為統籌發展與安全，做好金融科技與數字化轉型過程中的風險防控能力建設，守牢風險底線，數據安全管理必然是長期持續的過程。從國家、行業、組織三個層面來看，《證券期貨業數據安全管理與保護指引》的適時推出，都是國家數據安全戰略在行業落地實踐的有力體現。

近年來，數字經濟發展速度快、輻射范圍廣、影響程度深，成為重組全球要素資源、重塑全球經濟結構、改變全球競爭格局的關鍵力量。習近平總書記指出：“大數據是工業社會的‘自由’資源，誰掌握了數據，誰就掌握了主動權?！痹谧C券期貨業數字化轉型的浪潮中，數據已成為行業的核心資產和創新要素。在加快金融創新，落地實施證券期貨業科技發展“十四五”規劃的同時，也要強化數字化轉型風險防控。統籌發展與安全，做好金融科技與數字化轉型過程中的風險防控能力建設，加強對業務創新、技術應用、網絡安全、數據安全等方面風險的評估和管理，守牢風險底線。

繼2017年6月《中華人民共和國網絡安全法》后，《中華人民共和國數據安全法》（2021年9月）、《中華人民共和國個人信息保護法》（2021年11月）相繼施行，為數據安全工作提供了法律依據。2022年12月，《中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見》正式印發，該意見是構建數據基礎制度體系的有力舉措，對于實現以數據安全技術保障數據合理使用、以數據使用促進數據安全技術持續發展具有重要的推動作用。

中國證監會高度重視數據安全標準制定工作，組織有關監管部門、核心機構、經營機構進行了深度調研和廣泛意見征集，歷時數年完成了數據安全行業標準的制定，于2022年11月發布了《證券期貨業數據安全管理與保護指引》（以下簡稱“指引”），從數據安全管理基本原則、組織架構、制度、技術等方面提供指引，規范證券期貨業數據安全管理和保護工作。

一、編制《證券期貨業數據安全管理與保護指引》的行業意義

2021年3月，國務院發布《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》，明確強調要加強涉及國家利益、商業秘密、個人隱私的數據保護，強化數據資源全生命周期安全保護。2022年政府工作報告中也強調，繼續推進國家安全體系和能力建設，強化網絡安全、數據安全和個人信息保護。數據安全新發展階段，需要政府、行業、社會、個人攜手構建數據安全管理工作格局和良好生態，隨著企業數字化轉型的浪潮，數據已成為金融行業的核心資產和創新要素。證券期貨行業承擔了國家金融活動的重要入口，亦匯聚了大量的金融數據，這要求行業充分深刻認識網絡數據安全的重要性和緊迫性，堅持金融安全與數據應用發展并重，積極應對復雜嚴峻的數據安全風險與挑戰，網絡安全與數據安全發展并重。行業作為推動數字經濟發展的中堅力量，加強數據安全管理，是適應行業網絡化、數字化、智能化發展趨勢的必然要求，是建設網絡強國、數字中國、智慧行業的重要組成部分。

國際上圍繞數據主權的競爭日趨激烈，大型金融平臺掌握海量數據問題凸顯，國家監管思路逐漸清晰，數據治理工作朝著精細化方向發展完善，證券期貨業作為掌握關鍵信息基礎設施的行業，仍缺乏統一的管理規范和執行標準。“指引”的推出，既是遵循了《中共中央　國務院關于構建數據基礎制度更好發揮數據要素作用的意見》提出的“統籌發展和安全，貫徹總體國家安全觀，強化數據安全保障體系建設”的工作原則，也是落實“穩步推進制度建設，有條件的地方和行業在制度建設、技術路徑、發展模式等方面先行先試”的具體要求，對加強數據安全管理政策法律法規的深入研究、規范開展數據安全管理工作，保障行業網絡安全，保護投資者合法權益，促進行業穩定健康發展有著重大意義，對進一步規范行業數據安全的執行標準，適應行業各類業務的擴展與用戶群的拓展，有效應對行業數據在各種場景所面對的安全威脅，降低行業各參與者的整體數據安全風險，提升行業數據安全管理水平提供了支持和保障。

二、《證券期貨業數據安全管理與保護指引》編制思路與方法

在《證券期貨業信息系統安全等級保護基本要求（試行）》（JRT 0060—2010）中對于信息系統整體安全的等級劃分提出了具體要求，是行業首個成體系的數據安全管理與保護指引，為數據安全相關標準和指引的制定奠定了制度依據。

為充分了解國際標準中對于數據安全的規范性方法及普適性要求，工作組先后對國際上同類標準進行了梳理，包括：ISO的協議族；美國PCII的行業標準；美國HIPPA法案等，形成了《國際標準化組織數據安全相關標準調研報告》。在充分調研的基礎上，確定遵從《證券期貨業信息系統安全等級保護基本要求（試行）》（JRT 0060—2010）中對于信息系統整體安全的等級劃分要求?；贘R/T 0158—2018《證券期貨業數據分類分級指引》，采用其中根據數據泄露或損壞造成的影響將數據分為不同級別的數據分級方法，將數據安全等級劃分為一至四級，與數據安全法定義的數據安全等級對應（見表1）。并按不同的安全等級對數據生命周期的各個過程域制定相應的基本安全要求，且下一個安全等級必須完整繼承和包含上一安全等級的基本要求（見表2）。

三、《證券期貨業數據安全管理與保護指引》主要內容

“指引”明確了行業數據安全管理與保護的基本原則、各部門數據安全管理職責、數據安全管理制度體系、不同級別的數據需采取的保護措施（見圖1）。

首先，“指引”定義了五項“基本原則”：①過程域，數據保護覆蓋全流程，指引定義下的過程域包括：采集、展現、傳輸、處理和存儲。②實用性，針對不同數據的級別，采取與之相適應的保護措施。③安全性，組織、制度、技術均采取措施。④可用性，保證數據完整、可用。⑤適配性，根據自身機構情況量體裁衣。

其次，“指引”定義了數據安全管理與保護的組織架構，明確了各部門在數據安全管理中的職責，確立了數據安全分工協作機制，建議行業機構數據安全管理的最高責任人由管理層人員擔任，負責領導協調數據安全部門開展工作，并指定數據安全管理的主責部門（以下簡稱“數據安全管理部門”），為數據安全管理提供組織保障。具體各部門的職責如表3所示。

再次，“指引”闡述了建立數據安全制度管理體系的要求和方法，可概括為“一個制度、八個細則”，一個制度是：數據安全管理制度，該制度明確數據安全管理機制，數據安全管理工作的組織架構、組織形式、崗位職責、資源配置等事項；八個細則包括：數據權限管理細則、數據存儲介質管理細則、場所管理細則、數據安全防護細則、數據安全事件管理細則、數據安全應急管理細則、數據安全審計細則、數據安全教育培訓細則，分門別類地對數據管控不同環節進行了具體指引。

最后，“指引”詳細闡述了針對不同分級數據在不同的過程域中所采用的安全控制措施。數據的分級標準，可以參考JR/T 0158—2018《證券期貨業數據分類分級指引》。

“指引”詳細闡述了各級數據在數據采集、數據展現、數據傳輸、數據處理、數據存儲過程中的安全控制措施要求，對每個階段都分為可控區域和不可控區域，其中可控區域是指數據控制者獨立擁有直接承載數據的信息基礎設施和其所承載信息系統的管理權或使用權的區域，不可控區域是指數據控制者非獨立擁有直接承載數據的信息基礎設施或其所承載信息系統的所有權或使用權的區域。在每個區域，又分別從技術指引、管理指引和數據接觸者指引進行展開，描述了各領域的安全性控制措施。

第1級數據一般特征為可公開或可被公眾獲知數據，采用基礎數據安全管控措施，包括明確采集方案、跟蹤記錄采集過程、用戶權限管理等。

第2級數據針對接觸者增加了多項管控措施，包括：離線采集，授權后方可復制修改使用；在處理環節需要獲得授權并簽訂協議；在數據存儲環節需經授權，一事一議，非外規允許，第三方人員不得進行存儲操作等。

第3級數據包含個人數據，因此管控措施將更嚴厲，包括：數據采集階段對外展示數據需要經過脫敏處理；在數據展示階段，限制批量數據展示，防止被批量獲??；在數據傳輸階段，使用外部數據前需進行安全評估并設立專崗維護接口安全管理；在數據處理階段，需脫敏處理數據，宜保障數據處理的不可逆性等。

第4級數據主要用于行業內大型或特大型機構重要業務數據，一般僅針對特定人員公開，該數據不宜在非可控區域采集，且處理數據宜遵守頻率和數據量最小化原則，存儲后應定期驗證安全控制措施的有效性。

四、結語

為統籌發展與安全，做好金融科技與數字化轉型過程中的風險防控能力建設，守牢風險底線，數據安全管理必然是長期持續的過程。從國家、行業、組織三個層面來看，《證券期貨業數據安全管理與保護指引》的適時推出，都是國家數據安全戰略在行業落地實踐的有力體現，有助于推進證券期貨行業數據安全管理的標準化、體系化發展，幫助行業內充分把握數據安全管理工作原則，系統地開展數據安全管理體系建設,推動行業數據安全管理工作健康發展，為保障行業數字化轉型、保護投資者合法權益、促進行業穩定健康發展添磚加瓦。