2020年9月23日，中国人民银行正式发布《金融数据安全 数据安全分级指南》（JR/T 0197—2020）（以下简称《指南》）。《指南》明确了金融数据安全分级的目标、原则和范围，以及数据安全定级的要素、规则和定级过程。值得注意的是，金融数据安全性遭到破坏后，对个人隐私的影响程度是金融数据安全分级的重要判断依据之一。

《指南》由中国人民银行科技司发起，全国金融标准化技术委员会归口管理，由国家金融IC卡安全检测中心牵头（银行卡检测中心），会同业内外多家金融机构、安全厂商共同研究制定。

数据安全定级的重要判断依据为金融数据的安全性（保密性、完整性、可用性）遭到破坏后对国家安全、公众利益、个人隐私、企业利益分别产生的影响大小。影响程度包括造成严重损害、一般损害、轻微损害、无损害。

《指南》将金融数据安全级别从高到低划分为5个级别。

填补金融数据保护制度体系的空白

《指南》是我国有关金融数据安全的一系列标准中首部正式实施的标准。在此之前，国家明确了数据安全保护制度的建设部署。

2020年7月3日发布的《中华人民共和国数据安全法（草案）》（以下简称《数据安全法》）在第19条、第25条、第28条明确提出了对数据的分级分类保护和对重要数据的特别保护。

2020年8月31日发布的《信息安全技术 网络数据处理安全规范》（征求意见稿），从数据识别、分级分类、风险防控、审计追溯等方面进一步提出数据处理的总体要求。

但是，金融业需要充分考虑行业状况和技术条件，精细地制定标准来落实《数据安全法》有关建设金融数据分类分级制度体系的要求。

2020年2月3日发布的《个人金融信息保护技术规范》（下称《规范》）旨在保护消费者权益，将个人金融信息按敏感程度由高到低分为C3、C2、C1。

C3主要为各类账户密码；C2主要为账户、身份证信息、短信口令、KYC信息、住址等；C1主要为开户时间、支付标记信息等。

《规范》应用于“部分”金融数据，而金融业主管部门需要一部覆盖“全量”金融数据的行业标准。《指南》的发布填补了这个空白。

银行卡检测中心信息安全技术主管李博文曾参与制定《指南》。他对南都记者表示，从行业监管的思路出发，建立统一的金融数据分级标准是数据保护制度体系的第一步。在《指南》的基础上，将根据分级标准落实具体的安全管理、能力评价要求，出台系列金融数据安全标准。

利好个人隐私保护

记者注意到，《指南》标示了与个人隐私有关的个人信息应属于较高安全级别——4级。这些信息如若发生泄露、损毁、篡改、不当使用，对个人隐私将造成严重损害。

根据附录A数据定级规则参考表，安全级别为4的个人信息是：个人健康生理信息、传统个人身份鉴别信息、弱隐私生物身份特征信息、强隐私生物身份特征。弱隐私生物身份特征信息包括人脸、声纹、步态、耳纹、眼纹、笔迹等；强隐私生物身份特征信息包括指纹、虹膜等。

李博文告诉南都记者，《指南》提示了金融机构对个人信息应有的保护力度，未来“隐私计算”等数据安全计算技术可能会应用于金融场景提升数据使用安全性。

不过，金融数据安全分级具体实施过程仍然面临着一些难题：部分小型金融机构的数据管理能力弱、大型金融机构对大数据标签属性的梳理难以清晰化、数据安全定级工作将产生一定的工作成本。

“过去金融监管部门对金融机构信息安全的监管往往以一个业务系统为单位，无法精确到具体的某一条数据，某一类数据。”李博文强调，《指南》的实施将倒逼企业提升数据管理的精细化程度，提高金融机构的资产管理能力。