构建数据分(fēn)类分(fēn)级制度 筑起数据安全防線(xiàn)
2023-08-02 13:20:26

数字经济时代，数据已上升為(wèi)國(guó)家重要的基础性战略资源，与土地、劳动力、资本和技术并列為(wèi)五大要素。

在此背景下，数据安全的重要性与日俱增。近年来，数据安全与保护是我國(guó)立法的重点领域，目前，我國(guó)已通过法律、行政法规、部门规章及规范性文(wén)件、地方性法规、國(guó)家标准、行业标准、指南等规范组成覆盖多(duō)领域的数据安全保护框架。

7月24日，人民(mín)银行就《中國(guó)人民(mín)银行业務(wù)领域数据安全管理(lǐ)办法（征求意见稿）》（以下简称《办法》）公开征求意见。根据《办法》，人民(mín)银行拟要求机构对于人民(mín)银行业務(wù)领域数据按照精度、规模和对國(guó)家安全的影响程度，分(fēn)為(wèi)一般、重要、核心三级，明确了业務(wù)领域数据安全合规底線(xiàn)要求。

“金融数据是最重要的和最有(yǒu)价值的数据类型之一。”对外经济贸易大學(xué)数字经济与法律创新(xīn)研究中心主任许可(kě)在接受《金融时报》记者采访时表示。他(tā)谈到，金融数据不但关乎金融企业的权益，更与消费者敏感信息和國(guó)家宏观金融系统安全密切相关。在金融业数字化转型的过程中，数据安全对于金融风险防范至关重要。《办法》可(kě)以说是我國(guó)金融安全的基础性保障。

零壹智库金融组研究总监李薇对《金融时报》记者表示，《办法》有(yǒu)三个方面值得关注：一是提出数据处理(lǐ)应用(yòng)于金融机构的主要业務(wù)领域；二是提出数据处理(lǐ)者应当建立数据分(fēn)类分(fēn)级制度规程，对于敏感信息要严格加以保护；三是在数据管理(lǐ)的监管协同上，约定人民(mín)银行将与其他(tā)主管部门签署合作协议，避免重复检查。

构建多(duō)维度的数据分(fēn)类分(fēn)级制度

自《中华人民(mín)共和國(guó)网络安全法》（以下简称《网络安全法》）、《中华人民(mín)共和國(guó)数据安全法》（以下简称《数据安全法》）等数据保护相关法律法规施行以来，我國(guó)数据监管框架已初具雏形。由于中國(guó)人民(mín)银行业務(wù)领域数据规模大、价值和敏感程度高的特点，维护相关金融数据的稳定性和可(kě)用(yòng)性有(yǒu)助于维护个人、企业、金融行业乃至國(guó)家利益的稳定。业内专家表示，在这一背景下，《办法》出台可(kě)谓正当其时。

“《办法》是对《数据安全法》的细化。”许可(kě)对《金融时报》记者表示，“重要数据应当境内存储” “规定情形下申报数据出境安全评估”等条款均是与《数据安全法》的衔接。再如，《办法》进一步发展了数据分(fēn)类分(fēn)级制度，要求数据处理(lǐ)者梳理(lǐ)数据资源目录标识分(fēn)类信息，根据人民(mín)银行制定的重要数据识别标准，按照精度、规模和对國(guó)家安全的影响程度，分(fēn)為(wèi)一般、重要、核心三级。

对数据分(fēn)类分(fēn)级制度提出精细化要求是《办法》的重要特点。北京市金杜律师事務(wù)所合伙人吴涵对《金融时报》记者分(fēn)析称，分(fēn)类分(fēn)级是我國(guó)数据保护领域基于风险规制的思路始终坚持的监管手段之一。《数据安全法》虽然确立了“國(guó)家建立数据分(fēn)类分(fēn)级保护制度”的总體(tǐ)要求，但是如何深入各行业领域落实数据分(fēn)类分(fēn)级要求，仍有(yǒu)待各行业监管部门的具體(tǐ)指引。

《办法》即是人民(mín)银行对业務(wù)范围内重要数据进行相关规定的实践。《办法》重申了《数据安全法》对数据进行三级分(fēn)级的要求，并具體(tǐ)规定了人民(mín)银行业務(wù)领域范围内重要数据目录形成路径。吴涵告诉记者，根据这一规定，银行业机构首先依据识别标准报送重要数据目录内容，再由人民(mín)银行进行汇总并最终确认，形成双向的重要数据目录，在一定程度上可(kě)确保监管部门准确识别重要数据，既不会遗漏可(kě)能(néng)对國(guó)家安全造成严重影响的数据，也不会因过分(fēn)扩大重要数据范畴而使银行业机构在实践中开展业務(wù)时受到过多(duō)阻碍。

在前述数据分(fēn)级的基础上，《办法》还进一步提出了数据敏感性分(fēn)层级、数据可(kě)用(yòng)性分(fēn)层级的具體(tǐ)分(fēn)级要求。“在数据分(fēn)类分(fēn)级的基础上，《办法》对不同敏感性分(fēn)层级的数据规定了不同的保护要求，例如，针对可(kě)访问二级以上数据的账号，数据处理(lǐ)者应当支持身份验证；而针对可(kě)访问三级以上数据的账号，则应支持多(duō)因素认证或二次授权，并签署保密协议。”吴涵认為(wèi)，对不同级别的数据项采取不同层次的保护要求是数据分(fēn)类分(fēn)级制度的题中应有(yǒu)之义。

注重与现有(yǒu)制度的衔接

作為(wèi)金融领域的数据安全规范，《办法》与现有(yǒu)制度的有(yǒu)效衔接至关重要。中國(guó)人民(mín)大學(xué)重阳金融研究院副研究员申宇婧告诉《金融时报》记者，《办法》的一大特点就是强调不同制度的衔接和管理(lǐ)的协调。

“《办法》注重同征信、反洗钱的现有(yǒu)管理(lǐ)制度，个人信息保护管理(lǐ)制度、涉密数据管理(lǐ)制度、非网络数据管理(lǐ)制度的衔接。”申宇婧认為(wèi)，这體(tǐ)现了我國(guó)金融领域立法的严谨性、科(kē)學(xué)性。

作為(wèi)数据安全领域的部门规章，《办法》在制定时强调现有(yǒu)法律、行政法规以及行业标准的衔接与赓续。例如，数据跨境和本地化存储方面，《办法》第二十六条一方面起到提示性条款的作用(yòng)，重申了相关法律规定的数据跨境传输要求；另一方面还明确提示相关机构不得通过有(yǒu)意拆分(fēn)等行為(wèi)规避申报数据出境安全评估，这也和实践中网信部门办理(lǐ)数据出境安全评估相关业務(wù)的实践要求相符。　

在提升安全性基础上鼓励数据流通与应用(yòng)

业内人士认為(wèi)，《办法》的一大特点是规定了数据融合创新(xīn)应用(yòng)管理(lǐ)措施的要求。具體(tǐ)而言，《办法》第二十五条规定，数据处理(lǐ)者采用(yòng)隐私计算等技术促进数据融合创新(xīn)应用(yòng)时，应当确认原始数据未离开自身控制范围，且多(duō)个数据提供行為(wèi)关联后，暴露约定范围外信息的风险可(kě)控。

值得关注的是，多(duō)位受访专家都提到，《办法》出台的目的不仅在于限制银行业机构等数据处理(lǐ)者的行為(wèi)，提高相关数据的安全性，还旨在鼓励数据处理(lǐ)者在维护数据安全的情况下促进数据的流通与应用(yòng)。例如，数据分(fēn)类分(fēn)级的意义不仅在于对不同级别的数据采取不同层次的保护要求，还在于识别梳理(lǐ)对國(guó)家、企业和个人权益影响相对较小(xiǎo)的数据，从而促进其流通和多(duō)维度应用(yòng)。

“《办法》提到经过数据处理(lǐ)后的低敏感数据，可(kě)视情况促进数据依法合规开发利用(yòng)。”申宇婧认為(wèi)，在保障数据安全的情况下，可(kě)以考虑尽可(kě)能(néng)开发出更多(duō)的数据价值，而不是让保护数据安全成為(wèi)数据利用(yòng)的阻碍。

李薇认為(wèi)，《意见》提出“鼓励数据处理(lǐ)者积极开展数据安全技术创新(xīn)应用(yòng)，在保障安全合规前提下，积极促进数据的高效流通和创新(xīn)应用(yòng)”，这有(yǒu)利于引导金融科(kē)技公司积极发力，在数据要素价值挖掘上进行局部试点，一些支付机构、智能(néng)风控与隐私计算厂商(shāng)、数字政務(wù)科(kē)技公司等多(duō)元化主體(tǐ)将迎来机遇。

吴涵也表示，数据分(fēn)类分(fēn)级的意义不仅在于对不同级别的数据采取不同层次的保护要求，还在于识别梳理(lǐ)对國(guó)家、企业和个人权益影响相对较小(xiǎo)的数据，从而促进其流通和多(duō)维度应用(yòng)。不过，他(tā)同时提出，要及时修订、细化相关行业标准，以便政策更好落地。

“在《办法》发布前，人民(mín)银行一般通过行业标准具體(tǐ)指引银行业等机构的具體(tǐ)数据处理(lǐ)活动。”吴涵表示，后续如何引导银行业等机构科(kē)學(xué)、合理(lǐ)并与行业协调一致地开展数据分(fēn)类分(fēn)级工作尤為(wèi)重要。

许可(kě)表示，在落地层面，数据的分(fēn)类分(fēn)级是当前金融机构开展数据安全保护的基础。目前，金融机构多(duō)根据《数据安全分(fēn)级指南》《数据生命周期安全规范》等行业标准加以分(fēn)类分(fēn)级。随着办法的出台，亟待根据办法的原则和精神，以及最新(xīn)的业務(wù)实践，进一步更新(xīn)和明确，以增进體(tǐ)系性和协调性。

来源：金融时报-中國(guó)金融新(xīn)闻网/马梅若