从“通用防护”到“精准治理”：深化金融信息服务数据分类分级保护

　　近日，国家互联网信息办公室等六部门联合发布《金融信息服务数据分类分级指南》(以下简称《指南》)。此举是贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》《金融信息服务管理规定》等政策法规要求，采用数据分类分级相关国家标准，在金融信息服务领域推进数据安全基础制度建设的重要举措。《指南》的制定与实施，将为在中华人民共和国境内从事金融信息服务的各类提供者，开展数据分类分级与重要数据识别工作，提供统一、明确、可操作的标准依据，对于提升行业整体数据安全防护能力、促进数字经济健康发展具有重要意义。

　　一、完善金融信息服务行业数据分类分级的重要意义

　　金融信息服务提供者向从事金融活动的用户提供可能影响金融市场的信息与数据，其处理的金融信息服务数据是洞察市场走势、支撑投资决策、评估经济状况的核心要素，天然具有高价值、高敏感、强时效和广关联的特性，关系金融市场稳定、机构稳健经营与公民合法权益。一旦发生大规模泄露、篡改或滥用，不仅可能引发市场异常波动、金融机构和个人用户的损失，更可能侵蚀公众信任、干扰社会秩序，甚至对国家经济安全构成威胁。因此，建立健全针对性的数据分类分级保护体系，是金融信息服务行业健康发展的内在要求和安全基石。

　　(一)落实法律法规关于数据分类分级保护的制度要求。建立数据分类分级保护制度，是《数据安全法》确立的数据安全基础性制度安排。《网络数据安全管理条例》进一步要求各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录。金融信息服务行业是数据密集型行业，相关数据可能影响国家安全、经济运行、社会稳定、公共健康和安全，制定金融信息服务行业数据分类分级指南，是履行法定责任、对接上位法规的必然要求。《指南》的出台，将《数据安全法》等法律中原则性的分类分级规定，转化为适用于金融信息服务场景的具体规则、标准和方法，有效解决了“如何分类、怎样分级、何为重要”的操作难题。它标志着金融信息服务数据安全管理从“有法可依”迈向“有章可循”的精细化管理阶段，为后续实施精准、高效的安全保护措施、履行数据安全保护义务提供了清晰的逻辑起点和操作框架，是主管部门开展金融信息服务行业数据安全治理的关键一环。

　　(二)指导金融信息服务提供者履行数据安全保护责任。面对海量、多元、快速变化的数据资产，金融信息服务提供者在实践中普遍面临分类维度模糊、分级标准不一、重要数据识别困难等挑战，导致安全投入与风险错配，合规工作缺少抓手。《指南》的发布，为各类金融信息服务提供者提供了一套权威、统一、指导性强的操作手册。它界定了金融信息服务数据的范围，设计了贴合业务实际的分类体系，并建立了基于客观要素和影响后果的分级模型，指导企业机构更好履行其作为数据处理者的主体责任，准确识别核心数据、重要数据、敏感一般数据、常规一般数据，为下一步依据不同级别数据的安全要求，高效建立并实施与之匹配的安全管理策略、技术防护和应急处置措施提供支持。

　　(三)促进金融信息服务行业高质量发展。统一、科学的分类分级标准是行业健康有序发展的基本依据。《指南》为全行业建立了共同的数据安全管理语言和基准，明确了不同级别数据的保护重点与流通规则：对核心数据和重要数据严格保护，依法履行风险评估、重点保护等义务；对敏感一般数据和常规一般数据，在保障基本安全的前提下促进其高效、合规的流动与应用，充分释放数据要素价值。这种梯次分明、张弛有度的管理框架，使得行业发展目标与安全底线清晰明确。《指南》有助于引导企业机构将安全资源集中于关键风险领域，提升整体保护效能，更能从源头减少因数据权责不清、保护要求不明导致的灰色地带，有效遏制数据滥用、不正当竞争等乱象，为金融信息服务行业构建了规则明确、安全可信、公平有序的制度环境。

　　二、《指南》是金融信息服务数据分类分级保护的创新举措

　　《指南》紧密结合金融信息服务行业特点与数据安全治理需求，在方法论、框架设计和实施路径上进行了多项创新，为金融信息服务企业开展数据分类分级提供一套兼具合规要求和行业实操的科学解决方案。

　　(一)创建“四级”数据分级体系，实现保护措施的精准匹配。依据涵盖覆盖度、时间跨度、精度、公开状态、地域等分级要素，《指南》给出了发生数据安全威胁后，可能对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益等影响程度的科学判定方法。同时，在国家法律法规提出的核心数据、重要数据、一般数据三级框架基础上，进一步将“一般数据”细分为“敏感一般数据”与“常规一般数据”，形成了四级数据分级体系。《指南》明确敏感一般数据是指一旦遭泄露或篡改，可能对经济运行、社会稳定、公共利益产生一定影响，或对组织、个人权益造成重要影响的数据；常规一般数据是指除核心数据、重要数据、敏感一般数据之外的其他数据。该数据级别划分方案给出了核心数据、重要数据的识别方法和目录示例，同时，指导金融信息服务提供者识别大量存在于金融信息服务中、虽未达到“重要数据”门槛，但其安全事件仍可能引发局部风险或较大个体损害的数据，如期货实时价格，以及成交量、成交额等反映市场活跃度的数据。《指南》解决了笼统管理可能存在的保护不足或过度的问题，有助于数据安全保护管理资源配置和保护效能进一步提升。

　　(二)深融行业实践，构建层次清晰、全面覆盖的数据分类谱系。《指南》广泛吸纳行业分类方案，兼容行业业务特点，设计了涵盖3个一级类别、9个二级类别和67个三级类别的层次化分类谱系。《指南》将一级类别分为业务数据、企业数据、用户数据。其中，业务数据作为核心，包括金融市场数据(如股票、债券、外汇等行情数据)、宏观经济数据(GDP、CPI、货币供应等)、行业指标数据(数十个细分产业的供需链数据)、组织机构数据(企业财报、信用信息等)以及资讯报告数据，全面覆盖了金融信息服务业务处理的主要数据。用户数据被划分为个人用户数据与机构用户数据，立足个人信息保护与机构信息管理，将两类用户数据进一步细分为基本信息、交易数据及生物识别信息等。企业数据囊括了金融信息服务提供者自身的经营管理数据与系统运维数据，体现了对数据处理者内生数据安全管理的全面覆盖。《指南》解决了金融信息服务数据类型不统一、缺少标准化治理方案等问题，立足业务特点和发展方向给出了清晰的分类规则，更好指导数据处理者强化数据分类治理基础。

　　(三)明确标准化的实施流程与示例，提供可操作性强的实践路径。《指南》不仅规定了“做什么”，更清晰指明了“怎么做”，为金融信息服务提供者描绘了数据分类分级工作的完整实施流程，指导其梳理数据资产、开展数据分类分级、形成数据分类分级清单及重要数据目录、按规定向主管部门报送、建立动态更新机制。附录还提供了详尽的数据分类分级示例，明确了各类数据边界，规定了各类数据的最低安全级别和参考，如“涉及人民币的外汇数据”至少为敏感一般数据；“覆盖度、精度高于官方发布且反映省级以上情况的行业数据”可能属于重要数据。这些具体示例将抽象规则与真实业务场景紧密连接，解决了数据分类分级中的一致性、规范性问题，极大地降低了企业机构的理解成本和执行偏差，为全行业提供了权威、统一的标尺。

　　全国网络安全标准化技术委员会作为网络和数据安全国家标准的统一归口技术组织，将持续发挥对网络数据安全管理工作的支撑作用，加强金融信息服务数据安全保护相关标准研制、宣贯推广、优秀应用案例分享，进一步夯实金融信息服务数据安全治理工作成效。(作者：范科峰，中国电子技术标准化研究院副院长)