附录F （资料性） 动态更新情形参考 数据分类分级完成后，当数据的业务属性、重要程度和可能造成的危害程度的变化时通常需要进 行动态更新，动态更新常见情形包括但不限于： a)数据内容发生变化，导致原有数据的安全级别不再适用； b)数据内容未发生变化，但数据时效性、数据规模、数据应用场景、数据加工处理方式等发生 显著变化； c)多个原始数据直接合并，导致原有的安全级别不再适用合并后的数据； d)因对不同数据选取部分数据进行合并形成的新数据，导致原有数据的安全级别不再适用合并 后的数据； e)不同数据类型经汇聚融合形成新的数据类别，导致原有的数据级别不再适用于汇聚融合后的 数据； f)数据进行脱敏或删除关键字段，或者经过去标识化、假名化、匿名化处理； g)发生数据安全事件，导致数据敏感性发生变化； h)因国家或行业主管部门要求，导致原定的数据级别不再适用； i)需要对数据安全级别进行变更的其他情形。 19 附录G （资料性） 一般数据分级参考 G.1一般数据分4级参考 按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，对社会稳定、公共利益或个人、 组织合法权益等造成的危害程度，将一般数据从低到高分为1级、2级、3级、4级共四个级别： a)1级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，不会对个人权益、组 织合法权益造成危害。1级数据具有公共传播属性，可对外公开发布、转发传播，但也需考 虑公开的数据量及类别，避免由于类别较多或者数量过大被用于关联分析； b)2级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对个人权益、组 织合法权益造成一般危害。2级数据通常在组织内部、关联方共享和使用，相关方授权后可 向组织外部共享； c)3级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对个人权益、组 织合法权益造成严重危害。3级数据仅可由授权的内部机构或人员访问，如果要将数据共享 到外部，需要满足相关条件并获得相关方的授权； d)4级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对个人权益、组 织合法权益造成特别严重危害，或可能对公共利益、社会稳定造成一般危害。4级数据按照 批准的授权列表严格管理，仅能在受控范围内经过严格审批、评估后才可共享或传播。 G.2一般数据分3级参考 按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，对社会稳定、公共利益或个人、 组织合法权益等造成的危害程度，将一般数据从低到高分为1级、2级、3级共三个级别： a)1级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对个人权益、组 织合法权益造成一般危害； b)2级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对个人权益、组 织合法权益造成严重危害； c)3级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对个人权益、组 织合法权益造成特别严重危害，或者可能对公共利益、社会稳定造成一般危害。 G.3一般数据分2级参考 按照数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，对社会稳定、公共利益或个人、 组织合法权益等造成的危害程度，将一般数据从低到高分为1级、2级： a）1级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对个人权益、组 织权益造成一般或严重危害； b）2级数据：数据一旦遭到泄露、篡改、破坏或者非法获取、非法利用，可能对个人权益、组 织权益造成特别严重危害，或者可能对公共利益、社会稳定造成一般危害； G.4最低参考级别 一般数据分级要考虑敏感个人信息等特定类型数据的敏感性，特定类型数据最低参考级别包括： a）在一般数据分4级框架下，特定类型一般数据的最低参考级别如下： 1)敏感个人信息不低于4级，一般个人信息不低于2级； 20 2)组织内部员工个人信息不低于2级； 3)去标识化的个人信息不低于2级，匿名化个人信息不低于1级； 4)个人标签信息不低于2级； 5)有条件开放/共享的公共数据级别不低于2级，禁止开放/共享的公共数据或政务数据不低 于4级。 b）在一般数据3级框架下，敏感个人信息不低于3级，禁止开放/共享的公共数据或政务数据不 低于3级。 c）在一般数据2级框架下，敏感个人信息不低于2级，禁止开放/共享的公共数据或政务数据不 低于2级。 21 附录H （资料性） 个人信息分类示例 表H.1给出了个人信息的一级类别、二级类别和相关数据示例。 表H.1个人信息分类参考示例 一级类别二级类别典型示例和说明 自然人基本情况信息，如个人姓名、生日、年龄、性别、 个人基本资料个人基本资料民族、国籍、籍贯、婚姻状况、家庭关系、住址、个人电 话号码、电子邮件地址、兴趣爱好等 可直