转自：中国经营网

中经记者 慈玉鹏 北京报道

当前，金融信息服务有序发展，金融信息服务领域数据规模扩大、流动频繁，亟须分类分级规范管理。

近日，国家互联网信息办公室、中国人民银行等六部门近日联合印发《金融信息服务数据分类分级指南》（以下简称《指南》），旨在为金融信息服务机构开展数据分类分级工作提供系统性、针对性、可操作性的指引，规范金融信息服务数据处理活动，提升数据安全水平，促进数据依法合理有效利用。

《中国经营报》记者采访了解到，《指南》对银行的风控合规与经营发展有重要意义，包括承接通用安全基准，补齐金融信息服务场景下的合规细则；平衡数据安全与价值释放，赋能经营发展；明确高等级数据严防护、一般数据有序流通的原则等。

划分数据四层等级

具体来说，《指南》适用于在我国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作，不适用于涉及国家秘密的数据和军事数据。金融信息服务数据可按照业务属性进行分类。一级分类分为业务数据、用户数据和企业数据3类，进一步细分为二级分类9类、三级分类67类。

在分级方面，《指南》根据金融信息服务数据在经济社会发展中的重要程度和敏感程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为四级，分别为核心数据、重要数据、敏感一般数据、常规一般数据。

恒丰银行数据资产领域研究员谭云霞告诉记者，《指南》对银行的风控合规与经营发展有重要意义。《指南》承接通用安全基准，在补齐金融信息服务场景下的合规细则。在此基础上，划定业务数据、用户数据、企业数据三大一级分类、9项二级分类、67项三级细分目录，把抽象安全分级转化为可对照、可落地的清单式管理。对银行而言，实现了“通用安全规则+场景细分目录”双轨合规。

同时，《指南》平衡数据安全与价值释放，赋能经营发展。谭云霞表示，《指南》在坚守安全底线的前提下，明确高等级数据严防护、一般数据有序流通的原则，形成“安全打底、合规流通”的完整规则闭环。股份制银行零售、普惠、同业、金融市场业务线长、数据流转场景多，结合该《指南》，可精准区分管控边界，依法开展同业协同、生态合作、精准营销，助力银行数字化转型。

长三角科技产业金融研究联盟秘书长陆岷峰告诉记者，《指南》最核心的价值，就在于它为中国庞大的金融信息服务市场搭建了一套“通用语法”。过去，数据怎么分类、怎么定级，由各金融机构自己说了算，就像大家各说各的方言，既无法有效沟通，也无法精准监管。现在有了这套统一的、细化为67项三级目录的分类分级框架，等于把“方言”变成了“普通话”。《指南》将数据“模糊管理”转向“精准施策”。以前部分机构要么对所有数据“一刀切”严防死守，导致数据价值被锁死；要么对关键数据保护不足，形成风险敞口。而本次下发的《指南》通过四级分级，让机构知道哪块“骨头”最硬、需要重兵把守，哪块是“蛋糕”、可以放心流通，实现了安全资源的优化配置。同时，《指南》为数据的确权、估值、交易提供了最基础的制度前提，也是智能经济新形态下进一步释放数据要素生产力的关键一步。

值得注意的是，《指南》明确核心、重要数据严防护，一般数据开放流通。谭云霞表示，《指南》划分清晰边界，数据共享从“模糊试探”转向“合规可控”。过往金融数据共享存在边界模糊、不敢共享、过度保守的问题。《指南》将核心、重要数据划定为强管控范畴，仅允许在严格审批、全程加密、限定用途的前提下，用于监管报送、法定同业协同等场景，杜绝高敏感数据外流；敏感一般、常规一般数据明确可合规流通，银行可在脱敏、去标识化后开展正常同业共享、政企协同、生态合作，打消合规顾虑。

规划分类分级流程

国家互联网信息办公室方面表示，金融信息服务提供者可按照《指南》“数据分类分级流程”明确的步骤进行数据分类分级，包括：数据资源梳理、数据分类、数据分级、形成数据分类分级清单、报送重要数据目录、动态更新管理。为便于金融信息服务提供者开展数据分类分级工作，《指南》附录A给出了金融信息服务数据第三级分类67类数据的数据描述和示例，以及数据分级的参考最低级别。

值得注意的是，从实操层面看，中小机构如何低成本完成全量数据梳理、分级打标与动态更新，从而避免出现“大型机构合规到位、中小机构流于形式”的分化问题？

谭云霞表示，近年各商业银行预算收缩，降本增效成为主线。银行在落地过程中可探索轻量化、低成本的实操路径。银行应分步梳理，拒绝“一次性全量摸排”。不追求一步到位完成所有数据梳理，按照业务优先级分批推进：先梳理客户核心信息、交易数据等高等级数据，再逐步覆盖常规业务数据；有基础的机构可在现有业务系统中增加简易标签字段，依托现有运维团队即可维护，压低技术成本。

同时，银行可简化流程，推动打标模板化落地。谭云霞表示，银行应依托《指南》67项三级细分目录，制作标准化分级打标模板，明确每一类数据对应的等级、归属部门、防护要求；针对通用类数据统一批量打标，仅对个性化、小众数据做人工复核，大幅降低人工工作量。同时，组织一线业务、科技、合规人员开展极简培训，统一判定标准，减少打标误差。此外，银行应抱团借力，分摊成本。联合区域内多家中小机构集中采购轻量化数据咨询、外包复核服务，以团购模式降低单项服务费用。区域同业、行业协会可共享分级经验与案例，抱团降低试错成本。参考国有大行成熟落地案例，直接复用成熟流程与制度，减少自主研发成本。

陆岷峰表示，中小机构应该优先梳理和识别那些可能触及“核心”与“重要”级别的数据，比如涉及大规模客户敏感信息、关键市场行情源数据等。对于大量的“常规一般数据”，可以先采用轻量化的管理方式，后期再逐步精细化。同时，善用“外脑”和“工具”。监管部门可以牵头或鼓励行业协会开发一些开源的、标准化的数据分类分级模板和自动化打标工具。中小机构完全可以借助这些“公共基础设施”，来大幅地降低自身的合规成本。另外，建立“动态微调”而非“推倒重来”的机制。由于数据是活的，而且不仅业务在变，风险也在变。因此，中小机构不需要建立一个庞大的全职团队，而是可以将数据分类分级的复核工作嵌入到日常的业务审批流程中，比如在新产品上线、新数据源接入时，自动触发一次定级评估，这样就能以最小的成本来实现动态更新。

当前，行业多依靠人工开展数据分类分级，效率相对低且误差较大。谭云霞表示，机构应建立跨部门协同与考核制度。打破合规、业务、科技、风控部门壁垒，明确各岗位职责；将数据分类分级、安全管理纳入部门及员工绩效考核，避免“重制定、轻执行”。制定动态迭代与应急制度。根据业务创新、监管新规、风险变化，建立数据目录与分级规则的常态化迭代机制；补充数据泄露、分级错误等场景的应急处置制度。建立行业案例库、问题答疑机制，持续优化落地效果。

谭云霞同时表示，应普及智能化自动分级技术。研发、推广基于AI、语义识别、规则引擎的自动分类分级工具，替代纯人工操作，提升效率、降低误差，同时适配数据增量、变更的自动识别与重新打标。建设数据监控与预警系统。实时监测数据访问、流转、篡改行为，当高等级数据出现违规操作、分级标签异常时自动预警，满足动态管理要求。

一位地方银行人士建议，生态上要补齐“第三方评估”与“行业交流”机制，光靠机构的自查以及监管的抽查还不够。因此，应当培育一批专业的、权威的第三方数据安全评估机构，从而为中小机构提供“体检”服务。金融行业内还要建立一种常态化的交流机制，分享最佳实践和典型风险案例，共同提升整个行业的治理水平。