中國最高網際網路監管機構剛剛頒布了新的規則,要求金融公司對數據進行分類、標記和保護。這些指南由中國網際網路資訊辦公室(CAC)於6月13日發布,是北京不斷擴大的網絡安全法規體系中的最新一塊磚。
該框架專注於金融服務行業內數據的分級與分類。現在,所有在中國運營的金融機構都已獲得更明確的指引,以判斷哪些屬於敏感數據、哪些屬於高度敏感數據,以及針對各類數據應採取的措施。
實際上這些指引的要求
新規則聚焦於金融機構如何分類資訊,特別強調識別監管機構所稱的「重要資料」。該術語在中國的監管生態中具有法律效力,會觸發關於儲存、處理,尤其是跨境轉帳的特定合規義務。
金融資訊服務提供商,包括提供市場數據和分析的平台,均明確屬於此範圍內。
這些指引強化了對中國數據法律三大支柱的合規:《網絡安全法》、《數據安全法》和《個人信息保護法》。
跨境數據傳輸受到特別關注。監管機構已明確表示,將關鍵金融數據傳輸至中國境外,需謹慎處理,並以國家安全和消費者保護為主要考量。
多年來不斷累積的監管體系
國家金融監管當局(NFRA)於2024年12月引入了銀行和保險數據規則,為傳統金融機構處理客戶和運營數據制定了行業特定要求。
中國人民銀行(PBOC)已推出其自身的數據安全措施,預計於2025年6月30日生效。
截至2026年1月24日,CAC 已經發佈了一份專門針對金融資訊服務提供商的草案。該草案規定了按風險等級對數據進行分類的規則,表明六月頒布的最終指南即將出臺。
顯著缺失的是什麼,以及這對投資者意味著什麼
這些指引並未明確提及加密代幣或數碼資產。此疏漏表明北京繼續將傳統金融服務與數碼資產視為獨立的監管領域。數據分類框架適用於銀行、保險公司、市場數據供應商及類似機構。
對於傳統金融公司而言,合規負擔真實存在且不斷增加。在中國運營的外國企業面臨特別的挑戰,因為跨境數據傳輸限制可能使從向母公司提交常規報告到與全球團隊分享分析數據等各項工作變得複雜。
監管層疊、NFRA 規則、人民銀行措施,以及現在的 CAC 指南,構成了一個複雜的合規矩陣。