DB15/T 4336-2026 市场监管业务数据分类分级规范

　　ICS 35.240.01 CCS L 67

　　15

　　内 蒙 古 自 治 区 地 方 标 准

　　DB15/T 4336—2026

　　市场监管业务数据分类分级规范

　　Specification for classification and grading of market supervision

　　business data

　　2026-03-13 发布 2026-04-13 实施

　　内蒙古自治区市场监督管理局 发 布

　　前 言

　　本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由内蒙古自治区市场监督管理局提出并归口。

　　本文件起草单位：内蒙古自治区市场监督管理局、内蒙古自治区质量和标准化研究院、内蒙古自治区大数据中心。

　　本文件主要起草人：毕力格、苗晓峰、张文辉、苗鹤馨、张学英、崔立群、张建军、于海芹、王斌、马煜、柴永生、朱国新、郝炳洁、贾蕾、张婕、张铎、王博宇、李谭芳、付克嘉、周虹利。

　　市场监管业务数据分类分级规范

　　1 范围

　　本文件规定了市场监管业务数据分类分级的基本要求、数据分类、数据分级等内容。

　　本文件适用于内蒙古自治区市场监管业务数据的产生单位、使用单位、主管单位开展数据的分类分级工作，也适用于第三方数据处理者开展的数据分类分级工作。

　　本文件不适用于涉及国家秘密的数据。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 35273 信息安全技术 个人信息安全规范

　　GB/T 43697-2024 数据安全技术 数据分类分级规则

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3. 1

　　数据 data

　　任何以电子或者其他方式对信息的记录。

　　[来源：GB/T 43697-2024，3.1]

　　3. 2

　　核心数据 core data

　　对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。

　　注：核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

　　[来源：GB/T 43697-2024，3.3]

　　3. 3

　　重要数据 key data

　　特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

　　注：仅影响组织自身或公民个体的数据一般不作为重要数据。

　　3. 4

　　一般数据 general data

　　核心数据、重要数据之外的其他业务数据。

　　3. 5

　　个人信息 personal information

　　以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息。

　　[来源：GB/T 43697-2024，3.5]

　　3. 6

　　数据项 data item

　　具有独立含义、不可再细分的最小数据单位，用来描述信息对象某一属性的特征、取值与规范。 3.7

　　市场监管业务数据 market supervision business data

　　按业务属性市场监管业务数据分为标准信息、产品质量监督管理信息、打传规直信息、登记注册信息、法律法规信息、反垄断信息、反垄断执法办案信息、广告监管信息、计量信息、检验检疫信息、认证认可检验检测信息、食品安全监管信息、特种设备安全监察信息、统一社会信用代码信息、网络交易监管信息、物品编码信息、消费者投诉举报信息、小个专党建信息、信用监管信息、执法办案信息、质量管理信息。

　　3.8

　　敏感个人信息 sensitive personal information

　　一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。

　　[来源：GB/T 43697-2024，3.6]

　　3. 9

　　数据处理者 data processor

　　在数据处理活动中自主决定处理目的、处理方式的组织、个人。

　　[来源：GB/T 43697-2024，3.11]

　　4 基本要求

　　4,1 合法合规

　　数据分类分级应遵循国家、地方有关法律法规及市场监管部门的相关行业管理要求。

　　4. 2 科学实用

　　从便于数据管理和使用的角度，科学选择常见、稳定的属性或特征作为数据分类的依据，并结合实际需要对数据进行细化分类。

　　4. 3 就高从严

　　数据分级时应结合数据的应用场景、组合、取值、数据量的大小等，力求数据分级准确合理。当数据项包含多种定级要素时，应按照最高级别的定级要素确定级别。

　　4,4 动态调整

　　应根据数据的业务属性、重要性和可能造成的危害程度的变化，定期对数据分类分级结果、数据目录进行审核并及时调整。

　　5 数据分类

　　5. 1 分类对象

　　分类对象应包括市场监管业务属性的数据项和数据项的集合。

　　5.2 分类规则

　　市场监管业务数据宜按照三级分类管理，分类规则应符合以下要求：

　　a) 明确分类的业务数据范围，根据业务属性进行一级分类;

　　b) 根据法定工作职责或实际承担的工作任务进行二级分类;

　　c) 根据产生和使用该数据的具体业务进行三级分类;

　　d) 个人信息和敏感个人信息的分类应符合 GB/T 35273 的相关要求;

　　e) 分类示例见附录 A。

　　5.3 分类流程

　　数据分类流程见图1，具体流程如下：

　　a) 梳理数据资产：全面梳理数据资产，明确应用场景和数据责任主体，形成数据目录;

　　b) 确定分类对象：根据数据业务类型、应用场景、产生来源等特性确定分类对象;

　　c) 按业务属性分类：参照 3.6 列举业务进行分类;

　　d) 确定分类结果：主管部门审批通过后，最终确定数据分类。

　　图1 分类流程图

　　6 数据分级

　　6. 1 分级对象

　　分级对象应是已分类的数据项和数据项的集合。

　　6. 2 分级方法

　　6.2.1 分级要求

　　数据分级通过定量与定性相结合的方式，应符合以下要求：

　　a) 识别数据来源，如果数据来源于其他行业领域且已有数据分级，则此类数据分级时应将已有分级作为重要参考因素;

　　b) 识别数据分级要素情况，根据分级要素分析，确定数据一旦遭到篡改、破坏、泄露或者非法获取、非法利用的影响对象及影响程度，将数据从高到低分为核心数据、重要数据、一般数据三个级别;

　　c) 一般数据由高到低应分为一般数据 4 级、一般数据 3 级、一般数据 2 级、一般数据 1 级四个级别;

　　d) 分级示例见附录 B。

　　6.2.2 分级要素

　　宜包括数据涉及的业务领域、群体、区域、规模、深度、覆盖度、重要性等，应符合GB/T 43697- 2024中6.3的相关要求。

　　6.2.3 影响对象

　　宜包括国家安全、经济运行、社会秩序、公共利益、组织权益和个人权益，应符合GB/T 43697-2024中6.4.1的相关要求。

　　6.2.4 影响程度

　　宜包括特别严重危害、严重危害、一般危害、无危害，应符合GB/T 43697-2024中6.4.2的相关要求。

　　6.3 级别确定规则

　　6.3.1 核心数据

　　核心数据的确定规则应符合GB/T 43697-2024中6.5 a的相关要求，在市场监管领域中，满足以下任一条件的数据也应识别为核心数据：

　　a) 遭到篡改、损毁，可造成 50%及以上的政务服务运行中断的数据;

　　b) 遭到篡改、损毁，可造成 50%及以上的关键信息基础设施无法使用的数据;

　　c) 遭到篡改、损毁，可导致 4 项以上市场监管主要业务(见 5.2.2)工作无法开展的数据;

　　d) 其他经评估确定的核心数据;

　　e) 核心数据分级规则见表 1。

　　表1 核心数据分级规则

　　6.3.2 重要数据

　　重要数据的确定规则应符合GB/T 43697-2024中6.5b的相关要求，在市场监管领域中，满足以下任一条件的数据也应识别为重要数据：

　　a) 遭到篡改、损毁，可造成 20%及以上的政务服务运行中断的数据;

　　b) 遭到篡改、损毁，可造成 20%及以上的关键信息基础设施无法使用的数据;

　　c) 遭到篡改、损毁，可导致 l 项以上市场监管主要业务(见 5.2.2)工作无法开展的数据;

　　d) 数据共享交换和共同使用的政府部门达到 10 个以上的数据;

　　e) 包含规模在 10 万条以上敏感个人信息或 100 万条以上一般个人信息的数据;

　　f) 其他经评估确定的重要数据;

　　g) 重要数据分级规则见表 2。

　　表2 重要数据分级规则

　　6.3.3 一般数据

　　一般数据的分级规则见表3，一般数据的定级应符合以下要求：

　　a) 一般数据 4 级：数据遭到篡改、破坏、泄露或者非法获取、非法利用，可能造成对个人合法权益、组织合法权益的特别严重危害，对经济运行、社会秩序、公共利益造成一般危害，但对国家安全不会造成危害。一般数据 4 级按批准的授权列表严格管理，应在受控范围内严格审批、评估后可共享或传播;

　　b) 一般数据 3 级：数据遭到篡改、破坏、泄露或非法获取、非法利用，可能造成对个人合法权益、组织合法权益的严重危害。一般数据 3 级仅能由数源单位授权的内部机构人员访问，若需将数据共享到外部，应满足相关条件或获得相关方授权;

　　c) 一般数据 2 级：数据遭到篡改、破坏、泄露或非法获取、非法利用，可能造成对个人合法权益、组织合法权益的一般危害。一般数据 2 级通常在单位内、关联单位间共享、使用，经授权后可向单位外共享;

　　d) 一般数据 1 级：数据遭到篡改、破坏、泄露或非法获取、非法利用，不会造成对个人合法权益、组织合法权益的危害。一般数据 1 级具有公示属性，可对外公开发布、转发传播，但应考虑公开数据的量和类别，避免因较多的类别或过大的数据量被用于关联分析。

　　表3 一般数据分级规则

　　6. 4 级别变更

　　数据分级完成后，当数据内容、属性等发生变化时，应对变化的部分重新梳理并按程序动态更新，变更场景包括但不限于以下内容：

　　a) 数据内容变化导致原定数据级别不再适用的，如数据脱敏后，数据级别相应降低;

　　b) 数据内容相同，但因数据定级要素如时效性、规模、应用场景等发生变化，导致原数据级别不再适用，如数据更新频率增加，数据级别相应升高;

　　c) 多项原始数据直接合并导致原定数据级别不再适用，如同类数据条数因合并后增加，数据级别相应升高;

　　d) 不同数据抽取部分合并形成的新数据或多种数据类型汇聚融合形成新数据类型，导致原定数据级别不再适用，如可能导致数据被关联分析，数据级别相应升高;

　　e) 因国家和行业主管部门要求或政策变化，导致原定数据级别不再适用;

　　f) 需要对市场监管业务数据安全级别变更的其他情形;

　　g) 级别变更宜每年 1 次定期审核，及时发现和变更数据级别;

　　h) 数据安全级别变更见附录 C。

　　6.5 保护措施

　　数据分级完成后，根据不同数据分级情况进行保护措施，数据安全保护、数据共享、数据安全等级变更措施，见附录D。

　　6.6 分级流程

　　数据分级流程见图2，具体流程如下：

　　a) 梳理数据资产：全面梳理数据资产，明确应用场景和数据责任主体，形成数据目录;

　　b) 确定分级对象：初步确定拟分级的数据范围和对象;

　　c) 分级要素识别：识别数据的来源、领域、群体、区域、规模、深度、覆盖度、重要性等分级要素情况;

　　d) 确定数据级别：结合现有和可预期的数据应用场景，综合考虑数据发生篡改、破坏、泄露或者非法获取、非法利用的影响对象及影响程度，确定数据级别(见 6.3);

　　e) 审核分级结果：组织网络安全和业务专家对数据分级结果进行评审，确保分级的准确性和科学性，若专家不通过，应重新确定数据级别;

　　f) 确定分级结果：主管部门确认后，最终确定数据分级。

　　图2 分级流程图

　　A

　　A

　　附 录 A

　　(资料性)

　　数据分类示例

　　表A.1给出了以登记注册和信用监管业务属性分类规则的部分参考示例。

　　表A.1 数据分类示例

　　表A.1 数据分类示例(续)

　　B

　　B

　　附 录 B

　　(资料性)

　　数据分级示例

　　表B.1给出了以经营主体登记相关业务数据的分级参考示例。

　　表B.1 经营主体登记相关业务数据的分级参考

　　C

　　C

　　附 录 C

　　(资料性)

　　数据级别变更示例

　　表C.1给出了数据安全级别变更的参考示例。

　　表C.1 数据升级降级示例

　　D

　　D

　　附 录 D

　　(资料性)

　　数据分级保护措施

　　表D.1给出了以登记注册数据共享、保护、变更措施的参考。

　　表D.1 数据分级保护措施示例

　　表D.1 数据分级保护措施示例(续)