一、演进脉络：从原则到方法论再到指标

数据分类分级是数据治理的一个核心环节和实施差异化、针对性安全保护措施的一项基础性工作。回顾规范体系的演进，我们可以清晰看到一条从行业探索、到行业标准记载经验、到顶层法律确立要求和原则，到国家标准确立通用方法论，再到细分领域指南落实监管细则与最佳实践的演化路径。

这一体系的顶层要求源自2021年实施的《中华人民共和国数据安全法》。该法第二十一条明确确立了“国家建立数据分类分级保护制度”，这为所有行业的数据治理提供了最高位阶的法律依据与制度来源。正如学界高引论文《国家安全视野中的数据分类分级保护》[3]所析，我国的数据治理已从早期侧重于组织内部资产权益保护的“自下而上”模式，转变为由《数据安全法》确立的、旨在管控数据外部性安全风险的“自上而下”国家保护制度。

在此基础上，2024年实施的国家标准GB/T 43697-2024《数据安全技术 数据分类分级规则》（以下简称“分类分级国标”）则在技术层面，确立了跨行业通用的分类分级方法论。分类分级国标系统性地提出了基于“影响对象”与“影响程度”的分级逻辑，构建起管理技术的通用底座，堪称数据分类分级领域方法论的集大成者。

而国家互联网信息办公室日前发布的《分类分级指南（征）》，则是上述通用方法论在向金融分析、交易、决策等金融活动提供支撑和赋能的金融信息服务[4]这一特定行业的延伸与落地。

金融信息服务提供者从各类持牌金融机构采集信息，为金融市场和广大金融机构及市场参与者提供服务，作为金融信息枢纽，其生产内容的真实性、准确性、合规性关乎金融市场稳定。《分类分级指南（征）》旨在通过创造性的细化，补齐执行层面所需的工作指标，从而强化对此类主体的外部监督管理和其自身的内部治理。

表1：金融信息服务数据分类分级规则演进

二、逻辑周延：信息生态的三大分类映射

数据分类是划定治理边界的基石。不同于传统金融机构侧重依据资金流转与账户管理的分类范式[5]，《分类分级指南（征）》附录A所确立的体系，精确地映射了金融信息服务业以信息为核心产品的独特业态。

（一）三分法构建治理坐标系

《分类分级指南（征）》确立了由业务数据、用户数据及企业数据构成的三大一级类别，构建起清晰的治理坐标系：

1. 业务数据（产品域）：服务商面向市场提供的金融分析、行情数据及决策支撑等核心内容，涉及此类机构的生产要素与最终产品。
    
2. 用户数据（对象域）：涵盖个人与机构投资者的基本信息、操作记录及用户画像，即金融信息服务的客体。
    
3. 企业数据（运营域）：服务商维持自身运营管理的内生数据。

（二）业务数据升维背后的监管意图

我们观察到《分类分级指南（征）》在业务数据类别下设定了周延的二三级分类和极细的颗粒度，涵盖金融市场数据（如股、债、汇、期）、宏观经济数据（如国民经济核算、价格指数）、行业指标数据及研究报告数据等等。

此种分类逻辑可以揭示深层的监管意图，即对于金融信息服务提供者而言，合规要求远超越单纯的用户数据（User Data）保护的范畴。例如，附录A通过示例提示，覆盖广、精度高、时间跨度大的行业指标（如能源、粮食储备数据）在未被公开时，其级别属性可直接跃升至重要数据。而这就意味着，金融信息服务商亟需建立健全针对其信息内容资产的，包括盘点、分类、定级、标识和全生命周期保护的风险管理体系及合规管理措施，以切实防范因汇聚高价值市场数据而在无意中触碰到战略情报的红线。

（三）按所涉风险对用户进行二元区分

而在用户数据的类别中，《分类分级指南（征）》明确区分了个人用户与机构用户：个人用户数据主要关联隐私保护与社会秩序维护（例如反诈应用）；而机构用户、尤其是大型金融机构的交易与持仓数据，则可能关乎市场流动性乃至关乎金融系统性安全，进而上升至国家安全的层面。

三、规则细化：适配行业的五维分级要素

《分类分级办法（征）》将抽象的定性描述具象化为金融信息服务场景下的精准阈值，体现了监管机关适配行业的精细化治理意图。第5.2条的规定将国标方法论以五大分级要素转化为在金融信息服务业的数据分级操作指南，而附录A则以示例的形式进一步指导金融信息服务提供者在开展数据分级工作时参考具体的阈值门槛和基准参数。

（一）覆盖度：（源自国标，予以细化）侧重于样本占比。即数据主体在特定群体、行业或市场中的覆盖比例。高覆盖度的数据即便单一维度不敏感，聚合后也能反映行业全貌，从而触发级别跃升。

（二）地域：（源自国标，予以细化）侧重于行政事权与国家主权。区分数据涉及的区域是国家、省级还是市级，是否跨越多个行政区划？跨省级行政区划的数据往往涉及更复杂的管辖权与经济关联。

（三）精度：（源自国标，予以细化）则侧重于分辨率与颗粒度。

1. 数据精度：信息的详略程度（如概略统计 vs 明细记录）；
    
2. 空间精度：定位的精准度（如省市级别 vs 精确坐标），直接关联主体的可识别性与轨迹还原能力；
    
3. 时间精度：数据的更新频率与时效性。譬如，在量化交易场景下，时间精度意味着择时能力（market timing）。毫秒级的逐笔Tick数据[6]比日度收盘价包含更丰富的微观结构信息，能提供更强的套利空间，其所对应的数据价值也显著提高。

（四）时间跨度：（行业适配-提炼自国标中的规模要素）《分类分级指南（征）》引入10年作为关键指标，旨在强调长时间维度下数据的积累体量，以及由大量数据可开展的模式识别（pattern recognition）和周期分析，以及可以进而对宏观经济运行规律作出的判断。

（五）公开状态：（行业适配-对应重要性）区分信息势能。未公开的监管执法数据或宏观调控数据，因涉及市场公平与金融安全（对应内幕交易风险），其级别远高于已公开的同类数据。

四、合规策略：分步骤推进、跨行业借鉴

即便《金融信息服务管理规定》的适用范围较为聚焦，按狭义分析应当仅限于在中国提供金融信息服务的主体，但笔者认为，金融信息流天然串联起各个类型的金融机构和全部的市场主体，而经过规范化分类分级治理后的信息输入，必然直接影响接收信息的主体，并进而传导至主体对其下游的信息输出。由此，我们建议：

第一，对于金融信息服务提供者（直接适用对象）：

依据《金融信息服务管理规定》，不管是传统的行情数据商，还是向用户提供金融分析、决策服务的AI投顾与量化平台等新兴机构，都应高度关注《分类分级指南（征）》的立法进程，重点评估自身所采集、持有和加工生成和对外提供数据的定级逻辑，积极行使征求意见期间的反馈权利，结合自身业务实际提出专业建言。待《分类分级指南》正式落地后，则应将其视为数据治理合规工作的操作准则，严格遵照这份指南推进分类分级工作，确保合规动作的规范性。

第二，对于广大的持牌金融机构（银行、保险、证券、资管等）：

此类机构受NFRA[7]与PBOC[8]两部《数据安全管理办法》的直接约束，需遵照其规定定期开展数据分类分级工作并动态更新数据目录，但在实际执行层面，从业者常常面临标准因需要首先顾及逻辑严密而呈现出的抽象甚至显得晦涩。笔者提示从业者可关注此次临近行业主管机关所释放出的积极信号——即监管层正致力于提供可量化、易执行的操作准则，以回应各项标准难以落地这一长期困扰数据治理和数据合规领域的痛点。

我们建议金融机构在自身数据治理工作中，在诸如客户数据规模定级、历史数据价值评估等金融行业普遍适用的使用场景下，参照适用《分类分级指南》中的阈值和指标，作为内部管理的参考基准，以助力提升数据治理工作分类分级环节的质效。