《金融信息服务数据分类分级指南》
基于2026年6月8日国信办通字〔2026〕2号文件
发文机构:国家互联网信息办公室
:中国人民银行、国家金融监督管理总局
:中国证券监督管理委员会
:国家统计局、国家外汇管理局
文件编号:国信办通字〔2026〕2号
印发时间:2026年6月8日
行业领域:金融信息服务
报告适用:等保测评·密评·数据安全治理
一、《指南》出台背景与重大意义
(一)出台背景
2026年6月8日,国家互联网信息办公室、中国人民银行、国家金融监督管理总局、中国证券监督管理委员会、国家统计局、国家外汇管理局六部门联合印发《金融信息服务数据分类分级指南》(国信办通字〔2026〕2号),并于6月13日向社会公开发布。
《指南》出台的核心驱动因素来自三个层面:
一是法律法规的硬性要求。《数据安全法》明确要求"国家建立数据分类分级保护制度";《网络数据安全管理条例》进一步要求"各地区、各部门按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录并重点保护";同时《金融信息服务管理规定》对金融信息服务活动提出明确的监管要求。
二是行业数据治理的现实痛点。当前金融信息服务领域数据规模扩大、流动频繁,海量、多元、快速变化的数据资产导致分类维度模糊、分级标准不一、重要数据识别困难等共性问题,安全投入与风险错配现象突出,亟需统一、权威、可操作的标准化指引。
三是数据要素价值释放的迫切需求。金融信息服务数据具有高价值、高敏感、强时效、广关联的天然特性,一旦发生大规模泄露、篡改或滥用,不仅引发市场异常波动,更可能侵蚀公众信任、干扰社会秩序,甚至威胁国家经济安全。
(二)重大意义
1. 完善金融信息服务行业数据安全基础制度。
《指南》将《数据安全法》等法律中原则性的分类分级规定,转化为适用于金融信息服务场景的具体规则、标准和方法,有效解决了"如何分类、怎样分级、何为重要"的操作难题,为各类金融信息服务提供者提供权威、统一、指导性强的操作手册。
2. 统一行业数据安全管理语言和基准。
《指南》建立了基于客观要素和影响后果的分级模型,指导企业机构更好履行数据处理者主体责任。对核心数据和重要数据严格保护,依法履行风险评估、重点保护等义务;对敏感一般数据和常规一般数据,在保障基本安全的前提下促进其高效、合规流动与应用。
3. 推动数据安全保护资源精准配置。
通过"四级"数据分级体系设计,《指南》解决了笼统管理可能存在的保护不足或过度问题,使数据安全保护管理资源配置和保护效能进一步提升,引导企业机构将安全资源集中于高风险、高价值数据。
二、《指南》核心条款逐条解读
(一)目的依据(第1条)
条款原文:为规范金融信息服务数据处理活动,提升金融信息服务数据安全水平,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《网络数据安全管理条例》、《金融信息服务管理规定》等法律法规规章和政策规定,参照国家标准GB/T 43697—2024《数据安全技术 数据分类分级规则》制定本文件。
核心要点解读:
• 法律层级完整:上位法涵盖"三法一条例一规定",形成完整的法律授权链条。
• 国标衔接精准:明确参照GB/T 43697-2024《数据安全技术 数据分类分级规则》,确保与国家数据分类分级基础标准保持一致。
• 行业属性突出:与《金融信息服务管理规定》直接衔接,定位"金融信息服务"细分领域,区别于银行业、保险业、证券业等传统金融子行业的数据分类分级标准(如JR/T 0197-2020、JR/T 0158-2018等)。
(二)适用范围(第2条)
条款原文:本文件规定了金融信息服务数据分类分级规则,适用于在中华人民共和国境内从事金融信息服务的金融信息服务提供者开展数据分类分级和重要数据识别工作。本文件不适用于涉及国家秘密的数据和军事数据。
适用范围边界:
范围类型 | 具体界定 | 等保测评关联 |
适用主体 | 在中华人民共和国境内从事金融信息服务的金融信息服务提供者 | 此类系统的等保定级需考虑数据分类分级结果 |
适用业务 | 金融信息服务的"提供"行为(法人、非法人组织) | 为B端、C端提供金融信息服务的系统 |
排除情形1 | 涉及国家秘密的数据 | 应适用《保守国家秘密法》及配套保密标准 |
排除情形2 | 军事数据 | 应适用军事数据安全相关法规 |
排除情形3 | 国家机关及具有管理公共事务职能的组织 | 此类主体不属于"提供者" |
(三)术语与定义(第3条)
《指南》明确了7个核心术语,其中"重要数据""核心数据"严格沿用国家通用定义,"敏感一般数据""常规一般数据"为金融信息服务领域的细分创新术语。
术语 | 核心定义 | 判定关键 |
金融信息服务 | 向从事金融分析、金融交易、金融决策或其他金融活动的用户提供可能影响金融市场的信息和/或金融数据的服务 | 区别于通讯社服务;信息/数据具备"市场影响性" |
金融信息服务数据 | 在开展金融信息服务过程中收集和产生的数据 | 强调"业务过程产生" |
金融信息服务提供者 | 从事金融信息服务的法人、非法人组织 | 排除国家机关及管理公共事务组织 |
重要数据 | 特定领域、群体、区域或达到一定精度和规模,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据 | 危害对象"非自身非个体";三个"特定"+ "一定"门槛 |
核心数据 | 对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据 | "三高"特征(较高覆盖度/精度/规模)+政治安全影响 |
敏感一般数据 | 对经济运行、社会稳定、公共利益有一定影响,或对组织自身/公民个体造成重要影响的数据 | 危害程度低于"重要数据",高于"常规一般";金融行业特有细分 |
常规一般数据 | 核心数据、重要数据、敏感一般数据之外的其他数据 | 兜底类别,敏感度最低 |
★实操判定重点:在等保测评现场,金融信息服务提供者应特别注意"敏感一般数据"这一新增类别——例如期货实时价格、成交量、成交额等反映市场活跃度的数据,虽未达"重要数据"门槛,但其安全事件仍可能引发局部风险或较大个体损害,应被识别为敏感一般数据并采取加强保护措施。
三、数据分类体系详解(3-9-67三级框架)
(一)分类框架总览
《指南》按照金融信息服务数据的业务属性进行分类,建立"一级3类 → 二级9类 → 三级67类"的三级层次化分类谱系。相较征求意见稿的三级66类,正式版新增1类("风险控制与监督数据"独立于"其他经营管理数据"),分类颗粒度更细。
一级分类 | 二级分类 | 三级分类数量 | 典型示例 |
业务数据 | 金融市场数据 | 15类 | 股票、债券、基金、外汇、商品、理财等行情数据 |
业务数据 | 宏观经济数据 | 8类 | GDP、CPI、货币供应、价格指数、贸易投资数据 |
业务数据 | 行业指标数据 | 10类 | 农林牧渔、能源、制造业等产业链、供需数据 |
业务数据 | 组织机构数据 | 10类 | 上市/发债企业、金融机构经营、员工、财务数据 |
业务数据 | 资讯报告数据 | 9类 | 行业资讯、研究报告、政策法规、专家观点 |
用户数据 | 个人用户数据 | 3类 | 基本信息、交易数据、生物特征识别信息 |
用户数据 | 机构用户数据 | 2类 | 机构基本信息、机构交易数据 |
企业数据 | 经营管理数据 | 6类 | 财务、结算管理、人力资源、市场营销、风控监督、其他 |
企业数据 | 系统运维数据 | 4类 | 配置数据、日志数据、安全监测数据、安全事件数据 |
合计 | 9类 | 67类 | —— |
(二)业务数据详解
业务数据是金融信息服务数据资产的核心,占三级分类52类(约78%),下设5个二级类别:
二级分类 | 定义 | 典型三级数据示例 | 等保测评关注点 |
金融市场数据 | 反映金融市场动态和资产状况的数据 | 股票/债券/基金/外汇/商品/理财/保险/衍生品/数字资产/黄金/信托/资管计划/期货期权/资产证券化/REITs | 实时行情数据接口安全、行情数据防篡改 |
宏观经济数据 | 反映国家或地区经济运行状况的指标 | 国民经济核算、价格指数、贸易、投资、金融、财政、就业与工资、外债外储 | 宏观经济数据真实性、统计口径合规 |
组织机构数据 | 金融市场参与主体的基本信息和运营数据 | 上市公司财报、董监高信息、股东信息、子公司信息、债权人信息、信用评级 | 组织机构信息更新及时性、隐私脱敏 |
行业指标数据 | 反映行业领域运行状态、市场供需的指标 | 农林牧渔、能源、矿产、制造、建筑、房地产、交通运输、商贸服务、文旅、教育的产业链数据 | 行业数据精度、覆盖度判断重要数据 |
资讯报告数据 | 与金融市场相关的新闻、评论、资讯 | 行业资讯、深度报道、研究报告、政策法规解读、专家观点、舆情监测 | 内容合规性、来源权威性、版权合规 |
(三)用户数据详解
用户数据按主体性质分为"个人用户数据"和"机构用户数据"两类,体现《个人信息保护法》对个人信息的重点保护。
二级分类 | 三级分类 | 定义 | 分级参考 |
个人用户数据 | 基本信息 | 姓名、身份证号、手机号、邮箱、地址、职业等 | 敏感一般数据(最低) |
个人用户数据 | 交易数据 | 交易记录、订单数据、订阅信息、付费数据 | 敏感一般数据 |
个人用户数据 | 生物特征识别信息 | 人脸、指纹、声纹、虹膜等 | 重要数据(参考) |
机构用户数据 | 基本信息 | 机构名称、统一社会信用代码、注册资本、经营范围、董监高 | 常规一般数据(参考) |
机构用户数据 | 交易数据 | 机构间的B2B交易数据、支付数据 | 敏感一般数据(参考) |
(四)企业数据详解
企业数据是金融信息服务提供者自身经营管理与系统运维产生的数据,涵盖财务、结算、人力、营销、风控、系统运维六大维度。相较征求意见稿,正式版将"风险控制与监督数据"从"其他经营管理数据"中独立出来,体现金融行业对风控数据的高度重视。
二级分类 | 三级分类 | 典型内容 | 安全要求 |
经营管理数据 | 财务数据 | 资产负债表、利润表、现金流量表、税务数据 | 敏感一般数据,会计档案≥10年保存 |
经营管理数据 | 结算管理数据 | 资金结算、清算对账、应收应付 | 敏感一般数据,资金流水不可篡改 |
经营管理数据 | 人力资源数据 | 员工档案、薪酬、绩效、考勤 | 个人信息保护合规 |
经营管理数据 | 市场营销数据 | 客户画像、营销活动、销售线索 | 敏感一般数据,自动化决策合规 |
经营管理数据 | 风险控制与监督数据 | 内控合规、审计稽核、监管报送 | 敏感一般数据,监管报送数据重点保护 |
经营管理数据 | 其他经营管理数据 | 法务、知识产权、行政办公等 | 常规一般数据 |
系统运维数据 | 配置数据 | 网络设备配置、系统参数、密钥证书 | 敏感一般数据,配置变更审计 |
系统运维数据 | 日志数据 | 系统日志、应用日志、安全日志 | 敏感一般数据,日志留存≥6个月 |
系统运维数据 | 安全监测数据 | 漏洞扫描、渗透测试、告警事件 | 敏感一般数据,与等保2.0直接关联 |
系统运维数据 | 安全事件数据 | 安全事件记录、应急响应、溯源证据 | 重要数据(参考),至少留存1年 |
四、数据分级体系详解(四级分级与五大要素)
(一)四级数据分级框架
《指南》在国家"核心数据—重要数据—一般数据"三级框架基础上,将"一般数据"细分为"敏感一般数据"和"常规一般数据",形成四级数据分级体系。
级别 | 名称 | 危害对象 | 危害程度 | 保护要求 |
第一级 | 核心数据 | 国家安全(政治安全) | 直接影响 | 最严格保护,多方评估、专门管控 |
第二级 | 重要数据 | 国家安全、经济运行、社会稳定、公共健康和安全 | 直接危害 | 重点保护,目录管理、风险评估 |
第三级 | 敏感一般数据 | 经济运行、社会稳定、公共利益(一定影响);组织/个体(重要影响) | 中度危害 | 加强保护,敏感字段加密、访问审计 |
第四级 | 常规一般数据 | 不涉及上述重大危害 | 轻度危害 | 基础保护,基本访问控制 |
★ 创新点解析:将"一般数据"细分为"敏感一般数据"和"常规一般数据",是《指南》对国家三级分类分级框架的创新性发展。金融信息服务数据普遍具有"市场影响性",即使未达"重要数据"门槛,也可能引发局部风险或较大个体损害,因此有必要单设"敏感一般数据"以推动提供者加强对此类数据的安全保护。
(二)五大分级要素
《指南》明确,影响数据分级的要素主要包括:覆盖度、时间跨度、精度、公开状态、地域。
分级要素 | 定义 | 重要数据判定示例 | 等保测评关联 |
覆盖度 | 数据对领域、群体、区域等的覆盖分布或疏密程度 | 覆盖度、精度高于官方发布且反映省级以上情况的行业数据→ 重要数据 | 判定数据是否涉及"大规模群体" |
时间跨度 | 数据所属时间段 | 10年基金成交量、5年国民经济数据 | 判定数据是否具备"长期累积"特征 |
精度 | 数据的精确/准确程度(数值、空间、时间精度) | 商品价格周期变化数据比官方更精准详实→ 重要数据 | 与等保2.0"数据精确性"指标关联 |
公开状态 | 数据是否可被公众访问、获取 | 未公开数据敏感度高于已公开数据 | 未公开数据需访问控制、加密保护 |
地域 | 数据所涉及的地理范围 | 涉及全国/多省的金融数据 vs 单一地区数据 | 全国性金融数据可能涉及重要数据 |
(三)级别确定与动态更新
1. 综合确定级别。在分级要素识别、影响对象和影响程度分析的基础上综合确定数据级别。数据集级别在数据项级别基础上,按照"就高从严"原则,将数据集包含数据项的最高级别作为数据集级别。
2. 重要数据直接认定。依据相关部门、地区数据分类分级标准规范识别为核心数据或重要数据的,或已被相关部门、地区告知或公开发布为核心数据或重要数据的,或有关企业机构告知已被相关部门、地区认定为核心数据或重要数据的,相应定为核心数据或重要数据。
3. 动态更新触发条件。包括:
• 数据内容发生变化,导致原定数据级别不再适用;
• 数据内容未变化,但时效性、规模、使用场景、加工处理方式等发生变化;
• 因数据融合,导致原定数据级别不再适用;
• 因国家或有关部门要求,导致原定数据级别不再适用;
• 需要更新的其他情形。
4. 重大变化重新报送。当核心数据和重要数据发生重大变化(如条目数量、存储总量等变化30%以上,或其他重要内容发生变化),应及时重新报送重要数据目录。
五、数据分类分级实施流程(六大步骤)
金融信息服务提供者应严格按照《指南》"6 数据分类分级流程"开展分类分级工作,完整流程包括:数据资源梳理 → 数据分类 → 数据分级 → 形成清单 → 报送目录 → 动态更新。
步骤 | 工作内容 | 关键产出 | 等保测评延伸 |
1. 数据资源梳理 | 对组织数据资源进行全面梳理,包括数据库表、数据项、数据文件等;明确数据资源基本信息、描述对象、业务属性 | 数据资源清单 | 对应等保2.0"资产识别"环节 |
2. 数据分类 | 一级类别按"描述对象"确定(业务/用户/企业);二级类别按"业务领域/数据主体"确定;三级类别按"行业条线/关键业务"确定 | 数据分类结果 | 对应等保2.0"业务识别" |
3. 数据分级 | 通过分级要素识别、影响对象和影响程度分析,综合研判数据对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的影响 | 数据分级结果 | 对应等保2.0"重要性赋值" |
4. 形成数据分类分级清单 | 审核确定数据分类分级结果;形成数据分类分级清单和重要数据目录 | 数据分类分级清单、重要数据目录 | 作为等保测评"数据资产清单"附件 |
5. 报送重要数据目录 | 按照要求的频度和格式向主管部门报送重要数据目录(格式详见附录B) | 报送回执、主管部门确认文件 | 等保测评现场需查验报送凭证 |
6. 动态更新管理 | 定期复核数据资源和数据分类分级情况;及时更新清单和目录;重大变化(30%以上)应及时重新报送 | 更新记录、版本控制文档 | 等保测评"变更管理"延伸 |
★ 流程衔接要点:数据分类分级结果应与等保2.0测评的"系统定级""资产识别""安全保护措施"等环节深度衔接。处理重要数据的系统应至少定级为第三级,处理核心数据的系统应至少定级为第四级,这与GA/T 2380-2026《数据安全基本要求》中的定级规则完全一致。
六、与上位法及相关标准的衔接关系
(一)上位法依据体系
《指南》依据"三法一条例一规定"制定,形成完整的法律授权链条:
上位法 | 核心条款 | 与《指南》关联 |
《网络安全法》 | 第二十一条:数据分类分级保护制度 | 《指南》承接数据分类分级保护义务 |
《数据安全法》 | 第二十一条:国家建立数据分类分级保护制度 | 《指南》落实分类分级制度在金融信息服务领域的具体应用 |
《个人信息保护法》 | 第四条、四十一条:个人信息处理规则与跨境 | 用户数据分类分级与个人信息保护衔接 |
《网络数据安全管理条例》 | 第二十九条:重要数据具体目录 | 《指南》明确重要数据目录报送格式(附录B) |
《金融信息服务管理规定》 | 第三条:金融信息服务定义 | 《指南》"金融信息服务"术语直接引用 |
(二)相关国家与行业标准
《指南》与现有标准形成"国家基础标准 → 金融行业标准 → 金融信息服务专项指南"的三层标准体系:
标准/文件 | 发布机构 | 与《指南》关系 | 适用情形 |
GB/T 43697-2024《数据安全技术 数据分类分级规则》 | 国家市场监督管理总局、国家标准化管理委员会 | 《指南》直接参照的国家基础标准 | 所有行业数据分类分级的总纲 |
GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》 | 国家标准化管理委员会 | 用户数据中敏感个人信息识别参考 | 用户数据中生物特征等敏感信息识别 |
JR/T 0197-2020《金融数据安全 数据安全分级指南》 | 中国人民银行 | 银行业、保险业等传统金融机构适用 | 银行业、保险业数据分类分级 |
JR/T 0158-2018《证券期货业数据分类分级指引》 | 中国证券监督管理委员会 | 证券、基金、期货行业适用 | 证券公司、期货公司数据分类分级 |
JR/T 0171-2020《个人金融信息保护技术规范》 | 中国人民银行 | 个人金融信息保护专项 | 个人金融信息分类分级与保护 |
《银行保险机构数据安全管理办法》(金规〔2024〕24号) | 国家金融监督管理总局 | 银行保险机构数据安全管理 | 银行、保险、理财公司等 |
《中国人民银行业务领域数据安全管理办法》(人民银行令〔2025〕第3号) | 中国人民银行 | 银行业务领域数据安全 | 银行业务系统数据安全管理 |
GA/T 2380-2026《信息安全技术 网络安全等级保护数据安全基本要求》 | 公安部 | 等保数据安全扩展要求 | 等保测评中数据安全测评 |
《国家网络安全事件报告管理办法》(2025年) | 国家网信办 | 网络安全事件报告 | 数据安全事件分级报告 |
★ 适用边界判定:
• 银行业、保险业、证券业、基金业、期货业等持牌金融机构 → 优先适用JR/T 0197-2020、JR/T 0158-2018等行业标准;
• 金融信息服务机构(信息中介、数据服务商、研究咨询机构、智能投顾、第三方资讯平台等非持牌金融信息服务提供者)→ 适用本《指南》;
• 同时涉及两类业务的主体 → 应当并行适用,以"就高从严"原则执行。
七、金融行业专项合规要点与实操指南
《指南》作为金融信息服务领域的数据分类分级专项指引,对银行业、证券基金期货业、支付清算、征信、金融基础设施等子行业均有重要指导意义。结合各子行业现有监管要求,形成以下专项合规要点。
(一)银行业
监管要求:银行业数据分类分级除遵循本《指南》外,还需遵循JR/T 0197-2020、《银行保险机构数据安全管理办法》(金规〔2024〕24号)等专项要求。
银行业务场景 | 主要数据类型 | 分级建议 | 保护措施 |
个人金融信息 | 账户、交易、征信、生物特征 | 敏感一般数据→ 重要数据 | SM4加密存储、双人授权、动态脱敏 |
信贷数据 | 贷款申请、审批、合同、还款 | 敏感一般数据 | 字段级加密、操作留痕、用途限制 |
客户身份信息 | 身份证号、银行卡号、手机号 | 敏感一般数据 | Luhn校验、加密传输、存储脱敏 |
金融监管报送数据 | 1104报表、EAST数据 | 重要数据 | 专线传输、完整性校验、长期归档 |
风险监测数据 | 反洗钱、可疑交易 | 重要数据 | 独立存储、审计追溯、报告留痕 |
(二)证券基金期货业
监管要求:证券基金期货业除适用本《指南》外,还需遵循JR/T 0158-2018《证券期货业数据分类分级指引》。
业务场景 | 主要数据类型 | 分级建议 | 保护措施 |
实时行情数据 | 股票/期货/期权实时价格、成交数据 | 敏感一般数据(重要程度高) | 专线传输、防篡改签名、版权保护 |
交易数据 | 委托、成交、持仓、资金 | 重要数据 | 商用密码加密、独立审计、最小授权 |
研究报告 | 研报、内参、投资观点 | 敏感一般数据 | 作者水印、访问控制、外发审批 |
投资者信息 | 投资者身份、资产、交易偏好 | 敏感一般数据 | 个人信息保护合规、用途限定 |
上市公司信息 | 未公开重大信息、内幕信息 | 核心数据(涉嫌) | 内幕信息知情人管理、信息隔离墙 |
(三)支付清算与征信
业务场景 | 主要数据类型 | 分级建议 | 保护措施 |
支付交易数据 | 银行卡号、交易金额、收款方 | 重要数据 | PCI DSS合规、端到端加密、令牌化 |
清算结算数据 | 资金清算、对账数据 | 重要数据 | 数据完整性校验、独立审计、长期归档 |
征信数据 | 个人/企业信用信息、信贷记录 | 核心数据(个人征信)/ 重要数据(企业征信) | 《征信业管理条例》专项合规、查询留痕 |
数字人民币 | 数字钱包、交易流水 | 核心数据 | 人民银行专项监管、密码模块国密 |
(四)金融基础设施
金融基础设施(含证券登记结算、银行间市场、外汇交易中心、跨境支付系统等)的数据多为重要数据甚至核心数据。
基础设施 | 数据类型 | 分级建议 | 保护措施 |
证券登记结算 | 证券账户、清算数据 | 核心数据 | 专用机房、商用密码、独立审计 |
银行间市场 | 交易数据、债券登记 | 重要数据→ 核心数据 | 数据完整性、访问隔离、备份容灾 |
外汇交易中心 | 汇率、交易数据 | 重要数据 | 实时监控、异常预警、跨境合规 |
跨境支付系统 | 跨境汇款、外汇申报 | 重要数据 | 跨境数据安全评估、外汇管理合规 |
(五)金融信息服务机构专项
针对金融信息服务机构(金融信息聚合平台、研究咨询机构、智能投顾、第三方资讯平台等),本《指南》是直接适用的核心规范。
专项合规要点:
1. 数据来源合规:明确数据采集授权,确保符合《个人信息保护法》"告知-同意"要求;
2. 重要数据识别:覆盖度、精度高于官方发布且反映省级以上情况的行业数据,可能构成重要数据;
3. 涉及人民币的外汇数据:至少为敏感一般数据;
4. 期货实时价格、成交量、成交额等反映市场活跃度的数据:建议识别为敏感一般数据并加强保护;
5. 重要数据目录报送:按附录B模板向网信办及行业主管部门报送;
6. 动态更新机制:建立定期复核(建议至少每季度),重大变化(30%以上)及时重新报送。
八、其他重点行业对接(医疗、电信、电商、教育、政务)
《指南》虽为金融信息服务领域专项,但其"3-9-67"分类框架和"四级"分级方法论对其他重点行业的数据分类分级工作具有重要借鉴价值。本节梳理医疗、电信、电商、教育、政务五大重点行业的对接要点。
(一)医疗卫生行业
行业场景 | 对接要点 | 等保定级建议 |
医院信息系统 | 用户数据可借鉴"个人用户数据"分类;电子病历按"敏感一般数据"起步 | 三级等保(核心系统) |
医疗数据共享 | 重要数据识别可参考"覆盖度、精度"要素;跨机构共享需评估 | 三级等保+数据安全评估 |
互联网医疗 | 用户数据中包含健康生理信息、生物特征 | 敏感一般数据+重要数据 |
基因检测 | 数据精度高、覆盖度大、不可更改 | 核心数据 |
医保数据 | 涉及基本民生、覆盖广 | 重要数据 |
(二)电信行业
行业场景 | 对接要点 | 等保定级建议 |
运营商数据 | 用户数据可借鉴分类;通话记录、位置轨迹参照"敏感一般数据" | 三级等保 |
5G专网 | 工业互联网数据可借鉴"业务数据"分类 | 三级/四级等保 |
短信彩信 | 内容数据参照"敏感一般数据" | 敏感一般数据 |
用户身份认证 | 实名认证数据、生物特征 | 重要数据 |
电信网络诈骗治理 | 涉及大量个人金融信息、位置数据 | 敏感一般数据+重要数据 |
(三)电商行业
行业场景 | 对接要点 | 等保定级建议 |
电商平台 | 交易数据、订单数据按"敏感一般数据"保护 | 三级等保 |
支付数据 | 参照金融行业"敏感一般数据"+"重要数据" | 重要数据 |
用户画像 | 自动化决策合规、个人信息保护 | 敏感一般数据 |
物流信息 | 涉及个人位置、行为轨迹 | 敏感一般数据 |
平台商户数据 | 组织机构数据保护 | 敏感一般数据 |
(四)教育行业
行业场景 | 对接要点 | 等保定级建议 |
学生信息 | 学生身份、成绩、健康、家庭情况 | 敏感一般数据(包含未成年人) |
校园一卡通 | 消费数据、位置数据 | 敏感一般数据 |
在线教育 | 学习行为、生物特征、未成年人信息 | 敏感一般数据 + 重要数据(涉及未成年人群体) |
教育考试 | 试题、考生信息、考试成绩 | 重要数据(涉及国家教育考试) |
教育科研 | 科研数据、学术成果 | 敏感一般数据 |
(五)政务行业
行业场景 | 对接要点 | 等保定级建议 |
政务大数据 | 业务数据可借鉴"业务数据"分类 | 三级/四级等保 |
人口基础数据 | 覆盖度大、精度高、敏感性强 | 核心数据 |
政务服务数据 | 组织机构数据、用户数据 | 敏感一般数据 |
城市运行数据 | 物联网、视频监控 | 重要数据 |
政务公开数据 | 已公开的政务信息 | 常规一般数据 |
★ 行业对接总原则:
1. 借鉴《指南》"业务属性分类"思路,按行业业务特点细化分类;
2. 借鉴"四级分级"框架,将行业数据按"核心—重要—敏感一般—常规一般"四级划分;
3. 借鉴"五大分级要素"(覆盖度、时间跨度、精度、公开状态、地域)开展重要数据识别;
4. 借鉴"就高从严"原则确定数据集级别;
5. 借鉴"动态更新"机制,建立定期复核(建议至少每季度)和重大变化重新报送机制。
九、等保测评报告评审规则库补充建议
《指南》的发布实施为等保测评报告评审系统带来新的评审规则补充需求。结合已构建的"等保测评报告评审规则库(2025版)"框架(8大类:R-STR/R-FMT/R-VAL/R-CON/R-REC★/R-JDG★/R-RSK等),建议新增以下评审规则:
(一)结构类规则新增(R-STR)
规则编号 | 规则名称 | 适用情形 | 扣分项 |
R-STR-FIN-001 | 金融信息服务系统数据分类清单缺失 | 金融信息服务机构的等保测评报告 | 5分 |
R-STR-FIN-002 | 数据分级清单未按四级框架呈现 | 涉及重要数据或敏感一般数据的系统 | 3分 |
R-STR-FIN-003 | 重要数据目录未在测评报告中体现 | 处理重要数据的系统 | 5分 |
R-STR-FIN-004 | 数据分类分级流程未在测评方案中描述 | 所有金融信息服务系统 | 3分 |
(二)格式类规则新增(R-FMT)
规则编号 | 规则名称 | 适用情形 | 扣分项 |
R-FMT-FIN-001 | 三级分类67类未按附录A完整呈现 | 金融信息服务系统 | 3分 |
R-FMT-FIN-002 | 数据分级参考最低级别未在报告中标注 | 所有金融数据分级 | 2分 |
R-FMT-FIN-003 | 重要数据目录未按附录B模板格式呈现 | 处理重要数据的系统 | 3分 |
R-FMT-FIN-004 | 数据动态更新记录缺失 | 所有金融数据分级 | 2分 |
(三)赋值与判定类规则新增(R-VAL/R-JDG★)
规则编号 | 规则名称 | 适用情形 | 判定结果 |
R-VAL-FIN-001 | 处理重要数据系统未按三级等保定级 | 金融信息服务系统 | 建议升级定级 |
R-VAL-FIN-002 | 处理核心数据系统未按四级等保定级 | 金融信息服务系统 | 建议升级定级 |
R-JDG-FIN-001★ | 敏感一般数据未按敏感字段加密保护 | 所有金融数据系统 | 降低测评结论 |
R-JDG-FIN-002★ | 重要数据未做风险评估与重点保护 | 处理重要数据系统 | 降低测评结论 |
R-JDG-FIN-003★ | 用户生物特征识别信息未按重要数据保护 | 含人脸/指纹/声纹的系统 | 降低测评结论 |
(四)内容类规则新增(R-CON)
规则编号 | 规则名称 | 适用情形 | 扣分项 |
R-CON-FIN-001 | 数据资源梳理过程描述缺失 | 金融信息服务系统 | 3分 |
R-CON-FIN-002 | 数据分类分级实施步骤未完整记录 | 金融信息服务系统 | 3分 |
R-CON-FIN-003 | 重要数据识别分析过程未在测评中验证 | 处理重要数据系统 | 5分 |
R-CON-FIN-004 | 数据安全事件应急预案未涉及分类分级响应 | 金融数据系统 | 3分 |
R-CON-FIN-005 | 数据出境合规性未与分类分级挂钩 | 跨境金融信息服务 | 5分 |
(五)风险类规则新增(R-RSK)
规则编号 | 规则名称 | 风险级别 | 风险描述 |
R-RSK-FIN-001 | 重要数据未向网信办及行业主管部门报送目录 | 高风险 | 违反《数据安全法》《网络数据安全管理条例》 |
R-RSK-FIN-002 | 数据动态更新机制缺失导致分级失效 | 中风险 | 影响数据安全保护措施精准性 |
R-RSK-FIN-003 | 数据集级别未按"就高从严"确定 | 高风险 | 可能造成重要数据降级保护 |
R-RSK-FIN-004 | 金融信息服务数据与国家秘密、军事数据混同 | 极高风险 | 违反保密法规,可能被降级到"不符合" |
★ 评审规则使用建议:
1. 新增规则纳入评审系统前,应先与现有规则库(8大类)进行编号、归属、优先级统一校验;
2. 带★的核心判定规则应与测评结论(符合/基本符合/不符合)联动;
3. 建议建立"标准更新触发评审规则更新"机制,《指南》后续修订时同步迭代评审规则;
4. 评审规则应同时支持金融信息服务系统和其他借鉴行业的差异化应用。
十、附录与自查清单
附录A:金融信息服务数据分类分级自查清单(20项)
序号 | 自查项 | 是/否 | 依据 |
1 | 是否已明确本单位属于"金融信息服务提供者"范畴 | □是 □否 | 《指南》第2条 |
2 | 是否已建立数据分类分级保护制度 | □是 □否 | 《数据安全法》第21条 |
3 | 是否已对数据资源进行全面梳理并形成清单 | □是 □否 | 《指南》6.a |
4 | 数据分类是否完整覆盖3个一级、9个二级、67个三级类别 | □是 □否 | 《指南》第4条 |
5 | 是否已对所有数据进行四级分级(核心/重要/敏感一般/常规一般) | □是 □否 | 《指南》第5条 |
6 | 是否已建立数据分级要素(覆盖度、时间跨度、精度、公开状态、地域)评估机制 | □是 □否 | 《指南》5.2 |
7 | 数据集级别是否按"就高从严"原则确定 | □是 □否 | 《指南》5.5 |
8 | 是否已识别并标注重要数据 | □是 □否 | 《指南》5.1 |
9 | 是否已按附录B模板编制重要数据目录 | □是 □否 | 《指南》附录B |
10 | 是否已向网信办及行业主管部门报送重要数据目录 | □是 □否 | 《网络数据安全管理条例》第29条 |
11 | 是否已建立数据分类分级清单和重要数据目录的动态更新机制 | □是 □否 | 《指南》6.f |
12 | 是否已设定定期复核周期(建议每季度) | □是 □否 | 《指南》5.6 |
13 | 是否已定义重大变化(30%以上)的重新报送触发条件 | □是 □否 | 《指南》6.f |
14 | 用户数据中生物特征识别信息是否已按重要数据保护 | □是 □否 | 《指南》附录A |
15 | 涉及人民币的外汇数据是否已识别为敏感一般数据 | □是 □否 | 《指南》附录A |
16 | 业务数据中覆盖度精度高于官方的行业数据是否已识别为重要数据 | □是 □否 | 《指南》附录A |
17 | 期货实时价格、成交量、成交额等市场活跃度数据是否已识别为敏感一般数据 | □是 □否 | 《指南》附录A |
18 | 是否已建立分类分级与等保定级、系统安全保护措施的联动机制 | □是 □否 | GA/T 2380-2026 |
19 | 是否已与JR/T 0197-2020、JR/T 0158-2018等其他行业标准并行适用进行查重 | □是 □否 | 《指南》第2条 |
20 | 是否已建立数据分类分级工作的组织架构与责任分工 | □是 □否 | 《数据安全法》第27条 |
附录B:术语与缩略语表
术语/缩略语 | 全称/解释 |
金融信息服务 | 向从事金融分析、金融交易、金融决策或者其他金融活动的用户提供可能影响金融市场的信息和/或金融数据的服务 |
金融信息服务提供者 | 从事金融信息服务的法人、非法人组织(不含国家机关和具有管理公共事务职能的组织) |
重要数据 | 特定领域、群体、区域或达到一定精度和规模,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据 |
核心数据 | 对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,可能直接影响政治安全的重要数据 |
敏感一般数据 | 对经济运行、社会稳定、公共利益有一定影响,或对组织自身/公民个体造成重要影响的数据 |
常规一般数据 | 核心数据、重要数据、敏感一般数据之外的其他数据 |
GB/T 43697-2024 | 《数据安全技术数据分类分级规则》——国家数据分类分级基础标准 |
JR/T 0197-2020 | 《金融数据安全数据安全分级指南》——人民银行发布,银行业保险业适用 |
JR/T 0158-2018 | 《证券期货业数据分类分级指引》——证监会发布,证券基金期货业适用 |
JR/T 0171-2020 | 《个人金融信息保护技术规范》——人民银行发布,个人金融信息保护专项 |
GA/T 2380-2026 | 《信息安全技术网络安全等级保护数据安全基本要求》——等保数据安全扩展要求 |
金规〔2024〕24号 | 《银行保险机构数据安全管理办法》——国家金融监督管理总局发布 |
附录C:参考资料
[1] 国家互联网信息办公室等. 《金融信息服务数据分类分级指南》(国信办通字〔2026〕2号), 2026-06-08.
[2] 国家互联网信息办公室. 《〈金融信息服务数据分类分级指南〉答记者问》, 2026-06-13. https://www.cac.gov.cn/2026-06/13/c_1783104511414074.htm
[3] 中华人民共和国全国人民代表大会常务委员会. 《中华人民共和国数据安全法》, 2021-06-10.
[4] 国家市场监督管理总局, 国家标准化管理委员会. GB/T 43697-2024《数据安全技术 数据分类分级规则》.
[5] 中国人民银行. JR/T 0197-2020《金融数据安全 数据安全分级指南》.
[6] 中国证券监督管理委员会. JR/T 0158-2018《证券期货业数据分类分级指引》.
[7] 国家金融监督管理总局. 《银行保险机构数据安全管理办法》(金规〔2024〕24号).
[8] 中华人民共和国国家互联网信息办公室. 《金融信息服务管理规定》.
[9] 中华人民共和国国务院. 《网络数据安全管理条例》.
[10] 公安部. GA/T 2380-2026《信息安全技术 网络安全等级保护数据安全基本要求》.
本报告基于国信办通字〔2026〕2号文件及2026年6月13日网信办答记者问等官方资料整理。#金融信息服务#数据分类分级指南#金融信息服务数据分类分级指南
来源:98阳光小老虎