五月婷婷婷之激情综合-亚洲国产香蕉视频欧美-国产蜜臀av在线一区尤物-日韩精品乱码久久久久

數(shù)字經(jīng)濟的安全基石

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

解讀|《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》發(fā)布

閱讀量:文章來源:安恒信息

? //??

7月24日,央行發(fā)布《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》(下稱《辦法》),指導(dǎo)督促相關(guān)數(shù)據(jù)處理者依法依規(guī)開展中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)處理活動,履行數(shù)據(jù)安全保護義務(wù),并向社會公開征求意見。

《辦法》是中國人民銀行在過去一年充分調(diào)研總結(jié)行業(yè)數(shù)據(jù)安全成熟經(jīng)驗做法基礎(chǔ)上,細(xì)化明確中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全的合規(guī)底線要求,有效填補了本領(lǐng)域數(shù)據(jù)安全管理制度保障空白。

《辦法》共八章五十七條,覆蓋總體要求、管理措施、技術(shù)措施、監(jiān)測-審計-處置、法律責(zé)任等多方面,安恒信息深入解讀后,提煉出以下要點:

總則部分

明確適用范圍《辦法》約束的數(shù)據(jù)處理者是指在中華人民共和國境內(nèi)開展的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動,其中尤其提到了貨幣政策業(yè)務(wù)、跨境人民幣業(yè)務(wù)、銀行間各類市場交易業(yè)務(wù)、金融業(yè)綜合統(tǒng)計業(yè)務(wù)、支付清算業(yè)務(wù)、貨幣管理和數(shù)字人民幣業(yè)務(wù)、經(jīng)理國庫業(yè)務(wù)、征信業(yè)務(wù)、反洗錢業(yè)務(wù)等領(lǐng)域的數(shù)據(jù)處理活動。

加強監(jiān)管協(xié)同:《辦法》指出,中國人民銀行及其分支機構(gòu)必要時可與其他有關(guān)主管協(xié)同合作監(jiān)管。同時也列舉了金融行業(yè)協(xié)會的參與,包括:中國銀行間市場交易商協(xié)會、中國支付清算協(xié)會、中國互聯(lián)網(wǎng)金融協(xié)會等,這表明執(zhí)法措施更加多元化。

數(shù)據(jù)分類分級部分

1.分類分級的方法:重要分三級、敏感分五層、兼顧可用性

數(shù)據(jù)分類依照業(yè)務(wù)進行數(shù)據(jù)分析,根據(jù)各數(shù)據(jù)項是否為個人信息、數(shù)據(jù)來源(生產(chǎn)經(jīng)營加工 產(chǎn)生、外部收集產(chǎn)生等)、存儲該數(shù)據(jù)項的信息系統(tǒng)清單和應(yīng)用的業(yè)務(wù)類別。

數(shù)據(jù)分級:《辦法》將數(shù)據(jù)分為一般、重要、核心三級,在此基礎(chǔ)上,又將數(shù)據(jù)按照敏感性分層級,根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時,可能對個人、組織合法權(quán)益或者公共利益等造成的危害程度,將數(shù)據(jù)項敏感性從低至高進一步分為一至五共五個層級。

創(chuàng)造性的引入了數(shù)據(jù)可用性分層級:將數(shù)據(jù)安全納入信息系統(tǒng)業(yè)務(wù)連續(xù)性考慮,擴大容災(zāi)備份的能力。這為金融機構(gòu)的“兩地三中心”等業(yè)務(wù)連續(xù)性方案提供了數(shù)據(jù)合法性基礎(chǔ)。

2、數(shù)據(jù)分類分級應(yīng)持續(xù)動態(tài)調(diào)整,應(yīng)用就高原則的同時保障數(shù)據(jù)流通

《辦法》強調(diào):數(shù)據(jù)處理者應(yīng)每年組織更新數(shù)據(jù)資源目錄,根據(jù)數(shù)據(jù)使用情況進行動態(tài)調(diào)整。

采取就高原則:(1)對于非結(jié)構(gòu)化數(shù)據(jù),諸如:圖像、視頻;和不同敏感性層級數(shù)據(jù)項難以采取差異化管理的,應(yīng)當(dāng)統(tǒng)一采取最高敏感性層級數(shù)據(jù)項進行管理。

(2)與合作方合作,諸如:母公司、子公司、關(guān)聯(lián)公司或者附屬公司等開展數(shù)據(jù)處理活動時,不得降低安全保護管理和技術(shù)措施要求。

既要保護敏感數(shù)據(jù),又最大化促進數(shù)據(jù)流通——使用第三層級以上數(shù)據(jù)項加工后產(chǎn)生的數(shù)據(jù)項,經(jīng)評估確認(rèn)無法識別至特定個人、組織,或者反映信息敏感程度明顯低于原數(shù)據(jù)項時,數(shù)據(jù)處理者履行內(nèi)部審批手續(xù)后,可視情況降低敏感性層級(《辦法》第21條)。

數(shù)據(jù)安全保護的管理、技術(shù)及其他要求部分

1、明確八個環(huán)節(jié)具體的管理和技術(shù)措施,壓實全流程合規(guī)底線

《辦法》針對數(shù)據(jù)處理活動的全生命周期—收集、存儲、使用、加工、傳輸、提供、公開、刪除各階段都明確了針對不同級別數(shù)據(jù)的細(xì)致的管理措施和技術(shù)措施,基于數(shù)據(jù)分類分級的基礎(chǔ)上,對不同級別的數(shù)據(jù)實施相應(yīng)的防護。這些措施也剛好對應(yīng)了《辦法》規(guī)定的數(shù)據(jù)處理者要“壓實數(shù)據(jù)處理活動全流程安全合規(guī)底線”,可以理解為數(shù)據(jù)處理者只有做到了這些,才是滿足了合規(guī)的基線要求。從技術(shù)細(xì)節(jié)上看,《辦法》既從細(xì)節(jié)上進行了約束,又明確了一些特殊場景可以通過內(nèi)部審核審批、統(tǒng)一明確場景等方式優(yōu)化措施落實,避免合規(guī)義務(wù)“一刀切”。

其中特別注意的是區(qū)別于之前標(biāo)準(zhǔn)的一些重要更新點,如管理措施中明確了針對一般性數(shù)據(jù)、特殊性數(shù)據(jù)、數(shù)據(jù)融合創(chuàng)新應(yīng)用、數(shù)據(jù)出境限制、國際組織和外國金融管理部門數(shù)據(jù)調(diào)取、數(shù)據(jù)公開保護、數(shù)據(jù)刪除保護等場景下的數(shù)據(jù)安全管理措施。數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)前,還應(yīng)當(dāng)提請國家數(shù)據(jù)安全工作協(xié)調(diào)機制辦公室批準(zhǔn)。

2、注重與現(xiàn)有標(biāo)準(zhǔn)的重申與銜接,重點進行具體要求補充

《辦法》承繼了《數(shù)據(jù)安全法》《個人信息保護法》的要求,并進行重申:如:第26條規(guī)定境內(nèi)收集和產(chǎn)生的數(shù)據(jù)原則上應(yīng)當(dāng)在境內(nèi)存儲、在規(guī)定情形下向境外提供數(shù)據(jù)應(yīng)當(dāng)申報數(shù)據(jù)出境安全評估等,第27條規(guī)定非經(jīng)主管部門批注不得向境外監(jiān)管部門提供境內(nèi)存儲的數(shù)據(jù)。同時也對現(xiàn)有標(biāo)準(zhǔn)進行補充:如:第17條明確在間接收集數(shù)據(jù)的場景下,數(shù)據(jù)處理者應(yīng)當(dāng)要求數(shù)據(jù)提供方提供取得同意的證明或來源說明材料,第26條明確了數(shù)據(jù)出境場景下每年1月底對于出境數(shù)據(jù)規(guī)模和范圍進行測算,第29條明確數(shù)據(jù)處理者應(yīng)當(dāng)每年進行賬號核驗以確??梢皂憫?yīng)用戶的刪除權(quán)等。

3、提倡創(chuàng)新,鼓勵隱私計算等新興技術(shù)

《辦法》第25條、第37條提出,在明確在控制風(fēng)險的范圍內(nèi)可以使用隱私計算新型技術(shù)。隱私計算目前已經(jīng)使用于金融行業(yè)多頭借貸、智能風(fēng)控等場景中,用來實現(xiàn)“可用不可見,可用不可取”,但是隱私計算也不是絕對完美的,更多場景依然處于行業(yè)探索階段。人行為了促進數(shù)據(jù)高效流通和創(chuàng)新應(yīng)用,明確在底線是應(yīng)確保原始數(shù)據(jù)未離開自身控制范圍、暴露約定范圍外信息的風(fēng)險可控、建立對應(yīng)的風(fēng)險緩釋措施的前提下,為新技術(shù)新創(chuàng)新提供了空間。

細(xì)化違法行為,加強處罰力度

《辦法》特別細(xì)化了以下違法行為,并將所述條款進行細(xì)化,加大了違反《辦法》約束的數(shù)據(jù)安全處理活動的行為的處罰力度,包括違反數(shù)據(jù)安全保護義務(wù)行為、違反規(guī)定數(shù)據(jù)出境行為、違反規(guī)定向國際組織或者外國金融管理部門提供數(shù)據(jù)行為、非法獲取數(shù)據(jù)行為、處理數(shù)據(jù)損害合法權(quán)益行為、監(jiān)督管理人員違反規(guī)定行為等。


對《辦法》本身的內(nèi)容而言,并沒有太多“史無前例”的規(guī)定,更多是基于現(xiàn)有監(jiān)管規(guī)則的細(xì)化和補充延伸。《辦法》聚焦金融行業(yè)數(shù)據(jù)安全風(fēng)險,通過數(shù)據(jù)分類分級加強資產(chǎn)掌控能力,明確覆蓋數(shù)據(jù)全生命周期的管理及技術(shù)要求,強化內(nèi)生安全能力,結(jié)合評估、處置、審計措施,實現(xiàn)數(shù)據(jù)安全體系工作的持續(xù)迭代優(yōu)化。在銜接已有法規(guī)標(biāo)準(zhǔn)的基礎(chǔ)上,切實保障金融行業(yè)數(shù)據(jù)安全工作有序開展?!掇k法》既體現(xiàn)了金融行業(yè)監(jiān)管部門對行業(yè)數(shù)據(jù)安全建設(shè)工作的深度觀察,也是從合規(guī)層面體系化推進數(shù)據(jù)安全建設(shè)路徑,對金融行業(yè)數(shù)據(jù)處理者的實踐工作具有重大意義。




“安恒信息”微信公眾號設(shè)為星標(biāo)?

關(guān)注信息不走丟哦!


往期精彩回顧




安恒信息“網(wǎng)絡(luò)安全衛(wèi)士”:與體育健兒一起出征 守護每一份安全

2023-07-27

多家高校DNS服務(wù)器遭受攻擊?安恒信息應(yīng)對方法來了

2023-07-26

安恒信息連續(xù)四年被Gartner技術(shù)成熟度曲線報告列為中國云安全“標(biāo)桿供應(yīng)商”

2023-07-25



關(guān)閉

客服在線咨詢?nèi)肟冢诖c您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產(chǎn)品試用

即刻預(yù)約免費試用,我們將在24小時內(nèi)聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式