一、GB/T 35273-2020 信息安全技术 个⼈信息安全规范

个⼈信息

个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息，如姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。

判定某项信息是否属于个人信息，应考虑以下两条路径：

一是识别，即从信息到个人，由信息本身的特殊性识别出特定自然人，个人信息应有助于识别出特定个人。

二是关联，即从个人到信息，如已知特定自然人，由该特定自然人在其活动中产生的信息（如个人位置信息、个人通话记录、个人浏览记录等）即为个人信息。

符合上述两种情形之一的信息，均应判定为个人信息。

个人信息的类型及示例

个人敏感信息

个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，14岁以下（含）儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息。

可从以下角度判定是否属于个人敏感信息：

泄露：个人信息一旦泄露，将导致个人信息主体及收集、使用个人信息的组织和机构丧失对个人信息的控制能力，造成个人信息扩散范围和用途的不可控。某些个人信息在泄漏后，被以违背个人信息主体意愿的方式直接使用或与其他信息进行关联分析，可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，个人信息主体的身份证复印件被他人用于手机号卡实名登记、银行账户开户办卡等。

非法提供：某些个人信息仅因在个人信息主体授权同意范围外扩散，即可对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，性取向、存款信息、传染病史等。

滥用：某些个人信息在被超出授权合理界限时使用（如变更处理目的、扩大处理范围等），可能对个人信息主体权益带来重大风险，应判定为个人敏感信息。例如，在未取得个人信息主体授权时，将健康信息用于保险公司营销和确定个体保费高低。

个人敏感信息的类型及示例

二、工业数据分类分级指南（试行）

根据不同类别⼯业数据遭篡改、破坏、泄露或⾮法利⽤后，可能对⼯业⽣产、经济效益等带来的潜在影响，将⼯业数据分为⼀级、⼆级、三级等3个级别。

三、YD/T 3813—2020 基础电信企业数据分类分级方法

四、JR/T 0197-2020 金融数据安全 数据安全分级指南

本标准根据⾦融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从⾼到低划分为5级、4级、3级、2级、1级。

五、GB/T 39725-2020 信息安全技术 健康医疗数据安全指南

根据数据重要程度、⻛险级别以及对个⼈健康医疗数据主体可能造成的损害和影响的级别进⾏分级，可将健康医疗数据划分为以下5级：

六、JR/T 0158-2018 证券期货业数据分类分级指引

本标准中的数据等级分为四级，描述标识分为数据级别标识和数据重要程度标识两类，相互⼀⼀对应。数据定级⼀般使⽤等级本标准中的数据等级分应。

a）数据级别标识，从⾼到低划分为：4、3、2、1。

b）数据重要程度标识，与数据级别标识相对应，从⾼到低划分为：极⾼、⾼、中、低。

七、GB/T 38667-2020 信息技术 大数据 数据分类指南

八、DB 52/T 1123-2016 政务数据 数据分类分级指南

政府数据的分级由数据的敏感程度划分，分为如下3个级别。

九、TC260-PG-20212A 网络安全标准实践指南-网络数据分级分类指引

按照该指引，数据可以分为核⼼数据、重要数据及⼀般数据。按照数据⼀旦遭到篡改、破坏、泄露或者⾮法获取、⾮法利⽤，对个⼈、组织合法权益造成的危害程度，将⼀般数据从低到⾼分为1级、2级、3级、4级共四个级别。