引言

近年来,中国人民银行业务领域的金融从业机构在积极响应《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》推动金融数据利用与流动的同时,广泛地面临着日益复杂严峻的数据安全风险,金融数据保护需求愈发迫切。在《数据安全法》等数据安全与个人信息保护相关法律法规确立“金融行业等主管部门相应承担本行业、本领域数据安全监管职责”的政策背景之下,中国人民银行在《中华人民共和国数据安全法》(以下简称“《数据安全法》”)等基础上牵头制定《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称“《征求意见稿》”),并于2023年7月24日公开征求社会意见,以积极履行中国人民银行的数据安全监管职责。

在广泛征求社会公开意见及开展调研后,2025年5月7日,中国人民银行发布《中国人民银行业务领域数据安全管理办法》(中国人民银行令〔2025〕第3号,以下简称“《管理办法》”),并将自2025年6月30日起施行。《管理办法》在《征求意见稿》基础上进一步全面衔接《数据安全法》《中华人民共和国个人信息保护法》(以下简称“《个人信息保护法》”)及《网络数据安全管理条例》等上位法,细化并加强中国人民银行业务领域数据安全合规要求的可操作性,以期在金融从业机构数字化转型的关键时期,更加有效地构建中国人民银行业务领域数据安全治理体系,督促指导相关数据处理者合规开展数据处理活动,并切实强化全流程风险防控能力,同时也平衡金融数据要素价值的充分释放,从而为现代化金融服务体系稳健运行提供坚实保障,筑牢国家金融安全与数据安全防线。

为助力中国人民银行业务领域的金融从业机构更好地兼顾业务数据安全风险防控与业务长足发展,本文将基于《征求意见稿》,梳理《管理办法》的修订要点,并重点分析《管理办法》为中国人民银行业务领域的金融从业机构(包括中国人民银行业务领域金融机构以及经中国人民银行批准设立或者认定的其他机构,以下合称“金融从业机构”)提出的关键合规要点,以及提炼《管理办法》实施后金融从业机构需着力构建的全流程业务数据安全管理与技术保护体系,以期为金融从业机构打造适配数字化转型的合规管理体系提供可落地的实施建议,巩固夯实中国人民银行业务稳健有序发展的数据安全制度基础。

01 继往开来:《管理办法》的演进路径与立法锚点

1. 贯彻“协同监管”思路,聚焦中国人民银行业务领域数据处理活动

《管理办法》在《征求意见稿》基础上进一步微调并明确了中国人民银行业务领域及对应的业务数据定义,其中中国人民银行业务领域包括由中国人民银行承担监督和管理职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域。相应地,《管理办法》聚焦于金融机构以及经中国人民银行批准设立或者认定的其他机构在中国境内开展的中国人民银行业务领域数据相关处理活动。

正如我们在《江春入旧年——<银行保险机构数据安全管理办法>解读》中所述,国家金融监督管理总局出台的《银行保险机构数据安全管理办法》(以下简称“《银保数安办法》”)与《管理办法》的相继出台,如落入国家金融监督管理总局监管范畴的相关主体(如商业银行等),涉及开展银行间市场业务、金融业综合统计业务、支付清算业务、征信业务、反洗钱业务等中国人民银行业务领域业务并开展数据处理活动的,或将面临交叉监管态势。

对此,《管理办法》充分贯彻落实《国务院办公厅关于深入推进跨部门综合监管的指导意见》提出的“完善各司其职、各负其责、相互配合、齐抓共管的协同监管机制”精神,一方面,在国家数据安全工作协调机制统筹协调下,中国人民银行及其分支机构开展业务数据安全监督管理工作,并通过加强与其他有关主管部门间的数据安全监督管理协作配合、信息沟通以及联合实施执法检查等方式共同构建多行业、广维度的数据安全治理体系。另一方面,即便是中国人民银行业务领域范围内的数据,中国人民银行及其分支机构也并非是唯一具有执法权力的部门;如涉及未履行数据出境安全评估或者保护认证等义务的,中国人民银行及其分支机构则将相关案件信息移送同级网信部门,并配合其予以处理。

2. 夯实金融数据安全治理整体架构,促进开发利用

《管理办法》旨在聚焦金融机构以及经中国人民银行批准设立或者认定的其他机构在中国境内开展的中国人民银行业务领域数据相关处理活动,共7章56条,包括总则、业务数据分类分级与总体要求、全流程业务数据安全管理要求、全流程业务数据安全技术要求、业务数据安全风险与事件管理、法律责任及附则。

从篇幅结构角度来看,《管理办法》贯彻沿用了“谁管业务,谁管业务数据,谁管数据安全”的原则,并在整体沿袭了《征求意见稿》的立法体例,以数据分类分级管理为制度基石,构建起覆盖管理制度、技术防护措施和风险防控机制的三维保障体系。

就法律责任的设置而言,《管理办法》既确立了数据处理主体需普遍遵循的数据安全保护义务,又制定了从轻或者减轻行政处罚条款,在强化数据安全治理效能的同时,确保监管要求与金融业务正常运转的平衡。这种制度设计既衔接了《数据安全法》所确立的安全与发展并重的立法理念,也为金融数据流通提供了弹性化的规制空间。

从条款修订的整体趋势来看,《管理办法》通过多维度的制度优化对《征求意见稿》进行完善:在立法技术层面强化规则的可实操性,在监管实践中响应业务发展的现实诉求,在规范体系上注重与上位法的衔接配合。《管理办法》创新性地构建了“普遍义务+例外豁免”的双层规范框架,既确立数据处理者需遵循的基础性安全保护要求,又针对自证合规与积极提供数据安全风险情报场景设置了从轻或者减轻行政处罚条款。可见,《管理办法》既具有纵向的规范系统性,又包含横向的操作指引性,形成了兼具体系化架构与实践指导价值的行业数据安全规范体系。

02 立柱架梁:《管理办法》下的业务体系与实践向度

《管理办法》以业务数据分类分级与总体要求(第二章)为基础,以全流程业务数据安全管理要求(第三章)为大框架,辅以全流程业务数据安全技术要求(第四章)对数据全生命周期的保护提出要求。此外,《管理办法》还关注业务数据安全风险与事件管理(第五章)整体管控数据安全风险,并明确了违反各类义务项下的法律责任(第六章),全面系统地维护业务数据安全。

基于此,建议金融从业机构相关数据处理者的需要重点关注并贯彻落实下述数据安全保护义务。

1. 数据处理者合规义务群梳理

注:加粗为与《征求意见稿》相比《管理办法》新增/修订的条款,红字为重要数据/核心数据处理者的相关合规义务。

2. 《管理办法》重点内容解读

(1)明确企业数据处理合规要求

金融从业机构等数据处理者除面向个人客户开展业务外,还涉及面向企业等对公客户提供服务,在此过程中可能收集、产生大量非属于个人信息的业务数据。此外,金融从业机构等数据处理者在开展业务的过程中,也可能产生大量不包含个人信息的经营管理数据。

首先,针对涉个人信息业务数据的收集与提供,除法律、行政法规另有规定外,应当严格遵循《个人信息保护法》的告知与同意要求。然而,《数据安全法》并未对不包含个人信息的数据设置类似个人信息处理时的告知同意规则。由于《管理办法》所规制的业务数据处理活动同时涉及个人信息和非个人信息的数据两种类型,其第十五条的规定也应当适用于收集非个人信息的业务数据。具体而言:

除收集自行公开或者其他已经合法公开的业务数据的情形外,收集业务数据时应当依照法律、行政法规和中国人民银行相关规定取得个人同意或者组织授权,并落实相应告知义务。

非直接面向个人、组织收集其尚未公开的业务数据的,应当在合同或者协议中明确数据提供方保障业务数据来源合法性、真实性的义务。数据提供方未取得个人书面同意或者组织书面授权的,还应当要求其出具业务数据来源依法合规和数据真实性的必要佐证材料。

其次,在对外提供非个人信息的业务数据时,《管理办法》第二十一条还提出了评估是否符合保守商业秘密约定的要求。

最后,委托第三方处理数据时,《管理办法》第二十八条规定,数据处理者应当在合同或者协议中明确受托人需报告的重要事项、委托处理事项完成后传输和删除业务数据的实施方式与时限要求、配合本机构监督其委托处理活动等义务。这一条款以部门规章的形式对非个人信息业务数据的合规要求予以固定,有助于规范金融从业机构委托第三方处理非个人信息数据的内部管控流程。

(2)衔接落地金融数据分类分级体系

尽管数据分类分级是我国数据保护领域基于风险规制的思路始终坚持的监管工具,但在《数据安全法》所确立的“国家建立数据分类分级保护制度”的总体要求之下,如何深入各行业领域落实数据分级分类要求,一直以来都处于各行业各地区陆续试点摸索的阶段。

对此,一方面,《管理办法》从业务关联性、敏感性和可用性三方面进一步延展细化了业务数据分类管理的体系性思路。同时,另一方面,《管理办法》在重申《数据安全法》对数据进行三级分级的要求(即一般数据,重要数据和核心数据)的基础上,具体规定了中国人民银行业务领域范围内重要数据目录形成路径和落地管理思路,即:

中国人民银行组织确定重要数据目录,金融机构等数据处理者则根据申报本机构存储的全量业务数据是否数据重要数据、核心数据,并相应填报重要数据目录;

中国人民银行汇总填报情况形成重要数据具体目录,经国家数据安全工作协调机制审定,从而确定重要数据的处理者并告知其对应的重要数据。

就重要数据识别的准确性、完备性而言,《管理办法》在一定程度上通过中国人民银行与数据处理者间的充分信息交互,确保监管部门能够从业务实践出发,更加准确地识别重要数据,既避免遗漏可能对国家安全造成严重影响的数据,也防止过分扩大重要数据的范畴,致使金融从业机构等数据处理者在实践中开展业务时受到非必要的阻碍。从合规确定性角度考虑,《管理办法》所确立的上述机制,也确保了实际处理重要数据的相关数据处理者将被明确告知其所处理的重要数据,有助于控制数据处理者判断自身是否涉及重要数据处理活动的不确定性,从而降低相关合规要求适用与否的不确定性所带来的模糊成本或延迟成本。

(3)细化数据交互合规治理方案

金融从业机构在开展业务时,为了充分了解客户并评估相关风险,通常需要与其他机构就自身的经营数据和所掌握的客户数据等进行共享交互。实践中,相关数据交互可能发生于关联主体之间,也可能发生于不同合作主体之间,以及在金融从业机构与客户的沟通交互过程中。因此,对于金融从业机构数据交互合规要求的设计,既要考虑到个人信息、重要数据等的安全管理要求,并对相关监管规则予以衔接和细化落地,同时对于与个人客户进行交互的特殊场景充分考虑金融业务开展过程中的实际业务需求,避免对金融从业机构的展业带来非必要的合规成本。

就此而言,《管理办法》从管理思路上明确,对于从事业务所需的业务数据提供活动,数据应当核验数据接收方的身份,并在事前开展合法性评估,避免违法违规或违反保密条款提供业务数据;事中,应当通过业务数据清洗和真实性审查的方式保障数据质量,且除委托处理外原则上避免导出高敏感性数据项、或采取核验方式提供身份鉴别数据,以控制相关数据项的泄露风险;此外,对于提供的业务数据涉及个人信息和重要数据的,承接《网络安全数据安全管理条例》的相关要求,《管理办法》亦明确应当以合同形式明确数据处理者和数据接收方的相应数据安全保护义务、措施,以及数据提供的目的、方式、范围和数据安全事件告知义务等具体处理和应急响应安排,且应由数据处理者对数据接收方进行监督。

在上述管理思路之下,就数据交互的具体技术方案,《管理办法》也提出,数据处理者原则上不使用邮件、即时通讯、在线文件存储等互联网信息服务或者移动介质传输高敏感性数据项;但与此同时,《管理办法》也为上述安排预留了例外,即个人请求向其传输与其相关的业务数据,不适用本项要求。我们理解,考虑到在金融从业机构等数据处理者在展业时与个人客户进行沟通的过程中,可能会因个人客户的要求而需通过邮件、即时通讯(如微信)、在线文件存储(如云盘)等方式向其提供相关业务数据;此时,如果生硬套用数据交互的相关技术限制措施,客观上可能与个人客户的合理预期和相关行业实践所背离。《管理办法》预留此项例外安排,有利于平衡数据交互的安全管理要求与金融从业机构展业实践的业务连续性,从而形成合理、合法且可执行的合规水位要求。

(4)健全全流程数据安全技术治理规则

从安全管理规范的落地执行角度考虑,金融从业机构不仅需要形成相应的组织管理体系,也需要明确的技术管理规则。就此而言,《管理办法》本次从数据收集、存储管理、使用脱敏、传输管控等的全流程视角下系统性地补充、完善了业务数据安全技术管理的相关要求,包括:在数据收集时,优先采用直接录入或信息系统间交互的方式收集业务数据,并采取关联信息交叉核验等技术措施,以保障数据收集的安全性和所收集数据的准确性;在数据使用时,对于高敏感性数据项进行脱敏处理,降低其识别至特定个人、组织的风险;在数据存储和传输过程中,则加强访问控制和安全认证,并采取相关加密机制,以保障数据在存储和传输过程中的安全性;等等。

特别地,《管理办法》也从实操性角度出发,进一步对技术保护要求进行了细化:

其一,考虑到信息系统开发测试环境与生产环境的差异,《管理办法》明确,应当隔离信息开发测试环境与生产环境,且除开发测试环境与生产环境业务数据安全保护措施完全一致的情形外,生产环境数据项用于开发测试环境,应当履行内部审批程序并实施脱敏处理。

其二,考虑到数据安全管理体系的溯源管理要求,一方面,《管理办法》要求数据处理者对业务数据处理互动进行日志记录,并提出了一般日志留存至少六个月、重要数据信息系统相关的业务数据处理活动日志留存至少一年、存储核心数据信息系统相关的业务数据处理活动日志留存至少三年的梯度管理要求。另一方面,就业务数据展示、打印,《管理办法》亦专门强调,应采取技术措施标识当前使用业务数据的业务处理账号和使用时间,以夯实溯源管理的落地细节。

其三,为与《网络数据安全管理条例》和《网络反不正当竞争暂行规定》的既有要求相衔接并进一步延展,一方面,《管理办法》要求数据处理者采用自动化工具方式从其他数据处理者收集业务数据的,应当遵守其规则、避免干扰网络服务正常运行或侵害其他机构网络服务合法运营权益;另一方面,《管理办法》要求数据处理者制定本机构公开的业务数据是否允许自动化工具收集的控制规则,并应采取必要措施保障公开的业务数据不被篡改,以进一步引导培育金融领域自动化工具采集数据的合规土壤和规范实践。

就此,我们理解,《管理办法》在梳理全流程安全技术规则的基础上,同样针对其中的安全管理痛点予以了针对性的规制和细化,从而建立健全点面兼顾、各有侧重的全流程数据安全技术治理机制,以巩固并深化金融领域数据安全管理与合规因应的机制。

03 曲突徙薪:建立健全金融从业机构数据安全保护常态化治理路径

金融从业机构如违反《管理办法》的规定,中国人民银行及其分支机构会主要按照《数据安全法》第四十五条等上位法进行处罚。考虑到上述法律法规的法律责任上限均较高,同时也在部分情形下规定了“双罚制”,换言之,如违反《管理办法》,可能会对企业及直接负责的主管人员和其他直接责任人员造成较为严重的影响。近年来,个人金融信息保护与信息安全相关行政处罚的密集发布传递出显著信号,金融行业作为高风险领域,需加大数据安全投入,确保数据合规管理。而中国人民银行有关部门负责人就《中国人民银行业务领域数据安全管理办法》答记者问中,也明确提及“中国人民银行后续会进一步规范行政执法,督促相关数据处理者坚守合规底线”。

对此,我们建议金融从业机构在贯彻落实《数据安全法》《个人信息保护法》以及《网络数据安全管理条例》的基础上,重点关注如下合规义务提示,有序健全完善内部数据安全管理机制,以期更好地把握数字化、智能化转型新机遇。首先,金融从业机构应当动态更新维护内部业务数据资源目录,并依法逐步落实数据分类分级管理机制。其次,金融从业机构还应当在数据分类分级管理基础上相应完善全流程业务数据安全管理制度及其配套的内部审批授权规程,尤其需强化外部数据交互的三重防护——事前建立合作方合规核验机制,事中部署数据脱敏等保护措施,事后有效落实监督、审计工作。再者,金融从业机构在技术防护体系方面,还应当持续加强完善全流程义务数据安全技术要求,以确保有效采取与可能的数据安全风险相当的技术安全保护措施。最后,我们也建议金融从业机构在前述常态化金融数据安全治理机制的基础上,建立“监测-预警-处置”闭环管理体系,重点覆盖风险实时监测、安全事件分级响应、定期合规审计等关键节点,确保突发数据安全事件能通过预案实现快速有效处置。

结语

综上所述,网络安全与数据合规领域的立法完善与执法机制持续健全,对增强境内金融从业机构的数据安全风险抵御效能及数据治理质效具有关键性指引作用。这不仅有效引导金融从业机构数字化转型的规范化发展,也为中国人民银行业务领域后续数据安全保护细化规范出台提供了可资借鉴的范本。在我国网络法治体系纵深推进的背景下,我国中国人民银行业务领域正稳步进入法治护航发展的新阶段。金融从业机构唯有恪守合规经营导向,全面落实数据处理者的数据安全保护主体责任,方能实现数字经济机遇的精准捕捉与高效转化,充分激发数据要素价值潜能,共同携手构建起安全与发展协同共进的良性生态格局。

本文作者

宁宣凤

合伙人

合规业务部

susan.ning@cn.kwm.com

业务领域:反垄断与反不正当竞争,以及网络安全与数据合规

在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。

吴涵

合伙人

合规业务部

wuhan@cn.kwm.com

业务领域:网络安全、数据合规与治理

吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。

蒋雨琦

合规业务部

罗嗣昊

合规业务部

刘畅

合规业务部

转载声明:好文共赏,如需转载,请直接在公众号后台或下方留言区留言获取授权。

封面图源:画作·林子豪

声明:本文来自金杜研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。