六部门联合印发《金融信息服务数据分类分级指南》,统一金融数据传输、文件外发合规标准
标签:行业动态 / 2026年6月18日
一、文件基础信息
文件名称:《金融信息服务数据分类分级指南》
发文文号:国信办通字〔2026〕2号
印发单位:六部委联合印发(网信办、央行、金融监管总局、证监会、统计局、外汇局)
成文时间:2026年6月8日,6月13日全国正式对外公布、启动落地执行
适用主体:境内所有从事金融资讯、行情数据、投融资分析、市场预测等金融信息服务机构;不含涉密、军事数据场景
立法依据:《数据安全法》《个人信息保护法》《网络数据安全管理条例》《金融信息服务管理规定》,对标国标GB/T 43697-2024数据分类分级通用规则
二、核心数据分类体系
指南搭建三级标准化数据目录,解决长期金融数据分类碎片化、管控标准不一问题:
1.一级大类共3类:业务数据、用户数据、机构经营管理数据
2.二级细分9类,三级明细67类
业务数据:宏观经济数据、行业金融数据、交易行情数据(股票、基金、外汇、大宗商品、指数、未公开研报、风控模型、量化策略);
用户数据:身份信息、资产持仓、交易行为、风险测评、信贷征信记录;
机构数据:内部治理、运营台账、客户合同、项目投融资方案、算法模型参数、核心业务图纸与批量业务文件
监管明确:客户征信、完整交易流水、未对外发布风控模型、投融资涉密方案统一划定为核心/重要数据,执行最高等级传输防护要求。
三、四级数据分级判定规则(差异化防护核心)
按照数据泄露、篡改后对国家安全、金融稳定、个人权益损害程度,划分为四级,分级判定参考覆盖人群、时间跨度、数据精度、是否公开、境内外地域五大要素:
1.一级:核心数据
泄露将冲击金融市场稳定、引发系统性风险;包含全市场汇总交易底层数据、全国居民信贷征信汇总、跨境资金监测原始台账、未落地重大金融政策研判文件。
2.二级:重要数据
单机构海量用户资产数据、未公开量化交易模型、大额投融资尽调文档、批量跨境业务客户资料。
3.三级:敏感一般数据
单用户基础资产、个人历史交易记录、非涉密行业统计明细。
4.四级:常规一般数据
公开行情、已公示行业报告、无标识脱敏统计汇总数据
四、针对数据传输、文件外发、跨境流转强制约束(企业落地重点)
1.内网跨机构文件/数据传输管控
1)核心、重要数据跨同业、跨子公司批量文件传输,必须执行分级审批流程,留存传输工单、操作人员、传输时间、文件清单全量日志,日志留存不少于180天;
2)禁止通过微信、QQ、个人网盘、普通 FTP 等无审计通道传输二级及以上数据,统一采用合规 MFT 安全文件传输平台;
3)跨区域业务数据流、批量导出业务文件必须全程国密加密传输,文件增加可追溯水印,支持外泄溯源;
4)研发、测试环境禁止直接导入生产原始核心/重要数据,外发前强制脱敏、字段遮蔽。
2.跨境数据、文件出境专项要求
1)梳理108类金融跨境业务场景,区分“可简化合规”与“必须完整出境评估”两类清单;
2)核心、重要金融数据批量出境、批量文件同步至境外服务器,必须先行完成数据出境安全评估,无评估不得传输;
3)仅常规一般公开行情数据可简化流程,签订标准个人信息出境合同或完成个人信息保护认证;
4)严格管控员工私自通过境外云盘、海外传输工具、跨境接口同步客户资料、研报、交易文件,一经查实从重处罚;
5)境外数据接收方需定期安全审计,限定数据存储期限,禁止二次无序扩散、转存。
3.配套落地时限要求
1)2026年9月底前,所有金融信息服务机构完成全量数据资产梳理,建立分级分类台账,完成系统、传输通道、文件外发工具合规改造;
2)同步配套 MFT 安全传输、数据脱敏、终端DLP防泄露、跨境传输审计管控体系;
3)各地网信、金融监管部门四季度开展专项现场核查,重点核查批量文件传输、跨境数据流动、日志审计三大模块,不合规机构限期整改并依法处罚。
五、监管释放核心导向
1.统一金融全行业数据分级标准,解决过去券商、基金、资讯平台数据防护尺度不统一问题,补齐数据传输、文件共享合规短板;
2.金融领域跨境数据从严监管常态化,参考携程千万跨境传输罚单案例,无审批、无加密、无审计的数据外发将成为执法重点;
3.推动行业淘汰明文 FTP、个人云盘等高危传输通道,强制落地托管安全文件传输平台,实现数据全链路可管、可控、可审计;
4.平衡金融数据流通与安全,区分四级数据差异化管控,避免一般数据过度管控、核心数据防护缺位。
六、机构落地整改要点
1.完成内部数据资产盘点,按67项三级明细建立分级台账,标记核心/重要数据传输场景;
2.关停个人网盘、即时通讯等非授权文件外发通道,上线MFT实现批量文件审批、加密、水印、审计;
3.梳理全部跨境数据、境外接口、海外文件同步链路,按清单完成出境合规手续;
4.完善传输日志、文件操作日志存储机制,满足等保2.0 GA/T 2380-2026数据安全审计要求;
针对研发、对外合作、同业共享场景建立数据脱敏、审批、溯源制度。
