《中国人民银行业务领域ng体育南宫官方网站安全管理办法（征求意见稿）》十问

7月24日，中国人民银行发布《中国人民银行业务领域ng体育南宫官方网站安全管理办法（征求意见稿）》（以下简称《办法征求意见稿》），拟对开展中国人民银行承担监督管理职责的各类业务活动时所产生和收集的ng体育南宫官方网站处理安全进行规制。本篇笔者通过问答的形式介绍《办法征求意见稿》的主要内容。

1、《办法征求意见稿》的立法宗旨是什么？

《办法征求意见稿》的第一条开宗明义，指出《办法征求意见稿》的立法宗旨是为规范中国人民银行业务领域ng体育南宫官方网站的安全管理，目的在保护ng体育南宫官方网站安全。在介绍起草背景时，中国人民银行指出，《办法征求意见稿》旨在“指导ng体育南宫官方网站处理者优质高效合规开展中国人民银行业务领域ng体育南宫官方网站处理活动，履行ng体育南宫官方网站安全保护义务，保障消费者和企业用户的合法权益，促进ng体育南宫官方网站要素市场高质量发展。”

2、《办法征求意见稿》适用于哪些ng体育南宫官方网站的处理活动？

《办法征求意见稿》的第二条第一款，明确该办法适用于“在中华人民共和国境内开展的中国人民银行业务领域ng体育南宫官方网站相关的处理活动”。该条第二款进一步明确，“中国人民银行业务领域ng体育南宫官方网站，指根据法律、行政法规、国务院决定和中国人民银行规章，开展中国人民银行承担监督管理职责的各类业务活动时，所产生和收集的不涉及国家秘密的网络ng体育南宫官方网站”。

到此，可能大家还是不能明白什么是“开展中国人民银行承担监督管理职责的各类业务活动”。对此，在《<中国人民银行业务领域ng体育南宫官方网站安全管理办法（征求意见稿）>起草说明》进一步明确，指出“《办法》约束的ng体育南宫官方网站处理活动主要包括：货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的ng体育南宫官方网站处理活动。”[1]

3、除了上述业务产生和收集的ng体育南宫官方网站，其他业务是否就不需要合规？

不是的，银行的其他业务也需要安全和合规。因为ng体育南宫官方网站安全和合规是《网络安全法》、《ng体育南宫官方网站安全法》和《个人信息保护法》等法律的基线要求。另外，ng体育南宫官方网站的相关法规、规范性文件、部门规章、标准等均对上述法律进行了具体规定。这些形成了ng体育南宫官方网站安全和ng体育南宫官方网站合规的法律体系。

另外，基于前段分析，除了银行，对于其他金融机构和保险机构也需要履行ng体育南宫官方网站安全和合规义务。

4、《办法征求意见稿》的体例和主要内容是什么？

《办法征求意见稿》分成总则、ng体育南宫官方网站分类分级、ng体育南宫官方网站安全保护总体要求、ng体育南宫官方网站安全保护管理措施、ng体育南宫官方网站安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章。

从规定内容可以看出，ng体育南宫官方网站安全和合规的工作起于ng体育南宫官方网站分类分级和总体要求中的ng体育南宫官方网站保护和合规部门设置与人员分工及职责。在具体工作中，“结合ng体育南宫官方网站分类分级结果，明确差异化的安全保护管理和技术措施要求，并制定ng体育南宫官方网站处理活动操作规程，规范各类内部审批和授权流程”。[2]ng体育南宫官方网站安全和合规的工作还包括对ng体育南宫官方网站处理活动进行全流程风险监测、至少每年一次的安全合规审计和ng体育南宫官方网站安全事件应对。

5、ng体育南宫官方网站分类分级如何进行？

根据《办法征求意见稿》第五条，中国人民银行指定分类分级行业标准，统筹确定重要ng体育南宫官方网站具体目录。对此，中国人民银行已经于2020年制定了《金融ng体育南宫官方网站安全 ng体育南宫官方网站安全分级指南》（JR/T 0197-2020）（以下简称《ng体育南宫官方网站安全分级指南》）。

一方面，首先应该对ng体育南宫官方网站进行分类。根据《ng体育南宫官方网站安全分级指南》，对ng体育南宫官方网站进行分级的第一步是对电子ng体育南宫官方网站进行盘点、梳理与分类，在此基础上形成统一的ng体育南宫官方网站资产清单。对于此，《办法征求意见稿》第七条对如何分类给出了具体方法，即ng体育南宫官方网站分类应当“参考行业标准，根据业务开展情况建立业务分类，梳理细化ng体育南宫官方网站资源目录，标识各ng体育南宫官方网站项是否为个人信息、ng体育南宫官方网站来源（生产经营加工产生、外部收集产生等）”。可以说，《办法征求意见稿》第七条对ng体育南宫官方网站的分类方法需要结合业务场景，在业务场景下进行梳理分类并标识是否个人信息以及ng体育南宫官方网站来源。

在形成ng体育南宫官方网站清单后，还要进一步明确“存储…ng体育南宫官方网站…的信息系统清单和应用的业务类别”。可以看出，ng体育南宫官方网站分类始于业务，终于业务。而且，ng体育南宫官方网站不是在真空中处理，对ng体育南宫官方网站的分类还需要列明提供ng体育南宫官方网站处理环境的信息系统。当然，具体的类别名称还需要等待中国人民银行日后制定的标准确定。

另一方面，需要对分类好的ng体育南宫官方网站进行分级。分级的考虑因素包括“精度、规模和对国家安全的影响”，在此基础上将ng体育南宫官方网站分为“一般、重要、核心三级”。[3]但是，《办法征求意见稿》并没有给出区分一般、重要和核心ng体育南宫官方网站的标准，只是原则性的规定“由中国人民银行汇总后确定重要ng体育南宫官方网站具体目录”。一般、重要和核心ng体育南宫官方网站的分类首见于《工业和信息化领域ng体育南宫官方网站安全管理办法（试行）》（2013年1月1日实施，以下简称《工信ng体育南宫官方网站办法》）。《工信ng体育南宫官方网站办法》给出的确定一般、重要和核心ng体育南宫官方网站的办法是“原则+列举”的形式。原则是“根据ng体育南宫官方网站遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度”。列举的三级ng体育南宫官方网站类别具体如下。

一般ng体育南宫官方网站包括：

· 对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小；

· 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小；

· 其他未纳入重要ng体育南宫官方网站、核心ng体育南宫官方网站目录的ng体育南宫官方网站。

重要ng体育南宫官方网站包括：

· 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；

· 对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；

· 造成重大ng体育南宫官方网站安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；

· 引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；

· 经工业和信息化部评估确定的其他重要ng体育南宫官方网站。

核心ng体育南宫官方网站包括：

· 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；

· 对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；

· 对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；

· 经工业和信息化部评估确定的其他核心ng体育南宫官方网站。

另外，国家市场监督管理总局和国家标准化管理委员共同制定的《信息安全技术 重要ng体育南宫官方网站识别规则（征求意见稿）》也能够为ng体育南宫官方网站分级提供参考。但具体的仍然要以中国人民银行的最终确定的分级标准为准。

6、ng体育南宫官方网站安全保护总体要求有哪些？

ng体育南宫官方网站安全保护总体要求包括责任落实、全流程制度管理、培训和鼓励创新。

责任落实的主要工作在于ng体育南宫官方网站安全管理内设部门、配备足够数量ng体育南宫官方网站安全（合规）管理人员并明确职责分工，在此基础上细化各类问责规程。

在全流程制度管理上，要求根据分类分级结果，制定差异化的安全保护管理制度和技术措施，细化ng体育南宫官方网站处理活动操作规程。

在培训上，要制定ng体育南宫官方网站安全年度培训计划，对ng体育南宫官方网站安全法律、法规、规章、行业标准、内部制度到等进行宣传。同时针对ng体育南宫官方网站安全保护管理制度和技术措施及其操作规程内容进行培训。培训还有一块内容是ng体育南宫官方网站安全事件应急处置规程。

在鼓励创新上，《办法征求意见稿》还鼓励ng体育南宫官方网站处理者开展ng体育南宫官方网站安全技术创新应用，鼓励优秀创新成果申报行业表彰奖励。[4]

7、ng体育南宫官方网站安全保护管理措施有哪些？

根据全流程管理要求，《办法征求意见稿》对ng体育南宫官方网站收集、存储、使用、加工、传输、提供、公开和删除各环节的管理措施进行了规定。比如账号身份验证管理、不同场景ng体育南宫官方网站收集时的程序及手段要保证收集ng体育南宫官方网站合法正当等。

8、ng体育南宫官方网站安全保护技术措施有哪些？

这些措施包括账号权限控制、ng体育南宫官方网站处理活动日志技术、ng体育南宫官方网站收集保护技术、ng体育南宫官方网站存储保护技术等等对ng体育南宫官方网站处理各环节的保护技术措施。

我们认为，在这些方面各ng体育南宫官方网站处理者可以在《办法征求意见稿》规定的基线要求之上，进行技术创新。

9、针对ng体育南宫官方网站安全风险的具体措施有哪些？

对于ng体育南宫官方网站安全（合规）制度、管理措施、技术措施的有效性检查，以及评估ng体育南宫官方网站处理风险，是ng体育南宫官方网站安全（合规）的应有之义。根据《办法征求意见稿》第六章，第一，需要对ng体育南宫官方网站处理活动的风险进行全流程监测。第二，对于重要ng体育南宫官方网站的处理者，应当每年组织开展一次全面的ng体育南宫官方网站安全风险评估工作。第三，所有ng体育南宫官方网站处理者均应每年至少开展一次ng体育南宫官方网站安全审计，审计“ng体育南宫官方网站安全管理制度和相关操作规程执行情况、ng体育南宫官方网站安全相关投诉处理情况”。第四，还应当制定ng体育南宫官方网站安全事件应急预案，并每年根据应急预案进行应急演练。

10、《办法征求意见稿》什么时候正式定稿施行？现在是不是就不用做什么？

《办法征求意见稿》第五十七条规定，“2024年××月××日起施行”，该附则条文实际上给《办法征求意见稿》设定了施行的具体年份，说明制定者意图在2024年施行《办法征求意见稿》。根据以往经验，结合人民银行对ng体育南宫官方网站安全管理的紧迫要求，我们认为，《办法征求意见稿》2024年施行的可能性较大，但具体日期无法确定。

那么，在此阶段，相关ng体育南宫官方网站处理者或者其他金融ng体育南宫官方网站处理者是否就可以等待到施行时在做相关工作呢？我们说不是的，因为《网络安全法》、《ng体育南宫官方网站安全法》和《个人信息保护法》等法律和法规，已经对ng体育南宫官方网站安全和合规提出了基线要求，这已经是一项法定义务。另外，金融ng体育南宫官方网站被违法处理、个人金融ng体育南宫官方网站被窃取、ng体育南宫官方网站库被黑客攻击、客户服务系统存在 SQL注入和文件上传漏洞等ng体育南宫官方网站安全事件频发，导致金融ng体育南宫官方网站的安全和合规工作也具有紧迫性。

[1]《<中国人民银行业务领域ng体育南宫官方网站安全管理办法（征求意见稿）>起草说明》第三条（二）项。 

[2]《中国人民银行业务领域ng体育南宫官方网站安全管理办法（征求意见稿）》第十三条。

[3]《中国人民银行业务领域ng体育南宫官方网站安全管理办法（征求意见稿）》第八条。 

[4]《中国人民银行业务领域ng体育南宫官方网站安全管理办法（征求意见稿）》第十二条-第十五条。