《金融信息服务数据分类分级指南》印发 专家:数据管理进入“精细化、量化、协同化”新阶段
每经记者|张寿林 每经编辑|黄博文
6月13日,《金融信息服务数据分类分级指南》(以下简称《指南》)发布。《指南》根据金融信息服务数据在经济社会发展中的重要程度和敏感程度等维度,将其从高到低分为四级,分别为核心数据、重要数据、敏感一般数据、常规一般数据。
中国人民大学国际货币研究所所长助理、研究员曲强在接受《每日经济新闻》记者采访时表示,金融信息服务机构掌握海量数据,过去未对信息的重要性、安全性进行分类定级。
工信部信息通信经济专家委员会委员盘和林在接受记者采访时指出,《指南》出台的意义不仅在于防范金融风险、维护信息安全和市场稳定,而且能够促进激活数据要素价值,创造和探索合规的金融信息服务数据信息流通环境。
曲强表示,金融信息服务机构(如提供股票行情、经济数据、研究报告的机构)掌握海量数据,而过去未对信息的重要性、安全性进行分类定级。“《指南》为所有金融信息服务数据制定了标准操作流程。”
盘和林认为,《指南》的出台具有多重意义。首先,《指南》填补了行业合规标准的空白,推动数据安全相关法律的落地;其次,有助于防范金融风险,维护信息安全,保护市场稳定;第三,促进激活数据要素价值,创造和探索合规金融信息服务数据信息流通环境;最后,推动优化资源配置,降低金融信息服务的合规成本。
国家互联网信息办公室有关负责人就《指南》出台背景回答了记者提问。其指出,当前,金融信息服务有序发展,金融信息服务领域数据规模扩大、流动频繁,亟需分类分级规范管理。《中华人民共和国数据安全法》明确,国家建立数据分类分级保护制度,对数据实行分类分级保护。《网络数据安全管理条例》明确,各地区、各部门应当按照数据分类分级保护制度,确定重要数据具体目录并重点保护。
曲强指出,此次六部门联合署名发文,打破了此前监管在数据监管方面“各自为政”的局面。金融信息服务数据监管涉及网信办、央行、证监会、金融监管总局等多部门,此次六部门联合发文,实现监管标准统一,体现了国家对金融信息服务数据安全“一盘棋”治理的思路。
《指南》按照金融信息服务数据的业务属性进行分类,其中一级分类为业务数据、用户数据和企业数据3类,在此基础上进一步细分二级分类9类、三级分类67类。
盘和林表示,《指南》在分类分级思路等方面具有多方面特点:首先是四级分级体系的风险等级划分,在国家三级框架下增加敏感一般数据层级;其次是三级分类体系,对金融行业有较强的适配性;再者是动态管理机制的建设,如要求企业建立分类分级清单动态更新机制。
曲强认为,《指南》的核心内容包括:在金融信息服务数据分类上,将数据分为“业务数据”“用户数据”“企业数据”三大类,最终细分成67个小类,相当于给货物分门别类摆上架。在金融信息服务数据分级上,《指南》对数据进行“核心、重要、敏感、常规”等安全分级。
金融信息服务是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或金融数据的服务。
《指南》参照国家标准GB/T 43697-2024《数据安全技术数据分类分级规则》,根据金融信息服务数据在经济社会发展中的重要程度和敏感程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为四级,分别为核心数据、重要数据、敏感一般数据、常规一般数据。
影响数据分级的要素,主要包括数据的覆盖度、时间跨度、精度、公开状态、地域等。
值得注意的是,《指南》对个人用户数据分类分级作出量化规定。例如,在参考最低级别上,1000万人及以上的个人用户基本信息数据集属于重要数据,其他的属于敏感一般数据。
曲强指出,《指南》“量化+定性”双轨分级解决了“重要数据”识别难题。“《指南》对重要数据给出了明确量化指标,并且可直接判断数据一旦泄露或滥用,会对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成多大危害。”
曲强介绍,在数据分类分级规则上,政策层面首次针对“金融信息服务”单独制定规范。“以前的数据分类分级规则是适用于所有行业的相对粗放规则,而此次《指南》专门针对金融信息服务提供指引,是创新之举。”
他还认为,“数据融合触发更新”具有创新意义,有助于堵住大数据时代的漏洞。
在级别动态更新上,《指南》提出,当数据的业务属性、重要程度和可能造成的危害程度发生变化时应及时更新,其中情形包括因数据融合,导致原定数据级别不再适用。
“一些单独看比较普通的数据,一旦融合,就可能升级为重要数据,要受到保护。”曲强介绍。
在数据分类分级流程上,《指南》提出动态更新管理。当核心数据和重要数据发生重大变化(如重要数据条目数量、存储总量等变化30%以上,或其他重要内容发生变化),应当及时重新报送重要数据目录。
在曲强看来,虽然《指南》主要针对金融服务企业,但间接保护了普通投资者和消费者的利益。
他认为,《指南》为金融信息服务数据“上户口、定身份、建档案”,并且实施动态联网管理。这标志着中国对金融信息服务数据的管理从“粗放式”进入了“精细化、量化、协同化”的新阶段。
封面图片来源:AIGC