央行“数据57条”：限定数据范围、明确数据安全合规底線(xiàn)
2023-07-25 08:06:40

据中國(guó)人民(mín)银行官网7月24日消息，《中國(guó)人民(mín)银行业務(wù)领域数据安全管理(lǐ)办法（征求意见稿）》（以下简称“《办法》”）发布，面向社会公开征求意见。意见反馈截止时间為(wèi)2023年8月24日。

《办法》所称中國(guó)人民(mín)银行业務(wù)领域数据，指根据法律、行政法规、國(guó)務(wù)院决定和中國(guó)人民(mín)银行规章，开展中國(guó)人民(mín)银行承担监督管理(lǐ)职责的各类业務(wù)活动时，所产生和收集的不涉及國(guó)家秘密的网络数据。

据了解，《办法》全面衔接《中华人民(mín)共和國(guó)数据安全法》，细化明确中國(guó)人民(mín)银行业務(wù)领域数据安全合规底線(xiàn)要求，填补本领域数据安全管理(lǐ)制度保障空白，指导数据处理(lǐ)者优质高效合规开展中國(guó)人民(mín)银行业務(wù)领域数据处理(lǐ)活动，履行数据安全保护义務(wù)。

“央行数据57条”涉及数据分(fēn)级、技术创新(xīn)、风险评估等

《办法》分(fēn)成总则、数据分(fēn)类分(fēn)级、数据安全保护总體(tǐ)要求、数据安全保护管理(lǐ)措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章，共五十七条，主要内容包括：

一是规范数据分(fēn)类分(fēn)级要求。强调数据处理(lǐ)者应当建立数据分(fēn)类分(fēn)级制度规程，梳理(lǐ)数据资源目录标识分(fēn)类信息， 在國(guó)家数据安全工作协调机制统筹协调下，根据中國(guó)人民(mín)银 行制定的重要数据识别标准，统一对数据实施分(fēn)级，严格落 实网络安全等级保护和风险评估等义務(wù)，并在此基础上推动 各数据处理(lǐ)者进一步做好数据敏感性、可(kě)用(yòng)性层级划分(fēn)，以 便在全流程数据安全管理(lǐ)中更好采取精细化、差异化的安全保护管理(lǐ)和技术措施。

二是提出数据安全保护总體(tǐ)要求。强调数据处理(lǐ)者应当压实数据安全责任，建立数据安全问责处罚制度和数据处理(lǐ)活动全流程安全管理(lǐ)制度，制定数据安全培训计划。

三是压实数据处理(lǐ)活动全流程安全合规底線(xiàn)。针对收集、存储、使用(yòng)、加工、传输、提供、公开和删除各环节， 向数据处理(lǐ)者明确采取哪些安全保护管理(lǐ)和技术措施后，可(kě)视為(wèi)总體(tǐ)满足尽职尽责的合规底線(xiàn)要求。

四是细化风险监测、评估审计、事件处置等合规要求。强调数据处理(lǐ)者应当建立数据处理(lǐ)活动安全风险监测和告警机制，加强数据安全风险情报监测、核查、处置与行业共 享，制定数据安全事件定级判定标准和应急预案，规范应急演练、事件处置、风险评估和审计等工作。

五是明确中國(guó)人民(mín)银行及其分(fēn)支机构可(kě)对数据处理(lǐ)者数据安全保护义務(wù)落实情况开展执法检查，以及数据处理(lǐ)者违反规定时对应的法律责任。

央行进行四项重点问题说明

1、关于办法条款设立原则

一是与现有(yǒu)制度有(yǒu)效衔接。“重要数据应当境内存储”、 “规定情形下申报数据出境安全评估 ”等条款，均為(wèi)已出台上位法所明确法定义務(wù)的再次重申，未额外增加合规要求。

二是促进数据开发利用(yòng)。明确提出鼓励数据处理(lǐ)者在保障安全合规前提下，积极促进数据高效流通和创新(xīn)应用(yòng)，并提出较敏感数据项加工后无法识别至特定个人、组织时，可(kě)降低敏感性层级，更好促进数据依法合规开发利用(yòng)。

三是细化规范措施要求。对于上位法“采取相应的技术措施和必要措施”要求，既细化提出原则上应当采取的技术措施和管理(lǐ)措施，又(yòu)明确特殊情形可(kě)通过内部审核审批、统一明确场景等方式弱化措施落实，避免合规义務(wù)“一刀(dāo)切”。

2、关于办法适用(yòng)范围

根据“谁管业務(wù)，谁管业務(wù)数据，谁管数据安全”基本原则，《办法》明确适用(yòng)范围為(wèi)中华人民(mín)共和國(guó)境内开展的，中國(guó)人民(mín)银行承担监督管理(lǐ)职责各类业務(wù)相关的数据处理(lǐ)活动。此类业務(wù)涉及的数据处理(lǐ)者，开展对应数据处理(lǐ)活动时，应当遵守《办法》提出的管理(lǐ)要求。

当前，《办法》约束的数据处理(lǐ)活动主要包括：货币政策业務(wù)、跨境人民(mín)币业務(wù)、银行间各类市场交易业務(wù)、金融业综合统计业務(wù)、支付清算业務(wù)、货币管理(lǐ)和数字人民(mín)币业務(wù)、经理(lǐ)國(guó)库业務(wù)、征信业務(wù)、反洗钱业務(wù)等领域的数据处理(lǐ)活动。

3、关于与现有(yǒu)制度标准的衔接

一是注重与业務(wù)管理(lǐ)制度的衔接。《办法》定位為(wèi)其适用(yòng)范围内数据处理(lǐ)活动的一般性、兜底性安全合规底線(xiàn)，明确國(guó)家法律、行政法规和中國(guó)人民(mín)银行另有(yǒu)规定的，从其规定，不改变和取代征信、反洗钱等业務(wù)领域现有(yǒu)管理(lǐ)制度对数据安全的差异化管理(lǐ)要求。

二是注重与个人信息保护管理(lǐ)制度的衔接。个人信息作為(wèi)一类特殊数据，除需要做好分(fēn)类分(fēn)级和处理(lǐ)过程全流程安全管理(lǐ)外，还要遵守《中华人民(mín)共和國(guó)民(mín)法典》《中华人民(mín)共和國(guó)个人信息保护法》有(yǒu)关隐私权、知情权、决定权、查阅复制权、删除权、解释说明权等的特别规定。
《办法》明确國(guó)家法律、行政法规和中國(guó)人民(mín)银行对个人信息相关的数据处理(lǐ)活动另有(yǒu)规定的，应当遵守其规定，既与现有(yǒu)國(guó)家法律做好衔接，也為(wèi)后续出台中國(guó)人民(mín)银行业務(wù)领域相关的个人信息保护部门规章预留了空间。

三是注重与涉密数据管理(lǐ)制度的衔接。《中华人民(mín)共和國(guó)数据安全法》明确，开展涉及國(guó)家秘密的数据处理(lǐ)活动， 适用(yòng)《中华人民(mín)共和國(guó)保守國(guó)家秘密法》等法律、行政法规 的规定。《办法》做好相应衔接，在中國(guó)人民(mín)银行业務(wù)领域数据定义中，限定数据范围仅為(wèi)非涉密数据。

四是注重与非网络数据管理(lǐ)制度的衔接。《中华人民(mín)共和國(guó)数据安全法》明确，在统计、档案工作中开展数据处理(lǐ)活动，还应当遵守有(yǒu)关法律、行政法规的规定。國(guó)家网信部门组织起草(cǎo)《网络数据安全管理(lǐ)条例》衔接上位法时，重点规范网络数据处理(lǐ)活动的安全管理(lǐ)要求。《办法》也预先与《网络数据安全管理(lǐ)条例》做好衔接，在中國(guó)人民(mín)银行业務(wù)领域数据定义中，限定数据范围仅為(wèi)网络数据。

五是注重与现行数据相关标准的衔接。中國(guó)人民(mín)银行已相继出台《金融数据安全数据安全分(fēn)级指南》（JR/T0197—2020）、《金融数据安全数据生命周期安全规范》(JR/T  0223-2021)等金融业数据安全标准，因数据安全管理(lǐ)要求不断演进，相关标准在内容与术语定义方面，需要根据《办法》 作对应调整，后续中國(guó)人民(mín)银行将加快组织上述标准的修订工作，确保制度与标准适配统一。

4、关于监督管理(lǐ)协同

《中华人民(mín)共和國(guó)数据安全法》在明确金融等主管部门承担本行业、本领域数据安全监管责任同时，也明确公安机关、國(guó)家安全机关和國(guó)家网信等有(yǒu)关部门，在各自职责范围内承担数据安全监管职责。

《办法》严格落实加强跨部门综合监管的有(yǒu)关指导意见的要求，进一步强调中國(guó)人民(mín)银行及其分(fēn)支机构积极支持其他(tā)有(yǒu)关部门依据职责开展数据安全监督管理(lǐ)工作，必要时可(kě)以与其他(tā)有(yǒu)关主管部门签署合作协议，进一步约定数据安全监督管理(lǐ)协作模式，并可(kě)以与其他(tā)有(yǒu)关主管部门联合组织中國(guó)人民(mín)银行业務(wù)领域数据安全现场检查，既有(yǒu)助于强化条块结合、區(qū)域联动的协同监督管理(lǐ)机制，也可(kě)有(yǒu)效避免重复检查问题，提高监督管理(lǐ)效能(néng)。

来源：零壹财经