月24日,中国人民银行网站发布关于《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见的通知。
通知显示,为落实《中华人民共和国数据安全法》有关要求,加强中国人民银行业务领域数据安全管理,中国人民银行起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(下称《办法》),现面向社会公开征求意见。
据了解,中国人民银行在过去一年充分调研总结行业数据安全成熟经验做法基础上,组织研究起草《办法》,全面衔接《中华人民共和国数据安全法》,细化明确中国人民银行业务领域数据安全合规底线要求,填补此领域数据安全管理制度保障空白,指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动,履行数据安全保护义务XK星空app体育,保障消费者和企业用户的合法权益,促进数据要素市场高质量发展。
具体来看,《办法》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、XK星空app体育法律责任、附则八章,共五十七条。
《办法》内容主要包括五个方面:一是规范数据分类分级要求;二是提出数据安全保护总体要求;三是压实数据处理活动全流程安全合规底线;四是细化风险监测XK星空app体育、评估审计、事件处置等合规要求;五是明确中国人民银行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。
据了解,《办法》条款设立的原则有三条,一是与现有制度有效衔接。“重要数据应当境内存储”、“规定情形下申报数据出境安全评估”等条款,均为已出台上位法所明确法定义务的再次重申,未额外增加合规要求。
二是促进数据开发利用。明确提出鼓励数据处理者在保障安全合规前提下,积极促进数据高效流通和创新应用,并提出较敏感数据项加工后无法识别至特定个人、组织时,可降低敏感性层级,更好促进数据依法合规开发利用。
三是细化规范措施要求。对于上位法“采取相应的技术措施和必要措施”要求,既细化提出原则上应当采取的技术措施和管理措施,又明确特殊情形可通过内部审核审批、统一明确场景等方式弱化措施落实,避免合规义务“一刀切”。
根据“谁管业务,谁管业务数据,谁管数据安全”基本原则,《办法》明确适用范围为中华人民共和国境内开展的,中国人民银行承担监督管理职责各类业务相关的数据处理活动。
此外XK星空app体育,《办法》还与现有制度标准有效衔接。一是注重与业务管理制度的衔接。《办法》定位为其适用范围内数据处理活动的一般性、兜底性安全合规底线,明确国家法律、行政法规和中国人民银行另有规定的,从其规定,不改变和取代征信、反洗钱等业务领域现有管理制度对数据安全的差异化管理要求。
二是注重与个人信息保护管理制度的衔接。个人信息作为一类特殊数据,除需要做好分类分级和处理过程全流程安全管理外,还要遵守《中华人民共和国民法典》《中华人民共和国个人信息保护法》有关隐私权、知情权、决定权、查阅复制权、删除权、解释说明权等的特别规定。《办法》明确国家法律、行政法规和中国人民银行对个人信息相关的数据处理活动另有规定的,应当遵守其规定,既与现有国家法律做好衔接,也为后续出台中国人民银行业务领域相关的个人信息保护部门规章预留了空间。
三是注重与涉密数据管理制度的衔接。《中华人民共和国数据安全法》明确,开展涉及国家秘密的数据处理活动,适用《中华人民共和国保守国家秘密法》等法律、行政法规的规定。《办法》做好相应衔接,在中国人民银行业务领域数据定义中,限定数据范围仅为非涉密数据。
四是注重与非网络数据管理制度的衔接。《中华人民共和国数据安全法》明确,在统计、档案工作中开展数据处理活动,还应当遵守有关法律、行政法规的规定。国家网信部门组织起草《网络数据安全管理条例》衔接上位法时,重点规范网络数据处理活动的安全管理要求。《办法》也预先与《网络数据安全管理条例》做好衔接,在中国人民银行业务领域数据定义中,限定数据范围仅为网络数据。
五是注重与现行数据相关标准的衔接。中国人民银行已相继出台《金融数据安全 数据安全分级指南》(JR/T 0197-2020)、《金融数据安全 数据生命周期安全规范》(JR/T 0223-2021)等金融业数据安全标准,因数据安全管理要求不断演进,相关标准在内容与术语定义方面,XK星空app体育需要根据《办法》作对应调整,后续中国人民银行将加快组织上述标准的修订工作,确保制度与标准适配统一。