首頁 > 關于我們 > 安恒動態(tài) > 2023 > 正文

解讀｜《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》發(fā)布

閱讀量：次 文章來源：安恒信息

? //??

7月24日，央行發(fā)布《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》（下稱《辦法》），指導督促相關數(shù)據(jù)處理者依法依規(guī)開展中國人民銀行業(yè)務領域數(shù)據(jù)處理活動，履行數(shù)據(jù)安全保護義務，并向社會公開征求意見。

《辦法》是中國人民銀行在過去一年充分調研總結行業(yè)數(shù)據(jù)安全成熟經(jīng)驗做法基礎上，細化明確中國人民銀行業(yè)務領域數(shù)據(jù)安全的合規(guī)底線要求，有效填補了本領域數(shù)據(jù)安全管理制度保障空白。

《辦法》共八章五十七條，覆蓋總體要求、管理措施、技術措施、監(jiān)測-審計-處置、法律責任等多方面，安恒信息深入解讀后，提煉出以下要點：

總則部分

明確適用范圍：《辦法》約束的數(shù)據(jù)處理者是指在中華人民共和國境內開展的中國人民銀行業(yè)務領域數(shù)據(jù)相關的處理活動，其中尤其提到了貨幣政策業(yè)務、跨境人民幣業(yè)務、銀行間各類市場交易業(yè)務、金融業(yè)綜合統(tǒng)計業(yè)務、支付清算業(yè)務、貨幣管理和數(shù)字人民幣業(yè)務、經(jīng)理國庫業(yè)務、征信業(yè)務、反洗錢業(yè)務等領域的數(shù)據(jù)處理活動。

加強監(jiān)管協(xié)同：《辦法》指出，中國人民銀行及其分支機構必要時可與其他有關主管協(xié)同合作監(jiān)管。同時也列舉了金融行業(yè)協(xié)會的參與，包括：中國銀行間市場交易商協(xié)會、中國支付清算協(xié)會、中國互聯(lián)網(wǎng)金融協(xié)會等，這表明執(zhí)法措施更加多元化。

數(shù)據(jù)分類分級部分

1.分類分級的方法：重要分三級、敏感分五層、兼顧可用性

數(shù)據(jù)分類：依照業(yè)務進行數(shù)據(jù)分析，根據(jù)各數(shù)據(jù)項是否為個人信息、數(shù)據(jù)來源（生產(chǎn)經(jīng)營加工產(chǎn)生、外部收集產(chǎn)生等）、存儲該數(shù)據(jù)項的信息系統(tǒng)清單和應用的業(yè)務類別。

數(shù)據(jù)分級：《辦法》將數(shù)據(jù)分為一般、重要、核心三級，在此基礎上，又將數(shù)據(jù)按照敏感性分層級，根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時，可能對個人、組織合法權益或者公共利益等造成的危害程度，將數(shù)據(jù)項敏感性從低至高進一步分為一至五共五個層級。

創(chuàng)造性的引入了數(shù)據(jù)可用性分層級：將數(shù)據(jù)安全納入信息系統(tǒng)業(yè)務連續(xù)性考慮，擴大容災備份的能力。這為金融機構的“兩地三中心”等業(yè)務連續(xù)性方案提供了數(shù)據(jù)合法性基礎。

2、數(shù)據(jù)分類分級應持續(xù)動態(tài)調整，應用就高原則的同時保障數(shù)據(jù)流通

《辦法》強調：數(shù)據(jù)處理者應每年組織更新數(shù)據(jù)資源目錄，根據(jù)數(shù)據(jù)使用情況進行動態(tài)調整。

采取就高原則：（1）對于非結構化數(shù)據(jù)，諸如：圖像、視頻；和不同敏感性層級數(shù)據(jù)項難以采取差異化管理的，應當統(tǒng)一采取最高敏感性層級數(shù)據(jù)項進行管理。

（2）與合作方合作，諸如：母公司、子公司、關聯(lián)公司或者附屬公司等開展數(shù)據(jù)處理活動時，不得降低安全保護管理和技術措施要求。

既要保護敏感數(shù)據(jù)，又最大化促進數(shù)據(jù)流通——使用第三層級以上數(shù)據(jù)項加工后產(chǎn)生的數(shù)據(jù)項，經(jīng)評估確認無法識別至特定個人、組織，或者反映信息敏感程度明顯低于原數(shù)據(jù)項時，數(shù)據(jù)處理者履行內部審批手續(xù)后，可視情況降低敏感性層級（《辦法》第21條）。

數(shù)據(jù)安全保護的管理、技術及其他要求部分

1、明確八個環(huán)節(jié)具體的管理和技術措施，壓實全流程合規(guī)底線

《辦法》針對數(shù)據(jù)處理活動的全生命周期—收集、存儲、使用、加工、傳輸、提供、公開、刪除各階段都明確了針對不同級別數(shù)據(jù)的細致的管理措施和技術措施，基于數(shù)據(jù)分類分級的基礎上，對不同級別的數(shù)據(jù)實施相應的防護。這些措施也剛好對應了《辦法》規(guī)定的數(shù)據(jù)處理者要“壓實數(shù)據(jù)處理活動全流程安全合規(guī)底線”，可以理解為數(shù)據(jù)處理者只有做到了這些，才是滿足了合規(guī)的基線要求。從技術細節(jié)上看，《辦法》既從細節(jié)上進行了約束，又明確了一些特殊場景可以通過內部審核審批、統(tǒng)一明確場景等方式優(yōu)化措施落實，避免合規(guī)義務“一刀切”。

其中特別注意的是區(qū)別于之前標準的一些重要更新點，如管理措施中明確了針對一般性數(shù)據(jù)、特殊性數(shù)據(jù)、數(shù)據(jù)融合創(chuàng)新應用、數(shù)據(jù)出境限制、國際組織和外國金融管理部門數(shù)據(jù)調取、數(shù)據(jù)公開保護、數(shù)據(jù)刪除保護等場景下的數(shù)據(jù)安全管理措施。數(shù)據(jù)處理者向其他數(shù)據(jù)處理者提供核心數(shù)據(jù)前，還應當提請國家數(shù)據(jù)安全工作協(xié)調機制辦公室批準。

2、注重與現(xiàn)有標準的重申與銜接，重點進行具體要求補充

《辦法》承繼了《數(shù)據(jù)安全法》《個人信息保護法》的要求，并進行重申：如：第26條規(guī)定境內收集和產(chǎn)生的數(shù)據(jù)原則上應當在境內存儲、在規(guī)定情形下向境外提供數(shù)據(jù)應當申報數(shù)據(jù)出境安全評估等，第27條規(guī)定非經(jīng)主管部門批注不得向境外監(jiān)管部門提供境內存儲的數(shù)據(jù)。同時也對現(xiàn)有標準進行補充：如：第17條明確在間接收集數(shù)據(jù)的場景下，數(shù)據(jù)處理者應當要求數(shù)據(jù)提供方提供取得同意的證明或來源說明材料，第26條明確了數(shù)據(jù)出境場景下每年1月底對于出境數(shù)據(jù)規(guī)模和范圍進行測算，第29條明確數(shù)據(jù)處理者應當每年進行賬號核驗以確保可以響應用戶的刪除權等。

3、提倡創(chuàng)新，鼓勵隱私計算等新興技術

《辦法》第25條、第37條提出，在明確在控制風險的范圍內可以使用隱私計算新型技術。隱私計算目前已經(jīng)使用于金融行業(yè)多頭借貸、智能風控等場景中，用來實現(xiàn)“可用不可見，可用不可取”，但是隱私計算也不是絕對完美的，更多場景依然處于行業(yè)探索階段。人行為了促進數(shù)據(jù)高效流通和創(chuàng)新應用，明確在底線是應確保原始數(shù)據(jù)未離開自身控制范圍、暴露約定范圍外信息的風險可控、建立對應的風險緩釋措施的前提下，為新技術新創(chuàng)新提供了空間。

細化違法行為，加強處罰力度

《辦法》特別細化了以下違法行為，并將所述條款進行細化，加大了違反《辦法》約束的數(shù)據(jù)安全處理活動的行為的處罰力度，包括違反數(shù)據(jù)安全保護義務行為、違反規(guī)定數(shù)據(jù)出境行為、違反規(guī)定向國際組織或者外國金融管理部門提供數(shù)據(jù)行為、非法獲取數(shù)據(jù)行為、處理數(shù)據(jù)損害合法權益行為、監(jiān)督管理人員違反規(guī)定行為等。

對《辦法》本身的內容而言，并沒有太多“史無前例”的規(guī)定，更多是基于現(xiàn)有監(jiān)管規(guī)則的細化和補充延伸。《辦法》聚焦金融行業(yè)數(shù)據(jù)安全風險，通過數(shù)據(jù)分類分級加強資產(chǎn)掌控能力，明確覆蓋數(shù)據(jù)全生命周期的管理及技術要求，強化內生安全能力，結合評估、處置、審計措施，實現(xiàn)數(shù)據(jù)安全體系工作的持續(xù)迭代優(yōu)化。在銜接已有法規(guī)標準的基礎上，切實保障金融行業(yè)數(shù)據(jù)安全工作有序開展。《辦法》既體現(xiàn)了金融行業(yè)監(jiān)管部門對行業(yè)數(shù)據(jù)安全建設工作的深度觀察，也是從合規(guī)層面體系化推進數(shù)據(jù)安全建設路徑，對金融行業(yè)數(shù)據(jù)處理者的實踐工作具有重大意義。