引言
2023年7月24日人民银行发布了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《办法》”),面向社会公开征求意见。此次公开征求意见的《办法》从结构上来看,共分八大章、五十七条,包括总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任以及附则,有效衔接了《中华人民共和国数据安全法》(以下简称“《数据安全法》”)等相关法律的原则性要求,旨在指导、督促相关数据处理者依法依规开展中国人民银行业务领域内的数据处理活动,为适用范围内的数据处理活动提供一般性、兜底性安全与合规底线,同时也明确除非法律、行政法规和中国人民银行另有规定外,不改变和取代征信、反洗钱等业务领域现有管理制度对数据安全的差异化管理要求,符合当前金融行业数据安全保护的立法趋势,体现人民银行在保障金融行业数据安全、高效流通方面的必然使命。
一、顺应数据安全治理大背景,《办法》沿袭监管趋势
(一)《办法》发布背景
伴随着《中华人民共和国网络安全法》(以下简称“《网络安全法》”)《数据安全法》《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)的陆续出台,我国数据安全及隐私保护领域已于2021年初步形成“三驾马车”并驾齐驱的治理局面。在此基础上,近年来逐步颁布的各种办法规定、标准指南又不断完善和丰富了企业相应开展安全治理工作的新指导体系—一方面,《关键信息基础设施安全保护条例》《数据出境安全评估办法》《网络安全审查办法》等跨行业领域的综合性规定要求也不断出台,从保障数据安全作为总抓手切入,对“三大法”提出的原则性要求进行落地解释与补充;另一方面,金融、通信、能源、交通等各个行业领域的主管部门也陆续发布及修订了本行业本领域内适用的数据安全保护新要求、新措施,旨在根据数据安全的上位立法原则和国家监管精神对本行业本部门的数据处理活动精细化治理提供依据。
2022年12月19日发布的《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(下称“数据二十条”)明确了构建数据基础制度的重要性,强调了数据作为新型生产要素的巨大潜能以及做强、做优、做大数字经济的战略核心意义,将“完善治理体系,保障安全发展”划定为重点工作方向。在金融领域,金融数据因其自身敏感性高、综合性突出等特点,已经逐步实现从信息化资产到生产要素的转变,其重要性的日益增强不言而喻。
近年来中国人民银行等行业主管及监管部门根据上位法确定了数据安全相关的原则性要求,也陆续通过并发布了如《征信业务管理办法》《金融消费者权益保护实施办法》《证券期货业网络和信息安全管理办法》等部门规章、规范性文件;同时,中国人民银行与证监会等也发布了《个人金融信息保护技术规范》(JR/T 0171—2020)《金融数据安全 数据安全分级指南》(JR/T 0197—2020)《金融数据安全 数据生命周期安全规范》(JR/T 0223—2021)《证券期货业数据安全管理与保护指引》(JR/T 0250—2022)等各项行业标准,为金融行业机构的数据分类分级管理和数据生命周期安全处理活动提供了有效的实践参考。
但随着今年3月中国人民银行、国家金融监督管理总局和中国证券监督管理委员会组成的“一行一局一会”金融监管框架的正式确立,金融领域法律体系建设的完善程度和行业监管活动的细化程度仍然有待进一步提升。以及,金融领域的数据安全保护义务仍相对分散,不同业务在数据安全管理要求的明确性上存在较大差异。例如,以征信业务为代表的部分业务因已出台了适用的专门管理办法,涉及的数据处理活动有相对明确的规制要求;而其他业务的有关数据安全的治理要求仍处于相对空白的状态,故如何权衡及综合发展各项业务的良好治理实践尚需要数据处理者开展更多探索性尝试。
在探索数据安全与合规和业务发展如何平衡这一话题时,金融领域相关数据处理者的表现相对“挣扎”。近年来,中国人民银行因“系统数据质量及数据报送存在违法违规行为”“未按规定创建内部用户权限”“违规查询和使用客户个人信息”“客户信息保护体制不健全”“违规存储、泄露数据”等事由对多家大型银行等金融机构均处以高额罚款,同时也对相关负责人及直接责任人进行了处罚。金融领域相关数据处理者被处罚后不仅仍然需要完成合规整改,更需要提前设置底线要求。
(二)明确适用范围
在受规制主体方面,根据《办法》第一章(总则)和第五十五条第(六)款,《办法》的适用范围广泛,在中国境内开展中国人民银行业务领域数据相关的处理活动均应当遵守《办法》,其所规制的数据处理者范围并不局限于银行、第三方支付机构、持牌征信机构、银联和网联等中国人民银行具有直接管辖权的金融机构,也包括了“其他机构”。而根据目前《办法》的内容,我们认为判断“其他机构”是否适用《办法》的关键在于评估其数据处理活动的性质。结合《办法》的起草说明,如果机构涉及货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动,则适用《办法》的要求。
在受规制数据类型方面,《办法》第二条明确了“中国人民银行业务领域数据”的范围为“根据法律、行政法规、国务院决定和中国人民银行规章,开展中国人民银行承担监督管理职责的各类业务活动时,所产生和收集的不涉及国家秘密的网络数据”,而第五十五条第(一)款则进一步提出“网络数据”指“通过网络收集、存储、传输、处理和产生的各种电子数据,表现形式为由一条或者多条信息记录组成的集合”。不难看出,《办法》在《网络安全数据管理条例(征求意见稿)》的基础上将“网络数据”的定义进行了细化,其适用范围明确排除了通过纸质档案等非电子形式载体所包含的其他数据。
二、从原则到落地,《办法》细化数据安全责任义务
《办法》在其第二章至第六章重点规定了数据处理者需要履行的数据安全义务。相关义务主要包括满足数据分类分级保护的要求、数据安全总体保护要求、针对数据处理活动全流程的数据安全要求和特殊数据处理场景下的安全保护要求。下文将从几大主要方面对数据处理者的相关义务依次展开介绍。
(一)落实数据分类分级保护要求
《办法》在第二章(数据分类分级)中,落实了《数据安全法》第二十一条规定的数据处理者应当建立数据分类分级保护制度的要求。总体来说,在分类方面,《办法》提出了数据应根据业务类别分类,且形成数据目录以便于管理;在分级方面,根据数据的精度、规模和对国家安全的影响程度,将数据分为一般、重要、核心三个级别。《办法》同时提出了数据在分级的基础上根据其敏感性和可用性划分层级,并根据实际情况动态更新目录以实现灵活性要求。具体而言:
在行业管理层面,《办法》规定中国人民银行应负责组织制定数据分类分级相关行业标准,根据行业发展特性和数据处理者的数据报送情况统筹确定重要数据具体目录并实施动态管理。在数据处理者内部管理方面,《办法》要求相关数据处理者建立健全单位内部的数据分类分级实施制度和操作流程,参考行业标准,形成数据资源目录,并对数据类型、数据来源、所涉信息系统情况、业务类型等进行标识,并准确完成对三级数据的识别判定和及时报送。数据资源目录需要根据数据和信息系统的变化情况,由数据处理者每年组织更新,确保内容记录的准确完整。
《办法》同时要求数据处理者根据信息系统存储数据遭到篡改、破坏后可能对业务连续性造成的影响程度,明确业务恢复点的目标要求,确认数据可用性层级。但尚处征求意见稿阶段的《办法》在可用性的层级划分方面,未明确具体应划分为几个层级的实施要求,仅提出了划分依据供数据处理者参考研判、自行处理,因此相关机构还需结合自身业务运营和信息系统管理情况完成对数据可用性的层次划分。
除通过第二章(数据分类分级)直接夯实机构分类分级的具体要求,《办法》也在第二十四条、第四十三条等处体现了数据分类分级保护的思想,明确了重要数据、核心数据在管理时除满足处理一般数据的义务外需要额外遵守的数据安全风险评估和报送等特殊要求。
(二)符合数据安全保护的总体性要求
《办法》第三章(数据安全保护总体要求)则提出了数据处理者需要符合的总括性要求,主要包括:
首先,落实内部数据安全保护责任。《办法》第十二条要求数据处理者明确内部数据安全管理部门及人员的职责分工,落实问责机制,并要求重要数据处理者以书面形式确定数据安全负责人和管理部门。
其次,建立健全内部数据安全管理体系。《办法》第十三条提出数据处理者应当在数据分类分级结果的基础上,制定内部数据安全管理制度,形成差异化的安全保护管理及技术措施要求和操作、审批、授权规程。以及,数据处理者与其母公司、子公司、关联公司或附属公司等具有关联关系的数据处理者合作开展数据处理活动时,不得降低安全保护要求。
此外,强调数据安全培训的重要性。《办法》第十四条要求数据处理者根据岗位分工制定年度培训计划并组织培训,培训内容应根据法律法规要求,按不同数据处理岗位的角色职能、数据安全保护的措施和操作流程,以及安全事件的响应要求等进行设计,并对培训结果进行评价总结。
值得注意的是,《办法》第三章还鼓励各机构开展数据安全技术的创新应用实践,旨在推动形成机构内部数据安全治理新模式,促进数据安全治理灵活性、提升技术可发展空间。
(三)针对数据全生命周期各环节采取相应治理措施
从数据全生命周期的处理环节看,《办法》在其第四章和第五章完整地覆盖了收集、存储、使用、加工、传输、提供、公开、删除等全生命周期的处理环节,并从管理和技术两个方面提出了实施措施。结合起草说明,《办法》旨在压实数据处理活动全流程的安全底线,即数据处理者在各个环节采取相关措施后则可视为总体满足尽职尽责的合规底线要求,属于落实总括性要求的落地指引。
《办法》对于各处理环节提出了不同的针对性措施。如在收集环节,《办法》指出可采用“关联信息交叉核验”这一特定措施,识别并规避数据项同一内容不合理映射至多个个人或者组织、不同数据项信息相互矛盾等问题,进而加强数据收集的准确性。又如在数据存储环节,《办法》针对数据结构提出了不同的加密策略:对于结构化数据鼓励采用更细粒度加密的方式,而对于非结构化数据要求可仅对拆分后的高层级的结构化数据单独实施加密,这一根据数据结构区分加密措施的策略提高了数据处理者的可操作性。值得注意的是,《办法》提出的数据全生命周期各环节的管理和技术措施,与其第二章提出的数据分类分级保护的要求呼应,数据安全保护管理措施和技术措施“就高不就低”。
具体而言,各机构可以参考《办法》提出的如下数据处理各环节的管理措施要求和技术措施要求要点:
|
数据处理环节 |
管理措施要求 |
技术措施要求 |
|
收集 |
· 遵循合法、正当原则; · 通过隐私政策协议或者合同协议明确约定数据收集的规则; · 接受委托收集数据工作时,通过合同约定委托关系的说明方式; · 间接获取数据时确认数据来源的合法性和真实性,对存疑情形明确业务暂停使用相关数据时的应急处置方案; · 优先采用提供方直接录入或信息系统间交互的方式收集数据; · 采用手工方式录入数据时,通过技术辅助手段提升录入准确性和真实性; · 停止提供其产品服务,合同协议履约终止或者响应个人、组织合法权益要求时,主动停止数据收集活动; · 保存数据收集相关的文件记录至少三年。
(第十七条) |
· 采用直接录入方式收集第二层级以上数据项,核验录入人身份; · 采用信息系统间交互方式收集第三层级以上数据项,对数据提供方身份进行认证,并保障收集数据的完整性; · 采取关联信息交叉核验等技术措施,识别并规避数据不合理映射、不同数据项信息相互矛盾等问题,尽可能保障收集数据的准确性,避免损害个人、组织的合法权益; · 面向个人直接录入方式收集数据时,建立健全技术措施,识别禁止发布或者传输的信息; · 采用自动化搜集方式从其他数据处理者收集数据时,遵守其数据访问控制协议,不得干扰其网络服务正常运行,不得侵害其原有网络服务合法运营权益。
(第三十二条) |
|
存储 |
· 根据业务需要明确存储期限; · 除履行法定职责或者法定义务所必需外,第三层级以上数据项原则上不得在终端设备和移动介质中存储,确需存储的,需明确场景,采取相适应的流程和保护措施,并保存相关记录至少三年。
(第十八条) |
· 有效隔离开发测试环境与生产环境数据存储设施设备; · 存储重要数据或者一百万人以上个人信息的信息系统落实三级以上网络安全等级保护要求,存储核心数据的信息系统落实四级网络安全等级保护要求或关键信息基础设施保护要求; · 优先采用商用密码技术对信息系统中第三层级以上数据项实施加密存储,对结构化数据和非结构化数据采用不同的加密存储策略; · 按照业务连续性保障等级,加强信息系统数据冗余备份管理。
(第三十三条) |
|
使用 |
· 第三层级数据项原则上不提供导出使用方式,第四层级以上数据项原则上仅提供核验使用方式,确需提供其他使用方式的应采取相适应的流程和保护措施; · 展示第三层级以上数据项时,原则上优先实施脱敏处理后再展示,确需明文展示的,需明确场景,并采取相适应的流程和保护措施。
(第十九条) |
· 统一明确第三层级以上数据项的脱敏处理策略,降低脱敏数据仍可识别至个人、组织的风险; · 采取数字水印等措施,标识信息系统当前数据使用账号、时间等信息,并在展示后及时清除缓存信息,提升数据展示、打印等使用过程的安全防护和溯源能力; · 建立终端设备安全管控策略,鼓励针对使用第三层级以上数据项的终端,采取安全沙箱、终端行为管控等安全保护措施; · 生产环境第二层级以上数据项原则上经授权并实施脱敏处理后才能用于开发测试,确需不经脱敏处理即用于开发测试的,采取相适应的流程和保护措施。
(第三十四条) |
|
加工 |
一般性质的数据加工: · 加工前审查加工目的与收集约定是否一致,确保数据加工的目的及方式正当,遵循社会公德伦理; · 第四层级以上数据项加工,经内部审批并明确对应的风险防范措施后据此开展; · 基于加工生成的数据项面向个人提供自动化决策服务时,以适当方式说明加工目的、加工依赖数据基本情况和加工基本逻辑,提升决策的透明度; · 保存加工相关记录至少三年。
促进数据开发利用: · 使用第三层级以上数据项加工后产生的数据项,经评估确认无法识别至特定个人、组织,或者反映信息敏感程度明显低于原数据项时,数据处理者履行内部审批手续后,可视情降低敏感性层级,促进数据依法合规开发利用。
(第二十条、第二十一条) |
· 建立统一的加工算法风险评估和控制策略,明确可解释性、脆弱性等风险对应的缓释措施以及退出算法自动化决策的替代方案。
(第三十五条) |
|
传输 |
· 原则上不得采用互联网邮件、即时通讯、在线文件传输、交互性信息服务等互联网信息服务或者通过移动介质交换传输第三层级以上数据项,确有需要的,需明确场景,并采取相适应的流程和保护措施。
(第二十二条) |
· 通过运营商网络传输第二层级以上数据项时,采取专用线路、虚拟专用网络、安全通信协议等安全保护措施; · 动态更新记录不同网络安全区域间正常数据传输对应的网络地址、网络协议通信映射关系,加强安全隔离与终端设备准入控制; · 第三层级以上数据项传输至其他数据处理者、传输至不同数据中心或者传输至运营商网络时,优先使用商用密码技术保障机密性,并根据业务需要使用商用密码技术加强完整性和抗抵赖性保障,未使用商用密码技术进行传输保护的,需明确场景,并采取相适应的流程和保护措施; · 传输失败或者传输完成后,及时删除不必要的缓存数据; · 及时评估调整网络线路的传输承载容量,加强网络线路和相关软硬件设备的冗余备份。
(第三十六条) |
|
提供 |
一般性数据提供: · 提供一般性数据前,针对业务开展所需的数据提供行为采取评估并保存记录、合同协议约定、数据真实性及身份真实性核验等八项安全保护管理措施。
特殊性数据提供: · 提供重要数据前,依照法律法规要求开展风险评估工作并保存报告至少三年; · 提供核心数据前,提请国家数据安全工作协调机制办公室批准; · 因合并、分立、解散、被宣告破产等原因需要转移数据的,通过公告等方式将数据接收方信息告知相关个人、组织,并完成相应评估工作; · 重要数据的处理者发生合并、分立、解散或者申请重整、和解以及破产清算等情况时,根据法律法规要求事前向中国人民银行报告重要数据处置方案和数据接收方基本情况。
(第二十三条、第二十四条) |
· 针对持续性数据提供行为建设较为集中的技术平台,并采用前置网关或者应用程序接口方式向其他数据处理者提供数据; · 提供从其他数据处理者收集获得的数据项,中国人民银行有明确需公开数据来源要求的,以显著方式标识来源; · 提供第三层级以上数据项时对数据接收方身份进行认证; · 采用隐私计算技术提供数据时,建立统一的技术风险评估和控制策略,明确安全可验证性、性能可接受性等风险对应的缓释措施; · 对于委托处理情形的数据提供行为,纳入信息科技外包管理体系统一管理。
(第三十七条) |
|
公开 |
· 履行内部审批手续,审核数据公开行为的目的、数据内容范围、渠道、时限和脱敏处理情况,分析研判可能产生的负面影响,并核验数据的合法性、真实性与有效性; · 公开渠道原则上为本单位统一明确的官方渠道; · 公开第二层级以上数据,保存相关信息至少三年; · 公开第三层及以上数据原则上在公开前先实施脱敏处理。
(第二十八条) |
· 明确自身已公开数据是否可被自动化搜集的数据访问控制协议,并采取有效技术措施,保障公开数据不被篡改。
(第三十八条) |
|
删除 |
· 满足法定个人信息删除情形时,主动删除数据; · 其他数据超过约定存储时限或收到删除的正当请求时,应主动删除; · 删除从技术上难以实现的,应实施必要保护并停止其他处理,并以年为单位开展审计; · 发生解散、被宣告破产等情况时,合法合规转移后及时销毁全部数据存储介质。
(第二十九条) |
· 删除数据涉及数据存储介质销毁工作时,建立统一的数据存储介质销毁策略,明确销毁技术方式和过程监督措施; · 存储第三层级以上数据项的存储介质不再使用并且离开数据处理者控制范围时,及时销毁; · 保存数据销毁的相关记录至少三年。
(第三十九条) |
(四)遵守特定场景下数据处理活动的安全保护要求
《办法》除了针对数据处理活动全流程的不同环节提出安全要求外,还对数据处理活动中特殊场景的安全保护措施和风险监测、评估审计与事件处置措施等重点事项进行了说明。如数据处理者在制定数据处理活动监测告警规则时,《办法》要求重点关注不同环节易触发的未经授权处理情况以及身份认证、终端安全管理、接口控制等技术措施在应用时一系列易忽视的风险。
《办法》目前提出的特定场景下数据处理活动的具体义务要求如下:
|
特定数据处理活动场景 |
措施要求 |
|
内部数据处理权限管控 |
管理措施方面: · 按照最小必要和职责分离原则,严格管理各类数据处理账号,并能够实现权限及时调整和账号收回; · 加强账号身份认证管理,根据数据项级别采用多因素认证、签署保密协议等方式实现管理。
技术措施方面: · 采用技术措施从严管控业务处理账号数据使用权限; · 明确特权账号使用场景,严控审批授权程序。
(第十六条、第三十条) |
|
数据融合创新应用 |
· 采用隐私计算等技术促进数据融合创新应用时,确认原始数据未离开自身控制范围,且多个数据提供行为关联后,保障约定范围外信息的风险可控。
(第二十五条) |
|
数据出境 |
· 严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估,及时测算估算出镜数据规模,按要求保存评估结果。
(第二十六条) |
|
国际组织和外国金融管理部门数据调取 |
· 非经中国人民银行和其他有关主管部门批准,不得向其提供境内存储的数据。
(第二十七条) |
|
日志管理 |
· 建立统一的日志规范,明确数据处理活动日志完整记录的溯源所需信息; · 第三层级数据项如需在数据处理活动日志中记录原则上实施脱敏处理,第四层级以上数据项原则上不记录,确有需要的,需明确场景,并采取相适应的流程和保护措施。
(第三十一条) |
|
处理活动风险监测 |
· 采取有效措施,强化数据处理活动安全风险监测和告警,推进违规数据处理活动阻断技术措施建设,及时做好风险隐患的溯源排查处置,并核验技术措施的有效性和可靠性; · 制定风险监测告警规则时重点关注本条列举的十四点事项。
(第四十条) |
|
安全风险情报监测 |
· 加强数据安全风险情报的监测,及时核实并做好必要的数据安全防范处置工作; · 制定风险情报监测规则时重点关注本条列举的五点事项。
(第四十一条) |
|
安全通报预警监测 |
· 及时接收、核查和处置中国人民银行或其分支机构通报的数据安全风险情报,并根据要求按时反馈核查处置结果; · 积极向中国人民银行或其分支机构提供可共享的数据安全风险情报,提升联防联控效能。
(第四十二条) |
|
数据安全风险评估 |
· 重要数据的数据处理者自行或者委托检测机构,每年组织开展一次全面评估,并按要求完成报送工作; · 除法律、行政法规已明确的内容外,风险评估报告还应重点评估本条列举的十项风险,并提出改进应对措施; · 细化管控数据安全风险评估人员使用数据的权限,并采取有效措施确保实施过程安全; · 数据安全风险评估报告不得记录第四层级以上数据项; · 报告保存期限不得短于实施过程中使用数据的存储期限,且最短不得低于三年; · 委托外部机构开展风险评估时书面明确数据安全保护责任,并指定本单位人员全程参与。
(第四十三条、第四十五条) |
|
数据安全审计 |
· 围绕数据安全管理制度和操作规程执行情况、投诉处理情况,每年至少开展一次与数据安全相关的合规审计; · 发生重大以上数据安全事件后及时开展专项审计,督促处理活动过程留痕,安全保障责任落实到人; · 细化管控审计人员使用数据的权限,并采取有效措施确保实施过程安全; · 建立技术平台,统一建立风险评估与审计的安全管控策略; · 数据安全审计报告不得记录第四层级以上数据项; · 报告保存期限不得短于实施过程中使用数据的存储期限,且最短不得低于三年; · 委托外部机构开展审计时书面明确数据安全保护责任,并指定本单位人员全程参与。
(第四十四条、第四十五条) |
|
安全事件定级判定 |
· 按照国家网络安全事件应急预案有关事件分级要求,综合考虑影响范围和程度,细化明确不同等级数据被篡改及破坏、数据泄露、涉及核心数据及重要数据的数据安全事件对应的定级判定标准。
(第四十六条) |
|
安全事件响应处置 |
· 将数据安全事件纳入网络安全事件应急响应机制统一管理,制定相关应急预案,做好事件定级、处置、总结、报告、整改工作,按照规程向有关主管部门报告事件信息; · 每年至少开展一次针对数据安全事件的应急演练,确保应急处置措施的效率和效果; · 合作的数据接收方、委托处理受托人发生与本单位所提供数据相关的数据安全事件时,立即开展调查评估,督促其及时采取补救措施。
(第四十七条) |
三、事莫明于有效,《办法》思考与展望
(一)优化监管执法体系,在协调治理的模式下强调行业自律
由于金融行业监管已经较为成熟,从《办法》目前的内容来看,其更多也是基于现有数据安全总体要求与金融行业标准进行的细化和补充。在法律责任及处罚方面,《办法》将其新要求与现行法律的处罚规定进行了连接,不仅与《网络安全法》《数据安全法》《个人信息保护法》的法律责任进行了联动,还将《中华人民共和国反不正当竞争法》《中华人民共和国反垄断法》《中华人民共和国消费者权益保护法》等法律的罚则进行引用。数据处理者应根据《办法》规定的业务领域范围,履行不同层级文件明确的义务要求,避免承担不必要的法律责任及处罚后果。
《办法》强调了中国人民银行及其分支机构应与其他有关主管部门分工开展数据安全的监督管理工作,并在监管机构共同合作、行业协会加强行业自律的模式下实现协同管理。可以预见,今后中国人民银行将协同其他有关部门,依据《办法》开展更为全面、细化、高效的监管执法活动;中国银行间市场交易商协会、中国支付清算协会、中国互联网金融协会等金融行业协会也将加强自律管理,反映会员合理的数据安全意见建议,作为对主管部门开展监督管理工作的有效补充。
(二)鼓励引导数据应用创新,促进数据的依法合规高效流通
在“数据二十条”的背景之下,积极参与数据要素市场建设、推动数据安全流通是数据处理者需要面临的新课题。《办法》第十五条也提出鼓励数据处理者开展数据安全技术创新应用,在保障数据安全的前提下,积极促进数据的高效流通和创新应用。
相关数据处理者在依据《办法》开展内部数据安全能力建设的同时,有望能够为其充分投身数据要素市场建设的工作打好坚实的基础。例如,内部数据资产目录的明晰有助于后续数据资产确权、数据产品形成与定价等一系列环节的推进。在内部数据安全治理体系不断完善的前提下,依托自身数据资产目录,数据处理者可以根据未来数据要素市场的需求和自身的数据供给能力,有序参与数据流通交易的相关活动,有效提升自身的竞争性和发展活力。
本次《办法》出台的大背景下,相关数据处理者在落实内部数据分类分级制度的同时,应动态梳理自身数据资产,提升数据质量及其标准化水平,探索业务合作中的数据确权模式,积极承担社会责任,为不同场景下的数据流通和使用做好充分准备。
四、探骊方得珠,内部数据安全治理探索建议
此次《办法》基本实现了与相关金融业务管理制度、个人信息保护管理制度、涉密数据管理制度、非网络数据管理制度与金融行业等现行数据相关标准的衔接。机构可以基于目前《办法》的总体要求和措施初步思考和探索自身后期的数据安全治理之路:
(一)在内部数据安全体系建设方面,机构可以在《办法》第二章至第六章规定的安全治理要求的引导下,根据相关法律法规的要求,开展数据安全差距分析,对自身数据全生命周期的处理活动和所涉及App、小程序及网站的合规情况进行自查,识别现有的安全差距项,对潜在的风险进行识别,根据《办法》内容并借助有效的资源完成数据安全体系整改和优化。
(二)在落实细化治理要求方面,机构可在内部自查结果的基础上,结合自身业务发展的特性,围绕网络安全、数据安全、个人信息保护的重点内容,根据法律法规的要求优先形成内部的数据安全保护框架。在适用的数据安全治理框架的基础上,建立如“方针/总纲-要求/制度-指引/操作规范-模板文件/各类记录”等多级文件形成的治理结构,逐步落实内部数据安全管理工作。
(三)在对外合作及交互方面,机构可根据《办法》提出的措施要求,根据业务特点与不同合作方之间订立《数据处理协议》等文件,确保与不同参与方之间充分约定相关的数据安全保护责任义务,符合目前现行的监管要求。
综合来看,机构可初步结合《办法》目前提出的大方向,参考《金融数据安全 数据安全分级指南》等行业标准规范,开展全面的数据梳理盘点工作,并借助工具开展数据扫描,完成全面的数据自动化盘点和打标工作。在自动化盘点工作完成后,通过人工校对的方式,确保盘点工作完整准确,并在此基础上依据所制定的制度流程核查并调整数据类别、级别、层级、所涉信息系统等标识,精细化运营管理内部的数据资源目录,使数据处理者在满足数据安全义务的同时,借助数据资产盘点成果为业务发展赋能。机构还可进一步结合自身合规程度和需求,在内部数据安全保护体系建设和对外数据合作及交互两个方面有侧重地开展工作,实现治理闭环。
结语
本次公开的《办法》是对目前金融行业已出台的数据安全管理方面的立法体系的重要补充,为机构开展处理活动时的数据安全管理工作提供了治理依据,同时为数据要素市场日后的蓬勃发展提供了底层制度方面的助推。然而,仅凭目前的《办法》尚无法完全弥补目前金融行业的数据安全保护的所有方面,同时考虑到行业和技术日新月异、动态发展的特点,金融领域数据安全工作的整体推进还需要有关部门对现行的法规标准等进行修订更新,确保相关规则能够实现有机统一。
与此同时,为了贴合机构的业务实践情况、达到理想的落地指导效果,机构也应根据自身经营情况及实践中面临的数据安全痛点,积极就《办法》内容反馈意见,并密切关注《办法》后续动向(根据目前《办法》公开内容,正式稿有望今年出台),提前做好包括数据分类分级在内的数据安全治理工作,并积极推动内部数据安全保护相关技术和应用创新和应对工作。
