金融数据安全 数据安全分级指南.docx

ICS35.24040A11中华人民共和国金融行业标准JRfT01972020金融数据安全数据安全分级指南Financia1.datasecurity-Guide1.inesfordatasecurityc1.assification2020-09-23实施2020-09-23发布中国人民银行发布目次WaH引言in1范用12规范性引用文件13术语和定义14目标、原则和范围35数据安全定级16里要数据识别10附录R（资料性附录）数楙定级规期参考表11附录B（资料性附录数据安全徼别变化事宜46附录C（资料性附录）重要数据47参考文献18本标准按照GB，TI2009给出的规则起草.本标准由中国人民银行提出，本标准由全国金融标准化技术委员会（SC.TC180）归口。本标准起草单位：中国人民垠行科技司、中国银行保险监督管理委员会统计信息与风险监测部、国家金融IC卡安全检测中心（愠行卡检测中心）、深圳市长亮科技股份有限公司、中国垠行保险信息技术管理有限公司、招商银行股份有限公司、中国平安财产保险股份仃限公司、中国长城资产管理股份有限公司、蚂蚁科技集团JB份有限公司、平安保险（集团股份有限公司、中国人民银行金融信息中心、中国人民银行数字货币研究所、兴业银行股份有限公司、中国农业银行股份有限公HJ、中国建设银行股份有限公司、中国工商极行股份有限公司、恒丰银行股份有限公司、中国搬联股份有限公司、两联清算有限公司、中国银行股份有限公司、平安银行股份有限公司、中电数据服务有照公司，中国电力财务有限公司、中国外汇交易中心、中国人民慑行营业管理部、中国人民慨行南京分行、中国人民银行福州中心支行、中国金融电子化公司、西南财经大学.本标准主要起用人：李作、陈立吾、沈筱彦、车珍、曲维民、件新、发怒、方怡、孙衍组、集韶光、陈聪、居良、杨波、而强布、黑琳、率敏、陈裕源、张赚、李隆春、李水旺、命吴杰、刘建民、张小松、由宜、吕良玉、落红卫、王昕、姜永庆、黄飞生、王衍演、朱建强、时向一、狄刚、吕殷、栾家阳，郛智超、赵用、万适、刘峥芳、刘超、范博文、李雯、张雄峥、郑树、吴彦涵、杨溢、强群力、郭林、陈雪秀、公丽丽、母延燕、马鑫、周亚超、王良浩、梁铉清、缪章娟、薛金川、任军远、席学清、刘书元、侯漫丽、陈文“I1.随着信息技术的发展众多金做基础业务、核心流程、行业间往来等事务和活动均已运行在信息化支掠载体之上，金融业机构生产运行过程中产生的信息也逐步以不同形式转化为数字资产,在不同信息网络与系统之间流转。匐若大数据、人工智能、云计蚱等新技术在金融业的深入应用，数据逐步实现了从信息化资产到生产要索的朴变,其重要性日益凸显,金融业机构数据安全威胁的影响范用逐步从机构内扩大至行业间,甚至影响国家安全、社会秩序、公众利益与金融市场稳定。金融数据复杂多样.对数据实施分级管理，能坡进一步明确数据保护对思.有助于金融业机构合理分配数据保护资源和成本，足金融业机构建立完善的金融数据生命周期保护框架的基础.也是有的放矢地实施数据安全管理的前提条件。同时，统一的数据分缎管理制度，能妹促进数据在机构间、行业间的安全共享，有利于金融行业数据价值的挖掘与实现,为落实中共中央、国务院加强数据资源整合和安全保护相关工作要求.指导金融业机构合理开展金融数据安全定级工作，有效落实金触数据生命周期全过程安全管理策略，进一步提高金融业数据管理和安全防护水平，确保金融数据的安全应用，编制本标准.金融数据安全数据安全分级指南1范围本标准给出了金联数据安全分级的目标、原则和范用以及数据安全定级的要素、规则和定级过程.本标准适用于金融业机构开展电子数据安全分级工作,并为第三方评估机构等单位开展数据安全检性与评估工作提供等考。2规葩性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件，仅注H期的版本适用于本文件.凡是不注日期的引用文件，其最新版本（包括所有的修改单适用于本文件。GB/T47M-2017国民经济行业分类GB/T5271.12000信息技术词汇第1部分：基本术谙（；B/T25069-2010伯息安全技术术喳GB/Z28828-2012信息安全技术公共及两用眼务信息系统个人信息保护指陶GB/T35273-2020信息安全技术个人信划安全规范JRA0158-2018证券期货业数据分类分级指引JR/T0171-2020个人金融侑息保妒技术规范3术语和定义GB/T25069-2010.GB/T35273-2017界定的以及下列术语和定义适用于本文件.3.1信息information关于客体（如事实、事件、事物、过程或网想,包括概念）的知识,在一定的场合中具有特定的意义。注：改写GB/T5271.12000.定义201.01.01.3.2数据data信息的可再解释的形式化衣示，以适用于通信、解林或处理。注：可以通过人:或自幼手段处理，GB/T5271.1-2000.定义2.01.01.023.3隐私PriVaCy个人所具有的控制或影响与之相关信息的权限.涉及由谁收集和存储、由谁披露.GBT250692010,定义2.1.633.4信总处理informationprocessing时信息操作的系统执行，包括数据处理，也可包括诸如数据通信和办公自动化之类的操作。注：术语“信息处理”不使用为一数据处理”的同义词.GB/T5271.12000,定义2.01.01.053.5数据处理dataprocessi11数据操作的系统执行.示例I欲抠的教学运算或设瓢运K.致祭的归并或分类.程序的汇编联呜话,或文本的版作.i%W.分类、归井、存站、检索*品示攻打印.注1：术语“数据处理”不循用为“信息处理”的同义词.注2t改写C8/T5271.12000.定义2.01.01.063.6保密性confidentia1.ity使信息不泄常给未授权的个人.实体、进程,或不被其利用的特性.IGB/T25069-2010.定义2.1.13.7完整性integrity保期资产准确和完整的特性.注1改吁GBZT25069-2010,定义2.1.42.3.8可用性avaiIabiIity已授权实体一旦需要就可访问和使用的数据和资源的特性.GB/T250692010,定义2,1.203.9安全级别security1.eve1.有关敏感信息访问的级别划分，以此级别加之安全范的能更粕细地控制对数据的访问.GB/T25069-2010,定义2.2.1.63.10金融数据financia1.data金融业机构开展金融业务、提供金融服务以及I常经昔管理所需或产生的各类数据.注：/类数率可用传统款冕处理技术或大数据处理技术进行In次、存储、计分析和管理,3.11个人金融信息persona1.financia1.information金廖业机构通过提供金眼产品和服务或者其他条道获取、加工和保存的个人信息.注1：个人金融信息乜括账户信、鉴别归息,金融交易侑£1、个人身份俏包,豺产信必、错债信,以及其他反映特定个人某些忸况的信息.注2：改写CBjT35273-2020.定义3.1.3.12个人金融信息主体persona1.financia1.informationsubject个人企购信息所标识的自然人，注：改写GH“352732020,定义3.3,3.13影响i11pct事件的后果，在信息安全中,一般指不测事件的后果，GB/T25069-2010.定义2.3.1054目标、原剜和范国4.1 数据安全定级目标数据安全定级旨在对数据资产进行全面梳理并确立适当的数掘安全分级，是金融业机构实施。效数据分级管理的必要前提和基础.数据分级管理是建立统一、完善的数据生命周期安全保护框架的基础工作能修为金触业机构制定有针对性的数据安全管控措施提供支撑.金融业包括货币金融服务.资本市场IK务、保险业等,参见GB/T47542017.本标准所述“金融业机构”是指从事上述金融业的相关机构.4.2 数据安全定级原剜数据安全定级遵循以下原则：a）合法合规性原则：满足国家法律法规及行业主管部门有关规定.b）可执行性原则：数据定级规则避免过于复杂，以确保数据定级工作的可行性.C）时效性原则：数据安全级别具有一定的有效期限，金Ia业机构宜按照级别变更鬣咯时数据拨别进行及时调整.d）自主性限则：结合金融业机何自身数据管理需要（如战略需要、业务需要、风险接受程度等），在木标准的框架下自主确定数据安全级别。）差异性原则：根据本机构数据的类型、敏感程度等差界,划分不同的数据安全层级,并将数据分散至不同的级别中.不宜将所有数据集中划分到其中若干个级别中。力客观性原则：数据定段规则是客观且可校粉的，即通过数据自身的属性和定级规则即可判定其级别，井口数据的定级是可复核和检查的.4.3 数据安全定级范围金融数据安全定娘过程中，未经电子化的金融数据，依据档窠文件等有关管理规范执行：涉及国家秘密的金融数据.依据国家有关法律法规执行，不在本标准现定的范围之内,证券行业数据安全分级工作可参照JR/T0158-2018执行.其中,安全定级工作所涉及的金曲数据包括但不限于：一一提供金融产品或服务过程中直接（或间接）果集的数抵，包括通过柜面以纸质协议签署或收集,并经信息处理后在计算机系统中流转或保存的数据.以及通过信息系统签约或收集的电子信息一一金融业机构信息系统内生成和存储的数据，包括业务数据'经营管理数据等，其中：业务数据指金融业机构在提供金融产晶或服务过程中产生的数据,如交步信息、统计数据经营管理数据指金融业机构在,履行职能与经营管理过程中采集、产生的数据,如营销机务数据、运营数据、风险管理数据、技术管埋数据（如程序代码、系统以及网络等）、统计分析数据、绘合管理数据等。一一金融业机构内部办公网络与办公设符终端）中产生、交换、归档的电子数据，如机构内部日常事分处埋信息、政策法规与部门规章、业务终训临时存储的业务或经营管埋数据、电子邮件信息等.一一金融业机构原纸质文件羟过扫描或其他电子化于段形成的电子数据-一一其他亢进行分级的金融数据.5数据安全定级5.1 定级要素5.1.1 概述安全性（保密性、完整性、可用性,是信息安全风险评估中的桑要参考属性.数据安全性遭到破坏后可能造成的影响（如可能造成的危害、损失或潜在风险等）,是确定数据安全级别的亚要判断依据.主要考虑影响对象与影响程度两个要素。5.1.2 影响对象影响时象指金融业机构数据安全性遭受破坏后受到影响的对象，包括国家安全、公众权益、个人IS私、企业合法权益等。膨响对象的确定主要考虑以下内容：一一影响对象为国家安全的情况，一股指数据的安全性遭到岐坏后，可能尚国家政权柩固、领土主权、民族团结、社会和金融市场稳定等造成影响.一一影响对象为公众权益的情况，一股指数据的安全性遭到破坏后，可能对生产经营、教学科研、医疗卫生、公共交通等社会秩序和公众的政治权利、人身自由、经济权益等造成影响，一一影响对象为个人除私的情况，一般指数据的安全性送到破坏后，可能Xj个人金融信息主体的个人信息、私人活动和私有领域等造成影响.一一影响对改为企业合法权益的情况，一股指数据的安全性遭到破坏后，可能对某企业或其他组织（UJ能是金融业机构，也可能是其他行业机构）的生产运甘、声誉形象、公信力等造成影响，5.1.3 影响程度影响程度指金融业机构数据安全性遭到破坏后所产生影响的大小，从高到低划分为产加损害、一般损害、轻微根害和无损害相关说明如表1所示.可作为影响程度判定的参考.影响程度的确定宜综合考虑数据类型、数据特征与数据规模等因素,并结合金融业务属性确定数据安全性遭到破坏后的影响程度,例如：数据安全性遭到破坏后,客户的个人自然信息产生的影响程度通常要高于单位基本信息.一一数据安全性遭到破坏后，身份胶期信息产生的影响程度通常要尚于个人葩本概况信息，交易信息中对实时性要求较蔚的数据其安全性遭到破坏产生的影响程度通常要高于实时性要求较低的数据等。表1影响程度说明MUUE男产亚拗杏I.可能导致他及国禀安全的默大事件，发生故书国京利益或造成猿大报失的情况，2 .可能导致严正应做社会秩序和公共利益，引发公众广泛诉讼警事件，成?段金融市场秩序遗刎产兔破坏等情况.3 .可能*政金融业机构遭到监花部门产盛处罚.或存影响小要/关键业务无法正常开展的俯况.1可能守政JR大个人侑&安全风险、侵犯个人!S私等严JS於客个人横磕的小件.械物华1 .可能导致危S社会帙序和公共利益的事件,引发区域性集体诉讼事件,或匕'板金R8市场秩序i刎破坏等怖S1.2 .可能导致金融业机构遗列总管部门处罚，成衣影响部分业务无法正常开展的情况，3 .可徙导致定.桃极的个人信患泄i.i川箸安全风险,或对个人权益可能造成一定影峋的事件.校微搔哲1.可能导致个别诉逐串件,但金融业机构经济利益.声碑等轻微殳物.2.可能导致金融业机构部分业务的时性中断等情况.3.可能导致超出个人客户授权加工、处理、使用数据等情况，对个人权战造成Fe分或潜在影响.无损有；H瓶和个人患私等小宜成影肛或仪Jft成微弱影看但不会影响国家安全.公众权益、金Iaitf场秋序或若金电业机构8现业务正常开展.5.2要素识别5.2.1安全影响评估安全影响评估宜综合考虑数据究型、数据内容、数据规模、数据来源、机构职能和业务特点等因素，对数据安全性（保密性、完整性、可用性）遭受破坏后所造成的影响进行评估，评估过程中，根据实际情况识别各项安全性在影响评定中的优先级,分别进行保密性、完整性及可用性评估，并综合考虑保密性、完整性及可用性的评估结果,形成最终安全影响评估.保密性评估：通过评价数据遭受未经授权的披露所造成的影响，以及机构继续使用这些数据可能产生的甑响，进行数据保密性评估.评估的内容包括但.不限于： 数据未经授权的披露，可能对国家安全、公众权益、个人除私及企业合法权i造成的损杏，以及损杏的严IR程度， 数据被非授权对象获取或利用，可能对国家安全、公众权益、个人吃私及企业合法权益造成的损害,以及损害的片里程度. 数据被告授权对象利用进行窃密、级改、销毁或拒绝服务等攻击,可能对国家安全、公众权益、个人隐私及企业合法权益等造成的损咨，以及损击的产Hi程世， 数据的未羟授权披露或传播是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。完整性评估：通过评价数据造殳未经授权的修改或损毁所造成的影响，以及机何维续使用这些数据可能产生的影响.进行数据完整性评估.评估的内容包括但不限于： 数据未经授权蟋改或损毁.可能对国家安全、公众权益'个人隐私及企业合法权益造成的损杏，以及损宙的严重程度. 数据未抬授权修改或损毁.可能对其他组织或个人造成的损害，以及损害的严更程度. 数据未经授权修改或损毁，可能对机构职能、公信力造成的损害，以及损H的？EHi程度。 数据未经授权修改或损毁是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定.一一可用性评估：通过评价数据及其经组合/融合后形成的各类数据出现法问或使用中断所造成的彬响,以及机构无法正常使用这些数据可能产生的影响，进行数据可用性评估,评估的内衣包括但不限于: 数据的访问或使用中断.可旎对国家安全、公众权益、个人隐私及企业合法权益造成的损杏，以及损害的严重程度， 数据的访问或使用中断，可施对机构职傕、公信力造成的损害,以及损害的严重程度. 数据的访问或使用中断，可能时其他殂织或个人造成的投书，以及损杏的i3i程度。 数据的访问或使用中断是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。5.2.2定级要素识别通过嫁合考虑保密性、完整性和可用性的影响评估结果.识别数据安全定级关键要素,即作为最终数据安全级别评定时所使用的主要影响对象及影响程吱，并根据5.3定级规则进行数据安全级别的评定。定级要素识别宜至少满足：因不同数据在安全性（保密性、完整性、可用性方面有不同何而，以所恻Hi的安全性评估结果作为相应数据安全定级的主要依据.数据的保密性、完整性和可用性要求基本一致的则型点以保密性评估所确定的定级要素为主要定级依捌.53定级规则531安全级别概述本标准根据金融业机岗数据安全性遭受破坏后的影响对象和所造成的影响程度，将数据安全级别从高到低划分为5钺、级、3级、2级、1级，-履具有如下特征：5级数据特征如下： 重要数据.通常主要用于金的业大型或特大型机构、金曲交易过程中理要核心节点类机构的关键业务使用，-般针对特定人员公开，旦仅为必须知悉的劝以访问或使用. 数据安全性遭到破坏后,对国家安全造成影响,或对公众权益造成产重影响.注：必家知悉”是指M数据确定知基范阳,只有对数据知悉仃明确的必要性时,该对象才能对数IK知46.一般情况下遵掂工作需要原则和0小化依.前齐指因工作必须才可知悉,后者指知杰的范阳旃足最小够用即可.一I级数据特征如下： 数据通常主要用于金融业大型或特大型机构、金融交易过程中曳要核心节点类机构的夷要业务使用，一般针对特定人员公开，且仅为必须知悉的对象访问或使用. 个人金融佰愿中的C3类伯息. 数据安全性遭到破坏后，对公众权益造成一般影响，或对个人隐私或企业合法权益造成严Hi影响，但不影响国家安全。3破数据特征如下：数据用于金触业机何关键或31要业务使用，一般针对特定人员公开，且仅为必须知悉的对望访问或使用.个人金融信息中的C2类信息.数据的安全性遭到破坏后,对公众权益造成轻微影响.或对个人隐私或企业合法权益造成一股影响,但不影响国家安全.2级数据特征如下：数据用于金融业机构供业务使用，一般针对受限对象公开，通常为内部管理且不宜广泛公开的数据.个人金融信息中的C1.类信息。数据的安全性遭到破坏后,对个人隐私或企业合法权益造成轻微影响,但不影响国家安全、公众权益，1级数据特征如下； 数据股可被公开或可被公众获知、使用。 个人金融信息主体主动公开的信息。 数据的安全性遭到破坏后，可能对个人验私或企业合法权益不造成影响,或仅造成激如影响但不影响国家安全、公众权益.53.2定级通用规则金融数据安全级别划分的通用规则包括但不限于：理要数据：'的安全等级不可低千本标准所述5级.一一个人佥融信息相关数据参照JR/T0171-2020进行定级，并在数据安全定蚀过程中从高考虑，对于数据体地大,涉及的客户（包含个人客户和单位客户）多、涉及客户（包含个人客户和单位客户）资金量大、涉及多行业及多机构客户的情况.影响程度宜从高确定.综上所述数据安全级别划定规则如表2所示.根据本标准所述定级规则，本标准给出了金融业典型数据类型及其建议划分的加低安全级别,参见网录A,供各金融业机构在数据资产梳理及定级过程中参考。表2数据安全定级规则卷考表WMWMEW5国家安全严藏损古/一股报害/轻微报害VM.通常上要用于金融业大型或特大义机构、金总交易过程中曳要核心节点类机构的关城业务使用.一殷计对特定人员公开.旦仅为必须知悉的对象访“成使用.蝇K安全g寄破坏后.对脚家安全HuM,或对公众权益造成产用影第.5公众权益泮取物窖4公众权益一股损出数据通常主要用于金融业大型或将大型机构、金融交易过程中4个人电私产JR拂再用要住心节点类机构的t魄业务使川.股曾对特定入其公开.且仅为仍翅知悉的对象访何或使用.个人金胎信息中的3类信息.数据安全性班到破坏后，对公众权蔽造成股影响，或对个人隐私或企业合法权益造成严术影响.但不影响国冢安全.-1企业令法权Sf产曳损由3公众权益轻曲损善数据用于金跆业机构关城或Jfi察业务使用，一般甘.对特定人S公开.H仅为必须知丞的对熟访日或使用.今人金Kffi1.息中的C2类伯息.数据的安全性If1.到破坏后，对公众权战造成轻微影响，或对个3个人愚私-IBHftW3企业合法权旗做相害D，n受tk据的内容及范用咨解国室及行业主管部门“关视定执行“OJNKWMWME人命礼成企业合法权益造成一般物响.但不影响国票安全.2个人的私技做捡害数据用于殳It业机构一般业务使用，一Jfttt对受瞅对他公开,通常为内部管理且不宜广泛公开的皎据.个人金融信。中的类信儿.效据的安全性遇到破坏R对个人I1.a私或企业含法杈益V世影响，但不影响国家安全、公众权费.2企业合法权战轻微扳例1Wc±无投书数据曲可被公开或可被公众佚如、使用.个人金融伍患主体I动公开的信总.数据的安全性遭到破坏后，可能对个人的私或企业介法权核不造成物响，或仅造成触犯物响但不影响国求安生、公众权益,I公众权益无知齿1个人心私无损害I企业合法权优无损害54定侬过程5.4.1组织保隈确定数据安全管理地而决策祖织，设立并明确相关部门（或组织）及其职设，包括但不限于：一一本机构数据分级工作的州导俎织及其负责人，主要负货统号、规划数据安全分级工作。本机构数据分级工作的管理部门（或组织）及其负责人.主要负责数据分级相关工作的组织、协调、管理、审核、评审等工作，一一本机构信息科技部门及其负近人在数据安全分级工作中的用色，主要负责落实数据安全分徼有关要求，并主导数据安全分级实施工作。一本机构业务部门（和/或数据属主部门及其负责人在数据安全分拨工作中的角色，主要负责落实数据安全分级有关要求.并协同开展数据安全分级实做匚作.一一本机构其他相关郃门在数据安全分级工作中的角色、职所及负说人.5.4.2制度保降建立数据分级工作的相关制度,明确并落实相关工作要求,包括但不限于：一一数班分级的目标和原则.一一数据分级工作涉及的角色、部门及相关职费.数据分级的方法和具体要求.一一数据分级的日常管理流程和操作规程，以及分级结果的确定、评审、批准、发布和变更机制.数据分级管理相关绩效考核和评价机制.数据分级结果的发布、备案和管理的相关规定.数据分级清单审核与修订的原则和周期。5.43定级流程金曲数据安全定级过程包括数据资产梳理、数据安全定级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准，具体工作流程如图1所示。 jH*r*f1.t.ar与分奥.««4MK<AM« MffftKfiA.tt«««A> 安全分分ftK及TIt，ftK*«SX小dE1数据安全定级工作流程数据定级流程基本步臊如卜：数据资产梳理：第一步：对数据进行盘点、梳理与分类，形成统一的数据资产清单,弁进行数捡;安全定级合规性相关准备工作。数据安全定级准符：第二步：明确数据定级的颗粒度（如库文件、表、字段等）.第三步：识别数据安全定级关键要素.数据安全徽别判定：第四步；按照5.3所述数据定级规则，结合国家及行业有关法律法规、部门规章，对数据安全等级进行初步判定.第八步：媒合考虑数据规模、数据时效性、数据形态（如是否经汇总、加工、统ih脱根或匿名化处理等）等因素,对数据安全级别进行复核,两整形成数据安全级别评定结果及定覆清华.数据安全娘别审核：第六步：审核数据安全级别评定过程和结果，必要时重登第三步及其后工作，宜至安全级别的划定与本机构数据安全保护目标一致.数据安全徼别批准：第七步：最终由数据安全管理最将决策组织对数据安全分级结果进行审议批准.5.5级别变更数据安全定级完成后,出现卜列情形之一时，金融业机构宜时相关数据的安全级别进行变更（相关示例参见附录B）,并按照5.4.3数据定级流程实施.一一数据内容发生变化.导致区有数据的安全级别不适用变化后的数据.数据内容未发生变化，但囚数据时效性、数据规模、数据使用场景、数据加工处理方式等发生变化，导致原定的数据安全级别不再适用。一一因数据汇聚融令，皆孜原有数据安全级别不再适用汇聚融合后的数据.一一因国家或行业主管部门要求.导致原定的数据安全级别不可适用.需要对数据安全级别iS行变更的其他情形，6重要效据识别金融业机构所承教重要数据的识别和认定工作宜遵照国家及行业主管部门有关规定执行.重要数据的性质和内容相关描述参见附录C,仅供金融业机构开展数据安全分必工作时参考使用。重要数据的安全级别不宜低于本标准中礴定的5级，附录A（资料性附录）数据定级规则参考表金融业机构典型数据的定级规则参考如表A.1所示,实际应用过程中,各金融业机构宜根据其所管辖数据的类型、特性、规模以及机构特性等因素,踪合考虑本机构数据安全管理的总体目标和安全策略要求，按照一定的颗粒度对数据资产进行合理的梳理、归类和细分,最终确定数据的安全皴别划分清单.此外，金Ift业机构所承领我要数据的安全级别宜不低于本标准确定的5级。破要数据的识别、认定及保护工作依据国京及行业主管部门有关规定和要求执行.表A1金融业机构典型数据定级规则参考表敷据白突M分f1.JN善注-程=AJtA说，三扈义说明BItH英内容指金融业机构指个人的臼然国性信总.即个人本弁R有的项性.向非在金殴业机构业务开展过程中产生的口性侑患.个人基本概况信.&弟个人珞本情况数用.如个人姓:名、性别、国相、（海外账户纳税法案F（FATCA）有关个人身份数据、民族、的婚状猊、证件类型、证件号码、证件生效IJ期、证件到期日期、家庭住址等.3个人N才产信息指个人的财产数据，如个人收入状况、拥中的不动产状况、拥有的车辆状况、纳税额、公枳金激存金瓶、个人社保与医保存激金Si等.3客户个人提供各种业务收务的自然人时象相关的各类信丛.个人自然信息个人联系信息指个人各类通信联系方式效熨，如手机、固定电话、电子心箱地址、发信号等.3个人健康生理信息指个人生病医治过程中产生的相关记案散招.如侬症'住院志、国以、检的报告、手术及麻解记录、护理记录、用药记录、跖物食物过敏怡息、生力信恩、以往衲史，论治情况、京族病史、现我史、传染利史等,以及与个人身体St1.K状况相关的其他信思.加吸烟史等.4个人地理位置信息将描述族R体定位到个人的地理位置致案.如包含所在国率.就市、仅域、街道、跄纬度等椎度信息下的常在位置和当前位置等.3I1.瑞II1.ZZCMZ¥r*88ZI8«iis&工t!rNW#，s2¾s½怒gA«，_s二.Dt<君<s-=ss,K=«.*，£兄因蜜，曲疆£推出写覆耳iss-sss三¾sa®S黑磔YS，受3iss"J三M三亲«Y&三*(0i三H格说三%，逶区)sn，wsn三S5三«-务.S更玄，Sr生0三P一返复3*，-KfWfn兴«雉«0*<fYG史啖侬二”近衣或，.&W三诋÷a1.i÷u5J)H阳，K空半w，耳定注女华，(弟-V>sN5半，<%f?女2写相卷辽Jfess，s«W渗拦玄曰匚&纪亲妙冬b÷3f关於£&煌-S-§，妗，史奴.55S三i三室丁冬弟W½TH*y÷,8豺3OI交55jftJ安生Pwrw，克安豆一素麻s三7景淤-÷已作密÷s蜀-总»箱拿口.f三三三姿t4裱srEJ'三三:，三s1.=星，。湖ms-sss-5÷=-ssi三*x<-,si轩出Y÷三J½蛭在YGu衰率？1-=st任YG安样兴JSS，硬W4SiRi三*，-is之Mi=f与i338三÷-IaS85f国U:.二VI¾和2N卬烟袒硬记市和期三理感Y÷M4以别£注sse*宏朱爵«皿10教«旨£器提五防色HYG冬.S壬昏WNi=s*÷限含.1=«京芟Y渊BG宓i三妪S)Y1£÷谑8累TSSONoZ1.Z601HBR白类和编分f1.M各注-程½A三和扈义说明HF内容Hft±IMs个人关系信明指个人与关联方关系.R体说明双方关东的信息,如个人间关靠侑忌、公私间关靠带息等.个人向美系怡息折用于描述个人与个人关联方关系的记录妆期.如了或女，父母、wa妹、用偶、社交关系等.3公私向关系倡恩指用于珞述个人与举位关联方关系的记录效相.加法定代在人、财务负由人、业务相办人、假麻员、舟督人员等.2个人行为信息指个人通过各种来迎和金融业机构发生业务关系时的行为数据.行为保息指发生业务关系时的行为数据，如搔述客户啦1.网上银行、手机银行、AFA柜限客户彩理、远程银行、HWhIa值、社交网络*辅助朱道等咨询、的买或使M金融业机构产品或眩务时产生的如拜访时间（含会录时间、访问时间），地点,网页浏觉记录、ApP浏览记录、个人”轴习惯等.2个人标密B息指根据各类个人信息构建的用于时个人客户分类分析的排述«1息.基砒标笠值总将茶于个人柒本现性信息构建的用广刻画个人的标JStttw.如依教F1.职业等构建的个人标签等.3美系标笠侑息指基于个人关M性值总构建的用于刻画个人关系的标签数据,如基于家庭关系、职业关系、商业关系等构建的个人标笠等.3究妁标笠信总指暴个人持有的金唯业机构产品俏恩构建的用J刻间个人箱为情况的标签数第.如个人存款标笠、个人贷款标签等.2交易类标签信息指基于个人交品值息拘通的用于到st个人交易情况的标签数据.如支付结算业务标签等.2行为标线侑息推韭个人行为侑总构建的用刻画个人行为的标签数据如内部行为标签、外部行为标签等.2苕销班务标签信息指韭了个人营销限务屉性估总构建的标签数据（从个人背的服务税性中提取加工，井单独构建，用于朝语计对个人的营HI服务情况），如营销管理林冬活动权战、目名用等）、服务Jn理板笠（客户假粥度、黑务分类警等.2BR白类和编分f1.M各注-程½A说，三和扈义说明HF内容Hft±IMsJ赧标签信Ja折茶于个人风险信息构建的标注致蝌（从个人应总信息中提取加工.并单独构建.用于刻证个人凤或），如宓风险客户标笠等.2价优标线侑息折整于分析个人价值所形成的林若数施（从包括金唯产品偏好、个人财产状况等信息中极取加工.并单独构建,用于削面个人价值）.加综合评价标茶、产拈持行等锻标茶等.2指金取业机构提供业务服分团体对象（如政府机关、企事业举位、社会团体、民间纲织等）的政期.单位基本信息指冷位的白然H性数据.指收位本身具有的属性,而非在金融业机构省理过程中产生的属性,恩中位熟本悔况指用位居1概况数据,如法定代表人姓名、企业名称、线-社会信用代码、经酋许可证、经营范惧、行业分突、粒济类里、人处规模、注明贫串、企业地址等.1股东信息将主要出资人信息数据，如控股股东N称,注册资本、实收资本等.2管理层归息揖企业应营管理层主要也成人公、实际控制人信息数据，加其姓名、证件类型、证件号码、联系方式等，3地位联系信用指m位的联系方式信息数据,如联条电话、联系人，通信地址等.2单位网务信息折饮位财务信息敷枢.如兴业收入，利湖总额、资产状况、负他状况尊.2单位身份的信息指取位用户柴别信M效期（该类信息一旦遗到未经授权的会介或未睚授权的变更,会对全股信息主体的伯必安全与Iw产安全造成严值危害）.传统喋别侑息指用于验证中位是否IVW访何或使用权聚的数据如锹行卡磁道（或芯片等效信息）、卡片验证犯（CVN和CVN2）.卡片罚收期、银行卡密码、支忖照码等支付依道怕息.徐户（包括但不限于支付制号、网络支付业务系统中个人金融信息主体登求用户、迂券账户、保险账户）的登录密码、交的左码、查询常码等.4IiBR白类和编分f1.M各注-程½A三和扈义说明B1.f1.HF英内容Hft±IMs眩位资讯信公指外部资讯、用于扑充总位基酬倡总的故弼.企业怯饯信息折企业信贷历史记录信总.加企业借；信丛,企业还款信,以、企业欠款信息等企业在信贷过程中产生的数掀.3企业司法信息括企业的司法相关数累.Si失信被执行人信忌、被执行人信息、开庭公告伟忠.立案公告信息等.2企业税务信息指企业税务触第.如纳税情况、企业纳税人伯用评级伫总、企业增好税激场顺同比减少20%以上信息等.2企业工商侑息指企业在巾场脱管部门录人的可IE词故娓,如企业证照信息、注册U期、企业类型、股东及出资人信息、主要过理人员伤息、企业对外投费殍.I中位关系他息指舱位与明位、电位与个人之向的关能关系数据.如惟位向关系方总、公私间关系信息等.中位间关系格息指描述单位与单位关联方关系的数第如集团关系、京族企业、互持股情况等关系，2公私何关系信息指描述单位与个人关联方之间关系的数据.如法定代表人、财务负责人、业务足办人、般制公、高殍等.2取位行为信£1指单位通过外关娱道和金融业机构发生业务关系时的行为数据.行为信息指发生业分关系时的行为数据,如通过网上假忏、F机做行.APP.柜面，客户笈理、远程银行、虹件、也信、社交M络、辅助梁迎等咨珈、购买或使川金BS业机构产品或职务时产生的拜访时向、地点、网贝浏览习惯、AIT浏览可恢等行为记录.2柚麻签信总指根据刑位JW性构注的特征能描述故«.主要用于对单位数据分类分析.基砒标笠俏恩将也于单位自仃肮性构UJ的尿答数据,如金融客户标签等.2美系标笠信恩疥丛J即KI关联关系构建的标签数据,如供也桂松心客户标笠等.2答为标甚信恩拧韭单位的使用产品及投资嫡好构建的标签敝据如网银笠妁标笠等.2