总第96期 《中国人民银行业务领域数据安全管理办法(征求意见稿)》详解
编者按
中国人民银行作为银行业监管机构,牵头制定《中国人民银行业务领域数据安全管理办法(征求意见稿)》,并于2023年7月24日公开征求社会意见。此次公开征求意见的《办法征求意见稿》从结构上来看,共分八大章、五十七条,包括总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任以及附则。本期专题对《中国人民银行业务领域数据安全管理办法(征求意见稿)》进行详细解读。
目录
|
文件详解
一、立法背景
1.立法沿革:银行业等金融数据保护规范沿革
数据安全与保护是近年来我国立法的重点领域,目前,我国已通过法律、行政法规、部门规章及规范性文件、地方性法规、国家标准、行业标准、指南等规范组成覆盖多领域的数据安全保护框架。
在法律层面,《网络安全法》为我国网络安全治理指明了基本方向,提出了“建立和完善网络安全标准体系”等顶层设计要求,并为网络运营者提出网络安全等级保护制度等。《数据安全法》是数据安全保护领域的基础性法律,强调数据开发利用与安全保障并重,较为全面地构建了我国数据安全治理的各项基本制度框架,为此后各领域数据监管框架的构建提供了上位法依据与基础。《个人信息保护法》聚焦于个人信息的专门保护,在《民法典》的基础上,首次以单独法律的形式确定个人信息处理活动应遵循的基本原则、合法性基础要求以及各方权利义务等。
在前述网络领域治理的“三驾马车”的基础上,国家主管部门制定相应行政法规、部门规章等进行细化,从各层级、各角度、各领域对数据与个人信息保护提出了具体的合规要求。具体而言,垂类至包含中国人民银行业务领域的金融数据监管框架,中国人民银行、银保监会、证监会等行业主管与监管部门针对自身业务领域不断完善监管要求,且相关规定多以部门规章及规范性文件为呈现形式。
.png)
同时,标准化工作为金融行业数据的合规治理提供更为具体的指导。具体而言,中国人民银行作为主管部门,已从数据处理全生命周期、个人金融信息监管等多维度制定相应的金融数据行业标准,为商业银行等银行业机构在实践中开展金融业务涉及的金融数据处理提供明确的管理和技术要求:
.png)
银行业属于国家重点领域,中国人民银行针对银行业等金融数据的监管发挥了重要作用,不仅就其自身业务领域的数据保护工作牵头制定了一系列部门规章、行业标准,还进一步以相关法律法规和行业标准为基础,结合领域实际情况和具体需求,开展相关制度的布局指导。此外,随着技术发展,银行基础业务和核心流程的运行愈发依赖信息化载体,因此,中国人民银行还致力于推动金融科技的发展,使得科技更好地服务于银行业务及相关数据治理与安全防护,有利于充分挖掘与实现银行业等金融领域数据的价值,并助益于维护国家金融安全和促进银行业健康发展。
但是,不可否认的是,由于在银行业等金融业务领域的监管层面,法律法规多线并轨、部门规章与行业标准高效制定,国家及金融业监管部门如中国人民银行、银保监会(现国家金融监督管理总局)以及证监会等监管部门分别以各自的侧重点出发进行规制。在这样纷繁复杂的立法背景下,银行业如何面对纵横复杂的合规要求,形成不阻碍银行业务开展的数据合规制度体系,是实践中的难点与痛点。
2.实践基础:银行业数据安全事件频发
尽管上位法已经对数据保护与规制的整体框架有所部署,例如商业银行可能作为网络运营者而需针对其业务信息系统履行等级保护的要求,但实践中的数据安全事件仍屡见不鲜,其危害后果不容忽视。具体而言,随着银行业务中信息技术的深化应用,数据安全风险也随之凸显。数据泄露、违规收集处理个人信息、网络攻击等问题频发,这不仅会给银行业务领域客户带来负面影响,还可能导致银行业乃至国家利益遭受损失。
以2022年银行业监管处罚状况为例,2022年人民银行、银保监会、国家外汇管理局(含总部及其派出机构)针对银行业金融机构及从业人员下发的罚单中,监管数据报送、信息科技管控、消费者权益保护等领域不合规、落实不到位成为了罚单、尤其是大额罚单频发的重要根源所在。例如,依据相关统计,2022年涉及“个人金融信息处理违规”的罚单共计160张,案由既涉及金融消费者信息管理机制建设,也涉及侵犯金融消费者个人信息的具体行为,包含“提供个人不良信息,未告知信息主体本人”“未按规定查询个人信息”“未按规定保存客户信息”等;罚没金额合计12,139万元。其中,大额罚单合计金额9,195万元,涉及2张千万级罚单及27张百万级罚单,罚没金额最高的单笔罚单达1,674万元。虽然上述高额罚款在一定程度上代表我国在银行业等金融数据监管方面采取的严厉态度,但是也可看出,银行业违反数据安全与个人信息保护要求处理客户数据及个人信息的行为并非个例。此外,实践中银行业机构还常常因APP过度采集用户信息、未公开所有申请访问权限、未经同意查询客户征信报告、未及时销毁客户申请资料、泄露消费者金融数据等问题而受到相应的行政处罚。
因此,对外合规运营、防御攻击,对内完善制度、监督管理都应成为银行业机构在未来发展过程中的关注重点。银行业机构有必要建立更为完善的数据安全管理制度,确保数据处理全生命周期过程中的操作规程和安全控制措施均具有较为清晰的指引与要求;数据分级分类、风险监测等也需要更为明确的指导,以快速、准确地识别潜在的数据安全隐患并恰当地防范应对。有鉴于此,中国人民银行基于规范中国人民银行业务领域数据安全管理要求的目的制定《办法征求意见稿》势在必行。
二、体例初探
《办法征求意见稿》以数据分类分级(第二章)为基础,以数据安全保护(第三章)为大框架,以安全保护管理措施(第四章)和安全保护技术措施(第五章)两个方面为切入点,对数据全生命周期的保护提出要求。此外,《办法征求意见稿》还通过风险监测、评估审计和安全事件处置措施(第六章)整体管控数据安全风险,实现全面系统地保护数据安全。
三、重点制度评析
1.数据处理者义务概述
.jpg)
2.重点数据管理制度详述
如前所述,《办法征求意见稿》以数据治理为大框架,以数据处理全生命周期为抓手,形成以管理和技术为核心的制度体系。这些管理与技术措施以《数据安全法》规定的既有制度为基础,因地制宜,进一步细化相关要求,全面构建银行业务领域数据保护的合规体系。
(1)治理思路延续:协同监管
(2)分级分类细化:构建多维度的数据分级分类制度
(3)挖掘数据价值:新增数据融合创新应用管理措施要求
(4)数据保护原则:“就高不就低”
(5)明确数据收集要求:收集企业数据也需告知
(6)细化数据提供要求:区分一般数据、重要数据与核心数据
四、对文件的建议
《办法征求意见稿》作为在特定领域贯彻落实《数据安全法》《网络安全法》等网络安全与数据合规领域基本法律的下位法,为中国人民银行业务领域数据的合规管理制定了一系列详细和可落地的制度,充分指引数据处理活动中银行业等机构的行为,具有较强的实践作用,是中国人民银行在数据监管方面极为有益的尝试。但我们理解,《办法征求意见稿》及配套规范仍可进一步完善与补充:
1.及时修订、细化《数据生命周期安全规范》等行业标准
2.或可考虑将生成式人工智能服务涉及的训练数据纳入《办法征求意见稿》的规制范围
文件问答
1、立法宗旨是什么?
2、适用于哪些数据的处理活动?
3、除了上述业务产生和收集的数据,其他业务相关注意事项?
4、体例和主要内容是什么?
5、数据分类分级如何进行?
6、数据安全保护总体要求有哪些?
7、数据安全保护管理措施有哪些?
8、数据安全保护技术措施有哪些?
9、针对数据安全风险的具体措施有哪些?
10、什么时候正式定稿施行?现阶段注意事项?
要点列表
1、数据处理各环节的管理措施要求和技术措施要求要点
| 数据处理环节 | 管理措施要求 | 技术措施要求 |
| 收集 | · 遵循合法、正当原则; · 通过隐私政策协议或者合同协议明确约定数据收集的规则; · 接受委托收集数据工作时,通过合同约定委托关系的说明方式; · 间接获取数据时确认数据来源的合法性和真实性,对存疑情形明确业务暂停使用相关数据时的应急处置方案; · 优先采用提供方直接录入或信息系统间交互的方式收集数据; · 采用手工方式录入数据时,通过技术辅助手段提升录入准确性和真实性; · 停止提供其产品服务,合同协议履约终止或者响应个人、组织合法权益要求时,主动停止数据收集活动; · 保存数据收集相关的文件记录至少三年。 (第十七条) |
· 采用直接录入方式收集第二层级以上数据项,核验录入人身份; · 采用信息系统间交互方式收集第三层级以上数据项,对数据提供方身份进行认证,并保障收集数据的完整性; · 采取关联信息交叉核验等技术措施,识别并规避数据不合理映射、不同数据项信息相互矛盾等问题,尽可能保障收集数据的准确性,避免损害个人、组织的合法权益; · 面向个人直接录入方式收集数据时,建立健全技术措施,识别禁止发布或者传输的信息; · 采用自动化搜集方式从其他数据处理者收集数据时,遵守其数据访问控制协议,不得干扰其网络服务正常运行,不得侵害其原有网络服务合法运营权益。 (第三十二条) |
| 存储 | · 根据业务需要明确存储期限; · 除履行法定职责或者法定义务所必需外,第三层级以上数据项原则上不得在终端设备和移动介质中存储,确需存储的,需明确场景,采取相适应的流程和保护措施,并保存相关记录至少三年。 (第十八条) |
· 有效隔离开发测试环境与生产环境数据存储设施设备; · 存储重要数据或者一百万人以上个人信息的信息系统落实三级以上网络安全等级保护要求,存储核心数据的信息系统落实四级网络安全等级保护要求或关键信息基础设施保护要求; · 优先采用商用密码技术对信息系统中第三层级以上数据项实施加密存储,对结构化数据和非结构化数据采用不同的加密存储策略; · 按照业务连续性保障等级,加强信息系统数据冗余备份管理。 (第三十三条) |
| 使用 | · 第三层级数据项原则上不提供导出使用方式,第四层级以上数据项原则上仅提供核验使用方式,确需提供其他使用方式的应采取相适应的流程和保护措施; · 展示第三层级以上数据项时,原则上优先实施脱敏处理后再展示,确需明文展示的,需明确场景,并采取相适应的流程和保护措施。 (第十九条) |
· 统一明确第三层级以上数据项的脱敏处理策略,降低脱敏数据仍可识别至个人、组织的风险; · 采取数字水印等措施,标识信息系统当前数据使用账号、时间等信息,并在展示后及时清除缓存信息,提升数据展示、打印等使用过程的安全防护和溯源能力; · 建立终端设备安全管控策略,鼓励针对使用第三层级以上数据项的终端,采取安全沙箱、终端行为管控等安全保护措施; · 生产环境第二层级以上数据项原则上经授权并实施脱敏处理后才能用于开发测试,确需不经脱敏处理即用于开发测试的,采取相适应的流程和保护措施。 (第三十四条) |
| 加工 | 一般性质的数据加工: · 加工前审查加工目的与收集约定是否一致,确保数据加工的目的及方式正当,遵循社会公德伦理; · 第四层级以上数据项加工,经内部审批并明确对应的风险防范措施后据此开展; · 基于加工生成的数据项面向个人提供自动化决策服务时,以适当方式说明加工目的、加工依赖数据基本情况和加工基本逻辑,提升决策的透明度; · 保存加工相关记录至少三年。 促进数据开发利用: · 使用第三层级以上数据项加工后产生的数据项,经评估确认无法识别至特定个人、组织,或者反映信息敏感程度明显低于原数据项时,数据处理者履行内部审批手续后,可视情降低敏感性层级,促进数据依法合规开发利用。 (第二十条、第二十一条) |
· 建立统一的加工算法风险评估和控制策略,明确可解释性、脆弱性等风险对应的缓释措施以及退出算法自动化决策的替代方案。 (第三十五条) |
| 传输 | · 原则上不得采用互联网邮件、即时通讯、在线文件传输、交互性信息服务等互联网信息服务或者通过移动介质交换传输第三层级以上数据项,确有需要的,需明确场景,并采取相适应的流程和保护措施。 (第二十二条) |
· 通过运营商网络传输第二层级以上数据项时,采取专用线路、虚拟专用网络、安全通信协议等安全保护措施; · 动态更新记录不同网络安全区域间正常数据传输对应的网络地址、网络协议通信映射关系,加强安全隔离与终端设备准入控制; · 第三层级以上数据项传输至其他数据处理者、传输至不同数据中心或者传输至运营商网络时,优先使用商用密码技术保障机密性,并根据业务需要使用商用密码技术加强完整性和抗抵赖性保障,未使用商用密码技术进行传输保护的,需明确场景,并采取相适应的流程和保护措施; · 传输失败或者传输完成后,及时删除不必要的缓存数据; · 及时评估调整网络线路的传输承载容量,加强网络线路和相关软硬件设备的冗余备份。 (第三十六条) |
| 提供 | 一般性数据提供: · 提供一般性数据前,针对业务开展所需的数据提供行为采取评估并保存记录、合同协议约定、数据真实性及身份真实性核验等八项安全保护管理措施。 特殊性数据提供: · 提供重要数据前,依照法律法规要求开展风险评估工作并保存报告至少三年; · 提供核心数据前,提请国家数据安全工作协调机制办公室批准; · 因合并、分立、解散、被宣告破产等原因需要转移数据的,通过公告等方式将数据接收方信息告知相关个人、组织,并完成相应评估工作; · 重要数据的处理者发生合并、分立、解散或者申请重整、和解以及破产清算等情况时,根据法律法规要求事前向中国人民银行报告重要数据处置方案和数据接收方基本情况。 (第二十三条、第二十四条) |
· 针对持续性数据提供行为建设较为集中的技术平台,并采用前置网关或者应用程序接口方式向其他数据处理者提供数据; · 提供从其他数据处理者收集获得的数据项,中国人民银行有明确需公开数据来源要求的,以显著方式标识来源; · 提供第三层级以上数据项时对数据接收方身份进行认证; · 采用隐私计算技术提供数据时,建立统一的技术风险评估和控制策略,明确安全可验证性、性能可接受性等风险对应的缓释措施; · 对于委托处理情形的数据提供行为,纳入信息科技外包管理体系统一管理。 (第三十七条) |
| 公开 | · 履行内部审批手续,审核数据公开行为的目的、数据内容范围、渠道、时限和脱敏处理情况,分析研判可能产生的负面影响,并核验数据的合法性、真实性与有效性; · 公开渠道原则上为本单位统一明确的官方渠道; · 公开第二层级以上数据,保存相关信息至少三年; · 公开第三层及以上数据原则上在公开前先实施脱敏处理。 (第二十八条) |
· 明确自身已公开数据是否可被自动化搜集的数据访问控制协议,并采取有效技术措施,保障公开数据不被篡改。 (第三十八条) |
| 删除 | · 满足法定个人信息删除情形时,主动删除数据; · 其他数据超过约定存储时限或收到删除的正当请求时,应主动删除; · 删除从技术上难以实现的,应实施必要保护并停止其他处理,并以年为单位开展审计; · 发生解散、被宣告破产等情况时,合法合规转移后及时销毁全部数据存储介质。 (第二十九条) |
· 删除数据涉及数据存储介质销毁工作时,建立统一的数据存储介质销毁策略,明确销毁技术方式和过程监督措施; · 存储第三层级以上数据项的存储介质不再使用并且离开数据处理者控制范围时,及时销毁; · 保存数据销毁的相关记录至少三年。 (第三十九条) |
2、特定场景下数据处理活动的具体义务要求
| 特定数据处理活动场景 | 措施要求 |
| 内部数据处理权限管控 | 管理措施方面: · 按照最小必要和职责分离原则,严格管理各类数据处理账号,并能够实现权限及时调整和账号收回; · 加强账号身份认证管理,根据数据项级别采用多因素认证、签署保密协议等方式实现管理。 技术措施方面: · 采用技术措施从严管控业务处理账号数据使用权限; · 明确特权账号使用场景,严控审批授权程序。 (第十六条、第三十条) |
| 数据融合创新应用 | · 采用隐私计算等技术促进数据融合创新应用时,确认原始数据未离开自身控制范围,且多个数据提供行为关联后,保障约定范围外信息的风险可控。 (第二十五条) |
| 数据出境 | · 严格遵守其有关规定事前开展数据出境风险自评估并申报数据出境安全评估,及时测算估算出镜数据规模,按要求保存评估结果。 (第二十六条) |
| 国际组织和外国金融管理部门数据调取 | · 非经中国人民银行和其他有关主管部门批准,不得向其提供境内存储的数据。 (第二十七条) |
| 日志管理 | · 建立统一的日志规范,明确数据处理活动日志完整记录的溯源所需信息; · 第三层级数据项如需在数据处理活动日志中记录原则上实施脱敏处理,第四层级以上数据项原则上不记录,确有需要的,需明确场景,并采取相适应的流程和保护措施。 (第三十一条) |
| 处理活动风险监测 | · 采取有效措施,强化数据处理活动安全风险监测和告警,推进违规数据处理活动阻断技术措施建设,及时做好风险隐患的溯源排查处置,并核验技术措施的有效性和可靠性; · 制定风险监测告警规则时重点关注本条列举的十四点事项。 (第四十条) |
| 安全风险情报监测 | · 加强数据安全风险情报的监测,及时核实并做好必要的数据安全防范处置工作; · 制定风险情报监测规则时重点关注本条列举的五点事项。 (第四十一条) |
| 安全通报预警监测 | · 及时接收、核查和处置中国人民银行或其分支机构通报的数据安全风险情报,并根据要求按时反馈核查处置结果; · 积极向中国人民银行或其分支机构提供可共享的数据安全风险情报,提升联防联控效能。 (第四十二条) |
| 数据安全风险评估 | · 重要数据的数据处理者自行或者委托检测机构,每年组织开展一次全面评估,并按要求完成报送工作; · 除法律、行政法规已明确的内容外,风险评估报告还应重点评估本条列举的十项风险,并提出改进应对措施; · 细化管控数据安全风险评估人员使用数据的权限,并采取有效措施确保实施过程安全; · 数据安全风险评估报告不得记录第四层级以上数据项; · 报告保存期限不得短于实施过程中使用数据的存储期限,且最短不得低于三年; · 委托外部机构开展风险评估时书面明确数据安全保护责任,并指定本单位人员全程参与。 (第四十三条、第四十五条) |
| 数据安全审计 | · 围绕数据安全管理制度和操作规程执行情况、投诉处理情况,每年至少开展一次与数据安全相关的合规审计; · 发生重大以上数据安全事件后及时开展专项审计,督促处理活动过程留痕,安全保障责任落实到人; · 细化管控审计人员使用数据的权限,并采取有效措施确保实施过程安全; · 建立技术平台,统一建立风险评估与审计的安全管控策略; · 数据安全审计报告不得记录第四层级以上数据项; · 报告保存期限不得短于实施过程中使用数据的存储期限,且最短不得低于三年; · 委托外部机构开展审计时书面明确数据安全保护责任,并指定本单位人员全程参与。 (第四十四条、第四十五条) |
| 安全事件定级判定 | · 按照国家网络安全事件应急预案有关事件分级要求,综合考虑影响范围和程度,细化明确不同等级数据被篡改及破坏、数据泄露、涉及核心数据及重要数据的数据安全事件对应的定级判定标准。 (第四十六条) |
| 安全事件响应处置 | · 将数据安全事件纳入网络安全事件应急响应机制统一管理,制定相关应急预案,做好事件定级、处置、总结、报告、整改工作,按照规程向有关主管部门报告事件信息; · 每年至少开展一次针对数据安全事件的应急演练,确保应急处置措施的效率和效果; · 合作的数据接收方、委托处理受托人发生与本单位所提供数据相关的数据安全事件时,立即开展调查评估,督促其及时采取补救措施。 (第四十七条) |
机构内部数据安全治理探索建议
此次《办法征求意见稿》基本实现了与相关金融业务管理制度、个人信息保护管理制度、涉密数据管理制度、非网络数据管理制度与金融行业等现行数据相关标准的衔接。机构可以基于目前《办法征求意见稿》的总体要求和措施初步思考和探索自身后期的数据安全治理之路:
1、在内部数据安全体系建设方面,机构可以在《办法征求意见稿》第二章至第六章规定的安全治理要求的引导下,根据相关法律法规的要求,开展数据安全差距分析,对自身数据全生命周期的处理活动和所涉及App、小程序及网站的合规情况进行自查,识别现有的安全差距项,对潜在的风险进行识别,根据《办法征求意见稿》内容并借助有效的资源完成数据安全体系整改和优化。
2、在落实细化治理要求方面,机构可在内部自查结果的基础上,结合自身业务发展的特性,围绕网络安全、数据安全、个人信息保护的重点内容,根据法律法规的要求优先形成内部的数据安全保护框架。在适用的数据安全治理框架的基础上,建立如“方针/总纲-要求/制度-指引/操作规范-模板文件/各类记录”等多级文件形成的治理结构,逐步落实内部数据安全管理工作。
3、在对外合作及交互方面,机构可根据《办法征求意见稿》提出的措施要求,根据业务特点与不同合作方之间订立《数据处理协议》等文件,确保与不同参与方之间充分约定相关的数据安全保护责任义务,符合目前现行的监管要求。
内容来源
内容来源:
- 《中国人民银行业务领域数据安全管理办法(征求意见稿)》十问 [朱尉贤,北京天驰君泰律师事务所]
- “致广大而尽精微”——《中国人民银行业务领域数据安全管理办法(征求意见稿)》解读 [宁宣凤、吴涵、刘畅、高彤玥,金杜律师事务所]
- 央行业务领域数据治理初探,解读《中国人民银行业务领域数据安全管理办法(征求意见稿)》 [孟洁、王程、钱星辰,环球律师事务所]
推荐阅读:
- 央行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》 [中伦数据团队,北京市中伦律师事务所]
- 金融业数据合规新解:《中国人民银行业务领域数据安全管理办法(征求意见稿)》 [周杨,北京市竞天公诚律师事务所]
- 速评《中国人民银行业务领域数据安全管理办法(征求意见稿)》 [任志毅、张毅、黄宇笛、郭庆营 资管组与合规组,方达律师事务所]
- 金融数据监管大幕将启:简评人民银行业务领域数据安全管理办法征求意见稿 [权威、李珣、夏迎雨、李烨、郑博,汉坤律师事务所]