2023年7月24日上午,中国人民银行起草的《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《办法》”)向社会公开征求意见。根据“谁管业务,谁管业务数据,谁管数据安全”基本原则,对境内央行承担监管职责的各类业务相关数据处理活动提出监管。
《办法》是中国人民银行在过去一年充分调研总结行业数据安全成熟经验做法基础上,细化明确中国人民银行业务领域数据安全的合规底线要求,有效填补了本领域数据安全管理制度保障空白。
《办法》分为总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则共八章,共五十七条。
一、总则
明确适用范围:《办法》约束的数据处理者是指在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动,其中尤其提到了货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。
加强监管协同:《办法》指出,中国人民银行及其分支机构必要时可与其他有关主管协同合作监管。同时也列举了金融行业协会的参与,包括:中国银行间市场交易商协会、中国支付清算协会、中国互联网金融协会等,这表明执法措施更加多元化。
二、数据分类分级
1、分类分级的方法:重要分三级、敏感分五层、兼顾可用性
“第七条(数据分类要求)数据处理者应当参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。”
数据分类:依照业务进行数据分析,根据各数据项是否为个人信息、数据来源(生产经营加工 产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。
数据分级:《办法》将数据分为一般、重要、核心三级,在此基础上,又将数据按照敏感性分层级,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。
“第九条(数据敏感性分层级)在数据分级基础上,数据处理者应当参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。结构化数据项应当逐一标识层级;非结构化数据项应当优先按照可拆分的各结构化数据项所对应最高层级,标识其层级。”
数据敏感性分层级:将数据安全纳入信息系统业务连续性考虑,扩大容灾备份的能力。这为金融机构的“两地三中心”等业务连续性方案提供了数据合法性基础。
2、数据分类分级应持续动态调整,应用就高原则的同时保障数据流通
《办法》强调:数据处理者应每年组织更新数据资源目录,根据数据使用情况进行动态调整。
采取就高原则:
(1)对于非结构化数据,诸如:图像、视频;和不同敏感性层级数据项难以采取差异化管理的,应当统一采取最高敏感性层级数据项进行管理。
(2)与合作方合作,诸如:母公司、子公司、关联公司或者附属公司等开展数据处理活动时,不得降低安全保护管理和技术措施要求。
既要保护敏感数据,又最大化促进数据流通——使用第三层级以上数据项加工后产生的数据项,经评估确认无法识别至特定个人、组织,或者反映信息敏感程度明显低于原数据项时,数据处理者履行内部审批手续后,可视情况降低敏感性层级(《办法》第21条)。
三、数据安全保护管理措施和保护技术措施
1、明确八个环节具体的管理和技术措施,压实全流程合规底线
《办法》针对数据处理活动的全生命周期—收集、存储、使用、加工、传输、提供、公开、删除各阶段都明确了针对不同级别数据的细致的管理措施和技术措施,基于数据分类分级的基础上,对不同级别的数据实施相应的防护。这些措施也刚好对应了《办法》规定的数据处理者要“压实数据处理活动全流程安全合规底线”,可以理解为数据处理者只有做到了这些,才是满足了合规的基线要求。从技术细节上看,《办法》既从细节上进行了约束,又明确了一些特殊场景可以通过内部审核审批、统一明确场景等方式优化措施落实,避免合规义务“一刀切”。
其中特别注意的是区别于之前标准的一些重要更新点,如管理措施中明确了针对一般性数据、特殊性数据、数据融合创新应用、数据出境限制、国际组织和外国金融管理部门数据调取、数据公开保护、数据删除保护等场景下的数据安全管理措施。数据处理者向其他数据处理者提供核心数据前,还应当提请国家数据安全工作协调机制办公室批准。
2、注重与现有标准的重申与衔接,重点进行具体要求补充
《办法》承继了《数据安全法》《个人信息保护法》的要求,并进行重申:如:第26条规定境内收集和产生的数据原则上应当在境内存储、在规定情形下向境外提供数据应当申报数据出境安全评估等,第27条规定非经主管部门批注不得向境外监管部门提供境内存储的数据。同时也对现有标准进行补充:如:第17条明确在间接收集数据的场景下,数据处理者应当要求数据提供方提供取得同意的证明或来源说明材料,第26条明确了数据出境场景下每年1月底对于出境数据规模和范围进行测算,第29条明确数据处理者应当每年进行账号核验以确保可以响应用户的删除权等。
3、提倡创新,鼓励隐私计算等新兴技术
《办法》第25条、第37条提出,在明确在控制风险的范围内可以使用隐私计算新型技术。隐私计算目前已经使用于金融行业多头借贷、智能风控等场景中,用来实现“可用不可见,可用不可取”,但是隐私计算也不是绝对完美的,更多场景依然处于行业探索阶段。人行为了促进数据高效流通和创新应用,明确在底线是应确保原始数据未离开自身控制范围、暴露约定范围外信息的风险可控、建立对应的风险缓释措施的前提下,为新技术新创新提供了空间。
四、风险监测评估审计与事件处置措施
《征求意见稿》要求数据处理者实施常规的风险检测并形成检测告警规则,针对数据安全风险情报检测应当及时核实并做好必要的数据安全防范工作。同时,《征求意见稿》要求数据处理者重视来自中国人民银行或其分支机构通报的数据安全风险情报,并鼓励(而非强制)数据处理者积极向中国人民银行或其分支机构提供可共享的数据安全风险情报,提升联防联控效能。
值得注意的是,《征求意见稿》明确了数据处理者每年一次的数据合规审计工作和发生重大以上数据安全事件后的专项审计工作;同时,应当每年至少开展一次针对数据安全事件的应急演练,确保应急处置措施的效率和效果。区别于“重要数据”的年度数据安全风险评估,除前述年度审计和应急演练外,《征求意见稿》对于数据处理者增设了若干“每年一次”的合规检查项,包括每年组织更新数据资源目录,每年测算上两年累计的数据出境规模和范围、每年对对信息系统业务处理账号、特权账号实施一次核验确认数据已经合规删除。这些年度合规义务将大幅协助数据处理者提升整体数据安全保障水平,但也无疑将增加数据处理者的年度合规预算。
