《法人》特約撰稿 董瀟 郭超 張玙詩

金融數據分類分級，是開展數據全生命周期管理的基礎。在金融行業(yè)領域，目前已出臺《金融數據安全 數據安全分級指南》（JR/T 0197—2020）（下稱“《金融數據分級指南》”）及《證券期貨業(yè)數據分類分級指引》（JR/T 0158—2018）（下稱“《證券期貨數據分級指引》”）、《個人金融信息保護技術規(guī)范》（JR/T 0171—2020）等行業(yè)標準，為金融業(yè)機構的數據資產分類分級提供了重要參考。

數據分類分級流程

《金融數據分級指南》適用于所有金融業(yè)機構開展的電子數據安全分級工作。依據《國民經濟行業(yè)分類》（GB/T 4754—2017），金融業(yè)包括貨幣金融服務（銀行、融資租賃、財務公司、典當、汽車金融公司、小貸公司、消費金融公司等）、資本市場服務（證券市場服務、證券投資基金、期貨市場服務、資本投資服務等）、保險業(yè)服務、其他金融業(yè)服務（信托、支付服務、金融信息服務、金融資產管理、貨幣經紀等），從事前述金融業(yè)相關機構應參照《金融數據分級指南》確立適當的數據安全分級制度。根據前述金融業(yè)分類標準，筆者理解金融業(yè)機構的范圍，不局限于銀行、保險公司等傳統(tǒng)金融持牌機構，典當行、融資租賃公司等地方類金融機構以及金融信息服務公司等服務機構，均有可能落入金融業(yè)機構的范圍，其收集、處理的金融數據原則上應參照《金融數據分級指南》進行分級分類管理。

同樣，根據《證券期貨數據分級指引》規(guī)定，該標準廣泛適用于證券期貨行業(yè)機構、相關專項業(yè)務服務機構、相關信息技術服務機構開展的數據分類分級工作；專項業(yè)務服務機構和信息技術服務機構在開展涉及證券期貨業(yè)相關數據的業(yè)務服務和技術服務時，也需參照《證券期貨數據分級指引》進行數據分類分級。需要注意的是，《金融數據分級指南》及《證券期貨數據分級指引》的適用對象均包括證券期貨業(yè)機構，由于《證券期貨數據分級指引》屬于行業(yè)特殊要求，因而證券期貨業(yè)機構應優(yōu)先遵循該指引，這也與《金融數據分級指南》亦規(guī)定一致，明確證券行業(yè)數據安全分級工作可參照《證券期貨數據分級指引》執(zhí)行。

資料圖片

金融業(yè)機構在開展金融數據分類分級之前，應先對自身數據資產進行全面梳理，形成統(tǒng)一的數據資產清單，在數據資產清單的基礎之上，開展分類分級工作。

參考《網絡安全標準實踐指南—網絡數據分類分級指引》（下稱“《網絡數據分類分級指引》”），數據分類具有多種視角和維度，常見的數據分類維度，包括但不限于公民個人維度、公共管理維度、信息傳播維度、行業(yè)領域維度和組織經營維度。

金融業(yè)機構在開展分類工作時，應識別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數據類別，是否包括個人信息、公共信息、公開傳播信息，并根據相應數據類別特殊要求對該等數據類別進行分類分級保護。例如，金融業(yè)機構涉及處理客戶個人信息的，應按照《個人金融信息保護技術規(guī)范》的個人金融信息分級標準執(zhí)行。如果數據處理涉及多個行業(yè)領域，建議分別按照各行業(yè)的數據分類規(guī)則對數據類別進行標識。如果相關行業(yè)領域不存在行業(yè)數據分類規(guī)則，也可從組織經營維度結合自身數據管理和使用需要對數據進行分類。

按照數據安全法要求，根據數據一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，將數據從低到高分成一般數據、重要數據、核心數據三個級別。其中，核心數據、重要數據的識別和劃分，按照國家和行業(yè)的核心數據目錄、重要數據目錄執(zhí)行。目前，金融行業(yè)尚未發(fā)布金融行業(yè)的重要數據具體目錄，而一般數據則應根據行業(yè)細分及數據類別相應參照《金融數據分級指南》《證券期貨數據分級指引》及《個人金融信息保護技術規(guī)范》的標準定級。

數據定級關鍵要素

數據定級需識別兩個關鍵要素，包括影響對象及影響程度。根據《金融數據分級指南》規(guī)定，影響對象指金融業(yè)機構數據安全性遭受破壞后受到影響的對象，包括國家安全、公眾權益、個人隱私及企業(yè)合法權益等。而影響程度指金融業(yè)機構數據安全性遭到破壞后所產生影響的大小，從高到低劃分為：（i）嚴重損害。（ii）一般損害。（iii）輕微損害。（iv）無損害。

根據《金融數據分級指南》，確定金融業(yè)機構數據安全性遭受破壞后的影響對象和所造成的影響程度后，可依據一定的定級規(guī)則，將數據安全級別從高到低劃分為5 個等級，各安全級別與影響對象、影響程度的對應關系如表一所示。

表一

表二

如前所述，在分類階段，如識別到金融業(yè)機構涉及處理個人金融信息的，應按照《個人金融信息保護技術規(guī)范》分級標準執(zhí)行；如果數據處理涉及其他行業(yè)領域的，宜分別按照各行業(yè)數據分類規(guī)則對數據類別進行標識。表二就《金融數據分級指南》提出的分級框架與《個人金融信息保護技術規(guī)范》及《網絡數據分類分級指引》級別劃分的對應關系進行對比總結，以資參考。

數據變化導致級別變更

《金融數據分級指南》在附錄A 提供了金融業(yè)機構典型數據定級規(guī)則參考表，《證券期貨數據分級指引》亦在附錄A.1 至A.7 分別給出行業(yè)會管單位、行業(yè)協(xié)會、證券期貨經營機構（包括證券公司、期貨公司、基金管理公司）的典型數據分類分級模板，供相關金融業(yè)機構參考。

需要注意的是，在實際應用過程中，金融業(yè)機構宜根據其所管轄數據的類型、特性、規(guī)模以及機構特性等因素，綜合考慮本機構數據安全管理的總體目標和安全策略要求，按照一定的顆粒度對數據資產進行合理的梳理、歸類和細分，最終形成本機構的數據資產分類分級清單。在批準實施相應清單之后，金融業(yè)機構應按照清單的分類分級對數據資產進行維護、管理和定期審核。

數據安全定級完成后，參考《網絡數據分類分級指引》，當以下情形出現時，金融業(yè)機構需要對相關數據的安全級別進行變更：

（1）數據內容發(fā)生變化，導致原有數據的安全級別不適用變化后的數據；

（2）數據內容未發(fā)生變化，但因數據時效性、數據規(guī)模、數據使用場景、數據加工處理方式等發(fā)生變化，導致原定的數據安全級別不再適用；

（3）多個原始數據直接合并，導致原有的安全級別不再適用合并后的數據；

（4）因對不同數據選取部分數據進行合并形成新數據，導致原有數據的安全級別不再適用合并后的數據；

（5）不同數據類型經匯聚融合形成新的數據類別，導致原有的數據級別不再適用于匯聚融合后的數據；

（6）因國家或行業(yè)主管部門要求，導致原定的數據級別不再適用。

（7）需要對數據安全級別進行變更的其他情形。