1月24日，国家互联网信息办公室发布关于《金融信息服务数据分类分级指南（征求意见稿）》公开征求意见的通知，全文如下：

  国家互联网信息办公室关于《金融信息服务数据分类分级指南（征求意见稿）》公开征求意见的通知

  为规范金融信息服务数据处理活动，提升金融信息服务的数据安全水平，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人隐私信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等法律和法规规章和政策规定，国家互联网信息办公室会同有关部门组织起草了《金融信息服务数据分类分级指南（征求意见稿）》，现向社会公开征求意见。公众能够最终靠以下途径和方式提出反馈意见：

  2.通过信函方式将意见寄至：北京市海淀区阜成路15号国家互联网信息办公室网络数据管理局，邮编100048，并在信封上注明“金融信息服务数据分类分级指南征求意见”。

  为规范金融信息服务数据处理活动，提升金融信息服务数据安全水平，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人隐私信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等法律和法规规章和政策规定，参照国家标准GB/T 43697—2024《数据安全技术 数据分类分级规则》制定本文件。

  本文件规定了金融信息服务数据分类分级规则，适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作。

  向从事金融分析、金融交易、金融决策或者别的金融活动的用户更好的提供可能会影响金融市场的信息和/或者金融数据的服务。

  特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。

  对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。

  注：核心数据最重要的包含关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家相关部门评估确定为核心数据的其他数据。

  一旦被泄露或篡改、损毁，对经济运行、社会稳定、公共利益有一定影响，或者对组织自身或者公民个体造成重要影响的数据。

  金融信息服务数据可按照业务属性进行分类。一级分类分为业务数据、用户数据和企业数据3类，进一步细分为二级分类9类、三级分类66类，详见附录A。

  a）业务数据（一级分类），分为金融市场数据、宏观经济数据、行业指标数据、组织机构数据、资讯报告数据5类（二级分类），进一步细分为股票数据、债券数据、基金数据、理财数据、外汇数据、商品数据等52类（三级分类）。

  1）金融市场数据（二级分类）：反映金融市场动态和资产状况的数据，如股票、债券、基金的基础信息、行情数据、统计数据等。

  2）宏观经济数据（二级分类）：反映国家或地区经济运作状况的指标数据，如国民经济核算、价格指数、贸易、投资、金融、财政、就业与工资等有关统计数据。

  3）组织机构数据（二级分类）：金融市场参与主体（如上市与发债企业、金融机构等）的基础信息和运营数据，如经营信息、员工信息、财务信息等。

  4）行业指标数据（二级分类）：反映行业领域的运作时的状态、市场供需等的指标数据，如农林牧渔、能源行业的产业链数据、供需数据等。

  5）资讯报告数据（二级分类）：与金融市场相关的新闻、评论、资讯等信息，如行业资讯、研究报告、政策法规、专家观点等。

  b）用户数据（一级分类），分为个人用户数据和机构用户数据2类（二级分类）。个人用户数据分为基础信息、交易数据、生物特征识别信息3类（三级分类），机构用户数据分为基础信息、交易数据2类（三级分类）。

  c）企业数据（一级分类），分为经营管理数据和系统运维数据2类（二级分类）。经营管理数据分为财务数据、结算管理数据、人力资源数据、市场营销数据、其他经营管理数据5类（三级分类），系统运维数据分为网络设备和信息系统的配置数据、日志数据、安全监测数据、安全事件数据4类（三级分类）。

  根据金融信息服务数据在经济社会持续健康发展中的重要程度和敏感程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为四级，分别为核心数据、重要数据、敏感一般数据、常规一般数据。

  影响数据分级的要素，最重要的包含数据的覆盖度、时间跨度、精度、公开状态、地域等。

  a）覆盖度：数据对领域、群体、区域等的覆盖分布或疏密程度。如区域的覆盖占比、群体的覆盖占比等。

  b）时间跨度：数据所属时间段。如10年的基金数据成交量、5年的国民经济数据等。

  c）精度：数据的精确或准确程度，包括数值精度、空间精度、时间精度等。如某一类商品的价值周期变化数据比有关部门公开发布的更精准详实。

  d）公开状态：已公开和未公开。已公开是指数据可被公众访问、获取。未公开是指数据仅限特定范围的组织或个人访问、获取，未向公众开放。

  指数据面临安全风险时，可能会影响的对象，最重要的包含国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益。

  b）经济运行：影响市场经济运行秩序、宏观经济发展形势、国民经济命脉、社会总供给和总需求、行业或地区经济发展等经济运行机制。

  c）社会秩序：影响社会治安和公共安全、社会日常生活秩序、民生福祉、法治和伦理道德等社会秩序。

  d）公共利益：影响社会公众使用公共服务、公共设施、公共资源或影响公共健康安全等公共利益。

  e）组织权益：影响组织自身或其他组织的生产运营、声誉形象、公信力、知识产权等组织权益。

  f）个人权益：影响自然人的人身权、财产权、隐私权、个人隐私信息权益等个人权益。

  影响程度是指数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，会造成的影响程度。影响程度从高到低分为很严重危害、严重危害、一般危害。

  在分级要素识别、影响对象和影响程度分析的基础上，综合确定数据级别。数据集级别可在数据项级别的基础上，按照就高从严的原则，将数据集包含数据项的最高级别作为数据集级别。此外，依据有关部门、地区数据分类分级标准规范识别为核心数据或重要数据的，或已被相关部门、地区告知或者公开发布为核心数据或重要数据的，或有关企业机构告知已被相关部门、地区认定为核心数据或重要数据的，相应定为核心数据或重要数据。

  数据分级完成后，应按时进行检查复核。当数据的业务属性、重要程度和会造成的危害程度发生明显的变化时应及时来更新，包括但不限于以下情形：

  b）数据内容未发生明显的变化，但因数据时效性、数据规模、数据使用场景、数据加工解决方法等发生明显的变化，导致原定数据级别不再适用；

  通过对分级要素进行识别分析，综合研判数据对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响，对数据来进行分级。

  定期复核数据资源和数据分类分级情况，及时来更新数据分类分级清单和重要数据目录。当核心数据和重要数据出现重大变化（如重要数据条目数量、存储总量等变化30%以上，或其他重要内容发生明显的变化），应当及时重新报送重要数据目录。