数字经济时代,数据已上升为国家重要的基础性战略资源,与土地、劳动力、资本和技术并列为五大要素。
在此背景下,数据安全的重要性与日俱增。近年来,数据安全与保护是我国立法的重点领域,目前,我国已通过法律、行政法规、部门规章及规范性文件、地方性法规、国家标准、行业标准、指南等规范组成覆盖多领域的数据安全保护框架。
7月24日,人民银行就《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《办法》)公开征求意见。根据《办法》,人民银行拟要求机构对于人民银行业务领域数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级,明确了业务领域数据安全合规底线要求。
“金融数据是最重要的和最有价值的数据类型之一。”对外经济贸易大学数字经济与法律创新研究中心主任许可在接受《金融时报》记者采访时表示。他谈到,金融数据不但关乎金融企业的权益,更与消费者敏感信息和国家宏观金融系统安全密切相关。在金融业数字化转型的过程中,数据安全对于金融风险防范至关重要。《办法》可以说是我国金融安全的基础性保障。
零壹智库金融组研究总监李薇对《金融时报》记者表示,《办法》有三个方面值得关注:一是提出数据处理应用于金融机构的主要业务领域;二是提出数据处理者应当建立数据分类分级制度规程,对于敏感信息要严格加以保护;三是在数据管理的监管协同上,约定人民银行将与其他主管部门签署合作协议,避免重复检查。
构建多维度的数据分类分级制度
自《中华人民共和国网络安全法》(以下简称《网络安全法》)、《中华人民共和国数据安全法》(以下简称《数据安全法》)等数据保护相关法律法规施行以来,我国数据监管框架已初具雏形。由于中国人民银行业务领域数据规模大、价值和敏感程度高的特点,维护相关金融数据的稳定性和可用性有助于维护个人、企业、金融行业乃至国家利益的稳定。业内专家表示,在这一背景下,《办法》出台可谓正当其时。
“《办法》是对《数据安全法》的细化。”许可对《金融时报》记者表示,“重要数据应当境内存储” “规定情形下申报数据出境安全评估”等条款均是与《数据安全法》的衔接。再如,《办法》进一步发展了数据分类分级制度,要求数据处理者梳理数据资源目录标识分类信息,根据人民银行制定的重要数据识别标准,按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。
对数据分类分级制度提出精细化要求是《办法》的重要特点。北京市金杜律师事务所合伙人吴涵对《金融时报》记者分析称,分类分级是我国数据保护领域基于风险规制的思路始终坚持的监管手段之一。《数据安全法》虽然确立了“国家建立数据分类分级保护制度”的总体要求,但是如何深入各行业领域落实数据分类分级要求,仍有待各行业监管部门的具体指引。
《办法》即是人民银行对业务范围内重要数据进行相关规定的实践。《办法》重申了《数据安全法》对数据进行三级分级的要求,并具体规定了人民银行业务领域范围内重要数据目录形成路径。吴涵告诉记者,根据这一规定,银行业机构首先依据识别标准报送重要数据目录内容,再由人民银行进行汇总并最终确认,形成双向的重要数据目录,在一定程度上可确保监管部门准确识别重要数据,既不会遗漏可能对国家安全造成严重影响的数据,也不会因过分扩大重要数据范畴而使银行业机构在实践中开展业务时受到过多阻碍。
在前述数据分级的基础上,《办法》还进一步提出了数据敏感性分层级、数据可用性分层级的具体分级要求。“在数据分类分级的基础上,《办法》对不同敏感性分层级的数据规定了不同的保护要求,例如,针对可访问二级以上数据的账号,数据处理者应当支持身份验证;而针对可访问三级以上数据的账号,则应支持多因素认证或二次授权,并签署保密协议。”吴涵认为,对不同级别的数据项采取不同层次的保护要求是数据分类分级制度的题中应有之义。
注重与现有制度的衔接
作为金融领域的数据安全规范,《办法》与现有制度的有效衔接至关重要。中国人民大学重阳金融研究院副研究员申宇婧告诉《金融时报》记者,《办法》的一大特点就是强调不同制度的衔接和管理的协调。
“《办法》注重同征信、反洗钱的现有管理制度,个人信息保护管理制度、涉密数据管理制度、非网络数据管理制度的衔接。”申宇婧认为,这体现了我国金融领域立法的严谨性、科学性。
作为数据安全领域的部门规章,《办法》在制定时强调现有法律、行政法规以及行业标准的衔接与赓续。例如,数据跨境和本地化存储方面,《办法》第二十六条一方面起到提示性条款的作用,重申了相关法律规定的数据跨境传输要求;另一方面还明确提示相关机构不得通过有意拆分等行为规避申报数据出境安全评估,这也和实践中网信部门办理数据出境安全评估相关业务的实践要求相符。
在提升安全性基础上鼓励数据流通与应用
业内人士认为,《办法》的一大特点是规定了数据融合创新应用管理措施的要求。具体而言,《办法》第二十五条规定,数据处理者采用隐私计算等技术促进数据融合创新应用时,应当确认原始数据未离开自身控制范围,且多个数据提供行为关联后,暴露约定范围外信息的风险可控。
值得关注的是,多位受访专家都提到,《办法》出台的目的不仅在于限制银行业机构等数据处理者的行为,提高相关数据的安全性,还旨在鼓励数据处理者在维护数据安全的情况下促进数据的流通与应用。例如,数据分类分级的意义不仅在于对不同级别的数据采取不同层次的保护要求,还在于识别梳理对国家、企业和个人权益影响相对较小的数据,从而促进其流通和多维度应用。
“《办法》提到经过数据处理后的低敏感数据,可视情况促进数据依法合规开发利用。”申宇婧认为,在保障数据安全的情况下,可以考虑尽可能开发出更多的数据价值,而不是让保护数据安全成为数据利用的阻碍。
李薇认为,《意见》提出“鼓励数据处理者积极开展数据安全技术创新应用,在保障安全合规前提下,积极促进数据的高效流通和创新应用”,这有利于引导金融科技公司积极发力,在数据要素价值挖掘上进行局部试点,一些支付机构、智能风控与隐私计算厂商、数字政务科技公司等多元化主体将迎来机遇。
吴涵也表示,数据分类分级的意义不仅在于对不同级别的数据采取不同层次的保护要求,还在于识别梳理对国家、企业和个人权益影响相对较小的数据,从而促进其流通和多维度应用。不过,他同时提出,要及时修订、细化相关行业标准,以便政策更好落地。
“在《办法》发布前,人民银行一般通过行业标准具体指引银行业等机构的具体数据处理活动。”吴涵表示,后续如何引导银行业等机构科学、合理并与行业协调一致地开展数据分类分级工作尤为重要。
许可表示,在落地层面,数据的分类分级是当前金融机构开展数据安全保护的基础。目前,金融机构多根据《数据安全分级指南》《数据生命周期安全规范》等行业标准加以分类分级。随着办法的出台,亟待根据办法的原则和精神,以及最新的业务实践,进一步更新和明确,以增进体系性和协调性。
来源:金融时报-中国金融新闻网/马梅若