新法速递 |《中国人民银行业务领域数据安全管理办法(征求意见稿)》(合规梳理)
点击关注“数据与电商研究室”
编者按
2023年7月24日,中国人民银行发布《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《办法》),并面向社会公开征求意见,本轮征求意见截止至2023年8月24日。
《办法》旨在加快推动中国人民银行监督管理职责范围内的数据安全管理制度建设,指导和督促中国人民银行业务领域数据处理者依法依规开展数据处理活动。此前,中国人民银行已相继出台《金融数据安全 数据安全分级指南》(JR/T 0197—2020)、《金融数据安全 数据生命周期安全规范》(JR/T0223-2021)等金融业数据安全标准。《办法》的发布将为中国人民银行业务领域数据安全监管提供更清晰的制度依据。
《办法》共计八章五十七条,主要从数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测、评估审计与事件处置措施以及法律责任方面对中国人民银行业务领域数据处理者提出了具体的合规要求,并对中国人民银行的监督管理责任进行了明确。本文梳理了《办法》的重点内容,供相关数据处理者参考。
一、《办法》的适用范围
《办法》适用于数据处理者在境内开展中国人民银行业务领域数据相关的处理活动,具体而言:
1)从监管的行业维度来看,《办法》的适用对象是中国人民银行承担监督管理职责的业务,包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等。与之所对应的是,受到监管的数据处理者也是前述行业中的经营者,包括金融机构和其他机构。
2)从数据的类型来看,《办法》适用于网络数据且该网络数据不涉及国家秘密的情形。
二、数据处理者的合规要求
《办法》从数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施以及风险监测、评估审计与事件处置措施等5个方面,对数据处理者提出了合规要求。
01 数据分类分级
《办法》在原有《金融数据安全 数据安全分级指南》(JR/T 0197—2020)的基础上,对数据处理者的数据分类分级标准提出了新的考量因素。具体如下:
(点击可查看大图)
02 数据安全保护总体要求
从管理机构要求来看,《办法》强调重要数据处理者除应当明确数据安全管理部门和职责分工以外,还应当书面明确数据安全责任人和数据安全牵头管理内设部门。
从全流程安全管理要求来看,《办法》针对不同层级数据对应的管理要求进行了差异化规定,体现了“从严从高”的监管要求:
1)第五层级数据项应当在第四层级数据项对应的安全保护管理和技术措施基础上进一步从严管理;
2)不同敏感性层级数据项在同一个数据处理活动中被处理,且难以采取差异化安全保护管理和技术措施的,应当统一采取最高敏感性层级数据项对应的安全保护管理和技术措施;
3)与母公司、子公司、关联公司或者附属公司等具有关联关系的数据处理者合作开展数据处理活动时,不得降低安全保护管理和技术措施要求。
从安全培训要求来看,《办法》要求制定数据安全年度培训计划,组织开展培训并对培训结果进行评价。
在数据安全技术创新应用方面,鼓励数据处理者积极开展数据安全技术创新应用,在保障安全合规前提下,积极促进数据的高效流通和创新应用。
03 数据安全保护管理和技术措施
《办法》明确了数据处理全流程的管理措施和技术措施要求,针对不同层级的数据全生命周期处理要求做出非常细致的规定。具体梳理如下:
(点击可查看大图)
04 风险监测、评估审计与事件处置措施
《办法》在数据处理者的风险监测、评估审计以及安全事件响应方面的合规义务进行了规定。
从安全风险监测的要求来看,数据处理者应当采取有效措施强化数据处理活动安全风险监测和告警,加强数据安全风险情报监测以及及时接收、核查和处置中国人民银行或其分支机构通报的数据安全风险情报,并根据要求按时反馈核查处置结果。
从评估审计的要求来看,数据处理者每年至少开展一次与数据安全相关的合规审计,发生重大以上数据安全事件后及时开展专项审计。重要数据处理者应当自行或者委托检测机构,每年组织开展一次全面的数据安全风险评估工作,于下年度一季度末前向中国人民银行或其住所地分支机构报送风险评估报告,并按照行政法规要求向对应的网信部门报送。数据安全风险评估报告和审计报告不得记录第四层级以上数据项,报告保存期限最短不低于3年。
从安全事件响应处置要求来看,数据处理者应当按照国家网络安全事件应急预案有关事件分级要求,细化明确各等级数据安全事件对应的定级判定标准,涉及核心数据、重要数据的安全事件,应当分别定级为特别重大事件、重大事件;数据处理者应当将数据安全事件纳入网络安全事件应急响应机制统一管理,制定相关应急预案,每年至少开展一次针对数据安全事件的应急演练。合作方发生与数据处理者相关数据安全事件的,应立即开展调查评估并督促其采取补救措施。
三、中国人民银行的监管职责
《办法》对中国人民银行及其分支机构的监管职责做了进一步的明确,强调中国人民银行及其分支机构,依据《办法》开展数据安全监督管理工作,积极支持其他有关主管部门依据职责开展数据安全监督管理工作,必要时可以与其他有关主管部门签署合作协议,进一步约定数据安全监督管理协作模式。具体职责包括:
1)按照管辖权对数据处理者数据安全保护义务落实情况开展执法检查;
2)必要时与其他有关主管部门联合组织对数据处理者的执法检查;
3)发现数据处理者的数据处理活动存在较大安全风险时,依照《中华人民共和国数据安全法》第四十四条予以处理;
4)发现影响或者可能影响国家安全的数据处理活动线索时,及时报国家数据安全工作协调机制办公室,研判是否启动国家数据安全审查。
此外,《办法》还要求中国银行间市场交易商协会、中国支付清算协会、中国互联网金融协会等金融行业协会应当加强自律管理,建立便捷的投诉、举报渠道,反映会员合理的数据安全意见建议。
四、数据处理者的法律责任
《办法》对数据处理者违法违规情形的法律责任适用进行了明确。具体如下:
(点击可查看大图)
点击下方“阅读原文”,可获取《办法》全文
本文首发自公众号:数据与电商研究室
如需转发,请注明信息来自数据与电商研究室,如有意见建议或合作,请邮件CPdatalaw@zhonglun.com.
往 期 精 彩
往期文章
本期作者:高维钊
本期编辑:王梦迪 陈雨婕 唐静思
长按二维码一键关注
期待您的“赞”和“分享”