導言
2025年5月9日�,中國人民銀行(以下簡稱“央行”)正式發布《中國人民銀行業務領域數據安全管理辦法》(以下簡稱“《央行數安辦法》”)。作為落實《中華人民共和國數據安全法》(以下簡稱“《數據安全法》”)《網絡數據安全管理條例》(以下簡稱“《網數條例》”)等法律法規的重要舉措����,該辦法將於2025年6月30日起施行�����,並與此前國家金融監督管理總局(以下簡稱“金融監管總局”)於2024年12月發布的《銀行保險機構數據安全管理辦法》(以下簡稱“《銀保數安辦法》”)形成呼應�����,至此由金融行業兩大監管部門先後出台的兩部部門規章共同構建起我國金融行業數據安全治理的雙軌框架。
本文將通過解讀《央行數安辦法》的核心規則��,對比分析其與《銀保數安辦法》的監管異同���,為金融機構厘清合規路徑提供指引�,並為其他行業數據安全製度建設提供參考。
一��、概述與適用範圍對比
《央行數安辦法》共分為七章����,共計56條�����,內容涵蓋了數據分類分級保護製度����、全流程數據安全管理要求���、全流程數據安全技術要求����、數據安全風險與事件管理製度�����、法律責任等多個方麵�,全麵銜接了《數據安全法》《網數條例》的要求����,旨在細化中國人民銀行業務領域數據安全合規底線����,並指導相關數據處理者合規開展數據處理活動。
在適用範圍上�,《央行數安辦法》係從業務領域進行監管�,規製的數據範圍為非涉密數據��、網絡數據。中國人民銀行有關部門負責人在答記者問中釋明��,《央行數安辦法》shiyongfanweijujiaoyujinrongjigouyijijingzhongguorenminyinxingpizhunshelihuozherendingdeqitajigouzaizhongguojingneikaizhandezhongguorenminyinxingyewulingyushujuxiangguanchulihuodong。qizhong�����,zhongguorenminyinxingyewulingyushizhiyouzhongguorenminyinxingchengdanjianduheguanlizhizedehuobixindai�、宏觀審慎����、跨境人民幣�、銀行間市場�、金融業綜合統計���、支付清算�����、人民幣發行流通�、經理國庫�、征信和信用評級�����、反洗錢等業務領域[1]。
《銀保數安辦法》zeanzhaozhutijinxingjianguan���,guizhiyinxingbaoxianjigoukaizhandechushejiguojiamimideshujuchulihuodongwaideqitashujuchulihuodong�����,suoshiyongdeyinxingbaoxianjigoubaokuo�����,zaizhonghuarenmingongheguojingneishelidezhengcexingyinxing���、商業銀行��、農村合作銀行���、農村信用合作社�、金融資產管理公司����、企業集團財務公司�����、金融租賃公司����、汽車金融公司�����、消費金融公司���、貨幣經紀公司�����、信托公司����、理財公司��、保險公司���、保險資產管理公司�、保險集團(控股)公司[2]。
同時���,《央行數安辦法》明ming確que其qi他ta有you關guan主zhu管guan部bu門men有you規gui定ding的de�����,還hai應ying當dang依yi法fa遵zun守shou�,以yi及ji中zhong國guo人ren民min銀yin行xing及ji其qi分fen支zhi機ji構gou要yao加jia強qiang與yu其qi他ta有you關guan主zhu管guan部bu門men間jian的de數shu據ju安an全quan監jian督du管guan理li協xie作zuo配pei合he�����、信息溝通�,必要時可以與其他有關主管部門聯合實施執法檢查。因此�,《銀保數安辦法》監管範圍內的相關主體��,開展《央行數安辦法》所列示的業務活動並涉及數據處理活動的���,需同時適用和遵從《銀保數安辦法》和《央行數安辦法》。
二��、重點內容解讀
(一)數據分類分級
《央行數安辦法》在第二章中規定了數據處理者的數據分類分級管理製度。總體而言���,《央行數安辦法》明確了中國人民銀行業務領域數據分類要素的“三方麵”和分級的“三級”體係��,以進一步指導相關機構開展和落實分類分級工作。
其中�,分類要素的“三方麵”是指數據處理者在進行數據分類時分別從關聯性�、敏感性��、可用性三個維度予以識別。值得注意的是��,在分類標準上��,《銀保數安辦法》采取《數據分類分級規則》中列舉式的分類方法�����,將數據分為客戶數據���、業務數據�、經營管理數據係統運行和安全管理數據等多個數據類別����,而《央行數安辦法》則首創以關聯性���、敏感性�����、可用性三個維度���,對數據類別予以區分。“三方麵”似(si)乎(hu)與(yu)以(yi)重(zhong)要(yao)性(xing)和(he)影(ying)響(xiang)程(cheng)度(du)為(wei)維(wei)度(du)的(de)分(fen)級(ji)思(si)路(lu)較(jiao)為(wei)近(jin)似(si)��,但(dan)意(yi)圖(tu)應(ying)當(dang)是(shi)指(zhi)導(dao)相(xiang)關(guan)機(ji)構(gou)對(dui)業(ye)務(wu)領(ling)域(yu)數(shu)據(ju)進(jin)行(xing)進(jin)一(yi)步(bu)細(xi)致(zhi)分(fen)類(lei)����,從(cong)而(er)實(shi)現(xian)分(fen)類(lei)分(fen)級(ji)基(ji)礎(chu)上(shang)強(qiang)化(hua)對(dui)應(ying)安(an)全(quan)措(cuo)施(shi)的(de)目(mu)的(de)。“三方麵”的具體內容如圖1所示。
圖1《中國人民銀行業務領域數據安全管理辦法》數據分類確定規則
《央行數安辦法》在數據分級標準上�,沿用了《數據安全法》《數據分級分類規則》的規定���,將數據分為核心數據����、重要數據����、一般數據。雖然相比2023年7月發布的《央行數安辦法》(征求意見稿)[3]中曾要求數據處理者根據數據項敏感性將業務數據分為一至五級�����,正式稿中刪去了該分級要求��,但考慮到《銀保數安辦法》將“一般數據”進一步細分為“敏感數據”和“其他一般數據”�,對於同時適用《銀保數安辦法》的機構���,仍應進行細分���,並按照相關規定落實對應的要求。我們在下表1中梳理了迄今為止金融行業的標準與《央行數安辦法》《銀保數安辦法》分級規定的對應關係�����,供相關企業參考。
表1 金融領域相關數據分級規則
(二)核心數據�����、重要數據
在重要數據的報送方麵���,《銀保數安辦法》中(zhong)規(gui)定(ding)由(you)金(jin)融(rong)監(jian)管(guan)總(zong)局(ju)製(zhi)定(ding)銀(yin)行(xing)業(ye)保(bao)險(xian)業(ye)重(zhong)要(yao)數(shu)據(ju)目(mu)錄(lu)��,銀(yin)行(xing)保(bao)險(xian)機(ji)構(gou)還(hai)需(xu)在(zai)建(jian)立(li)數(shu)據(ju)目(mu)錄(lu)和(he)分(fen)類(lei)分(fen)級(ji)規(gui)範(fan)的(de)基(ji)礎(chu)上(shang)����,向(xiang)監(jian)管(guan)機(ji)構(gou)報(bao)送(song)重(zhong)要(yao)數(shu)據(ju)目(mu)錄(lu)[4]。《央行數安辦法》中規定了中國人民銀行將組織編製中國人民銀行業務領域重要數據目錄並實施動態管理[5]�����,但同時強調數據處理者應當準確識別本單位存儲的全量業務數據是否屬於重要數據��、hexinshuju���,bingtianxiebaosongzhongyaoshujujutimuluneirong���,youyangxinghuizonghouzhidingzhongyaoshujumulu。zaizhongyaoshujumuluxingchenghou�,yangxingquedingzhongyaoshujuchulizhebinggaozhiqiduiyingdezhongyaoshuju[6]。從規定上看���,銀行業務領域的重要數據的形成過程����,將由央行根據業務領域製定總體目錄����,但是目錄中具體內容���,仍需由各機構識別����、申報並經央行最終認定�,並彙總形成最終的重要數據目錄。在重要數據識別�、申(shen)報(bao)和(he)目(mu)錄(lu)的(de)最(zui)終(zhong)形(xing)成(cheng)的(de)過(guo)程(cheng)中(zhong)��,央(yang)行(xing)和(he)金(jin)融(rong)監(jian)管(guan)總(zong)局(ju)如(ru)前(qian)文(wen)所(suo)述(shu)�,分(fen)別(bie)從(cong)業(ye)務(wu)領(ling)域(yu)和(he)對(dui)象(xiang)機(ji)構(gou)進(jin)行(xing)��,但(dan)交(jiao)叉(cha)部(bu)分(fen)如(ru)何(he)銜(xian)接(jie)仍(reng)有(you)待(dai)進(jin)一(yi)步(bu)明(ming)確(que)。
對於重要數據處理者的義務�����,《央行數安辦法》要求與存儲重要數據信息係統相關的業務數據處理活動日誌���,應當留存至少一年���;對於與存儲核心數據信息係統相關的業務數據處理活動日誌����,應當留存至少三年����,《銀保數安辦法》在本項義務上對重要數據處理者要求是一致的。此外���,《央行數安辦法》還專門細化要求了如下內容:重要數據的處理者應當明確業務數據的安全負責人和管理機構�����;存(cun)儲(chu)重(zhong)要(yao)數(shu)據(ju)的(de)信(xin)息(xi)係(xi)統(tong)應(ying)當(dang)滿(man)足(zu)三(san)級(ji)網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)要(yao)求(qiu)�����,存(cun)儲(chu)核(he)心(xin)數(shu)據(ju)的(de)信(xin)息(xi)係(xi)統(tong)應(ying)當(dang)滿(man)足(zu)四(si)級(ji)網(wang)絡(luo)安(an)全(quan)等(deng)級(ji)保(bao)護(hu)要(yao)求(qiu)或(huo)者(zhe)關(guan)鍵(jian)信(xin)息(xi)基(ji)礎(chu)設(she)施(shi)保(bao)護(hu)要(yao)求(qiu)�;重要數據的處理者應當自行或者委托第三方評估機構進行年度風險評估�;重要數據處理者應當每年至少開展一次與重要數據安全相關的合規審計[7]等。
(三)全流程業務數據安全
1. 管理要求
在管理要求層麵���,《央行數安辦法》對數據處理者的業務處理賬號權限及人員管理作出了規定��,要求數據處理者應對特權賬號及業務處理賬號承擔管理責任。此外��,《央行數安辦法》還規定了處理外國金融執法機構關於提供業務數據的請求��、數據處理者采用隱私計算等技術促進業務數據融合創新應用的安全保護措施等內容。
《央行數安辦法》細化了數據處理者在數據處理全生命周期中的合規管理義務����,從數據收集��、存儲�����、使用和加工��、對外提供����、委托處理���、跨境傳輸�、公開�����、刪除等數據處理全生命周期製定了相應規則。《央行數安辦法》《銀保數安辦法》兩規範對於數據全生命周期管理措施各有側重���,總體而言��,《央行數安辦法》對管理要求的規定更為具體。具體要求對比如表2所示:
表2 數據處理全生命周期管理要求
2. 技術要求
在技術要求方麵���,《央行數安辦法》從訪問控製���、日誌記錄�����、收集方式�����、存儲要求�、數據應用與脫敏���、數據傳輸等角度提出了相應規定����,該部分要求與《銀保數安辦法》的具體對比如表3所示:
表3 數據處理全生命周期技術要求
(四)數據安全風險管理
《央行數安辦法》在第五章中構建了業務數據安全風險防控體係��,包括風險監測��、識別和補救措施���,風險評估和報告��,應急預案和事件分級�、報告製度�,合規審計等內容。
1. 風險監測�����、識別和補救措施
在風險監測方麵��,《央行數安辦法》提示數據處理者需重點監測兩類風險[8]:一是內部風險���,包括係統存在惡意程序或安全漏洞���、高敏感性數據項保護措施失效�����、業務數據傳輸或存儲承載能力不足等數據處理活動本身產生的風險���;二是外部風險�����,包括數據泄露事件�、數據被非法兜售����、仿冒機構身份進行數據處理等外部安全威脅。《央行數安辦法》要求數據處理者加強對業務數據處理活動風險的監測��,進行有效風險識別並在風險發生後立即采取補救措施。
《銀保數安辦法》則詳細列舉了銀行保險機構應當對數據安全威脅進行有效監測���,監測內容包括[9]:(1)超範圍授權或者使用係統特權賬號��;(2)內部人員異常訪問�����、使用數據��;(3)對數據集中共享的係統或者平台的網絡安全�����、數據安全威脅���;(4)敏感級及以上數據在不同區域的異常流動����;(5)移動存儲介質的異常使用�;(6)外包�、第三方合作中的數據處理異常或者數據泄露�、丟失和篡改���;(7)客戶有關數據安全的投訴��;(8)數據泄露�、仿冒欺詐等負麵輿情���;(9)其他可能導致數據安全事件發生的情況。
2. 風險評估和報告
《央行數安辦法》要求重要數據處理者每年自行或委托第三方評估機構開展業務數據安全風險評估��,並規定每年1月15日前須向中國人民銀行或其省級分支機構提交上年度風險評估報告�,除法律��、xingzhengfaguiyimingqueyingdangpinggudeneirongwai����,fengxianpinggubaogaohaiyingdangbaohanyucunchuzhongyaoshujuxinxixitongxiangguanderenyuanpeixunyurichangguanliqingkuang�,yuyewushujuxiangguandegangweizhizeluoshiqingkuang�、網絡安全等級保護測評和整改情況���、保護措施執行情況���、本年度風險監測和事件處置情況�����,以及央行要求的其他評估內容[10]。
相較而言��,《銀保數安辦法》則采取全覆蓋模式��,明確所有銀行保險機構均需按年度進行風險評估�����,並規定應當於每年1月15日前向金融監督管理總局或者其派出機構報送上一年度數據安全風險評估報告���,報告內容包括數據安全治理���、技術保護��、數據安全風險監測及處置措施���、數據安全事件及處置情況����、委托和共同處理��、數據出境��、數據安全評估與審查情況�����、數據安全相關的投訴及處理情況等[11]。
兩部管理辦法所規製的主體並不完全一致����,且報告的內容各有側重。如前所述�����,若銀行保險機構開展《央行數安辦法》所列示的業務活動並涉及數據處理活動��,需同時遵從《銀保數安辦法》和《央行數安辦法》的規定���,但是否需要分別報送���,以及交叉監管部分如何銜接仍有待進一步明確。
3. 應急預案和事件分級�、報告製度
《央行數安辦法》對(dui)數(shu)據(ju)處(chu)理(li)者(zhe)提(ti)出(chu)了(le)應(ying)急(ji)管(guan)理(li)要(yao)求(qiu)����,規(gui)定(ding)重(zhong)要(yao)數(shu)據(ju)處(chu)理(li)者(zhe)應(ying)當(dang)每(mei)年(nian)至(zhi)少(shao)開(kai)展(zhan)一(yi)次(ci)業(ye)務(wu)數(shu)據(ju)安(an)全(quan)事(shi)件(jian)應(ying)急(ji)演(yan)練(lian)�����,其(qi)他(ta)機(ji)構(gou)則(ze)需(xu)每(mei)三(san)年(nian)至(zhi)少(shao)開(kai)展(zhan)一(yi)次(ci)演(yan)練(lian)。其(qi)同(tong)時(shi)要(yao)求(qiu)在(zai)數(shu)據(ju)安(an)全(quan)事(shi)件(jian)發(fa)生(sheng)後(hou)����,數(shu)據(ju)處(chu)理(li)者(zhe)必(bi)須(xu)立(li)即(ji)啟(qi)動(dong)事(shi)件(jian)分(fen)級(ji)響(xiang)應(ying)機(ji)製(zhi)�,按(an)照(zhao)事(shi)件(jian)等(deng)級(ji)采(cai)取(qu)相(xiang)應(ying)處(chu)置(zhi)措(cuo)施(shi)�����,確(que)保(bao)處(chu)置(zhi)的(de)及(ji)時(shi)性(xing)和(he)有(you)效(xiao)性(xing)[12]。
《銀保數安辦法》則未對應急演練的頻次作出要求��,但是�����,對於數據安全事件發生後的報告機製�����,其明確了2小時進行報告�����、24小時內書麵報告等時間要求。[13]
4. 合規審計
《央行數安辦法》和《銀保數安辦法》都要求數據處理者每三年至少開展一次業務數據安全合規審計���,發生重大或特別重大事件後����,應開展專項合規審計[14]。此外����,《央行數安辦法》還另行規定了重要數據處理者應當每年至少開展一次合規審計。
(五)法律責任
《央行數安辦法》確立了中國人民銀行及其分支機構的執法主體地位���,構建了包括八種違法情形的法律責任體係��,並與《數據安全法》的de處chu罰fa規gui定ding相xiang銜xian接jie。同tong時shi��,該gai辦ban法fa還hai建jian立li了le協xie同tong監jian管guan機ji製zhi�����,要yao求qiu中zhong國guo人ren民min銀yin行xing與yu其qi他ta監jian管guan部bu門men在zai數shu據ju安an全quan監jian管guan工gong作zuo中zhong實shi現xian信xin息xi共gong享xiang和he執zhi法fa聯lian動dong�,對dui涉she及ji多duo部bu門men監jian管guan的de事shi項xiang采cai取qu聯lian合he執zhi法fa措cuo施shi�,對dui重zhong大da違wei法fa案an件jian移yi送song公gong安an機ji關guan�、國家安全機關等部門處理����,確保監管標準的統一性和執法尺度的一致性。
此外��,《央行數安辦法》還明確規定對以下兩類情形可從輕或減輕行政處罰:一是對在數據安全事件發生後已采取保護和補救措施的數據處理者���;二是雖未履行數據保護義務�����,但協助及時發現重大業務數據安全風險且尚未造成危害後果的數據處理者。這一規定體現了“過罰相當”和“懲教結合”的監管原則。
表4 法律責任
三���、行業動向和合規建議
1. 合規要求日趨明細化與嚴格化
《央行數安辦法》從數據分類分級�����、全生命周期管理���、安an全quan風feng險xian管guan控kong等deng多duo個ge維wei度du對dui金jin融rong機ji構gou提ti出chu了le係xi統tong化hua的de合he規gui要yao求qiu。相xiang較jiao於yu其qi他ta數shu據ju安an全quan規gui範fan����,該gai辦ban法fa在zai合he規gui義yi務wu設she置zhi上shang更geng為wei具ju體ti明ming確que��,如ru針zhen對dui高gao敏min感gan性xing數shu據ju處chu理li�,要yao求qiu數shu據ju處chu理li者zhe不bu得de在zai終zhong端duan設she備bei和he移yi動dong介jie質zhi中zhong存cun儲chu��、不得采取導出方式處理�����、未脫敏前不得對外展示等。麵對日益細化的監管要求����,相關金融機構應當:
(1)建立與《央行數安辦法》等相銜接的業務數據安全管理製度和配套操作規程��,建立健全數據資產管理體係����,動態更新業務數據資源目錄�,完善分類分級管理機製�����;
(2)嚴格落實數據安全全生命周期管理要求���,重點加強數據收集合法性審查�����、傳輸加密保護����、存儲訪問控製��、使用權限管理�����、共享風險評估及銷毀可追溯等關鍵環節管理��;
(3)重視個人信息保護����,包括但不限於履行“告知-同意”義務��、遵循“最小必要”原則����、開展個人信息保護影響評估等�����;
(4)強化技術保障措施���,嚴格落實加密傳輸�、訪問控製等技術要求�����,完善數據處理日誌記錄和審計追蹤機製��,確保符合《央行數安辦法》的技術合規要求。
2. 金融行業的監管動向考量
金融行業數據安全監管體係具有明顯的先行性和係統性特征�,目前已形成以《數據安全法》《中華人民共和國個人信息保護法》《網數條例》等上位法為指導��,以《央行數安辦法》《銀保數安辦法》為核心��,《金融數據安全 數據安全分級指南》(JR/T 0197-2020)����、《個人金融信息保護技術規範》(JR/T 0171-2020)等為配套的全方位監管框架。對此�����,金融機構應當特別注意:
(1)準確識別並適用各項法律法規���,特別是《央行數安辦法》《銀保數安辦法》的交叉適用情形�;
(2)應係統分析《央行數安辦法》與《數據安全法》《網數條例》《銀保數安辦法》等法律法規的適用關係�����,按照“上位法����、特別法優先”以及“從嚴適用”的原則確定合規標準����,針對交叉監管領域製定專項合規方案�����;
(3)建立與監管部門的溝通機製����,及時澄清理解偏差�����,確保合規實效。
3. 新技術的布局與應用
《央行數安辦法》第5條在鼓勵數據安全技術創新的同時��,對自動化決策�����、隱私計算等新技術應用提出了明確要求���,包括解釋說明義務����、數據質量管控等。金融機構在布局新技術時應當:
(1)建立跨部門合規審查機製�,統籌考量金融監管要求與網信部門規定�����;
(2)重點關注算法透明度���、數據真實性等核心合規要素���;
(3)持續優化技術流程���,確保創新應用與監管要求同步發展。
結語
央行在《央行數安辦法》zhongduixiangguanjinrongjigouyinxingyewushujuchulihuodongtichulegengweixihuadeheguiyaoqiu��,tixianlejinrongshujuanquanjianguandechixushenhua。mianduizheyijianguantaishi���,xiangguanjinrongjigouyingdangcongzhidujianshe�����、數據治理�����、技術保障和規範適用多個維度構建係統化的合規體係���,確保本機構數據處理活動合法合規��,有效防範金融數據安全風險。
金jin融rong行xing業ye由you於yu行xing業ye和he業ye務wu特te點dian一yi直zhi是shi數shu據ju安an全quan管guan理li的de重zhong中zhong之zhi重zhong。金jin融rong行xing業ye監jian管guan部bu門men具ju體ti要yao求qiu的de出chu台tai對dui於yu本ben行xing業ye相xiang關guan機ji構gou落luo實shi本ben行xing業ye和he業ye務wu領ling域yu的de數shu據ju安an全quan管guan理li起qi到dao重zhong要yao的de指zhi導dao作zuo用yong�,同tong時shi對dui其qi他ta行xing業ye監jian管guan部bu門men落luo實shi各ge自zi行xing業ye的de數shu據ju安an全quan管guan理li���,以yi及ji監jian管guan中zhong不bu同tong監jian管guan部bu門men如ru果guo銜xian接jie和he配pei合he也ye有you重zhong要yao的de引yin領ling和he借jie鑒jian意yi義yi���,值zhi得de各ge行xing業ye企qi業ye予yu以yi重zhong視shi和he參can考kao。
實習生劉珺璘對本文亦有貢獻。
文章首發於LexisNexis律商聯訊《中國法律透視》2025年5月刊
注釋
[1] 中國人民銀行:中國人民銀行有關部門負責人就《中國人民銀行業務領域數據安全管理辦法》答記者問��,http://camlmac.pbc.gov.cn/rmyh/3963412/3963426/5706206/index.html��,訪問日期:2025年5月26日。
[2] 參見《銀行保險機構數據安全管辦法》第2條。
[3] 參見《中國人民銀行業務領域數據安全管理辦法(征求意見稿)》第9條。
[4] 參見《銀行保險機構數據安全管辦法》第71條。
[5] 參見《中國人民銀行業務領域數據安全管辦法》第6條。
[6] 參見《中國人民銀行業務領域數據安全管辦法》第9條。
[7] 參見《中國人民銀行業務領域數據安全管辦法》第11條�、第30條�����、第32條����、第42條���、第45條。
[8] 參見《中國人民銀行業務領域數據安全管辦法》第39條���、第40條。
[9] 參見《銀行保險機構數據安全管辦法》第65條。
[10] 參見《中國人民銀行業務領域數據安全管辦法》第42條。
[11] 參見《銀行保險機構數據安全管辦法》第74條。
[12] 參見《中國人民銀行業務領域數據安全管辦法》第44條。
[13] 參見《銀行保險機構數據安全管辦法》第69條。
[14] 參見《中國人民銀行業務領域數據安全管辦法》第45條�����、《銀行保險機構數據安全管理辦法》第66條。
