加强金融信息服务数据分类分级管理 推动金融信息服务创新发展与数据安全良性互动

　　《中华人民共和国国民经济和社会发展第十五个五年规划纲要》明确提出“实施数据分类分级管理，提升数据安全保护能力”，这为数据治理与数据要素市场化配置指明了方向。近日，国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局联合印发《金融信息服务数据分类分级指南》(以下简称《指南》)，构建科学系统的数据分类分级体系，标志着我国金融信息服务数据治理迈入标准化精细化体系化的新阶段，对提升金融信息服务数据安全能力、激发数据要素潜力，推动金融信息服务高质量发展与高水平安全良性互动具有重要意义。

　　一、《指南》是统筹金融信息服务数据安全与发展的迫切需要

　　数据是金融信息服务提供者的核心生产要素与核心竞争力。《指南》的出台有利于指导金融信息服务提供者梳理数据资产，识别需重点保护的数据，是破解行业治理痛点、释放数据要素价值、提升数据治理能力的必然选择。

　　这是破解金融信息服务数据治理痛点的现实需要。金融信息服务数据涵盖金融市场数据、宏观经济数据、行业产业链数据、用户数据等，部分涉及用户个人信息、商业秘密以及国计民生数据，安全风险传导性强、影响范围广。长期以来，金融信息服务数据分类口径不统一，数据目录碎片化问题突出，部分金融信息服务提供者不能精准区分数据重要程度与敏感等级，导致重要数据防护不足、一般数据管控过严，安全资源配置失衡，不能实现应有的数据分类分级保护。此外，一些提供者在数据采集、存储、使用、共享、销毁等环节安全措施脱节，动态调整机制不健全，无法应对数据属性与风险变化。针对上述痛点，《指南》系统构建分类清晰、分级精准、管理闭环、动态适配的治理体系，有效防范金融信息服务数据安全风险。

　　这是释放金融信息服务数据要素潜在价值的重要保障。当前，金融信息服务数据交易流动需求日益旺盛，但因缺乏统一分类分级标准，数据供需双方难以精准界定风险等级与使用边界，导致不敢流动、不愿流动，数据要素价值被严重抑制。《指南》通过科学的数据分类分级基础规则，守住安全底线，破除流通壁垒。一方面，为金融信息服务提供者内部数据挖掘、精准营销、风险防控提供合规依据，激活数据价值；另一方面，为金融信息服务提供标准支撑，推动数据要素合规高效流通，真正让金融信息服务成为驱动金融等行业高质量发展新引擎。

　　这是提升金融信息服务领域数字化治理能力的核心支撑。数字经济背景下，金融信息服务领域业务线上化、服务智能化、运营数据化程度持续提升，传统粗放式数据管理模式已无法适配数字经济的高质量发展需求。《指南》以分类分级为抓手，推动金融信息服务数据治理从被动合规向主动治理转变、从分散管理向体系化管控转变、从单一安全防护向安全与发展双重目标转变。通过全面梳理数据资源、建立标准化数据目录、实施差异化安全策略、完善全生命周期管理机制，助力金融信息服务提供者构建数据治理体系，全面提升数据治理能力与风险防控能力。

　　二、《指南》是推动金融信息服务数据分类分级的重要举措

　　《指南》落实法律要求，是扎根我国金融信息服务实际，立足行业、贴合需求、守正创新的智慧结晶，为金融信息服务提供者进行数据分类分级提供了精细、精准、可操作的实践指引。

　　《指南》是落实国家数据分类分级保护的重要措施。《数据安全法》明确国家建立数据分类分级保护制度，根据数据在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。《网络数据安全管理条例》要求网络数据处理者应当按照国家有关规定识别、申报重要数据。金融信息服务提供者有义务落实法定要求，对金融信息服务过程中收集和产生的数据进行分类分级，并进行相应保护。但此前，金融信息服务数据分类分级缺少具体指导文件，数据处理者不能清晰的开展重要数据识别工作，对于推动数据分类分级保护带来现实挑战。《指南》聚焦金融信息服务领域，提出数据分类分级的方法和标准；规定当数据业务属性、重要程度、影响范围发生变化时，需及时重新评估、调整等级并更新数据目录；要求机构定期开展数据分类分级复核、重要数据识别与目录更新，形成长效治理闭环，确保数据治理始终适配业务发展与风险变化，有序保障重要数据的识别申报，有力衔接国家数据分类分级保护制度。

　　《指南》是贴合金融信息服务业务特性的精准措施。我国金融信息服务数据治理经历了不断探索、逐步完善的过程，《指南》的出台标志着行业数据治理实现新的飞跃。《指南》参照国家标准GB/T43697-2024《数据安全技术数据分类分级规则》，构建了多维分类、四级分级、精准识别的科学体系。一是分类上更加合理。《指南》按照先领域、后属性的原则，将金融信息服务数据分为业务数据、用户数据、企业数据3个一级类别、9个二级类别、67个三级类别，覆盖金融信息服务数据全场景。二是分级上更加精细。《指南》根据数据泄露、篡改、损毁等对国家安全、经济运行、社会秩序、公共利益、个人权益的危害程度，从高到低划分为核心数据、重要数据、敏感一般数据、常规一般数据四个等级。三是级别判定上更加精确。《指南》数据分级规则给出了分级要素、影响对象、影响程度的具体判断内容，精确指导金融信息服务提供者在分级要素识别、影响对象和影响程度分析的基础上，综合确定数据级别。四是定级衔接上更加清晰。《指南》针对金融信息服务数据的跨行业领域地域特点，明确已被相关部门、地区认定、告知、发布的核心数据或重要数据，相应定为核心数据或重要数据，确保数据识别认定工作不重合、不重复。

　　《指南》是指导金融信息服务数据治理的实践措施。《指南》是金融信息服务提供者开展数据分类分级的直接参考。为此，《指南》立足金融信息服务实际需求，从实操角度着手，给出示例，为金融信息服务提供者提供可操作的参考指引。一是给出了数据分类分级操作流程。《指南》提供了数据分类分级的具体操作流程，包括数据资源梳理、数据分类、数据分级、形成数据分类分级清单、报送重要数据目录、动态更新管理等必要环节，对金融信息服务提供者具有很强的实践指导意义。二是给出了数据分类的具体场景、数据描述。《指南》附录A中列明了金融信息服务数据一级、二级类别的定义，详细提供了三级类别的具体场景、数据描述以及部分数据项示例，分类界定明晰、实操指引具体。三是给出了数据分级的最低参考级别及量值。《指南》及相应附录按照不同数据类别可能带来的影响、风险，对数据分级的影响要素包括数据覆盖度、精度、规模、影响范围等给出了相应的定级参考量值，判断规则易懂、治理逻辑科学。

　　三、《指南》将为金融信息服务高质量发展发挥重要作用

　　《指南》作为金融信息服务数据治理的基础工作，其实施将对金融信息服务提供者、监管部门以及服务对象产生全方位、深层次、持续性的积极影响，为金融信息服务高质量发展注入强劲动力。

　　对金融信息服务提供者而言，可降本增效，激活数据价值，提升核心竞争力。一是降低合规成本。统一标准消除了机构的合规试错成本，避免因标准不一导致的重复建设、资源浪费，简化了合规流程、明确了合规边界。二是优化资源配置。通过精准分类分级，将有限安全资源集中投入重要数据防护，对一般数据实施轻量化管控，实现安全资源的精准配置与高效利用。三是激活数据价值。明确数据流通、交易、共享、使用的合规边界，助力金融信息服务提供者安全开展内部数据挖掘、跨机构数据合作、数据资产化运营等。四是提升风控能力。依托分类分级建立全流程数据安全风险监测、预警、处置机制，有效防范数据泄露、滥用、篡改等风险，守住数据安全底线。

　　对监管部门而言，可实现精准监管，提升效能，完善治理体系。一是实现精准监管。统一分类分级标准为监管部门提供了清晰的监管标尺，便于精准管理核心数据、重要数据，聚焦高风险领域、高敏感数据的重点监管。二是提升监管效能。依托标准化数据目录与分级结果，监管部门可高效开展数据安全检查、风险评估、事件处置，减少监管盲区、降低监管成本、提升监管效率。三是完善治理体系。《指南》与《数据安全法》《网络数据安全管理条例》及行业监管规章与标准形成衔接互补，构建了法律规章标准三位一体的金融信息服务数据治理体系，推动金融信息服务数据治理法治化标准化规范化。四是助力宏观调控。通过规范金融信息服务数据管理，保障相关统计数据真实、准确、完整，为宏观经济分析、风险研判、政策制定提供可靠数据支撑。

　　对金融信息服务用户而言，可强化权益保护，筑牢隐私防线，提升服务体验。使用金融信息服务的用户是从事金融等相关行业的机构和特定投资者，具有很强的行业特殊性和权益敏感性。《指南》的出台，一方面，强化权益保护。规范个人用户与机构用户数据的分类管理，明确重要数据、敏感一般数据的定级量值，严防用户信息泄露、滥用、非法交易，切实保护用户的资产权益。另一方面，提升服务质效。在安全合规的前提下，金融信息服务提供者依托安全可信的数据资源，为用户提供更精准、更便捷、更个性化的数据服务，赋能金融等相关行业的高质量发展，实现安全与服务的双重提升。

　　总之，《指南》的出台是我国金融信息服务数据治理体系的重大举措，是统筹金融信息服务数据安全与发展的里程碑事件，在网络强国与数字中国建设进程中发挥着独特而重要的作用。(作者：王志成，国家网信办数据与技术保障中心副主任)