作者:汉坤律师事务所 权威 | 李珣 | 夏迎雨 | 李烨 | 郑博
一、新规出台的背景与影响
2025年5月9日,中国人民银行(以下简称“人行”)正式对外公布《中国人民银行业务领域数据安全管理办法》(以下简称“《人行数安办法》”或“新规”),结束了近两年的征求意见阶段,并将于6月30日正式施行。《人行数安办法》系《个人信息保护法》、《数据安全法》等数据安全上位立法出台后,由人行正式出台的首部全面规制人行业务领域数据安全的法规,对于义务机构在组织构架、数据分类分级、数据安全全生命周期管理、以及数据风险监测和处置等各个方面的合规要求做出了详细和明确的规定。
作为人行业务领域的首部数据安全专门性法规,新规衔接《数据安全法》等上位法,核心意义在于确立了人行数据安全工作逻辑:数据安全工作的开展以“数据分类分级”为基础,并在此基础上针对不同类别和级别的数据,需要匹配对应的管理措施和技术措施,对人行业务领域的数据安全管理提出了合规底线要求;而数据处理者也应当明确对应的责任岗位、建立对应的工作制度和业务流程、建立培训机制等。新规的出台亦是在数据安全管理领域对于功能监管和行为监管有机结合的体现,有助于提升监管质效、构建全方位的数据安全监管体系。
特别值得注意的是,新规对于重要数据的处理者提出了明确的年度风险评估和合规审计要求。《人行数安办法》第42条要求,重要数据的处理者应当自行或者委托第三方评估机构,每年对业务数据开展一次风险评估,并于每年1月15日前向人行或者住所地人行省级分支机构报送上一年度风险评估报告。此外,第45条进一步要求,重要数据的处理者应当每年至少开展一次与重要数据安全相关的合规审计。
二、新规适用的范围和主体
(一)数据类型
新规主要规制的是“中国人民银行业务领域数据”,根据新规第2条的定义,主要是指依据法律、行政法规,党中央、国务院决定,由中国人民银行承担监督和管理职责的业务领域内产生和收集的不涉及国家秘密的网络数据(以下简称业务数据)。
根据人行有关部门负责人就《人行数安办法》答记者问,“中国人民银行业务领域是指由中国人民银行承担监督和管理职责的货币信贷、宏观审慎、跨境人民币、银行间市场、金融业综合统计、支付清算、人民币发行流通、经理国库、征信和信用评级、反洗钱等业务领域”。
此外,对于“不涉及国家秘密”以及“网络数据”这两项限定要素,人行在《人行数安办法(征求意见稿)》起草说明中亦有所提及:一方面,《数据安全法》已经明确对于开展涉及国家秘密的数据处理活动适用《保守国家秘密法》等法律法规,因此无需再适用人民银行的业务领域数据规定;另一方面,新规主要是衔接《数据安全法》以及《网络数据安全管理条例》,限定数据范围仅为网络数据(可通俗理解为各种电子数据、信息),而对于统计、档案工作中的数据处理活动(可能涉及非网络数据,如纸质文档)可适用对应的法律法规。
(二)数据处理者
新规明确需要适用的数据处理者包括“金融机构”和“经中国人民银行批准设立或者认定的其他机构”。直观来看,人行具有直接管辖权的金融业务相关机构包括银行、第三方支付机构、持牌征信机构、银联和网联等清算机构,该等机构从主体及行为上,均应直接适用《人行数安办法》。除此之外,由于《人行数安办法》的适用范围系全面覆盖“人民银行承担监督和管理职责的业务领域的网络数据”,因此其约束对象亦广泛覆盖其他金融机构。
但就非人行直接监管的金融机构而言,并非其所有数据的各个处理环节均需满足《人行数安办法》要求,基于人行在我国当前金融监管职能划分中所承担的监管职责,其受限于《人行数安办法》的主要是金融统计、反洗钱、征信等相关数据。
三、业务数据分类分级
业务数据的分类分级是人行业务领域数据安全工作的基础,《人行数安办法》要求数据处理者应建立相应的内部制度和操作规程,并按照国家规定及人行要求进行分类分级工作的具体实施。
从分类维度上,《人行数安办法》要求数据处理者应建立业务数据资源目录(每年至少更新一次),并从业务关联性、敏感性、可用性三个方面开展数据分类:业务关联性聚焦数据类型(是否为个人信息)、数据来源(是否为外部收集产生)、存储系统以及和业务类别的关联,解决数据资产盘点问题;敏感性分类以数据泄露后的危害程度为核心,将“敏感个人信息”“商业秘密类客户信息”“应控制知悉范围的业务信息”界定为高敏感数据,需施加更加严格的保护措施,其中非结构化数据需按拆分后最高敏感等级管理(就高不就低),相较于《人行数安办法(征求意见稿)》中将数据项敏感性分为五个层级的要求,《人行数安办法》的要求相对原则性,以确保实践中的可执行性以及与其他相关法规的衔接;可用性分类则根据业务数据遭到篡改、破坏后对业务正常运行造成的影响程度,明确信息系统差异化的数据恢复点目标,为灾备建设提供依据。
从分级维度上,《人行数安办法》将业务数据分为一般、重要、核心三级,与《数据安全法》、《网络安全法》等数据监管领域现行规定基本保持一致。
除此以外,《人行数安办法》还针对数据处理者的业务数据安全治理提出了进一步要求,主要包括:数据处理者应明确业务数据安全保护相关内设部门职责,配备相适应的数据安全专业人员,建立安全管理制度,组织开展相关培训等。特别是针对重要数据处理者,应明确业务数据的安全负责人和管理机构,安全负责人应符合法律法规的条件并有权直接向人行报告数据安全情况。
四、全流程业务数据的安全管理要求、
安全技术要求及风险监测处置
《人行数安办法》对全流程业务数据提出了对应的安全管理要求与安全技术要求,并针对数据安全的风险监测与处置设置了相应的规则。就全流程业务数据的安全管理要求和安全技术要求而言,基本按照业务数据处理的全生命周期环节进行规定,并增加了账号管理、委托处理的相关规定,具体包括:
账号管理:对数据处理者账号及权限管理作出严格规定,集团层面统一对不同主体及人员账号权限进行管理的模式可能因影响机构独立性而存在障碍。
收集环节:对业务数据收集环节的安全管理作出系统规定,特别是对间接收集数据的来源合法性与真实性需进行审查,夯实数据接收方责任,即除了在协议层面约定提供方的义务,还要获取授权文件或必要佐证材料;对通过爬虫等自动化工具收集数据提出更严格要求。
储存环节:对业务数据存储及日志管理作出系统规定,特别是重要数据与核心数据的存储系统应分别达到三级等保、四级等保要求,相关数据处理活动日志应留存对应的期限。
使用环节:对业务数据使用与展示作出严格规范,使用高敏感数据原则不导出,身份鉴别数据项仅核验,确需例外需规范场景;展示高敏感数据原则脱敏,不脱敏需规范场景。
加工环节:在事前审查中,核对加工目的与收集约定的一致性,审查训练数据的真实性、标注合理性及模型规则的伦理合规性;在加工过程中,处理高敏感数据需额外安全措施并履行内部审批,基于加工数据的自动化决策服务须向个人解释处理目的与规则;建立敏感性动态评估机制和加工算法风险评估策略。
传输环节:原则上禁止用互联网服务或移动介质传输高敏感数据;技术措施上,优先用专用线路等,健全访问控制与终端准入,高敏感数据原则上需加密传输,同时及时评估传输容量并做好冗余备份。
提供环节:数据提供前需核验接收方身份,评估个人信息合规性与商业秘密保护,在合同中明确安全义务、处理目的、存储时限等,监督接收方履约;提供重要数据前应开展风险评估,核心数据出境需经国家层面评估,禁止拆分规避义务。
公开环节:数据公开前需审核目的、数据合法性等,通过官方渠道公开,其他渠道需审批;不得公开身份鉴别数据,高敏感数据原则脱敏;应制定自动化工具收集控制规则,采取技术措施防篡改。
删除环节:对业务数据的删除、销毁进行规定,并要求每年至少审查一次以确认相关数据不可被使用。
委托处理:规范业务数据的委托处理,提出更严格的管理措施,包括合同明确受托人义务并监督履约;业务数据委托处理应纳入外包管理体系;人行明确不得外包的业务,相关业务数据不得委托处理等。
就数据安全的风险监测与处置而言,新规要求数据处理者建立常态化风险监测体系,针对数据泄露、非法利用、安全漏洞等风险及时采取补救措施,并依据数据敏感性、影响范围等标准对安全事件分级分类。
五、监管措施与违规责任
《人行数安办法》构建了全方位的监管与责任体系,人行及其分支机构对存在较大安全风险的机构可约谈、要求整改,发现国家安全相关线索可启动国家安全审查;可开展执法检查,必要时联合其他部门执法。就未履行数据安全保护义务的法律责任而言:
处罚情形:对于数据处理者未建立安全管理制度、未开展培训、未落实技术措施、未明确安全负责人、未监测风险、未及时处置事件、未报送风险评估报告等八种情形,依《数据安全法》第45条处罚;
最高罚则:最高处1000万元罚款,并可责令暂停业务、停业整顿、吊销许可证或营业执照等;
双罚制:可适用双罚制,同时追究机构与责任人责任;
从轻情形:如果数据处理者已采取保护措施并及时补救,且未造成危害后果,可从轻或减轻处罚。
六、结语
总体而言,近两年数据安全领域立法频繁,此前法规已经提及金融行业的数据分类分级等办法将由行业主管部门自行制定,且征求意见时间晚于《人行数安办法》的《银行保险机构数据安全管理办法》已经出台,因此市场主体对于本次新规的出台已经有所预期。就新规内容而言,也并未创设太多具有“颠覆性”的规定,我们理解更多是基于现有监管规则与金融行业标准进行的细化、总结和延伸补充。
《人行数安办法》的正式生效时间为2025年6月30日,市场从业主体尚有一个多月的时间进行相应的合规自查和优化准备。而且从此前的监管实践来看,《人行数安办法》即使正式生效后,监管部门大概率仍然会给予市场从业主体一定的过渡期进行完善优化。对市场从业主体而言,首先需要对照新规规则,建立相应的数据分类分级目录并进行对应的维护和报送。数据分类分级的不同将导致面临的合规义务也有较大差别,特别是对于重要数据的处理者而言,需要注意符合新规提出的年度风险评估和合规审计等相关合规要求。
本文作者
权威
+86 21 6080 0946
wei.quan@hankunlaw.com
业务领域
金融服务与跨境资管、金融科技、数据保护
李珣
+86 21 6080 0232
xun.li@hankunlaw.com
业务领域
银行金融、金融服务与跨境资管、金融科技、数据保护
夏迎雨 | 汉坤律师事务所
李烨 | 汉坤律师事务所
郑博 | 汉坤律师事务所
声明:本文来自汉坤律师事务所,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
