，加快构建数据基础制度体系。针对当前部分数据持有者“不愿流通”、“不敢流通”等现象，应加快建立数据治理和可信流通体系，强化数据安全治理。构建全国一体化算力网，将为数据可信流通和数据安全治理体系提供高效调度、绿色安全的计算资源保障服务，有助于实现不同行业、不同地域、不同系统之间的数据资源要素互联互通、高效配置，提高数据资源的开发利用效率，进一步推动激活数据要素价值。

随着全球网络安全、数据安全风险日益凸显，我国数据中心的集聚也带来了安全挑战，各算力国家枢纽节点安全防护体系的协调联动亟待加强，区域性断网断电甚至极端环境下的风险防范有待提升。推进全国一体化算力网建设，必须重视安全保障，从基础设施安全、网络安全、数据安全等多个维度提升国家枢纽节点安全防护能力，同步推动非国家枢纽节点与国家枢纽节点的安全系统对接，消除算力服务使用者“后顾之忧”，为全国一体化算力网建设筑牢安全防护线。

近日，为深入学习贯彻中央经济工作会议、全国两会精神，贯彻落实工业和信息化部、北京市委市政府关于网络和数据安全工作的各项决策部署，北京市通信管理局组织召开2024年度北京地区信息通信行业网络和数据安全工作部署会。

会议强调，2024年北京地区信息通信业要以推进工信领域网络和数据安全保障能力现代化为使命，坚持监管与服务并重、“平时与战时”兼顾、网络与数据安全同抓、产业与用户安全并举的工作原则，全力增强重要网络风险防御能力，持续强化网络和数据安全监管能力，创新健全适应新型工业化规律特点的保障体系，不断深化电信网络诈骗防范治理等民生安全保障，同步加强新兴产业和未来产业安全研究，为巩固提升信息通信业的竞争优势和领先地位提供强有力的安全支撑。

会议指出，首都工作关乎“国之大者”，各单位要准确把握网络和数据安全工作的新任务新要求：

一要健全工作机制，强化责任落实，提高管理效能。各单位要切实落实网络和数据安全主体责任，建立内部责任体系，明确责任部门及其工作职责，按照全年工作要点，结合实际抓好贯彻落实。

二要坚持以技管网，强化手段建设，打造安全防护“硬实力”。各单位要坚持“以技术对技术，以技术管技术”，逐步建立健全资产清晰、边界明确、风险可控、处置有效的纵深防御体系，进一步整合系统能力，合力构建行业网络与数据安全能力“一张网”。

三要坚持聚焦重点，强化防范风险，提升网络综合治理水平。各单位要突出重点、把握关键，切实强化重要数据和核心数据安全保护，将数据安全和业务流程有机结合，加大数据全生命周期安全防护及合规治理力度，牢牢守住行业健康有序发展的红线底线。

四要加强资源投入，强化协同联动，形成工作合力。各单位要在确保网络数据安全方面资源投入、专业人才培养的基础上，主动服务和融入网络强国、数字中国战略，加强政企、企企沟通对接，积极赋能其他行业，为新兴融合领域发展提供安全保障。

五要重塑监管体系，引导行业自律，服务首都发展。推进治理能力现代化，建立全方位、多层次、立体化监管体系，全行业要深入构建行业命运共同体和跨行业融合生态，坚持经济效益和社会效益统一，更好服务首都发展。

下一步，北京市通信管理局将在工业和信息化部、北京市委市政府的坚强领导下，进一步增强防范重大风险的政治自觉、思想自觉和行动自觉，把“时时放心不下”的责任感转化为“事事心中有底”的行动力，带领北京信息通信业以首都站位抓谋划、首善标准抓落实、开拓创新抓发展，奋力开创行业网络和数据安全管理工作新局面！

上海市通信管理局开展“铸盾车联”2024年

车联网网络和数据安全专项行动

近日，上海市通信管理局为提升本市车联网行业网络和数据安全防护水平，筑牢车联网网络和数据安全防线，护航智能网联汽车产业高质量发展，结合本市车联网安全和发展实际，决定开展“铸盾车联”—2024年车联网网络和数据安全专项行动。

本次行动坚持以习近平新时代中国特色社会主义思想为指导，全面学习贯彻落实党的二十大精神，助力制造强国、网络强国和交通强国建设，根据《网络安全法》《数据安全法》《个人信息保护法》《汽车数据安全管理若干规定（试行）》《工业和信息化领域数据安全管理办法(试行)》等法律法规和《工业和信息化部关于加强车联网网络安全和数据安全工作的通知》《工业和信息化部关于加强智能网联汽车生产企业及产品准入管理的意见》等文件精神，统筹车联网行业发展与安全，贯彻实施网络和数据安全法律法规和政策标准。科学有序提升车联网行业网络和数据安全管理水平，稳步推进由事前审查向事中事后监管的职能转变，优化简化事前审查流程，强化事中事后报备管理，营造稳定、规范、可预期的车联网安全监管环境，维护国家安全和产业发展利益，护航本市智能网联汽车产业安全、繁荣和高质量发展。

本次行动方案强调：

要建立车联网网络和数据安全管理机制，健全网络和数据安全管理制度；加强车联网数据安全评估管理；加强数据安全和个人信息保护事件应急管理；加强数据对外共享使用管理。

要强化责任落实。各车联网企业应当深刻认识提升本单位、本行业网络和数据安全防护能力的重要性和紧迫性，细化工作措施，部署工作落实。

要强化实战检验，组织开展“铸盾2024”车联网网络安全实战攻防活动，在真实、现网环境中对各车联网企业开展网络和数据安全实网、实车攻防检验，并结合实战结果评估各车联网企业的专项行动落实成效。

要强化标准创新，指导市车联网协会等行业组织加快制定车联网数据分类分级、无驾驶人智能网联汽车安全要求、智能网联汽车安全人才评价等车联网网络和数据安全相关标准。

佛山启动公共服务领域网络和数据安全

专项行动

近日，佛山市委网信办于近日印发《佛山市公共服务领域网络和数据安全专项行动工作方案》，并将开展七大网络安全风险隐患排查工作，进一步完善全市公共服务领域网络和数据安全保障体系建设。

近年来，数字技术赋能城市公共服务不断发展，但也面临着部分单位重要数据管理水平不足、数据安全防范能力不够、数据泄露风险隐患突出等问题。为切实保障佛山市公共服务领域信息系统安全稳定运行，佛山市委网信办牵头开展本次专项行动。

专项行动七大网络安全风险隐患排查工作包括：网络和数据安全自查、远程技术检测、数据泄露监测、现场安全检查、网络安全意识培训、隐患全面整改、实战攻防演练复盘等，通过“自查自纠+专项检查+复盘整治+宣传培训”等多项措施，织牢织密数据安全保障制度，全面防控数据安全风险隐患。

其中，网络和数据安全自查清单对照行业规范进行制定，包括责任落实、日常管理、安全防护、应急工作、教育培训、技术产品使用、技术检测、信息技术外包等八大方面80多个安全控制点，相关单位可通过对照清单查漏补缺，进一步落实公共数据分类分级、脱敏、风险评估、监测预警、应急处置、安全审查等安全管理制度。

公共服务领域相关单位作为态感重要单元之一，希望能以此次专项行动检查为契机，在落实网络安全等级保护的基础上，增强态势感知、数据分级分类等防护措施，加强网络和数据安全管理，切实提升安全监测与风险防范能力，以实际行动支持佛山构建分布式城市网络安全防护体系。

美国联邦数据保护立法迈出重要一步

近日，美国国会众议院以414票对0票的全体一致通过了旨在防止“外国对手”国家通过数据经纪人获取美国人敏感数据的法案。

美国关于数据的立法主要是在电信网络、金融、健康、教育等领域基于保护消费者权利零散的、单行的个人数据法律。自第116届国会以来，美国34个州的议会提出了70多项数据隐私保护法案，其中12个州的数据隐私法已经成法生效。怎么更好保护美国人的数据隐私，美国社会越来越关心，政府天天督促国会立法，国会也一直在讨论，但联邦统一的数据隐私法一直是雷声大雨点小，呼声很高的《美国数据隐私和保护法案》（ADPPA）在众议院能源和商务委员会2022年7月通过并列入众院日程后，历时快两年了都没表决。这次“保护美国人数据免受外国对手侵害法案”的通过，是美国的数据隐私联邦立法上迈出的实质性的一步，也是美国历史上第一个在国会两院中至少一院通过了的联邦数据隐私国会立法。

北京数安行科技有限公司以数据运营安全为理念，以AI人工智能技术为核心驱动，聚焦数据运营安全，助力数字化转型，致力于让用户的数据安全地创造价值。公司以承载和保护每一个用户的数据运营安全为愿景，持续创新，合作共赢，成就用户。公司核心团队拥有十余年网络安全与数据安全经验，服务于政府、军工、金融、运营商、互联网、教育、高端制造等各行业客户。

数据运营安全（DataSecOps）核心是在数据运营中内嵌数据安全属性，解决数据运营过程中的数据安全问题，以一个产品或平台的方式运行。其目标是在不影响数据业务流程正常运行的情况下更有效的保护组织内的敏感数据资产，对敏感数据的扩散及滥用风险进行快速响应，将数据安全防护策略传递至参与数据运营的所有人员。