#1024程序员节｜征文#

---

一、文件框架与核心思考

1、定级目标再审视

        自《金融数据安全 数据安全分级指南JR/T 0197-2020》（以下简称“指南”）发布以来，金融数据安全领域已历经四年的发展与变革。该指南作为金融标准中首个以“金融数据安全”为核心的标准，其里程碑意义不言而喻。随着《数据安全法》及相关法律法规的逐步完善，数据安全的目标已从单一的“保障数据依法有序自由流动”拓展至涵盖数据全生命周期的安全保护、合规利用及价值释放。在此背景下，数据分类分级作为数据安全治理的基石，其重要性愈发凸显。因此，在实际执行数据定级工作时，需结合最新的数据安全治理方法论，实现对数据全生命周期的动态、精细化管控。

2、定级原则深化理解

        在原有合法合规性、可执行性、自主性等原则的基础上，随着技术的发展和数据安全环境的变化，时效性原则的内涵得到了进一步丰富。数据安全的有效期不再是一个静态的概念，而是需根据数据的生命周期、业务需求及法律法规的变化进行动态调整。此外，差异性原则在应对不同金融机构、不同数据类型时的重要性也日益凸显，要求我们在定级过程中充分考虑数据的独特性、敏感性及业务价值。

3、数据安全定级范围与规则

        指南主要聚焦于电子数据的定级，包括纸质文件扫描件。在数据安全级别划分上，依旧遵循数据安全性（CIA）受损后的影响程度作为核心判断依据，但结合2024年的现状，对各级别的定义和边界进行了更为细致的梳理和优化。例如，5级数据除涉及国家安全外，还涵盖了可能引发系统性金融风险的关键数据；4级数据则进一步明确了其作为普通金融机构最高级别数据的地位，并强调了其在数据流动中的严格管控要求。

        同时，针对企业内部实践中存在的定级模糊问题，如员工对损害等级的主观认知差异、不同金融机构间数据定级的差异化管理等，建议通过制定更为明确、量化的定级标准和指南，以及加强内部培训和沟通，来减少定级误差和争议。

4、数据安全定级流程优化

        在实际操作中，鉴于金融机构组织结构庞大、沟通复杂等客观因素，建议采用先粗后细、分步实施的策略进行数据盘点和定级。同时，充分利用大数据、人工智能等技术手段，提高数据定级的效率和准确性。此外，还应建立数据定级的定期复审机制，确保数据定级能够随着业务发展和数据安全环境的变化而及时调整。

二、金融业机构典型数据定级规则参考表

        结合2024年的数据安全治理实践和数据分类分级的新要求，对金融业机构典型数据定级规则进行了更新和优化。

在数据分级的过程中，有几个细节值得我们特别关注：

• 安全管理数据：这类数据包括系统漏洞信息、安全防护配置与策略信息、威胁数据、安全告警以及安全事件等。其安全级别默认最低为2级，这表明它们虽然重要，但相对于其他更高级别的数据而言，其敏感性稍低。然而，需要注意的是，即便是在这一级别，安全管理数据也仍然需要得到妥善的保护。

• 开发信息与系统运维数据：与安全管理数据相比，开发信息（如信息系统设计方案、源代码等）和系统运维数据信息（如用于系统维护或统计数据产生的shell脚本、SQL脚本）的安全级别可能更低，通常低于3级。这并不意味着这些数据不重要，而是因为它们的敏感性和风险相对较低。然而，对于某些特定的开发信息和系统运维数据，如果它们包含敏感信息或具有特殊价值，其安全级别可能会相应提高。

• 4级数据：这类数据主要包括身份鉴别信息、生物隐私信息以及健康信息等。这些数据具有极高的敏感性，一旦泄露或被滥用，可能会对个人或组织造成严重的损害。因此，它们被划分为4级数据，需要得到最高级别的保护。

• 个人地理位置信息与个人财产、联系信息：值得注意的是，个人地理位置信息与个人财产信息、个人联系信息在数据分级中被视为同一级别，均为3级。这反映了这些信息在数据保护中的重要性，尽管它们可能不如4级数据那样敏感，但仍然需要得到充分的关注和保护。

• 跨境收付业务信息：在跨境收付业务中，除了撤销、漏报类信息外，其他信息均被划分为3级。这一比例略高于其他交易形式，反映了跨境收付业务在数据保护中的特殊地位和重要性。

三、总结与展望

        经过四年的实践与探索，金融数据安全分级体系已逐步成熟和完善。然而，面对日益复杂的数据安全环境和不断涌现的新业务模式，我们仍需保持警惕和创新精神。在未来的数据安全治理中，我们应继续深化对数据分类分级的研究和实践，加强数据安全法律法规的完善和执行力度，推动数据安全技术的创新和应用，共同构建更加安全、高效、开放的金融数据生态体系。