筑牢数据安全治理根基 引领金融信息服务规范发展

　　近日，国家网信办、中国人民银行、金融监管总局、中国证监会、国家统计局、国家外汇局联合发布了《金融信息服务数据分类分级指南》(以下简称《指南》)。该《指南》的发布，是贯彻落实《数据安全法》《个人信息保护法》《网络数据安全管理条例》《金融信息服务管理规定》等政策法规，在金融信息服务领域深化数据分类分级保护制度的关键举措，对于强化数据安全治理、筑牢金融风险防控底线、促进数据要素安全有序流通利用具有重要意义。

　　一、《指南》出台是顺应时代要求、筑牢金融安全防线的必然选择

　　当前，数据已成为基础性战略资源和关键生产要素。金融信息服务面向金融分析、交易、决策等活动提供可能影响金融市场的信息与数据，其数据处理活动关乎金融安全与市场稳定。《指南》致力于推动金融信息服务数据的精准分类与科学分级，是保障金融安全、维护公共利益、释放数据价值的基础性工作。

　　一是落实上位法的具体实践。《指南》严格遵循《数据安全法》确立的国家数据分类分级保护制度，并将其在金融信息服务这一特定业态中进行了具象化、场景化落地，为《网络数据安全管理条例》等法规在该领域的实施提供了可操作的技术依据，标志着我国数据安全治理体系正朝着更精细、更垂直的方向深化。

　　二是应对数据安全风险的迫切需求。金融信息服务涉及海量、高敏、高价值数据，其泄露、篡改、滥用可能直接冲击金融市场秩序、损害公众利益、甚至危及国家安全。《指南》通过构建清晰的分类分级框架，旨在帮助从业机构精准识别核心、重要数据，实施差异化防护，有效防范和化解数据安全风险。

　　三是促进数据合规有序流通的制度保障。明确、统一的分类分级标准是数据合规共享、交易、跨境流动的“通用语言”。《指南》为金融信息服务数据的流通利用提供了基础性规则，有助于打破“数据孤岛”，在安全可控的前提下促进数据要素的高效配置和价值释放。

　　二、《指南》核心内容构建了科学严谨、操作性强的分类分级管理体系

　　《指南》全文逻辑严密，构建了一套从原则到方法、从分类到分级、从识别到管理的完整闭环体系，特色鲜明。

　　(一)确立了逻辑清晰的树状分类框架

　　《指南》从业务属性出发，将金融信息服务数据划分为“业务数据”、“用户数据”、“企业数据”三大一级类目，并进一步细分为9个二级类和67个三级类，形成了层次分明、覆盖全面的树状分类结构。这种设计便于金融信息服务提供者系统性地梳理自身数据资产，实现数据资源的目录化、资产化管理，为后续的安全管控、价值挖掘奠定了坚实基础。

　　(二)建立了基于危害程度的数据四级分级模型

　　《指南》严格遵循《数据安全法》及国家标准GB/T43697-2024《数据安全技术数据分类分级规则》，依据数据一旦遭到泄露、篡改、损毁或非法使用可能的影响对象与影响程度，科学构建了“核心数据、重要数据、敏感一般数据、常规一般数据”四级安全保护体系。该体系体现了显著的创新性与可操作性。

　　一是深化了国家标准的操作性指引。在金融信息服务领域首次系统引入了“覆盖度、时间跨度、精度、公开状态、地域”五要素作为分级判据，推动数据分级从定性判断向定性与定量相结合的规范评估转变。

　　二是精准落实了国家对核心与重要数据的管理要求。《指南》通过设定量化阈值与具体判据，细化并衔接了《数据安全法》中对“重要数据”的识别标准及其后续的目录管理与报送义务；同时，依据指南对“核心数据”的定义(即“对国家安全具有更高影响的重要数据”)，并以其危害国家安全的具体程度作为识别标尺，从而在业务实践中明确了核心数据的管控底线，为筑牢金融安全屏障提供了清晰可操作的实施路径。

　　三是增强了行业实施的可操作性。《指南》设定了符合金融信息服务实际的量化阈值与场景化示例，例如明确了“1000万人及以上的个人用户基本信息数据”“100万人及以上的交易数据集”等属于重要数据，为数据处理者履行法定的数据安全保护义务，特别是识别、管理与保护核心与重要数据，提供了清晰、统一且权威的实施标尺。

　　(三)提供了翔实落地的分类分级实操指引

　　《指南》的附录A(分类分级示例)和附录B(重要数据目录报送模板)具有重要实践价值。附录A并非简单枚举，而是结合具体数据类型(如股票数据、债券数据、基金数据、宏观经济数据、个人信息等)，清晰指明了其“参考最低级别”及关键判定条件，相当于为金融信息服务领域提供了一份详尽的“定级参考字典”。附录B则提供了重要数据目录的上报格式，确保了信息收集的规范统一。

　　三、充分发挥标准支撑作用，推动《指南》有效实施与落地

　　标准的生命在于实施。《指南》本身即是一项重要的技术标准，其有效落地需要标准体系、实施机制与能力建设的协同支撑。

　　一是以标准细化规则，推动精准治理。《指南》作为金融信息服务领域的垂直标准，可进一步衔接已有国家标准，并在证券、银行、保险等细分领域推动制定更具体的实施指引或团体标准，形成层次分明、相互支撑的标准体系。

　　二是开展试点验证，培育最佳实践。可在条件成熟的地区或机构开展《指南》应用试点，验证方法的科学性与流程的合理性，及时总结推广数据资产地图绘制、重要数据动态识别与管理、差异化防护策略等方面的优秀实践。

　　三是健全配套机制，强化能力保障。推动从业机构建立健全内部数据分类分级管理制度与流程，鼓励第三方专业机构提供合规评估与安全风险评估服务，并加强《指南》及配套标准的宣贯培训，提升从业人员专业能力。

　　《指南》的发布，是我国金融信息服务数据安全治理迈向精细化、标准化、实操化的重要一步。它以清晰的框架、科学的规则和翔实的指引，回应了行业长期以来的实践困惑，为金融信息服务提供者履行数据安全保护义务提供了明确路径，也为监管部门开展精准化、差异化监管提供了技术依据。随着《指南》的深入实施，必将有力筑牢金融信息服务领域的数据安全底座，护航数字经济健康、高质量发展。(作者：杨建军，工业和信息化部电子第五研究所所长)