首頁 > 關(guān)于我們 > 安恒動態(tài) > 2023 > 正文

解讀｜《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》發(fā)布

閱讀量：次 文章來源：安恒信息

? //??

7月24日，央行發(fā)布《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》（下稱《辦法》），指導(dǎo)督促相關(guān)數(shù)據(jù)處理者依法依規(guī)開展中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)處理活動，履行數(shù)據(jù)安全保護義務(wù)，并向社會公開征求意見。

《辦法》是中國人民銀行在過去一年充分調(diào)研總結(jié)行業(yè)數(shù)據(jù)安全成熟經(jīng)驗做法基礎(chǔ)上，細(xì)化明確中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全的合規(guī)底線要求，有效填補了本領(lǐng)域數(shù)據(jù)安全管理制度保障空白。

《辦法》共八章五十七條，覆蓋總體要求、管理措施、技術(shù)措施、監(jiān)測-審計-處置、法律責(zé)任等多方面，安恒信息深入解讀后，提煉出以下要點：

總則部分

明確適用范圍：《辦法》約束的數(shù)據(jù)處理者是指在中華人民共和國境內(nèi)開展的中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)相關(guān)的處理活動，其中尤其提到了貨幣政策業(yè)務(wù)、跨境人民幣業(yè)務(wù)、銀行間各類市場交易業(yè)務(wù)、金融業(yè)綜合統(tǒng)計業(yè)務(wù)、支付清算業(yè)務(wù)、貨幣管理和數(shù)字人民幣業(yè)務(wù)、經(jīng)理國庫業(yè)務(wù)、征信業(yè)務(wù)、反洗錢業(yè)務(wù)等領(lǐng)域的數(shù)據(jù)處理活動。

加強監(jiān)管協(xié)同：《辦法》指出，中國人民銀行及其分支機構(gòu)必要時可與其他有關(guān)主管協(xié)同合作監(jiān)管。同時也列舉了金融行業(yè)協(xié)會的參與，包括：中國銀行間市場交易商協(xié)會、中國支付清算協(xié)會、中國互聯(lián)網(wǎng)金融協(xié)會等，這表明執(zhí)法措施更加多元化。

數(shù)據(jù)分類分級部分

1.分類分級的方法：重要分三級、敏感分五層、兼顧可用性

數(shù)據(jù)分類：依照業(yè)務(wù)進行數(shù)據(jù)分析，根據(jù)各數(shù)據(jù)項是否為個人信息、數(shù)據(jù)來源（生產(chǎn)經(jīng)營加工產(chǎn)生、外部收集產(chǎn)生等）、存儲該數(shù)據(jù)項的信息系統(tǒng)清單和應(yīng)用的業(yè)務(wù)類別。

數(shù)據(jù)分級：《辦法》將數(shù)據(jù)分為一般、重要、核心三級，在此基礎(chǔ)上，又將數(shù)據(jù)按照敏感性分層級，根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時，可能對個人、組織合法權(quán)益或者公共利益等造成的危害程度，將數(shù)據(jù)項敏感性從低至高進一步分為一至五共五個層級。

創(chuàng)造性的引入了數(shù)據(jù)可用性分層級：將數(shù)據(jù)安全納入信息系統(tǒng)業(yè)務(wù)連續(xù)性考慮，擴大容災(zāi)備份的能力。這為金融機構(gòu)的“兩地三中心”等業(yè)務(wù)連續(xù)性方案提供了數(shù)據(jù)合法性基礎(chǔ)。

2、數(shù)據(jù)分類分級應(yīng)持續(xù)動態(tài)調(diào)整，應(yīng)用就高原則的同時保障數(shù)據(jù)流通

《辦法》強調(diào)：數(shù)據(jù)處理者應(yīng)每年組織更新數(shù)據(jù)資源目錄，根據(jù)數(shù)據(jù)使用情況進行動態(tài)調(diào)整。

采取就高原則：（1）對于非結(jié)構(gòu)化數(shù)據(jù)，諸如：圖像、視頻；和不同敏感性層級數(shù)據(jù)項難以采取差異化管理的，應(yīng)當(dāng)統(tǒng)一采取最高敏感性層級數(shù)據(jù)項進行管理。

（2）與合作方合作，諸如：母公司、子公司、關(guān)聯(lián)公司或者附屬公司等開展數(shù)據(jù)處理活動時，不得降低安全保護管理和技術(shù)措施要求。

既要保護敏感數(shù)據(jù)，又最大化促進數(shù)據(jù)流通——使用第三層級以上數(shù)據(jù)項加工后產(chǎn)生的數(shù)據(jù)項，經(jīng)評估確認(rèn)無法識別至特定個人、組織，或者反映信息敏感程度明顯低于原數(shù)據(jù)項時，數(shù)據(jù)處理者履行內(nèi)部審批手續(xù)后，可視情況降低敏感性層級（《辦法》第21條）。

數(shù)據(jù)安全保護的管理、技術(shù)及其他要求部分

1、明確八個環(huán)節(jié)具體的管理和技術(shù)措施，壓實全流程合規(guī)底線

《辦法》針對數(shù)據(jù)處理活動的全生命周期—收集、存儲、使用、加工、傳輸、提供、公開、刪除各階段都明確了針對不同級別數(shù)據(jù)的細(xì)致的管理措施和技術(shù)措施，基于數(shù)據(jù)分類分級的基礎(chǔ)上，對不同級別的數(shù)據(jù)實施相應(yīng)的防護。這些措施也剛好對應(yīng)了《辦法》規(guī)定的數(shù)據(jù)處理者要“壓實數(shù)據(jù)處理活動全流程安全合規(guī)底線”，可以理解為數(shù)據(jù)處理者只有做到了這些，才是滿足了合規(guī)的基線要求。從技術(shù)細(xì)節(jié)上看，《辦法》既從細(xì)節(jié)上進行了約束，又明確了一些特殊場景可以通過內(nèi)部審核審批、統(tǒng)一明確場景等方式優(yōu)化措施落實，避免合規(guī)義務(wù)“一刀切”。

其中特別注意的是區(qū)別于之前標(biāo)準(zhǔn)的一些重要更新點，如管理措施中明確了針對一般性數(shù)據(jù)、特殊性數(shù)據(jù)、數(shù)據(jù)融合創(chuàng)新應(yīng)用、數(shù)據(jù)出境限制、國際組織和外國金融管理部門數(shù)據(jù)調(diào)取、數(shù)據(jù)公開保護、數(shù)據(jù)刪除保護等場景下的數(shù)據(jù)安全管理措施。數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)前，還應(yīng)當(dāng)提請國家數(shù)據(jù)安全工作協(xié)調(diào)機制辦公室批準(zhǔn)。

2、注重與現(xiàn)有標(biāo)準(zhǔn)的重申與銜接，重點進行具體要求補充

《辦法》承繼了《數(shù)據(jù)安全法》《個人信息保護法》的要求，并進行重申：如：第26條規(guī)定境內(nèi)收集和產(chǎn)生的數(shù)據(jù)原則上應(yīng)當(dāng)在境內(nèi)存儲、在規(guī)定情形下向境外提供數(shù)據(jù)應(yīng)當(dāng)申報數(shù)據(jù)出境安全評估等，第27條規(guī)定非經(jīng)主管部門批注不得向境外監(jiān)管部門提供境內(nèi)存儲的數(shù)據(jù)。同時也對現(xiàn)有標(biāo)準(zhǔn)進行補充：如：第17條明確在間接收集數(shù)據(jù)的場景下，數(shù)據(jù)處理者應(yīng)當(dāng)要求數(shù)據(jù)提供方提供取得同意的證明或來源說明材料，第26條明確了數(shù)據(jù)出境場景下每年1月底對于出境數(shù)據(jù)規(guī)模和范圍進行測算，第29條明確數(shù)據(jù)處理者應(yīng)當(dāng)每年進行賬號核驗以確?？梢皂憫?yīng)用戶的刪除權(quán)等。

3、提倡創(chuàng)新，鼓勵隱私計算等新興技術(shù)

《辦法》第25條、第37條提出，在明確在控制風(fēng)險的范圍內(nèi)可以使用隱私計算新型技術(shù)。隱私計算目前已經(jīng)使用于金融行業(yè)多頭借貸、智能風(fēng)控等場景中，用來實現(xiàn)“可用不可見，可用不可取”，但是隱私計算也不是絕對完美的，更多場景依然處于行業(yè)探索階段。人行為了促進數(shù)據(jù)高效流通和創(chuàng)新應(yīng)用，明確在底線是應(yīng)確保原始數(shù)據(jù)未離開自身控制范圍、暴露約定范圍外信息的風(fēng)險可控、建立對應(yīng)的風(fēng)險緩釋措施的前提下，為新技術(shù)新創(chuàng)新提供了空間。

細(xì)化違法行為，加強處罰力度

《辦法》特別細(xì)化了以下違法行為，并將所述條款進行細(xì)化，加大了違反《辦法》約束的數(shù)據(jù)安全處理活動的行為的處罰力度，包括違反數(shù)據(jù)安全保護義務(wù)行為、違反規(guī)定數(shù)據(jù)出境行為、違反規(guī)定向國際組織或者外國金融管理部門提供數(shù)據(jù)行為、非法獲取數(shù)據(jù)行為、處理數(shù)據(jù)損害合法權(quán)益行為、監(jiān)督管理人員違反規(guī)定行為等。

對《辦法》本身的內(nèi)容而言，并沒有太多“史無前例”的規(guī)定，更多是基于現(xiàn)有監(jiān)管規(guī)則的細(xì)化和補充延伸。《辦法》聚焦金融行業(yè)數(shù)據(jù)安全風(fēng)險，通過數(shù)據(jù)分類分級加強資產(chǎn)掌控能力，明確覆蓋數(shù)據(jù)全生命周期的管理及技術(shù)要求，強化內(nèi)生安全能力，結(jié)合評估、處置、審計措施，實現(xiàn)數(shù)據(jù)安全體系工作的持續(xù)迭代優(yōu)化。在銜接已有法規(guī)標(biāo)準(zhǔn)的基礎(chǔ)上，切實保障金融行業(yè)數(shù)據(jù)安全工作有序開展?！掇k法》既體現(xiàn)了金融行業(yè)監(jiān)管部門對行業(yè)數(shù)據(jù)安全建設(shè)工作的深度觀察，也是從合規(guī)層面體系化推進數(shù)據(jù)安全建設(shè)路徑，對金融行業(yè)數(shù)據(jù)處理者的實踐工作具有重大意義。