7月24日�����,中國人民銀行發(fā)布關(guān)于《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法(征求意見稿)》公開征求意見的通知���。《辦法》分成總則�����、數(shù)據(jù)分類分級、數(shù)據(jù)安全保護總體要求�����、數(shù)據(jù)安全保護管理措施����、數(shù)據(jù)安全保護技術(shù)措施、風險監(jiān)測評估審計與事件處置措施��、法律責任�、附則八章,共五十七條�。
主要內(nèi)容包括:
一是規(guī)范數(shù)據(jù)分類分級要求。強調(diào)數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)分類分級制度規(guī)程�����,梳理數(shù)據(jù)資源目錄標識分類信息�����,在國家數(shù)據(jù)安全工作協(xié)調(diào)機制統(tǒng)籌協(xié)調(diào)下�,根據(jù)中國人民銀行制定的重要數(shù)據(jù)識別標準���,統(tǒng)一對數(shù)據(jù)實施分級,嚴格落實網(wǎng)絡(luò)安全等級保護和風險評估等義務(wù)�,并在此基礎(chǔ)上推動各數(shù)據(jù)處理者進一步做好數(shù)據(jù)敏感性、可用性層級劃分�����,以便在全流程數(shù)據(jù)安全管理中更好采取精細化�����、差異化的安全保護管理和技術(shù)措施�����。
二是提出數(shù)據(jù)安全保護總體要求�����。強調(diào)數(shù)據(jù)處理者應(yīng)當壓實數(shù)據(jù)安全責任���,建立數(shù)據(jù)安全問責處罰制度和數(shù)據(jù)處理活動全流程安全管理制度�,制定數(shù)據(jù)安全培訓計劃����。
三是壓實數(shù)據(jù)處理活動全流程安全合規(guī)底線。針對收集�、存儲、使用��、加工���、傳輸���、提供、公開和刪除各環(huán)節(jié)�����,向數(shù)據(jù)處理者明確采取哪些安全保護管理和技術(shù)措施后���,可視為總體滿足盡職盡責的合規(guī)底線要求�。四是細化風險監(jiān)測��、評估審計��、事件處置等合規(guī)要求�。強調(diào)數(shù)據(jù)處理者應(yīng)當建立數(shù)據(jù)處理活動安全風險監(jiān)測和告警機制��,加強數(shù)據(jù)安全風險情報監(jiān)測�、核查����、處置與行業(yè)共享,制定數(shù)據(jù)安全事件定級判定標準和應(yīng)急預案��,規(guī)范應(yīng)急演練�����、事件處置�����、風險評估和審計等工作���。五是明確中國人民銀行及其分支機構(gòu)可對數(shù)據(jù)處理者數(shù)據(jù)安全保護義務(wù)落實情況開展執(zhí)法檢查�,以及數(shù)據(jù)處理者違反規(guī)定時對應(yīng)的法律責任�����。
重點問題說明:
(一)關(guān)于辦法條款設(shè)立原則��。
一是與現(xiàn)有制度有效銜接。“重要數(shù)據(jù)應(yīng)當境內(nèi)存儲”�����、“規(guī)定情形下申報數(shù)據(jù)出境安全評估”等條款��,均為已出臺上位法所明確法定義務(wù)的再次重申���,未額外增加合規(guī)要求。二是促進數(shù)據(jù)開發(fā)利用���。明確提出鼓勵數(shù)據(jù)處理者在保障安全合規(guī)前提下�,積極促進數(shù)據(jù)高效流通和創(chuàng)新應(yīng)用�����,并提出較敏感數(shù)據(jù)項加工后無法識別至特定個人�、組織時,可降低敏感性層級�����,更好促進數(shù)據(jù)依法合規(guī)開發(fā)利用�����。三是細化規(guī)范措施要求。對于上位法“采取相應(yīng)的技術(shù)措施和必要措施”要求�����,既細化提出原則上應(yīng)當采取的技術(shù)措施和管理措施�����,又明確特殊情形可通過內(nèi)部審核審批����、統(tǒng)一明確場景等方式弱化措施落實,避免合規(guī)義務(wù)“一刀切”��。
(二)關(guān)于辦法適用范圍�����。
根據(jù)“誰管業(yè)務(wù)��,誰管業(yè)務(wù)數(shù)據(jù)�����,誰管數(shù)據(jù)安全”基本原則,《辦法》明確適用范圍為中華人民共和國境內(nèi)開展的�,中國人民銀行承擔監(jiān)督管理職責各類業(yè)務(wù)相關(guān)的數(shù)據(jù)處理活動。此類業(yè)務(wù)涉及的數(shù)據(jù)處理者���,開展對應(yīng)數(shù)據(jù)處理活動時�����,應(yīng)當遵守《辦法》提出的管理要求。當前����,《辦法》約束的數(shù)據(jù)處理活動主要包括:貨幣政策業(yè)務(wù)、跨境人民幣業(yè)務(wù)���、銀行間各類市場交易業(yè)務(wù)��、金融業(yè)綜合統(tǒng)計業(yè)務(wù)�、支付清算業(yè)務(wù)����、貨幣管理和數(shù)字人民幣業(yè)務(wù)、經(jīng)理國庫業(yè)務(wù)、征信業(yè)務(wù)�、反洗錢業(yè)務(wù)等領(lǐng)域的數(shù)據(jù)處理活動。
(三)關(guān)于與現(xiàn)有制度標準的銜接�����。
一是注重與業(yè)務(wù)管理制度的銜接�。《辦法》定位為其適用范圍內(nèi)數(shù)據(jù)處理活動的一般性、兜底性安全合規(guī)底線�,明確國家法律、行政法規(guī)和中國人民銀行另有規(guī)定的��,從其規(guī)定�,不改變和取代征信、反洗錢等業(yè)務(wù)領(lǐng)域現(xiàn)有管理制度對數(shù)據(jù)安全的差異化管理要求���。
二是注重與個人信息保護管理制度的銜接�。個人信息作為一類特殊數(shù)據(jù)�����,除需要做好分類分級和處理過程全流程安全管理外����,還要遵守《中華人民共和國民法典》《中華人民共和國個人信息保護法》有關(guān)隱私權(quán)�、知情權(quán)��、決定權(quán)���、查閱復制權(quán)����、刪除權(quán)��、解釋說明權(quán)等的特別規(guī)定����。《辦法》明確國家法律���、行政法規(guī)和中國人民銀行對個人信息相關(guān)的數(shù)據(jù)處理活動另有規(guī)定的,應(yīng)當遵守其規(guī)定���,既與現(xiàn)有國家法律做好銜接���,也為后續(xù)出臺中國人民銀行業(yè)務(wù)領(lǐng)域相關(guān)的個人信息保護部門規(guī)章預留了空間。
三是注重與涉密數(shù)據(jù)管理制度的銜接�����。《中華人民共和國數(shù)據(jù)安全法》明確,開展涉及國家秘密的數(shù)據(jù)處理活動�����,適用《中華人民共和國保守國家秘密法》等法律�、行政法規(guī)的規(guī)定?���!掇k法》做好相應(yīng)銜接,在中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)定義中�,限定數(shù)據(jù)范圍僅為非涉密數(shù)據(jù)。
四是注重與非網(wǎng)絡(luò)數(shù)據(jù)管理制度的銜接�。《中華人民共和國數(shù)據(jù)安全法》明確,在統(tǒng)計��、檔案工作中開展數(shù)據(jù)處理活動�,還應(yīng)當遵守有關(guān)法律、行政法規(guī)的規(guī)定�����。國家網(wǎng)信部門組織起草《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》銜接上位法時����,重點規(guī)范網(wǎng)絡(luò)數(shù)據(jù)處理活動的安全管理要求����?����!掇k法》也預先與《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》做好銜接���,在中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)定義中��,限定數(shù)據(jù)范圍僅為網(wǎng)絡(luò)數(shù)據(jù)��。
五是注重與現(xiàn)行數(shù)據(jù)相關(guān)標準的銜接���。中國人民銀行已相繼出臺《金融數(shù)據(jù)安全 數(shù)據(jù)安全分級指南》(JR/T0197—2020)、《金融數(shù)據(jù)安全 數(shù)據(jù)生命周期安全規(guī)范》(JR/T0223-2021)等金融業(yè)數(shù)據(jù)安全標準�����,因數(shù)據(jù)安全管理要求不斷演進��,相關(guān)標準在內(nèi)容與術(shù)語定義方面���,需要根據(jù)《辦法》作對應(yīng)調(diào)整����,后續(xù)中國人民銀行將加快組織上述標準的修訂工作����,確保制度與標準適配統(tǒng)一。
(四)關(guān)于監(jiān)督管理協(xié)同����。
《中華人民共和國數(shù)據(jù)安全法》在明確金融等主管部門承擔本行業(yè)、本領(lǐng)域數(shù)據(jù)安全監(jiān)管責任同時��,也明確公安機關(guān)��、國家安全機關(guān)和國家網(wǎng)信等有關(guān)部門�����,在各自職責范圍內(nèi)承擔數(shù)據(jù)安全監(jiān)管職責����。《辦法》嚴格落實加強跨部門綜合監(jiān)管的有關(guān)指導意見的要求���,進一步強調(diào)中國人民銀行及其分支機構(gòu)積極支持其他有關(guān)部門依據(jù)職責開展數(shù)據(jù)安全監(jiān)督管理工作��,必要時可以與其他有關(guān)主管部門簽署合作協(xié)議��,進一步約定數(shù)據(jù)安全監(jiān)督管理協(xié)作模式�����,并可以與其他有關(guān)主管部門聯(lián)合組織中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全現(xiàn)場檢查�,既有助于強化條塊結(jié)合、區(qū)域聯(lián)動的協(xié)同監(jiān)督管理機制�����,也可有效避免重復檢查問題����,提高監(jiān)督管理效能。
