Policy Information
7月24日,央行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《办法》),指导督促相关数据处理者依法依规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务,并向社会公开征求意见。
《办法》是中国人民银行在过去一年充分调研总结行业数据安全成熟经验做法基础上,细化明确中国人民银行业务领域数据安全的合规底线要求,有效填补了本领域数据安全管理制度保障空白。
《办法》共八章五十七条,覆盖总体要求、管理措施、技术措施、监测-审计-处置、法律责任等多方面,安恒信息深入解读后,提炼出以下要点:
总则部分
明确适用范围:《办法》约束的数据处理者是指在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动,其中尤其提到了货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。
加强监管协同:《办法》指出,中国人民银行及其分支机构必要时可与其他有关主管协同合作监管。同时也列举了金融行业协会的参与,包括:中国银行间市场交易商协会、中国支付清算协会、中国互联网金融协会等,这表明执法措施更加多元化。
数据分类分级部分
1.分类分级的方法:重要分三级、敏感分五层、兼顾可用性
数据分类:依照业务进行数据分析,根据各数据项是否为个人信息、数据来源(生产经营加工 产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。
数据分级:《办法》将数据分为一般、重要、核心三级,在此基础上,又将数据按照敏感性分层级,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。
创造性的引入了数据可用性分层级:将数据安全纳入信息系统业务连续性考虑,扩大容灾备份的能力。这为金融机构的“两地三中心”等业务连续性方案提供了数据合法性基础。
2、数据分类分级应持续动态调整,应用就高原则的同时保障数据流通
《办法》强调:数据处理者应每年组织更新数据资源目录,根据数据使用情况进行动态调整。
采取就高原则:(1)对于非结构化数据,诸如:图像、视频;和不同敏感性层级数据项难以采取差异化管理的,应当统一采取最高敏感性层级数据项进行管理。
(2)与合作方合作,诸如:母公司、子公司、关联公司或者附属公司等开展数据处理活动时,不得降低安全保护管理和技术措施要求。
既要保护敏感数据,又最大化促进数据流通——使用第三层级以上数据项加工后产生的数据项,经评估确认无法识别至特定个人、组织,或者反映信息敏感程度明显低于原数据项时,数据处理者履行内部审批手续后,可视情况降低敏感性层级(《办法》第21条)。
数据安全保护的管理、技术及其他要求部分
1、明确八个环节具体的管理和技术措施,压实全流程合规底线
《办法》针对数据处理活动的全生命周期—收集、存储、使用、加工、传输、提供、公开、删除各阶段都明确了针对不同级别数据的细致的管理措施和技术措施,基于数据分类分级的基础上,对不同级别的数据实施相应的防护。这些措施也刚好对应了《办法》规定的数据处理者要“压实数据处理活动全流程安全合规底线”,可以理解为数据处理者只有做到了这些,才是满足了合规的基线要求。从技术细节上看,《办法》既从细节上进行了约束,又明确了一些特殊场景可以通过内部审核审批、统一明确场景等方式优化措施落实,避免合规义务“一刀切”。
其中特别注意的是区别于之前标准的一些重要更新点,如管理措施中明确了针对一般性数据、特殊性数据、数据融合创新应用、数据出境限制、国际组织和外国金融管理部门数据调取、数据公开保护、数据删除保护等场景下的数据安全管理措施。数据处理者向其他数据处理者提供核心数据前,还应当提请国家数据安全工作协调机制办公室批准。
2、注重与现有标准的重申与衔接,重点进行具体要求补充
《办法》承继了《数据安全法》《个人信息保护法》的要求,并进行重申:如:第26条规定境内收集和产生的数据原则上应当在境内存储、在规定情形下向境外提供数据应当申报数据出境安全评估等,第27条规定非经主管部门批注不得向境外监管部门提供境内存储的数据。同时也对现有标准进行补充:如:第17条明确在间接收集数据的场景下,数据处理者应当要求数据提供方提供取得同意的证明或来源说明材料,第26条明确了数据出境场景下每年1月底对于出境数据规模和范围进行测算,第29条明确数据处理者应当每年进行账号核验以确保可以响应用户的删除权等。
3、提倡创新,鼓励隐私计算等新兴技术
《办法》第25条、第37条提出,在明确在控制风险的范围内可以使用隐私计算新型技术。隐私计算目前已经使用于金融行业多头借贷、智能风控等场景中,用来实现“可用不可见,可用不可取”,但是隐私计算也不是绝对完美的,更多场景依然处于行业探索阶段。人行为了促进数据高效流通和创新应用,明确在底线是应确保原始数据未离开自身控制范围、暴露约定范围外信息的风险可控、建立对应的风险缓释措施的前提下,为新技术新创新提供了空间。
细化违法行为,加强处罚力度
《办法》特别细化了以下违法行为,并将所述条款进行细化,加大了违反《办法》约束的数据安全处理活动的行为的处罚力度,包括违反数据安全保护义务行为、违反规定数据出境行为、违反规定向国际组织或者外国金融管理部门提供数据行为、非法获取数据行为、处理数据损害合法权益行为、监督管理人员违反规定行为等。
对《办法》本身的内容而言,并没有太多“史无前例”的规定,更多是基于现有监管规则的细化和补充延伸。《办法》聚焦金融行业数据安全风险,通过数据分类分级加强资产掌控能力,明确覆盖数据全生命周期的管理及技术要求,强化内生安全能力,结合评估、处置、审计措施,实现数据安全体系工作的持续迭代优化。在衔接已有法规标准的基础上,切实保障金融行业数据安全工作有序开展。《办法》既体现了金融行业监管部门对行业数据安全建设工作的深度观察,也是从合规层面体系化推进数据安全建设路径,对金融行业数据处理者的实践工作具有重大意义。
评论