首頁 > 關于我們 > 安恒動態 > 2023 > 正文

解讀｜《中國人民銀行業務領域數據安全管理辦法（征求意見稿）》發布

閱讀量：次 文章來源：安恒信息

? //??

7月24日，央行發布《中國人民銀行業務領域數據安全管理辦法（征求意見稿）》（下稱《辦法》），指導督促相關數據處理者依法依規開展中國人民銀行業務領域數據處理活動，履行數據安全保護義務，并向社會公開征求意見。

《辦法》是中國人民銀行在過去一年充分調研總結行業數據安全成熟經驗做法基礎上，細化明確中國人民銀行業務領域數據安全的合規底線要求，有效填補了本領域數據安全管理制度保障空白。

《辦法》共八章五十七條，覆蓋總體要求、管理措施、技術措施、監測-審計-處置、法律責任等多方面，安恒信息深入解讀后，提煉出以下要點：

總則部分

明確適用范圍：《辦法》約束的數據處理者是指在中華人民共和國境內開展的中國人民銀行業務領域數據相關的處理活動，其中尤其提到了貨幣政策業務、跨境人民幣業務、銀行間各類市場交易業務、金融業綜合統計業務、支付清算業務、貨幣管理和數字人民幣業務、經理國庫業務、征信業務、反洗錢業務等領域的數據處理活動。

加強監管協同：《辦法》指出，中國人民銀行及其分支機構必要時可與其他有關主管協同合作監管。同時也列舉了金融行業協會的參與，包括：中國銀行間市場交易商協會、中國支付清算協會、中國互聯網金融協會等，這表明執法措施更加多元化。

數據分類分級部分

1.分類分級的方法：重要分三級、敏感分五層、兼顧可用性

數據分類：依照業務進行數據分析，根據各數據項是否為個人信息、數據來源（生產經營加工產生、外部收集產生等）、存儲該數據項的信息系統清單和應用的業務類別。

數據分級：《辦法》將數據分為一般、重要、核心三級，在此基礎上，又將數據按照敏感性分層級，根據數據遭到泄露或者被非法獲取、非法利用時，可能對個人、組織合法權益或者公共利益等造成的危害程度，將數據項敏感性從低至高進一步分為一至五共五個層級。

創造性的引入了數據可用性分層級：將數據安全納入信息系統業務連續性考慮，擴大容災備份的能力。這為金融機構的“兩地三中心”等業務連續性方案提供了數據合法性基礎。

2、數據分類分級應持續動態調整，應用就高原則的同時保障數據流通

《辦法》強調：數據處理者應每年組織更新數據資源目錄，根據數據使用情況進行動態調整。

采取就高原則：（1）對于非結構化數據，諸如：圖像、視頻；和不同敏感性層級數據項難以采取差異化管理的，應當統一采取最高敏感性層級數據項進行管理。

（2）與合作方合作，諸如：母公司、子公司、關聯公司或者附屬公司等開展數據處理活動時，不得降低安全保護管理和技術措施要求。

既要保護敏感數據，又最大化促進數據流通——使用第三層級以上數據項加工后產生的數據項，經評估確認無法識別至特定個人、組織，或者反映信息敏感程度明顯低于原數據項時，數據處理者履行內部審批手續后，可視情況降低敏感性層級（《辦法》第21條）。

數據安全保護的管理、技術及其他要求部分

1、明確八個環節具體的管理和技術措施，壓實全流程合規底線

《辦法》針對數據處理活動的全生命周期—收集、存儲、使用、加工、傳輸、提供、公開、刪除各階段都明確了針對不同級別數據的細致的管理措施和技術措施，基于數據分類分級的基礎上，對不同級別的數據實施相應的防護。這些措施也剛好對應了《辦法》規定的數據處理者要“壓實數據處理活動全流程安全合規底線”，可以理解為數據處理者只有做到了這些，才是滿足了合規的基線要求。從技術細節上看，《辦法》既從細節上進行了約束，又明確了一些特殊場景可以通過內部審核審批、統一明確場景等方式優化措施落實，避免合規義務“一刀切”。

其中特別注意的是區別于之前標準的一些重要更新點，如管理措施中明確了針對一般性數據、特殊性數據、數據融合創新應用、數據出境限制、國際組織和外國金融管理部門數據調取、數據公開保護、數據刪除保護等場景下的數據安全管理措施。數據處理者向其他數據處理者提供核心數據前，還應當提請國家數據安全工作協調機制辦公室批準。

2、注重與現有標準的重申與銜接，重點進行具體要求補充

《辦法》承繼了《數據安全法》《個人信息保護法》的要求，并進行重申：如：第26條規定境內收集和產生的數據原則上應當在境內存儲、在規定情形下向境外提供數據應當申報數據出境安全評估等，第27條規定非經主管部門批注不得向境外監管部門提供境內存儲的數據。同時也對現有標準進行補充：如：第17條明確在間接收集數據的場景下，數據處理者應當要求數據提供方提供取得同意的證明或來源說明材料，第26條明確了數據出境場景下每年1月底對于出境數據規模和范圍進行測算，第29條明確數據處理者應當每年進行賬號核驗以確保可以響應用戶的刪除權等。

3、提倡創新，鼓勵隱私計算等新興技術

《辦法》第25條、第37條提出，在明確在控制風險的范圍內可以使用隱私計算新型技術。隱私計算目前已經使用于金融行業多頭借貸、智能風控等場景中，用來實現“可用不可見，可用不可取”，但是隱私計算也不是絕對完美的，更多場景依然處于行業探索階段。人行為了促進數據高效流通和創新應用，明確在底線是應確保原始數據未離開自身控制范圍、暴露約定范圍外信息的風險可控、建立對應的風險緩釋措施的前提下，為新技術新創新提供了空間。

細化違法行為，加強處罰力度

《辦法》特別細化了以下違法行為，并將所述條款進行細化，加大了違反《辦法》約束的數據安全處理活動的行為的處罰力度，包括違反數據安全保護義務行為、違反規定數據出境行為、違反規定向國際組織或者外國金融管理部門提供數據行為、非法獲取數據行為、處理數據損害合法權益行為、監督管理人員違反規定行為等。

對《辦法》本身的內容而言，并沒有太多“史無前例”的規定，更多是基于現有監管規則的細化和補充延伸。《辦法》聚焦金融行業數據安全風險，通過數據分類分級加強資產掌控能力，明確覆蓋數據全生命周期的管理及技術要求，強化內生安全能力，結合評估、處置、審計措施，實現數據安全體系工作的持續迭代優化。在銜接已有法規標準的基礎上，切實保障金融行業數據安全工作有序開展。《辦法》既體現了金融行業監管部門對行業數據安全建設工作的深度觀察，也是從合規層面體系化推進數據安全建設路徑，對金融行業數據處理者的實踐工作具有重大意義。