《中国人民银行业务领域数据安全管理办法（征求意见稿）》十大解读要点

习近平总书记高度重视数据安全工作，强调要加快法规制度建设，要把安全贯穿数据治理全过程，守住安全底线，明确监管红线。2022年12月19日，中共中央、国务院对外发布了《关于构建数据基础制度更好发挥数据要素作用的意见》，从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度，共计20条政策举措。其中提出要“强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线。加强数据分类分级管理……”。

伴随着《中华人民共和国网络安全法》（以下简称《网络安全法》）《数据安全法》《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》）的陆续出台，我国数据安全和个人信息保护领域已于2021年初步形成“三驾马车”并驾齐驱的治理局面。与此同时，金融业近年来密集出台了针对数据治理、数据分类分级、数据全生命周期安全管控、个人信息保护等多个领域标准规范，如《银行业金融机构数据治理指引》《个人金融信息保护技术规范》（JR/T 0171-2020）以下简称《技术规范》）、《金融数据安全数据安全分级指南》（JR/T 0197-2020）（以下简称《分级指南》）、《金融数据安全 数据生命周期安全规范》(JR/T0223-2021)（以下简称《安全规范》）等，对数据安全工作做出了较全面指导和要求。因数据安全管理要求不断演进，以上相关标准在内容与术语定义方面，需要根据《办法》作对应调整，后续中国人民银行将加快组织上述标准的修订工作，确保制度与标准适配统一。

为落实党中央、国务院有关工作部署和国家法律有关要求，中国人民银行在过去一年充分调研总结行业数据安全成熟经验做法基础上，组织研究起草《办法》，全面衔接《数据安全法》，细化明确中国人民银行业务领域数据安全合规底线要求，填补本领域数据安全管理制度保障空白，指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动，履行数据安全保护义务，保障消费者和企业用户的合法权益，促进数据要素市场高质量发展。

一类是“办法”的适用范围：根据“谁管业务，谁管业务数据，谁管数据安全”基本原则，《办法》明确适用范围为中华人民共和国境内开展的，中国人民银行承担监督管理职责各类业务相关的数据处理活动。《办法》约束的数据处理活动主要包括：货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、境内国库业务、征信业务、反洗钱业务等领域的数据处理活动。此类业务涉及的数据处理者，开展对应数据处理活动时，应当遵守《办法》提出的管理要求。

另一类是“数据”的适用范围：一是与《数据安全法》《保守国家秘密法》《网络数据安全管理条例》等做了相应衔接， 在中国人民银行业务领域数据定义中，限定数据范围仅为非涉密数据的网络数据。二是《办法》也与《分级指南》等行业标准提出的对电子数据进行数据安全定级和相应的管控进行了适配。

承接了《数据安全法》的法律底线，再次强调了开展数据处理活动基本要求：应当履行数据安全保护义务，采取有效措施防范数据被篡改、破坏、泄露、不当获取与利用等风险，确保不损害国家安全、公共利益、金融秩序、个人及组织合法权益，遵守社会公德伦理、商业道德和职业道德。

术语定义方面，除了在《网络安全法》《数据安全法》等法律法规的法定用语的基础上，对网络数据、数据处理活动、数据处理者等名词进一步调整外，还对中国人民银行业务领域数据、数据项、结构化数据项、非结构化数据项等名词进行新的定义，以统一对关键术语和定义的认识和理解以及规范使用。

数据分类分级在数据安全治理中起到承上启下的“抓手”作用，也可以说数据安全的建设优先从数据分类分级开始。因此，《办法》在第二章就提出了“数据分类分级要求”，以下从两个层面进行解读。

一是制度规范层面：中国人民银行牵头数据分类分级保护总体规划，负责组织制定数据分类分级相关行业标准，指导数据处理者开展数据分类分级各项工作，统筹确定重要数据具体目录并实施动态管理。如：《技术规范》、《分级指南》、《安全规范》等。数据处理者建立健全本单位数据分类分级实施制度，规范分类分级工作操作规程。数据分类分级过程实施和结果审批，应当严格遵循操作规程。

二是实施要求层面：从国家整体来看，需要承接法律法规中法定的数据分类分级保护机制，即数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。在中国人民银行组织下，数据处理者应当准确识别判定本单位信息系统存储的全量数据是否属于重要数据、核心数据，并填写报送重要数据目录内容，由中国人民银行汇总后确定重要数据具体目录。数据处理活动中，数据处理者还应当及时准确识别判定所涉及数据是否属于重要数据、核心数据。基于国家标准、金融业工作要求和电信行业最佳实践，本文整理如下《金融业重要数据和核心数据目录表》，供大家参考。

从数据处理者具体实践来看，需要对一般数据的分类分级工作进一步细化。《办法》给出的数据分类，是根据业务开展情况建立业务分类，进而梳理细化数据资源目录，这与《分级指南》分为客户、业务、经营管理与监管四个大类的分类方法保持一致，都是以业务视角进行数据分类。《办法》给出的数据分级，则是在数据分级基础上，根据数据遭到泄露或者被非法获取、非法利用时，可能对个人、组织合法权益或者公共利益等造成的危害程度，将数据项敏感性从低至高进一步分为一至五共五个层级；这与《分级指南》的数据安全级别（5个级别）相呼应，其中第五层级数据可拆解对应为重要数据。《分级指南》本来是一部推荐性标准，写进《办法》则进一步提高了其法律效力。由此可见，数据处理者在落实数据安全相关工作时，金融行标具有一定的指导意义和实践操作指引的。

《办法》也创新性提出了“数据可用性分层级”的要求，与信息系统业务连续性分级保障体系相结合，这种思路也给敏感程度高的数据、重要数据乃至于核心数据的识别明确了思路，真正意义上实现数据分类分级保护。

《办法》提出的数据安全保护总体要求，主要从以下三个方面确定具体实践路径。

一是组织建设方面：通过建立自上而下的覆盖决策、管理、执行、监督四个层面的数据安全管理组织架构，亦可在网络安全或数据治理的管理组织架构下增设数据安全相关职责，数据安全管理相关的安全管理部门、业务部门、信息系统建设部门、信息系统运维部门等设立数据安全岗位，并细化各类违规数据处理活动的定责问责规程，以此落实数据安全责任制。

此外，重要数据的处理者还应当书面明确数据安全负责人和数据安全牵头管理内设部门。一般而言，董事长可作为数据安全第一责任人，总行行长作为数据安全直接负责人，仅供参考。

二是制度流程方面：参考ISO27001制度体系最佳实践，数据安全问责处罚制度和数据处理活动全流程安全管理制度可从四层级文件结构进行搭建。第一层级文件是数据安全总体策略，可在原有一级文件中增加相关内容，解决“为什么”的问题；第二层级文件最为重要的是制定《数据安全管理办法》，以确立数据安全领域的各种工作要求，解决“做什么”的问题；第三层级文件则可以数据分类分级、数据处理活动全流程以及相关审批流程为主线进行制定，解决“做到怎样”和“怎么做”的问题；第四层级文件则是实际执行结果的痕迹，以数据资源目录、重要数据目录、数据相关操作审批单、风险评估报告、审计报告等为主，解决“做的结果”的问题。

三是安全培训方面：主要从组建数据安全专业人才队伍，建设数据安全合规文化出发，通过制定数据安全年度培训计划，分阶段针对不同员工开展数据安全能力培养，从全体员工数据安全与个人信息保护意识建立、数据安全管理相关人员能力提升和数据安全管理（核心）岗位技能培养三个维度逐步完善企业人员数据安全能力，并对培训结果进行评价，实现全体员工知法懂法、各部门数据安全管理相关人员依规落实、关键岗位人员核心技能扎实可靠。

同时，为促进数据开发利用，《办法》也提出，鼓励数据处理者在保障安全合规前提下，积极促进数据高效流通和创新应用，并提出较敏感数据项加工后无法识别至特定个人、组织时，可降低敏感性层级，更好促进数据依法合规开发利用。

《办法》针对收集、存储、使用、加工、传输、提供、公开和删除各环节，向数据处理者明确多项安全保护管理和技术措施。在具体实践过程中，主要关注以下6个关键点。

《办法》进一步强调了人员与权限设置遵循最小必要和职责分离原则，并在此基础上按照数据层级设置相应的技术措施。同时，明确提出了梳理特权账号的使用场景以及建立对应的内部审批授权机制，严格限定其使用；针对数据库表删除、修改等高风险操作时做好事前审查和事后审计。

在《安全规范》对“数据使用”进行了比较宽泛的定义，涵盖了对数据的访问、导出、加工、展示、开发测试、汇聚融合、公开披露、数据转让、委托处理、数据共享等活动。基于此，本文中的“数据使用”则沿用该语境含义，与《办法》中的“数据使用”有所差别。第一层级数据无单独规定，第二层级以上数据在数据使用过程中则分别设置了管控措施，如：第二层及以上数据需使用原始数据用于开发测试的需要经过内部审批并采取同等的安全管控措施；涉及第三层级以上数据导出、展示等时，原则上应当优先采取加密、数字水印、脱敏处理等安全保护措施；第四层级以上数据项加工，应当经内部审批并通过风险评估以确立对应的风险防范措施后，据此开展。

《安全规范》其实已经提出了非常详尽的分级管控要求，但部分在实践过程中存在一定的难点，《办法》提出的规定可能在以上标准的基础上，提出更严格的合规要求，但同时也给出确因业务需要等情况下的最优方式方法，并在事中、事后等过程中采取风险防范措施，将风险降至可控范围之内。如：第四层级以上数据项原则上仅提供核验使用方式，确需提供其他使用方式时，应当说明相关必要性，经内部审批并明确对应的风险防范措施后，据此开展。

在数据安全保护管理措施章节，专门针对“重要数据和核心数据”提出了特殊性数据提供保护管理措施要求：重要数据在提供之前风险评估乃至于法律法规明确规定的安全评估，当涉及合并、分立、解散或者申请重整、和解以及破产清算等情况时，法律、行政法规有明确要求的，应当事前向中国人民银行报告重要数据处置方案和数据接收方基本情况；核心数据的提供在重要数据的基础上还应提请国家数据安全工作协调机制办公室批准。

“法律、行政法规有境内存储要求的”，方须在境内存储。目前，主要指《网络安全法》《数据安全法》《个人信息保护法》下关于在境内储存个人信息、重要数据的相关要求。涉及数据出境时，重申了《数据安全法》等规定下由国家网信部门组织的数据出境安全评估要求。

当涉及向国际组织等境外监管机构跨境提供数据时，则延续了《数据安全法》《个人信息保护法》《证券法》等法定内容，在尊重国际条约协定以及平等互惠原则的同时，《办法》要求非经央行和其他有关主管部门批准，数据处理者不得向其提供境内存储的数据。

《办法》有多条内容强调了“自动化收集”“自动化决策”等相关要求，这与近年来人工智能技术被越来越广泛地应用于金融领域的背景下强相关。借用吴沈括教授的观点：一方面，这对于提高算法应用的透明度具有直接的指导意义，另一方面，“在金融领域，数据的敏感性、数据的量级决定了当数据和算法问题融汇之后，它的复杂性和风险性会更高。因此，有效的业务指引有利于将风险管理的门槛前移，提高算法、人工智能技术等方面风险治理的有效性。”

不论是监测告警规则、监测内容事项还是数据安全风险评估内容，都提出了非常详尽的要求，给数据处理者落实数据安全风险监测、评估提供了实践指引。此外，《办法》也提出了重要数据的数据处理者需每年组织开展一次全面的数据安全风险评估工作，于下年度一季度末前向监管机构报送风险评估报告，并按照行政法规要求向对应的网信部门报送。数据安全审计方面，则提出了每年至少开展一次与数据安全相关的合规审计以及发生重大以上数据安全事件后的专项审计要求，强化数据处理活动过程留痕，安全保障责任落实到人。

数据处置方面，则承接了国家网络安全事件应急预案有关事件分级要求，细化明确各等级数据安全事件对应的定级判定标准，涉及核心数据、重要数据的安全事件，应当分别定级为特别重大事件、重大事件。数据安全应急预案可考虑数据违规采集、网站页面被篡改、数据滥用/非法使用/损坏、敏感数据泄漏、批量数据使用及导出、大量帐号被盗、合作方数据安全违规等内容。

《办法》严格落实加强跨部门综合监管的有关指导意见的要求，进一步强调中国人民银行及其分支机构积极支持其他有关部门依据职责开展数据安全监督管理工作，必要时可以与其他有关主管部门签署合作协议，进一步约定数据安全监督管理协作模式，并可以与其他有关主管部门联合组织中国人民银行业务领域数据安全现场检查，既有助于强化条块结合、区域联动的协同监督管理机制，也可有效避免重复检查问题，提高监督管理效能。

同时，根据以往执法检查经验来看，针对数据安全的有关检查可归纳为以下三类：

（1）管理或技术类检查，即管理措施落实情况检查事项，纳入对应业务管理执法检查项目一并实施，技术措施落实情况检查事项，纳入网络安全执法检查项目一并实施。

（2）治理、风险类检查。数据安全治理和风险监测、评估与处置义务落实情况检查事项，可能纳入业务管理或者网络安全执法检查项目一并实施，也可通过数据安全专项执法检查项目统一实施。

（3）数据安全审查。执法检查过程中发现影响或者可能影响国家安全的重大数据处理活动线索时，监管机构将及时报国家数据安全工作协调机制办公室，研判是否启动国家数据安全审查。

在本办法适用范围内，数据处理者未履行数据安全保护义务，有下列情形之一的，中国人民银行及其分支机构依照《数据安全法》第四十五条规定予以处理。

数据处理者未履行《办法》提出的数据安全保护义务，其他有关法律、行政法规作出规定的，中国人民银行及其分支机构依照相关规定予以处理。

本文结合以上对《办法》的解读，参考金融业数据安全实践过程，对数据安全主要工作项进行拆解，主要涉及建设或优化数据安全组织架构、落实数据安全责任制、搭建数据安全管理体系、编制数据安全管理制度、梳理数据目录（涉及重要数据的需梳理重要数据目录）等14个工作子项，如下图所示。

从以上十大解读要点来看，《办法》是对目前金融业数据安全领域的重要补充，为数据处理者开展数据处理活动提供了工作依据，同时也为数据要素市场日后的蓬勃发展提供了底层制度方面的助推。随着国家法律法规的不断完善以及金融业的进一步实践，《办法》正式稿有望今年出台，各位数据处理者需根据自身实际情况以及面临的数据安全痛点，提前做好数据分类分级、数据安全管理体系建设、数据安全风险评估等工作，为进一步落实《办法》相关要求做好准备。