金融數據分類分級:舉一綱而萬目張

《法人》特約撰稿 董瀟 郭超 張玙詩

金融數據分類分級，是開展數據全生命周期管理的基礎。在金融行業領域，目前已出臺《金融數據安全 數據安全分級指南》（JR/T 0197—2020）（下稱“《金融數據分級指南》”）及《證券期貨業數據分類分級指引》（JR/T 0158—2018）（下稱“《證券期貨數據分級指引》”）、《個人金融信息保護技術規范》（JR/T 0171—2020）等行業標準，為金融業機構的數據資產分類分級提供了重要參考。

數據分類分級流程

《金融數據分級指南》適用于所有金融業機構開展的電子數據安全分級工作。依據《國民經濟行業分類》（GB/T 4754—2017），金融業包括貨幣金融服務（銀行、融資租賃、財務公司、典當、汽車金融公司、小貸公司、消費金融公司等）、資本市場服務（證券市場服務、證券投資基金、期貨市場服務、資本投資服務等）、保險業服務、其他金融業服務（信托、支付服務、金融信息服務、金融資產管理、貨幣經紀等），從事前述金融業相關機構應參照《金融數據分級指南》確立適當的數據安全分級制度。根據前述金融業分類標準，筆者理解金融業機構的范圍，不局限于銀行、保險公司等傳統金融持牌機構，典當行、融資租賃公司等地方類金融機構以及金融信息服務公司等服務機構，均有可能落入金融業機構的范圍，其收集、處理的金融數據原則上應參照《金融數據分級指南》進行分級分類管理。

同樣，根據《證券期貨數據分級指引》規定，該標準廣泛適用于證券期貨行業機構、相關專項業務服務機構、相關信息技術服務機構開展的數據分類分級工作；專項業務服務機構和信息技術服務機構在開展涉及證券期貨業相關數據的業務服務和技術服務時，也需參照《證券期貨數據分級指引》進行數據分類分級。需要注意的是，《金融數據分級指南》及《證券期貨數據分級指引》的適用對象均包括證券期貨業機構，由于《證券期貨數據分級指引》屬于行業特殊要求，因而證券期貨業機構應優先遵循該指引，這也與《金融數據分級指南》亦規定一致，明確證券行業數據安全分級工作可參照《證券期貨數據分級指引》執行。

資料圖片

金融業機構在開展金融數據分類分級之前，應先對自身數據資產進行全面梳理，形成統一的數據資產清單，在數據資產清單的基礎之上，開展分類分級工作。

參考《網絡安全標準實踐指南—網絡數據分類分級指引》（下稱“《網絡數據分類分級指引》”），數據分類具有多種視角和維度，常見的數據分類維度，包括但不限于公民個人維度、公共管理維度、信息傳播維度、行業領域維度和組織經營維度。

金融業機構在開展分類工作時，應識別是否存在法律法規或主管監管部門有專門管理要求的數據類別，是否包括個人信息、公共信息、公開傳播信息，并根據相應數據類別特殊要求對該等數據類別進行分類分級保護。例如，金融業機構涉及處理客戶個人信息的，應按照《個人金融信息保護技術規范》的個人金融信息分級標準執行。如果數據處理涉及多個行業領域，建議分別按照各行業的數據分類規則對數據類別進行標識。如果相關行業領域不存在行業數據分類規則，也可從組織經營維度結合自身數據管理和使用需要對數據進行分類。

按照數據安全法要求，根據數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，將數據從低到高分成一般數據、重要數據、核心數據三個級別。其中，核心數據、重要數據的識別和劃分，按照國家和行業的核心數據目錄、重要數據目錄執行。目前，金融行業尚未發布金融行業的重要數據具體目錄，而一般數據則應根據行業細分及數據類別相應參照《金融數據分級指南》《證券期貨數據分級指引》及《個人金融信息保護技術規范》的標準定級。

數據定級關鍵要素

數據定級需識別兩個關鍵要素，包括影響對象及影響程度。根據《金融數據分級指南》規定，影響對象指金融業機構數據安全性遭受破壞后受到影響的對象，包括國家安全、公眾權益、個人隱私及企業合法權益等。而影響程度指金融業機構數據安全性遭到破壞后所產生影響的大小，從高到低劃分為：（i）嚴重損害。（ii）一般損害。（iii）輕微損害。（iv）無損害。

根據《金融數據分級指南》，確定金融業機構數據安全性遭受破壞后的影響對象和所造成的影響程度后，可依據一定的定級規則，將數據安全級別從高到低劃分為5 個等級，各安全級別與影響對象、影響程度的對應關系如表一所示。

表一

表二

如前所述，在分類階段，如識別到金融業機構涉及處理個人金融信息的，應按照《個人金融信息保護技術規范》分級標準執行；如果數據處理涉及其他行業領域的，宜分別按照各行業數據分類規則對數據類別進行標識。表二就《金融數據分級指南》提出的分級框架與《個人金融信息保護技術規范》及《網絡數據分類分級指引》級別劃分的對應關系進行對比總結，以資參考。

數據變化導致級別變更

《金融數據分級指南》在附錄A 提供了金融業機構典型數據定級規則參考表，《證券期貨數據分級指引》亦在附錄A.1 至A.7 分別給出行業會管單位、行業協會、證券期貨經營機構（包括證券公司、期貨公司、基金管理公司）的典型數據分類分級模板，供相關金融業機構參考。

需要注意的是，在實際應用過程中，金融業機構宜根據其所管轄數據的類型、特性、規模以及機構特性等因素，綜合考慮本機構數據安全管理的總體目標和安全策略要求，按照一定的顆粒度對數據資產進行合理的梳理、歸類和細分，最終形成本機構的數據資產分類分級清單。在批準實施相應清單之后，金融業機構應按照清單的分類分級對數據資產進行維護、管理和定期審核。

數據安全定級完成后，參考《網絡數據分類分級指引》，當以下情形出現時，金融業機構需要對相關數據的安全級別進行變更：

（1）數據內容發生變化，導致原有數據的安全級別不適用變化后的數據；

（2）數據內容未發生變化，但因數據時效性、數據規模、數據使用場景、數據加工處理方式等發生變化，導致原定的數據安全級別不再適用；

（3）多個原始數據直接合并，導致原有的安全級別不再適用合并后的數據；

（4）因對不同數據選取部分數據進行合并形成新數據，導致原有數據的安全級別不再適用合并后的數據；

（5）不同數據類型經匯聚融合形成新的數據類別，導致原有的數據級別不再適用于匯聚融合后的數據；

（6）因國家或行業主管部門要求，導致原定的數據級別不再適用。

（7）需要對數據安全級別進行變更的其他情形。