作者：李坤泽

来源：睿博恩重生笔记

这并非一份普通的行业指引。它标志着我国金融信息服务领域的数据治理正式迈入“分类分级、精准监管”的新阶段。对于所有向金融机构、分析师、投资者提供数据或信息服务的机构而言，合规的红线已经划下——数据不再是“无主之物”，每一类数据都有了自己的“安全等级”和“保护义务”。

1️⃣为什么要出台《指南》？

金融信息服务行业近年来快速发展，数据规模急剧膨胀，流动日益频繁。从股票行情、宏观经济指标，到企业财务数据、行业研究报告，这些数据直接影响着金融市场的定价和决策。

但问题也随之而来：哪些数据可以公开？哪些数据需要加密传输？哪些数据一旦泄露可能影响国家安全？此前，行业缺乏统一的标准。一些机构对敏感数据保护不足，另一些机构则因过度合规影响了业务效率。

《中华人民共和国数据安全法》明确要求建立数据分类分级保护制度，《网络数据安全管理条例》进一步规定各地区、各部门应当确定重要数据具体目录。此次六部门联合印发《指南》，正是为了落实上位法要求，为金融信息服务行业提供一份可操作、可落地的“操作手册”。

2️⃣核心规则：如何分类？如何分级？

《指南》的核心内容可以概括为“三级分类、四级安全”：在数据分类方面，按照金融信息服务数据的业务属性，首先分为业务数据、用户数据和企业数据三大类。在此基础上，进一步细分为9个二级分类和67个三级分类。

其中，业务数据包括金融市场数据、宏观经济数据、组织机构数据、行业指标数据、资讯报告数据等5个二级分类，再往下细分出股票、债券、基金、期货、期权等52个三级分类。用户数据分为个人用户数据和机构用户数据2个二级分类，个人用户数据又细分为基本信息、交易数据、生物特征识别信息等3个三级分类，机构用户数据细分为基本信息、交易数据2个三级分类。企业数据分为经营管理数据和系统运维数据2个二级分类，经营管理数据包括财务数据、结算管理数据、人力资源数据、市场营销数据、风险控制与监督数据、其他经营管理数据等6个三级分类；系统运维数据包括网络设备和信息系统的配置数据、运行日志数据、安全审计数据、备份恢复数据等4个三级分类。

在数据分级方面，《指南》参照国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》，根据金融信息服务数据在经济社会发展中的重要程度和敏感程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为四级。最高级别为核心数据，其次为重要数据，第三级为敏感一般数据，第四级为常规一般数据。

影响数据分级的要素包括两个维度：一是影响对象，即数据面临安全风险时可能影响的对象，包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益；二是影响程度，从高到低分为特别严重危害、严重危害、一般危害。在具体判定时，综合两个维度确定数据级别。例如，对国家安全造成特别严重危害或严重危害的数据为核心数据，造成一般危害的为重要数据；对经济运行造成特别严重危害的为核心数据，造成严重危害的为重要数据，造成一般危害的为敏感一般数据；对社会秩序、公共利益造成特别严重危害的为核心数据，造成严重危害的为重要数据，造成一般危害的为敏感一般数据；对组织权益或个人权益造成影响的，一般定为敏感一般数据。如果影响涉及大规模的个人或组织权益，影响对象可能不只局限于个人权益或组织权益，也可能对国家安全、经济运行、社会秩序或公共利益造成影响，此时应就高定级。

值得注意的是，《指南》在国家数据分类分级保护制度框架下，将“一般数据”进一步细分为“敏感一般数据”和“常规一般数据”。这是因为金融信息服务所涉及的数据（如金融市场数据、宏观经济数据等）天然具有较高的敏感性，即使不属于“重要数据”，也需要加强保护。数据集级别按照“就高从严”原则，取包含数据项的最高级别作为整个数据集的级别。

3️⃣实操落地：金融信息服务提供者必须做的六件事

《指南》明确了金融信息服务提供者开展数据分类分级的具体流程：

第一步，全面梳理数据资源。包括数据库表、数据项、数据文件等，明确数据资源的基本信息、描述对象、业务属性等，形成数据资源清单。

第二步，数据分类。按照《指南》附录A的67个三级分类进行归类和标识。

第三步，数据分级。评估数据的危害影响对象和影响程度，确定每类数据的安全级别。数据集级别按照“就高从严”原则，取包含数据项的最高级别。

第四步，形成数据分类分级清单和重要数据目录。

第五步，报送重要数据目录。按照要求的频度和格式向主管部门报送，目录格式详见《指南》附录B。

第六步，动态更新管理。当数据的业务属性、重要程度或危害程度发生变化（如重要数据条目数量或存储总量变化30%以上，或其他重要内容发生变化），应当及时重新报送重要数据目录。《指南》还要求定期复核数据资源和分类分级情况，确保合规工作持续有效。

4️⃣对行业的影响：合规不再是“选择题”

《指南》的出台，对金融信息服务行业将产生深远影响。

第一，合规成本上升，但边界清晰。 过去，许多中小型金融信息服务商对数据安全处于“模糊地带”——不知道哪些数据需要保护，也不知道如何保护。现在，67个三级分类给出了明确的“标签体系”，企业可以按图索骥，建立相应的管理制度和技术防护措施。短期看，合规投入会增加；长期看，清晰的规则有助于降低违规风险，避免因数据泄露而遭受巨额罚款或声誉损失。

第二，重要数据识别与报送成为“刚性义务”。 《指南》要求金融信息服务提供者识别重要数据并形成目录，定期向主管部门报送。这意味着，企业不能再以“不知道哪些是重要数据”为由逃避责任。一旦被检查发现遗漏或隐瞒，可能面临行政处罚。

第三，跨境数据流动将面临更严监管。 金融信息服务数据中，涉及宏观经济指标、金融市场交易数据等，往往具有跨境流动的需求。按照《指南》的分级规则，“核心数据”和“重要数据”的出境将受到严格限制。相关企业需要提前评估跨境业务的数据合规风险。

5️⃣给从业者的几点建议

基于睿博恩长期服务金融机构和企业的实践经验，我们提出以下建议：

1. 立即启动数据资产盘点。 不要等到监管部门检查时才匆忙应对。建议成立跨部门工作小组（IT、法务、业务、安全），按照《指南》附录A的67个三级分类，逐项梳理企业所持有的数据类型、存储位置、使用场景和共享范围。

2. 建立分类分级管理制度。 将《指南》要求内化为企业制度，明确数据分类分级责任人、审核流程、变更管理和定期复核机制。对于“敏感一般数据”和“重要数据”，应制定差异化的访问控制、加密存储、审计日志等技术措施。

3. 重视员工培训与意识提升。 数据分类分级不仅仅是技术部门的事。业务人员、产品经理、销售人员都需要了解自己接触的数据属于哪个级别、可以做什么、不能做什么。定期开展合规培训，避免因“无意违规”导致严重后果。

4. 关注重要数据目录报送节点。 《指南》要求定期向主管部门报送重要数据目录。企业应指定专人与监管部门对接，确保报送内容准确、及时。如有重大变化（如数据量增长30%以上），应及时重新报送。

5. 审视跨境业务的数据合规性。 对于涉及境外客户或境外数据中心的金融信息服务商，应提前评估数据出境合规路径。可能需要申请数据出境安全评估、订立标准合同或通过认证。

6️⃣结语【睿博恩观点提炼】

· 《指南》由六部门联合印发，于2026年6月13日公布，标志着金融信息服务数据治理进入“分类分级、精准监管”新阶段。

· 数据分类：3个一级分类（业务数据、用户数据、企业数据）→ 9个二级分类 → 67个三级分类，覆盖股票、债券、基金、宏观经济指标、用户信息、财务数据等全维度。

· 数据分级：4个安全级别（核心数据、重要数据、敏感一般数据、常规一般数据），影响对象包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。

· 影响程度分三级：特别严重危害、严重危害、一般危害，综合确定数据级别。数据集级别按“就高从严”原则取最高级。

· 实操流程：数据资源梳理 → 分类 → 分级 → 形成清单 → 报送重要数据目录 → 动态更新。重要数据条目或存储总量变化超30%需及时重新报送。

· 重点变化：一般数据进一步细分为“敏感一般数据”和“常规一般数据”，体现金融信息数据的敏感性。

· 行业影响：合规成本上升但边界清晰；重要数据识别与报送成为刚性义务；跨境数据流动将受更严监管。

· 从业者建议：立即启动数据资产盘点；建立分类分级管理制度；加强员工培训；关注报送节点；审视跨境合规。

《金融信息服务数据分类分级指南》的出台，是金融信息服务行业从“野蛮生长”走向“规范治理”的重要里程碑。67个三级分类、4个安全级别，构筑起一张覆盖全行业的“数据合规地图”。

对于金融信息服务提供者而言，这既是挑战，也是机遇。那些能够率先完成数据分类分级、建立完善合规体系的企业，将在未来的市场竞争中赢得监管信任和客户信赖。而那些忽视合规、心存侥幸的企业，则可能在新规的“合规风暴”中付出沉重代价。数据安全没有“及格线”，只有“生死线”。合规，就是金融信息服务行业的新护城河。

（风险提示： 本文基于国家互联网信息办公室等六部门联合印发的《金融信息服务数据分类分级指南》及官方答记者问整理，数据截至2026年6月13日。文中分析仅作行业解读与实务观点分享，不构成法律或合规建议。各金融信息服务提供者应结合自身业务实际，咨询专业法律顾问后落实合规工作。）

注：文章为作者独立观点，不代表资产界立场。

题图来自 Pexels，基于 CC0 协议

本文由“睿博恩重生笔记”投稿资产界，并经资产界编辑发布。版权归原作者所有，未经授权，请勿转载，谢谢！

原标题：金融数据分类分级新规落地：金融信息服务行业的“合规分水岭”

合规数据分类分级金融信息服务