摘要:2026年6月8日,国家网信办、人民银行、金融监管总局、证监会、国家统计局、外汇管理局六部门联合印发《金融信息服务数据分类分级指南》(国信办通字〔2026〕2号),这是金融信息服务领域首份系统性的数据分类分级国家标准。本文从政策背景、核心要点、行业影响和从业者建议四个维度进行解读,重点分析其与数据出境政策的联动效应,为银行业及金融信息服务机构提供实务参考。
一、政策背景:从"数据安全法"到行业落地
2021年《数据安全法》首次明确"国家建立数据分类分级保护制度,对数据实行分类分级保护",确立了数据安全治理的制度基石。2024年3月,GB/T 43697-2024《数据安全技术 数据分类分级规则》发布,为国家层面提供了分类分级的通用技术框架。
然而,在金融信息服务这一高敏感、高价值、高频流通的细分领域,数据分类口径长期不统一、数据目录碎片化问题突出。国家网信办数据与技术保障中心副主任王志成指出,部分金融信息服务提供者"不能精准区分数据重要程度与敏感等级,导致重要数据防护不足、一般数据管控过严,安全资源配置失衡"。
2026年6月8日,六部门联合印发《金融信息服务数据分类分级指南》(以下简称《指南》),正是为了填补这一空白。《指南》在国家"核心-重要-一般"三级框架基础上创新性地将"一般数据"细分为"敏感一般"和"常规一般"两级,形成金融信息服务领域的四级保护体系,为全行业建立了共同的数据安全管理语言和基准。
二、核心要点:三大创新维度
2.1 四级保护体系:从三级到四级的精细化跃迁

《指南》根据数据在经济社会发展中的重要程度和敏感程度,以及一旦遭到泄露、篡改、损毁或非法使用造成的危害程度,将数据从高到低分为四级:
级别 | 危害影响 | 典型数据示例 |
核心数据 | 直接影响政治安全 | 关系国家安全重点领域、国民经济命脉、重要民生、重大公共利益的数据 |
重要数据 | 直接危害国家安全、经济运行、社会稳定 | 特定领域/群体/区域/精度规模达到一定程度的数据 |
敏感一般数据 | 对经济运行/社会稳定/公共利益有一定影响,或对组织/个人造成重要影响 | 未公开的私募基金数据、涉及人民币的外汇数据 |
常规一般数据 | 影响范围有限,危害程度较低 | 股票数据、债券数据、常规基金数据 |
关键创新:在国家"核心-重要-一般"三级基础上,将"一般数据"细分为"敏感一般"和"常规一般"。中国电子技术标准化研究院副院长范科峰指出,这一创新"有利于解决笼统管理可能存在的保护不足或过度的问题,有助于优化数据安全保护管理资源配置、进一步提升保护效能"。
2.2 三级分类体系:67类数据的目录化资产管理
《指南》按照金融信息服务数据的业务属性进行分类,构建了清晰的三级分类框架:
• 一级分类(3类):业务数据、用户数据、企业数据
• 二级分类(9类):金融市场数据、宏观经济数据、组织机构数据、行业指标数据、资讯报告数据、个人用户数据、机构用户数据、经营管理数据、系统运维数据
• 三级分类(67类):细分为股票数据、债券数据、基金数据、外汇数据、商品数据、理财数据、国民经济核算、价格指数、贸易投资、个人基本信息、交易数据、生物特征识别信息、财务数据、结算管理数据、人力资源数据、市场营销数据、风险控制与监督数据、网络设备和信息系统配置数据、日志数据、安全监测数据、安全事件数据等
目录化资产管理:工业和信息化部电子第五研究所所长杨建军评价称,这种设计"便于金融信息服务提供者系统性地梳理自身数据资产,实现数据资源的目录化、资产化管理,为后续的安全管控、价值挖掘奠定了坚实基础"。
2.3 动态管理机制:从"静态定级"到"动态适配"
《指南》明确了数据分类分级的六大流程步骤:
1. 数据资源梳理:全面盘点数据资产
2. 数据分类:按业务属性归入三级分类体系
3. 数据分级:评估覆盖度、时间跨度、精度、公开状态、地域五大要素
4. 形成分类分级清单:建立数据目录
5. 报送重要数据目录:向监管部门申报
6. 动态更新管理:定期复核调整
这一机制打破了"一评定终身"的静态模式,实现了数据级别与业务场景、外部环境变化的动态适配,为数据生命周期管理提供了制度保障。
三、对行业的影响:从"安全"到"流通"的政策闭环

3.1 与数据出境政策的联动效应
2026年6月11日,广东自贸试验区数据出境负面清单首单在深圳前海落地,深圳征信服务有限公司成为首家依托该项制度实现数据便利合规出境的企业。
6月14日,《指南》的公开形成了一个"流通+安全"的政策闭环:
• 数据流通端破冰:广东自贸区负面清单(6月11日),明确跨境数据流通的便利化路径
• 数据安全端定标:六部门分类分级指南(6月14日),明确国内数据治理的统一标尺
这一政策组合拳释放了清晰信号:数据要素价值释放,需要"保护精准化"与"流通便利化"的双轮驱动。
3.2 对金融信息服务机构的直接影响
范科峰指出,《指南》为全行业建立了"共同的数据安全管理语言和基准,明确了不同级别数据的保护重点与流通规则"。对金融信息服务提供者而言,影响体现在三个层面:
影响维度 | 具体表现 | 业务价值 |
保护精准化 | 核心数据和重要数据严格保护,敏感一般和常规一般数据在保障基本安全前提下促进流动 | 降本增效,激活数据价值,提升核心竞争力 |
管理标准化 | 统一分类分级口径,告别"各行其是"的碎片化状态 | 与上下游合作伙伴建立共同语言,降低合规成本 |
资产化路径 | 数据目录化、清单化管理,为数据资产入表、定价、交易奠定基础 | 拓展数据变现渠道,探索数据质押、证券化等创新模式 |
3.3 对银行业的战略意义
虽然《指南》针对的是"金融信息服务提供者",但对银行业的金融数据治理具有重要的对标意义:
1. 治理框架可对标:银行可参照《指南》的三级分类体系,梳理自身数据资产,形成符合银行业特点的数据目录
2. 分级要素可参考:覆盖度、时间跨度、精度、公开状态、地域五大分级要素,为银行构建数据分级模型提供方法论
3. 跨境业务可联动:在跨境数据报送、跨境风控等场景,可结合自贸区负面清单制度,建立"出境前定级-出境时申报-出境后追溯"的合规闭环
四、从业者应对建议
4.1 金融信息服务机构:五步实施路径
步骤 | 关键动作 | 产出物 | 时间周期 |
1. 数据资产盘点 | 全量扫描数据源,识别数据血缘关系 | 数据资产清单 | 1-2个月 |
2. 分类分级实施 | 按《指南》三级分类归入,参考附录A示例定级 | 分类分级清单 | 2-3个月 |
3. 动态机制建立 | 建立定级复核、场景评估、变更管理流程 | 管理制度与工具 | 1-2个月 |
4. 重要数据申报 | 按监管要求报送重要数据目录 | 申报材料 | 按监管周期 |
5. 持续优化迭代 | 根据业务变化、政策更新调整分级结果 | 年度复核报告 | 年度 |
4.2 银行业:从"对标学习"到"特色创新"
银行业应避免直接照搬《指南》,而应结合自身业务特点构建差异化体系:
对标学习:
• 参考三级分类框架,梳理银行业数据类型(客户数据、账户数据、交易数据、风险数据、产品数据等)
• 借鉴分级要素体系,建立覆盖度、时间跨度、精度、公开状态、地域的评估模型
• 学习动态管理机制,打破"一评定终身"的静态模式
特色创新:
• 将DAMA数据治理框架与《指南》结合,形成"治理框架+分类分级"的双轮驱动
• 在CDGP考点实践中,强化数据分类分级相关的能力建设(如DAMA第7章数据安全、第13章数据质量)
• 探索数据资产入表、数据质押融资等创新场景,将数据治理成果转化为业务价值
4.3 监管与技术部门:配套服务能力建设
• 数据安全工具:支持分类分级标注、数据脱敏、访问控制、审计追踪的一体化平台
• 跨境数据管理:对接自贸区负面清单,实现"定级-申报-出境-追溯"的全流程管理
• 合规咨询:为中小企业提供分类分级评估、重要数据识别申报、跨境合规路径辅导
五、结语
《金融信息服务数据分类分级指南》的出台,标志着金融信息服务数据安全治理从"碎片化"迈向"标准化、实操化"的重要一步。六部门联合、四级保护体系、三级分类框架,共同构建起金融信息服务领域的数据治理"国家标尺"。
对于从业者而言,这不是一份需要被动遵守的"合规清单",而是一套可以主动运用的价值创造工具。通过分类分级,数据从"模糊的黑盒"变成"清晰的目录",从"静态的资源"变成"动态的资产",从"被动保护"变成"主动流通"。
可以预见,随着《指南》的落地见效,金融信息服务数据治理将形成"保护精准化+流通便利化+管理标准化"的新格局,为数据要素价值释放提供制度保障,为银行业数字化转型注入新动能。
往期推荐:
【技术解码】从人治到智治:AI Agent驱动的数据治理范式跃迁


