据网信中国微信公众号传出消息,为了规范金融信息服务数据处理活动,并且提升金融信息服务中的数据安全水平,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等一系列法律法规规章以及政策规定,国家互联网信息办公室联合有关部门组织起草了《金融信息服务数据分类分级指南(征求意见稿)》,现在面向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
1.通过电子邮件方式发送至:。
将意见,以信函方式,寄至这个地址:北京市海淀区阜成路15号,对象是国家互联网信息办公室网络数据管理局,还要写明邮编 ,且要在信封上面注明“金融信息服务数据分类分级指南征求意见“。
意见反馈截止时间为2026年2月23日。
国家互联网信息办公室
2026年1月24日
金融信息服务数据分类分级指南
(征求意见稿)
1 目的依据
为使金融信息服务数据处理活动得以规范,为将金融信息服务数据安全水平予以提升,按照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等法律法规规章以及政策规定,参考国家标准GB/T 43697—2024《数据安全技术 数据分类分级规则》,制定了本文件。
2 适用范围
本文件对金融信息服务数据分类分级规则作出了规定,该规则适用于金融信息服务提供者,这些提供者在中华人民共和国境内从事金融信息服务,要开展数据分类分级以及重要数据识别工作。
本文件不适用于涉及国家秘密的数据和军事数据。
3 术语与定义
3.1 金融信息服务
提供服务,此服务面向那些从事金融分析的用户,从事金融交易的用户,从事金融决策的用户,以及从事其他金融活动的用户,所提供的是可能会对金融市场产生影响的信息,和/或者金融数据。
要注意,这是引自名为《金融信息服务管理规定》的内容。金融信息服务和通讯社服务并不相同。
3.2 金融信息服务数据
在开展金融信息服务过程中收集和产生的数据。
3.3 金融信息服务提供者
从事金融信息服务的组织。
注意,这里所说的内容并不能将国家机关涵盖在内,而且那些依据法律、法规而被授权的,具备管理公共事务职能的组织也不包含在其中。
3.4 重要数据
被限定于特定领域、特定群体、特定区域,或者是达到一定精度和规模的,一旦出现诸如被泄露、被篡改、被损毁等情况,就极有可能对国家安全、经济运行、社会稳定、公共健康和安全直接造成危害的数据。
注:仅影响组织自身或公民个体的数据一般不作为重要数据。
3.5 核心数据
对领域有着较高覆盖度的,或者是对群体有着较高覆盖度的,又或者是对区域有着较高覆盖度的,还有达到较高精度的,以及达到较大规模的,甚至是达到一定深度的,这类一旦被非法使用或者被非法共享,就有可能直接影响政治安全的重要数据。
请注意,核心数据其所涵盖的主要方面包含,涉及关系国家安全重点领域的那些数据,以及关乎国民经济命脉、重要民生、重大公共利益的数据,另外还有经过国家有关部门评估之后确定为核心数据的别的数据。
3.6 敏感一般数据
一旦有的数据被泄露,或者被篡改,亦或是被损毁,这数据对经济运行会有一定影响,对社会稳定会有一定影响,对公共利益会有一定影响,或者对组织自身会造成重要影响,又或者对公民个体会造成重要影响。
3.7 常规一般数据
核心数据、重要数据、敏感一般数据之外的其他数据。
4 数据分类规则
金融信息服务的数据,能够依照业务属性来开展分类。其中,一级分类分别是业务数据、用户数据与企业数据这3类,并且还能继续细分成为二级分类有9类,三级分类有66类,具体内容可查看附录A。
a)业务数据,这属于一级分类,它被划分成5类,也就是金融市场数据、宏观经济数据、行业指标数据、组织机构数据以及资讯报告数据这些二级分类,而这些二级分类又进一步细分,细分成了包含股票数据、债券数据、基金数据、理财数据、外汇数据、商品数据等在内的52类,这些属于三级分类。
1)金融市场数据(二级分类),这类数据是用于反映金融市场动态以及资产状况的,其中包括像股票、债券、基金的基本信息,此外还涵盖行情数据以及统计数据等。
2)宏观经济数据,属于二级分类,是反映国家或地区经济运行状况的指标数据,像有关国民经济核算、价格指数、贸易、投资、金融、财政、就业与工资等方面的统计数据。
3)就像上市与发债企业、金融机构等这样的金融市场参与主体,其基本信息以及运营数据,比如经营信息、员工信息、财务信息这些,组构成一种组织机构数据,并且是二级分类的那种。
第一,行业指标数据,属于二级分类这种。第二,该数据反映的是,行业领域的运行状态。第三,它还反映市场供需等情况,是指标数据。第四,像农林牧渔行业,有产业链数据。第五,能源行业也有相关之类的数据,另外还有供需数据等。
这是5)资讯报告数据,属于二级分类,它涵盖了于金融市场有关系的新闻,还有评论以及资讯等诸多信息,像行业资讯,研究报告,政策法规,专家观点这类的。
b)用户数据,这属于一级分类,它被划分成了两类,也就是个人用户数据以及机构用户数据,此为二级分类。其中,个人用户数据又被分成了三类,分别是基本信息、交易数据、生物特征识别信息,这是三级分类。而机构用户数据同样被分成了两类,即基本信息、交易数据,这属于三级分类。
c)企业数据,这属于一级分类,被分为了2类,也就是经营管理数据和系统运维数据,此为二级分类。经营管理数据又分为5类,分别是财务数据、结算管理数据、人力资源数据、市场营销数据、其他经营管理数据,这是三级分类。系统运维数据同样分为4类,有网络设备和信息系统的配置数据、日志数据、安全监测数据、安全事件数据,此为三级分类。
5 数据分级规则
5.1 数据分级框架
依据金融信息服务数据于经济社会发展里的重要程度,以及敏感程度,并且考虑到一旦遭遇泄露、篡改、损毁,或者非法获取、非法使用、非法共享的情况,其对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益所造成的危害程度,进而把数据由高到低划分成四级,分别是核心数据、重要数据、敏感一般数据、常规一般数据。
5.2 分级要素
主要涵盖数据的覆盖度,以及时间跨度,再加精度,还有公开状态,以及地域等,这些是影响数据分级的要素。
(a)覆盖度,指的是数据针对领域、群体、区域等方面所呈现的,覆盖分布或者疏密程度的情况。比如说,区域的覆盖占比、群体的覆盖占比之类的情况。
首先是b),时间跨度,它指的是数据所属的时间段。举例来说,存在10年的基金数据成交量。还有5年的国民经济数据等等。
(c)精度:指数据所具备的精确或者准确的程度,其中涵盖数值精度、空间精度、时间精度等等。比如说,某一类商品价格呈现周期变化的数据,相较于有关部门公开发布的数据,更为精准详实些。
d)公开状态分为,已公开与未公开这两种状况。已公开意味着,数据能够被公众所访问,并且可以获取它。未公开是说,数据仅仅限定于特定范围的组织,或者是特定范围的个人去访问,以及获取,并未向公众进行开放。
e)地域:数据反映的是境内或境外的经济、社会等情况。
5.3 影响对象
以数据处于安全风险状况为前提,存在其可能对之产生影响的对象,这些对象主要涵盖国家安全,经济运行,社会秩序,公共利益,组织权益以及个人权益。
b)经济运行:其会对市场经济运行秩序产生影响,会对宏观经济形势造成影响,会对国民经济命脉予以影响,会对社会总供给和总需求带来影响,会对行业或地区经济发展起着影响等经济运行机制。
社会秩序方面,存在这么一种情况,它会对社会治安以及公共安全产生影响,还会干扰到社会日常生活的秩序,对民生福祉造成作用,并且波及法治以及伦理道德等社会秩序。
d)公共利益:会对社会公众使用公共服务造成影响,接着是会对公共设施的使用造成影响,其后是会对公共资源的使用造成影响,最后是会对公共健康安全之类的公共利益造成影响。
e)组织权益:对组织自身的生产运营、声誉形象、公信力、知识产权等产生影响,或者对其他组织的生产运营、声誉形象、公信力、知识产权等造成影响,该影响涉及组织权益。
f)个人权益:对自然人的人身权产生影响,对自然人的财产权产生影响,对自然人的隐私权产生影响,对自然人的个人信息权益等个人权益产生影响。
5.4 影响程度
数据一旦出现如下情况,即遭到泄露,或者被篡改,或者被损毁,还或者被非法获取,以及被非法使用,又或者被非法共享,其所可能造成的那种影响程度,就是这里所说的影响程度。影响程度依据从高到低的顺序被划分成特别严重危害、严重危害、一般危害这几种类型。
5.5 综合确定级别
首先,在对分级要素进行识别,再对影响对象以及影响程度展开分析的基础之上,进而综合起来确定数据级别。接着,数据集级别能够在数据项级别的基础之上,依照就高从严的原则,把数据集包含的数据项的最高级别当作数据集级别。另外,依据有关部门、地区的数据分类分级标准规范被识别为核心数据或者是重要数据的那种情形下,或者已经被有关部门、地区告知,亦或是公开发布成为核心数据或者重要数据的这种情况下,又或者有关企业机构告知已经被有关部门、地区认定为核心数据或者重要数据的状况下,相应地将其定为核心数据或者重要数据。
5.6 级别动态更新
对于数据分级已然完成之后,是应当进行定期予以检查复核的。在数据的业务属性出现变化之时,还有重要程度出现变化之时,以及危害程度可能造成变化之时,那就应当及时去更新,其中涵盖了但不限于以下这些情形:
a)数据内容发生变化,导致原定数据级别不再适用;
b)那数据的内容并未出现改变,然而呢,因为数据的时效性出现了变化,还有数据规模有了改变,以及数据使用场景发生了变化,并且数据加工处理方式也产生了变化,这样就使得原本确定的所适用的数据级别不再适用了。
c)因数据融合,导致原定数据级别不再适用;
d)因国家或有关部门要求,导致原定数据级别不再适用;
e)需要对数据级别进行更新的其他情形。
6 数据分类分级流程
数据处理者可按照以下步骤进行数据分类分级:
a)数据资源梳理:
其一,针对组织的数据资源展开全方位梳理,其二,此梳理涵盖数据库表,其三,还包括数据项,其四,以及数据文件等。
第2,清晰确定数据资源的基本信息,明确其描述对象,弄清楚业务属性等,进而产生数据资源清单。
b)数据分类:
1)根据数据所描述的对象,确定一级类别;
2)根据数据所属的业务领域、数据主体等,确定二级类别;
首先,依据数据关联着的行业类别线条,接着,考虑其关键业务范畴,然后,关注到管理层面以及用途方面等因素,通过这些来确定三级类别。
c)数据分级:
对分级要素展开识别分析,据此综合研判数据给国家安全带来的影响,以及给经济运行造成的影响,还有给社会秩序产生的影响,以及对公共利益形成的影响,以及对组织权益造成的影响,以及对个人权益产生的影响,进而对数据予以分级。
d)形成数据分类分级清单:
1)审核确定数据分类分级结果;
2)形成数据分类分级清单和重要数据目录。
e)报送重要数据目录:
以要求的频度,按照规定格式,向主管部门报送重要数据目录,该目录格式详细情况可见附录B。
f)动态更新管理:
需定期去复核数据资源,以及数据分类分级的状况,要及时去更新数据分类分级的清单,还有重要数据的目录。一旦核心数据与重要数据出现重大变化,像是重要数据条目数量、存储总量改变30%以上,又或者是其他重要内容产生变化,那就应当及时再次报送重要数据目录。
附录A 金融信息服务数据分类分级示例
附录B 重要数据目录报送模板
编辑 辛婧