意见领袖 | 莫开伟
近日,国家网信办、央行等六部门发布了《金融信息服务数据分类分级指南》(简称《指南》),明确了我国金融信息服务数据分类分级标准,是我国第一个专门针对金融信息服务数据分类分级标准的纲领性文献,有效填补了行业合规空白,标志着中国金融信息服务数据治理将进一步迈入标准化、精细化、体系化的新阶段。
六部门为何发布该《指南》?总体看,旨在落实法律法规要求,为行业提供系统性指引以规范数据处理活动、提升数据安全水平并促进数据依法合理有效利用。具体看:一是及时履行法定义务与监管需求的需要。该《指南》是贯彻落实《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规中关于“建立数据分类分级保护制度”要求的具体举措 ;也是为监管部门提供清晰的监管标尺,以便聚焦核心数据和重要数据,提升监管效能并完善治理体系。二是解决行业治理痛点的需要。长期以来,我国金融信息服务数据分类口径不统一、目录碎片化、重要数据防护不足或一般数据管控过严等资源错配问题,提供精细、可操作的实践指引;同时,通过明确核心、重要、敏感一般、常规一般等数据分级,帮助机构识别高风险数据,筑牢金融风险防控底线,防范数据泄露、滥用等安全风险。三是释放数据要素价值的需要。明确数据流通、交易、共享等合规边界,可解决因缺乏统一标准导致的“不敢流动、不愿流动”问题,从而激活金融数据要素的潜在价值;尤其可指导机构将有限的安全资源集中投入重要数据防护,对一般数据实施轻量化管控,实现安全与发展的平衡。
可见,就目前我国金融信息服务数据分类分级现状而言,该《指南》将《数据安全法》《个人信息保护法》等上位法中宽泛的数据安全保护原则,具象化为金融信息服务领域可落地的实操规则,填补了通用法律与行业实务之间的衔接空隙,为后续监管和机构实操提供明确依据。同时,首次针对金融信息服务单独制定分类分级规范,打破了此前多部门监管“各自为政”的局面,实现了监管标准统一,体现了金融数据安全“一盘棋”的治理思路,它将在多个层面产生重大作用:
对金融机构与服务提供者来说,明确了合规边界与操作标准,有效填补通用法律与行业实务之间的空隙,提供了从数据资源梳理到动态更新的全流程实操指引,能解决此前“重要数据”识别难、定级模糊的问题。同时,有利优化资源配置与降低成本,通过“核心、重要、敏感一般、常规一般”四级分级,引导机构将有限的安全资源集中投入高敏感数据防护,对一般数据实施轻量化管控,可实现安全与效率的平衡。此外,激活数据价值与创新,清晰界定不同级别数据的流通规则,如鼓励常规数据共享、规范敏感数据脱敏使用,为内部数据挖掘、跨机构合作及数据资产化运营提供合规依据,助力金融AI等创新发展。
总之,《指南》构建了层次分明的分类框架和可量化的分级模型,还配套了分类分级示例和重要数据目录报送模板,相当于为金融信息服务提供者提供了清晰的“合规地图”和“定级参考字典”,推动行业数据管理从粗放的原则性约束走向场景化精细化管理,推动机构完善内部数据治理,整体提升行业数据安全管理水平。
对监管部门来说,有利实现精准监管与提升效能,因为统一了分类分级标准,为监管部门提供了清晰的监管标尺,便于聚焦核心与重要数据等重点领域,减少监管盲区,降低执法随意性。同时,完善治理体系与宏观调控,构建了法律、规章、标准三位一体的治理体系,保障相关统计数据真实准确,为宏观经济分析、风险研判及政策制定提供可靠数据支撑。
对用户与社会来说,强化了权益保护与隐私安全,细化对个人用户和机构用户数据的分类管理,严防信息泄露、滥用及非法交易,有利切实保护用户资产权益与隐私。同时,有利于维护金融市场稳定与安全,通过规范可能影响金融市场稳定的数据处理活动,防范因数据泄露或篡改引发的系统性风险,维护国家安全、经济运行秩序和社会公共利益,有效保护广大金融消费者合法权益。
对行业发展来说,有利于促进数据合规流通,释放数据要素价值。统一明确的分类分级标准是数据合规共享、交易、跨境流动的“通用语言”,指南为金融信息服务数据的流通利用提供了基础性规则,有助于打破“数据孤岛”,在安全可控的前提下促进数据要素高效配置,激活数据要素价值,为金融信息服务行业的高质量发展奠定制度基础。同时,通过清晰的“三类四级”分类分级框架,帮助机构精准识别核心数据、重要数据,实施差异化防护,对核心数据采取最高级别管控,对重要数据加强监控,对一般数据采用常规保护,既能有效防范化解数据安全风险,也能降低机构合规成本、提升数据治理效率。
接下来各有关主体应认真落实《指南》,重点聚焦宣传指导、协同认定、动态监管三大核心任务,形成“中央统筹、央地协同、部门联动”的工作格局;并依据《指南》构建法律、规章、标准三位一体的治理体系,推动金融信息服务数据治理从“被动合规”转向“主动治理”,实现安全与发展平衡 。
其一,强化宣传阐释与工作指导,开展专题培训和实操指引,有效提高实施效率。监管部门应深入解读《指南》关于“三类(业务、用户、企业)四级(核心、重要、敏感一般、常规一般)”的分类分级规则,帮助金融信息服务提供者准确理解标准。同时,指导机构按照“数据资源梳理—分类—分级—形成清单—报送目录—动态更新”六步流程开展工作,利用附录中的67类三级分类示例和定级参考量值,降低合规试错成本。
其二,深化部门协作与重要数据认定,建立协同机制和组织好申报,有效推进央地联动。国家网信办、央行、金融监管总局等部门应打破监管分散局面,统一执行标准,避免多头管理或监管真空;同时,组织开展金融信息服务领域重要数据的识别、申报和认定工作,明确具体目录;对已被相关部门认定或发布的核心重要数据,直接予以确认,防止重复认定。推动地方网信部门与金融监管派出机构协同,结合本地实际细化落实措施,确保《数据安全法》《网络数据安全管理条例》关于重要数据保护要求落地。
其三,实施动态监管与闭环管理,促进动态更新和开展监督查检,有效提高数据使用价值。监督机构应建立定期复核机制,当数据覆盖度、精度、规模或使用场景发生变化,特别是核心和重要数据变动超30%时,及时更新分类分级清单并重新报送目录;依据统一标准对金融信息服务提供者进行数据安全检查,重点核查重要数据识别是否准确、防护措施是否匹配等级,对未按要求落实的机构依法处理;在确保安全前提下,通过精准分级破除流通壁垒,指导机构对“敏感一般数据”和“常规一般数据”实施轻量化管控,激活数据要素价值。
(本文作者介绍:知名财经评论人、独立经济学者)