7月24日,为落实《中华人民共和国数据安全法》有关要求,加强中国人民银行业务领域数据安全管理,中国人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《办法》),现面向社会公开征求意见。
根据2021年通过的《中华人民共和国数据安全法》第六条,“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”,党中央、国务院也要求认真落实国家法律,进一步细化数据分级分类保护、数据目录管理、全流程数据安全管理、数据安全监测预警和应急处置相关制度。
《办法》正是在上述背景下应运而生的。业内专家表示,《办法》全面衔接《中华人民共和国数据安全法》,细化明确中国人民银行业务领域数据安全合规底线要求,填补本领域数据安全管理制度保障空白,具有积极意义。
《金融时报》记者梳理发现,《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、 风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条,主要内容包括:
一是规范数据分类分级要求。强调数据处理者应当建立数据分类分级制度规程,梳理数据资源目录标识分类信息,在国家数据安全工作协调机制统筹协调下,根据中国人民银行制定的重要数据识别标准,统一对数据实施分级,严格落实网络安全等级保护和风险评估等义务,并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。
二是提出数据安全保护总体要求。强调数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划。
三是压实数据处理活动全流程安全合规底线。针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者明确采取哪些安全保护管理和技术措施后,可视为总体满足尽职尽责的合规底线要求。
四是细化风险监测、评估审计、事件处置等合规要求。强调数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。
五是明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。
关于与现有制度标准的衔接,《办法》注重与业务管理制度的衔接。《办法》定位为其适用范围内数据处理活动的一般性、兜底性安全合规底线,明确国家法律、行政法规和中国人民银行另有规定的,从其规定,不改变和取代征信、反洗钱等业务领域现有管理制度对数据安全的差异化管理要求。
此外,人民银行特别强调,《办法》注重与个人信息保护管理制度的衔接、与涉密数据管理制度的衔接、与非网络数据管理制度的衔接和与现行数据相关标准的衔接。根据人民银行介绍,“个人信息作为一类特殊数据,除需要做好分类分级和处理过程全流程安全管理外,还要遵守《中华人民共和国民法典》《中华人民共和国个人信息保护法》有关隐私权、知情权、决定权、查阅复制权、删除权、解释说明权等的特别规定。《办法》明确国家法律、行政法规和中国人民银行对个人信息相关的数据处理活动另有规定的,应当遵守其规定,既与现有国家法律做好衔接,也为后续出台中国人民银行业务领域相关的个人信息保护部门规章预留了空间。”
在监管协调方面,《中华人民共和国数据安全法》在明确金融等主管部门承担本行业、本领域数据安全监管责任的同时,也明确公安机关、国家安全机关和国家网信等有关部门,在各自职责范围内承担数据安全监管职责。《办法》严格落实加强跨部门综合监管的有关指导意见的要求,进一步强调中国人民银行及其分支机构积极支持其他有关部门依据职责开展数据安全监督管理工作,必要时可以与其他有关主管部门签署合作协议,进一步约定数据安全监督管理协作模式,并可以与其他有关主管部门联合组织中国人民银行业务领域数据安全现场检查,既有助于强化条块结合、区域联动的协同监督管理机制,也可有效避免重复检查问题,提高监督管理效能。