征求意见中!金融信息服务数据分类分级指南出炉
中国商报(记者 马文博)目前,国家互联网信息办公室会同有关部门组织起草的《金融信息服务数据分类分级指南(征求意见稿)》(以下简称征求意见稿)正在向社会公开征求意见,意见反馈截止时间为2026年2月23日。
苏商银行特约研究员付一夫认为,征求意见稿的发布是金融信息服务数据治理从合规底线向精细化管理升级的关键举措,具有极强的必要性与前瞻性,对行业发展与风险防控意义重大。
分类分级要求可推动金融信息服务提供者完善内部数据治理,提高行业整体数据安全管理水平。(资料图,图片由CNSPHOTO提供)
明确分类分级框架
征求意见稿规定了金融信息服务数据分类分级规则,适用于在我国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作,不适用于涉及国家秘密的数据和军事数据。
金融信息服务数据可按业务属性进行分类。分为一级分类(业务数据、用户数据、企业数据3类)、二级分类(9类)及三级分类(66类)。
在业务数据类别中,有金融市场数据、宏观经济数据、行业指标数据、组织机构数据、资讯报告数据5类(二级分类),进一步细分为股票数据、债券数据、基金数据、理财数据、外汇数据、商品数据等52类(三级分类)。
在用户数据类别中,含个人用户数据和机构用户数据2类(二级分类)。个人用户数据分为基本信息、交易数据、生物特征识别信息3类(三级分类),机构用户数据分为基本信息、交易数据2类(三级分类)。
企业数据则分为经营管理数据和系统运维数据2类(二级分类)。经营管理数据分为财务数据、结算管理数据、人力资源数据、市场营销数据、其他经营管理数据5类(三级分类),系统运维数据分为网络设备和信息系统的配置数据、日志数据、安全监测数据、安全事件数据4类(三级分类)。
中国城市发展研究院投资部副主任袁帅对记者表示,征求意见稿的“分类分级”体系充分契合金融数据的复杂属性。一方面,分级维度兼顾数据本身的特征与外部影响,避免了单一指标的局限性,这种“属性+影响”的综合判定,既覆盖了金融数据的“量”的特征,也兼顾了“质”的风险;另一方面,适用范围明确限定为“中华人民共和国境内从事金融信息服务的金融信息服务提供者”,并排除国家秘密的数据和军事数据,既聚焦金融信息服务的核心场景,又避免与其他敏感数据法规产生冲突,体现了监管的针对性。
“这是我国金融数据治理的重要一步,有望为金融信息服务的数据安全与合理利用奠定制度基础。”付一夫认为,该指南是筑牢金融数据安全防线、推动行业规范发展的重要制度保障,将为后续监管与机构实操提供依据。
强化数据安全合规
从征求意见稿来看,分级规则兼顾了国家安全、公共利益与行业发展需求,既强调重要数据的安全管控,也为一般数据流动和创新使用预留空间。
根据金融信息服务数据在经济社会发展中的重要程度和敏感程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,征求意见稿将数据从高到低分为四级,分别为核心数据、重要数据、敏感一般数据、常规一般数据。
征求意见稿规定,数据分级完成后,应定期检查复核。当数据的业务属性、重要程度和可能造成的危害程度发生变化时应及时更新。核心数据和重要数据发生重大变化(如重要数据条目数量、存储总量等变化30%以上,或其他重要内容发生变化),数据处理者应当及时重新报送重要数据目录。
征求意见稿将数据按重要程度和危害影响从高到低分为四级。(图片截自征求意见稿)
付一夫指出,通过将数据划分为“核心、重要、敏感一般、常规一般”四级,并明确分级考量要素,有助于企业识别关键数据,落实差异化的保护措施,符合相关法律法规要求。
“征求意见稿为金融机构与服务提供者提供了清晰的‘合规地图’。”袁帅表示,金融信息服务涉及大量敏感数据,一旦泄露或滥用,可能引发用户权益受损、市场操纵甚至国家安全风险。通过将数据划分为“核心—重要—敏感一般—常规一般”四级,机构可针对性分配保护资源,对“核心数据”采取最高级别的加密、访问控制与审计,对“重要数据”加强监控与应急处置,对“一般数据”则采用常规保护措施。这种“分级保护”模式既能降低机构的合规成本,又能提高数据治理效率。
促进行业规范发展
业内人士普遍认为,分类分级要求可推动金融信息服务提供者完善内部数据治理,提高行业整体数据安全管理水平。
“从监管逻辑来看,公开征求意见的过程体现了‘开门立法’的开放性。”袁帅认为,金融信息服务涵盖银行、证券、保险、金融科技、财经媒体等多个领域,不同主体的数据类型与风险特征差异较大。通过向社会公开征求意见,监管层可收集行业实际痛点,避免规则“一刀切”。同时,征求意见的截止时间设定为2026年2月23日,给行业留出了充足的反馈周期,有助于规则更贴合实际。
袁帅表示,征求意见稿既呼应了《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法对数据分类分级的要求,又针对金融信息服务的特殊性构建了具体可操作的规则框架。其核心逻辑是通过“精准分级+动态考量”实现数据安全与产业发展的平衡,对规范金融信息服务提供者的数据处理活动、防范系统性风险具有深远意义。
“后续,在落实过程中,需要进一步细化分级操作指引,避免企业在执行中因标准模糊而增加合规成本。同时要结合金融行业特点,对跨境数据流动、数据共享等场景提供具体指导。”付一夫建议,在征求意见期间广泛吸纳业界反馈,确保指南的科学性与可操作性。
袁帅认为,意见反馈的吸纳与规则落地,将推动金融信息服务行业从“被动合规”转向“主动治理”,提高整体数据安全水平,为金融市场的稳定运行提供支撑。