今日分享|GB/T 43697-2024数据安全技术 数据分类分级规则

标准名称：GB/T 43697-2024数据安全技术 数据分类分级规则

实施时间：2024年10月01日

标准概述：在数字化时代，数据成为关键生产要素。但随着数据量增长和应用场景拓展，数据安全风险也日益复杂。为应对这一挑战，国家市场监督管理总局发布了 GB/T 43697 - 2024《数据安全技术 数据分类分级规则》，为数据安全管理筑牢根基。该标准于 2024 年 3 月 15 日发布，2024 年 10 月 1 日起实施，对规范各行业数据管理意义重大。

《中华人民共和国数据安全法》明确要求建立数据分类分级保护制度。在此背景下，GB/T 43697 - 2024 应运而生。它为各行业领域、部门和数据处理者提供统一规则，有助于提升数据安全保护水平，促进数据合理利用与有序流通。比如，金融行业的数据涉及大量用户隐私和经济运行关键信息，通过该标准可精准分类分级，实施针对性保护措施。

1.基本原则：贯穿数据管理全程

标准提出五大原则。科学实用原则确保分类分级便于管理和使用；边界清晰原则为不同级别数据保护提供明确界限；就高从严原则保障数据安全底线；点面结合原则兼顾单项与融合数据安全；动态更新原则适应数据变化特性。这些原则相互配合，保障数据分类分级科学合理、与时俱进。以医疗数据为例，随着研究深入和应用场景变化，依据动态更新原则，及时调整数据分类分级，确保患者信息安全。

2.数据分类规则：多维度细分数据

先按行业领域分类，如工业、电信、金融等，再依据业务属性进一步细分。业务属性涵盖业务领域、责任部门、描述对象等九个方面。这种分类方式全面且灵活，各行业可根据自身特点细化。例如电商企业，按描述对象将数据分为用户数据、业务数据等，再按业务流程对业务数据细分，便于管理和保护。

3.数据分级规则：精准评估数据重要性

根据数据对国家安全、经济运行等方面的影响程度，将数据分为核心数据、重要数据和一般数据三个级别。分级流程包括确定对象、识别要素、分析影响和综合定级。分级要素涉及领域、群体、精度等多个方面，影响分析考虑安全风险和影响对象，综合定级遵循就高从严等原则。如能源领域涉及国家战略储备的数据，因对国家安全和经济运行影响重大，可能被定为核心数据。

4.数据分类分级流程：规范操作步骤

行业领域主管（监管）部门需制定标准规范并组织实施；数据处理者要梳理资产、制定内部规则、分类分级数据、审核上报目录并动态更新管理。两者紧密配合，确保数据分类分级工作有序开展。例如在政务数据管理中，主管部门制定规则，各部门依此对数据分类分级，保障政务数据安全。

附录包含丰富参考信息。A、B 提供数据分类示例；C 列举分级要素识别考虑因素；D、E、F 分别阐述安全风险、影响对象和影响程度相关因素；G 为重要数据识别提供指南；H、I 给出一般数据和衍生数据分级参考；J 说明动态更新情形。这些附录为数据分类分级实际操作提供详细指引，降低实施难度。

1.助力企业合规与风险管理

企业依据标准分类分级数据，能明确保护重点，合理分配安全资源，提升安全防护针对性和有效性，降低管理成本和安全风险。如互联网企业通过标准确定用户数据级别，对敏感信息重点保护，防止数据泄露。

2.推动行业数据安全协同发展

统一标准促进各行业数据安全管理协同，规范数据流通共享，减少行业间数据交互障碍，推动数据要素市场健康发展。例如在智慧城市建设中，不同部门依据标准管理数据，实现安全高效共享，提升城市治理水平。

GB/T 43697 - 2024 为数据分类分级提供全面规范。各行业和数据处理者应积极采用，加强数据安全管理，在保障安全前提下释放数据价值，推动数字经济稳健发展。