为指导金融信息服务机构开展数据分类分级和重要数据识别工作,提升金融信息服务数据安全水平,前不久,国家互联网信息办公室、中国人民银行、国家金融监督管理总局等六部门联合印发了《金融信息服务数据分类分级指南》(以下简称《指南》)。这不仅是筑牢金融信息服务数据安全屏障的重要举措,也是促进金融信息服务数据价值实现的必要前提,标志着我国金融数据治理正在迈向安全与价值并重的新阶段。
金融信息服务是金融市场价格发现、风险传导与资源配置的信息基础,其数据治理水平直接关系金融市场的整体运行效率与稳定性。长期以来,金融信息服务数据的法律定位缺乏明确界定,规制力度相对不足。随着金融信息服务领域数据规模不断扩大、流动日益频繁,这一问题亟待解决。《指南》通过体系化的分类分级规则,明确了金融信息服务数据“公共性”与“市场性”的双重属性,为数据价值合理分配提供有力保障,有助于改变传统模式下数据价值被平台垄断、广大数据贡献者难以共享收益的局面。
在数据分类方面,《指南》构建了“业务数据、用户数据、企业数据”3个一级分类,并在此基础上进一步细分形成二级分类9类、三级分类67类的精细体系。3类一级数据分别对应不同的价值贡献主体与权益属性,这为数据确权与权益划分提供了统一的制度坐标系。一是业务数据,对应机构的数据加工增值价值。这是金融信息服务机构通过采集、清洗、分析、建模形成的增值数据,是数据价值的核心载体。二是用户数据,对应个人信息权益与原始数据贡献价值。用户作为数据的源头提供者,是数据价值的最初创造者。分类体系进一步将用户数据细分为个人用户数据和机构用户数据,个人用户数据又细分为基本信息、交易数据、生物特征识别信息子类,为差异化利益分配提供了依据。三是企业数据,对应机构的经营管理权益与商业秘密属性。这类数据主要服务于机构自身运营,不直接参与市场化流通,分类体系据此明确了其保护边界与合规要求。
在数据分级层面,《指南》依据金融信息服务数据的重要程度和敏感程度,以及一旦遭到泄露、篡改、损毁或非法获取、使用、共享后的危害程度,构建了“核心数据、重要数据、敏感一般数据、常规一般数据”的四级体系,旨在精准划定流通边界,形成梯度运行的合规框架。其中,核心数据与重要数据具有强公共性与高风险性,严格限制市场化流通,主要服务于国家金融治理与公共利益;敏感一般数据具有一定市场价值与风险外部性,可在合规框架内通过隐私计算、数据脱敏等技术手段实现“可用不可见”的流通;常规一般数据风险外部性低、市场活力强,可依法依规自由流通。与此同时,《指南》明确了从数据资源梳理、分类分级判定,到形成清单、报送目录、动态更新的全流程管理要求,以确保制度设计有效落地。
这一全流程管理要求,也为理顺金融数据治理机制提供了重要契机。传统金融法体系以持牌金融机构为主要规制对象,金融信息服务作为金融市场的信息中介活动,长期处于分业监管的模糊地带,规则供给滞后于行业发展。《指南》以网信部门统筹数据治理、金融监管部门覆盖全业态、统计部门衔接经济数据口径的六部门协同模式,在一定程度上打破了数据监管与金融监管之间的部门壁垒,推进了统合治理。
应当看到,金融数据治理不是单一部门的职责,而是贯穿金融产业全链条的基础性工作。当前,我国正积极推动金融法制定工作,《指南》的出台可视为金融数据治理规则在行业层面的一次重要实践。在金融法制定过程中,有必要将金融信息服务纳入金融活动范畴统合规制,确立跨部门协同的数据治理机制,并将数据分类分级制度从行业指引稳步上升为法律制度,明确相关法定标准、主体责任与监管机制。
《指南》是数字金融法治建设的重要一步,但绝非终点。金融信息服务天然具有跨境属性,未来可基于分类分级结果,进一步完善金融数据跨境治理规则,探索构建梯度化的跨境数据流动机制。这既能有效保障国家金融安全,又能为全球数字金融治理贡献中国方案与中国原创理论,切实提升我国在数字金融规则制定中的话语权与国际影响力。
