作者:汉坤律师事务所 段志超 | 权威 | 夏迎雨 | 王雨婷
2026年6月13日,国家互联网信息办公室、中国人民银行、国家金融监督管理总局(“金融监管总局”)、中国证券监督管理委员会、国家统计局、国家外汇管理局六部门正式对外公布《金融信息服务数据分类分级指南》(以下简称“《指南》”,此前曾于1月底发布公开征求意见稿)。与此前1月发布的征求意见稿相比,《指南》正式稿的整体框架和分级方法没有实质变化,主要变化集中在主体定义、个别数据类别的参考级别以及企业数据的分类补充上。
《数据安全法》确立了数据分类分级保护这一基础制度,《网络数据安全管理条例》进一步要求各地区、各部门确定本行业本领域的重要数据具体目录。《指南》正是把这些原则性要求落到金融信息服务这一细分领域,把如何分类、怎样分级、何为重要这些实操问题转化为有标准可循的行业规则,尤其是金融信息服务领域个人信息达到何种规模即可能构成重要数据的问题,《指南》提出了较为明确的量化认定标准,为境内从事金融信息服务的机构开展数据分类分级和重要数据识别提供操作指引。
以下是我们对《指南》的核心要点及落地思路所作的梳理。
一、《指南》在金融数据监管体系中的位置
《指南》是我国金融数据监管的重要组成部分。我国金融行业的数据安全监管按照不同监管条线和业务领域设定了对应的法规。金融信息服务领域目前已有《指南》,银行保险、人民银行业务领域、证券期货等领域亦各有专门的规则。
从已经落地的规则看,金融监管总局于2024年12月27日发布并施行《银行保险机构数据安全管理办法》,适用于银行业保险业机构;中国人民银行于2025年5月发布《中国人民银行业务领域数据安全管理办法》,自2025年6月30日起施行,覆盖支付、征信、信用评级、反洗钱等人民银行业务领域;证监会则有《证券期货业网络和信息安全管理办法》(2023年5月1日施行),并在行业层面发布了《证券期货业数据分类分级指引》(JR/T 0158—2018)、《证券期货业数据安全风险防控 数据分类分级指引》(GB/T 42775—2023)等标准。
这些规则普遍要求识别重要数据并建立目录,金融领域的重要数据识别和申报工作已在陆续推进。《指南》要求金融信息服务提供者开展重要数据识别并按要求报送重要数据目录;重要数据的申报和认定工作则由主管部门会同相关部门组织推进。由此可以看出《指南》的定位:它针对的是金融信息服务提供者这一类主体,与面向持牌银行保险机构、人民银行业务领域、证券期货机构的规则各有适用范围和监管侧重,部分机构或数据处理活动可能同时涉及多套规则,需要结合机构身份、业务类型和数据来源分别判断。一家机构究竟适用哪些规则,主要取决于其机构身份、监管条线、实际开展的业务类型以及所处理数据的来源和用途。
二、谁来适用:金融信息服务与提供者的边界
《指南》承继《金融信息服务管理规定》对金融信息服务的界定,即向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务,并明确这类服务不同于通讯社服务。适用主体为境内从事金融信息服务的法人和非法人组织,不包括国家机关和法律法规授权的具有公共管理职能的组织。涉及国家秘密的数据和军事数据不在《指南》调整范围之内。
判断自身是否落入适用范围,可以参照网信办的报备制度。国家网信办已公开发布四批境内金融信息服务机构报备编号清单,第一批公开发布于2022年1月,第四批公开发布于2026年2月。从清单看,报备机构提供的服务大致包括金融资讯服务、金融数据服务、金融行情服务、金融分析工具和定制解决方案五类,服务渠道涵盖专业金融终端、移动应用、网站、数据库同步以及面向机构用户的API接口等。这些机构既有提供综合金融数据终端和行情资讯的,也有专注于债券、基金、商品、期货等特定领域数据服务的,还有面向专业投资者提供研究报告和分析工具的。值得留意的是,报备清单普遍注明,相关主体提供的社区、论坛及服务号、订阅号等传播平台类服务不属于金融信息服务。
需要区分的是,金融信息服务应与通讯社服务,以及网络借贷、证券交易、证券投资咨询、征信等需另行取得资质或许可的业务相区分;涉及新闻信息发布的,还需另行判断互联网新闻信息服务等资质要求。报备本身只是对机构提供金融信息服务行为的确认,机构若从事金融业务仍应取得相应资质。
三、怎么分类:3类一级、9类二级、67类三级
《指南》按业务属性对金融信息服务数据进行分类,形成业务数据、用户数据、企业数据3个一级分类,下设9个二级分类和67个三级分类:
业务数据是金融信息服务处理的主要部分,包括反映市场动态的金融市场数据,反映经济运行的宏观经济数据,描述市场参与主体的组织机构数据,反映各行业运行和供需的行业指标数据,以及新闻评论研究报告等资讯报告数据。
用户数据区分个人用户和机构用户,个人用户数据进一步分为基本信息、交易数据和生物特征识别信息,机构用户数据分为基本信息和交易数据。
企业数据指提供者自身的数据,分为经营管理数据和系统运维数据两类。
这一分类与报备机构的实际业务高度对应:通过数据接口提供的行情、资讯、研究报告等内容,通常对应业务数据;接口调用记录、订阅关系、账户权限、访问日志等,则需分别纳入用户数据、企业数据或系统运维数据判断。下表列出一级到二级的分类对应关系。
四、如何分级:四级框架与判定逻辑
在分级上,《指南》最值得关注的是把级别细化为四级。《数据安全法》确立数据分类分级保护制度,并对重要数据目录和国家核心数据更严格管理作出规定;《指南》在此基础上,把金融信息服务数据从高到低划分为核心数据、重要数据、敏感一般数据和常规一般数据四级。《指南》的分级框架与《银行保险机构数据安全管理办法》的数据分级框架高度一致。《指南》答记者问[1]说明,将一般数据进一步细分,是因为金融信息服务数据具有领域特殊性和敏感性;以附录A为例,期货实时价格,以及成交量、成交额等反映市场活跃度的数据,被列为敏感一般数据。这样既避免笼统管理导致保护不足,也避免对普通数据管控过严。
具体定级依靠三组判断要件:
第一组是分级要素,包括数据的覆盖度、时间跨度、精度、公开状态和地域。
第二组是影响对象,即数据一旦遭到泄露篡改损毁或者被非法获取使用共享时可能影响的对象,分为国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益六类。
第三组是影响程度,从高到低分为特别严重危害、严重危害和一般危害。影响对象和影响程度交叉表是定级的重要基础,仍需结合覆盖度、时间跨度、精度、公开状态、地域等分级要素综合判断。
下表是《指南》给出的级别判定标准。
从这张表可以看出一个特点:仅影响组织权益或个人权益的数据,参考级别最高也只到敏感一般数据,除非影响外溢到国家安全、经济运行、社会秩序或公共利益,才可能上调。
此外,《指南》还明确了几项判定规则:
数据集级别可在数据项级别基础上,按照就高从严原则,将数据集包含数据项的最高级别作为数据集级别,对于多个影响对象并存的情形,实务中宜结合主要影响对象和外溢影响审慎判断;
已被相关部门、地区认定、告知或公开发布为核心数据或重要数据的,相应定为核心数据或重要数据;
数据级别还应随业务属性、重要程度和危害程度的变化动态更新。
《指南》对国家标准GB/T 43697—2024《数据安全技术 数据分类分级规则》作了行业适配而非简单照搬。一方面把国标框架中的一般数据细分为敏感一般和常规一般两档;另一方面结合金融信息服务跨地域的特点,对境内外数据作了差异化处理。附录A在宏观经济数据、行业指标数据等类别中,较多采用我境内数据为敏感一般数据、境外同类数据为常规一般数据的处理;金融市场数据、资讯报告数据、用户数据等则仍有各自单独规则,并非简单按境内外二分。
五、重要数据识别
《指南》附录A给出了各三级类别的数据描述和参考最低级别示例,是实操中最直接的参照。就重要数据的识别,虽然《指南》在定义重要数据时说明,仅影响组织自身或公民个体的数据一般不作为重要数据,但个人信息数据集达到一定规模后不再仅涉及个体利益,因此,达到特定数量门槛的个人信息数据集也可能构成重要数据。此外,机构用户数据在达到一定规模后也可能构成重要数据。具体而言:
就个人用户而言:1000万人及以上的个人用户基本信息数据集;100万人及以上的交易数据集;10万人及以上的生物特征识别信息数据集;
就机构用户而言:100万家及以上的机构用户基本信息数据集;10万家及以上的机构用户交易数据集。此外,如机构用户交易数据一旦泄露或篡改可能直接影响国家安全的,不论规模均属于重要数据。
非用户数据类数据则不看规模,而主要依据数据特征识别重要数据,若相关数据覆盖度、时间跨度、精度等高于有关部门公开发布的(含历史上曾公开的),并能反映省级行政区及以上范围情况,则可能构成重要数据。常见的有如下三类:
金融市场数据项下的商品数据;
农林牧渔、工业、能源、汽车、交通运输、信息服务、医药生物、旅游酒店等各行业指标数据;
资讯报告数据项下的研究报告。
其余如涉及人民币的外汇数据、我境内宏观经济数据等,参考最低级别多为敏感一般数据,尚不构成重要数据,但仍需结合公开状态、境内外属性等要素逐项核对附录A。
六、附录定级示例与正式稿的主要调整
正式稿相较征求意见稿的调整不多,但有几处对实务有直接影响,梳理如下表。
其中最值得关注的是用户数据定级门槛的变化。征求意见稿对若干大规模个人和机构用户数据设置了达到一定数量级即属于核心数据的门槛,正式稿删除了这些"规模达标即为核心数据"的自动门槛——对同样的用户数据,达到相应规模时,正式稿不再将其直接归入核心数据,而是改以重要数据作为参考最低级别。这降低了提供者仅因数据规模过大就被直接纳入核心数据管理的概率。但这并不意味着大规模用户数据一定不构成核心数据,正文的综合判断规则仍然保留,如果大规模个人或机构权益受影响并进一步影响国家安全等,仍可能按更高的影响对象判断。
其余几处调整也各有指向,分述如下:
未公开私募基金数据:从常规一般数据上调为敏感一般数据,持有私募基金底层资料、未公开产品信息的提供者需相应提高识别和保护要求。
研究报告:增加降级例外,金融持牌机构公开发布的研究报告参考最低级别为常规一般数据;但经进一步加工、融合后,如覆盖度、时间跨度、精度等高于有关部门公开发布并能反映省级行政区及以上范围情况,仍可能按重要数据判断,非公开研报、非持牌机构研报也仍需结合公开状态和加工程度审慎判断。
企业数据:新增"风险控制与监督数据",三级类别由六十六类增至六十七类;内控评估、合规检查、审计底稿、风险排查和整改跟踪等数据从其他经营管理数据中单列出来,定为敏感一般数据。
提供者定义:由"组织"明确为"法人、非法人组织",属法律概念上的规范化处理。
七、落地怎么做:从数据梳理到目录报送
《指南》设定了较为完整的分类分级步骤,依次是数据资源梳理、数据分类、数据分级、形成数据分类分级清单、报送重要数据目录、动态更新管理。提供者可以按这个顺序推进自身的数据治理工作。结合金融信息服务的特点,有几个关注点值得提示。
一是数据资产盘点时把风险控制与监督类数据单列。正式稿新增了这一三级类别,提供者在梳理数据资源时,应把内控评估、合规检查记录、审计底稿、风险排查问题清单和整改台账等从其他经营管理数据中拆分出来,单独识别为敏感一般数据。这类数据不一定以客户个人信息为核心,但实践中可能包含员工信息、客户信息、商业秘密、监管沟通信息或问题整改信息,应在敏感一般数据基础上叠加适用个人信息保护、商业秘密保护和内部保密管理要求。
二是抓住几个关键定级变量。对金融信息服务数据而言,公开状态、境内外属性、覆盖度和精度是影响定级的核心变量。同一类数据,未公开的往往比已公开的级别更高,境内的往往比境外的更高,覆盖度时间跨度精度高于官方公开发布的可能上调为重要数据。建议在数据台账中明确标注这些定级维度,以便定级有据可依。
三是落实重要数据目录的报送和更新义务。提供者识别出重要数据后,应按要求的频度和格式向主管部门报送重要数据目录。当核心数据和重要数据发生重大变化,比如重要数据条目数量或存储总量变化达到百分之三十以上,或其他重要内容发生变化时,应当及时重新报送。
四是建立级别动态更新机制。数据级别并非一次确定就固定不变。当数据内容、时效性、规模、使用场景或加工处理方式发生变化,或者发生数据融合导致原定级别不再适用,以及国家或有关部门提出要求时,都应及时复核更新分类分级清单和重要数据目录。
五是把分类分级结果与日常管理动作打通。《指南》只解决"分到哪一类、定到哪一级"的问题,并未规定各级别数据应当采取的具体安全保护措施。换言之,分类分级是数据安全管理的起点而非终点。提供者在定级完成后,应把级别结果对应到访问控制、加密存储与传输、共享与委托处理审批、数据出境评估、日志审计和应急响应等具体控制措施上,对核心数据、重要数据施加更严格的管控,使分级真正转化为可执行的安全基线。
六是注意与其他金融数据规则的衔接。已经完成报备或同时受银行保险、人民银行业务领域、证券期货等规则约束的机构,需要把《指南》与各自适用的规则一并对照,厘清哪些数据按《指南》识别报送,哪些数据按其他规则处理,避免重复劳动或出现遗漏,特别是对于金融机构而言,不排除其在特定的业务类型下,同时受限于多类不同的数据目录和识别报送要求的可能性。对于已被其他部门认定或公布为核心数据或重要数据的,《指南》也明确可以直接采信相应级别。
结语
《指南》为金融信息服务行业提供了一套统一且可操作的数据治理依据,把《数据安全法》等上位法的原则性要求转化为行业可执行的分类分级规则,在守住安全底线的同时也为数据依法合理有效利用留出空间。需要看到的是,它作为金融信息服务行业的数据分类分级指南,在整个金融数据监管格局中只是其中一环,与面向其他金融机构的数据安全规则各有侧重、相互衔接。对各类金融信息服务提供者而言,接下来仍需结合自身业务完成数据资产盘点、级别判定和目录报送,并处理好与所适用的其他金融数据规则之间的衔接。考虑到重要数据识别申报工作正在陆续推进,相关机构宜尽早启动这项基础性工作。
注释
[1] 访问链接:https://www.cac.gov.cn/2026-06/13/c_1783104511414074.htm
本文作者
段志超
+86 10 8516 4123
kevin.duan@hankunlaw.com
业务领域
合规与调查、数据保护、知识产权
权威
+86 21 6080 0946
wei.quan@hankunlaw.com
业务领域
金融服务与跨境资管、金融科技、数据保护
夏迎雨
+86 21 6080 0963
yingyu.xia@hankunlaw.com
业务领域
银行金融、金融服务与跨境资管、金融科技、数据保护
王雨婷 | 汉坤律师事务所
声明:本文来自汉坤律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
