北京商报记者注意到,信息《办法》分成总则、分级分类数据分类分级、划定红线数据安全保护总体要求、数据数据安全保护管理措施、处理数据安全保护技术措施、业务央行风险监测评估审计与事件处置措施、信息法律责任、分级分类附则八章,共57条,其中对规范数据分类分级要求、压实数据处理活动全流程安全合规底线、非法获取数据等行为的处理等多个问题指明了方向。
从出台时间来看,《办法》也为征求意见及对相关配套标准调整预留了时间,从《办法》预计的生效期来看,或在2024年落地。
适用哪些数据
根据此次《办法》起草说明,根据“谁管业务,谁管业务数据,谁管数据安全”基本原则,《办法》明确凡是在中华人民共和国境内开展的,中国人民银行承担监督管理职责各类业务相关的数据处理活动均可适用。
浙江大学国际联合商学院数字经济与金融创新研究中心联席主任盘和林告诉北京商报记者,从中国人民银行业务领域来看,数据主要涉及公开政策市场操作数据、跨境人民币数据、银行间各类市场交易数据、金融业综合统计数据、支付清算数据、货币管理数据和数字人民币数据、国库收支数据、个人和企业征信数据、反洗钱相关数据等,这些数据处理者主要是各类金融机构和金融科技公司,也涉及到个人和企业,比如征信数据覆盖面就非常广。
从特点来看,这些数据一是结构性强,和互联网数据存在很大差别,中国人民银行数据是可以使用的机构化数据,很多都具备一定的格式;另外是关键数据安全要求高,很多数据是涉密、涉隐私数据,比如征信数据,数据一旦泄露造成的危害也很大;此外则是数据价值高。
盘和林认为,针对此类数据处理活动专门出台安全管理办法,一是为了数据安全,因为中国人民银行金融数据对安全要求高。其二是为了开放数据,当前数据要素对经济的驱动作用非常显著,数字经济已经成为金融业最强的驱动力,所以需要在安全的前提下,为中国人民银行业务数据向金融数据企业流转创造条件,从而实现金融创新。此外作为监管机构,中国人民银行通过算法和数据结合,也能够更好地监管金融业,防止金融风险。
另外,从“谁管业务,谁管业务数据,谁管数据安全”这一基本原则来看,在金融机构中,每个业务部门应该对自己的业务数据负责,同时也要负责数据的安全。“这也是为了确保数据真实、完整、准确和安全,同时也是为了落实责任制,避免出现数据泄露或被篡改的情况。”盘和林说道。
厚雪研究首席研究员于百程同样认为,中国人民银行在金融监管体系中处于主导地位,数据业务涵盖货币政策、金融统计、支付清算、征信、数字人民币、反洗钱等,维护数据安全责任重大。《办法》涵盖了人民银行业务涉及的各类数据处理活动,内容全面丰富,从数据分类原则、管理措施、技术措施、风险监测、评估审计、事件处置、处罚措施等来看,有利于数据处理者依法合规开展业务。
促进数据开发利用
要把安全贯穿数据治理全过程,守住安全底线,明确监管红线,一直是监管层所强调的工作重点。
北京商报记者注意到,本次《办法》提出了数据安全保护总体要求。强调数据处理者应当压实数据安全责任,建立数据安全问责处罚制度和数据处理活动全流程安全管理制度,制定数据安全培训计划。
数据安全保护管理措施中,《办法》压实了数据处理活动全流程安全合规底线。针对收集、存储、使用、加工、传输、提供、公开和删除各环节,向数据处理者明确多项安全保护管理和技术措施。
例如在隐私政策协议或者合同协议中,应当以显著方式、清晰易懂的语言说明数据收集的目的、范围、方式、存储期限,以及数据来源不合法、数据不真实情形对应的违约责任;非直接面向个人、组织收集数据时,应当要求数据提供方依照法律、行政法规取得个人、组织的同意。
此外,《办法》规范了数据分类分级要求。根据中国人民银行制定的重要数据识别标准,统一对数据实施分级,严格落实网络安全等级保护和风险评估等义务,并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分,以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。
值得一提的是,为促进数据开发利用,《办法》也提出,鼓励数据处理者在保障安全合规前提下,积极促进数据高效流通和创新应用,并提出较敏感数据项加工后无法识别至特定个人、组织时,可降低敏感性层级,更好促进数据依法合规开发利用。
盘和林认为,由于中国人民银行存在大量信息敏感数据,涉及个人隐私,所以中国人民银行业务数据使用需要安全有限;而与此同时我国积极开拓数据流通、数据应用,来推动数字经济发展,数据成为未来金融科技企业开拓创新的重要要素,所以要释放中国人民银行业务数据的价值,通过流通和数据创新的方式,此时,数据脱敏就是一个不错的方案,也就是用匿名、隐名的方式,将数据和个人、企业的对应关系解除,从而让数据可以进入数据流通市场,经过正规渠道,被金融科技公司用于金融科技创新。这既有利于推动科技发展,也给数据流通应用企业带来新的机遇。
“从这一点来看,这也将有利于金融数据要素相关业务的持续健康发展。”于百程评价。
跨部门协同监管
从主要内容来看,《办法》还细化了风险监测、评估审计、事件处置等合规要求。强调数据处理者应当建立数据处理活动安全风险监测和告警机制,加强数据安全风险情报监测、核查、处置与行业共享,制定数据安全事件定级判定标准和应急预案,规范应急演练、事件处置、风险评估和审计等工作。
中国人民银行及其分支机构,按照管辖权对数据处理者数据安全保护义务落实情况开展执法检查。必要时可以与其他有关主管部门联合组织对数据处理者的执法检查。
例如,针对违规向国际组织或者外国金融管理部门提供数据行为的处理上,中国人民银行及其分支机构将依照《中华人民共和国数据安全法》第四十八条第二款规定予以处理;所提供数据涉及个人信息的,依照《中华人民共和国个人信息保护法》第六十六条规定予以处理。
此外,针对非法获取数据等行为的处理,中国人民银行及其分支机构执法检查时,若发现数据处理者存在窃取或者以其他非法方式获取数据的行为,会将相关案件信息移送同级公安机关、国家安全机关,并配合其依法依规予以处理。
中国人民银行称,《办法》严格落实加强跨部门综合监管的有关指导意见的要求,进一步强调中国人民银行及其分支机构积极支持其他有关部门依据职责开展数据安全监督管理工作,必要时可以与其他有关主管部门签署合作协议,进一步约定数据安全监督管理协作模式,并可以与其他有关主管部门联合组织中国人民银行业务领域数据安全现场检查,这既有助于强化条块结合、区域联动的协同监督管理机制,也可有效避免重复检查问题,提高监督管理效能。
北京商报记者 刘四红