本文来自微信公众号: Internet Law Review ,作者:张颖
2026年6月8日,国家网信办、央行、金融监管总局、证监会、统计局、外汇局六部门联合印发《金融信息服务数据分类分级指南》(下称《指南》),其中一个重要的规定是:
1,000万人及以上的个人用户基本信息数据集、100万人及以上的个人用户交易数据集、10万人及以上的生物特征识别信息数据集、100万及以上机构用户基本信息数据集、10万及以上机构用户交易数据集,均构成重要数据。
往前推一个月,国家数据局发布《全国数据资源调查报告(2025)》:2025年全国年度数据生产总量已达52.26 ZB,同比增长27.28%,占全球约27.44%;其中用于AI训练和推理的数据总量同比增加42.86%,推理数据首次超过训练数据。这份报告是国家统计的一部分,换句话说,国家数据局已经摸清家底。
52 ZB的数据洪流、AI推理的规模化落地、金融指南的量化红线,这些信息集中地指向同一个趋势:过去五年业界习惯的"个保法管隐私、数安法管重要数据“分开合规的二分法,正在2025-2026年的行业目录落地潮中被系统性模糊。而这道分界线被有意模糊化处理的地方,正是科技企业未来两年最大的合规重点。
一、"敏感一般数据"与“重要数据”需要区分
中文里"敏感数据"可能会指向三种不同的场景和用法,混着用就会得出错误结论。
| 术语 | 法律来源 | 保护对象 | 典型示例 |
| 敏感个人信息 | 《个保法》第28条 | 自然人(人格尊严+人身财产) | 生物识别、医疗健康、金融账户、行踪轨迹 |
| 敏感一般数据 | 《指南》第3.6条 | 组织/公共利益为主 | 未公开私募基金数据、涉人民币外汇数据 |
| 重要数据 | 《数安法》+《网数条例》第62条 | 国家安全/经济运行/社会稳定/公共健康 | 未公开领陆数据、关键基础设施业务数据 |
《指南》第3.6条对“敏感一般数据”的定义是:“一旦被泄露或篡改、损毁,对经济运行、社会稳定、公共利益有一定影响,或者对组织自身或者公民个体造成重要影响的数据”。它落在“一般数据”大类之下,是《数据安全技术数据分类分级规则》(GB/T 43697—2024,以下简称“分级规则”)三级框架(核心/重要/一般)里“一般”的内插层。
金监总局2024年12月《银行保险机构数据安全管理办法》第18条、央行2025年5月《中国人民银行业务领域数据安全管理办法》均已先在“一般”内分出“敏感数据”层。《指南》2026年6月将用词调整为“敏感一般数据”,意在明确这层仍在“一般”法律档位,避免被误读为重要数据。
一个重要但常被忽略的排除标准是,数安法和网数条例均明确“仅影响组织自身或公民个体的数据,一般不作为重要数据”。单条人脸、单份病历默认不算重要数据,按个保法路径处理即可。
但一旦叠加上“分级规则”的八大分级要素——领域、群体、区域、精度、规模、深度、覆盖度、重要性——中的若干项,数据的法律定性便开始变化。
二、规模跨线:八大要素中"规模+群体"的量化锁定
“分级规则”起草单位中国电子技术标准化研究院在该标准解读中指出,重要数据的判定依赖于八大分级要素——领域、群体、区域、精度、规模、深度、覆盖度、重要性——的综合评估,大规模个人信息之所以可能被认定为重要数据,"不是因为人数规模本身直接对应某一级别,而是因为当个人或组织权益受到大规模影响时,影响对象可能已经不只是个人权益或组织权益,也可能对国家安全、经济运行、社会秩序或公共利益造成影响"。
据此,"1000万/100万/10万"并非国标直接钉死的数字,而是行业/地方主管部门按本行业特点量化的实施细则线。金融信息服务场景下,《指南》通过量化阈值与场景化示例明确了五档重要数据识别线:
1000万人及以上的个人用户基本信息数据集
100万人及以上的个人用户交易数据集
10万人及以上的生物特征识别信息数据集
100万人及以上的机构用户基本信息数据集
10万人及以上的机构用户交易数据集
其中,"个人/机构用户"对饮上述八大要素中的"群体","1000万/100万/10万"对应"规模","生物特征"“交易数据”对应"精度"。不过根据专家解读进一步点明,1000万人个人用户基本信息数据集在《指南》中是重要数据的"参考最低级别"而非上限——达到阈值即应纳入重要数据考量,低于阈值并不绝对排除结合其他要素被认定为重要数据的可能。
三、2026年:重要数据目录的收口节奏
前述分析揭示了"重要数据"从法律原则向具体规则的转化过程,这一过程并非无序推进,而是沿着两条相互交织的线索展开:一条是自上而下的行业细则落地,另一条时自贸区差异化十点。两条线索的共同指向,是"重要数据"识别标准从抽象到具体、从分散到统一的制度演进。理解这一演进逻辑,有助于判断2026年之后企业合规义务的演变方向。
(一)行业细则的递进落地
2024年10月1日,《数据安全技术数据分类分级规则》(分级规则)实施,确立了八大分级要素与三级框架,为各行业数据分类分级提供了通用方法论。此后,各行业主管部门在这一框架下陆续出台本领域实施细则:
2024年12月,金监总局《银行保险机构数据安全管理办法》发布,在"一般"数据内插入"敏感数据"层;
2025年5月,央行《中国人民银行业务领域数据安全管理办法》跟进"敏感数据"内插,并建立重要数据"央行汇总→国家数据安全工作协调机制审定→反向告知企业"机制;
2025年12月,国家能源局《能源行业数据安全管理办法(试行)》印发(2026年7月1日施行),以及2026年6月30日印发的《能源行业数据分类分级指南(2026年版)》建立能源行业数据分类分级保护制度、重要数据目录机制,将部分重要能源设施的精确地理坐标、实时控制指令以及能源消费类数据被列入能源行业重要数据和核心数据;
2026年6月8日,六部门《金融信息服务数据分类分级指南》通过量化阈值(1000万人个人用户基本信息、100万人个人用户交易数据集、10万人生物特征识别信息数据集等)将金融信息服务场景的重要数据识别具体化。
可以看出,各行业主管部门在其授权范围内,结合本行业数据特点和风险管理需求,将抽象的分级要素转化为可操作的量化标准。各行业的选择性差异——例如金融行业在"一般"内插入"敏感数据"层、能源行业则维持三级框架,是制度弹性空间在行业层面的正常体现。
(二)自贸区负面清单的差异化试点
近期,中国多个自贸区公布了数据出口负面清单。虽然这些清单最初是针对跨境数据传输而制定的,即明确规定了某些数据离开中国前需要进行的行政备案或审批流程,但它们代表了迄今为止关于各行各业“重要数据”构成要素的最清晰、最具可操作性的指导。
| 自贸区 | 清单里的重要数据 | 非"传统敏感领域" |
| 北京 | 汽车、医药、零售、民航、AI | 零售 |
| 上海临港 | 智能网联、再保险、商贸、气象 | 商贸/气象 |
| 海南 | 深海、种业、航天、免税 | 种业/免税完 |
| 广西 | 地理信息与气象数据服务、企业信用信息服务、直播跨境电商、海外音视频制作与传播 | 直播跨境电商、海外音视频制作与传播 |
值得注意的是,自贸区清单所识别的重要数据,已明显超出"国防、关键基础设施、涉密科研、测绘"等传统敏感领域的范围。例如北京清单纳入零售,上海临港清单纳入商贸、气象,海南清单纳入免税,以及广西的直播跨境电商。这种差异化是中央"按本地主导产业试点"弹性的体现,并非制度混乱。
尽管负面清单的形式上仅限于在自贸区注册的跨境数据传输实体,但其背后的逻辑——即数据类别、资格门槛和描述性标准——可能体现了更广泛的国家层面监管思路。这些清单未来可能会影响中国各地行业监管机构识别重要数据的方式。
四、企业合规的启示
第一,自查用户池与业务场景是否会纳入下一批行业/地方目录。
按三层架构叠加排查:“分级规则”八大要素、本行业目录(主业跨几个行业即查几套)、注册地地方目录。规模型路径与场景型路径需并行扫描,不可仅关注用户数量。
第二,制定规模/场景跨线的出境路径切换预案。
假设监管告知某批数据兼属重要数据,原有个保法标准合同路径即告失效,须补办安全评估且无数量豁免。建议在数据出境合规审计中增设"重要数据潜在识别清单"及"定性后的路径切换SOP"。
第三,停止将个保法合规与数安法合规分作两张表管理。
过去《个保法》侧多由法务/隐私团队按"个人信息处理活动"建表,《数安法》侧多由安全/数据合规团队按"分类分级"建表——两套表在字段设计、触发阈值、出境路径、审计证据上长期并行。但随着金融指南"1000万人个人用户基本信息"等量化线密集落地,个保法侧的个人信息池开始被数安法侧行业目录批量重新定性,两张表的字段开始重叠——此时若仍分治,可能会让企业面临从两条法律路径同时开出罚单的风险。
