近日，全國金融標準化委員會發布通告稱：《金融數據安全數據安全分級指南》（以下簡稱《指南》）經過草案稿、征求意見稿等階段，已形成標準送審稿。

《指南》（送審稿）也隨該通告同時發布。據移動支付網了解，在今年1月《指南》開始對外征求意見，《指南》（送審稿）共分為六個章節，分別是：范圍、規范性引用文件、術語和定義、目標原則和范圍、數據安全定級、重要數據識別。

《指南》詳細的說明了數據安全分級的原則、方法和流程，并在附件當中給出了《金融業機構典型數據定級規則參考表》。

數據安全共五級內含個人金融信息安全類別

《指南》表明，數據安全性遭到破壞后可能造成的影響是確定數據安全級別的重要判斷依據，其中主要考慮影響對象與影響程度兩個要素。

影響對象指金融業機構數據安全性遭受破壞后受到影響的對象，包括國家安全、公眾權益、個人隱私、企業合法權益等。影響程度指金融業機構數據安全性遭到破壞后所產生影響的大小，從高到低劃分為非常嚴重、嚴重、中等和輕微。

《指南》根據金融業機構數據安全性遭受破壞后的影響對象和所造成的影響程度，將數據安全級別從高到低劃分為5級、4級、3級、2級、1級。

值得注意的是，個人金融信息中的C3類信息屬于4級數據，C2類信息屬于3級信息，C1類信息屬于2級數據。參考《個人金融信息保護技術規范》中對于C3、C2、C1類信息的保護要求，可以大致猜測《指南》中對各級數據的保護要求。

當然，數據的安全級別并不是一成不變的。按照《指南》中的規則，如果進行數據匯聚，數據泄露所造成的影響必然會增大，相應的，數據安全等級要上升；如果進行脫敏，數據安全等級也會下降。

定級需經過判定、審核

在數據安全分級的過程中，除了分級依據，最受關注大約就是數據安全分級的定級流程問題。目前在《指南》送審稿中，金融數據安全定級過程包括數據資產梳理、數據安全定級準備、數據安全級別判定、數據安全級別審核及數據安全級別批準等五步。

《指南》送審稿中明確指出，數據安全分級工作的開展應具備組織和制度保障，應由本機構數據安全管理委員會統籌組織，設立并明確有關部門（或組織）及其職責，建立數據分級工作的相關制度，明確并落實相關工作要求。

《指南》送審稿雖然明確了定級工作的主要流程，但沒有明確相應的主管部門或審核機構，相信在后續定稿中會明確這一問題。

另外，數據級別變更應由數據的主管業務部門（或屬主部門）或數據安全管理部門發起，并按照數據定級流程實施。

《指南》還規定了定級應遵守的原則，分別是合法合規性原則、可執行性原則、時效性原則、自主性原則、差異性原則以及客觀性原則。

附錄B：《指南》中不可忽略的一部分

《指南》（送審稿）共有三個附錄，其中附錄B非常引人矚目。單從篇幅來說，《指南》（送審稿）共54頁，其中附錄B的內容占據了28頁，超過了全文的50%。

附錄B是一個表格：數據定級規則參考表，給出了金融業機構典型數據的定級規則參考。附錄B指出，實際應用過程中，各金融業機構應根據其所管轄數據的類型、特性、規模以及機構特性等因素，并綜合考慮本機構數據安全管理的總體目標和安全策略要求，按照一定的顆粒度對數據資產進行合理的梳理、歸類和細分，最終確定數據的安全級別劃分清單。

此外，金融業機構所承載重要數據的安全級別應不低于本標準中確定的5級。重要數據的識別、認定及保護工作，應依據國家及行業主管部門有關規定和要求執行。

附錄C指出，重要數據是指我國政府、企業、個人在境內收集、產生的不涉及國家秘密，但與國家安全、經濟發展以及公共利益密切相關的數據。

內容可包括宏觀特征數據、海量信息匯聚得到的衍生特征數據、行業監管機構決策和執法過程中的數據，以及關鍵信息基礎設施網絡安全缺陷信息等。

金融業重要數據通常能夠反映與金融機構或政府財政職能范圍內的職責、交易或其他方面的相關信息，此類信息包括但不限于金融機構持有的客戶信息，如：

1、銀行業、保險業及證券期貨業各金融機構、非銀行支付機構以及為上述機構提供清算服務的特許清算機構在經營過程中收集或產生的數據；

2、金融業機構網絡與信息系統規劃建設、運行維護、安全保障等數據；

3、中央銀行、金融監管部門、外匯管理部門工作中產生的不涉及國家秘密的工作秘密等。

責任編輯：王煊