为统筹发展与安全，做好金融科技与数字化转型过程中的风险防控能力建设，守牢风险底线，数据安全管理必然是长期持续的过程。从国家、行业、组织三个层面来看，《证券期货业数据安全管理与保护指引》的适时推出，都是国家数据安全战略在行业落地实践的有力体现。

近年来，数字经济发展速度快、辐射范围广、影响程度深，成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。习近平总书记指出：“大数据是工业社会的‘自由’资源，谁掌握了数据，谁就掌握了主动权。”在证券期货业数字化转型的浪潮中，数据已成为行业的核心资产和创新要素。在加快金融创新，落地实施证券期货业科技发展“十四五”规划的同时，也要强化数字化转型风险防控。统筹发展与安全，做好金融科技与数字化转型过程中的风险防控能力建设，加强对业务创新、技术应用、网络安全、数据安全等方面风险的评估和管理，守牢风险底线。

继2017年6月《中华人民共和国网络安全法》后，《中华人民共和国数据安全法》（2021年9月）、《中华人民共和国个人信息保护法》（2021年11月）相继施行，为数据安全工作提供了法律依据。2022年12月，《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》正式印发，该意见是构建数据基础制度体系的有力举措，对于实现以数据安全技术保障数据合理使用、以数据使用促进数据安全技术持续发展具有重要的推动作用。

中国证监会高度重视数据安全标准制定工作，组织有关监管部门、核心机构、经营机构进行了深度调研和广泛意见征集，历时数年完成了数据安全行业标准的制定，于2022年11月发布了《证券期货业数据安全管理与保护指引》（以下简称“指引”），从数据安全管理基本原则、组织架构、制度、技术等方面提供指引，规范证券期货业数据安全管理和保护工作。

一、编制《证券期货业数据安全管理与保护指引》的行业意义

2021年3月，国务院发布《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》，明确强调要加强涉及国家利益、商业秘密、个人隐私的数据保护，强化数据资源全生命周期安全保护。2022年政府工作报告中也强调，继续推进国家安全体系和能力建设，强化网络安全、数据安全和个人信息保护。数据安全新发展阶段，需要政府、行业、社会、个人携手构建数据安全管理工作格局和良好生态，随着企业数字化转型的浪潮，数据已成为金融行业的核心资产和创新要素。证券期货行业承担了国家金融活动的重要入口，亦汇聚了大量的金融数据，这要求行业充分深刻认识网络数据安全的重要性和紧迫性，坚持金融安全与数据应用发展并重，积极应对复杂严峻的数据安全风险与挑战，网络安全与数据安全发展并重。行业作为推动数字经济发展的中坚力量，加强数据安全管理，是适应行业网络化、数字化、智能化发展趋势的必然要求，是建设网络强国、数字中国、智慧行业的重要组成部分。

国际上围绕数据主权的竞争日趋激烈，大型金融平台掌握海量数据问题凸显，国家监管思路逐渐清晰，数据治理工作朝着精细化方向发展完善，证券期货业作为掌握关键信息基础设施的行业，仍缺乏统一的管理规范和执行标准。“指引”的推出，既是遵循了《中共中央　国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出的“统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设”的工作原则，也是落实“稳步推进制度建设，有条件的地方和行业在制度建设、技术路径、发展模式等方面先行先试”的具体要求，对加强数据安全管理政策法律法规的深入研究、规范开展数据安全管理工作，保障行业网络安全，保护投资者合法权益，促进行业稳定健康发展有着重大意义，对进一步规范行业数据安全的执行标准，适应行业各类业务的扩展与用户群的拓展，有效应对行业数据在各种场景所面对的安全威胁，降低行业各参与者的整体数据安全风险，提升行业数据安全管理水平提供了支持和保障。

二、《证券期货业数据安全管理与保护指引》编制思路与方法

在《证券期货业信息系统安全等级保护基本要求（试行）》（JRT 0060—2010）中对于信息系统整体安全的等级划分提出了具体要求，是行业首个成体系的数据安全管理与保护指引，为数据安全相关标准和指引的制定奠定了制度依据。

为充分了解国际标准中对于数据安全的规范性方法及普适性要求，工作组先后对国际上同类标准进行了梳理，包括：ISO的协议族；美国PCII的行业标准；美国HIPPA法案等，形成了《国际标准化组织数据安全相关标准调研报告》。在充分调研的基础上，确定遵从《证券期货业信息系统安全等级保护基本要求（试行）》（JRT 0060—2010）中对于信息系统整体安全的等级划分要求。基于JR/T 0158—2018《证券期货业数据分类分级指引》，采用其中根据数据泄露或损坏造成的影响将数据分为不同级别的数据分级方法，将数据安全等级划分为一至四级，与数据安全法定义的数据安全等级对应（见表1）。并按不同的安全等级对数据生命周期的各个过程域制定相应的基本安全要求，且下一个安全等级必须完整继承和包含上一安全等级的基本要求（见表2）。

三、《证券期货业数据安全管理与保护指引》主要内容

“指引”明确了行业数据安全管理与保护的基本原则、各部门数据安全管理职责、数据安全管理制度体系、不同级别的数据需采取的保护措施（见图1）。

首先，“指引”定义了五项“基本原则”：①过程域，数据保护覆盖全流程，指引定义下的过程域包括：采集、展现、传输、处理和存储。②实用性，针对不同数据的级别，采取与之相适应的保护措施。③安全性，组织、制度、技术均采取措施。④可用性，保证数据完整、可用。⑤适配性，根据自身机构情况量体裁衣。

其次，“指引”定义了数据安全管理与保护的组织架构，明确了各部门在数据安全管理中的职责，确立了数据安全分工协作机制，建议行业机构数据安全管理的最高责任人由管理层人员担任，负责领导协调数据安全部门开展工作，并指定数据安全管理的主责部门（以下简称“数据安全管理部门”），为数据安全管理提供组织保障。具体各部门的职责如表3所示。

再次，“指引”阐述了建立数据安全制度管理体系的要求和方法，可概括为“一个制度、八个细则”，一个制度是：数据安全管理制度，该制度明确数据安全管理机制，数据安全管理工作的组织架构、组织形式、岗位职责、资源配置等事项；八个细则包括：数据权限管理细则、数据存储介质管理细则、场所管理细则、数据安全防护细则、数据安全事件管理细则、数据安全应急管理细则、数据安全审计细则、数据安全教育培训细则，分门别类地对数据管控不同环节进行了具体指引。

最后，“指引”详细阐述了针对不同分级数据在不同的过程域中所采用的安全控制措施。数据的分级标准，可以参考JR/T 0158—2018《证券期货业数据分类分级指引》。

“指引”详细阐述了各级数据在数据采集、数据展现、数据传输、数据处理、数据存储过程中的安全控制措施要求，对每个阶段都分为可控区域和不可控区域，其中可控区域是指数据控制者独立拥有直接承载数据的信息基础设施和其所承载信息系统的管理权或使用权的区域，不可控区域是指数据控制者非独立拥有直接承载数据的信息基础设施或其所承载信息系统的所有权或使用权的区域。在每个区域，又分别从技术指引、管理指引和数据接触者指引进行展开，描述了各领域的安全性控制措施。

第1级数据一般特征为可公开或可被公众获知数据，采用基础数据安全管控措施，包括明确采集方案、跟踪记录采集过程、用户权限管理等。

第2级数据针对接触者增加了多项管控措施，包括：离线采集，授权后方可复制修改使用；在处理环节需要获得授权并签订协议；在数据存储环节需经授权，一事一议，非外规允许，第三方人员不得进行存储操作等。

第3级数据包含个人数据，因此管控措施将更严厉，包括：数据采集阶段对外展示数据需要经过脱敏处理；在数据展示阶段，限制批量数据展示，防止被批量获取；在数据传输阶段，使用外部数据前需进行安全评估并设立专岗维护接口安全管理；在数据处理阶段，需脱敏处理数据，宜保障数据处理的不可逆性等。

第4级数据主要用于行业内大型或特大型机构重要业务数据，一般仅针对特定人员公开，该数据不宜在非可控区域采集，且处理数据宜遵守频率和数据量最小化原则，存储后应定期验证安全控制措施的有效性。

四、结语

为统筹发展与安全，做好金融科技与数字化转型过程中的风险防控能力建设，守牢风险底线，数据安全管理必然是长期持续的过程。从国家、行业、组织三个层面来看，《证券期货业数据安全管理与保护指引》的适时推出，都是国家数据安全战略在行业落地实践的有力体现，有助于推进证券期货行业数据安全管理的标准化、体系化发展，帮助行业内充分把握数据安全管理工作原则，系统地开展数据安全管理体系建设,推动行业数据安全管理工作健康发展，为保障行业数字化转型、保护投资者合法权益、促进行业稳定健康发展添砖加瓦。