DB32/T 4608.1-2023 公共数据管理规范 第1部分：数据分类分级

ICS35.240.01

CCSL67

!7,



DB32/T4608.1—2023

公共数据管理规范

第1部分：数据分类分级

Specificationforthemanagementofpublicdata—

Part1：Dataclassificationandgrading

2023⁃12⁃01发布2024⁃01⁃01实施

江苏省市场监督管理局发布

中国标准出版社出版

DB32/T4608.1—2023

目次

前言……………………………Ⅲ

引言……………………………Ⅳ

1范围…………………………1

2规范性引用文件……………1

3术语和定义…………………1

4公共数据分类………………2

5公共数据分级………………5

6公共数据分类分级成效评价………………12

7公共数据分类分级实施流程………………13

附录A（资料性）敏感数据示例……………16

附录B（资料性）公共数据全生命周期分级管控措施表…………………19

附录C（资料性）数据分类分级成效评价方法……………33

附录D（资料性）数据分类分级示例………………………36

参考文献………………………40

Ⅰ

DB32/T4608.1—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件是DB32/T4608《公共数据管理规范》的第1部分。DB32/T4608已经发布了以下部分：

——第1部分：数据分类分级；

——第2部分：数据共享交换。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由江苏省政务服务管理办公室提出并归口。

本文件起草单位：江苏省大数据管理中心、江苏省质量和标准化研究院。

本文件主要起草人：吴中东、何正庆、徐建荣、刘超、付勍、韩骉、曹银美、杨坤、邱玉婷、王子文、吴志刚、

李安伦、白惠文、罗坤、王维。

Ⅲ

DB32/T4608.1—2023

引言

公共数据是公共管理和服务机构为履行法定职责、提供公共服务收集、产生的，以电子或者其他方式

记录、保存的具有公共使用价值的信息记录。规范公共数据管理、保障公共数据安全，对推动数字政府建

设、提升政府治理能力和公共服务水平具有重要意义。DB32/T4608《公共数据管理规范》旨在确立公共

数据管理活动中分类分级和共享交换的准则，拟由两个部分构成。

——第1部分：数据分类分级。目的在于确立公共数据分类分级的规则、方法、流程等，为数据应用

和保护提供重要指导。

——第2部分：数据共享交换。目的在于指导开展省、市公共数据共享交换平台建设、管理和对接，

规范各级公共管理和服务机构的数据接入、归集、交换共享等工作，建立健全全省一体化公共数

据共享交换体系，促进全省数据高效共享和安全交换。

Ⅳ

DB32/T4608.1—2023

公共数据管理规范

第1部分：数据分类分级

1范围

本文件规定了公共数据的分类、分级、成效评价、分类分级实施流程等要求。

本文件适用于江苏省公共管理和服务机构对公共数据的分类分级、分级管控等相关工作。

本文件不适用于涉及国家秘密的公共数据管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文

件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T4754国民经济行业分类

3术语和定义

下列术语和定义适用于本文件。

3.1

公共管理和服务机构publicadministrationandserviceinstitution

各级行政机关、法律法规授权的具有管理公共事务职能的组织、公共企事业单位。

3.2

公共数据publicdata

公共管理和服务机构为履行法定职责、提供公共服务收集、产生的，以电子或者其他方式记录、保存

的具有公共使用价值的信息记录。

注：包括数据库表、文件和服务接口等形式。

3.3

数据共享datasharing

公共管理和服务机构因履行职责需要使用其他公共管理和服务机构的数据或者为其他公共管理和

服务机构提供数据的行为。

注1：公共数据共享包括无条件共享、有条件共享、不予共享。

注2：可以提供给所有公共管理和服务机构共享使用的公共数据属于无条件共享类。

注3：可以在限定数据使用对象、场景、范围、数据量、交互方式等条件下提供给有关公共管理和服务机构共享使用的

公共数据属于有条件共享类。

注4：不宜提供给其他公共管理和服务机构共享使用的公共数据属于不予共享类。

3.4

数据开放dataopening

公共管理和服务机构向个人、法人或者非法人组织依法提供公共数据的公共服务行为。

注1：公共数据开放包括无条件开放、有条件开放、不予开放。

1

DB32/T4608.1—2023

注2：可以提供给所有个人、法人和非法人组织使用的公共数据属于无条件开放类。

注3：在限定对象、用途、使用范围等特定条件下可以提供给公民、法人和其他组织使用的公共数据属于有条件开

放类。

注4：应依法予以保密的公共数据以及法律、法规、规章规定不应开放的其他公共数据属于不予开放类。

4公共数据分类

4.1通则

4.1.1科学系统

按照公共数据的多维特征及其相互间客观存在的逻辑关联进行科学和系统化的分类。

4.1.2兼容扩展

分类具有概括性和包容性，与国家、行业、地方关于公共数据分类分级的标准相兼容，能实现多种类

型公共数据的分类，满足将来可能出现的数据类型的需要。

4.1.3准确清晰

使用的词语或短语准确表达数据类目的实际内容、内涵和外延，相同概念的用语应保持一致。

4.1.4客观实用

结合现实需求，符合使用者对公共数据区分和归类的普遍认知。每个类目下都应有公共数据，不设

没有意义的类目。同一分类维度内，同一条公共数据只分入一个类目。

4.1.5动态更新

定期评估数据分类维度、方法和结果的合理性，并根据实际需要进行动态调整。

4.2分类方法

4.2.1概述

采取多维度的分类方法，根据需要在主题、行业、对象、数据管理、业务应用等维度选择一个或多个进

行分类。对于每个维度将其分为大类、中类和小类三级。公共管理和服务机构可根据业务需要对小类再

行细分。对小类的细分，可根据业务数据的性质、功能、技术手段等一系列特征进行扩展细分。

4.2.2按主题分类

按照公共数据资源所涉及的主题范畴，参考GB/T21063.4的方法将公共数据按照主题进行分类，

采取大类、中类和小类三级分类法。如果分类不满足工作需要，可根据实际业务情况另行建立主题。按

主题将公共数据分类，包括但不限于：

——生活服务；

——设立变更；

——文物保护；

——医疗卫生；

——行业准营；

——三农服务；

2

DB32/T4608.1—2023

——工程建设；

——社会保障；

——民族宗教；

——教育培训；

——环境资源；

——安全生产；

——交通旅游；

——职业资格；

——住房保障；

——纳税纳费；

——投资立项；

——劳动就业；

——出境入境；

——涉外服务；

——破产注销；

——死亡殡葬；

——婚育收养。

4.2.3按行业分类

按照公共数据所涉及的行业领域范畴，依据GB/T4754规定的国民经济行业分类与代码，将其四级

类目的前三级（即门类、大类、中类）对应为本文件中的大类、中类、小类。如果分类不满足工作需要，可根

据实际业务情况另行建立行业。按行业将公共数据分类，包括但不限于：

——农、林、牧、渔业；

——采矿业；

——制造业；

——电力、热力、燃气及水生产和供应业；

——建筑业；

——批发和零售业；

——交通运输、仓储和邮政业；

——住宿和餐饮业；

——信息传输、软件和信息技术服务业；

——金融业；

——房地产业；

——租赁和商务服务业；

——科学研究和技术服务业；

——水利、环境和公共设施管理业；

——居民服务、修理和其他服务业；

——教育；

——卫生和社会工作；

——文化、体育和娱乐业；

——公共管理、社会保障和社会组织；

——国际组织。

3

DB32/T4608.1—2023

4.2.4按对象分类

按公共数据所描述的对象分为以下几类。

——个人数据：个人的属性数据和行为数据，包括但不限于：

•个人的姓名；

•出生日期；

•身份证件号码；

•个人生物识别信息；

•住址；

•电话号码。

——组织数据：政府部门、企事业单位、其他法人和非法人组织、团体等组织的属性数据和业务数据，

包括但不限于组织在运营过程中产生或获取的：

•基础数据；

•资产数据；

•人事劳保；

•税务数据；

•信用数据；

•行政许可。

——客体数据：非个人或组织的客观实体（如道路、建筑、视频捕捉设备等）的属性数据和感应数据，

包括但不限于：

•公共设施基本信息、设备的位置、指标参数、运行状态；

•公共基础设施的属性数据；

•地理、海洋、气象、空气质量、水质等监测数据。

4.2.5按数据特征分类

按数据特征维度主要分为以下几类。

——根据数据业务特性分类，包含但不限于：

•主数据：也称基准数据，在业务事件发生之前就客观存在，比较稳定，具有高业务价值的、可

以跨流程跨系统被重复使用的数据，具有唯一、准确、权威的数据源；

•参考数据：用于描述或分类其他数据，或者将数据与其他信息联系起来的数据；

•事务数据：用于记录业务运行过程中产生的事件，是主数据之间活动产生的数据，具有较强

的时效性；

•规则数据：描述业务规则变量的数据，包含判断条件和决策结果等信息。

——根据数据产生的频率分类，分为秒、分、时、天、周、月、季度、半年、年、不定期、不更新等。

——根据数据产生方式分类，包括但不限于：

•按数据被获取或被采集的方式，分为人工采集数据、通过信息系统采集的数据等；

•按数据被加工的程度，分为原始数据、二次加工（衍生）数据等。

——根据结构化特征分类，包括但不限于：

•结构化数据；

•半结构化数据；

•非结构化数据。

——根据提供渠道分类，包括但不限于：

4

DB32/T4608.1—2023

•电子政务外网数据；

•互联网数据；

•其他网络平台数据。

——根据资源类型分类，包括但不限于：

•库表；

•接口；

•文件。

4.2.6按服务分类

按服务维度分为以下几类。

——根据服务领域分类，包括但不限于：

•数字经济：如数字产品制造、数字产品服务、数字技术应用、数字要素驱动等；

•数字政务：如自然人数据、法人数据、信用数据、空间地理信息数据等；

•数字文化：如数字影视、数字音乐、数字文学、数字教育、数字博物馆、数字图书馆等；

•数字社会：如数字交通、数字医疗、数字社保、数字就业、数字住房等；

•数字生态文明：如数字环保、数字低碳、数字节能等。

——根据数据共享属性分类，可分为：

•无条件共享数据；

•有条件共享数据；

•不予共享数据。

——根据数据开放属性分类，可分为：

•无条件开放数据；

•有条件开放数据；

•不予开放数据。

——根据数据使用频率，结合数据的访问频次和分析引用进行分类，包括但不限于：

•冷数据：离线的、长期存档的、很少被访问和使用的数据；

•温数据：经常被访问和使用的数据；

•热数据：需要被计算节点频繁访问的在线类数据。

4.2.7其他分类法

可按照公共数据业务场景等维度进行数据分类，其他数据分类方法可参考GB/T38667。

5公共数据分级

5.1通则

5.1.1自主定级

公共管理和服务机构在采集、存储、传输、处理、共享、开放、销毁公共数据等行为之前，应按照本文件

自主对各种类型公共数据进行分级。

5.1.2综合判定

公共数据的分级应客观且可被校验，即通过数据自身的属性和分级规则即可判定其分级。应与其共

享、开放的类型、范围、审批和管理要求直接相关。需充分考虑数据聚合情况、数据体量、数据时效性、数

5

DB32/T4608.1—2023

据脱敏处理等因素。应结合数据项（字段）的含义和具体应用场景定级。在多类数据中均出现的通用数

据，可根据实际内容独立分级。

5.1.3就高从严

应按照就高从严原则确定数据级别，数据集的级别应根据其包含数据项的最高级别来定级。

5.1.4分级管控

确定数据等级后，根据数据等级实施分级管控措施，在公共数据全生命周期采取差异化管理措施。

5.1.5动态更新

应定期评估数据分级的合理性，并根据实际需要进行动态调整。

5.2分级方法

5.2.1概述

根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对

国家安全、公共利益或者个人、组织合法权益造成的危害程度，对公共数据进行定级。可通过定量与定性

相结合的方式，识别数据分级要素情况，开展数据影响分析，确定影响对象和影响程度，最终综合确定数

据级别。

5.2.2分级要素

影响数据分级的要素，包括数据领域、群体、区域、精度、规模、深度、覆盖度、重要性等。其中领域、群

体、区域、重要性通常属于定性要素，精度、规模、覆盖度属于定量要素，深度通常作为衍生数据的分级

要素。

5.2.3影响分析

5.2.3.1影响对象

影响对象通常包括国家安全、经济运行、社会稳定、公共利益、个人权益、组织权益。影响对象的确定

主要考虑以下内容：

——国家安全：可能对国家政治、国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、

太空、深海、极地、海外利益等造成的影响；

——经济运行：可能对市场经济运行秩序、宏观经济形势、国民经济命脉等经济利益等造成的影响；

——社会稳定：可能对社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等造成

的影响；

——公共利益：可能对社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等造成的

影响；

——个人权益：可能对个人敏感信息、人身和财产安全、人格尊严、个人名誉、私人活动和私有领域等

造成的影响；

——组织权益：可能对法人和其他组织的生产运营、声誉形象、公信力、知识产权等造成的影响。

5.2.3.2影响程度

根据公共数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用后所造成的危害程度，从高到低划

6

DB32/T4608.1—2023

分为特别严重危害、严重危害、一般危害、轻微危害和无危害，相关说明如表1所示，可作为危害程度判定

的参考。危害程度的确定宜综合考虑数据类型、数据特征与数据规模等因素，并结合业务属性确定数据

安全性遭到破坏后的影响程度。

表1影响程度说明表

影响对象影响程度参考说明

特别严重危害直接影响国家政治安全

关系国家安全重点领域，或对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、

生物、太空、深海、极地、海外利益等任一领域国家安全造成严重威胁

对本地区、本部门以及相关行业、领域的重要骨干企业、关键信息基础设施、重要资源等造成

严重危害

严重影响

导致对本地区、本部门以及相关行业、领域大范围停工停产、大面积网络与服务瘫痪、大量业

务处理能力丧失

国家安全对国土、经济、科技、文化、社会、生态、军事、网络、人工智能、核、生物、太空、深海、极地、海外

利益等任一领域国家安全造成直接威胁

一般危害对本地区、本部门以及相关行业、领域生产、运行和经济利益等造成影响

引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时

间长，对行业发展、技术进步和产业生态等造成影响

对本地区、本部门以及相关行业、领域生产、运行和经济利益等造成轻微影响

轻微危害

影响持续时间短，对行业发展、技术进步和产业生态等造成一般影响

无危害对国家安全不造成影响

直接影响涉及国家安全的行业、支柱产业和高新技术产业中的重要骨干企业、提供重要公共

产品的行业、重大基础设施和重要矿产资源行业等关系国民经济命脉行业的运行和发展

关系国民经济命脉，严重危害对社会经济发展具有重大影响的部门、企业、资源、区域等的生

特别严重危害产运营和经济利益

直接对多个行业领域，或者对行业领域核心业务、重要骨干企业、关键信息基础设施、重要资

源等生产运营造成特别严重影响，例如导致大范围停工停产、大面积业务中断、大规模基础

设施瘫痪、大量处理能力丧失等

直接影响宏观经济运行状况和发展趋势，如社会总供给和总需求、国民经济总值和增长速

经济运行度、国民经济主要比例关系、物价总水平、劳动就业总水平与失业率、货币发行总规模与增长

速度、进出口贸易总规模与变动等

严重危害

直接影响行业内多个企业、大规模用户，对行业发展、技术进步和产业生态等造成严重影响，

或者直接影响行业领域核心竞争力、关键产业链、核心供应链等

对行业领域发展、生产、运行和经济效益等造成一般危害

一般危害直接危害市场经济运行秩序，如市场准入、市场行为、市场结构、商品销售、交换关系、生产经

营秩序等

轻微危害影响行业内少数企业，不对行业领域发展、生产、运行和经济效益直接造成危害

无危害对经济运行不造成影响

7

DB32/T4608.1—2023

表1影响程度说明表（续）

影响对象影响程度参考说明

直接影响人民群众重要民生保障的事项、物资、工程或项目等

特别严重危害直接导致特别重大突发事件、特别重大群体性事件、暴力恐怖活动等，引起大范围社会恐慌，

对社会稳定造成特别严重危害

直接导致重大突发事件、重大群体性事件等，引起社会矛盾激化，对社会稳定造成严重危害

严重影响人民群众的日常生活秩序

严重危害

严重影响各级党政机关履行公共管理和服务职能

社会稳定

严重影响法治和社会伦理道德规范

对人民群众的日常生活秩序造成一般影响

一般危害直接影响企事业单位、社会团体的生产秩序、经营秩序、教学科研秩序、医疗卫生秩序

直接影响公共场所的活动秩序、公共交通秩序

轻微危害对人民群众的日常生活秩序造成轻微影响

无危害对社会稳定不造成影响

关系重大公共利益，导致一个或多个省市大部分地区的社会公共资源供应长期、大面积瘫

痪，大范围社会成员无法使用公共设施、获取公开数据资源、接受公共服务

可能导致特别重大网络安全和数据安全事件，对公共利益造成特别严重影响，社会负面影响

特别严重危害

大

可能导致特别重大突发公共卫生事件，造成社会公众健康特别严重损害的重大传染病疫情、

群体性不明原因疾病、重大食物和职业中毒等严重影响公众健康的事件

直接危害公共健康和安全，如严重影响疫情防控、传染病的预防监控和治疗等

公共利益可能导致重大突发公共卫生事件，造成社会公众健康严重损害的重大传染病疫情、群体性不

严重危害明原因疾病、重大食物和职业中毒等严重影响公众健康的事件

导致一个或多个地市大部分地区的社会公共资源供应较长期中断，较大范围社会成员无法

使用公共设施、获取公开数据资源、接受公共服务

导致一个地市部分地区的社会公共资源供应短期中断，较小范围社会成员无法使用公共设

一般危害

施、获取公开数据资源、接受公共服务

轻微危害波及地市以下的部分地区，扰乱社会秩序，对经济建设有一定的负面影响

无危害对公共利益不造成影响

个人信息主体可能会遭受重大的、不可消除的、可能无法克服的影响，导致个人的人身安全、

特别严重危害财产安全、健康状况、精神状况、人格尊严、个人名誉等出现严重损害。如遭受无法承担的债

务、失去工作能力、导致长期的心理或生理疾病、导致死亡等

个人权益个人信息主体可能遭受较大影响，个人信息主体克服难度高，消除影响代价较大。导致人身

安全、财产安全、健康状况、精神状况、人格尊严、个人名誉等出现损害。如遭受诈骗、资金被

严重危害

盗用、被银行列入黑名单、信用评分受损、名誉受损、造成歧视、被解雇、被法院传唤、健康状

况恶化等

8

DB32/T4608.1—2023

表1影响程度说明表（续）

影响对象影响程度参考说明

个人信息主体遭受困扰，但尚可以克服。如付出额外成本、无法使用应提供的服务、造成误

一般危害

解、产生害怕和紧张的情绪、导致较小的生理疾病等

个人权益

轻微危害对个人合法权益仅造成微弱影响

无危害对个人信息合法权益不造成影响

可能导致组织遭到监管部门严重处罚（包括取消经营资格、长期暂停相关业务等），或者影响

特别严重危害重要/关键业务无法正常开展的情况，造成重大经济或技术损失，严重破坏机构声誉，企业面

临破产

可能导致组织遭到监管部门处罚（包括一段时间内暂停经营资格或业务等），或者影响部分

严重危害

业务无法正常开展的情况，造成较大经济或技术损失，破坏机构声誉

组织权益

可能导致个别诉讼事件，或在某一时间造成部分业务中断，使组织的经济利益、声誉、技术等

一般危害

轻微受损

对组织合法权益仅造成微弱影响但不会影响国家安全、公共利益、市场秩序或各项业务的正

轻微危害

常开展，造成的微弱影响可被补救或者补偿

无危害对组织合法权益不造成影响

5.2.4分级规则

公共数据分级按照敏感级别从低到高分为一至四级和更高级别，更高级别视具体情况确定。一般数

据、重要数据、核心数据的区分和定级按照国家相关政策和标准规范执行。分级规则如表2所示。

表2公共数据分级规则

影响对象

敏感敏感

经济社会个人/组织合共享属性开放属性

级别程度国家安全公共利益

运行稳定法权益

特别特别

更高极敏感特别严重危害、特别严重

严重严重特别严重危害不予共享不予开放

级别数据严重危害危害

危害危害

高敏感严重严重特别严重有条件共享/不

四级一般危害严重危害不予开放

数据危害危害危害予共享

敏感一般一般严重有条件开放/不

三级轻微危害一般危害有条件共享

数据危害危害危害予开放

低敏感轻微轻微一般危害、轻有条件共享/无

二级轻微危害有条件开放

数据危害危害微危害条件共享

无危害

不敏感无危无危

一级无危害无危害无条件共享无条件开放

数据害害

9

DB32/T4608.1—2023

5.3数据定级实施

5.3.1定级流程

5.3.1.1根据本文件的数据分级参考规则对数据进行定级。对于没有分级的公共数据，暂时不予共享/

开放，待确定等级之后安全有序共享/开放。定级步骤见图1。

图1公共数据定级实施步骤

5.3.1.2数据资源的等级划分应结合数据项（字段）、数据集规模和业务场景进行综合判定实施定级：

a）数据项（字段）定级：依据数据项（字段）含义，按照数据分级规则，对待定级的数据资源包含的所

有数据项（字段）进行等级划分，数据资源定级为其包含的数据项的最高敏感级别，记为G_b；

b）数据集定级：数据集定级应充分考虑数据规模的影响，若超过特定规模（例如超过100万条数

据），则应在数据项（字段）定级结果G_b的基础上提高敏感级别，记为G_c；

c）业务场景定级：依据数据资源的业务场景，根据原始数据在业务场景中可形成的衍生数据情况，

判断衍生数据的敏感级别，数据资源定级为其业务场景下衍生的数据的最高敏感级别，记为

G_s；

d）综合定级：结合步骤b）的数据集定级G_c、步骤c）的业务场景定级G_s，取两者最大值作为待定

级数据资源的最终敏感级别G。

5.3.2数据项（字段）定级

数据项最低参考级别如下。

a）已合法公开披露的公共数据可定为一级；法律法规规章未明确要求公开的个人信息等级不应低

于二级；有条件共享/开放的公共数据级别不应低于二级；法律法规明确要求保护的公共数据，

数据级别不应低于三级；不予开放的公共数据不应低于三级，不予共享的公共数据不应低于

四级。

b）一般个人信息不低于二级；敏感个人信息不低于三级。通过分析个人信息遭到泄露或者非法利

用对个人信息主体权益可能造成的影响，符合以下任一影响的可判定为敏感个人信息（示例参

考见附录A）：

1）个人信息遭到泄露或者非法使用，可能直接侵害个人信息主体的人格尊严，如特定身份、医

疗健康、犯罪记录等；

2）个人信息遭到泄露或者非法使用，不会直接侵害个人信息主体的人格尊严，但可能由于社

会偏见、歧视性待遇而间接侵害个人信息主体的人格尊严，如个人种族、宗教信仰、性取

向等；

3）个人信息遭到泄露或者非法使用，可能直接或间接危害个人信息主体的人身、财产安全，如

10

DB32/T4608.1—2023

家庭住址、家属关系等家庭相关信息，身份证复印件等。

c）对于在库表、数据文件存储的数据分级标记应细化至数据的数据项（字段）级，相关库表、文件的

级别按照包含数据项（字段）的最高敏感级别定级。

d）对数据接口定级按照其响应请求返回数据项（字段）中敏感级别最高的数据项（字段）级别定级。

e）其他数据按照5.2数据分级方法的判定规则自主定级。

5.3.3数据集定级

数据集规模达到国家相关部门规定的数量时，应在数据项（字段）级别基础上提高敏感级别。

示例：某数据资源所包含的数据项（字段）级别均为二级，但其数据集规模超过了100万条，则数据集

敏感级别可考虑定为三级及以上。

5.3.4业务场景定级

5.3.4.1公共数据定级应结合业务场景，考虑在业务场景下产生的衍生数据的安全风险，应结合场景、数

据可加工整合关联处的衍生数据综合判定数据级别。在数据授权运营、数据交易等业务场景下，应加强

研判数据在特定场景下的敏感级别是否发生变化，确定数据敏感级别后开展相关业务。

示例：数据集A采用了删除身份证号码中间8位的匿名处理后开放（如320201********1234），但数据集B中包含了

个人生日信息，在这种情况下，两类数据整合关联等同于获取了个人全部身份证号码，应当对A、B重新定为更高敏感级

别，或改变匿名处理方式后重新定级。

5.3.4.2公共数据在业务场景中加工程度不同，可形成不同的衍生数据，例如：脱敏数据、标签数据、统计

数据、融合数据等，常见衍生数据定义和示例见表3。

表3衍生数据定义和示例表

衍生数据定义示例

去标识化的手机号码（如138*******6）等，个人信息

脱敏数据对数据按照脱敏规则进行变形处理后的新数据

去标识化、匿名化处理后的数据属于脱敏数据

对用户个人敏感属性等数据进行区间化、分级化、统

标签数据偏好标签、关系标签等

计分析后形成的非精确的模糊化标签数据

群体性综合性数据，是由多个用户个人或实体对象的群体用户位置轨迹统计信息、群体统计指数、交易统

统计数据

数据进行统计或分析后形成的数据计数据、统计分析报表、分析报告方案等

融合数据对不同业务目的或地域的数据汇聚，进行挖掘或聚合多个业务、多个地市的数据整合、汇聚等

5.3.4.3衍生数据级别宜依据就高从严原则，对照加工的原始数据集级别进行定级，同时可按照数据加

工程度进行升级或降级：

a）脱敏数据级别可比原始数据集级别降低，去标识化的个人信息不低于二级，匿名化的个人信息

可设置为一级；

b）标签数据级别可比