作者:周杨
前言
中国人民银行于2023年7月24日发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称“《征求意见稿》”或“《管理办法》”),旨在为相关数据处理者依法依规开展中国人民银行的业务领域数据处理活动、完善数据合规管理制度提供实践指引。
征求意见稿一方面贯彻和衔接了《数据安全法》等上位法的要求,另一方面,也结合了监管部门现有金融行业标准指南与成熟经验,细化明确了业务领域数据安全合规底线要求。征求意见稿对于金融领域数据处理具有较强的实践参考价值,可以看作是金融领域数据合规管理的“合规参考手册”。
(一) 适用范围
在适用范围方面,征求意见稿开宗明义地确立了“谁管业务,谁管业务数据,谁管数据安全”的基本原则。对于什么是“业务数据”,征求意见稿从业务领域和数据范围两个方面进行了定义:
• 从业务角度而言,适用《管理办法》的业务领域为中国人民银行承担监督管理职责的各类业务,包括货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等。
• 从数据角度而言,适用《管理办法》的数据为上述业务领域业务活动中产生和收集的不涉及国家秘密的网络数据,明确将国家秘密以及统计、档案工作中纸质文档形式的非网络数据排除在外。
需要注意,业务领域和数据的表述实际上也揭示了适用管理办法的主体,换言之,凡从事中国人民银行承担监督管理职责的各类业务的数据处理者(包括金融机构和其他机构),均应当纳入管理办法的适用范围。
(二) 主要监管内容
征求意见稿》就数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任等方面作出了颇为详尽的规定。整体来看,这些规定并未超出现有法律法规的相关要求,而应当理解成是对金融领域数据处理者在数据安全管理义务方面的整合和指导。
数据分类分级
如同所有的数据安全管理策略一样,《征求意见稿》首先要求数据处理者对所处理的数据进行分级,并从概括的三层分级(一般、重要、核心)出发,进一步考虑数据的敏感性、业务可用性,将数据从多维度进行了分类分级管理。事实上,《金融数据安全 数据安全分级指南》(JR/T 0197-2020)在数据的敏感性方面已经作出了五级划分的详细标准,《信息技术服务 数据中心业务连续性登记评级准则》(GB/T 42581-2023)也已经针对数据中心对于业务连续性的支撑进行过讨论。随着监管实践经验的不断积累,中国人民银行将依据《征求意见稿》的规划,组织制定分类分级的最终行业标准。
数据安全保护管理措施和保护技术措施
征求意见稿》规定的数据安全保护管理措施和技术保护措施围绕着不同类别和级别的数据进行了详细规范,并如以往可见的规定一般,着重关注数据的收集、保存、流动和删除。这些规定大多体现为一种总结和指导适用现有规定的姿态,但也有部分细化和创新之处,例如:
• 针对间接获取数据,细化了合法来源审核要求。规定“对于非书面同意情形”的间接获取数据,应当要求数据提供方出具数据来源说明材料;对于自动化采集数据,应当遵守其数据访问控制协议,不得干扰其网络服务正常运行,不得侵害其原有网络服务合法运营权益。
• 针对数据使用,规定第三层级数据项原则上不提供导出使用方式,第四层级以上数据项仅提供核验使用方式;针对金融机构的生产环境和测试环境数据适用提出了具体要求,例如“生产环境第二层级以上数据项原则上应当经授权并实施脱敏处理后才能用于开发测试”。
• 针对数据加工,《征求意见稿》特别讨论了算法风险评估,并要求数据处理者在评估时必须考虑“退出算法自动化决策的替代方案”。
• 针对数据质量提出明确要求,规定在提供数据时应当对所提供的数据真实性作出必要核验,且不得提供虚假数据误导数据接收方、合作方;以及应当采取“关联信息交叉核验”等技术措施保障收集数据的准确性。
• 针对重要数据处理环境的变化,例如向第三方提供,或处理者主体发生合并、分立、解散、被宣告破产的,应当履行相关风险评估、安全评估及向中国人民银行报备等手续。
• 针对数据出境,额外提示“不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估”,并创设了“上两年总结”机制,即“对于因自身需要的数据出境提供行为,数据处理者应当于每年1月底前测算或者估算其上两年内累计出境数据规模与范围,并保存测算估算结果和对应的境外接收方联系方式至少三年”。
• 针对境外机构数据调取,将《数据安全法》中的外国司法或者执法机构明确为“国际组织和外国金融管理部门”,且明确“非经中国人民银行和其他有关主管部门批准,数据处理者不得向其提供境内存储的数据”。
• 针对数据删除,要求数据处理者“每年至少对信息系统业务处理账号、特权账号实施一次核验,确认已停止除存储和必要安全保护措施之外处理的数据,不可被访问使用”。
• 针对数据保存,明确了存储重要数据或者一百万人以上个人信息的信息系统应当落实三级以上网络安全等级保护要求,并在第三层级以上数据加密保存要求的普遍基础上,允许“非结构化数据项可仅对拆分的第三层级以上结构化数据项单独实施加密”。
风险监测评估审计与事件处置措施
征求意见稿
》要求数据处理者实施常规的风险检测并形成检测告警规则,针对数据安全风险情报检测应当及时核实并做好必要的数据安全防范工作。同时,《
征求意见稿
》要求数据处理者重视来自中国人民银行或其分支机构通报的数据安全风险情报,并鼓励(而非强制)数据处理者积极向中国人民银行或其分支机构提供可共享的数据安全风险情报,提升联防联控效能。

值得注意的是,《征求意见稿》明确了数据处理者每年一次的数据合规审计工作和发生重大以上数据安全事件后的专项审计工作;同时,应当每年至少开展一次针对数据安全事件的应急演练,确保应急处置措施的效率和效果。区别于“重要数据”的年度数据安全风险评估,除前述年度审计和应急演练外,《征求意见稿》对于数据处理者增设了若干“每年一次”的合规检查项,包括每年组织更新数据资源目录,每年测算上两年累计的数据出境规模和范围、每年对对信息系统业务处理账号、特权账号实施一次核验确认数据已经合规删除。这些年度合规义务将大幅协助数据处理者提升整体数据安全保障水平,但也无疑将增加数据处理者的年度合规预算。
结束语
金融领域数据监管的规章制度与其他各行业相比始终展现了积极的态度和领先的趋势,但在过去的金融领域监管文件中,常常可见金融数据监管策略与通用监管规定之间的脱节,最为典型的即为个人数据流动中金融领域对获取个人信息主体同意的强硬要求,这与金融行业业务的重要性,数据的复杂性及金融领域消费者权益保护的一贯重视有关。在这次公布的《征求意见稿》中,我们仍可感受到金融领域监管机构对于金融行业数据进行统筹监管的迫切需求和积极态度,但也可以明确观察到金融领域数据监管更加重视与通用监管的制度衔接。对于金融领域数据处理者而言,大可不必过于紧张,不妨换个心态,接收来自《征求意见稿》的工作总结。
英文版本首发于China Law & Practice, www.chinalawandpractice.com,点击“阅读原文”查看。
数据隐私与网络安全专栏往期文章
  1. 网络安全和数据保护领域行政职权划分与执法活动梳理
  2. Exploring China' Standard Contract
  3. 金融集团数据共享的来路与困境
  4. 个人信息出境标准合同的制度逻辑与实务要点
  5. Data Protection in 2022
  6. 新规解读|国标《信息安全技术 人脸识别数据安全要求》
  7. 数据出境疑难问答
  8. 《反电信网络诈骗法》要点梳理和解读
  9. 新规解读 |《数据出境安全评估申报指南(第一版)》
  10. 正规平台虚假订单诈骗案件分析及风险防范
  11. 个人数据跨境流动的未决之路——跨境处理安全认证三大机制比较
  12. 《数据出境安全评估办法》解读及相关制度衔接讨论
  13. 数据泄露了,要不要上报?
  14. 解码“健康码”:国家机关如何合法地处理个人信息?
  15. 欧盟新版SCCs发布一周年——新版SCCs应用中的十个常见问题
  16. 变革与挑战——从金融业视角解析《个人信息保护法》
  17. An Anatomy of the New Personal Information Protection Law
  18. 个人信息保护法:逻辑、重点及建议
  19. 深度拆解:直播营销管理办法
  20. App个人信息保护规定解读
  21. 315后说“人脸”——人脸识别合规难题与对策
  22. Cross-border Transfer of Personal Financial Information
  23. 关于个人信息保护法草案的七个疑问
  24. APP收购攻略
  25. APP安全认证实操十问十答
  26. 联邦学习能否解决金融数据整合难题?
  27. 金融集团数据整合:“信息孤岛”攻坚战
  28. 企业如何应对数据泄露
  29. 网约车行业数据保护的规则及其特点
  30. 网约车与电商法的适用五题
  31. 实施已满三月,区块链新规“回头看”
  32. App个人信息保护专项治理暴雨将至,你的屋顶会漏吗?
  33. 银行业金融数据出境的监管框架与脉络
  34. 企业如何开展网络与数据安全事件应急演练?
  35. 电信和互联网行业网络安全大检查来临,你准备好了吗?
  36. 当资本运作遇到网络安全:尽调该怎么做?
  37. 欧盟《隐私与电子通信条例》(e-Privacy Regulation)草案介绍
  38. 标准合同条款:欧盟个人数据出境的常规路径之一
  39. 放弃or坚持——出海游戏公司如何应对GDPR?
  40. 《网络安全等级保护条例(征求意见稿)》与《信息安全等级保护管理办法》的条款比对
  41. 从《网络安全等级保护条例(征求意见稿)》看等保1.0到等保2.0的重要变化
  42. 银行业金融机构数据治理中的个人信息保护
  43. 对“数据共享合法化”的分析与思考系列之三——欧盟B2B数据共享的案例研究
  44. 中国企业的GDPR合规挑战
  45. 欧盟《统一数据保护条例》(GDPR)适用问答
  46. GDPR在看着你吗——GDPR第2条和第3条(适用范围)详解
  47. 对“数据共享合法化”的分析与思考系列之二——欧盟B2B数据共享的案例研究
  48. 对“数据共享合法化”的分析与思考系列之一:以《关于欧洲企业间数据共享的研究》为起点
  49. 网安法第37条背景下的境外证据开示与数据出境问题
  50. GDPR之“用户数据可携权”评析(三)——“数据可携权”视角下的数据之争
  51. GDPR之“用户数据可携权”评析(二)——“用户数据可携权”实务运用的若干问题
  52. GDPR之“用户数据可携权”评析(一)——认识“用户数据可携权”
  53. 记账理财APP的个人信息合规挑战
  54. 个人信息安全——“用户同意”之浅析
  55. 您的公司有数据保护官了吗?
  56. 《网络安全法》的出台改变了什么?——条文解析企业的网络安全义务和法律合规新需求
作者介绍
加入竞天公诚之前,周杨律师曾就职于国内著名互联网企业法律合规部及国内知名律师事务所网络安全和数据合规业务团队,针对新经济产品合规已有十余年丰富经验。
周杨律师于2014年开始聚焦于网络安全、数据合规和电子商务领域,受托处理了包括银行、保险、房地产、能源、游戏、电子商务和车联网在内诸多行业领域的数据合规专项法律服务,在数据资产及流动情况的摸排及合规差异诊断、数据分类分级、数据跨境合规、集团数据共享合规、儿童数据保护合规、GDPR和CCPA专项合规、赴港上市数据安全专项合规等服务项目中,周杨律师为客户提供了高效且贴合实际的解决方案。
周杨律师参与了国家标准《信息安全技术互联网平台及产品服务隐私协议要求(征求意见稿)》的起草工作,TC260 主导的《信息安全技术互联网平台及产品服务隐私协议要求》标准编纂工作,并参与编撰 中国网络空间安全协会主编的《关键信息基础设施安全保护通识》《全球个人信息保护报告》等文件,发表专业领域文章数十篇。
周杨律师以其专业、勤勉的工作态度,及其对于新兴业务卓越的理解能力和项目领导能力获得了客户的诸多好评,荣获The Legal 500 2023年度数据保护领域推荐律师,2023年度《商法》律师新星,并荣获“2023亚太商业女性法律大奖”提名。
周杨律师历史文章
  1. 网络安全和数据保护领域行政职权划分与执法活动梳理
  2. 金融集团数据共享的来路与困境
  3. 新规解读|国标《信息安全技术 人脸识别数据安全要求》
  4. 新规解读 |《数据出境安全评估申报指南(第一版)》
  5. 从马斯克—Twitter法律大战看互联网企业并购交易中的数据披露
  6. 串联规则,分层监管 | 《移动互联网应用程序信息服务管理规定》要点解读
  7. 《数据出境安全评估办法》解读及相关制度衔接讨论
  8. “清朗·2022年暑期未成年人网络环境整治”专项行动要点解读
继续阅读
阅读原文