对金融信息服务提供者而言，《指南》构建的一级3类、二级9类、三级67类数据分类体系，以及“核心数据—重要数据—敏感一般数据—常规一般数据”的四级数据分级框架，是企业开展重要数据识别、建立重要数据目录和履行报送义务的直接依据。对尚无行业专门标准的其他相关行业而言，《指南》所确立的判定逻辑同样具有重要参考价值。

本文旨在对《指南》的核心内容进行系统梳理，重点解析其数据定级逻辑与实务影响，并就企业的合规落地路径提出具体建议，供相关企业参考。

一、《金融信息服务数据分类分级指南》概览

（一） 《指南》的性质

自《数据安全法》从法律层面正式确立数据分类分级保护制度以来，各行业主管部门及相关机构陆续以规范性文件或标准文件的形式，制定本行业领域的数据分类分级规则或指引。金融行业亦不例外。尽管此前相关部门或机构已制定一系列国家或行业标准[1]，为从事金融业务的企业开展数据分类分级工作提供了一定的参考依据，但上述标准总体上仅具有推荐性或参考性效力，在实践层面难以有效约束企业行为，由此导致企业在开展金融数据分类分级工作时普遍面临分类口径不统一、操作流程不明确、数据目录不完善等实际问题，金融数据的分类分级保护要求难以得到全面落实。

《指南》正是在上述背景下出台的。其以《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等上位法律法规为制定依据，综合考量金融信息服务行业的数据治理现状、特点及监管实践需求，由国家相关主管部门组织制定，是金融信息服务企业现阶段开展数据分类分级工作重要的参考依据。

在数据分类体系的构建上，《指南》整体参照推荐性国家标准《数据安全技术 数据分类分级规则（GB/T43697-2024）》（以下简称《数据分类分级规则》）确定的“先行业领域分类、再业务属性分类”的数据分类思路，并在此基础上依据数据所描述的对象，对金融信息服务数据进行精细化细分：一级分类设业务数据、用户数据和企业数据三类，分别对应金融信息服务企业的产品供给侧、两类客户群体及企业自身运营管理活动；在此之上，进一步细分为二级分类9类、三级分类67类，从而形成覆盖金融信息服务全业务场景的立体化数据分类体系。

上述精细化分类体系的实践价值在于：它将抽象的数据治理目标转化为可直接对应金融信息服务企业日常经营活动的具体数据类别/场景，显著提升了数据分类工作的可操作性。金融信息服务企业可以现有业务模块为基本单元，逐项对照《指南》划定的数据类别进行映射与标注，进而系统构建企业内部的数据分类目录。

就合规义务层面而言，《数据分类分级规则》第7.2条明确“如行业领域主管部门已制定行业领域数据分类分级规则，处理者应结合自身实际参考本文件的数据分类分级方法，按照行业领域数据分类分级规则细化执行”。据此，金融信息服务企业作为数据处理者，应当依照《指南》的要求开展数据分类分级工作，并针对不同类别、不同级别的金融信息服务数据采取相应的差异化保护措施，以履行数据处理者的合规义务。

（二） 《指南》的适用对象

根据《金融信息服务管理规定》第二条第二款，以及《指南》第2条和第3条，《指南》的适用对象为在中国境内从事金融信息服务的金融信息服务提供者。基于此，某一实体同时满足以下三个核心要件，其即落入《指南》的适用范畴，应按照《指南》开展数据分类分级和重要数据识别工作：

• 提供的服务内容为可能影响金融市场的信息和/或金融数据，常见服务类型包括但不限于金融资讯、金融数据分析、金融行情监测、金融行业研报、金融数据交互等；

  
  

• 服务面向的对象为金融市场参与者，即从事金融分析、金融交易、金融决策或者其他金融活动的用户；

  
  

• 实体性质为法人或非法人组织，不包括国家机关和法律、法规授权的具有管理公共事务职能的组织。

值得探讨的是，除传统意义上以提供金融信息为主营业务的信息服务类企业（例如，同花顺、Wind、东方财富等）外，对于其他提供企业或产业资讯、研报等信息的企业（例如，企查查、天眼查等企业综合信息服务提供者，或者特定产业领域资讯服务提供者），若所提供的资讯或研报中既包含特定金融信息也包含其他类型的信息，是否同样需要适用《指南》的规定？

根据《金融信息服务管理规定》和《指南》中关于金融信息服务的定义，并结合国家网信办于2021年7月发布的《关于开展境内金融信息服务报备工作的通知》以及推荐性国家标准《信息安全技术 金融信息服务安全规范（GB/T36618-2018）》，我国目前针对金融信息服务的规制，主要限定在面向金融市场的专业机构或投资者等金融市场参与主体提供金融资讯和/或金融数据的企业，且与通讯社服务、互联网新闻信息服务、征信业务服务等相区别。因此，对前述企业之外的信息服务提供者，即使其在业务开展过程中提供的信息可能包含特定金融信息，但因该等提供者并非专门面向金融市场参与者，且不具有可能影响金融市场的实质功能，则其不属于《指南》所强制规范的对象。

二、重要数据判定新思路与行业外延影响

相较于数据分类体系的细化完善，《指南》中关于重要数据的识别规则更具突破性与行业针对性。结合《数据分类分级规则》确立的通用数据分级框架，《指南》针对金融信息服务行业的两类数据——行业指标数据与用户类数据，分别设置了差异化的重要数据认定逻辑。

（一） 行业指标数据维度：适用“精度超越+地域覆盖”的复合逻辑

1. 已公开数据并非不属于重要数据

根据《指南》第5条确立的数据分级框架，数据级别需结合分级要素、影响对象与影响程度综合判定。其中，《指南》将数据的覆盖度、时间跨度、精度高于有关部门公开发布的内容（包括历史上曾公开的内容）且能够反映省级行政区及以上范围情况的行业指标数据，直接划定为重要数据。数据集级别则按照就高从严原则，以其所含数据项的最高级别为准。前述认定规则的意义在于，其突破了此前普遍存在的“已公开数据当不属于重要数据”的认知：即便数据的原始来源为官方公开渠道，甚至历史上曾对外公布，但只要企业通过深加工提升了数据精度、拓展了覆盖范围，仍存在被认定为重要数据的可能。

为便于直观对照，现将《指南》附录A中涉及行业指标类数据的重要数据判定标准汇总如下：

点击可查看大图

2. 对金融信息服务提供者的合规影响

其一，不能当然适用数据跨境流动的豁免情形。根据《促进和规范数据跨境流动规定》第二条的规定，“未被相关部门、地区告知或者公开发布为重要数据的，数据处理者不需要作为重要数据申报数据出境安全评估”。《指南》作为金融信息服务行业已公开发布的专项数据分类分级文件，明确划定了重要数据的识别标准与参考范围，其应当作为金融信息服务行业重要数据认定的公开依据。基于此，金融信息服务提供者在开展数据出境等活动时，应首先依照《指南》规则主动识别重要数据，再进行豁免适用分析。

其二，核心业务场景的合规风险显著上升。行业研究报告、大宗商品深度行情数据、细分行业产业链供需分析，均属于金融信息服务机构的核心商业产品。此类数据产品以高于官方公开统计口径的精度和覆盖范围为核心商业价值——而这恰恰与《指南》重要数据认定的两项触发条件高度契合。换言之，金融信息服务机构赖以形成商业竞争优势的数据产品特征，在《指南》的认定逻辑下，正是其落入重要数据范畴的直接原因。

金融信息服务提供者可考虑对现有全部数据产品、历史发布内容进行全面梳理评估，并结合自身业务实际选择调整数据披露精度或缩小地域覆盖范围等整改方式，以有效缓解相关合规风险。

3. 监管趋势分析

《指南》确立的行业数据认定逻辑，虽仅直接适用于金融信息服务领域，但其背后体现的监管思路具备一定的跨行业参考意义，对于处理高价值行业数据的其他市场主体也具有相应的前瞻提示作用。

一方面，从我国数据监管的常规立法路径来看，通常采取细分行业先行试点、成熟规则逐步向全行业推广的模式。目前多数行业尚未发布专属的数据分类分级与重要数据识别规则，后续其他行业主管部门制定本领域标准时，不排除参考该等“精度超越+地域覆盖”的认定思路，此前“公开数据难以构成重要数据”的合规惯性认知可能逐步被修正。

另一方面，若企业自身业务涉及能源、汽车、医药、房地产、制造业等《指南》附录列明的22个行业的指标数据、研究报告、产业链数据、供需数据处理，即便不属于金融信息服务行业，也建议了解《指南》的认定逻辑，并可考虑提前参照重要数据的保护标准对相关数据进行内部管理，降低后续规则落地后的整改成本和合规风险。

（二） 用户数据维度：个人与机构双维度的量化趋严认定

1. 机构类用户数据的认定突破

在《指南》出台之前，无论是上位立法还是各地方、各行业已发布的重要数据识别规则，对于批量数据可能构成重要数据的认定基本围绕“个人信息”展开，对于B端机构用户的批量数据未作明确规制，众多主体也普遍形成了“B端机构数据风险难以构成重要数据”的惯性认知。《指南》首次构建了个人用户与机构用户并行的量化认定体系，且均设置了相对明确的数值阈值。

为便于直观对照，现将《指南》附录A中涉及用户类数据的重要数据判定标准摘录如下：

点击可查看大图

2. 对金融信息服务提供者的合规影响

其一，数据跨境合规需要优先重新考量。企业应当认识到《指南》在判断重要数据问题上的优先性和重要性。换言之，企业应首先依据《指南》对其是否持有重要数据进行认定，进而判断企业能否进入数据跨境流动机制/负面清单的“灵活区间”。

其二，认定标准整体严于现有规定。从纵向比较来看，《网络数据安全管理条例》以1000万人以上个人信息作为重要数据的一般性数量基准，而《指南》仅在个人用户基本信息一项沿用了同等量级的阈值，个人用户交易数据（100万人）、生物特征识别信息（10万人）及全部机构用户数据的认定门槛均低于上位法规定，整体管控口径明显趋严。

在此背景下，以B端业务为主的金融信息终端服务商、量化数据接口提供商、定制化研报机构等主体，其日常经营过程中积累的企业客户基本信息、机构持仓与交易订单数据，可能在未被充分关注的情况下触及数量阈值，重要数据的实际覆盖范围可能超出该类企业此前的预判。

其三，数据对外流转的合规义务需全面履行。相关数据集一旦被认定为重要数据，后续开展委托处理、对外提供、共同处理等活动时，均须严格履行《网络数据安全管理条例》第十二条、第三十一条规定的法定义务，包括事前开展数据安全风险评估、与合作方签订数据处理协议以及对合作方的数据处理活动实施持续监督等法定义务。

就实操层面，建议相关企业重点推进以下工作：一是对存量数据合作项目（尤其是涉及批量机构用户数据的合作）逐一开展合规排查，对照《指南》数量标准识别相关合作是否涉及重要数据；二是对于已识别涉及重要数据的合作，及时签订或修订数据处理协议，同步开展数据安全风险评估；三是建立对合作方数据处理活动的常态化核查监督机制。

上述工作宜尽早启动，避免在监管执法力度加强时面临被动整改的压力。

3. 对其他行业从业者的数据合规工作影响

《指南》针对个人用户与机构用户的数据确立双维度重要数据认定规则，一定程度上体现了重要数据监管向精细化方向发展的整体趋势，对其他行业的数据合规工作具备一定前瞻提示意义。

其一，监管关注范围正从单一的个人用户数据，向“个人用户+机构用户”双维度延伸。机构批量数据正逐步受到监管重视，市场中“机构基本信息属于低风险数据”的认知可能逐步修正。以B端业务为主的产业互联网平台、企业服务提供商、供应链数据服务商、工商信息查询平台等主体，可提前关注该监管趋势，调整“机构数据无合规风险”的固有认知。

其二，金融、能源、政务、医疗等强监管、高敏感行业，后续制定本行业数据分类分级规则时，不排除存在参考“双主体量化认定”思路的可能性（同步明确个人与机构两类用户数据的重要数据判定标准）。从监管逻辑角度分析，关键行业的批量机构数据泄露或滥用，同样可能对产业安全、经济运行造成系统性影响，存在纳入重要数据监管的可能性。建议相关行业的企业可提前梳理自身机构用户数据资产，初步建立分级管控机制，为后续规则落地预留调整空间，降低被动整改的成本。

三、合规提示

《指南》的发布，不仅是金融信息服务行业数据合规的重要节点，也为全行业企业完善数据分类分级体系提供了具有重要价值的参照标准。针对不同类型的主体，企业应当结合自身业务属性，采取差异化的合规落地策略，构建切实可行的数据分类分级与重要数据识别的工作流程，切实履行数据安全保护义务。

（一） 金融信息服务提供者：依托《指南》落地“六步走”实操SOP

对于金融信息服务提供者，《指南》提供了完整、细化的数据分类分级操作标准，相关金融信息服务提供者应当基于“三法两条例”的法定要求，以《指南》为制度建设与工作开展的核心依据，以《数据分类分级规则》为参照文件，建立和完善内部数据分类分级管理制度，并将以下“六大步骤”固化为企业内部SOP，实现数据分类分级工作的常态化、规范化运行。

第一步：资产梳理——形成数据资源清单

企业开展数据分类分级工作的首要前提是“摸清数据家底”。金融信息服务提供者应对自身所掌握的数据库表、数据项、数据文件等各类数据资源进行全面梳理，明确数据资源基本信息、描述对象、业务属性等，并形成数据资源清单。在这一阶段，金融信息服务提供者不仅需要梳理常见的结构化数据（例如，表格数据、交易数据、指标数据等），也需关注生产经营过程中产生的各类非结构化数据（例如，调研结果、分析报告、专家观点等），确保数据资源的全景式盘点。

第二步：数据分类——映射业务/用户/企业三级分类树

在建立数据资源清单的基础上，金融信息服务提供者可将梳理出的数据资源与《指南》确立的三级分类体系进行逐一映射，首先根据数据所描述的对象确定一级类别，其次根据数据所属的业务领域、数据主体等确定二级类别，最后再根据数据所涉及的行业条线、关键业务、管理和用途等确定三级类别。此外，金融信息服务提供者还可以通过参照《数据分类分级规则》列出的数据分类方法，交叉比对数据分类结果，确保数据分类的科学性与完整性，避免出现数据遗漏或分类有误。

第三步：识别要素——综合确定数据级别

金融信息服务提供者可以参考《数据分类分级规则》明确的数据分级方法，按照《指南》列出的分级要素进行要素识别，并结合数据分级要素识别情况比对《指南》中的“影响程度判定表”对影响对象和影响程度予以分析，最终综合确定数据级别。对于依据相关部门、地区数据分类分级标准规范识别为核心数据或重要数据的，或已被相关部门、地区告知或者公开发布为核心数据或重要数据的，或有关企业机构告知已被相关部门、地区认定为核心数据或重要数据的，金融信息服务提供者应将该等数据相应定为核心数据或重要数据。

第四步：确定结果——编制重要数据目录

在完成前述确定数据类别和数据级别的工作后，金融信息服务提供者应及时对数据分类分级判定结果予以复核，尤其是针对初步判定为核心数据或重要数据的数据资源，金融信息服务提供者应结合《数据安全法》《网络数据安全管理条例》对于核心数据和重要数据的定义，参照《数据分类分级规则》附录G的重要数据识别指南，再次比对《指南》中的数据级别判定标准及数量阈值，进行审慎核查，并在完成复核后形成数据分类分级清单和编制重要数据目录（如涉及）。对于经复核仍认为构成重要数据的，金融信息服务提供者应当按照下述第五步向主管部门报送重要数据目录，并依法履行重要数据的处理者的相关合规义务，包括但不限于《网络数据安全管理条例》项下规定的设立网络数据安全负责人与管理机构、提供或委托处理或共同处理前的风险评估、年度网络数据处理活动风险评估的开展与报送等。

第五步：报送备案——向主管部门履行报送义务

《指南》在附录B提供了重要数据目录报送模版，若金融信息服务提供者在数据分类分级工作开展后判定其涉及处理重要数据的，应按照相关法律法规及监管要求的频度和格式，使用该等模版向主管部门报送重要数据目录。

第六步：动态更新——触发“30%熔断指标”时重新报送

数据分类分级工作并非一劳永逸，而是需要根据数据的业务属性、重要程度和可能造成的危害程度变化进行动态更新和管理。金融信息服务提供者可以参照《数据分类分级规则》附录J中的动态更新情形，对已完成的数据分类分级定期复核并及时更新。值得相关企业注意的是，《指南》细化了核心数据和重要数据动态更新和重新报送的情形，即当核心数据和重要数据发生重大变化（如重要数据条目数量、存储总量等变化30%以上，或其他重要内容发生变化），金融信息服务提供者应当及时重新报送重要数据目录。

（二） 非金融信息服务提供者：提前适配重要数据的合规趋势

尽管《指南》的适用对象限定为金融信息服务提供者，其对非金融信息服务提供者不具有强制效力，但如前所述，《指南》中的部分内容，尤其是关于重要数据的识别与监管，仍具有重要的参考意义。基于此，针对非金融信息服务提供者，其可以根据自身业务实际情况参考《指南》着手开展如下合规动作：

1. 业务梳理与数据映射

鉴于部分非金融企业同样生产行业分析报告、产业链景气度数据、区域市场供需统计数据，业务模式和《指南》约束对象具有相似性，同时多数To B企业手握大规模机构用户数据集，该类企业可以考虑主动参考《指南》对于行业指标数据和用户数据的区分判定思路，提前自查相关自有数据集是否存在潜在重要数据风险，并进行全面、谨慎的判断。

2. 数据跨境严格前置重要数据识别

随着各行业逐渐细化本行业数据分类分级规则以及数据跨境负面清单等数据领域规范性文件的印发，数据跨境豁免规则的适用应当以重要数据的认定为前提。换言之，《指南》的数据分类分级标准，事实上已经内嵌为数据跨境豁免与负面清单体系的入场资格审查。因此，建议相关企业在数据跨境场景下前置开展重要数据识别工作，进而审慎适用重要数据豁免识别规则。

3. 密切关注行业及地方数据监管动态

即使企业所处行业暂未出台本行业的重要数据相关目录或数据分类分级规则，相关企业也需密切关注行业及地方监管部门在数据方面的监管动态，尤其涉及重要数据目录、数据分类分级规则、数据跨境负面清单等文件，并根据该等文件的出台或更新实时审视自身数据处理活动的合规性。

结 语

《指南》的出台，是我国数据安全监管体系从“框架迈向精细”的又一标志性节点。它既为金融信息服务提供者提供了数据分类分级与重要数据识别的直接操作依据，也以行业先行的方式为观察我国数据安全监管的细化路径与规则演进方向提供了具有参考价值的典型样本。

对金融信息服务提供者而言，合规窗口期有限，其宜尽早启动数据资产梳理与分级工作，重点评估行业指标数据产品线与用户数据集是否触及重要数据认定门槛，并同步完善数据处理协议、风险评估及对外流转的合规机制。

对尚无专属行业规则的其他数据密集型企业而言，《指南》所确立的“精度超越+省级覆盖”与“双主体数量门槛”两项认定逻辑，预示着重要数据认定标准的监管趋势。重要数据认定的“精细化”是数据安全监管的必然方向，企业与其等待，不如提前布局、主动适配。

[注]

[1] 例如，《证券期货业数据安全风险防控 数据分类分级指引（GB/T 42775-2023）》《金融数据安全 数据安全分级指南（JR/T 0197-2020）》《个人金融信息保护技术规范（JR/T 0171-2020）》等。