《数据安全技术数据分类分级规则》（GB/T 43697-2024）

是我国首部以“数据安全技术”命名的国家标准，2024-10-01 起实施，为行业主管部门、地方及数据处理者提供了一套通用、可落地的“分类-分级-保护”方法论。以下从“为什么、分什么、怎么分、怎么用”四个维度做系统总结。

一、制定背景与定位

1. 法律衔接：直接落实《数据安全法》第 21 条“国家建立数据分类分级保护制度”的要求。

2. 适用边界：适用于所有非涉密、非军事数据；既可指导行业制定细则，也可供企业直接落地。

3. 基本原则：科学实用、边界清晰、就高从严、点面结合、动态更新。

二、分类规则：先行业后属性，两条线逐级细化

1. 行业领域层（一级）

工业、电信、金融、能源、交通、自然资源、卫生健康、教育、科学等 9 大典型行业。

2. 业务属性层（二级及以下）

统一 9 个维度：业务领域、责任部门、描述对象、流程环节、数据主体、内容主题、数据用途、数据处理活动、数据来源。

3. 特殊类别识别

在分类过程中必须同步识别个人信息、公共数据、商业秘密、国家秘密事项等，便于后续合规义务叠加。

1. 分级框架

核心数据 → 重要数据 → 一般数据（一般数据可再细分为内部敏感、有条件共享、完全开放等子级）。

2. 分级要素（7+1）

领域、群体、区域、精度、规模、深度、覆盖度 + 重要性。

3. 影响分析

一旦泄露、篡改、毁损或非法使用，可能影响的对象：国家安全、经济运行、社会稳定、公共利益、个人/组织合法权益；影响程度：特别严重、严重、一般。

4. 级别判定口诀

“就高不就低”——只要有一个维度达到高级别标准，即按高级别定级；动态业务变化导致风险升高时，随时升级。

1. 行业侧循环

制定行业标准 → 明确核心/重要数据识别细则 → 组织企业开展分类分级 → 汇总形成行业目录 → 报主管部门并动态更新。

2. 数据处理者循环（五步法）

① 资产梳理 → ② 制定内部规则 → ③ 实施分类 → ④ 实施分级 → ⑤ 审核、标识、上报目录 → ⑥ 动态更新管理。

3. 动态更新触发场景

业务变更、数据规模突变、法律法规调整、出现重大数据安全事件等，需在 15 个工作日内完成重新定级与报备。

1. 附录提供 10+ 模板：个人信息分类示例、重要数据识别指南、衍生数据分级参考、影响程度示例等，可直接套用。

2. 与等保、关基、密码、个人信息保护测评“多规融合”，一次测评满足多项合规，降低重复投入。

3. 支持自动化落地：标准文本已给出字段级标识建议，便于在数据仓库、API、数据库打标签，对接 DLP、脱敏、加密、访问控制等技术措施。

1. 分级过松 → 采用“就高从严”复核；引入第三方评估。

2. 目录更新滞后 → 建立“数据分级变更”工单流程，纳入 SLA 考核。

3. 行业细则缺失 → 先按国标通用规则执行，同时主动参与行业标准制定，掌握话语权。

GB/T 43697-2024 把“分类-分级-保护”从法律要求转化为可执行、可检查、可度量的技术过程。行业组织和企业只需“套用框架 + 填充业务特征 + 动态维护”，即可快速建立符合国家要求、兼具实操性的数据安全分类分级体系。