金融數(shù)據(jù)分類分級:舉一綱而萬目張

《法人》特約撰稿 董瀟 郭超 張玙詩

金融數(shù)據(jù)分類分級，是開展數(shù)據(jù)全生命周期管理的基礎。在金融行業(yè)領域，目前已出臺《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》（JR/T 0197—2020）（下稱“《金融數(shù)據(jù)分級指南》”）及《證券期貨業(yè)數(shù)據(jù)分類分級指引》（JR/T 0158—2018）（下稱“《證券期貨數(shù)據(jù)分級指引》”）、《個人金融信息保護技術規(guī)范》（JR/T 0171—2020）等行業(yè)標準，為金融業(yè)機構的數(shù)據(jù)資產分類分級提供了重要參考。

數(shù)據(jù)分類分級流程

《金融數(shù)據(jù)分級指南》適用于所有金融業(yè)機構開展的電子數(shù)據(jù)安全分級工作。依據(jù)《國民經濟行業(yè)分類》（GB/T 4754—2017），金融業(yè)包括貨幣金融服務（銀行、融資租賃、財務公司、典當、汽車金融公司、小貸公司、消費金融公司等）、資本市場服務（證券市場服務、證券投資基金、期貨市場服務、資本投資服務等）、保險業(yè)服務、其他金融業(yè)服務（信托、支付服務、金融信息服務、金融資產管理、貨幣經紀等），從事前述金融業(yè)相關機構應參照《金融數(shù)據(jù)分級指南》確立適當?shù)臄?shù)據(jù)安全分級制度。根據(jù)前述金融業(yè)分類標準，筆者理解金融業(yè)機構的范圍，不局限于銀行、保險公司等傳統(tǒng)金融持牌機構，典當行、融資租賃公司等地方類金融機構以及金融信息服務公司等服務機構，均有可能落入金融業(yè)機構的范圍，其收集、處理的金融數(shù)據(jù)原則上應參照《金融數(shù)據(jù)分級指南》進行分級分類管理。

同樣，根據(jù)《證券期貨數(shù)據(jù)分級指引》規(guī)定，該標準廣泛適用于證券期貨行業(yè)機構、相關專項業(yè)務服務機構、相關信息技術服務機構開展的數(shù)據(jù)分類分級工作；專項業(yè)務服務機構和信息技術服務機構在開展涉及證券期貨業(yè)相關數(shù)據(jù)的業(yè)務服務和技術服務時，也需參照《證券期貨數(shù)據(jù)分級指引》進行數(shù)據(jù)分類分級。需要注意的是，《金融數(shù)據(jù)分級指南》及《證券期貨數(shù)據(jù)分級指引》的適用對象均包括證券期貨業(yè)機構，由于《證券期貨數(shù)據(jù)分級指引》屬于行業(yè)特殊要求，因而證券期貨業(yè)機構應優(yōu)先遵循該指引，這也與《金融數(shù)據(jù)分級指南》亦規(guī)定一致，明確證券行業(yè)數(shù)據(jù)安全分級工作可參照《證券期貨數(shù)據(jù)分級指引》執(zhí)行。

資料圖片

金融業(yè)機構在開展金融數(shù)據(jù)分類分級之前，應先對自身數(shù)據(jù)資產進行全面梳理，形成統(tǒng)一的數(shù)據(jù)資產清單，在數(shù)據(jù)資產清單的基礎之上，開展分類分級工作。

參考《網(wǎng)絡安全標準實踐指南—網(wǎng)絡數(shù)據(jù)分類分級指引》（下稱“《網(wǎng)絡數(shù)據(jù)分類分級指引》”），數(shù)據(jù)分類具有多種視角和維度，常見的數(shù)據(jù)分類維度，包括但不限于公民個人維度、公共管理維度、信息傳播維度、行業(yè)領域維度和組織經營維度。

金融業(yè)機構在開展分類工作時，應識別是否存在法律法規(guī)或主管監(jiān)管部門有專門管理要求的數(shù)據(jù)類別，是否包括個人信息、公共信息、公開傳播信息，并根據(jù)相應數(shù)據(jù)類別特殊要求對該等數(shù)據(jù)類別進行分類分級保護。例如，金融業(yè)機構涉及處理客戶個人信息的，應按照《個人金融信息保護技術規(guī)范》的個人金融信息分級標準執(zhí)行。如果數(shù)據(jù)處理涉及多個行業(yè)領域，建議分別按照各行業(yè)的數(shù)據(jù)分類規(guī)則對數(shù)據(jù)類別進行標識。如果相關行業(yè)領域不存在行業(yè)數(shù)據(jù)分類規(guī)則，也可從組織經營維度結合自身數(shù)據(jù)管理和使用需要對數(shù)據(jù)進行分類。

按照數(shù)據(jù)安全法要求，根據(jù)數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，將數(shù)據(jù)從低到高分成一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)三個級別。其中，核心數(shù)據(jù)、重要數(shù)據(jù)的識別和劃分，按照國家和行業(yè)的核心數(shù)據(jù)目錄、重要數(shù)據(jù)目錄執(zhí)行。目前，金融行業(yè)尚未發(fā)布金融行業(yè)的重要數(shù)據(jù)具體目錄，而一般數(shù)據(jù)則應根據(jù)行業(yè)細分及數(shù)據(jù)類別相應參照《金融數(shù)據(jù)分級指南》《證券期貨數(shù)據(jù)分級指引》及《個人金融信息保護技術規(guī)范》的標準定級。

數(shù)據(jù)定級關鍵要素

數(shù)據(jù)定級需識別兩個關鍵要素，包括影響對象及影響程度。根據(jù)《金融數(shù)據(jù)分級指南》規(guī)定，影響對象指金融業(yè)機構數(shù)據(jù)安全性遭受破壞后受到影響的對象，包括國家安全、公眾權益、個人隱私及企業(yè)合法權益等。而影響程度指金融業(yè)機構數(shù)據(jù)安全性遭到破壞后所產生影響的大小，從高到低劃分為：（i）嚴重損害。（ii）一般損害。（iii）輕微損害。（iv）無損害。

根據(jù)《金融數(shù)據(jù)分級指南》，確定金融業(yè)機構數(shù)據(jù)安全性遭受破壞后的影響對象和所造成的影響程度后，可依據(jù)一定的定級規(guī)則，將數(shù)據(jù)安全級別從高到低劃分為5 個等級，各安全級別與影響對象、影響程度的對應關系如表一所示。

表一

表二

如前所述，在分類階段，如識別到金融業(yè)機構涉及處理個人金融信息的，應按照《個人金融信息保護技術規(guī)范》分級標準執(zhí)行；如果數(shù)據(jù)處理涉及其他行業(yè)領域的，宜分別按照各行業(yè)數(shù)據(jù)分類規(guī)則對數(shù)據(jù)類別進行標識。表二就《金融數(shù)據(jù)分級指南》提出的分級框架與《個人金融信息保護技術規(guī)范》及《網(wǎng)絡數(shù)據(jù)分類分級指引》級別劃分的對應關系進行對比總結，以資參考。

數(shù)據(jù)變化導致級別變更

《金融數(shù)據(jù)分級指南》在附錄A 提供了金融業(yè)機構典型數(shù)據(jù)定級規(guī)則參考表，《證券期貨數(shù)據(jù)分級指引》亦在附錄A.1 至A.7 分別給出行業(yè)會管單位、行業(yè)協(xié)會、證券期貨經營機構（包括證券公司、期貨公司、基金管理公司）的典型數(shù)據(jù)分類分級模板，供相關金融業(yè)機構參考。

需要注意的是，在實際應用過程中，金融業(yè)機構宜根據(jù)其所管轄數(shù)據(jù)的類型、特性、規(guī)模以及機構特性等因素，綜合考慮本機構數(shù)據(jù)安全管理的總體目標和安全策略要求，按照一定的顆粒度對數(shù)據(jù)資產進行合理的梳理、歸類和細分，最終形成本機構的數(shù)據(jù)資產分類分級清單。在批準實施相應清單之后，金融業(yè)機構應按照清單的分類分級對數(shù)據(jù)資產進行維護、管理和定期審核。

數(shù)據(jù)安全定級完成后，參考《網(wǎng)絡數(shù)據(jù)分類分級指引》，當以下情形出現(xiàn)時，金融業(yè)機構需要對相關數(shù)據(jù)的安全級別進行變更：

（1）數(shù)據(jù)內容發(fā)生變化，導致原有數(shù)據(jù)的安全級別不適用變化后的數(shù)據(jù)；

（2）數(shù)據(jù)內容未發(fā)生變化，但因數(shù)據(jù)時效性、數(shù)據(jù)規(guī)模、數(shù)據(jù)使用場景、數(shù)據(jù)加工處理方式等發(fā)生變化，導致原定的數(shù)據(jù)安全級別不再適用；

（3）多個原始數(shù)據(jù)直接合并，導致原有的安全級別不再適用合并后的數(shù)據(jù)；

（4）因對不同數(shù)據(jù)選取部分數(shù)據(jù)進行合并形成新數(shù)據(jù)，導致原有數(shù)據(jù)的安全級別不再適用合并后的數(shù)據(jù)；

（5）不同數(shù)據(jù)類型經匯聚融合形成新的數(shù)據(jù)類別，導致原有的數(shù)據(jù)級別不再適用于匯聚融合后的數(shù)據(jù)；

（6）因國家或行業(yè)主管部門要求，導致原定的數(shù)據(jù)級別不再適用。

（7）需要對數(shù)據(jù)安全級別進行變更的其他情形。