DB4403/T 271-2022 公共数据安全要求

ICS35.240.01

CCSL67

DB4403

深圳市地方标准

DB4403/T271—2022

公共数据安全要求

Requirementsforcommondatasecurity

2022-11-14发布2022-12-01实施

深圳市市场监督管理局发布

DB4403/T271—2022

目  次

前言.....................................................................................................................................................................IV

1范围.................................................................................................................................................................1

2规范性引用文件.............................................................................................................................................1

3术语和定义.....................................................................................................................................................1

4总体安全原则和要求.....................................................................................................................................2

4.1总体安全原则.........................................................................................................................................2

4.2总体安全要求.........................................................................................................................................3

5总体框架.........................................................................................................................................................3

6数据分级方法.................................................................................................................................................4

6.1分级概述.................................................................................................................................................4

6.2确定定级对象.........................................................................................................................................4

6.3定级要素.................................................................................................................................................4

6.3.1受侵害的客体.................................................................................................................................4

6.3.2对客体的侵害程度.........................................................................................................................4

6.4定级要素与等级关系.............................................................................................................................4

6.5定级步骤.................................................................................................................................................5

6.6级别变更.................................................................................................................................................5

6.7级别要求.................................................................................................................................................5

7通用管理安全要求.........................................................................................................................................6

7.1总体数据安全策略.................................................................................................................................6

7.1.1基本安全要求.................................................................................................................................6

7.1.2三级增强安全要求.........................................................................................................................6

7.1.3四级增强安全要求.........................................................................................................................6

7.2数据安全管理机构与人员.....................................................................................................................6

7.2.1基本安全要求.................................................................................................................................6

7.2.2三级增强安全要求.........................................................................................................................7

7.2.3四级增强安全要求.........................................................................................................................7

7.3数据安全管理制度体系.........................................................................................................................8

7.3.1基本安全要求.................................................................................................................................8

7.3.2三级增强安全要求.........................................................................................................................8

7.3.3四级增强安全要求.........................................................................................................................8

8通用技术安全要求.........................................................................................................................................8

8.1数据分类分级保护.................................................................................................................................8

8.1.1基本安全要求.................................................................................................................................8

8.1.2三级增强安全要求.........................................................................................................................9

8.1.3四级增强安全要求.........................................................................................................................9

8.2数据安全评估.........................................................................................................................................9

I

DB4403/T271—2022

8.2.1基本安全要求.................................................................................................................................9

8.2.2三级增强安全要求.........................................................................................................................9

8.2.3四级增强安全要求.........................................................................................................................9

8.3数据安全风险监测.................................................................................................................................9

8.3.1基本安全要求.................................................................................................................................9

8.3.2三级增强安全要求.......................................................................................................................10

8.3.3四级增强安全要求.......................................................................................................................10

8.4数据安全管控.......................................................................................................................................10

8.4.1基本安全要求...............................................................................................................................10

8.4.2三级增强安全要求.......................................................................................................................10

8.4.3四级增强安全要求.......................................................................................................................11

8.5数据安全应急处置...............................................................................................................................11

8.5.1基本安全要求...............................................................................................................................11

8.5.2三级增强安全要求.......................................................................................................................12

8.5.3四级增强安全要求.......................................................................................................................12

8.6数据安全审计.......................................................................................................................................12

8.6.1基本安全要求...............................................................................................................................12

8.6.2三级增强安全要求.......................................................................................................................12

8.6.3四级增强安全要求.......................................................................................................................12

9数据处理活动安全要求...............................................................................................................................12

9.1数据收集...............................................................................................................................................12

9.1.1基本安全要求...............................................................................................................................12

9.1.2三级增强安全要求.......................................................................................................................13

9.1.3四级增强安全要求.......................................................................................................................13

9.2数据存储...............................................................................................................................................13

9.2.1基本安全要求...............................................................................................................................13

9.2.2三级增强安全要求.......................................................................................................................13

9.2.3四级增强安全要求.......................................................................................................................13

9.3数据传输...............................................................................................................................................13

9.3.1基本安全要求...............................................................................................................................13

9.3.2三级增强安全要求.......................................................................................................................13

9.3.3四级增强安全要求.......................................................................................................................14

9.4数据使用...............................................................................................................................................14

9.4.1基本安全要求...............................................................................................................................14

9.4.2三级增强安全要求.......................................................................................................................14

9.4.3四级增强安全要求.......................................................................................................................14

9.5数据加工...............................................................................................................................................14

9.5.1基本安全要求...............................................................................................................................14

9.5.2三级增强安全要求.......................................................................................................................15

9.5.3四级增强安全要求.......................................................................................................................15

9.6数据开放共享.......................................................................................................................................15

9.6.1基本安全要求...............................................................................................................................15

9.6.2三级增强安全要求.......................................................................................................................15

II

DB4403/T271—2022

9.6.3四级增强安全要求.......................................................................................................................15

9.7数据交易...............................................................................................................................................15

9.7.1基本安全要求...............................................................................................................................15

9.7.2三级增强安全要求.......................................................................................................................15

9.7.3四级增强安全要求.......................................................................................................................16

9.8数据出境...............................................................................................................................................16

9.8.1基本安全要求...............................................................................................................................16

9.8.2三级增强安全要求.......................................................................................................................16

9.8.3四级增强安全要求.......................................................................................................................16

9.9数据销毁与删除...................................................................................................................................16

9.9.1基本安全要求...............................................................................................................................16

9.9.2三级增强安全要求.......................................................................................................................16

9.9.3四级增强安全要求.......................................................................................................................16

附录A（资料性）公共数据分类分级清单示例.........................................................................................17

附录B（规范性）公共数据子类或数据字段定级及级别要求.................................................................18

B.1定级要素与等级关系...........................................................................................................................18

B.2级别要求...............................................................................................................................................20

附录C（资料性）公共数据分类方法..........................................................................................................23

C.1分类方法及示例...................................................................................................................................23

C.2不同行业分类方法...............................................................................................................................23

附录D（资料性）常见个人信息分类分级参考表.....................................................................................24

参考文献.............................................................................................................................................................27

III

DB4403/T271—2022

前  言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

本文件由深圳市政务服务数据管理局提出并归口。

本文件起草单位：深圳市信息安全管理中心、全知科技（杭州）有限责任公司、金砖国家未来网络

研究院中国分院、深圳市智慧城市科技发展集团有限公司、华为技术有限公司、蚂蚁科技集团股份有限

公司。

本文件主要起草人：李苏、董安波、林宇群、穆端端、轩豪男、赵剑、方兴、周顿科、魏凤玲、姚

冬炎、董亮、宫昊、林桢、刘慧洋、王志、常新苗、白晓媛。

IV

DB4403/T271—2022

公共数据安全要求

1范围

本文件规定了公共数据安全要求，主要包括总体安全原则和要求、总体框架、数据分级方法、通用

管理安全要求、通用技术安全要求及数据处理活动安全要求。

本文件适用于公共管理和服务机构数据安全能力的建设、评估与监管，也适用于处理大量个人信息

的服务平台数据安全能力的建设与评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20984—2022信息安全技术信息安全风险评估方法

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T22240—2020信息安全技术网络安全等级保护定级指南

GB/T35273—2020信息安全技术个人信息安全规范

GB/T37988—2019信息安全技术数据安全能力成熟度模型

GB/T39477—2020信息安全技术政务信息共享数据安全技术要求

GB/T39786—2021信息安全技术信息系统密码应用基本要求

3术语和定义

GB/T35273—2020、GB/T37988—2019界定的以及下列术语和定义适用于本文件。

3.1

公共数据commondata

公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务

过程中产生、处理的数据。

注：本文件提及的数据均指公共数据。

3.2

数据安全datasecurity

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

3.3

公共管理和服务机构publicadministrationandserviceinstitutions

本市国家机关、事业单位和其他依法管理公共事务的组织，以及提供教育、卫生健康、社会福利、

供水、供电、供气、环境保护、公共交通和其他公共服务的组织。

3.4

敏感个人信息personalsensitiveinformation

1

DB4403/T271—2022

一旦泄露、非法提供或滥用有可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或

歧视性待遇等的个人信息。

注1：敏感个人信息包括公民身份号码、个人生物特征信息、银行账号、通信记录和内容、财产信息、征信信息、

行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下（含）儿童的个人信息等。

注2：个人信息处理者通过个人信息或其他信息加工处理后形成的信息，如一旦泄露、非法提供或滥用可能危害人

身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息，也属于敏感个人信息。

[来源：GB/T25069—2022，3.195，有修改]

3.5

重要数据keydata

一旦泄露可能直接影响国家安全、公共安全、经济安全和社会稳定的数据。

注：包括未公开的政府信息，数量达到一定规模的基因、地理、矿产信息等，原则上不包括个人信息、企业内部经

营管理信息等。

[来源：GB/T41479—2022，3.9，有修改]

3.6

匿名化anonymization

公共数据中涉及的个人信息经过处理无法识别特定自然人且不能复原的过程。

3.7

数据合作方datacooperator

与公共管理和服务机构进行业务合作、提供技术支撑和数据服务等，并可能接触到公共数据的外部

单位。

3.8

安全多方计算securemulti-partycomputation

在无可信第三方的情况下，各方约定一个安全计算函数，确保计算过程中各方数据安全的同时，得

到预期计算的结果。

3.9

第三方应用thirdparty