当前，金融信息服务有序发展，金融信息服务领域数据规模扩大、流动频繁，亟须分类分级规范管理。近日，国家互联网信息办公室等六部门联合发布《金融信息服务数据分类分级指南》（以下简称《指南》）。此举是贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》《金融信息服务管理规定》等政策法规要求，采用数据分类分级相关国家标准，在金融信息服务领域推进数据安全基础制度建设的重要举措。

图片由AI生成

　　顺应时代发展需求，筑牢金融安全防线

　　从《指南》内容来看，文中规定了金融信息服务数据分类分级规则，适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作。

　　国家互联网信息办公室有关负责人表示，当前，金融信息服务有序发展，金融信息服务领域数据规模扩大、流动频繁，亟须分类分级规范管理。《指南》旨在为金融信息服务机构开展数据分类分级工作提供系统性、针对性、可操作性的指引，规范金融信息服务数据处理活动，提升数据安全水平，促进数据依法合理有效利用。

　　《指南》中明确提到，金融信息服务是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息或者金融数据的服务。

　　该负责人表示，从服务的对象看，金融信息服务面向金融相关的用户，向用户提供的信息或数据可能影响金融市场稳定；从提供的数据看，金融信息服务数据涉及金融市场数据、宏观经济数据、农林牧渔等行业指标数据，数据内容相对敏感。

　　《指南》根据金融信息服务数据在经济社会发展中的重要程度和敏感程度，将数据从高到低分为核心数据、重要数据、敏感一般数据、常规一般数据四个等级。

　　面向金融信息服务提供者，《指南》明确了数据分类分级的具体操作流程，包括数据资源梳理、数据分类、数据分级、形成数据分类分级清单、报送重要数据目录、动态更新管理等环节。

　　工业和信息化部电子第五研究所所长杨建军表示，《指南》的制定与实施，是顺应时代发展要求、筑牢金融安全防线的必然选择，承载着三重核心价值：其一，它是落实上位法的具体实践。《指南》严格遵循《数据安全法》确立的国家数据分类分级保护制度，并将其在金融信息服务这一特定业态中进行了具象化、场景化落地，为《网络数据安全管理条例》等法规在该领域的实施提供了可操作的技术依据，标志着我国数据安全治理体系正朝着更精细、更垂直的方向深化。

　　其二，它是应对数据安全风险的迫切举措。金融信息服务涉及海量、高敏、高价值数据，其泄露、篡改、滥用可能直接冲击金融市场秩序、损害公众利益，甚至危及国家安全。《指南》通过构建清晰的分类分级框架，旨在帮助从业机构精准识别核心、重要数据，实施差异化防护，有效防范和化解数据安全风险。

　　其三，它是促进数据合规有序流通的制度保障。明确、统一的分类分级标准是数据合规共享、交易、跨境流动的“通用语言”。《指南》为金融信息服务数据的流通利用提供了基础性规则，有助于打破“数据孤岛”，在安全可控的前提下促进数据要素的高效配置和价值释放。

　　精细化分级管控，平衡安全管控与数据价值释放

　　国家网信办数据与技术保障中心副主任王志成表示：“长期以来，金融信息服务数据分类口径不统一，数据目录碎片化问题突出，部分金融信息服务提供者不能精准区分数据重要程度与敏感等级，导致重要数据防护不足、一般数据管控过严，安全资源配置失衡，不能实现应有的数据分类分级保护。此外，一些提供者在数据采集、存储、使用、共享、销毁等环节安全措施脱节，动态调整机制不健全，无法应对数据属性与风险变化。”

　　针对这些痛点，《指南》系统构建分类清晰、分级精准、管理闭环、动态适配的治理体系，有效防范金融信息服务数据安全风险。

　　在分类层面，杨建军认为，按照金融信息服务数据的业务属性，可将数据划分为业务数据、用户数据和企业数据3个一级类别，在此基础上进一步细分为9个二级类别和67个三级类别，形成层次分明、覆盖全面的树状分类结构；这种从业务属性出发的分类设计，便于金融信息服务提供者系统性地梳理自身数据资产，实现数据资源的目录化、资产化管理，为后续的安全管控、价值挖掘奠定了坚实基础。

　　在分级方面，《指南》根据金融信息服务数据在经济社会发展中的重要程度和敏感程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为四级，分别为核心数据、重要数据、敏感一般数据、常规一般数据。

　　对此，中国电子技术标准化研究院副院长范科峰表示，将一般数据细分为“敏感一般数据”与“常规一般数据”是本次规则的重大创新，这相当于在“核心—重要—一般”的国家三级框架中增加了一个中间层，解决了笼统管理可能存在的保护不足或过度问题，使安全资源配置更加精准高效。

　　杨建军还表示，《指南》在金融信息服务领域首次系统引入了“覆盖度、时间跨度、精度、公开状态、地域”五要素作为分级判据，推动数据分级从定性判断向定性与定量相结合的规范评估转变。同时设定了符合金融信息服务实际的量化阈值与场景化示例，如明确了“1000万人及以上的个人用户基本信息数据”等属于重要数据，为数据处理者履行法定的数据安全保护义务提供了清晰可操作的实施路径。

　　“《指南》的发布，是我国金融信息服务数据安全治理迈向精细化、标准化、实操化的重要一步。它以清晰的框架、科学的规则和翔实的指引，回应了行业长期以来的实践困惑，为金融信息服务提供者履行数据安全保护义务提供了明确路径，也为监管部门开展精准化、差异化监管提供了技术依据。”杨建军这样说。（文/朱昱晗）