导言
2025年5月9日,中国人民银行(以下简称“央行”)正式发布《中国人民银行业务领域数据安全管理办法》(以下简称“《央行数安办法》”)。作为落实《中华人民共和国数据安全法》(以下简称“《数据安全法》”)《网络数据安全管理条例》(以下简称“《网数条例》”)等法律法规的重要举措,该办法将于2025年6月30日起施行,并与此前国家金融监督管理总局(以下简称“金融监管总局”)于2024年12月发布的《银行保险机构数据安全管理办法》(以下简称“《银保数安办法》”)形成呼应,至此由金融行业两大监管部门先后出台的两部部门规章共同构建起我国金融行业数据安全治理的双轨框架。
本文将通过解读《央行数安办法》的核心规则,对比分析其与《银保数安办法》的监管异同,为金融机构厘清合规路径提供指引,并为其他行业数据安全制度建设提供参考。
一、概述与适用范围对比
《央行数安办法》共分为七章,共计56条,内容涵盖了数据分类分级保护制度、全流程数据安全管理要求、全流程数据安全技术要求、数据安全风险与事件管理制度、法律责任等多个方面,全面衔接了《数据安全法》《网数条例》的要求,旨在细化中国人民银行业务领域数据安全合规底线,并指导相关数据处理者合规开展数据处理活动。
在适用范围上,《央行数安办法》系从业务领域进行监管,规制的数据范围为非涉密数据、网络数据。中国人民银行有关部门负责人在答记者问中释明,《央行数安办法》适用范围聚焦于金融机构以及经中国人民银行批准设立或者认定的其他机构在中国境内开展的中国人民银行业务领域数据相关处理活动。其中,中国人民银行业务领域是指由中国人民银行承担监督和管理职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域[1]。
《银保数安办法》则按照主体进行监管,规制银行保险机构开展的除涉及国家秘密的数据处理活动外的其他数据处理活动,所适用的银行保险机构包括,在中华人民共和国境内设立的政策性银行、商业银行、农村合作银行、农村信用合作社、金融资产管理公司、企业集团财务公司、金融租赁公司、汽车金融公司、消费金融公司、货币经纪公司、信托公司、理财公司、保险公司、保险资产管理公司、保险集团(控股)公司[2]。
同时,《央行数安办法》明确其他有关主管部门有规定的,还应当依法遵守,以及中国人民银行及其分支机构要加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通,必要时可以与其他有关主管部门联合实施执法检查。因此,《银保数安办法》监管范围内的相关主体,开展《央行数安办法》所列示的业务活动并涉及数据处理活动的,需同时适用和遵从《银保数安办法》和《央行数安办法》。
二、重点内容解读
(一)数据分类分级
《央行数安办法》在第二章中规定了数据处理者的数据分类分级管理制度。总体而言,《央行数安办法》明确了中国人民银行业务领域数据分类要素的“三方面”和分级的“三级”体系,以进一步指导相关机构开展和落实分类分级工作。
其中,分类要素的“三方面”是指数据处理者在进行数据分类时分别从关联性、敏感性、可用性三个维度予以识别。值得注意的是,在分类标准上,《银保数安办法》采取《数据分类分级规则》中列举式的分类方法,将数据分为客户数据、业务数据、经营管理数据系统运行和安全管理数据等多个数据类别,而《央行数安办法》则首创以关联性、敏感性、可用性三个维度,对数据类别予以区分。“三方面”似乎与以重要性和影响程度为维度的分级思路较为近似,但意图应当是指导相关机构对业务领域数据进行进一步细致分类,从而实现分类分级基础上强化对应安全措施的目的。“三方面”的具体内容如图1所示。
图1《中国人民银行业务领域数据安全管理办法》数据分类确定规则
《央行数安办法》在数据分级标准上,沿用了《数据安全法》《数据分级分类规则》的规定,将数据分为核心数据、重要数据、一般数据。虽然相比2023年7月发布的《央行数安办法》(征求意见稿)[3]中曾要求数据处理者根据数据项敏感性将业务数据分为一至五级,正式稿中删去了该分级要求,但考虑到《银保数安办法》将“一般数据”进一步细分为“敏感数据”和“其他一般数据”,对于同时适用《银保数安办法》的机构,仍应进行细分,并按照相关规定落实对应的要求。我们在下表1中梳理了迄今为止金融行业的标准与《央行数安办法》《银保数安办法》分级规定的对应关系,供相关企业参考。
表1 金融领域相关数据分级规则
(二)核心数据、重要数据
在重要数据的报送方面,《银保数安办法》中规定由金融监管总局制定银行业保险业重要数据目录,银行保险机构还需在建立数据目录和分类分级规范的基础上,向监管机构报送重要数据目录[4]。《央行数安办法》中规定了中国人民银行将组织编制中国人民银行业务领域重要数据目录并实施动态管理[5],但同时强调数据处理者应当准确识别本单位存储的全量业务数据是否属于重要数据、核心数据,并填写报送重要数据具体目录内容,由央行汇总后制定重要数据目录。在重要数据目录形成后,央行确定重要数据处理者并告知其对应的重要数据[6]。从规定上看,银行业务领域的重要数据的形成过程,将由央行根据业务领域制定总体目录,但是目录中具体内容,仍需由各机构识别、申报并经央行最终认定,并汇总形成最终的重要数据目录。在重要数据识别、申报和目录的最终形成的过程中,央行和金融监管总局如前文所述,分别从业务领域和对象机构进行,但交叉部分如何衔接仍有待进一步明确。
对于重要数据处理者的义务,《央行数安办法》要求与存储重要数据信息系统相关的业务数据处理活动日志,应当留存至少一年;对于与存储核心数据信息系统相关的业务数据处理活动日志,应当留存至少三年,《银保数安办法》在本项义务上对重要数据处理者要求是一致的。此外,《央行数安办法》还专门细化要求了如下内容:重要数据的处理者应当明确业务数据的安全负责人和管理机构;存储重要数据的信息系统应当满足三级网络安全等级保护要求,存储核心数据的信息系统应当满足四级网络安全等级保护要求或者关键信息基础设施保护要求;重要数据的处理者应当自行或者委托第三方评估机构进行年度风险评估;重要数据处理者应当每年至少开展一次与重要数据安全相关的合规审计[7]等。
(三)全流程业务数据安全
1. 管理要求
在管理要求层面,《央行数安办法》对数据处理者的业务处理账号权限及人员管理作出了规定,要求数据处理者应对特权账号及业务处理账号承担管理责任。此外,《央行数安办法》还规定了处理外国金融执法机构关于提供业务数据的请求、数据处理者采用隐私计算等技术促进业务数据融合创新应用的安全保护措施等内容。
《央行数安办法》细化了数据处理者在数据处理全生命周期中的合规管理义务,从数据收集、存储、使用和加工、对外提供、委托处理、跨境传输、公开、删除等数据处理全生命周期制定了相应规则。《央行数安办法》《银保数安办法》两规范对于数据全生命周期管理措施各有侧重,总体而言,《央行数安办法》对管理要求的规定更为具体。具体要求对比如表2所示:
表2 数据处理全生命周期管理要求
2. 技术要求
在技术要求方面,《央行数安办法》从访问控制、日志记录、收集方式、存储要求、数据应用与脱敏、数据传输等角度提出了相应规定,该部分要求与《银保数安办法》的具体对比如表3所示:
表3 数据处理全生命周期技术要求
(四)数据安全风险管理
《央行数安办法》在第五章中构建了业务数据安全风险防控体系,包括风险监测、识别和补救措施,风险评估和报告,应急预案和事件分级、报告制度,合规审计等内容。
1. 风险监测、识别和补救措施
在风险监测方面,《央行数安办法》提示数据处理者需重点监测两类风险[8]:一是内部风险,包括系统存在恶意程序或安全漏洞、高敏感性数据项保护措施失效、业务数据传输或存储承载能力不足等数据处理活动本身产生的风险;二是外部风险,包括数据泄露事件、数据被非法兜售、仿冒机构身份进行数据处理等外部安全威胁。《央行数安办法》要求数据处理者加强对业务数据处理活动风险的监测,进行有效风险识别并在风险发生后立即采取补救措施。
《银保数安办法》则详细列举了银行保险机构应当对数据安全威胁进行有效监测,监测内容包括[9]:(1)超范围授权或者使用系统特权账号;(2)内部人员异常访问、使用数据;(3)对数据集中共享的系统或者平台的网络安全、数据安全威胁;(4)敏感级及以上数据在不同区域的异常流动;(5)移动存储介质的异常使用;(6)外包、第三方合作中的数据处理异常或者数据泄露、丢失和篡改;(7)客户有关数据安全的投诉;(8)数据泄露、仿冒欺诈等负面舆情;(9)其他可能导致数据安全事件发生的情况。
2. 风险评估和报告
《央行数安办法》要求重要数据处理者每年自行或委托第三方评估机构开展业务数据安全风险评估,并规定每年1月15日前须向中国人民银行或其省级分支机构提交上年度风险评估报告,除法律、行政法规已明确应当评估的内容外,风险评估报告还应当包含与存储重要数据信息系统相关的人员培训与日常管理情况,与业务数据相关的岗位职责落实情况、网络安全等级保护测评和整改情况、保护措施执行情况、本年度风险监测和事件处置情况,以及央行要求的其他评估内容[10]。
相较而言,《银保数安办法》则采取全覆盖模式,明确所有银行保险机构均需按年度进行风险评估,并规定应当于每年1月15日前向金融监督管理总局或者其派出机构报送上一年度数据安全风险评估报告,报告内容包括数据安全治理、技术保护、数据安全风险监测及处置措施、数据安全事件及处置情况、委托和共同处理、数据出境、数据安全评估与审查情况、数据安全相关的投诉及处理情况等[11]。
两部管理办法所规制的主体并不完全一致,且报告的内容各有侧重。如前所述,若银行保险机构开展《央行数安办法》所列示的业务活动并涉及数据处理活动,需同时遵从《银保数安办法》和《央行数安办法》的规定,但是否需要分别报送,以及交叉监管部分如何衔接仍有待进一步明确。
3. 应急预案和事件分级、报告制度
《央行数安办法》对数据处理者提出了应急管理要求,规定重要数据处理者应当每年至少开展一次业务数据安全事件应急演练,其他机构则需每三年至少开展一次演练。其同时要求在数据安全事件发生后,数据处理者必须立即启动事件分级响应机制,按照事件等级采取相应处置措施,确保处置的及时性和有效性[12]。
《银保数安办法》则未对应急演练的频次作出要求,但是,对于数据安全事件发生后的报告机制,其明确了2小时进行报告、24小时内书面报告等时间要求。[13]
4. 合规审计
《央行数安办法》和《银保数安办法》都要求数据处理者每三年至少开展一次业务数据安全合规审计,发生重大或特别重大事件后,应开展专项合规审计[14]。此外,《央行数安办法》还另行规定了重要数据处理者应当每年至少开展一次合规审计。
(五)法律责任
《央行数安办法》确立了中国人民银行及其分支机构的执法主体地位,构建了包括八种违法情形的法律责任体系,并与《数据安全法》的处罚规定相衔接。同时,该办法还建立了协同监管机制,要求中国人民银行与其他监管部门在数据安全监管工作中实现信息共享和执法联动,对涉及多部门监管的事项采取联合执法措施,对重大违法案件移送公安机关、国家安全机关等部门处理,确保监管标准的统一性和执法尺度的一致性。
此外,《央行数安办法》还明确规定对以下两类情形可从轻或减轻行政处罚:一是对在数据安全事件发生后已采取保护和补救措施的数据处理者;二是虽未履行数据保护义务,但协助及时发现重大业务数据安全风险且尚未造成危害后果的数据处理者。这一规定体现了“过罚相当”和“惩教结合”的监管原则。
表4 法律责任
三、行业动向和合规建议
1. 合规要求日趋明细化与严格化
《央行数安办法》从数据分类分级、全生命周期管理、安全风险管控等多个维度对金融机构提出了系统化的合规要求。相较于其他数据安全规范,该办法在合规义务设置上更为具体明确,如针对高敏感性数据处理,要求数据处理者不得在终端设备和移动介质中存储、不得采取导出方式处理、未脱敏前不得对外展示等。面对日益细化的监管要求,相关金融机构应当:
(1)建立与《央行数安办法》等相衔接的业务数据安全管理制度和配套操作规程,建立健全数据资产管理体系,动态更新业务数据资源目录,完善分类分级管理机制;
(2)严格落实数据安全全生命周期管理要求,重点加强数据收集合法性审查、传输加密保护、存储访问控制、使用权限管理、共享风险评估及销毁可追溯等关键环节管理;
(3)重视个人信息保护,包括但不限于履行“告知-同意”义务、遵循“最小必要”原则、开展个人信息保护影响评估等;
(4)强化技术保障措施,严格落实加密传输、访问控制等技术要求,完善数据处理日志记录和审计追踪机制,确保符合《央行数安办法》的技术合规要求。
2. 金融行业的监管动向考量
金融行业数据安全监管体系具有明显的先行性和系统性特征,目前已形成以《数据安全法》《中华人民共和国个人信息保护法》《网数条例》等上位法为指导,以《央行数安办法》《银保数安办法》为核心,《金融数据安全 数据安全分级指南》(JR/T 0197-2020)、《个人金融信息保护技术规范》(JR/T 0171-2020)等为配套的全方位监管框架。对此,金融机构应当特别注意:
(1)准确识别并适用各项法律法规,特别是《央行数安办法》《银保数安办法》的交叉适用情形;
(2)应系统分析《央行数安办法》与《数据安全法》《网数条例》《银保数安办法》等法律法规的适用关系,按照“上位法、特别法优先”以及“从严适用”的原则确定合规标准,针对交叉监管领域制定专项合规方案;
(3)建立与监管部门的沟通机制,及时澄清理解偏差,确保合规实效。
3. 新技术的布局与应用
《央行数安办法》第5条在鼓励数据安全技术创新的同时,对自动化决策、隐私计算等新技术应用提出了明确要求,包括解释说明义务、数据质量管控等。金融机构在布局新技术时应当:
(1)建立跨部门合规审查机制,统筹考量金融监管要求与网信部门规定;
(2)重点关注算法透明度、数据真实性等核心合规要素;
(3)持续优化技术流程,确保创新应用与监管要求同步发展。
结语
央行在《央行数安办法》中对相关金融机构银行业务数据处理活动提出了更为细化的合规要求,体现了金融数据安全监管的持续深化。面对这一监管态势,相关金融机构应当从制度建设、数据治理、技术保障和规范适用多个维度构建系统化的合规体系,确保本机构数据处理活动合法合规,有效防范金融数据安全风险。
金融行业由于行业和业务特点一直是数据安全管理的重中之重。金融行业监管部门具体要求的出台对于本行业相关机构落实本行业和业务领域的数据安全管理起到重要的指导作用,同时对其他行业监管部门落实各自行业的数据安全管理,以及监管中不同监管部门如果衔接和配合也有重要的引领和借鉴意义,值得各行业企业予以重视和参考。
实习生刘珺璘对本文亦有贡献。
文章首发于LexisNexis律商联讯《中国法律透视》2025年5月刊
注释
[1] 中国人民银行:中国人民银行有关部门负责人就《中国人民银行业务领域数据安全管理办法》答记者问,http://camlmac.pbc.gov.cn/rmyh/3963412/3963426/5706206/index.html,访问日期:2025年5月26日。
[2] 参见《银行保险机构数据安全管办法》第2条。
[3] 参见《中国人民银行业务领域数据安全管理办法(征求意见稿)》第9条。
[4] 参见《银行保险机构数据安全管办法》第71条。
[5] 参见《中国人民银行业务领域数据安全管办法》第6条。
[6] 参见《中国人民银行业务领域数据安全管办法》第9条。
[7] 参见《中国人民银行业务领域数据安全管办法》第11条、第30条、第32条、第42条、第45条。
[8] 参见《中国人民银行业务领域数据安全管办法》第39条、第40条。
[9] 参见《银行保险机构数据安全管办法》第65条。
[10] 参见《中国人民银行业务领域数据安全管办法》第42条。
[11] 参见《银行保险机构数据安全管办法》第74条。
[12] 参见《中国人民银行业务领域数据安全管办法》第44条。
[13] 参见《银行保险机构数据安全管办法》第69条。
[14] 参见《中国人民银行业务领域数据安全管办法》第45条、《银行保险机构数据安全管理办法》第66条。
