茂名职业技术学院公共数据分级分类指南（试行）

 

一、引言

为深入贯彻《中华人民共和国数据安全法》，根据《关于加强教育系统数据安全的指导意见》、《教育部关于加强新时代教育管理信息化工作的通知》相关要求，为规范教育系统通过信息化手段开展的数据活动，保护广大师生的合法权益，提升数据治理水平，特制订茂名职业技术学院公共数据分级分类指南。

近年来，学校教育信息化快速发展，掌握了大量的个人信息和重要数据，为教育教学、决策管理和公众服务提供了有力支撑。本指南规定了学校公共数据开放的分级分类流程、要点、方法、示例等内容，我校公共数据开放主体根据本指南对公共数据进行分级分类，并采取相应风险防控和安全保障措施，全面保障我校公共数据开放工作有力有序开展。

二、范围

本指南适用于我校二级单位及职能部门建设或管理，服务于我校教学、科研或管理的过程中，采集和产生的各类数据资源面向我校开放的分级分类。

涉及国家秘密的公共数据管理，按照相关保密法律、法规的规定执行，不纳入公共数据开放范围。

 

三、规范性引用文件

《教育部关于加强新时代教育管理信息化工作的通知》（教科信函〔2021〕13号）

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

GB/T 37973-2019 《信息安全技术 大数据安全管理指南》

GB/T 35273-2020 《信息安全技术 个人信息安全规范》

GB/T 38667-2020 《信息技术 大数据 数据分类指南》

四、术语和定义

1.公共数据开放分级

公共数据开放分级是指在公共数据开放过程中，从公共数据安全要求、个人信息保护要求和应用要求等因素，将公共数据分为不同级别的管理方式。

2.公共数据开放分类

公共数据开放分类是指在公共数据开放过程中，将公共数据分为无条件开放、有条件开放、非开放三种开放类别的管理方式。

3. 个人敏感信息

一旦遭到泄露或修改，会对标识的个人信息主体造成不良影响的个人信息。个人敏感信息的具体内容根据接受服务的个人信息主体意愿和各自业务特点确定。例如个人敏感信息可以包括身份证号码、手机号码、种族、政治观点、宗教信仰，以及基因、照片、指纹等生物特征数据。

4.数据脱敏

对某些敏感信息，通过脱敏规则进行数据的变形、隐藏等处理，实现敏感隐私数据的可靠保护。

五、分级分类原则

1.依从性

分级分类应遵循国家、地方、部门法律法规、相关规定的要求。

2.安全性

分级分类应以公共数据安全可控开放为基础。

3.自主性

数据开放主体应按照分类分级方法，结合工作实际，自主对公共数据进行分类分级。

4.科学性

分级分类应符合公共数据的多维特征及其相互间客观存在的逻辑关联。

5.需求导向

分级分类应充分考虑二级单位及职能部门对开放数据的实际需求。

6.可操作性

分级分类应具有可操作性，能够快速有效地制定妥善的开放方式。

7.可扩展性

分级分类应充分考虑国际国内发展趋势，定期征询相关专家咨询组织，完善和调整分级分类规则。

六、公共数据开放类别

公共数据分为以下三种开放类别：

表1：公共数据开放类别

序号	开放类别	说明
1	非开放	涉及科研机密、个人隐私，或者法律、法规规定不得开放的公共数据
2	有条件开放	对数据安全和处理能力要求较高、时效性较强或者需要持续获取的公共数据
3	无条件开放	除上述非开放和有条件开放以外的其他公共数据

1.无条件开放类

对列入无条件开放类的公共数据，数据开放主体应当通过开放平台主动向社会开放。自然人、其他组织及在校师生无需申请即可获取、使用或者传播该类数据。

2.有条件开放类

对列入有条件开放类的公共数据，数据开放主体应当通过平台公示开放条件，自然人、其他组织及在校师生通过开放平台向数据开放主体提交数据开放申请，并说明申请用途、应用场景和安全保障措施等信息，符合条件的，可以获取公共数据。

3.非开放类

对列入非开放类的公共数据，暂时不纳入开放范围。经数据脱敏处理后符合开放要求的，可将处理后的数据纳入无条件开放或有条件开放类。

七、分级分类规则

公共数据的开放级别按照公共数据描述的对象，从三个维度分别展开：个人、组织、客体。个人指在校师生；组织指本校二级单位及职能部门；客体指学校非个人或组织的客观实体，如道路、建筑等。

1.个人维度

表2：个人维度开放级别

开放级别	数据特征	数据示例	开放类型
A0	匿名非敏感数据	通过任何技术手段均不能识别到具体自然人身份，并且不包含个人敏感信息的数据。例如：图书馆访客流量数据。	无条件开放
A1	非匿名非敏感数据	可以通过一定技术手段识别到个人，但不包含个人敏感信息的数据	有条件开放
A2	匿名敏感数据	不能识别到具体自然人身份，包含个人敏感信息的数据。
A3	非匿名敏感数据	可以通过一定技术手段识别到个人，且包含个人敏感信息的数据。例如：个人身份证号等数据。	非开放

注：数据提供主体可以根据学校需求，对非开放类数据进行数据脱敏处理，降级后按对应类别开放。

2.组织维度

表3：组织维度开放级别

开放级别	数据特征	数据示例	开放类型
B0	可从公开途径获取或者法律法规授权公开的数据	（1）组织发布在网站、宣传册中或任何其他公开来源的数据；   （2）组织涉及行政、司法行为、公共事项必须披露的数据；   （3）依据法律法规必须公开的数据	无条件开放
B1	数据用于支撑组织运营管理和业务开展，或可反映出组织状况，在特定范围内对象知晓	（1）组织水、电、气等资源消耗数据；   （2）组织人员信息等数据；   （3）组织应披露但未到披露时间节点的各类信息，如师生评优评先等。	有条件开放
B2	数据涉及到组织核心利益，数据的泄露会对组织造成财务、声誉、技术等方面的影响	（1）技术信息：技术设计、技术样品、质量控制、应用试验、工艺流程、工业配方、化学配方、制作工艺、计算机程序等； （2）隐私信息：学生名单、教师个人信息等	非开放

3.客体维度

表4：客体维度开放级别

 

 

 

开放级别	数据特征	数据示例	开放类型
C0	可从公开途径获取或者法律法规授权公开的数据	(1)公共设施、设备的位置、指标参数、运行状态、统计数据等；   (2)环境保护、公共卫生、安全生产、食品药品、产品质量的监督检查情况。	无条件开放
C1	数据开放风险低，对公共秩序、公共利益影响较小	(1)学校公共卫生间、充电桩、公交站等公共服务设施的分布及状态等；   (2)学校道路车流量、道路、桥梁、隧道等可通行数据。	有条件开放
C2	数据开放风险中等，数据非授权操作后会对个人、企业、其他组织或国家机关运作造成损害	(1)图书馆客流量统计数据、书籍使用统计数据等；   (2)公共治安视频数据等。
C3	数据开放风险较高，数据非授权操作后会对师生、二级单位、其他组织或国家造成严重损害	(1)重要公共或基础设施的详细数据； (2)高精度的工业、地理、气象测绘数据等；(3)各行业监管部门单独规定的本行业高风险数据等。	非开放

八、分级分类流程

分级分类按照以下流程进行：

1.确定分级分类对象

分级分类的对象为茂名职业技术学院信息资源共享交换平台中已编目的数据集。

2.进行数据分级分类

数据开放主体按照第7章所述内容，对照表2、表3、表4，确定数据集在个人、组织、客体三个维度的开放级别和开放类别。

3.确定开放条件

对于无条件开放类数据，直接开放数据集；

对于有条件开放类数据，根据开放级别，确定公共数据开放条件。由数据使用主体申请使用，数据开放主体评估符合条件后开放；

对于非开放类数据，不予开放；

4.非开放类数据处理

对于非开放类数据，经数据脱敏处理后符合开放要求的，可将处理后的数据重新进行分级，纳入无条件开放或有条件开放类后开放。

九、数据开放条件

1.数据安全要求

附表1

 

2.应用场景要求

附表2

 

 

 

 

 

 

 

3.反馈要求

附表3

 

十、分级分类示例

数据集名称：学生学校受处罚信息。

字段：决定书编号，处罚当事人，事实经过，处罚依据，处罚结果，执行主体，处罚日期。

1.   数据分级

A.个人维度：处罚当事人、含有个人姓名，处罚事实、处罚结果、处罚日期属于个人非敏感信息。列入A1级。

B.组织维度：决定书编号，执法主体为低风险的数据项，如果泄露不会造成对组织的不良影响。列入B0级。

C.客体维度：处罚依据为公开可查询的客体信息，造成不良影响风险较低。列入C0级。

数据集整体描述了学生违规的处罚情况，无国家秘密、商业机密。

综上，本数据集的开放级别为A1，B0，C0级。

2.   数据分类：

由于A1级为有条件开放，B0、C0为无条件开放，因此本数据集为有条件开放。

3.   确定开放条件：

查询附表1、2、3中A1级所对应的开放条件可得：

数据使用主体需有基础的数据安全保护能力（需提供数据安全保护负责人和联系方式，有数据安全和隐私保护制度），并提供个人数据使用授权书，应用场景不得用于个人敏感信息挖掘，需配合定期抽查数据使用情况，形成成果的，应当注明数据使用来源。