数字经济 时代,数据已上升为国家重要的条件性战略资源,与土地、劳动力、资本和技术并列为五大要素。
在此环境下, 数据安全 的重要性日积月累。近年来, 数据安全 与保护是我国立法的关键领域,目前,我国已通过法律、行政法规、部门规章及规范性文件、地方性法规、国家标准、行业标准、指南等规范组成覆盖多领域的 数据安全 保护框架。
7月24日,人民银行就《中国人民银行业务领域 数据安全 管理办法(征求建议稿)》(以下简称《办法》)公开征求建议。根据《办法》,人民银行拟要求机构对于人民银行业务领域数据根据精度、规模和对国家安全的影响水平,分为一般、重要、核心三级,明确了业务领域 数据安全 合规底线要求。
“金融数据是最重要的和最有价值的数据类型之一。”对外经济贸易大学 数字经济 与法律创新研究中心主任许可在接受《金融时报》记者采访时表示。他谈到,金融数据不仅关乎金融企业的权益,更与消费者敏感信息和国家宏观金融系统安全密切相关。在金融业数字化转型的进程中, 数据安全 对于金融风险防范非常重要。《办法》可以说是我国金融安全的条件性保障。
零壹智库金融组研究总监李薇对《金融时报》记者表示,《办法》有三个方面值得关注:一是提出数据处理应用于金融机构的主要业务领域;二是提出数据处理者应当建立数据分类分级制度规程,对于敏感信息要严格加以保护;三是在数据管理的监察管理协同上,约定人民银行将与其它主管部门签署合作协议,避免重复检查。
构建多维度的数据分类分级制度
自《中华人民共和国 网络安全 法》(以下简称《 网络安全 法》)、《中华人民共和国 数据安全 法》(以下简称《 数据安全 法》)等数据保护相关法律法规施行以来,我国数据监管框架已初具雏形。由于中国人民银行业务领域数据规模大、价值和敏感水平高的特点,维护相关金融数据的稳定性和可用性有助于维护个人、企业、金融领域甚至国家利益的稳定。业内专家表示,在这一环境下,《办法》出台可谓正当其时。
“《办法》是对《 数据安全 法》的细化。”许可对《金融时报》记者表示,“重要数据应当境内存储” “规定情形下申报数据出境安全评估”等条款均是与《 数据安全 法》的衔接。再如,《办法》进一步发展了数据分类分级制度,要求数据处理者梳理数据资源目录标识分类信息,根据人民银行制定的重要数据识别标准,根据精度、规模和对国家安全的影响水平,分为一般、重要、核心三级。
对数据分类分级制度提出精细化要求是《办法》的重要特点。 北京市 金杜律师事务所合伙人吴涵对《金融时报》记者分析称,分类分级是我国数据保护领域基于风险规制的思路始终坚持的监察管理手段之一。《 数据安全 法》虽然确立了“国家建立数据分类分级保护制度”的总体要求,可是怎样深入各行业领域落实数据分类分级要求,仍有待各行业监管职能部门的具体指引。
《办法》即是人民银行对业务范围内重要数据进行有关规定的实践。《办法》重申了《 数据安全 法》对数据进行三级分级的要求,并具体规定了人民银行业务领域范围内重要数据目录形成路径。吴涵对记者说,根据这一规定,银行业机构首先依据识别标准报送重要数据目录内容,再由人民银行进行汇总并最终确认,形成双向的重要数据目录,在一定水平上可确保监管职能部门准确识别重要数据,既不会遗漏可能对国家安全造成严重影响的数据,也不会因过分扩大重要数据范畴而使银行业机构在实践中发展业务时受到过多阻碍。
在前述数据分级的条件上,《办法》还进一步提出了数据敏感性分层级、数据可用性分层级的具体分级要求。“在数据分类分级的条件上,《办法》对不同敏感性分层级的数据规定了不一样的保护要求,例如,针对可访问二级以上数据的账号,数据处理者应当支持身份验证;而针对可访问三级以上数据的账号,则应支持多因素认证或二次授权,并签署保密协议。”吴涵认为,对不同级别的数据项采取不同条理的保护要求是数据分类分级制度的题中应有之义。
重视与现有制度的衔接
作为金融领域的 数据安全 规范,《办法》与现有制度的有效衔接非常重要。中国人民大学重阳金融研究院副研究员申宇婧告诉《金融时报》记者,《办法》的一大亮点就是强调不同制度的衔接和管理的组织协调。
“《办法》重视同征信、反洗钱的现有管理制度,个人信息保护管理制度、涉密数据管理制度、非网络数据管理制度的衔接。”申宇婧认为,这体现了我国金融领域立法的严谨性、科学性。
作为 数据安全 领域的部门规章,《办法》在制按时强调现有法律、行政法规和行业标准的衔接与赓续。例如,数据跨境和本地化存储方面,《办法》第贰十六条一方面起到提示性条款的作用,重申了相关法律规定的数据跨境传输要求;另一方面还明确提示相关机构不得通过有意拆分等行为规避申报数据出境安全评估,这也和实践中网信部门办理数据出境安全评估相关业务的实践要求相符。
在提升安全性基础上鼓励数据流通与应用
业内人士认为,《办法》的一大亮点是规定了数据融合创新应用管理措施的要求。具体而言,《办法》第贰十五条规定,数据处理者采用隐私计算等技术增进数据融合创新应用时,应当确认原始数据未离开自身控制范围,且多个数据提供行为关联后,袒露约定范围外信息的危险可控。
值得注意的是,多位受访专家都提到,《办法》出台的目的不仅在于限制银行业机构等数据处理者的表现,提高相关数据的安全性,还旨在鼓励数据处理者在维护 数据安全 的情景下增进数据的流通与应用。例如,数据分类分级的意义不仅在于对不同级别的数据采取不同条理的保护要求,还在于识别梳理对国家、企业和个人权益影响相对较小的数据,从而增进其流通和多维度应用。
“《办法》提到经过数据处理后的低敏感数据,可视情况增进数据依法合规开发利用。”申宇婧认为,在保障 数据安全 的情景下,可以商酌尽可能开发出更多的数据价值,而不是让保护 数据安全 成为数据利用的阻碍。
李薇认为,《意见》提出“鼓励数据处理者积极开展 数据安全 技术创新应用,在保障安全合规条件下,积极增进数据的高效流通和创新应用”,这有益于引导金融科技公司积极发力,在 数据要素 价值挖掘上进行局部试点,一些支付机构、智能风控与隐私计算厂商、数字政务科技公司等多元化主体将迎来机遇。
吴涵也表示,数据分类分级的意义不仅在于对不同级别的数据采取不同条理的保护要求,还在于识别梳理对国家、企业和个人权益影响相对较小的数据,从而增进其流通和多维度应用。不过,他同时提出,要及时修订、细化相关行业标准,以便政策更好落地。
“在《办法》发布前,人民银行一般通过行业标准具体指引银行业等机构的具体数据处理活动。”吴涵表示,后续如何引导银行业等机构科学、合理并与行业协调一致地开展数据分类分级工作尤为重要。
许可表示,在落地层面,数据的分类分级是当前金融机构开展 数据安全 保护的条件。目前,金融机构多根据《 数据安全 分级指南》《数据生命周期安全规范》等行业标准加以分类分级。随着办法的出台,亟待根据办法的准则和精神,和最新的业务实践,进一步更新和明确,以增进体系性和协调性。
