兼谈《金融信息服务数据分类分级指南（征求意见稿）》

金融信息服务数据监管的新范式

　　1月24日，国家互联网信息办公室发布《金融信息服务数据分类分级指南（征求意见稿）》（以下简称《指南》），公开征求意见。作为我国首部专门针对金融信息服务数据分类分级的规范性文件，《指南》不仅是对《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法的具体落实，更在数据要素市场化配置背景下，为金融数据的安全流通与价值释放提供了制度性框架。这标志着金融数据治理从“原则性约束”向“场景化精细管理”发展。

　　《指南》的制度创新

　　《指南》以《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》为上位法依据，并参照国家标准《数据安全技术 数据分类分级规则》（GB/T 43697—2024）制定而成，体现了层级分明、协调统一的立法技术。《指南》的制定将较为宽泛的数据安全原则转化为金融信息服务领域的具体规则。以数据安全法第二十一条关于建立数据分类分级保护制度的规范为例，该条仅作了原则性规定，未明确具体行业标准。而《指南》则通过“业务数据、用户数据、企业数据”的三级分类框架，以及“核心数据、重要数据、敏感一般数据、常规一般数据”的四级分级体系，细化了数据安全法第二十一条在金融信息服务场景的具体规则。

　　同时，《指南》体现了监管思路的重大转变。一是通过动态分级机制推动持续性合规，避免“一刀切”管理导致资源错配。二是明确影响数据分级的要素，包括覆盖度、时间跨度、精度。同时，引入量化评估维度，为数据定级提供客观标准，以减少执法随意性。三是突出“分类定边界，分级定保护”的逻辑。《指南》规定，核心数据需严格限制流通，而常规一般数据可鼓励共享。这在守住安全底线的同时，又通过差异化监管为数据要素流动释放空间。

　　《指南》适用对象为“金融信息服务提供者”，包括金融科技公司、信用评级机构等非持牌机构。这突破了传统金融监管聚焦持牌机构的局限，将整个金融产业生态纳入治理范围。从法律责任看，《指南》要求数据处理者履行数据分类分级、重要数据目录报送等义务，与个人信息保护法规定的“告知—同意”原则形成互补，构建了完整的个人信息责任体系。

　　分类分级规则对金融业的影响

　　以分级管理促进金融数据流通。长期以来，金融行业面临数据供需失衡问题。一方面，金融机构需要外部数据支撑风控与创新；另一方面，金融机构又因合规风险不敢或不愿进行数据共享。《指南》通过清晰界定数据级别，为数据流通提供了安全边界。它将金融信息服务数据划分为核心数据、重要数据、敏感一般数据和常规一般数据四个级别，针对不同级别设置差异化的管理要求和流通规则。对于“敏感一般数据”（如个人借贷信息），《指南》允许在符合个人信息保护法规定、进行有效脱敏后，用于业务优化与风控建模；对于“常规一般数据”（如公开的行业资讯、宏观经济指标），则鼓励在合规前提下跨机构、跨领域共享，以提升数据利用效率。实践中，分类分级使数据供需对接更具有可操作性。以地方政务数据在金融领域的应用为例，江西省吉安市通过整合税务、社保、水电等公共数据，形成企业信用画像，帮助银行缩短贷前调查时间。《指南》将这类区域性实践上升为全国性标准，统一数据分级标准，将有效推动形成“数据合规、流转高效、应用创新”的行业生态。

　　以标准化规则平衡合规成本与长期效益。短期看，《指南》的实施将会增加金融机构的初期合规投入，包括数据盘点、系统改造、人员培训等成本。但长远看，《指南》通过标准化规则降低了无序管理的隐性成本。以个贷不良处置行业为例，过去因数据滥用，而出现投诉量不断攀升、增加银行贷款业务交易成本等问题。而《指南》要求建立“重要数据全生命周期防护”，促使金融机构采用区块链存证、AI外呼等技术，实现合规与效率双赢。值得注意的是，《指南》未对技术路径作强制规定，以“监管中立”，为金融机构预留了创新空间。金融机构可根据自身情况选择隐私计算、联邦学习、可信执行环境等方案，在满足“可用不可见”要求的同时，探索数据价值释放的创新路径。

　　以金融数据安全支撑金融AI创新发展。《指南》将“核心数据”定义为“影响国家安全的数据”，并严格限制金融信息服务数据使用，通过分级促进金融机构信息服务数据合规共享，有利于我国逐步建立自主可控的金融AI语料库。核心数据因涉及国家安全，不得作为资产交易；常规一般数据可经评估后入表，从而进行交易流通，这形成了金融AI创新发展的底层支撑。需要注意的是，《指南》未来实施时可能面临两个问题：一是低级别数据汇聚后可能升级为重要数据，如何解决聚合效应导致的数据分级变化，值得关注。二是跨境数据流动场景中，《指南》与《数据出境安全评估办法》的衔接需进一步细化，避免规则上的“叠床架屋”。

　　完善建议与展望

　　尽管《指南》在理念与框架上具有显著的前瞻性，为金融数据治理开辟了新路径，但其从规则文本走向成熟实践，还有一些值得深入探讨与优化的空间。

　　在操作性层面，“重要数据”的认定标准有待进一步明晰与统一。当前，《指南》虽界定了重要数据的核心特征，但在具体执行中，仍依赖于各机构结合自身业务的“自评估”。“自评估”模式，可能导致不同机构对同类数据定级产生显著差异，甚至形成监管套利空间。建议国家网信办等监管部门，在《指南》正式施行后，会同行业自律组织，定期编制并发布覆盖不同业务场景的“重要数据”认定典型案例、指导目录。通过具体实例的示范，统一监管与行业的认知尺度，减少因理解偏差导致的合规不确定性。

　　在法治保障层面，应推动《指南》确立数据分级管理体系与司法的有效衔接机制。数据分级不仅是内部管理要求，更应成为界定法律责任的重要依据。在涉及个人金融信息侵权或信贷纠纷的诉讼中，金融机构如能证明其已严格按照《指南》对相关数据进行了恰当定级，并实施了相应级别的全生命周期保护措施，“分级记录”应可作为其已履行合理注意义务的有力证据。在《指南》实施过程中，可推动最高人民法院通过发布司法解释或典型案例的方式，对数据分级管理的法律效力予以明确认可，在司法层面强化《指南》的权威性。

　　制定《指南》是我国金融数据法治化进程的重要里程碑。它通过建立分类分级管理制度，以实现金融数据运用的安全与效率，既为市场主体提供安全指引，也为维护国家数字主权构筑法治防线。随着意见征集工作的推进和规则细则的不断完善，其有望成为金融数据要素市场化配置的制度基石，为我国参与全球数字竞争提供有力法治保障。

　　（作者单位：华东师范大学法学院）