ICS35.040 CCSL72 中华人民共和国民政行业标准 MZ/T165—2020 居民家庭经济状况核对数据安全管理要求 Verificationserviceforthefamilyeconomyinformation—DataSecurity ManagementRequirements 2020-12-22发布 2020-12-22实施 中华人民共和国民政部  发布MZ/T165—2020 I目次 前言.......................................................................................................................................................................II 1范围...................................................................................................................................................................1 2规范性引用文件...............................................................................................................................................1 3术语和定义.......................................................................................................................................................1 附录A（资料性）核对业务数据标记编码表.................................................................................................4MZ/T165—2020 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。 本文件由民政部低收入家庭认定指导中心提出。 本文件由民政部社会救助司归口。 本文件起草单位：民政部低收入家庭认定指导中心。 本文件主要起草人：宝力高、李刚、霍海龙、张耀、刘德林。 本文件为首次发布。MZ/T165—2020 1居民家庭经济状况核对数据安全管理要求 1范围 本文件定义居民家庭经济状况核对业务中的数据分类、分级和标记方法，提出数据保护要求。 本文件适用于居民家庭经济状况核对业务范围。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 中华人民共和国网络安全法 GB/T25069-2010信息安全技术术语 GB/T35273-2020信息安全技术个人信息安全规范 GB/T22239-2019信息安全技术信息系统安全等级保护基本要求 GB／T37988-2019信息安全技术数据安全能力成熟度模型 MZ/T072-2016居民家庭经济状况核对总则 MZ/T073-2016居民家庭经济状况核对数据元 MZ/T074-2016居民家庭经济状况核对数据接口 MZ/T108-2018居民家庭经济状况核对信息安全管理规范 MZ/T075-2016居民家庭经济状况核对档案管理 3术语和定义 GB/T25069—2010信息安全技术界定的术语和定义适用于本文件。 保密性confidentiality 使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。 完整性integrity 保卫资产准确性和完整的特性。 匿名化anonymization 通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原 的过程。 去标识化de-identification 通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的 过程。 个人生物识别信息personalbiometricinformation 个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。 4技术要求 数据分类要求MZ/T165—2020 2各级核对机构应依据数据分类的要求，对本级居民家庭经济状况核对系统中的业务数据进行分类。 居民家庭经济状况核对系统中的业务数据应依据《MZ/T073—2016居民家庭经济状况核对数据元》 的要求将业务数据分为五类，分别为：基础信息类、家庭收入类、家庭财产类、家庭支出类、扩展信息 类。 a)基础信息类：包括核对总体情况、家庭成员基本情况、家庭成员就业情况、家庭基本情况、 行政区划情况。 b)家庭收入类：包括工资性收入、经营性净收入、财产性收入、转移性收入。 c)家庭财产类：包括车辆、土地、不动产、存款、股票、基金、商业保险、债券、期货、理财、 贵金属。 d)家庭支出类：包括基础消费情况、社会保险缴纳情况、纳税情况、公积金缴纳情况、医疗支 出、大额支出。 e)扩展信息类：包括教育信息、救助信息、司法信息、社会组织管理信息、优抚信息、核对统 计信息、财政供养人员工资信息、涉农信息、第三方支付信息、船舶信息。 数据分级要求 各级核对机构应依据数据分级要求，对本级居民家庭经济状况核对系统中的业务数据进行分级。居 民家庭经济状况核对系统中的业务数据应分为三级，分别为核心数据、重要数据、一般数据。核对业务 中新增数据元时，应同时完成该数据元的分级工作。 4.2.1核心数据 核心数据是指通过数据内容能直接识别出自然人，可能危害人身安全的数据项为核心数据，如姓名、 现居住地地址、证件号码、护照号码、个人基因、指纹、声纹、面部识别特征。 4.2.2重要数据 重要数据是指受到泄露或破坏后，可能损害居民财产安全、名誉、身心健康和导致歧视性待遇的数 据项，为重要数据，如工资、养老金、账户余额、婚姻状况、劳动能力丧失情况。 4.2.3一般数据 一般数据是指受到泄露或破坏后，不危害人身安全，不损害居民财产安全、名誉、身心健康和导致 歧视性待遇的数据项，为一般数据，如户籍类型、出境原因、单位所属类别、农业人口数量。 数据标记要求 各级核对机构应依据数据分类、分级要求，对居民家庭经济状况核对业务数据进行标记。 a)数据分类代码如下： 基础信息类为A； 家庭收入类为B； 家庭财产类为C； 家庭支出类为D； 扩展信息类为Z。 b)数据分级代码如下： 核心数据为3； 重要数据为2； 一般数据为1。 数据标记编码由数据分类代码+数据分级代码构成，例如：“姓名”属于基础信息类，代码为A，数 据分级为核心数据，代码为3，则“姓名”的数据标记编码为A3。 数据保护要求 本项要求包括： a)应依据《GB/T22239-2019信息安全技术信息系统安全等级保护基本要求》中 8.1.4.7-8.1.4.11数据安全的要求对核心数据的保护进行保护；MZ/T165—2020 3b)应依据《GB/T22239-2019信息安全技术信息系统安全等级保护基本要求》7.1.4.7-7.1.4.10 数据安全的要求对重要数据的保护进行保护； c)应依据《GB/T35273-2020信息安全技术个人信息安全规范》中11.6的要求进行人员管理 与培训； d)应依据《GB/T35273-2020信息安全技术个人信息安全规范》中11.7的要求进行安全审计； e)应依据4.3数据标记要求，在数据库表中对核心数据进行标记； f)应依据最小授权访问控制策略和数据标记，对业务数据进行访问控制； g)应根据数据分类分级要求，建立核对系统数据权限审批备案制度； h)利用数据对家庭或个人进行画像时，特征描述不应： 1)包含淫秽、色情、赌博、迷信、恐怖、暴力的内容； 2)表达对民族、种族、宗教、残疾、疾病歧视的内容。 i)在业务办理或对外业务合作中使用家庭或个人画像的，不应： 1)侵害公民、法人和其他组织的合法权益； 2)危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、 破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽 色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序。 j)应对核对系统中的数据操作人员角色与安全管理人员、审计人员的角色进行分离设置； k)应对个人授权有效期内的核心数据和重要数据去标识化处理； l)应对个人授权有效期外的核心数据和重要数据匿名化处理； m)在存储过程中，应采用国密算法对核心数据和重要数据进行加密； n)在传输过程中，应采用国密算法对核心数据和重要数据进行数字签名和加密； o)核心数据中的个人生物识别信息应单独存储； p)非必要情况下，涉及通过界面展示核心数据和重要数据的（如显示屏幕、纸面），应对需展 示的核心数据和重要数据去标识化处理； q)对外提供学术研究或描述的结果时，应对结果中所包含的核心数据和重要数据去标识化处理。MZ/T165—2020 4AA 附录A （资料性） 核对业务数据