《指南》发布背景与适用范围 - 国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局六部门联合印发《金融信息服务数据分类分级指南》[2] - 出台背景是金融信息服务领域数据规模扩大、流动频繁，亟需分类分级规范管理，旨在落实《中华人民共和国数据安全法》和《网络数据安全管理条例》要求，为机构提供系统性、针对性、可操作性的指引[20] - 《指南》适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作，但不适用于涉及国家秘密的数据和军事数据[5][21][22] 数据分类规则 - 数据按照业务属性进行分类，一级分类分为业务数据、用户数据和企业数据3类，进一步细分为二级分类9类、三级分类67类[8][23] - 业务数据一级分类下分为金融市场数据、宏观经济数据、组织机构数据、行业指标数据、资讯报告数据5类二级分类，进一步细分为股票数据、债券数据、基金数据、外汇数据、商品数据、期货期权等52类三级分类[9] - 用户数据一级分类下分为个人用户数据和机构用户数据2类二级分类，个人用户数据细分为基本信息、交易数据、生物特征识别信息3类三级分类，机构用户数据细分为基本信息、交易数据2类三级分类[11] - 企业数据一级分类下分为经营管理数据和系统运维数据2类二级分类，经营管理数据细分为财务数据、结算管理数据、人力资源数据、市场营销数据、风险控制与监督数据、其他经营管理数据6类三级分类，系统运维数据细分为网络设备和信息系统的配置数据、日志数据、安全监测数据、安全事件数据4类三级分类[12] 数据分级规则 - 根据数据在经济社会发展中的重要程度和敏感程度，以及一旦遭到安全事件可能造成的危害程度，将数据从高到低分为四级：核心数据、重要数据、敏感一般数据、常规一般数据[13][23] - 分级需考虑覆盖度、时间跨度、精度、公开状态、地域等要素，并分析安全风险可能影响的对象（如国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益）及影响程度（特别严重危害、严重危害、一般危害）[14] - 综合确定级别时，数据集级别按照就高从严原则，以包含数据项的最高级别为准，若已被相关部门认定为核心或重要数据，则相应定级[14][15] - 结合金融信息服务领域的特殊性，将一般数据细分为“敏感一般数据”和“常规一般数据”，旨在推动机构加强对敏感一般数据的安全保护[26] 分类分级实施流程 - 金融信息服务提供者可按步骤进行：数据资源梳理、数据分类、数据分级、形成数据分类分级清单[7][24] - 数据分级完成后应定期检查复核，当数据的业务属性、重要程度和可能造成的危害程度发生变化时应及时更新级别[16] - 最终需审核确定分类分级结果，形成数据分类分级清单和重要数据目录[17] - 《指南》附录A给出了第三级分类67类数据的数据描述、示例以及数据分级的参考最低级别，便于机构开展工作[25] 后续工作考虑 - 国家互联网信息办公室将会同相关部门推进《指南》落地，包括做好宣传阐释、工作指导，组织宣讲、教育培训等活动[27] - 强化部门协作、央地协同，落实数据分类分级保护及重要数据识别申报有关要求，组织开展金融信息服务领域重要数据识别、申报和认定工作[27]