简析《中国人民银行业务领域数据安全管理办法》
数字经济时代的到来,在金融行业中,数据已成为核心资产和重要生产要素。金融数据安全不仅关乎机构的稳健运营,更直接影响到国家金融安全、公众权益保护以及经济社会稳定。中国人民银行于2025年5月1日正式发布《中国人民银行业务领域数据安全管理办法》(中国人民银行令〔2025〕第3号,下称“《办法》”),并于6月30日正式施行,这对于我国金融行业数据安全的法治化建设有着深远影响。该《办法》的出台和实施,为金融机构的数据安全管理和数据开发利用构建了更全面的制度规范,为行业数据安全治理提供了法律依据和实施指南。
《办法》的出台并非孤立事件,而是我国在数字经济时代背景下,应对日益严峻的数据安全挑战,构建完善数据治理体系的重要举措。其立法背景主要体现在以下三个层面:
1.国际背景
全球数字经济竞争日益激烈,数据跨境流动规模不断扩大,数据安全风险呈现国际化、复杂化特征。现国际组织和国家纷纷出台数据治理相关的规范制度,如欧盟《通用数据保护条例》(GDPR),美国《加州消费者隐私法案》(CCPA),巴塞尔银行监管委员会(BCBS)等国际标准制定机构纷纷发布关于金融数据管理的指引文件。在这一背景下,我国亟须建立与国际接轨又符合本国实际的金融数据安全管理制度,以应对全球数字经济竞争,提升国际竞争力和规则话语权。
2.国内法律政策环境
近年来,我国加快推进数据领域立法进程,《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》相继出台与实施,构建了我国数据安全的法律基础。《中华人民共和国数据安全法》明确要求工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责,为人民银行制定行业数据安全管理办法提供了上位法依据。
3.行业需求与发展
金融业作为数据密集型行业,具有数据价值高、敏感性强、共享程度高等特点。在金融科技日新月异的当下,数据安全风险日益凸显,数据泄露、非法买卖、滥用客户信息等风险事件时有发生。另一方面,金融机构在数据合规实践中面临规则、标准、责任等不明确的问题,亟须监管部门出台具体可操作的规则指引。《办法》的出台正是对行业需求的回应,为金融机构数据安全管理提供了明确指引。
1.适用范围
《办法》在业务领域维度进行监管并明确了适用范围,体现了“聚焦重点、精准监管”的思路。《办法》第二条明确规定“在中华人民共和国境内开展与中国人民银行业务领域数据相关的处理活动及其安全监督管理,适用本办法。”笔者认为,《办法》的适用范围可以从主体范围和数据范围两个维度进行解析。
(1)主体范围
《办法》第二条第4款规定“本办法所称数据处理者,指金融机构以及经中国人民银行批准设立或者认定的其他机构。”《办法》的规制主体即为数据处理者,不仅涵盖了银行、证券公司、保险公司等传统金融机构,还包括了支付机构、清算机构、征信机构等经中国人民银行批准设立或者认定的其他机构。该主体范围的界定实现了对受中国人民银行监管金融机构的全面精准覆盖。
(2)数据范围
《办法》第二条第3款规定“本办法所称中国人民银行业务领域数据,指中国人民银行业务领域内产生和收集的不涉及国家秘密的网络数据。”《办法》所规制的数据范围,包括但不限于货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域数据。[ 转引自:《中国人民银行有关部门负责人就<中国人民银行业务领域数据安全管理办法>答记者问》]同时,该数据须为通过网络处理和产生的各种电子数据且不涉及国家秘密。该数据范围的界定结合了金融数据的特殊性和敏感性,也明确了重点治理、分类管理的监管路线。
2.基本原则
通过对《办法》的研读,笔者认为《办法》可总结归纳出以下四条基本原则,这些基本原则构建了金融数据治理的基本框架。
(1)“谁管业务,谁管业务数据,谁管数据安全”责任原则
该原则明确了数据安全责任与业务管理挂钩,每一项业务权责明晰,明确数据处理者是第一责任人。在业务发展的同时,金融机构的业务部门亦要做好数据安全工作,数据安全系业务流程中必要的组成部分,业务发展与数据安全是统一的。
(2)分级分类与差异化保护原则
《办法》项下数据分类分级制度是数据安全工作的基础。《办法》不仅明确规定人民银行的职责和要求,更明确规定了数据处理者应当建立健全业务数据分类分级制度和操作规程。从分类角度,数据处理者应当建立业务数据资源目录,并从业务关联性、敏感性、可用性三个方面开展数据分类。从分级角度,业务数据应分为一般、重要、核心三级,与《中华人民共和国数据安全法》《中华人民共和国网络安全法》等现行相关规定相一致。《办法》的相关规定体现了风险导向的监管思路,有利于实现安全保护与利用效率的平衡。
(3)全流程安全管控原则
《办法》以专章形式从管理和技术层面对全业务流程的数据安全管理进行明确规定,其覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等全部环节,体现了数据安全管理的系统性和整体性。
(4)监管协同与自律管理相结合原则
《办法》第四条明确,中国人民银行应在国家数据安全工作协调机制统筹协调下开展监督管理工作,加强与其他主管部门的协作配合和信息沟通;同时,要求相关金融行业协会加强自律管理,并制定行为规范和团体标准,指导会员加强业务数据安全保护。《办法》旨在形成行政监管与行业自律的合力。
数据分类分级是数据安全治理的基础和核心。《办法》在第二章“业务数据分类分级与总体要求”中建立了系统完善的分类分级框架,为金融机构数据安全管理提供了明确指引。
1.数据分类框架
《办法》要求数据处理者从业务关联性、敏感性和可用性三个维度对业务数据进行分类,构建全面多维的数据分类体系。
(1)业务关联性分类
《办法》要求标识各数据项是否为个人信息、是否为外部收集产生、存储该数据项的信息系统清单和关联的业务类别。这种分类方式有助于金融机构理清数据来源和流向,建立数据血缘关系图谱,为数据治理奠定基础。
(2)敏感性分类
《办法》要求根据业务数据遭到泄露或者被非法获取、非法利用时对个人、组织合法权益或者公共利益等造成的危害程度进行划分。《办法》特别强调了对高敏感性数据的识别和保护,其中高敏感数据项涵盖了敏感个人信息、可能涉及商业秘密的客户经营信息、应当严格控制知悉范围的业务信息等,体现了对敏感数据的特别保护,与《中华人民共和国个人信息保护法》的有关规定相衔接。
(3)可用性分类
《办法》要求根据业务数据遭到篡改、破坏后对业务正常运行造成的影响程度,明确信息系统差异化的数据恢复点目标。这种分类方式关注数据的完整性和可用性价值,确保关键业务数据在遭到破坏后能够及时恢复,保障业务连续性。
2.数据分级管理体系
《办法》第九条明确规定,将业务数据分为一般数据、重要数据、核心数据三级,与《中华人民共和国数据安全法》的有关规定相衔接,同时又体现了金融行业的特殊性。
(1)重要数据
重要数据指“特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。其呈现出特殊性、危害性和广泛性的特点,体现出对该类数据的重视和监管导向。
(2)核心数据
核心数据指“对领域、群体、区域具有较高覆盖度或者达到较高精度、较大规模、一定深度,一旦被非法使用或者共享,可能直接影响政治安全的重要数据”。核心数据不仅精度和规模有要求,还对深度提出了要求,其被非法使用或者共享会直接影响政治安全,故而需要严格保护。
《办法》以数据生命周期为主线,明确了从数据收集到删除的全流程安全管理和技术要求,构建了全面系统的数据安全合规框架。
1.数据收集环节
数据收集是数据生命周期的起点,也是控制数据安全风险的首要环节。《办法》第十五条规定了数据收集的多项安全保护管理措施:
(1)合法性要求
除收集自行公开或者其他已经合法公开的业务数据外,收集业务数据时应当依照法律、行政法规和中国人民银行相关规定取得个人同意或者组织授权,并落实相应告知义务。非直接通过个人、组织收集的业务数据,应确保业务数据来源的合法性和真实性。数据的收集和后续的处理活动应当严格按照合同或者协议约定的处理目的、方式、范围以及安全保护义务等执行。
(2)真实性保障
采用人工录入方式收集业务数据的,应当采取必要校验措施保障业务数据录入的准确性,按照相关管理要求留存业务数据收集原始凭证。
(3)最小必要原则
最小必要原则体现在“原则上不收集图像等原始个人生物识别信息。确需收集的,应当统一规范管理相关需求场景”的规定。该规定限制对生物识别信息等高度敏感数据的收集,旨在对个人信息的特别保护。
2.数据存储与使用环节
数据存储和使用是数据价值的实现环节,也是数据安全风险集中的环节。《办法》针对这些环节提出了明确的安全要求:
(1)保存期限管理
《办法》要求数据处理者“根据业务需要,明确业务数据保存期限”,体现了存储最小化原则,要求机构只在必要的范围内保存数据。
(2)终端设备管理
《办法》规定“除履行法定职责或者法定义务外,高敏感性数据项原则上不在终端设备和移动介质中存储,确需存储的,数据处理者应当统一规范管理相关需求场景”,就终端安全风险,限制高敏感性数据在终端设备的存储。
(3)使用限制规则
《办法》要求“使用高敏感性数据项,原则上不采取导出方式,使用用于身份鉴别的数据项原则上仅采取核验方式”,限制高敏感性数据的导出使用。
3.数据加工与传输环节
数据加工和传输是数据价值挖掘和流转的关键环节,《办法》对这些环节的安全管理提出了专门要求:
(1)加工目的合规性
《办法》要求数据处理者“审查业务数据加工目的与业务数据收集约定是否一致”,体现了目的限制原则,要求约定的目的范围进行数据加工活动。
(2)算法模型伦理审查
《办法》要求“需要建立模型评价激励规则的,应当审查评价激励规则是否尊重社会公德伦理、遵守商业道德和职业道德”,创新性地对算法伦理问题提出规定,体现了对人工智能等新技术应用伦理风险的重视。
(3)传输安全要求
《办法》规定“除根据个人请求向其传输与其相关业务数据外,数据处理者原则上不使用邮件、即时通讯、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项”。这一要求针对传输通道安全,限制通过不安全渠道传输高敏感性数据,防止数据在传输过程中被窃取或泄露。
4.数据提供与删除环节
数据提供和删除是数据生命周期的末端环节,同样需要加强安全管理:
(1)提供安全评估
《办法》要求向其他数据处理者提供业务数据前,应当进行合法性和合规性风险评估,并对数据接收方的数据处理目的和方式、数据需求、潜在风险、诚信守法情况、合同形式与内容、保护措施等进行合法性、合规性、合理性全面审查与评估。数据处理者不得通过拆分、转换等手段规避审查和评估。
(2)出境安全管控
《办法》对数据出境的安全管理规定,要求数据处理者应根据法律、行政法规、国家网信部门规定、中国人民银行规定等进行数据出境活动。
(3)删除彻底性要求
《办法》要求数据处理者主动删除处理目的已实现、处理目的无法实现、为实现处理目的不再必要或者约定保存期限已届满等情形的业务数据,充分考虑了处理目的、必要性、期限的要求,防止数据被滥用或长期保存。
《办法》第五章构建了“监测-评估-处置-追责”的全流程风险管控机制。
数据处理者应加强对业务数据处理活动的风险监测,有效识别数据风险并采取补救措施;还应对业务数据泄露、业务数据被非法兜售、仿冒本机构身份处理业务数据,以及其他与本机构有关的业务数据安全负面舆情的风险监测,并应对检测出的风险立即核实处理。当中国人民银行通报与业务数据相关的数据安全缺陷、漏洞等风险时,数据处理者立即核实处理并及时准确反馈。此外,重要数据处理者每年应自行或委托第三方机构开展一次风险评估,并应于每年1月15日前向中国人民银行报送年度风险评估报告。并且,数据处理者应当每三年至少开展一次业务数据安全合规审计,重要数据的处理者应当每年至少开展一次与重要数据安全相关的合规审计;发生重大或者特别重大事件后,应当开展专项审计。
《办法》第六章规定了法律责任条款,明确了数据处理者违反规定行为的法律后果,同时也建立了合规激励机制,体现了惩教结合的监管理念。
1.法律责任
中国人民银行对业务数据处理活动进行监管,其发现业务数据处理活动存在较大安全风险时,可采取约谈或责令整改的措施。如发现影响或者可能影响国家安全的业务数据处理活动线索时,可要求数据处理者进行国家安全审查。当数据处理者违反数据安全保护义务时,按照《中华人民共和国数据安全法》的规定进行处罚。中国人民银行在数据监管时,必要时可与其他有关主管部门联合监管
2.合规激励机制
《办法》不仅规定了法律责任,还建立了合规激励机制,体现了“包容审慎”的监管理念,以及对数据风控措施的支持与鼓励。数据处理者如能证明已按照规定采取数据安全保护措施,并立即采取补救措施;积极提供数据安全风险情报,协助及时发现重大业务数据安全风险;其能够从轻或者减轻行政处罚。合规激励机制。
《办法》作为《中华人民共和国数据安全法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等有关规范的延续,针对中国人民银行业务领域数据进行了细化规定,对促进金融业数据安全保护与合理利用具有里程碑意义。《办法》对分级分类、全流程管理与技术要求、风险事件管理、法律责任等进行了明确规定,形成闭环管理。《办法》还创新性地对算法模型伦理审查进行了规定,有效地回应金融科技创新可能带来的挑战。对于金融机构,应当高度重视《办法》,并应尽早积极开展合规工作,实现对业务数据全流程、全链条合规和风控管理,实现业务与数据安全的平衡,保障自身在数字经济时代行稳致远。
下一篇: 跨国并购法律实务
