为规范金融信息服务数据处理活动,提升金融信息服务的数据安全水平,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等法律法规规章和政策规定,国家互联网信息办公室会同有关部门组织起草了《金融信息服务数据分类分级指南(征求意见稿)》,现向社会公开征求意见。公众可以通过以下途径和方式提出反馈意见:
1.通过电子邮件方式发送至:shujuju@cac.gov.cn。
2.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局,邮编100048,并在信封上注明“金融信息服务数据分类分级指南征求意见”。
意见反馈截止时间为2026年2月23日。
附件:金融信息服务数据分类分级指南(征求意见稿)
国家互联网信息办公室
2026年1月24日
金融信息服务数据分类分级指南
(征求意见稿)
1 目的依据
为规范金融信息服务数据处理活动,提升金融信息服务数据安全水平,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等法律法规规章和政策规定,参照国家标准GB/T 43697—2024《数据安全技术 数据分类分级规则》制定本文件。
2 适用范围
本文件规定了金融信息服务数据分类分级规则,适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作。
本文件不适用于涉及国家秘密的数据和军事数据。
3 术语与定义
3.1 金融信息服务
向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。
注:引自《金融信息服务管理规定》。金融信息服务不同于通讯社服务。
3.2 金融信息服务数据
在开展金融信息服务过程中收集和产生的数据。
3.3 金融信息服务提供者
从事金融信息服务的组织。
注:不包括国家机关和法律、法规授权的具有管理公共事务职能的组织。
3.4 重要数据
特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
注:仅影响组织自身或公民个体的数据一般不作为重要数据。
3.5 核心数据
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。
注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定为核心数据的其他数据。
3.6 敏感一般数据
一旦被泄露或篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。
3.7 常规一般数据
核心数据、重要数据、敏感一般数据之外的其他数据。
4 数据分类规则
金融信息服务数据可按照业务属性进行分类。一级分类分为业务数据、用户数据和企业数据3类,进一步细分为二级分类9类、三级分类66类,详见附录A。
a)业务数据(一级分类),分为金融市场数据、宏观经济数据、行业指标数据、组织机构数据、资讯报告数据5类(二级分类),进一步细分为股票数据、债券数据、基金数据、理财数据、外汇数据、商品数据等52类(三级分类)。
1)金融市场数据(二级分类):反映金融市场动态和资产状况的数据,如股票、债券、基金的基本信息、行情数据、统计数据等。
2)宏观经济数据(二级分类):反映国家或地区经济运行状况的指标数据,如国民经济核算、价格指数、贸易、投资、金融、财政、就业与工资等有关统计数据。
3)组织机构数据(二级分类):金融市场参与主体(如上市与发债企业、金融机构等)的基本信息和运营数据,如经营信息、员工信息、财务信息等。
4)行业指标数据(二级分类):反映行业领域的运行状态、市场供需等的指标数据,如农林牧渔、能源行业的产业链数据、供需数据等。
5)资讯报告数据(二级分类):与金融市场相关的新闻、评论、资讯等信息,如行业资讯、研究报告、政策法规、专家观点等。
b)用户数据(一级分类),分为个人用户数据和机构用户数据2类(二级分类)。个人用户数据分为基本信息、交易数据、生物特征识别信息3类(三级分类),机构用户数据分为基本信息、交易数据2类(三级分类)。
c)企业数据(一级分类),分为经营管理数据和系统运维数据2类(二级分类)。经营管理数据分为财务数据、结算管理数据、人力资源数据、市场营销数据、其他经营管理数据5类(三级分类),系统运维数据分为网络设备和信息系统的配置数据、日志数据、安全监测数据、安全事件数据4类(三级分类)。
5 数据分级规则
5.1 数据分级框架
根据金融信息服务数据在经济社会发展中的重要程度和敏感程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为四级,分别为核心数据、重要数据、敏感一般数据、常规一般数据。
5.2 分级要素
影响数据分级的要素,主要包括数据的覆盖度、时间跨度、精度、公开状态、地域等。
a)覆盖度:数据对领域、群体、区域等的覆盖分布或疏密程度。如区域的覆盖占比、群体的覆盖占比等。
b)时间跨度:数据所属时间段。如10年的基金数据成交量、5年的国民经济数据等。
c)精度:数据的精确或准确程度,包括数值精度、空间精度、时间精度等。如某一类商品价格周期变化数据比有关部门公开发布的更精准详实。
d)公开状态:已公开和未公开。已公开是指数据可被公众访问、获取。未公开是指数据仅限特定范围的组织或个人访问、获取,未向公众开放。
e)地域:数据反映的是境内或境外的经济、社会等情况。
5.3 影响对象
指数据面临安全风险时,可能影响的对象,主要包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。
a)国家安全:影响国家政治、军事、经济、科技、资源等国家利益安全。
b)经济运行:影响市场经济运行秩序、宏观经济形势、国民经济命脉、社会总供给和总需求、行业或地区经济发展等经济运行机制。
c)社会秩序:影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序。
d)公共利益:影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。
e)组织权益:影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益。
f)个人权益:影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。
5.4 影响程度
影响程度是指数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能造成的影响程度。影响程度从高到低分为特别严重危害、严重危害、一般危害。