六部委共同印发《金融信息服务数据分类分级指南》
(来源:智汇大叔)
关于印发《金融信息服务数据分类分级指南》的通知
国信办通字〔2026〕2号
各省、自治区、直辖市及新疆生产建设兵团互联网信息办公室,中国人民银行上海总部、各省、自治区、直辖市及计划单列市分行,国家金融监督管理总局各监管局,中国证券监督管理委员会各派出机构,各省、自治区、直辖市及新疆生产建设兵团统计局,国家统计局各调查总队,国家外汇管理局各省、自治区、直辖市及计划单列市分局,有关金融信息服务机构:
为指导金融信息服务机构开展数据分类分级和重要数据识别工作,提升金融信息服务数据安全水平,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等法律法规规章和政策规定,国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局制定了《金融信息服务数据分类分级指南》。现印发给你们,请结合实际,认真贯彻执行。
国家互联网信息办公室
中国人民银行
国家金融监督管理总局
中国证券监督管理委员会
国家统计局
国家外汇管理局
2026年6月8日
金融信息服务数据分类分级指南
1、目的依据
为规范金融信息服务数据处理活动,提升金融信息服务数据安全水平,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等法律法规规章和政策规定,参照国家标准GB/T43697—2024《数据安全技术数据分类分级规则》制定本文件。
2、适用范围
本文件规定了金融信息服务数据分类分级规则,适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作。本文件不适用于涉及国家秘密的数据和军事数据。
3、术语与定义
3.1金融信息服务
向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。
注:引自《金融信息服务管理规定》。金融信息服务不同于通讯社服务。
3.2金融信息服务数据
在开展金融信息服务过程中收集和产生的数据。
3.3金融信息服务提供者
从事金融信息服务的法人、非法人组织。
注:不包括国家机关和法律、法规授权的具有管理公共事务职能的组织。
3.4重要数据
特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或篡改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。
注:仅影响组织自身或公民个体的数据一般不作为重要数据。
3.5核心数据
对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据。
注:核心数据主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定为核心数据的其他数据。
3.6敏感一般数据
一旦被泄露或篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据。
3.7常规一般数据
核心数据、重要数据、敏感一般数据之外的其他数据。
4、数据分类规则
金融信息服务数据可按照业务属性进行分类。一级分类分为业务数据、用户数据和企业数据3类,进一步细分为二级分类9类、三级分类67类,详见附录A。
a)业务数据(一级分类),分为金融市场数据、宏观经济数据、组织机构数据、行业指标数据、资讯报告数据5类(二级分类),进一步细分为股票数据、债券数据、基金数据、外汇数据、商品数据、理财数据等52类(三级分类)。
1)金融市场数据(二级分类):反映金融市场动态和资产状况的数据,如股票、债券、基金的基本信息、行情数据、统计数据等。
2)宏观经济数据(二级分类):反映国家或地区经济运行状况的指标数据,如国民经济核算、
价格指数、贸易、投资、金融、财政、就业与工资等有关统计数据。
3)组织机构数据(二级分类):金融市场参与主体(如上市与发债企业、金融机构等)的基本信息和运营数据,如经营信息、员工信息、财务信息等。
4)行业指标数据(二级分类):反映行业领域的运行状态、市场供需等的指标数据,如农林牧渔、能源行业的产业链数据、供需数据等。
5)资讯报告数据(二级分类):与金融市场相关的新闻、评论、资讯等信息,如行业资讯、研究报告、政策法规、专家观点等。
b)用户数据(一级分类),分为个人用户数据和机构用户数据2类(二级分类)。个人用户数据分为基本信息、交易数据、生物特征识别信息3类(三级分类),机构用户数据分为基本信息、交易数据2类(三级分类)。
c)企业数据(一级分类),分为经营管理数据和系统运维数据2类(二级分类)。经营管理数据分为财务数据、结算管理数据、人力资源数据、市场营销数据、风险控制与监督数据、其他经营管理数据6类(三级分类),系统运维数据分为网络设备和信息系统的配置数据、日志数据、安全监测数据、安全事件数据4类(三级分类)。
5、数据分级规则
5.1数据分级框架
根据金融信息服务数据在经济社会发展中的重要程度和敏感程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为四级,分别为核心数据、重要数据、敏感一般数据、常规一般数据。
5.2分级要素
影响数据分级的要素,主要包括数据的覆盖度、时间跨度、精度、公开状态、地域等。
a)覆盖度:数据对领域、群体、区域等的覆盖分布或疏密程度。如区域的覆盖占比、群体的覆盖占比等。
b)时间跨度:数据所属时间段。如10年的基金数据成交量、5年的国民经济数据等。
c)精度:数据的精确或准确程度,包括数值精度、空间精度、时间精度等。如某一类商品价格周期变化数据比有关部门公开发布的更精准详实。
d)公开状态:已公开和未公开。已公开是指数据可被公众访问、获取。未公开是指数据仅限特定范围的组织或个人访问、获取,未向公众开放。
e)地域:数据反映的是境内或境外的经济、社会等情况。
5.3影响对象
指数据面临安全风险时,可能影响的对象,主要包括国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。
a)国家安全:影响国家政治、军事、经济、科技、资源等国家利益安全。
b)经济运行:影响市场经济运行秩序、宏观经济形势、国民经济命脉、社会总供给和总需求、行业或地区经济发展等经济运行机制。
c)社会秩序:影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序。
d)公共利益:影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。
e)组织权益:影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益。
f)个人权益:影响自然人的人身权、财产权、隐私权、个人信息权益等个人权益。
5.4影响程度
影响程度是指数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,可能造成的影响程度。影响程度从高到低分为特别严重危害、严重危害、一般危害。
表1 影响程度判定表
影响对象 | 影响程度 | 影响程度判定说明(满足条件之一即可) |
国家安全 | 特别严重危害 | 直接影响国家政治安全。 |
严重危害 | 关系国家安全重点领域,或者对政治、军事、经济、科技、资源等安全造成严重威胁。 | |
一般危害 | 对政治、军事、经济、科技、资源等安全造成威胁。 | |
经济运行 | 特别严重危害 | 1.直接影响关系国民经济命脉的重要行业和关键领域的经济利益安全,如提供重要公共产品、重要资源行业等; 2.直接影响关系国民经济命脉的重点产业、重大基础设施、重大建设项目以及其他重大经济利益安全; 3.对一个或多个行业领域的经济发展、业务生产、技术进步、产业生态造成特别严重危害,如对支柱产业和高新技术产业中的重要骨干企业造成重大损害,导致大面积业务中断、大量业务处理能力丧失等; 4.对一个或多个省级行政区的经济运行造成特别严重危害,例如导致大范围停工停产、大规模基础设施长时间中断运行等。 |
严重危害 | 1.直接影响宏观经济运行状况和发展趋势,如社会总供给和总需求、国民经济总值和增长速度、国民经济主要比例关系、物价总水平、劳动就业总水平与失业率、货币发行总规模与增长速度、进出口贸易总规模与变动等; 2.直接影响一个或多个市级行政区、行业内多个企业或大规模用户,对行业发展、技术进步和产业生态等造成严重影响,或者直接影响行业领域核心竞争力、核心业务运行、关键产业链、核心供应链等。 | |
一般危害 | 1.对单个行业领域发展、业务经营、技术进步、产业生态等造成一般危害,如受影响的用户和企业数量较小、生产生活区域范围较小、持续时间较短、社会负面影响较小; 2.对单个行业领域或地区的经济运行造成一般危害。 | |
社会秩序 | 特别严重危害 | 1.直接影响一个或多个省级行政区社会稳定(如重大群体性事件),严重影响社会正常运行; 2.对重要民生保障的事项、物资、工程或项目等造成特别严重危害。 |
严重危害 | 1.严重影响一个或多个市级行政区人民群众日常生活秩序、公共管理和服务职能等; 2.严重影响一个或多个行业的生产秩序或经营秩序等。 | |
一般危害 | 影响一个或多个组织的生产秩序或经营秩序。 | |
公共利益 | 特别严重危害 | 1.关系重大公共利益,导致一个或多个省级行政区大部分地区的社会公共资源供应长期、大面积瘫痪,大范围社会成员(如1000万人以上)无法使用公共设施、获取公开数据资源、接受公共服务等; 2.导致特别重大网络安全和数据安全事件,对公共利益造成特别严重影响,社会负面影响很大。 |
严重危害 | 1.导致一个或多个市级行政区的社会公共资源供应较长期中断,较大范围社会成员(如100万人以上)无法使用公共设施、获取公开数据资源、接受公共服务等; 2.导致重大网络安全和数据安全事件,对公共利益造成严重影响,社会负面影响大。 | |
一般危害 | 对公共设施、公开数据资源、公共服务等造成临时性、小范围影响。 | |
组织利益 | 特别严重危害 | 1.对组织业务生产经营造成严重影响; 2.对业务发展和经济效益产生特别严重影响,导致重要或关键业务无法正常开展的情况; 3.造成重大经济或技术损失,严重破坏机构声誉,企业面临破产等。 |
严重危害 | 1.对组织声誉形象、知识产权、公平竞争利益造成严重影响; 2.影响部分业务无法正常开展的情况,造成较大经济或技术损失,破坏机构声誉。 | |
一般危害 | 1.对组织声誉形象、知识产权、公平竞争利益造成一般影响; 2.对组织生产经营、业务发展、经济效益产生轻微影响。 | |
个人权益 | 特别严重危害 | 对个人的人格尊严、人身安全、财产安全造成重大影响,且不可消除。 |
严重危害 | 对个人的人格尊严、人身安全、财产安全造成重大影响,需要较大代价消除。 | |
一般危害 | 对个人有一定困扰,但能克服。如付出额外成本、无法使用应提供的服务、造成误解等。 |
5.5综合确定级别
在分级要素识别、影响对象和影响程度分析的基础上,综合确定数据级别。数据集级别可在数据项级别的基础上,按照就高从严的原则,将数据集包含数据项的最高级别作为数据集级别。此外,依据相关部门、地区数据分类分级标准规范识别为核心数据或重要数据的,或已被相关部门、地区告知或者公开发布为核心数据或重要数据的,或有关企业机构告知已被相关部门、地区认定为核心数据或重要数据的,相应定为核心数据或重要数据。
表2 数据级别判定标准
影响对象 | 影响程度 | ||
特别严重危害 | 严重危害 | 一般危害 | |
国家安全 | 核心数据 | 重要数据 | |
经济运行 | 核心数据 | 重要数据 | 敏感一般数据 |
社会秩序 | 核心数据 | 重要数据 | 敏感一般数据 |
公共利益 | 核心数据 | 重要数据 | 敏感一般数据 |
组织权益、个人权益 | 敏感一般数据 | 常规一般数据 | |
注:如果影响大规模的个人或组织权益,影响对象可能不只包括个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响。 | |||
5.6级别动态更新
数据分级完成后,应定期检查复核。当数据的业务属性、重要程度和可能造成的危害程度发生变化时应及时更新,包括但不限于以下情形:
a)数据内容发生变化,导致原定数据级别不再适用;
b)数据内容未发生变化,但因数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化,导致原定数据级别不再适用;
c)因数据融合,导致原定数据级别不再适用;
d)因国家或有关部门要求,导致原定数据级别不再适用;
e)需要对数据级别进行更新的其他情形。
6数据分类分级流程
数据处理者可按照以下步骤进行数据分类分级:
a)数据资源梳理:
1)对组织的数据资源进行全面梳理,包括数据库表、数据项、数据文件等;
2)明确数据资源基本信息、描述对象、业务属性等,形成数据资源清单。
b)数据分类:
1)根据数据所描述的对象,确定一级类别;
2)根据数据所属的业务领域、数据主体等,确定二级类别;
3)根据数据所涉及的行业条线、关键业务、管理和用途等,确定三级类别。
c)数据分级:
通过对分级要素进行识别分析,综合研判数据对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响,对数据进行分级。
d)形成数据分类分级清单:
1)审核确定数据分类分级结果;
2)形成数据分类分级清单和重要数据目录。
e)报送重要数据目录:
按照要求的频度和格式向主管部门报送重要数据目录,目录格式详见附录B。
f)动态更新管理:
定期复核数据资源和数据分类分级情况,及时更新数据分类分级清单和重要数据目录。当核心数据和重要数据发生重大变化(如重要数据条目数量、存储总量等变化30%以上,或其他重要内容发生变化),应当及时重新报送重要数据目录。
附录A 金融信息服务数据分类分级示例(略)
附录B 重要数据目录报送模板(略)
《金融信息服务数据分类分级指南》答记者问
近日,国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局联合印发《金融信息服务数据分类分级指南》(以下简称《指南》)。国家互联网信息办公室有关负责同志就《指南》回答了记者提问。
问1:请介绍一下《指南》的出台背景?
答:当前,金融信息服务有序发展,金融信息服务领域数据规模扩大、流动频繁,亟需分类分级规范管理。《中华人民共和国数据安全法》明确,国家建立数据分类分级保护制度,对数据实行分类分级保护。《网络数据安全管理条例》明确,各地区、各部门应当按照数据分类分级保护制度,确定重要数据具体目录并重点保护。为落实法律法规要求,国家互联网信息办公室、中国人民银行等六部门制定印发《指南》,旨在为金融信息服务机构开展数据分类分级工作提供系统性、针对性、可操作性的指引,规范金融信息服务数据处理活动,提升数据安全水平,促进数据依法合理有效利用。
问2:《指南》的适用范围?
答:《指南》衔接《金融信息服务管理规定》,适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作。
《指南》不适用于涉及国家秘密的数据和军事数据。
问3:请介绍一下《指南》明确的金融信息服务数据分类分级规则。
答:在数据分类方面,《指南》按照金融信息服务数据的业务属性进行分类,其中一级分类为业务数据、用户数据和企业数据3类,在此基础上进一步细分二级分类9类、三级分类67类。
在分级方面,《指南》参照国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》,根据金融信息服务数据在经济社会发展中的重要程度和敏感程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为四级,分别为核心数据、重要数据、敏感一般数据、常规一般数据。
问4:金融信息服务提供者如何进行数据分类分级?
答:金融信息服务提供者可按照《指南》“6 数据分类分级流程”明确的步骤进行数据分类分级,包括:数据资源梳理、数据分类、数据分级、形成数据分类分级清单、报送重要数据目录、动态更新管理。
为便于金融信息服务提供者开展数据分类分级工作,《指南》附录A给出了金融信息服务数据第三级分类67类数据的数据描述和示例,以及数据分级的参考最低级别。
问5:《指南》为什么将一般数据进一步细分为“敏感一般数据”“常规一般数据”?
答:根据《金融信息服务管理规定》,金融信息服务是指向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或者金融数据的服务。从服务的对象看,金融信息服务面向金融相关的用户,向用户提供的信息或数据可能影响金融市场稳定;从提供的数据看,金融信息服务数据涉及金融市场数据、宏观经济数据、农林牧渔等行业指标数据,数据内容相对敏感。
为此,《指南》结合金融信息服务领域的特殊性和所掌握数据的敏感性,在国家数据分类分级保护制度框架下,对一般数据作了细分,将一旦被泄露或篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据,划分为敏感一般数据,旨在推动金融信息服务提供者加强对此类数据的安全保护。
问6:落实《指南》有哪些工作考虑?
答:国家互联网信息办公室将会同相关部门切实推进《指南》落地见效。一是做好宣传阐释、工作指导,积极阐明《指南》对于促进金融信息服务高质量发展,助力金融信息服务数据治理的重要作用,组织宣讲、教育培训等活动,充分解读《指南》内容,指导、帮助金融信息服务提供者开展数据分类分级。二是强化部门协作、央地协同,落实《中华人民共和国数据安全法》《网络数据安全管理条例》关于数据分类分级保护、重要数据识别申报有关要求,组织开展金融信息服务领域重要数据识别、申报和认定工作,推动《指南》高效实施。