核心内容总结
国家互联网信息办公室等六部门联合发布《金融信息服务数据分类分级指南》,目的是指导金融信息服务机构对数据进行规范的分类分级管理,提升数据安全水平。指南明确了适用范围、分类分级规则、操作流程,还细化了一般数据的类型,并提出了后续落实措施,帮助机构既守好数据安全,又能合理利用数据。
详细解读
1. 为啥要出台这个指南?金融数据“量大活多”,得按规矩管起来
现在金融信息服务发展很快,比如提供股票行情、宏观经济数据、金融分析报告的机构越来越多,数据规模大、流动频繁。但数据安全风险也跟着来了——万一泄露或被篡改,可能影响金融市场稳定甚至国家安全。
国家法律(比如《数据安全法》)要求对数据实行分类分级保护,所以六部门出这个指南,给机构一个明确的操作手册:告诉他们怎么分数据、哪些数据要重点保护,既满足法律要求,又能让数据合理使用。
2. 哪些机构要遵守?境内做金融信息服务的都得“照章办事”
指南适用于在国内从事金融信息服务的机构——比如那些给金融分析师、交易员、投资者提供可能影响市场的信息或数据的公司(比如财经资讯平台、金融数据服务商)。
但有例外:涉及国家秘密的数据和军事数据,不归这个指南管。
3. 数据怎么分类分级?三大类+四等级,清清楚楚不糊涂
- 分类:按业务类型分三层
先把数据分成三大类:
①业务数据(比如股票行情、GDP数据、行业指标);
②用户数据(比如用户的身份信息、交易偏好、投资记录);
③企业数据(比如机构的经营数据、员工信息)。
这三大类再细分到二级(9类)、三级(67类),比如业务数据里再分“金融市场数据”“宏观经济数据”等,方便机构精准识别。
- 分级:按危害程度分四级
根据数据泄露/篡改后造成的伤害大小,从高到低分为:
①核心数据:影响国家安全、金融稳定的(比如国家金融政策未公开的内部数据);
②重要数据:影响经济运行或公共利益的(比如大规模用户的交易记录);
③敏感一般数据:影响组织或个人重要利益的(比如用户的个人金融偏好);
④常规一般数据:影响很小的(比如机构的公开联系方式)。
4. 机构具体怎么做?五步走,还有“参考模板”帮忙
指南给了明确的操作流程:
①先梳理自己手里所有的数据(比如列个清单:有哪些用户数据、业务数据);
②按指南的分类规则给数据贴标签(比如把“股票实时行情”归到业务数据里的金融市场数据);
③按危害程度给数据定级(比如“用户的身份证号”可能定成敏感一般数据);
④形成分类分级清单,把重要数据目录报给监管部门;
⑤定期更新数据清单(比如新业务产生的数据要及时分类定级)。
另外,指南附录里给了67类数据的具体例子和分级参考,机构直接对照用就行,不用自己瞎琢磨。
5. 后续怎么落实?监管部门“手把手”指导,多部门一起管
六部门会做两件事:
①宣传培训:给机构讲清楚指南内容,组织讲座、培训,帮他们学会怎么分类分级;
②协同监管:跨部门(比如网信办、央行、金融监管总局)和地方政府一起,检查机构有没有按指南做,推动重要数据的申报和认定,确保指南真正落地。
这个指南就像给金融信息服务机构的“数据安全说明书”,让他们知道哪些数据要“锁好”,哪些可以“合理用”,既保护了用户和市场安全,也让行业能更健康地发展。