政策发布与征求意见 - 国家互联网信息办公室会同有关部门起草了《金融信息服务数据分类分级指南（征求意见稿）》，旨在规范金融信息服务数据处理活动并提升数据安全水平 [1] - 该指南依据《网络安全法》、《数据安全法》、《个人信息保护法》等多部法律法规制定，现向社会公开征求意见，反馈截止时间为2026年2月23日 [1][2] 指南适用范围与对象 - 本指南适用于在中华人民共和国境内从事金融信息服务的提供者，用于开展数据分类分级和重要数据识别工作 [4] - 指南不适用于涉及国家秘密的数据和军事数据 [5] - 金融信息服务被定义为向从事金融活动的用户提供可能影响金融市场的信息和/或金融数据的服务，不同于通讯社服务 [6][7] - 金融信息服务提供者指从事该服务的组织，不包括国家机关和法律、法规授权的具有管理公共事务职能的组织 [9][10] 核心术语定义 - 金融信息服务数据：在开展金融信息服务过程中收集和产生的数据 [8] - 重要数据：一旦泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据，仅影响组织自身或公民个体的数据一般不作为重要数据 [11] - 核心数据：对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度，一旦被非法使用或共享，可能直接影响政治安全的重要数据 [12] - 敏感一般数据：一旦被泄露或篡改、损毁，对经济运行、社会稳定、公共利益有一定影响，或对组织自身或公民个体造成重要影响的数据 [13] - 常规一般数据：核心数据、重要数据、敏感一般数据之外的其他数据 [14] 数据分类规则 - 金融信息服务数据按业务属性进行三级分类，一级分类分为业务数据、用户数据和企业数据3类 [15] - 业务数据细分为5个二级分类和52个三级分类，包括金融市场数据（如股票、债券、基金数据）、宏观经济数据、行业指标数据、组织机构数据和资讯报告数据 [15][16][17][18][19] - 用户数据细分为个人用户数据和机构用户数据2个二级分类，个人用户数据进一步分为基本信息、交易数据、生物特征识别信息3类 [19] - 企业数据细分为经营管理数据和系统运维数据2个二级分类，经营管理数据包括财务、结算、人力资源等数据，系统运维数据包括配置、日志、安全监测等数据 [19] 数据分级规则与框架 - 数据根据其重要程度、敏感程度及潜在危害，从高到低分为四级：核心数据、重要数据、敏感一般数据、常规一般数据 [20] - 影响数据分级的要素包括覆盖度、时间跨度、精度、公开状态和地域 [21][22][23][24] - 数据安全风险可能影响的对象包括国家安全、经济运行、社会秩序、公共利益、组织权益和个人权益 [25][26][27][28][29][30][31] - 影响程度分为特别严重危害、严重危害和一般危害 [32] - 数据分级需综合分级要素、影响对象和影响程度确定，数据集级别按包含数据项的最高级别从严确定 [48] - 若数据已被相关部门认定或告知为核心数据或重要数据，则相应定级 [48] 数据分级动态管理与流程 - 数据分级完成后应定期检查复核，当数据内容、时效性、规模、使用场景、加工方式等发生变化，或因国家要求导致原级别不适用时，应及时更新 [52] - 数据处理者需全面梳理数据资源，明确业务属性，形成清单，并按照规则进行数据分类和分级 [56] - 需按照要求的频度和格式向主管部门报送重要数据目录 [54] - 当核心数据和重要数据发生重大变化（如重要数据条目数量、存储总量等变化30%以上），应当及时重新报送重要数据目录 [54]