2026年6月13日,国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局六部门联合印发《金融信息服务数据分类分级指南》(以下简称《指南》)。
这份覆盖股票、债券、基金、外汇、商品、理财、指数等金融信息服务数据的指导文件,为行业划定了更清晰的数据治理基准线,也标志着我国金融信息服务数据治理正在从原则性要求走向更精细、更标准、更可操作的实施阶段。
事实上,《指南》早在2026年1月24日便以征求意见稿形式向社会公开征求意见,意见反馈截止日为2026年2月23日。四个多月后,正式版在分类结构上有所调整:征求意见稿的三级分类共计66类,正式版增至67类。这一细节透露出监管机构对分类粒度进一步细化的审慎考量。
如果把金融信息服务比作一座庞大的数据工厂,那么《指南》就是在每一批原材料上贴上了规格标签:这批数据是什么,重要程度如何,应当在哪些场景下处理,哪些流动需要更严格的安全约束。有了统一标签系统,金融信息服务机构才能真正建立可识别、可管理、可追踪的数据治理秩序。
一、一套覆盖全域的数据分类体系
传统管理学的智慧告诉我们:无法精准分类,就无法有效管理。
金融信息服务数据的复杂性在于,它涵盖的数据类型极为庞杂。既有影响市场行情的股票交易信息、宏观经济指标,也有涉及用户权益的个人用户数据,还有企业内部经营和系统运维数据。每一种数据背后的安全需求、使用逻辑和流通边界都不相同。
《指南》按照业务属性进行分类,构建了层次分明的树状分类结构:一级分类为业务数据、用户数据和企业数据三大类,在此基础上进一步细分为9个二级分类,最终延展到67个三级分类,形成了从宏观到微观、从整体到细节的完整分类链条。
具体来看,业务数据是金融信息服务的核心内容,承载着与金融市场直接相关的信息。业务数据进一步细分为金融市场数据、宏观经济数据、组织机构数据、行业指标数据、资讯报告数据5个二级分类,再往下细分为52个三级分类,涵盖股票、债券、基金、理财、外汇、商品、指数等各类型数据。这些数据本身就是金融信息服务产品的重要组成部分,也是信息服务机构向用户交付价值的基础。
用户数据则关乎信息服务的最终接受者。它分为个人用户数据和机构用户数据,涵盖用户基本信息、交易数据等内容。无论是个人投资者还是专业投资机构,他们在使用服务过程中产生的数据,都需要被纳入清晰的数据治理框架。一旦相关数据泄露或被滥用,不仅可能侵害用户权益,也可能削弱用户对信息服务体系的信任。
企业数据则聚焦于金融信息服务机构自身的运营管理数据,包括经营管理数据与系统运维数据。这部分数据虽然不直接面对终端用户,却是支撑企业持续运转的基础。经营管理数据涉及财务、人力、市场等内部管理信息,系统运维数据记录着技术平台的配置、日志、安全监测和安全事件信息。对这些数据实行清晰分类,有助于企业在内部运营层面做到权责分明、防护到位。
这套“业务—用户—企业”三位一体的分类架构,并非简单的行政划分,而是对金融信息服务全链路数据做了系统性审视。从数据产生、流转到最终应用,每个环节的数据角色都被重新定位。这种设计便于金融信息服务提供者系统性梳理自身数据资产,实现数据资源的目录化、资产化管理,为后续安全管控和价值释放奠定基础。
二、基于风险导向的数据安全分级逻辑
如果说数据分类回答的是“这是什么数据”,那么数据分级回答的就是“这项数据到底有多重要”“一旦出问题会造成多大影响”。
《指南》参照国家标准《数据安全技术 数据分类分级规则》(GB/T 43697—2024),以数据在经济社会发展中的重要程度和敏感程度为基准,综合考虑数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享时,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益可能造成的危害程度,将数据从高到低划分为四级:核心数据、重要数据、敏感一般数据、常规一般数据。
这四级分级体系的一个重要特征,是在“核心数据、重要数据、一般数据”的基础上,对一般数据进一步细分。金融信息服务场景中的一般数据体量庞大,内部差异明显。既有相对低敏的公开市场数据,也有涉及用户权益、机构经营或特定市场状态的敏感信息。如果笼统归入“一般数据”,容易导致保护要求模糊,进而造成重要数据防护不足、普通数据管控过严的双重问题。
《指南》把一般数据细分为“敏感一般数据”和“常规一般数据”。敏感一般数据,是指一旦被泄露、篡改或损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身、公民个体造成重要影响的数据。常规一般数据,则是核心数据、重要数据、敏感一般数据之外的其他数据,安全等级最低,在保障基本安全的前提下,可以更高效地流动和应用。
这种四级划分在具体数据类型上体现得尤为明显。公开报道显示,股票数据、债券数据的参考最低级别为常规一般数据;基金数据中的未公开私募基金数据属于敏感一般数据,其他基金数据则归入常规一般数据;外汇数据中涉及人民币的部分属于敏感一般数据,其他外汇数据归入常规一般数据。
这套分级体系的一个核心价值,是在金融信息服务领域系统引入覆盖度、时间跨度、精度、公开状态、地域等要素作为分级判据,推动数据分级从单纯定性判断走向定性与定量相结合的规范评估。
与此同时,《指南》通过量化阈值与场景化判据细化重要数据识别标准。例如,公开专家解读中提到,“1000万人及以上的个人用户基本信息数据”“100万人及以上的交易数据集”等属于重要数据。这为数据处理者识别、管理和保护重要数据提供了更清晰的实施标尺。
分级之后,保护逻辑也随之明确:核心数据和重要数据执行更严格的保护要求,依法履行风险评估、重点保护等义务;敏感一般数据需要加强安全保护;常规一般数据则可在保障基本安全的前提下促进合规、高效流动。这种从宽到严逐级递增的保护强度,本质上是一套基于风险等级的安全资源配置机制。
三、从“通用防护”到“精准治理”:
一场治理模式的深层转型
长期以来,金融信息服务数据治理面临一个现实问题:分类口径不统一,数据目录碎片化,部分机构难以精准区分数据的重要程度和敏感等级。结果往往是重要数据防护不足、一般数据管控过严,安全资源配置失衡,数据价值也难以充分释放。
这种错配的局面,折射出一种粗放式治理思维:要么对所有数据不加区分地“一刀切”,造成合规冗余和资源浪费;要么因为缺乏判断依据,对重要数据疏于防护,留下安全隐患。《指南》的意义,正在于为行业提供了一套从“通用防护”走向“精准治理”的方法论。
从被动合规到主动治理,从分散管理到体系化管控,这是《指南》推动的核心治理升级。
根据《指南》明确的流程,数据处理者可按照“数据资源梳理、数据分类、数据分级、形成数据分类分级清单、报送重要数据目录、动态更新管理”的步骤开展工作。这意味着,数据安全不再只是阶段性的合规检查,而是一个需要融入企业日常运营的持续过程。
这种治理升级的经济学逻辑并不复杂。当企业面对动辄数百万条的数据目录时,安全团队不可能对每一条数据都投入同等级的防护资源。分类分级的意义就在于,它像一份“风险地图”,标注出哪些是必须严防死守的高风险区域,哪些可以保持常规管理。
在这一基础上,金融信息服务提供者可以围绕合规数据分析、服务优化、风险防控和内部运营管理建立更清晰的数据使用边界。一方面,数据分类分级帮助机构守住安全底线;另一方面,它也有助于减少不必要的流通障碍,让可以在合规框架下流动的数据更高效地发挥价值。
安全不是数据流动的反面。真正可持续的数据流动,必须建立在清晰边界之上。
四、多方协同:
一项制度安排的落地路径
《中华人民共和国国民经济和社会发展第十五个五年规划纲要》明确提出“实施数据分类分级管理,提升数据安全保护能力”。《指南》的出台,正是将这一宏观要求转化为金融信息服务领域可执行、可操作的具体方案。
国家网信办有关负责人表示,网信办将会同相关部门从两方面推进《指南》落地见效:一是做好宣传阐释和工作指导,组织宣讲、教育培训等活动,解读《指南》内容,指导、帮助金融信息服务提供者开展数据分类分级;二是强化部门协作、央地协同,落实《数据安全法》《网络数据安全管理条例》关于数据分类分级保护、重要数据识别申报相关要求,组织开展金融信息服务领域重要数据识别、申报和认定工作。
这说明,《指南》并不是一份静态的参考文件,而是一套需要持续宣贯、执行、复核和更新的治理机制。对金融信息服务提供者而言,它既是合规约束,也是提升内部数据治理能力的契机。
那些更早建立起数据分类分级体系的机构,将更容易在合规数据分析、风险控制、服务优化和内部治理中形成制度优势。分类分级就像给数据生态建立了一套更清晰的运行系统。不同级别的数据拥有不同的处理路径、保护要求和流通规则,只有这样,机构才能在吸收数据价值的同时,降低安全风险和合规成本。
相关专家指出,对金融信息服务提供者而言,分类分级有助于降本增效、激活数据价值、提升核心竞争力;对监管部门而言,有助于实现精准监管、提升监管效能、完善治理体系;对金融信息服务用户而言,则有助于强化权益保护、筑牢隐私防线、提升服务体验。
五、安全与发展并重:
数据治理的辩证法
《指南》的核心价值,不仅在于规范数据安全管理,更在于在安全与发展之间寻找一条平衡路径。
此前,数据要素流通领域普遍存在一个困境:由于缺乏统一的分类分级标准,数据供需双方难以精准界定风险等级和使用边界,导致“不敢流动、不愿流动”。《指南》正是通过更科学的数据分类分级规则,试图打破这一僵局。
它一方面守住安全底线,另一方面让真正可以在合规框架下流动的数据获得释放。安全从来不是发展的对立面,恰恰是高质量有序流动的入场券。
对金融信息服务行业而言,这一点尤其重要。金融信息服务天然处在数据、市场和决策之间。股票行情、债券数据、基金信息、宏观指标、外汇数据、资讯报告,既是市场参与者理解金融世界的重要入口,也是金融风险传导链条上的基础信息节点。一旦数据失真、泄露、滥用或跨边界流动失控,影响的不只是单一机构,也可能外溢至市场秩序、用户权益和金融安全。
因此,《指南》的出台并不是单纯增加一道合规手续,而是为金融信息服务行业建立一套更细颗粒度的治理语言。什么数据可以流动,什么数据需要重点保护,什么数据必须纳入重要数据目录,什么数据需要动态复核,都需要被放进统一框架中审视。
当境外机构使用来自中国市场的金融数据产品,当国内机构购买境外数据服务辅助研究,当金融机构在合法授权和安全评估基础上对个人客户数据进行云端处理或服务分析时,这套“三位一体、四级分明”的分类分级框架,都将成为判断数据调用、处理和流动边界的重要坐标。
真正让金融信息服务成为驱动金融等行业高质量发展的新引擎,需要以数据分类分级为起点和抓手。中国正在构建一个在发展中保障安全、在安全中促进发展的数据治理格局。而《指南》,正是在这条道路上迈出的具体一步。
结语
从“通用防护”到“精准治理”,从“分散管理”到“体系化管控”,从“被动合规”到“主动治理”,《指南》的出台意味着金融信息服务的数据管理逻辑正在发生深刻变化。这不只是一份文件,更是一套治理思维的升级。
当每一个数据的身份、权重和边界都被清晰定义,数据的合规流动与安全运转才有了现实前提。数据的价值不在静止存储,而在有序流动。
资料来源:
1.新华社:《六部门联合印发指南规范金融信息服务数据处理活动》
2.国家互联网信息办公室:《金融信息服务数据分类分级指南(征求意见稿)》公开征求意见通知
3.中国网信网专家解读:《从“通用防护”到“精准治理”:深化金融信息服务数据分类分级保护》
4.新华社:《中华人民共和国国民经济和社会发展第十五个五年规划纲要》
5.北京日报客户端:《筑牢数据安全治理根基 引领金融信息服务规范发展》
RWA研究院由多位资深金融家、Web3从业者、产业创新者及技术专家联合发起,于2024年6月25日在香港正式发布(全称:RWA Research Institute,简写:RWARI)。
作为国际上最早成立的专业RWA研究机构之一,RWA研究院专注于现实世界资产(Real World Assets,简称RWA)领域,致力于推动传统金融资产与区块链技术的融合。通过深入研究和实践,研究院为投资者与企业提供创新的解决方案,促进实物资产的数字化与代币化,搭建传统金融与数字资产之间的桥梁。
RWA研究院的核心使命是结合政策研究、标准制定与生态共建,助力企业实现资产数字化转型,为全球合规化发展提供技术支撑与战略协同。未来,研究院将持续深化数字技术与实体经济的融合,联合国际机构举办全球产业峰会,探索多领域应用场景,为高质量全球化发展注入新动能。
2025年5月,RWA研究院联合中国搜索、中电数字场景科技研究院等权威机构发起成立“中国RWA产业智库”,聚焦资产数字化领域的全球合规化发展。智库通过三大核心方向赋能实体经济:一是牵头编制《RWA项目评价标准》等国际协作规范;二是构建“资产上链一跨境流通一全球交易”数字化服务链,融合区块链与人工智能技术;三是以香港、深圳为枢纽搭建跨境合规通道,推动绿色金融与跨境投融资创新。同时,智库依托“双链融合架构”(国家级联盟链与跨链协议协同机制)强化技术自主性与数据安全,深化跨境协作与合规治理。