近日,国家网信办、中国人民银行、金融监管总局、中国证监会、国家统计局、国家外汇局联合发布了《金融信息服务(III)数据分类分级指南》(以下简称《指南》)。该《指南》的发布,是贯彻落实《数据安全(885942)法》《个人信息保护法》《网络数据安全(885942)管理条例》《金融信息服务(III)管理规定》等政策法规,在金融信息服务(III)领域深化数据分类分级保护制度的关键举措,对于强化数据安全(885942)治理、筑牢金融风险防控底线、促进数据要素(886041)安全有序流通利用具有重要意义。
一、《指南》出台是顺应时代要求、筑牢金融安全防线的必然选择
当前,数据已成为基础性战略资源和关键生产要素。金融信息服务(III)面向金融分析、交易、决策等活动提供可能影响金融市场的信息与数据,其数据处理活动关乎金融安全与市场稳定。《指南》致力于推动金融信息服务(III)数据的精准分类与科学分级,是保障金融安全、维护公共利益、释放数据价值的基础性工作。
一是落实上位法的具体实践。《指南》严格遵循《数据安全(885942)法》确立的国家数据分类分级保护制度,并将其在金融信息服务(III)这一特定业态中进行了具象化、场景化落地,为《网络数据安全(885942)管理条例》等法规在该领域的实施提供了可操作的技术依据,标志着我国数据安全(885942)治理体系正朝着更精细、更垂直的方向深化。
二是应对数据安全(885942)风险的迫切需求。金融信息服务(III)涉及海量、高敏、高价值数据,其泄露、篡改、滥用可能直接冲击金融市场秩序、损害公众利益、甚至危及国家安全。《指南》通过构建清晰的分类分级框架,旨在帮助从业机构精准识别核心、重要数据,实施差异化防护,有效防范和化解数据安全(885942)风险。
三是促进数据合规有序流通的制度保障。明确、统一的分类分级标准是数据合规共享、交易、跨境流动的“通用语言”。《指南》为金融信息服务(III)数据的流通利用提供了基础性规则,有助于打破“数据孤岛”,在安全可控的前提下促进数据要素(886041)的高效配置和价值释放。
二、《指南》核心内容构建了科学严谨、操作性强的分类分级管理体系
《指南》全文逻辑严密,构建了一套从原则到方法、从分类到分级、从识别到管理的完整闭环体系,特色鲜明。
(一)确立了逻辑清晰的树状分类框架
《指南》从业务属性出发,将金融信息服务(III)数据划分为“业务数据”、“用户数据”、“企业数据”三大一级类目,并进一步细分为9个二级类和67个三级类,形成了层次分明、覆盖全面的树状分类结构。这种设计便于金融信息服务(III)提供者系统性地梳理自身数据资产,实现数据资源的目录化、资产化管理,为后续的安全管控、价值挖掘奠定了坚实基础。
(二)建立了基于危害程度的数据四级分级模型
《指南》严格遵循《数据安全(885942)法》及国家标准GB/T43697-2024《数据安全(885942)技术数据分类分级规则》,依据数据一旦遭到泄露、篡改、损毁或非法使用可能的影响对象与影响程度,科学构建了“核心数据、重要数据、敏感一般数据、常规一般数据”四级安全保护体系。该体系体现了显著的创新性与可操作性。
一是深化了国家标准的操作性指引。在金融信息服务(III)领域首次系统引入了“覆盖度、时间跨度、精度、公开状态、地域”五要素作为分级判据,推动数据分级从定性判断向定性与定量相结合的规范评估转变。
二是精准落实了国家对核心与重要数据的管理要求。《指南》通过设定量化阈值与具体判据,细化并衔接了《数据安全(885942)法》中对“重要数据”的识别标准及其后续的目录管理与报送义务;同时,依据指南对“核心数据”的定义(即“对国家安全具有更高影响的重要数据”),并以其危害国家安全的具体程度作为识别标尺,从而在业务实践中明确了核心数据的管控底线,为筑牢金融安全屏障提供了清晰可操作的实施路径。
三是增强了行业实施的可操作性。《指南》设定了符合金融信息服务(III)实际的量化阈值与场景化示例,例如明确了“1000万人及以上的个人用户基本信息数据”“100万人及以上的交易数据集”等属于重要数据,为数据处理者履行法定的数据安全(885942)保护义务,特别是识别、管理与保护核心与重要数据,提供了清晰、统一且权威的实施标尺。
(三)提供了翔实落地的分类分级实操指引
《指南》的附录A(分类分级示例)和附录B(重要数据目录报送模板)具有重要实践价值。附录A并非简单枚举,而是结合具体数据类型(如股票数据、债券数据、基金数据、宏观经济数据、个人信息等),清晰指明了其“参考最低级别”及关键判定条件,相当于为金融信息服务(III)领域提供了一份详尽的“定级参考字典”。附录B则提供了重要数据目录的上报格式,确保了信息收集的规范统一。
三、充分发挥标准支撑作用,推动《指南》有效实施与落地
标准的生命在于实施。《指南》本身即是一项重要的技术标准,其有效落地需要标准体系、实施机制与能力建设的协同支撑。
一是以标准细化规则,推动精准治理。《指南》作为金融信息服务(III)领域的垂直标准,可进一步衔接已有国家标准,并在证券、银行、保险等细分领域推动制定更具体的实施指引或团体标准,形成层次分明、相互支撑的标准体系。
二是开展试点验证,培育最佳实践。可在条件成熟的地区或机构开展《指南》应用试点,验证方法的科学性与流程的合理性,及时总结推广数据资产地图绘制、重要数据动态识别与管理、差异化防护策略等方面的优秀实践。
三是健全配套机制,强化能力保障。推动从业机构建立健全内部数据分类分级管理制度与流程,鼓励第三方专业机构提供合规评估与安全风险评估服务,并加强《指南》及配套标准的宣贯培训,提升从业人员专业能力。
《指南》的发布,是我国金融信息服务(III)数据安全(885942)治理迈向精细化、标准化、实操化的重要一步。它以清晰的框架、科学的规则和翔实的指引,回应了行业长期以来的实践困惑,为金融信息服务(III)提供者履行数据安全(885942)保护义务提供了明确路径,也为监管部门开展精准化、差异化监管提供了技术依据。随着《指南》的深入实施,必将有力筑牢金融信息服务(III)领域的数据安全(885942)底座,护航数字经济(885976)健康、高质量发展。(作者:杨建军,工业和信息化部电子第五研究所所长)
