以下是介绍的是金融数据分级分类的内容。
金融行业属于涉及国家经济命脉的重要行业,受相关金融主管部门的专门监 管;数据行业则属于广义网络安全产业中的重要组成部分。因此,金融数据应当 先分级还是先分类,应当如何适用数据分级分类的规则体系直接关系到金融数据治理的实践。全国信息安全标准化技术委员会发布的《网络安全标准实践指南— —网络数据分类分级指引》(以下简称“《数据分类分级指引》”)第 5.1 条明确了 数据处理者进行数据分类时应优先遵循国家、行业的数据分类要求,并且在附录 C3、C4 中给出了《数据分类分级指引》与金融行业数据分类分级规则的对应关 系。此外,金融数据是基于行业对数据进行的特殊分类,《证券期货业数据分类分 级指引》等已有的分类分级规则根据行业特性的更具针对性的管理与保护要求。 因此,金融数据分类分级应当遵循“先分类,再分级”的思路,优先适用金融数据 的分类要求,以《金融数据分级指南》为分级的基础,在涉及证券期货数据/个人 金融信息等金融数据的分级时“就高从严”地适用更有针对性的《证券期货业数据 分类分级指引》或《个金技术规范》。
金融数据的分级与重要数据的分级及个人金融信息的分级存在对应关系。鉴于《金融数据分级指南》提供了具有了融合性的框架,金融业机构在数 据治理时可以将个人金融信息融入金融数据分级框架中进行一体化管理。根据 《个金技术规范》第 3.2 条,“个人金融信息”是指“金融业机构通过提供金融产品 和服务或者其他渠道获取、加工和保存的个人信息”,具体包括账户信息、鉴别信 息、金融交易信息、个人身份信息、财产信息、借贷信息及其他反映特定个人某 些情况的信息。据此,个人金融信息的范围显然比《个人信息保护法》所提及的 “金融账户”信息更为广泛。另外,根据《个人信息保护法》第 28 条敏感个人信息 的定义,敏感个人信息指的是“一旦泄露或者非法使用,容易导致自然人的人格尊 严受到侵害或者人身、财产安全受到危害”的个人信息,个人金融信息也并不完全 落入敏感个人信息的范畴,应当根据“致害风险+风险概率”标准来判断个人金融信息是否属于敏感个人信息。1 一般而言,C2、C3 类信息与个人敏感信息的属性 基本一致,C1 类信息则需要结合场景判定。
