《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》十問

7月24日，中國人民銀行發佈《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》（以下簡稱《辦法徵求意見稿》），擬對開展中國人民銀行承擔監督管理職責的各類業務活動時所產生和收集的數據處理安全進行規制。本篇筆者通過問答的形式介紹《辦法徵求意見稿》的主要內容。

1、《辦法徵求意見稿》的立法宗旨是什麼？

《辦法徵求意見稿》的第一條開宗明義，指出《辦法徵求意見稿》的立法宗旨是爲規範中國人民銀行業務領域數據的安全管理，目的在保護數據安全。在介紹起草背景時，中國人民銀行指出，《辦法徵求意見稿》旨在“指導數據處理者優質高效合規開展中國人民銀行業務領域數據處理活動，履行數據安全保護義務，保障消費者和企業用戶的合法權益，促進數據要素市場高質量發展。”

2、《辦法徵求意見稿》適用於哪些數據的處理活動？

《辦法徵求意見稿》的第二條第一款，明確該辦法適用於“在中華人民共和國境內開展的中國人民銀行業務領域數據相關的處理活動”。該條第二款進一步明確，“中國人民銀行業務領域數據，指根據法律、行政法規、國務院決定和中國人民銀行規章，開展中國人民銀行承擔監督管理職責的各類業務活動時，所產生和收集的不涉及國家祕密的網絡數據”。

到此，可能大家還是不能明白什麼是“開展中國人民銀行承擔監督管理職責的各類業務活動”。對此，在《<中國人民銀行業務領域數據安全管理辦法（徵求意見稿）>起草說明》進一步明確，指出“《辦法》約束的數據處理活動主要包括：貨幣政策業務、跨境人民幣業務、銀行間各類市場交易業務、金融業綜合統計業務、支付清算業務、貨幣管理和數字人民幣業務、經理國庫業務、徵信業務、反洗錢業務等領域的數據處理活動。”[1]

3、除了上述業務產生和收集的數據，其他業務是否就不需要合規？

不是的，銀行的其他業務也需要安全和合規。因爲數據安全和合規是《網絡安全法》、《數據安全法》和《個人信息保護法》等法律的基線要求。另外，數據的相關法規、規範性文件、部門規章、標準等均對上述法律進行了具體規定。這些形成了數據安全和數據合規的法律體系。

另外，基於前段分析，除了銀行，對於其他金融機構和保險機構也需要履行數據安全和合規義務。

4、《辦法徵求意見稿》的體例和主要內容是什麼？

《辦法徵求意見稿》分成總則、數據分類分級、數據安全保護總體要求、數據安全保護管理措施、數據安全保護技術措施、風險監測評估審計與事件處置措施、法律責任、附則八章。

從規定內容可以看出，數據安全和合規的工作起於數據分類分級和總體要求中的數據保護和合規部門設置與人員分工及職責。在具體工作中，“結合數據分類分級結果，明確差異化的安全保護管理和技術措施要求，並制定數據處理活動操作規程，規範各類內部審批和授權流程”。[2]數據安全和合規的工作還包括對數據處理活動進行全流程風險監測、至少每年一次的安全合規審計和數據安全事件應對。

5、數據分類分級如何進行？

根據《辦法徵求意見稿》第五條，中國人民銀行指定分類分級行業標準，統籌確定重要數據具體目錄。對此，中國人民銀行已經於2020年制定了《金融數據安全 數據安全分級指南》（JR/T 0197-2020）（以下簡稱《數據安全分級指南》）。

一方面，首先應該對數據進行分類。根據《數據安全分級指南》，對數據進行分級的第一步是對電子數據進行盤點、梳理與分類，在此基礎上形成統一的數據資產清單。對於此，《辦法徵求意見稿》第七條對如何分類給出了具體方法，即數據分類應當“參考行業標準，根據業務開展情況建立業務分類，梳理細化數據資源目錄，標識各數據項是否爲個人信息、數據來源（生產經營加工產生、外部收集產生等）”。可以說，《辦法徵求意見稿》第七條對數據的分類方法需要結合業務場景，在業務場景下進行梳理分類並標識是否個人信息以及數據來源。

在形成數據清單後，還要進一步明確“存儲…數據…的信息系統清單和應用的業務類別”。可以看出，數據分類始於業務，終於業務。而且，數據不是在真空中處理，對數據的分類還需要列明提供數據處理環境的信息系統。當然，具體的類別名稱還需要等待中國人民銀行日後製定的標準確定。

另一方面，需要對分類好的數據進行分級。分級的考慮因素包括“精度、規模和對國家安全的影響”，在此基礎上將數據分爲“一般、重要、核心三級”。[3]但是，《辦法徵求意見稿》並沒有給出區分一般、重要和核心數據的標準，只是原則性的規定“由中國人民銀行彙總後確定重要數據具體目錄”。一般、重要和核心數據的分類首見於《工業和信息化領域數據安全管理辦法（試行）》（2013年1月1日實施，以下簡稱《工信數據辦法》）。《工信數據辦法》給出的確定一般、重要和核心數據的辦法是“原則+列舉”的形式。原則是“根據數據遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益等造成的危害程度”。列舉的三級數據類別具體如下。

一般數據包括：

· 對公共利益或者個人、組織合法權益造成較小影響，社會負面影響小；

· 受影響的用戶和企業數量較少、生產生活區域範圍較小、持續時間較短，對企業經營、行業發展、技術進步和產業生態等影響較小；

· 其他未納入重要數據、核心數據目錄的數據。

重要數據包括：

· 對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態、資源、核安全等構成威脅，影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域；

· 對工業和信息化領域發展、生產、運行和經濟利益等造成嚴重影響；

· 造成重大數據安全事件或生產安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；

· 引發的級聯效應明顯，影響範圍涉及多個行業、區域或者行業內多個企業，或者影響持續時間長，對行業發展、技術進步和產業生態等造成嚴重影響；

· 經工業和信息化部評估確定的其他重要數據。

核心數據包括：

· 對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態、資源、核安全等構成嚴重威脅，嚴重影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域；

· 對工業和信息化領域及其重要骨幹企業、關鍵信息基礎設施、重要資源等造成重大影響；

· 對工業生產運營、電信網絡和互聯網運行服務、無線電業務開展等造成重大損害，導致大範圍停工停產、大面積無線電業務中斷、大規模網絡與服務癱瘓、大量業務處理能力喪失等；

· 經工業和信息化部評估確定的其他核心數據。

另外，國家市場監督管理總局和國家標準化管理委員共同制定的《信息安全技術 重要數據識別規則（徵求意見稿）》也能夠爲數據分級提供參考。但具體的仍然要以中國人民銀行的最終確定的分級標準爲準。

6、數據安全保護總體要求有哪些？

數據安全保護總體要求包括責任落實、全流程制度管理、培訓和鼓勵創新。

責任落實的主要工作在於數據安全管理內設部門、配備足夠數量數據安全（合規）管理人員並明確職責分工，在此基礎上細化各類問責規程。

在全流程制度管理上，要求根據分類分級結果，制定差異化的安全保護管理制度和技術措施，細化數據處理活動操作規程。

在培訓上，要制定數據安全年度培訓計劃，對數據安全法律、法規、規章、行業標準、內部制度到等進行宣傳。同時針對數據安全保護管理制度和技術措施及其操作規程內容進行培訓。培訓還有一塊內容是數據安全事件應急處置規程。

在鼓勵創新上，《辦法徵求意見稿》還鼓勵數據處理者開展數據安全技術創新應用，鼓勵優秀創新成果申報行業表彰獎勵。[4]

7、數據安全保護管理措施有哪些？

根據全流程管理要求，《辦法徵求意見稿》對數據收集、存儲、使用、加工、傳輸、提供、公開和刪除各環節的管理措施進行了規定。比如賬號身份驗證管理、不同場景數據收集時的程序及手段要保證收集數據合法正當等。

8、數據安全保護技術措施有哪些？

這些措施包括賬號權限控制、數據處理活動日誌技術、數據收集保護技術、數據存儲保護技術等等對數據處理各環節的保護技術措施。

我們認爲，在這些方面各數據處理者可以在《辦法徵求意見稿》規定的基線要求之上，進行技術創新。

9、針對數據安全風險的具體措施有哪些？

對於數據安全（合規）制度、管理措施、技術措施的有效性檢查，以及評估數據處理風險，是數據安全（合規）的應有之義。根據《辦法徵求意見稿》第六章，第一，需要對數據處理活動的風險進行全流程監測。第二，對於重要數據的處理者，應當每年組織開展一次全面的數據安全風險評估工作。第三，所有數據處理者均應每年至少開展一次數據安全審計，審計“數據安全管理制度和相關操作規程執行情況、數據安全相關投訴處理情況”。第四，還應當制定數據安全事件應急預案，並每年根據應急預案進行應急演練。

10、《辦法徵求意見稿》什麼時候正式定稿施行？現在是不是就不用做什麼？

《辦法徵求意見稿》第五十七條規定，“2024年××月××日起施行”，該附則條文實際上給《辦法徵求意見稿》設定了施行的具體年份，說明制定者意圖在2024年施行《辦法徵求意見稿》。根據以往經驗，結合人民銀行對數據安全管理的緊迫要求，我們認爲，《辦法徵求意見稿》2024年施行的可能性較大，但具體日期無法確定。

那麼，在此階段，相關數據處理者或者其他金融數據處理者是否就可以等待到施行時在做相關工作呢？我們說不是的，因爲《網絡安全法》、《數據安全法》和《個人信息保護法》等法律和法規，已經對數據安全和合規提出了基線要求，這已經是一項法定義務。另外，金融數據被違法處理、個人金融數據被竊取、數據庫被黑客攻擊、客戶服務系統存在 SQL注入和文件上傳漏洞等數據安全事件頻發，導致金融數據的安全和合規工作也具有緊迫性。

[1]《<中國人民銀行業務領域數據安全管理辦法（徵求意見稿）>起草說明》第三條（二）項。 

[2]《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》第十三條。

[3]《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》第八條。 

[4]《中國人民銀行業務領域數據安全管理辦法（徵求意見稿）》第十二條-第十五條。