事關(guān)數(shù)據(jù)安全 央行出手！來看六大要點(diǎn)

7月24日，為加強(qiáng)中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理，央行發(fā)布《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》（下稱《辦法》），并向社會(huì)公開征求意見。

《辦法》分成總則、數(shù)據(jù)分類分級(jí)、數(shù)據(jù)安全保護(hù)總體要求、數(shù)據(jù)安全保護(hù)管理措施、數(shù)據(jù)安全保護(hù)技術(shù)措施、風(fēng)險(xiǎn)監(jiān)測評估審計(jì)與事件處置措施、法律責(zé)任、附則八章，共五十七條。

《辦法》明確適用范圍為中華人民共和國境內(nèi)開展的，中國人民銀行承擔(dān)監(jiān)督管理職責(zé)各類業(yè)務(wù)相關(guān)的數(shù)據(jù)處理活動(dòng)。此類業(yè)務(wù)涉及的數(shù)據(jù)處理者，開展對應(yīng)數(shù)據(jù)處理活動(dòng)時(shí)，應(yīng)當(dāng)遵守《辦法》提出的管理要求。

當(dāng)前，《辦法》約束的數(shù)據(jù)處理活動(dòng)主要包括：貨幣政策業(yè)務(wù)、跨境人民幣業(yè)務(wù)、銀行間各類市場交易業(yè)務(wù)、金融業(yè)綜合統(tǒng)計(jì)業(yè)務(wù)、支付清算業(yè)務(wù)、貨幣管理和數(shù)字人民幣業(yè)務(wù)、經(jīng)理國庫業(yè)務(wù)、征信業(yè)務(wù)、反洗錢業(yè)務(wù)等領(lǐng)域的數(shù)據(jù)處理活動(dòng)。

來看《辦法》要點(diǎn)：

1、數(shù)據(jù)按照精度、規(guī)模和對國家安全的影響程度，分為一般、重要、核心三級(jí)。數(shù)據(jù)處理者應(yīng)當(dāng)準(zhǔn)確識(shí)別判定本單位信息系統(tǒng)存儲(chǔ)的全量數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)。

2、數(shù)據(jù)處理者應(yīng)當(dāng)參考行業(yè)標(biāo)準(zhǔn)，根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時(shí)，可能對個(gè)人、組織合法權(quán)益或者公共利益等造成的危害程度，將數(shù)據(jù)項(xiàng)敏感性從低至高進(jìn)一步分為一至五共五個(gè)層級(jí)。

3、使用第三層級(jí)以上數(shù)據(jù)項(xiàng)加工后產(chǎn)生的數(shù)據(jù)項(xiàng)，經(jīng)評估確認(rèn)無法識(shí)別至特定個(gè)人、組織，或者反映信息敏感程度明顯低于原數(shù)據(jù)項(xiàng)時(shí)，數(shù)據(jù)處理者履行內(nèi)部審批手續(xù)后，可視情降低敏感性層級(jí)，促進(jìn)數(shù)據(jù)依法合規(guī)開發(fā)利用。

4、數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。

5、非經(jīng)中國人民銀行和其他有關(guān)主管部門批準(zhǔn)，數(shù)據(jù)處理者不得向國際組織和外國金融管理部門提供境內(nèi)存儲(chǔ)的數(shù)據(jù)。

6、重要數(shù)據(jù)的數(shù)據(jù)處理者應(yīng)當(dāng)自行或者委托檢測機(jī)構(gòu)，每年組織開展一次全面的數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作。

填補(bǔ)制度保障空白促進(jìn)數(shù)據(jù)開發(fā)利用

央行指出，人民銀行在過去一年充分調(diào)研總結(jié)行業(yè)數(shù)據(jù)安全成熟經(jīng)驗(yàn)做法基礎(chǔ)上，組織研究起草《辦法》，全面銜接《中華人民共和國數(shù)據(jù)安全法》，細(xì)化明確中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全合規(guī)底線要求，填補(bǔ)本領(lǐng)域數(shù)據(jù)安全管理制度保障空白，指導(dǎo)數(shù)據(jù)處理者優(yōu)質(zhì)高效合規(guī)開展中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)處理活動(dòng)，履行數(shù)據(jù)安全保護(hù)義務(wù)，保障消費(fèi)者和企業(yè)用戶的合法權(quán)益，促進(jìn)數(shù)據(jù)要素市場高質(zhì)量發(fā)展。

央行指出，《辦法》條款的設(shè)立遵循三項(xiàng)原則：

一是與現(xiàn)有制度有效銜接?！爸匾獢?shù)據(jù)應(yīng)當(dāng)境內(nèi)存儲(chǔ)”、“規(guī)定情形下申報(bào)數(shù)據(jù)出境安全評估”等條款，均為已出臺(tái)上位法所明確法定義務(wù)的再次重申，未額外增加合規(guī)要求。

二是促進(jìn)數(shù)據(jù)開發(fā)利用。明確提出鼓勵(lì)數(shù)據(jù)處理者在保障安全合規(guī)前提下，積極促進(jìn)數(shù)據(jù)高效流通和創(chuàng)新應(yīng)用，并提出較敏感數(shù)據(jù)項(xiàng)加工后無法識(shí)別至特定個(gè)人、組織時(shí)，可降低敏感性層級(jí)，更好促進(jìn)數(shù)據(jù)依法合規(guī)開發(fā)利用。

三是細(xì)化規(guī)范措施要求。對于上位法“采取相應(yīng)的技術(shù)措施和必要措施”要求，既細(xì)化提出原則上應(yīng)當(dāng)采取的技術(shù)措施和管理措施，又明確特殊情形可通過內(nèi)部審核審批、統(tǒng)一明確場景等方式弱化措施落實(shí)，避免合規(guī)義務(wù)“一刀切”。

將數(shù)據(jù)項(xiàng)敏感性分五個(gè)層級(jí)

《辦法》規(guī)范了數(shù)據(jù)分類分級(jí)要求。強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)分類分級(jí)制度規(guī)程，梳理數(shù)據(jù)資源目錄標(biāo)識(shí)分類信息，在國家數(shù)據(jù)安全工作協(xié)調(diào)機(jī)制統(tǒng)籌協(xié)調(diào)下，根據(jù)中國人民銀行制定的重要數(shù)據(jù)識(shí)別標(biāo)準(zhǔn)，統(tǒng)一對數(shù)據(jù)實(shí)施分級(jí)，嚴(yán)格落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)和風(fēng)險(xiǎn)評估等義務(wù)，并在此基礎(chǔ)上推動(dòng)各數(shù)據(jù)處理者進(jìn)一步做好數(shù)據(jù)敏感性、可用性層級(jí)劃分，以便在全流程數(shù)據(jù)安全管理中更好采取精細(xì)化、差異化的安全保護(hù)管理和技術(shù)措施。

其中，《辦法》明確，數(shù)據(jù)按照精度、規(guī)模和對國家安全的影響程度，分為一般、重要、核心三級(jí)。數(shù)據(jù)處理者應(yīng)當(dāng)準(zhǔn)確識(shí)別判定本單位信息系統(tǒng)存儲(chǔ)的全量數(shù)據(jù)是否屬于重要數(shù)據(jù)、核心數(shù)據(jù)。

《辦法》明確，在數(shù)據(jù)分級(jí)基礎(chǔ)上，數(shù)據(jù)處理者應(yīng)當(dāng)參考行業(yè)標(biāo)準(zhǔn)，根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時(shí)，可能對個(gè)人、組織合法權(quán)益或者公共利益等造成的危害程度，將數(shù)據(jù)項(xiàng)敏感性從低至高進(jìn)一步分為一至五共五個(gè)層級(jí)。

《辦法》明確，數(shù)據(jù)處理者應(yīng)當(dāng)評估信息系統(tǒng)存儲(chǔ)數(shù)據(jù)遭到篡改、破壞后可能對業(yè)務(wù)連續(xù)性造成的影響程度，明確恢復(fù)點(diǎn)目標(biāo)要求?；謴?fù)點(diǎn)目標(biāo)越嚴(yán)格，數(shù)據(jù)的可用性層級(jí)越高。

重要數(shù)據(jù)的處理者應(yīng)明確數(shù)據(jù)安全負(fù)責(zé)人

《辦法》提出了數(shù)據(jù)安全保護(hù)總體要求。強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)壓實(shí)數(shù)據(jù)安全責(zé)任，建立數(shù)據(jù)安全問責(zé)處罰制度和數(shù)據(jù)處理活動(dòng)全流程安全管理制度，制定數(shù)據(jù)安全培訓(xùn)計(jì)劃。

《辦法》要求，數(shù)據(jù)處理者應(yīng)當(dāng)明確其數(shù)據(jù)安全管理相關(guān)內(nèi)設(shè)部門職責(zé)分工，配備足夠數(shù)量的數(shù)據(jù)安全管理人員，并細(xì)化各類違規(guī)數(shù)據(jù)處理活動(dòng)的定責(zé)問責(zé)規(guī)程，壓實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。重要數(shù)據(jù)的處理者還應(yīng)當(dāng)書面明確數(shù)據(jù)安全負(fù)責(zé)人和數(shù)據(jù)安全牽頭管理內(nèi)設(shè)部門。

《辦法》明確，不同敏感性層級(jí)數(shù)據(jù)項(xiàng)在同一個(gè)數(shù)據(jù)處理活動(dòng)中被處理，且難以采取差異化安全保護(hù)管理和技術(shù)措施的，應(yīng)當(dāng)統(tǒng)一采取最高敏感性層級(jí)數(shù)據(jù)項(xiàng)對應(yīng)的安全保護(hù)管理和技術(shù)措施。

壓實(shí)數(shù)據(jù)處理活動(dòng)全流程安全合規(guī)底線

《辦法》壓實(shí)了數(shù)據(jù)處理活動(dòng)全流程安全合規(guī)底線。針對收集、存儲(chǔ)、使用、加工、傳輸、提供、公開和刪除各環(huán)節(jié)，向數(shù)據(jù)處理者明確采取哪些安全保護(hù)管理和技術(shù)措施后，可視為總體滿足盡職盡責(zé)的合規(guī)底線要求。

《辦法》要求，基于加工生成的數(shù)據(jù)項(xiàng)面向個(gè)人提供自動(dòng)化決策服務(wù)時(shí)，應(yīng)當(dāng)以適當(dāng)方式說明加工目的、加工依賴數(shù)據(jù)基本情況和加工基本邏輯，提升決策的透明度。

《辦法》明確，使用第三層級(jí)（數(shù)據(jù)項(xiàng)敏感性從低至高共五個(gè)層級(jí)）以上數(shù)據(jù)項(xiàng)加工后產(chǎn)生的數(shù)據(jù)項(xiàng)，經(jīng)評估確認(rèn)無法識(shí)別至特定個(gè)人、組織，或者反映信息敏感程度明顯低于原數(shù)據(jù)項(xiàng)時(shí)，數(shù)據(jù)處理者履行內(nèi)部審批手續(xù)后，可視情降低敏感性層級(jí)，促進(jìn)數(shù)據(jù)依法合規(guī)開發(fā)利用。

《辦法》要求，數(shù)據(jù)處理者在中華人民共和國境內(nèi)收集和產(chǎn)生的數(shù)據(jù)，法律、行政法規(guī)有境內(nèi)存儲(chǔ)要求的，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。數(shù)據(jù)處理者因自身需要向境外提供數(shù)據(jù)，存在國家網(wǎng)信部門規(guī)定情形的，應(yīng)當(dāng)嚴(yán)格遵守其有關(guān)規(guī)定事前開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評估并申報(bào)數(shù)據(jù)出境安全評估。

重要數(shù)據(jù)需每年開展一次全面數(shù)據(jù)安全風(fēng)險(xiǎn)評估

《辦法》細(xì)化了風(fēng)險(xiǎn)監(jiān)測、評估審計(jì)、事件處置等合規(guī)要求。強(qiáng)調(diào)數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)處理活動(dòng)安全風(fēng)險(xiǎn)監(jiān)測和告警機(jī)制，加強(qiáng)數(shù)據(jù)安全風(fēng)險(xiǎn)情報(bào)監(jiān)測、核查、處置與行業(yè)共享，制定數(shù)據(jù)安全事件定級(jí)判定標(biāo)準(zhǔn)和應(yīng)急預(yù)案，規(guī)范應(yīng)急演練、事件處置、風(fēng)險(xiǎn)評估和審計(jì)等工作。

《辦法》要求，重要數(shù)據(jù)的數(shù)據(jù)處理者應(yīng)當(dāng)自行或者委托檢測機(jī)構(gòu)，每年組織開展一次全面的數(shù)據(jù)安全風(fēng)險(xiǎn)評估工作，于下年度一季度末前向中國人民銀行或其住所地分支機(jī)構(gòu)報(bào)送風(fēng)險(xiǎn)評估報(bào)告，并按照行政法規(guī)要求向?qū)?yīng)的網(wǎng)信部門報(bào)送。

此外，《辦法》還明確中國人民銀行及其分支機(jī)構(gòu)可對數(shù)據(jù)處理者數(shù)據(jù)安全保護(hù)義務(wù)落實(shí)情況開展執(zhí)法檢查，以及數(shù)據(jù)處理者違反規(guī)定時(shí)對應(yīng)的法律責(zé)任。

中國人民銀行關(guān)于《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》公開征求意見的通知

為落實(shí)《中華人民共和國數(shù)據(jù)安全法》有關(guān)要求，加強(qiáng)中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理，中國人民銀行起草了《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》，現(xiàn)面向社會(huì)公開征求意見。公眾可以通過以下途徑反饋意見：

一、登陸中華人民共和國司法部中國政府法制信息網(wǎng)（http://www.moj.gov.cn、http://www.chinalaw.gov.cn），進(jìn)入首頁主菜單的“立法意見征集”欄目提出意見。

二、通過電子郵件將意見發(fā)送至：ltianyuan@pbc.gov.cn。

三、通過信函方式將意見郵寄至：北京市西城區(qū)成方街32號(hào)中國人民銀行科技司（郵編：100800），并請?jiān)谛欧馍献⒚鳌爸袊嗣胥y行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法征求意見”字樣。

四、將意見傳真至：010－66016449。

意見反饋截止時(shí)間為2023年8月24日。

附件1：中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）.pdf

附件2：《中國人民銀行業(yè)務(wù)領(lǐng)域數(shù)據(jù)安全管理辦法（征求意見稿）》起草說明.pdf

中國人民銀行

2023年7月24日