《中国人民银行业务领域数据安全管理办法（征求意见稿）》十问

7月24日，中国人民银行发布《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《办法征求意见稿》），拟对开展中国人民银行承担监督管理职责的各类业务活动时所产生和收集的数据处理安全进行规制。本篇笔者通过问答的形式介绍《办法征求意见稿》的主要内容。

1、《办法征求意见稿》的立法宗旨是什么？

《办法征求意见稿》的第一条开宗明义，指出《办法征求意见稿》的立法宗旨是为规范中国人民银行业务领域数据的安全管理，目的在保护数据安全。在介绍起草背景时，中国人民银行指出，《办法征求意见稿》旨在“指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动，履行数据安全保护义务，保障消费者和企业用户的合法权益，促进数据要素市场高质量发展。”

2、《办法征求意见稿》适用于哪些数据的处理活动？

《办法征求意见稿》的第二条第一款，明确该办法适用于“在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动”。该条第二款进一步明确，“中国人民银行业务领域数据，指根据法律、行政法规、国务院决定和中国人民银行规章，开展中国人民银行承担监督管理职责的各类业务活动时，所产生和收集的不涉及国家秘密的网络数据”。

到此，可能大家还是不能明白什么是“开展中国人民银行承担监督管理职责的各类业务活动”。对此，在《<中国人民银行业务领域数据安全管理办法（征求意见稿）>起草说明》进一步明确，指出“《办法》约束的数据处理活动主要包括：货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。”[1]

3、除了上述业务产生和收集的数据，其他业务是否就不需要合规？

不是的，银行的其他业务也需要安全和合规。因为数据安全和合规是《网络安全法》、《数据安全法》和《个人信息保护法》等法律的基线要求。另外，数据的相关法规、规范性文件、部门规章、标准等均对上述法律进行了具体规定。这些形成了数据安全和数据合规的法律体系。

另外，基于前段分析，除了银行，对于其他金融机构和保险机构也需要履行数据安全和合规义务。

4、《办法征求意见稿》的体例和主要内容是什么？

《办法征求意见稿》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章。

从规定内容可以看出，数据安全和合规的工作起于数据分类分级和总体要求中的数据保护和合规部门设置与人员分工及职责。在具体工作中，“结合数据分类分级结果，明确差异化的安全保护管理和技术措施要求，并制定数据处理活动操作规程，规范各类内部审批和授权流程”。[2]数据安全和合规的工作还包括对数据处理活动进行全流程风险监测、至少每年一次的安全合规审计和数据安全事件应对。

5、数据分类分级如何进行？

根据《办法征求意见稿》第五条，中国人民银行指定分类分级行业标准，统筹确定重要数据具体目录。对此，中国人民银行已经于2020年制定了《金融数据安全 数据安全分级指南》（JR/T 0197-2020）（以下简称《数据安全分级指南》）。

一方面，首先应该对数据进行分类。根据《数据安全分级指南》，对数据进行分级的第一步是对电子数据进行盘点、梳理与分类，在此基础上形成统一的数据资产清单。对于此，《办法征求意见稿》第七条对如何分类给出了具体方法，即数据分类应当“参考行业标准，根据业务开展情况建立业务分类，梳理细化数据资源目录，标识各数据项是否为个人信息、数据来源（生产经营加工产生、外部收集产生等）”。可以说，《办法征求意见稿》第七条对数据的分类方法需要结合业务场景，在业务场景下进行梳理分类并标识是否个人信息以及数据来源。

在形成数据清单后，还要进一步明确“存储…数据…的信息系统清单和应用的业务类别”。可以看出，数据分类始于业务，终于业务。而且，数据不是在真空中处理，对数据的分类还需要列明提供数据处理环境的信息系统。当然，具体的类别名称还需要等待中国人民银行日后制定的标准确定。

另一方面，需要对分类好的数据进行分级。分级的考虑因素包括“精度、规模和对国家安全的影响”，在此基础上将数据分为“一般、重要、核心三级”。[3]但是，《办法征求意见稿》并没有给出区分一般、重要和核心数据的标准，只是原则性的规定“由中国人民银行汇总后确定重要数据具体目录”。一般、重要和核心数据的分类首见于《工业和信息化领域数据安全管理办法（试行）》（2013年1月1日实施，以下简称《工信数据办法》）。《工信数据办法》给出的确定一般、重要和核心数据的办法是“原则+列举”的形式。原则是“根据数据遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益等造成的危害程度”。列举的三级数据类别具体如下。

一般数据包括：

· 对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小；

· 受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小；

· 其他未纳入重要数据、核心数据目录的数据。

重要数据包括：

· 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；

· 对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；

· 造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；

· 引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；

· 经工业和信息化部评估确定的其他重要数据。

核心数据包括：

· 对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；

· 对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；

· 对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；

· 经工业和信息化部评估确定的其他核心数据。

另外，国家市场监督管理总局和国家标准化管理委员共同制定的《信息安全技术 重要数据识别规则（征求意见稿）》也能够为数据分级提供参考。但具体的仍然要以中国人民银行的最终确定的分级标准为准。

6、数据安全保护总体要求有哪些？

数据安全保护总体要求包括责任落实、全流程制度管理、培训和鼓励创新。

责任落实的主要工作在于数据安全管理内设部门、配备足够数量数据安全（合规）管理人员并明确职责分工，在此基础上细化各类问责规程。

在全流程制度管理上，要求根据分类分级结果，制定差异化的安全保护管理制度和技术措施，细化数据处理活动操作规程。

在培训上，要制定数据安全年度培训计划，对数据安全法律、法规、规章、行业标准、内部制度到等进行宣传。同时针对数据安全保护管理制度和技术措施及其操作规程内容进行培训。培训还有一块内容是数据安全事件应急处置规程。

在鼓励创新上，《办法征求意见稿》还鼓励数据处理者开展数据安全技术创新应用，鼓励优秀创新成果申报行业表彰奖励。[4]

7、数据安全保护管理措施有哪些？

根据全流程管理要求，《办法征求意见稿》对数据收集、存储、使用、加工、传输、提供、公开和删除各环节的管理措施进行了规定。比如账号身份验证管理、不同场景数据收集时的程序及手段要保证收集数据合法正当等。

8、数据安全保护技术措施有哪些？

这些措施包括账号权限控制、数据处理活动日志技术、数据收集保护技术、数据存储保护技术等等对数据处理各环节的保护技术措施。

我们认为，在这些方面各数据处理者可以在《办法征求意见稿》规定的基线要求之上，进行技术创新。

9、针对数据安全风险的具体措施有哪些？

对于数据安全（合规）制度、管理措施、技术措施的有效性检查，以及评估数据处理风险，是数据安全（合规）的应有之义。根据《办法征求意见稿》第六章，第一，需要对数据处理活动的风险进行全流程监测。第二，对于重要数据的处理者，应当每年组织开展一次全面的数据安全风险评估工作。第三，所有数据处理者均应每年至少开展一次数据安全审计，审计“数据安全管理制度和相关操作规程执行情况、数据安全相关投诉处理情况”。第四，还应当制定数据安全事件应急预案，并每年根据应急预案进行应急演练。

10、《办法征求意见稿》什么时候正式定稿施行？现在是不是就不用做什么？

《办法征求意见稿》第五十七条规定，“2024年××月××日起施行”，该附则条文实际上给《办法征求意见稿》设定了施行的具体年份，说明制定者意图在2024年施行《办法征求意见稿》。根据以往经验，结合人民银行对数据安全管理的紧迫要求，我们认为，《办法征求意见稿》2024年施行的可能性较大，但具体日期无法确定。

那么，在此阶段，相关数据处理者或者其他金融数据处理者是否就可以等待到施行时在做相关工作呢？我们说不是的，因为《网络安全法》、《数据安全法》和《个人信息保护法》等法律和法规，已经对数据安全和合规提出了基线要求，这已经是一项法定义务。另外，金融数据被违法处理、个人金融数据被窃取、数据库被黑客攻击、客户服务系统存在 SQL注入和文件上传漏洞等数据安全事件频发，导致金融数据的安全和合规工作也具有紧迫性。

[1]《<中国人民银行业务领域数据安全管理办法（征求意见稿）>起草说明》第三条（二）项。 

[2]《中国人民银行业务领域数据安全管理办法（征求意见稿）》第十三条。

[3]《中国人民银行业务领域数据安全管理办法（征求意见稿）》第八条。 

[4]《中国人民银行业务领域数据安全管理办法（征求意见稿）》第十二条-第十五条。