查看和跟踪敏感数据分类结果¶

本主题介绍如何查看和跟踪敏感数据分类结果，以及如何通过跟踪分类标签来监控敏感数据。

使用 Trust Center 查看分类结果¶

要在 Trust Center 中查看敏感数据分类结果，请完成以下步骤：

以具有 |sf-web-interface-link|所需权限 :ref:`<label-classify_trust_center_access_control> 的用户身份登录 `。
在导航菜单中，选择 Governance & security » Trust Center。
选择 Data Security 选项卡。
执行下列操作之一：
- 如果您希望从宏观层面了解敏感数据的安全状况，请选择 Dashboard 选项卡。有关更多信息，请参阅查看仪表板页面。
- 如果您希望列出所有被分类为包含敏感数据的表和视图，请选择 Sensitive objects 选项卡。
  
  页面打开后，选择一个表，以查看哪些列包含敏感数据、这些列所属的语义类别，以及是否已对这些列应用标签。

查看仪表板页面¶

Dashboard 页面通过提供已分类的数据库和表的数量，帮助您从整体上了解敏感数据的安全状况。该页面包含以下磁贴：


磁贴	描述
Objects by compliance category	根据对象中包含的信息类型，识别可能受法规或其他合规标准约束的数据对象数量。备注合规性类别与语义类别之间的映射并不全面。只有 Snowflake 支持的原生语义类别才会映射到合规性类别。有关完整映射，请参阅合规性类别及其语义类别。您需自行负责确定哪些法规或法律适用于您的数据，并确保遵守相关法规或法律。
Objects by semantic category	识别最常见的语义类别，以及包含这些类别数据的对象数量。
Databases monitored by auto-classification	识别当前由敏感数据分类监控的数据库。如果有人使用 SQL 在数据库中的某个架构上直接设置分类配置文件，而不是在数据库级别设置配置文件，则该数据库将被视为部分监控。
Classification status	识别当前受敏感数据监控的所有数据库是否均已完成分类。
Sensitive data masking status	识别敏感数据是否受掩码策略保护。掩码策略可以是基于标签的策略，也可以是手动应用到列上的策略。如果包含敏感数据的每一列都关联了掩码策略，则该表为完全掩码。如果仅有部分包含敏感数据的列关联了掩码策略，则该表为部分掩码。

合规性类别及其语义类别¶

备注

您需自行负责确定哪些法规或法律适用于您的数据，并确保遵守相关法规或法律。敏感数据分类中的合规性类别旨在为您提供开箱即用的工具支持，但并不全面。仅 Snowflake 支持的原生语义类别会映射到合规性类别。

警告

HIPAA 数据要求规定，受监管实体和业务伙伴必须通过严格的行政、物理和技术保障措施，保护受保护健康信息 (PHI) 的机密性、完整性和可用性。不遵守 HIPAA 可能会导致重大处罚。与 PHI 相关的语义类别包含在敏感信息中。

请使用下表来了解 Dashboard 页面中的 Objects by compliance category 磁贴。


合规类别	原生语义类别	区域设置
数字个人数据保护法 (DPDPA)	DATE_OF_BIRTH	不适用
	DRIVERS_LICENSE	印度 (IN)
	EMAIL	不适用
	NAME	不适用
	NATIONAL_IDENTIFIER	印度 (IN)
	PHONE_NUMBER	不适用
	STREET_ADDRESS	不适用
	TAX_IDENTIFIER	印度 (IN)
通用数据保护条例 (GDPR)	AGE	不适用
	DRIVERS_LICENSE	奥地利 (AT)、比利时 (BE)、保加利亚 (BG)、克罗地亚 (HR)、塞浦路斯 (CY)、捷克共和国 (CZ)、丹麦 (DK)、爱沙尼亚 (EE)、芬兰 (FI)、法国 (FR)、德国 (DE)、希腊 (GR)、匈牙利 (HU)、爱尔兰 (IE)、意大利 (IT)、拉脱维亚 (LV)、立陶宛 (LT)、卢森堡 (LU)、马耳他 (MT)、荷兰 (NL)、波兰 (PL)、葡萄牙 (PT)、罗马尼亚 (RO)、斯洛伐克 (SK)、斯洛文尼亚 (SI)、西班牙 (ES)、瑞典 (SE)
	EMAIL	不适用
	ETHNICITY	不适用
	GENDER	不适用
	IBAN	不适用
	IMEI	不适用
	IP_ADDRESS	不适用
	NAME	不适用
	NATIONAL_IDENTIFIER	奥地利 (AT)、比利时 (BE)、保加利亚 (BG)、克罗地亚 (HR)、塞浦路斯 (CY)、捷克共和国 (CZ)、丹麦 (DK)、爱沙尼亚 (EE)、芬兰 (FI)、法国 (FR)、德国 (DE)、希腊 (GR)、匈牙利 (HU)、爱尔兰 (IE)、拉脱维亚 (LV)、立陶宛 (LT)、卢森堡 (LU)、马耳他 (MT)、荷兰 (NL)、波兰 (PL)、葡萄牙 (PT)、罗马尼亚 (RO)、斯洛伐克 (SK)、斯洛文尼亚 (SI)、西班牙 (ES)、瑞典 (SE)、英国 (UK)
	PASSPORT	奥地利 (AT)、比利时 (BE)、保加利亚 (BG)、克罗地亚 (HR)、塞浦路斯 (CY)、捷克共和国 (CZ)、丹麦 (DK)、爱沙尼亚 (EE)、芬兰 (FI)、法国 (FR)、德国 (DE)、希腊 (GR)、匈牙利 (HU)、爱尔兰 (IE)、意大利 (IT)、拉脱维亚 (LV)、立陶宛 (LT)、卢森堡 (LU)、马耳他 (MT)、荷兰 (NL)、波兰 (PL)、葡萄牙 (PT)、罗马尼亚 (RO)、斯洛伐克 (SK)、斯洛文尼亚 (SI)、西班牙 (ES)、瑞典 (SE)
	PAYMENT_CARD	不适用
	PHONE_NUMBER	不适用
	SALARY	不适用
	TAX_IDENTIFIER	奥地利 (AT)、塞浦路斯 (CY)、法国 (FR)、德国 (DE)、希腊 (GR)、匈牙利 (HU)、意大利 (IT)、马耳他 (MT)、荷兰 (NL)、波兰 (PL)、葡萄牙 (PT)、斯洛文尼亚 (SI)、西班牙 (ES)、瑞典 (SE)
	VIN	不适用
Gramm-Leach-Bliley Act (GLBA)	BANK_ACCOUNT	美国 (US)
	DRIVERS_LICENSE	美国 (US)
	NAME	美国 (US)
	NATIONAL_IDENTIFIER	美国 (US)
	PASSPORT	美国 (US)
	PAYMENT_CARD	不适用
	STREET_ADDRESS	美国 (US)
	TAX_IDENTIFIER	美国 (US)
健康保险流通与责任法 (HIPAA)	ADMINISTRATIVE_AREA_1	美国 (US)
	ADMINISTRATIVE_AREA_2	美国 (US)
	AGE	不适用
	CITY	美国 (US)
	DATE_OF_BIRTH	不适用
	EMAIL	不适用
	ETHNICITY	不适用
	IMEI	不适用
	IP_ADDRESS	不适用
	MEDICAL_DATA	不适用
	MEDICAL_SPECIALTY	不适用
	NAME	不适用
	NATIONAL_IDENTIFIER	美国 (US)
	PHONE_NUMBER	美国 (US)
	POSTAL_CODE	美国 (US)
	STREET_ADDRESS	美国 (US)
	URL	不适用
	VIN	不适用
支付卡行业 (PCI)	PAYMENT_CARD	不适用
个人身份信息 (PII)	DATE_OF_BIRTH	不适用
	DRIVERS_LICENSE	不适用
	EMAIL	不适用
	NAME	不适用
	NATIONAL_IDENTIFIER	不适用
	PHONE_NUMBER	不适用
	STREET_ADDRESS	不适用
	TAX_IDENTIFIER	不适用

使用 SQL 查看分类结果¶

您可以使用 SQL，通过调用系统函数或查询 Account Usage 视图来查看 Data Classification 的结果。

检索特定表的分类结果¶

调用 SYSTEM$GET_CLASSIFICATION_RESULT 函数以查看特定表的结果。

CALL SYSTEM$GET_CLASSIFICATION_RESULT('mydb.sch.t1');

分类过程完成之前，结果不可用。在数据库上设置分类配置文件一小时后，自动分类过程才会启动。

查询最新分类结果。¶

要查看最新的分类结果，请查询 DATA_CLASSIFICATION_LATEST 视图。不显示最新版本之前的分类结果。例如，您可以使用已被授予 SNOWFLAKE.GOVERNANCE_VIEWER 数据库角色的角色。其他权限也可以提供访问权限，例如使用 ACCOUNTADMIN 或对 SNOWFLAKE 数据库拥有 IMPORTED PRIVILEGES 权限。

SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.DATA_CLASSIFICATION_LATEST;

结果可能在分类完成后三小时才会显示。要查看以前的分类结果，请参阅查询分类历史记录。

查询分类历史记录¶

要查看过去 365 天内的所有分类事件，请查询 DATA_CLASSIFICATION_HISTORY 视图。例如，您可以使用已被授予 SNOWFLAKE.GOVERNANCE_VIEWER 数据库角色的角色。其他权限也可以提供访问权限，例如使用 ACCOUNTADMIN 或对 SNOWFLAKE 数据库拥有 IMPORTED PRIVILEGES 权限。

SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.DATA_CLASSIFICATION_HISTORY;

使用以下示例查询分类历史记录：

按数据库、架构和表名称筛选分类历史记录 ¶

以下示例通过筛选数据库名称、架构名称和表名称（按从新到旧排序），返回特定表的所有分类事件：

SELECT
    database_id,
    database_name,
    schema_id,
    schema_name,
    table_id,
    table_name,
    trigger_type,
    classified_on,
    table_deleted_on,
    result
  FROM SNOWFLAKE.ACCOUNT_USAGE.DATA_CLASSIFICATION_HISTORY
  WHERE database_name = 'MY_DB'
    AND schema_name = 'MY_SCHEMA'
    AND table_name = 'EMPLOYEES'
  ORDER BY classified_on DESC;

输出显示了同一个 EMPLOYEES 表的两个分类事件：2025 年 2 月的手动分类识别了 EMAIL 列，随后在 2025 年 3 月的自动分类同时识别了 EMAIL 和 SSN 列。结果按从新到旧的顺序排列，展示分类结果如何随时间演变。

+-------------+---------------+-----------+-------------+----------+------------+---------------------+---------------------------+----------------+--------------------------------+
| DATABASE_ID | DATABASE_NAME | SCHEMA_ID | SCHEMA_NAME | TABLE_ID | TABLE_NAME | TRIGGER_TYPE        | CLASSIFIED_ON             | TABLE_DELETED_ON | RESULT                         |
+-------------+---------------+-----------+-------------+----------+------------+---------------------+---------------------------+----------------+--------------------------------+
| 10          | MY_DB         | 100       | MY_SCHEMA   | 1234     | EMPLOYEES  | AUTO CLASSIFICATION | 2025-03-01 08:00:00 -0800 | NULL           | {"EMAIL": {...}, "SSN": {...}} |
| 10          | MY_DB         | 100       | MY_SCHEMA   | 1234     | EMPLOYEES  | MANUAL              | 2025-02-15 14:30:00 -0800 | NULL           | {"EMAIL": {...}}               |
+-------------+---------------+-----------+-------------+----------+------------+---------------------+---------------------------+----------------+--------------------------------+

按表 ID 筛选 ¶

以下示例按表 ID 筛选分类历史记录，以返回特定表的所有分类事件，并按时间最近者优先排序：

备注

如果表在分类后被重命名，则按 ID 进行筛选非常有用。

SELECT
    database_id,
    database_name,
    schema_id,
    schema_name,
    table_id,
    table_name,
    trigger_type,
    classified_on,
    table_deleted_on,
    result
  FROM SNOWFLAKE.ACCOUNT_USAGE.DATA_CLASSIFICATION_HISTORY
  WHERE table_id = 1234
  ORDER BY classified_on DESC;

输出显示了同一个表 (ID 1234) 的两个分类事件，即使该表在两次事件之间从 EMPLOYEES 重命名为 EMPLOYEES_NEW。由于查询是按表 ID 而不是名称进行筛选的，因此无论名称如何更改，系统都会返回这两个事件。

+-------------+---------------+-----------+-------------+----------+---------------+---------------------+---------------------------+----------------+--------------------------------+
| DATABASE_ID | DATABASE_NAME | SCHEMA_ID | SCHEMA_NAME | TABLE_ID | TABLE_NAME    | TRIGGER_TYPE        | CLASSIFIED_ON             | TABLE_DELETED_ON | RESULT                         |
+-------------+---------------+-----------+-------------+----------+---------------+---------------------+---------------------------+----------------+--------------------------------+
| 10          | MY_DB         | 100       | MY_SCHEMA   | 1234     | EMPLOYEES_NEW | AUTO CLASSIFICATION | 2025-03-01 08:00:00 -0800 | NULL           | {"EMAIL": {...}, "SSN": {...}} |
| 10          | MY_DB         | 100       | MY_SCHEMA   | 1234     | EMPLOYEES     | MANUAL              | 2025-02-15 14:30:00 -0800 | NULL           | {"EMAIL": {...}}               |
+-------------+---------------+-----------+-------------+----------+---------------+---------------------+---------------------------+----------------+--------------------------------+

统计过去七天内的分类事件数 ¶

以下示例显示了过去七天内的分类事件数：

SELECT
    COUNT(*) AS classification_count
  FROM SNOWFLAKE.ACCOUNT_USAGE.DATA_CLASSIFICATION_HISTORY
  WHERE classified_on >= DATEADD(DAY, -7, CURRENT_TIMESTAMP());

+----------------------+
| CLASSIFICATION_COUNT |
+----------------------+
| 42                   |
+----------------------+

比较一个表的分类运行情况 ¶

以下示例比较了一个表的两次最近分类运行，并仅返回两次运行之间分类发生变化的列。结果中的每一行都包含一个带有以下值之一的 change_type 列：

ADDED：选择使用时默认使用的角色和仓库。该列在上次运行中未分类。PREV_* 列为 NULL。
REMOVED：选择使用时默认使用的角色和仓库。该列在上次运行中已分类，但在当前运行中未分类。CURR_* 列为 NULL。
CHANGED：选择使用时默认使用的角色和仓库。该列在两次运行中都存在，但其语义或隐私类别不同。

两次运行中分类完全相同的列将从结果中排除。

WITH ranked AS (
    SELECT
        table_id,
        database_id,
        schema_id,
        database_name,
        schema_name,
        table_name,
        classified_on,
        trigger_type,
        result,
        ROW_NUMBER() OVER (PARTITION BY table_id ORDER BY classified_on DESC) AS rn
      FROM SNOWFLAKE.ACCOUNT_USAGE.DATA_CLASSIFICATION_HISTORY
      WHERE table_id = 1234
    ),
  curr_cols AS (
      SELECT r.table_id, r.database_id, r.schema_id,
          r.database_name, r.schema_name, r.table_name,
          r.classified_on, r.trigger_type,
          c.key AS column_name, c.value AS column_result
        FROM ranked r, LATERAL FLATTEN(input => r.result) c
        WHERE r.rn = 1
  ),
  prev_cols AS (
      SELECT r.table_id,
          r.classified_on, r.trigger_type,
          c.key AS column_name, c.value AS column_result
        FROM ranked r, LATERAL FLATTEN(input => r.result) c
        WHERE r.rn = 2
  )
  SELECT
      curr.database_id,
      curr.database_name,
      curr.schema_id,
      curr.schema_name,
      curr.table_id,
      curr.table_name,
      prev.classified_on AS previous_classified_on,
      curr.classified_on AS current_classified_on,
      COALESCE(curr.column_name, prev.column_name) AS column_name,
      CASE
        WHEN prev.column_name IS NULL THEN 'ADDED'
        WHEN curr.column_name IS NULL THEN 'REMOVED'
        ELSE 'CHANGED'
      END AS change_type,
      prev.column_result:recommendation.semantic_category::STRING AS prev_semantic_category,
      curr.column_result:recommendation.semantic_category::STRING AS curr_semantic_category,
      prev.column_result:recommendation.privacy_category::STRING AS prev_privacy_category,
      curr.column_result:recommendation.privacy_category::STRING AS curr_privacy_category
    FROM curr_cols curr
    FULL OUTER JOIN prev_cols prev
      ON curr.table_id = prev.table_id
      AND curr.column_name = prev.column_name
    WHERE prev.column_name IS NULL
      OR curr.column_name IS NULL
      OR curr.column_result:recommendation.semantic_category != prev.column_result:recommendation.semantic_category
      OR curr.column_result:recommendation.privacy_category != prev.column_result:recommendation.privacy_category
    ORDER BY column_name;

输出显示了最近两次运行之间分类发生变化的三个列：DATE_OF_BIRTH 和 SSN 在当前运行中被新识别 (ADDED)，而 PHONE 在上次运行中已分类，但不再出现在当前运行中 (REMOVED)。两次运行中分类保持不变的列（例如 EMAIL）将从结果中排除。

+-------+---------+-----------+-------------+----------+------------+---------------------+---------------------+---------------+-------------+---------------+---------------+--------------+------------------+
| DB_ID | DB_NAME | SCHEMA_ID | SCHEMA_NAME | TABLE_ID | TABLE_NAME | PREV_CLASSIFIED_ON  | CURR_CLASSIFIED_ON  | COLUMN_NAME   | CHANGE_TYPE | PREV_SEMANTIC | CURR_SEMANTIC | PREV_PRIVACY | CURR_PRIVACY     |
+-------+---------+-----------+-------------+----------+------------+---------------------+---------------------+---------------+-------------+---------------+---------------+--------------+------------------+
| 10    | MY_DB   | 100       | MY_SCHEMA   | 1234     | EMPLOYEES  | 2025-02-15 14:30:00 | 2025-03-01 08:00:00 | DATE_OF_BIRTH | ADDED       | NULL          | DATE_OF_BIRTH | NULL         | QUASI_IDENTIFIER |
| 10    | MY_DB   | 100       | MY_SCHEMA   | 1234     | EMPLOYEES  | 2025-02-15 14:30:00 | 2025-03-01 08:00:00 | PHONE         | REMOVED     | PHONE_NUMBER  | NULL          | IDENTIFIER   | NULL             |
| 10    | MY_DB   | 100       | MY_SCHEMA   | 1234     | EMPLOYEES  | 2025-02-15 14:30:00 | 2025-03-01 08:00:00 | SSN           | ADDED       | NULL          | US_SSN        | NULL         | IDENTIFIER       |
+-------+---------+-----------+-------------+----------+------------+---------------------+---------------------+---------------+-------------+---------------+---------------+--------------+------------------+

查看 JSON 列的分类结果¶

当半结构化数据采用 JSON 格式时，Snowflake 可以对 ARRAY、VARIANT 或 OBJECT 类型的列进行分类。这种分类的结果具有以下特征：

结果对象包含 object_path_results 字段。此字段列出了多个对象，其中每个对象对应半结构化数据中的一个字段，该字段已归类到原生语义类别。
如果半结构化数据的字段中包含敏感数据，则列的语义类别为 MULTIPLE。要获取半结构化数据中字段的语义类别，请使用结果中的 object_path_results 字段。

例如，假设 Snowflake 对下表进行分类：

+-----------------------------------------------------------+---------------+-----------------------------------------------------+
| ARRAY_COL                                                 | FIRST_NAME    | OBJECT_COL                                          |
+-----------------------------------------------------------+---------------+-----------------------------------------------------+
| [ { "email": "alice@example.com" }, { "email": "b..." } ] | "Joe"         | { "email": "jane@domain.com", "phone": "206-..." }  |
+-----------------------------------------------------------+---------------+-----------------------------------------------------+

分类结果可能如下所示：

{
  "ARRAY_COL": {
    "object_path_results": {
      "ARRAY_COL:[$$].email": {
        "alternates": [],
        "recommendation": {
          "confidence": "HIGH",
          "coverage": 1,
          "details": [],
          "privacy_category": "IDENTIFIER",
          "semantic_category": "EMAIL"
        }
      }
    },
    "recommendation": {
      "confidence": "HIGH",
      "details": [],
      "privacy_category": "IDENTIFIER",
      "semantic_category": "MULTIPLE"
    },
    "valid_value_ratio": 1
  },
  "FIRST_NAME": {
    "alternates": [],
    "recommendation": {
      "confidence": "HIGH",
      "coverage": 1,
      "details": [],
      "privacy_category": "IDENTIFIER",
      "semantic_category": "NAME"
    },
    "valid_value_ratio": 1
  },
  "OBJECT_COL": {
    "object_path_results": {
      "OBJECT_COL:email": {
        "alternates": [],
        "recommendation": {
          "confidence": "HIGH",
          "coverage": 1,
          "details": [],
          "privacy_category": "IDENTIFIER",
          "semantic_category": "EMAIL"
        }
      },
      "OBJECT_COL:phone": {
        "alternates": [],
        "recommendation": {
          "confidence": "HIGH",
          "coverage": 1,
          "details": [
            {
              "coverage": 1,
              "semantic_category": "US_PHONE_NUMBER"
            },
            {
              "coverage": 1,
              "semantic_category": "JP_PHONE_NUMBER"
            }
          ],
          "privacy_category": "IDENTIFIER",
          "semantic_category": "PHONE_NUMBER"
        }
      }
    },
    "recommendation": {
      "confidence": "HIGH",
      "details": [],
      "privacy_category": "IDENTIFIER",
      "semantic_category": "MULTIPLE"
    },
    "valid_value_ratio": 1
  }
}

使用标签跟踪敏感数据¶

当 Snowflake 对敏感数据进行分类时，会建议或自动将系统定义和用户定义的标签应用到包含敏感数据的列上。由于包含敏感数据的列被分配了这些标签，您可以通过运行查询和调用函数来跟踪这些标签，从而监控敏感数据。

例如，要列出所有已完成分类并被分配语义类别的列，可以运行以下查询：

SELECT * FROM SNOWFLAKE.ACCOUNT_USAGE.TAG_REFERENCES
  WHERE TAG_NAME = 'SEMANTIC_CATEGORY'
  ORDER BY object_database, object_schema, object_name, column_name;

如果您想确定 hr_data 表中的 fname 列被分配了哪个语义类别，可以运行以下查询以获取 SEMANTIC_CATEGORY 标签的值：

SELECT SYSTEM$GET_TAG(
    'SNOWFLAKE.CORE.SEMANTIC_CATEGORY',
    'hr_data.fname',
    'COLUMN'
    );

有关跟踪标签的不同方式，请参阅监控对象标签。