问题——金融信息服务连接市场信息供给与交易决策链条,数据体量大、更新频率高、传播范围广,既包括金融市场行情、宏观经济指标、行业运行数据,也涉及用户与企业有关信息。一旦发生泄露、篡改或非法共享,可能导致市场误判、交易风险外溢,并对经济运行、社会稳定和公共利益产生影响。当前行业主体多、模式差异大,数据口径、管理层级和保护力度不一,亟需建立可落地、可执行、可评估的分类分级框架,推动安全治理从“事后处置”转向“事前管理”。 原因——一方面,网络安全法、数据安全法、个人信息保护法及相关配套规则已对数据处理提出总体要求,但金融信息服务作为影响金融市场的重要信息来源,数据范围跨市场、跨主体、跨场景,实践中需要更具体、可操作的分类分级指引来细化落实。另一方面,随着数据要素流通提速,金融信息服务产品持续迭代,资讯、研究、指标、模型等与数据深度融合,数据价值提升的同时,窃取攻击、恶意篡改、违规共享等风险也上升。用统一规则明确“数据是什么、等级怎么定、重要数据如何识别”,有助于压实主体责任,提升行业整体防护水平。 影响——征求意见稿围绕“目的依据、适用范围、术语定义、分类规则”等作出系统安排,拟以业务属性为主线对金融信息服务数据分类:一级分类包括业务数据、用户数据和企业数据,并继续细分为二级、三级类别,覆盖金融市场数据、宏观经济数据、行业指标数据、组织机构数据、资讯报告数据等主要类型。同时,指南区分数据等级,提出核心数据、重要数据、敏感一般数据、常规一般数据等概念边界,强调重要数据通常指一旦泄露或损毁可能危害国家安全、经济运行、社会稳定及公共健康安全的数据;核心数据则聚焦对政治安全等更敏感、影响范围更大的数据。这些界定有助于不同类型数据匹配相应管理强度,推动“以等级定措施、以影响定边界”的治理思路落地。 对策——从机构执行角度看,分类分级不是“贴标签”,而是牵引管理体系建设的抓手。金融信息服务提供者应在合规框架下建立数据资产清单和流转地图,梳理采集、存储、加工、使用、共享、传输、删除等全生命周期环节,明确责任部门与审批链条;涉及个人信息的数据,应依法落实最小必要、明示告知、目的限定等要求,避免以“业务需要”为由扩大采集范围;对可能触及重要数据或核心数据的数据集,应完善识别、评估、审查与变更管理机制,强化访问控制、加密保护、日志审计与异常监测,并提升对外合作及第三方接入的边界管理能力;在内容发布和数据服务环节,完善校验、溯源与纠错机制,降低错误数据或被篡改信息对市场预期的干扰。监管与行业层面可在征求意见基础上,进一步明确典型场景的判定口径与示例,推动标准、指南与企业内控制度衔接,形成可检查、可评估执行闭环。 前景——公开征求意见有助于汇集行业实践与技术经验,提高指南的适配性与可操作性。随着分类分级规则完善并逐步实施,金融信息服务领域的数据治理有望更加统一、透明、可预期:一上,为数据要素合规流通提供基础条件,促进高质量数据供给;另一方面,通过分级保护提升风险可控水平,减少安全事件对市场稳定的冲击。下一步,如何在安全与发展之间把握边界、如何与既有标准体系协同、如何降低中小机构实施成本,将成为检验指南落地效果的重要观察点。
在数字经济时代,数据安全已成为金融稳定的重要支撑;此次分类分级制度建设,既是对监管体系的补强,也回应了高质量发展的现实需求。随着技术演进与制度完善形成良性配合,中国金融业有望在安全可控的前提下,走出一条更具活力、更加有序的发展路径。