睿博恩重生筆記 作者:李坤澤
來源:睿博恩重生筆記
這并非一份普通的行業指引。它標志著我國金融信息服務領域的數據治理正式邁入“分類分級、精準監管”的新階段。對于所有向金融機構、分析師、投資者提供數據或信息服務的機構而言,合規的紅線已經劃下——數據不再是“無主之物”,每一類數據都有了自己的“安全等級”和“保護義務”。
1??為什么要出臺《指南》?
金融信息服務行業近年來快速發展,數據規模急劇膨脹,流動日益頻繁。從股票行情、宏觀經濟指標,到企業財務數據、行業研究報告,這些數據直接影響著金融市場的定價和決策。
但問題也隨之而來:哪些數據可以公開?哪些數據需要加密傳輸?哪些數據一旦泄露可能影響國家安全?此前,行業缺乏統一的標準。一些機構對敏感數據保護不足,另一些機構則因過度合規影響了業務效率。
《中華人民共和國數據安全法》明確要求建立數據分類分級保護制度,《網絡數據安全管理條例》進一步規定各地區、各部門應當確定重要數據具體目錄。此次六部門聯合印發《指南》,正是為了落實上位法要求,為金融信息服務行業提供一份可操作、可落地的“操作手冊”。
2??核心規則:如何分類?如何分級?
《指南》的核心內容可以概括為“三級分類、四級安全”:在數據分類方面,按照金融信息服務數據的業務屬性,首先分為業務數據、用戶數據和企業數據三大類。在此基礎上,進一步細分為9個二級分類和67個三級分類。
其中,業務數據包括金融市場數據、宏觀經濟數據、組織機構數據、行業指標數據、資訊報告數據等5個二級分類,再往下細分出股票、債券、基金、期貨、期權等52個三級分類。用戶數據分為個人用戶數據和機構用戶數據2個二級分類,個人用戶數據又細分為基本信息、交易數據、生物特征識別信息等3個三級分類,機構用戶數據細分為基本信息、交易數據2個三級分類。企業數據分為經營管理數據和系統運維數據2個二級分類,經營管理數據包括財務數據、結算管理數據、人力資源數據、市場營銷數據、風險控制與監督數據、其他經營管理數據等6個三級分類;系統運維數據包括網絡設備和信息系統的配置數據、運行日志數據、安全審計數據、備份恢復數據等4個三級分類。
在數據分級方面,《指南》參照國家標準GB/T 43697-2024《數據安全技術 數據分類分級規則》,根據金融信息服務數據在經濟社會發展中的重要程度和敏感程度,以及一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享,對國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益造成的危害程度,將數據從高到低分為四級。最高級別為核心數據,其次為重要數據,第三級為敏感一般數據,第四級為常規一般數據。
影響數據分級的要素包括兩個維度:一是影響對象,即數據面臨安全風險時可能影響的對象,包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益;二是影響程度,從高到低分為特別嚴重危害、嚴重危害、一般危害。在具體判定時,綜合兩個維度確定數據級別。例如,對國家安全造成特別嚴重危害或嚴重危害的數據為核心數據,造成一般危害的為重要數據;對經濟運行造成特別嚴重危害的為核心數據,造成嚴重危害的為重要數據,造成一般危害的為敏感一般數據;對社會秩序、公共利益造成特別嚴重危害的為核心數據,造成嚴重危害的為重要數據,造成一般危害的為敏感一般數據;對組織權益或個人權益造成影響的,一般定為敏感一般數據。如果影響涉及大規模的個人或組織權益,影響對象可能不只局限于個人權益或組織權益,也可能對國家安全、經濟運行、社會秩序或公共利益造成影響,此時應就高定級。
值得注意的是,《指南》在國家數據分類分級保護制度框架下,將“一般數據”進一步細分為“敏感一般數據”和“常規一般數據”。這是因為金融信息服務所涉及的數據(如金融市場數據、宏觀經濟數據等)天然具有較高的敏感性,即使不屬于“重要數據”,也需要加強保護。數據集級別按照“就高從嚴”原則,取包含數據項的最高級別作為整個數據集的級別。
3??實操落地:金融信息服務提供者必須做的六件事
《指南》明確了金融信息服務提供者開展數據分類分級的具體流程:
第一步,全面梳理數據資源。包括數據庫表、數據項、數據文件等,明確數據資源的基本信息、描述對象、業務屬性等,形成數據資源清單。
第二步,數據分類。按照《指南》附錄A的67個三級分類進行歸類和標識。
第三步,數據分級。評估數據的危害影響對象和影響程度,確定每類數據的安全級別。數據集級別按照“就高從嚴”原則,取包含數據項的最高級別。
第四步,形成數據分類分級清單和重要數據目錄。
第五步,報送重要數據目錄。按照要求的頻度和格式向主管部門報送,目錄格式詳見《指南》附錄B。
第六步,動態更新管理。當數據的業務屬性、重要程度或危害程度發生變化(如重要數據條目數量或存儲總量變化30%以上,或其他重要內容發生變化),應當及時重新報送重要數據目錄。《指南》還要求定期復核數據資源和分類分級情況,確保合規工作持續有效。
4??對行業的影響:合規不再是“選擇題”
《指南》的出臺,對金融信息服務行業將產生深遠影響。
第一,合規成本上升,但邊界清晰。 過去,許多中小型金融信息服務商對數據安全處于“模糊地帶”——不知道哪些數據需要保護,也不知道如何保護。現在,67個三級分類給出了明確的“標簽體系”,企業可以按圖索驥,建立相應的管理制度和技術防護措施。短期看,合規投入會增加;長期看,清晰的規則有助于降低違規風險,避免因數據泄露而遭受巨額罰款或聲譽損失。
第二,重要數據識別與報送成為“剛性義務”。 《指南》要求金融信息服務提供者識別重要數據并形成目錄,定期向主管部門報送。這意味著,企業不能再以“不知道哪些是重要數據”為由逃避責任。一旦被檢查發現遺漏或隱瞞,可能面臨行政處罰。
第三,跨境數據流動將面臨更嚴監管。 金融信息服務數據中,涉及宏觀經濟指標、金融市場交易數據等,往往具有跨境流動的需求。按照《指南》的分級規則,“核心數據”和“重要數據”的出境將受到嚴格限制。相關企業需要提前評估跨境業務的數據合規風險。
5??給從業者的幾點建議
基于睿博恩長期服務金融機構和企業的實踐經驗,我們提出以下建議:
1. 立即啟動數據資產盤點。 不要等到監管部門檢查時才匆忙應對。建議成立跨部門工作小組(IT、法務、業務、安全),按照《指南》附錄A的67個三級分類,逐項梳理企業所持有的數據類型、存儲位置、使用場景和共享范圍。
2. 建立分類分級管理制度。 將《指南》要求內化為企業制度,明確數據分類分級責任人、審核流程、變更管理和定期復核機制。對于“敏感一般數據”和“重要數據”,應制定差異化的訪問控制、加密存儲、審計日志等技術措施。
3. 重視員工培訓與意識提升。 數據分類分級不僅僅是技術部門的事。業務人員、產品經理、銷售人員都需要了解自己接觸的數據屬于哪個級別、可以做什么、不能做什么。定期開展合規培訓,避免因“無意違規”導致嚴重后果。
4. 關注重要數據目錄報送節點。 《指南》要求定期向主管部門報送重要數據目錄。企業應指定專人與監管部門對接,確保報送內容準確、及時。如有重大變化(如數據量增長30%以上),應及時重新報送。
5. 審視跨境業務的數據合規性。 對于涉及境外客戶或境外數據中心的金融信息服務商,應提前評估數據出境合規路徑。可能需要申請數據出境安全評估、訂立標準合同或通過認證。
6??結語【睿博恩觀點提煉】
· 《指南》由六部門聯合印發,于2026年6月13日公布,標志著金融信息服務數據治理進入“分類分級、精準監管”新階段。
· 數據分類:3個一級分類(業務數據、用戶數據、企業數據)→ 9個二級分類 → 67個三級分類,覆蓋股票、債券、基金、宏觀經濟指標、用戶信息、財務數據等全維度。
· 數據分級:4個安全級別(核心數據、重要數據、敏感一般數據、常規一般數據),影響對象包括國家安全、經濟運行、社會秩序、公共利益、組織權益、個人權益。
· 影響程度分三級:特別嚴重危害、嚴重危害、一般危害,綜合確定數據級別。數據集級別按“就高從嚴”原則取最高級。
· 實操流程:數據資源梳理 → 分類 → 分級 → 形成清單 → 報送重要數據目錄 → 動態更新。重要數據條目或存儲總量變化超30%需及時重新報送。
· 重點變化:一般數據進一步細分為“敏感一般數據”和“常規一般數據”,體現金融信息數據的敏感性。
· 行業影響:合規成本上升但邊界清晰;重要數據識別與報送成為剛性義務;跨境數據流動將受更嚴監管。
· 從業者建議:立即啟動數據資產盤點;建立分類分級管理制度;加強員工培訓;關注報送節點;審視跨境合規。
《金融信息服務數據分類分級指南》的出臺,是金融信息服務行業從“野蠻生長”走向“規范治理”的重要里程碑。67個三級分類、4個安全級別,構筑起一張覆蓋全行業的“數據合規地圖”。
對于金融信息服務提供者而言,這既是挑戰,也是機遇。那些能夠率先完成數據分類分級、建立完善合規體系的企業,將在未來的市場競爭中贏得監管信任和客戶信賴。而那些忽視合規、心存僥幸的企業,則可能在新規的“合規風暴”中付出沉重代價。數據安全沒有“及格線”,只有“生死線”。合規,就是金融信息服務行業的新護城河。
(風險提示: 本文基于國家互聯網信息辦公室等六部門聯合印發的《金融信息服務數據分類分級指南》及官方答記者問整理,數據截至2026年6月13日。文中分析僅作行業解讀與實務觀點分享,不構成法律或合規建議。各金融信息服務提供者應結合自身業務實際,咨詢專業法律顧問后落實合規工作。)
注:文章為作者獨立觀點,不代表資產界立場。
題圖來自 Pexels,基于 CC0 協議
本文由“睿博恩重生筆記”投稿資產界,并經資產界編輯發布。版權歸原作者所有,未經授權,請勿轉載,謝謝!
