6月13日，国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局六部门联合印发《金融信息服务数据分类分级指南》(以下简称《指南》)。

多位受访专家对《中国经营报》记者表示，《指南》并不单单是监管强化的信号。其更深层的指向，是为数据规模庞大、流动频繁的金融信息服务行业确立统一的分类分级标准，进而为数据的合规流通与有效利用奠定基础。

统一“标尺”落定

《指南》按业务属性将金融信息服务数据分为业务数据、用户数据、企业数据三个一级类，下设二级类9类、三级类67类；并参照国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》，根据数据在经济社会发展中的重要程度和敏感程度，以及一旦遭到泄露、篡改、损毁或者被非法获取、使用、共享可能造成的危害程度，将数据由高到低划分为核心数据、重要数据、敏感一般数据、常规一般数据四个级别。

北京大成（上海）律师事务所合伙人彭凯在接受记者采访时指出，金融信息服务机构普遍掌握行情、宏观经济数据、行业指标、研究报告等海量数据，但此前对数据重要性及保护程度的判定多依赖经验、缺乏统一标准，易出现两类问题：部分数据被过度保护、徒增管理成本，部分关键数据则保护不足、留下风险敞口。

在彭凯看来,《指南》的核心价值在于确立了统一的判定标准。配合附录A逐类给出的数据描述、示例及参考最低级别，机构可据以对照定级，数据治理由主观判断转向“对照标准定级”，自由裁量空间相应压缩。

中伦律师事务所合伙人刘新宇则将《指南》的核心创新概括为“三级分类、四级分级”的体系化框架与标准化的六步操作流程。他分析称，按业务属性细分至67个子类，实质是奠定了以“数据目录”为核心的资产化管理底座，促使机构对数据进行系统性梳理、分门别类入表；而四级分级以数据的覆盖度、时间跨度、精度、公开状态、地域等为要素，对不同等级数据实施差异化的组织与技术控制，有助于纠正“重要数据防护不足、一般数据防护过严”的失衡。在他看来，《指南》第6条明确的数据资源梳理、数据分类、数据分级、形成清单、报送重要数据目录、动态更新管理等步骤，覆盖了从资产盘点到动态更新的全链条，为企业提供了系统化、可操作的工作路径。

值得关注的是，上述四级框架是针对金融信息服务行业特点作出的差异化设计，其在国家数据分类分级保护制度框架下，对“一般数据”作了进一步细分，增设“敏感一般数据”层级。

对此， 国家互联网信息办公室有关负责同志在答记者问中作出解释：根据《金融信息服务管理规定》，金融信息服务面向金融相关用户，所提供的信息或数据可能影响金融市场稳定；同时，相关数据涉及金融市场数据、宏观经济数据、农林牧渔等行业指标数据，内容相对敏感。基于行业特殊性及所掌握数据的敏感性，《指南》将一旦被泄露、篡改、损毁，会对经济运行、社会稳定、公共利益造成一定影响，或对组织自身、公民个体造成重要影响的数据，单独划为敏感一般数据，以推动机构强化对此类数据的安全保护。

彭凯认为，金融信息服务行业掌握的数据敏感度高于一般行业，通用框架适配性有限，增设敏感一般数据层级正是《指南》区别于普适性规则的关键所在。“若仅将《指南》理解为‘收紧数据安全’，或将偏离其政策意图。”

彭凯强调，分类分级并不意味着“管得更死”，相反，它是数据得以有序流动的前提。其逻辑在于：只有先完成数据的分类与定级，机构才能明确哪些数据可用于产品开发、对外合作及二次复用，哪些须重点管控；此前部分机构出于安全考虑对数据一概不动，原因恰在于缺乏判定依据。

在他看来，数据级别相当于数据流转的通行证。敏感度相对较低的常规一般数据、敏感一般数据，在落实相应保护措施后可更主动地加以利用，从而将有限的合规资源集中投向核心数据与重要数据，实现降本增效。

博通咨询金融行业首席分析师王蓬博持相近观点。他向记者表示，在确保核心数据与重要数据本地化、敏感数据脱敏处理的基础上，机构可探索常规一般、敏感一般数据在联合建模、风控共享等场景中的合规复用。王蓬博进一步分析称，标准化的数据标签体系亦有助于跨机构、跨平台的数据互认与协作，未来数据资产的使用效率将更多取决于机构在制度设计与技术工具层面的协同能力。

刘新宇认为,《指南》在制度设计上体现了“梯次分明、张弛有度”的原则，在守住安全底线的同时为数据要素的价值释放开辟了合规路径。他特别提示，数据等级并非永久固定，机构需建立常态化的等级复核机制，并同步跟进监管层面目录与标准的修订；在开展跨部门、跨机构的数据融合时，可依据《指南》流程对融合后数据的风险等级重新评估，从而在确保安全的前提下推动数据高效复用。

彭凯总结称，真正的安全与发展平衡源于“分层经营”对高敏感数据从严管控，对低敏感数据合理善用。

企业合规转向长期化运营

彭凯表示，此次六部门联合发文，统一标准，后续执法与认定口径预计也将更趋一致，企业合规化将转向长期运营。

多位受访专家表示，《指南》带来的合规变化具有长期性与常态化特征。王蓬博认为，企业合规建设将由一次性项目转向持续性工程，包括设立专职数据治理岗位、在业务流程中嵌入合规审查节点、定期开展数据分类复核，最终形成制度、技术、人员三位一体的长效机制。

彭凯亦表示，数据治理将由一次性项目转为持续运营，清单维护、级别复核、定期报送等环节均需长期专人负责；在其看来，分类分级并非一次性的达标动作，而将逐步成为行业长期的基础设施。

素喜智研高级研究员苏筱芮亦认为，中长期看行业数据管理模式将更趋系统化。“制度上，《指南》在金融信息服务领域建立统一的数据分类分级标准，与既有数据安全管理制度相互衔接、互补，为机构数据治理提供了明确参照；行业上，新规将引导企业建立系统性、精细化的数据治理体系。她进一步分析称，从顶层机制看，部分银行等金融信息服务机构已将数据治理纳入董事会与高级管理层的治理框架，搭建由数据治理委员会贯通至业务部门数据管理岗的纵向架构；相关机构的数据管理有望由分散管理转向体系化治理，合规组织架构也将经历由分散到统合、由兼职到专岗的升级。”

行业共识亦在于，对中小机构而言，从“各自摸索”走向标准趋同已成行业趋势，数据安全能力亦将逐步成为机构的核心竞争力之一，分类分级与合规水平较高的机构，在数据合作及监管信任方面将更具优势。

在企业侧，刘新宇提示，金融信息服务机构需依据《指南》及配套文件修订内部管理制度与操作流程，完成业务系统、数据管理平台的技术改造，实现数据分级权限管控、操作行为留痕等功能，并按监管要求完成核心数据、重要数据目录的备案，将各项管控要求落地到具体业务之中。

苏筱芮预计，新规落地后企业内部将呈现三步走节奏，先是规划部署，对标新规文件摸清自身数据底数；继而进入深化整改阶段，集中开展存量数据的分类分级调整；待分类分级机制基本建成后，迈入持续合规运营阶段。在她看来，数据安全治理将由后台技术板块上升为关乎机构存续的合规生命线，并通过制度、架构、流程的全面重构，推动业务安全与发展的有机统一。