內容解讀
《辦法》分成總則、數據分類分級、數據安全保護總體要求、數據安全保護管理措施、數據安全保護技術措施、風險監測評估審計與事件處置措施、法律責任、附則八章,共五十七條,主要內容包括:
一是規範數據分類分級要求。強調數據處理者應當建立數據分類分級制度規程,梳理數據資源目錄標識分類信息,在國家數據安全工作協調機制統籌協調下,根據中國人民銀行制定的重要數據識別標準,統一對數據實施分級,嚴格落實網路安全等級保護和風險評估等義務,並在此基礎上推動各數據處理者進一步做好數據敏感性、可用性層級劃分,以便在全流程數據安全管理中更好採取精細化、差異化的安全保護管理和技術措施。
二是提出數據安全保護總體要求。強調數據處理者應當壓實數據安全責任,建立數據安全問責處罰制度和數據處理活動全流程安全管理制度,制定數據安全培訓計畫。
三是壓實數據處理活動全流程安全合規底線。針對收集、存儲、使用、加工、傳輸、提供、公開和刪除各環節,向數據處理者明確採取哪些安全保護管理和技術措施後,可視為總體滿足盡職盡責的合規底線要求。
四是細化風險監測、評估審計、事件處置等合規要求。強調數據處理者應當建立數據處理活動安全風險監測和告警機制,加強數據安全風險情報監測、核查、處置與行業共享,制定數據安全事件定級判定標準和應急預案,規範應急演練、事件處置、風險評估和審計等工作。
五是明確中國人民銀行及其分支機構可對數據處理者數據安全保護義務落實情況開展執法檢查,以及數據處理者違反規定時對應的法律責任。
徵求意見通知
中國人民銀行關於《中國人民銀行業務領域數據安全管理辦法(徵求意見稿)》公開徵求意見的通知
2023-07-24 10:00:00
為落實《
中華人民共和國數據安全法》有關要求,加強中國人民銀行業務領域數據安全管理,中國人民銀行起草了《中國人民銀行業務領域數據安全管理辦法(徵求意見稿)》,現面向社會公開徵求意見。公眾可以通過以下途徑反饋意見:
一、登入中華人民共和國法務部 中國政府法制信息網,進入首頁主選單的“立法意見徵集”欄目提出意見。
二、通過電子郵件將意見傳送至:【略】。
三、通過信函方式將意見郵寄至:北京市西城區成方街32號中國人民銀行科技司(郵編:100800),並請在信封上註明“中國人民銀行業務領域數據安全管理辦法徵求意見”字樣。
四、將意見傳真至:【略】。
意見反饋截止時間為2023年8月24日。
中國人民銀行
2023年7月24日
2023年9月,中國網際網路金融協會(以下簡稱協會)組織召開《中國人民銀行業務領域數據安全管理辦法(徵求意見稿)》座談會。人民銀行科技司有關專家出席會議,來自商業銀行、徵信公司、高校智庫、諮詢公司等機構的代表參會。
徵求意見稿全文
中國人民銀行業務領域數據安全管理辦法(徵求意見稿)
第一章 總則
第二條(適用範圍)數據處理者在中華人民共和國境內開展的中國人民銀行業務領域數據相關的處理活動,適用本辦法。法律、行政法規或者中國人民銀行另有規定的,從其規定。
本辦法所稱中國人民銀行業務領域數據,指根據法律、行政法規、國務院決定和中國人民銀行規章,開展中國人民銀行承擔監督管理職責的各類業務活動時,所產生和收集的不涉及國家秘密的網路數據,以下簡稱數據。
第三條(管理原則與目標)數據安全工作遵循“誰管業務,誰管業務數據,誰管數據安全”基本原則。開展數據處理活動應當履行數據安全保護義務,採取有效措施防範數據被篡改、破壞、泄露、不當獲取與利用等風險,確保不損害
國家安全、
公共利益、
金融秩序、個人及組織
合法權益,遵守社會公德倫理、
商業道德和
職業道德。
第四條(協同監督管理)在國家數據安全工作協調機制統籌協調下,中國人民銀行及其分支機構,依據本辦法開展數據安全監督管理工作,積極支持其他有關主管部門依據職責開展數據安全監督管理工作,必要時可以與其他有關主管部門簽署合作協定,進一步約定數據安全監督管理協作模式。
第二章 數據分類分級
第五條(數據分類分級保護總體規劃)中國人民銀行負責組織制定數據分類分級相關行業標準,指導數據處理者開展數據分類分級各項工作,統籌確定重要數據具體目錄並實施動態管理。
第六條(數據分類分級制度規程)數據處理者應當建立健全本單位數據分類分級實施制度,規範分類分級工作操作規程。數據分類分級過程實施和結果審批,應當嚴格遵循操作規程。
第七條(數據分類要求)數據處理者應當參考行業標3準,根據業務開展情況建立業務分類,梳理細化數據資源目錄,標識各數據項是否為個人信息、數據來源(生產經營加工產生、外部收集產生等)、存儲該數據項的信息系統清單和套用的業務類別。
第八條(數據分級要求)數據按照精度、規模和對國家安全的影響程度,分為一般、重要、核心三級。在中國人民銀行組織下,數據處理者應當準確識別判定本單位信息系統存儲的全量數據是否屬於重要數據、核心數據,並填寫報送重要數據目錄內容,由中國人民銀行匯總後確定重要數據具體目錄。數據處理活動中,數據處理者還應當及時準確識別判定所涉及數據是否屬於重要數據、核心數據。
第九條(數據敏感性分層級)在數據分級基礎上,數據處理者應當參考行業標準,根據數據遭到泄露或者被非法獲取、非法利用時,可能對個人、組織合法權益或者公共利益等造成的危害程度,將數據項敏感性從低至高進一步分為一至五共五個層級。結構化數據項應當逐一標識層級;非結構化數據項應當優先按照可拆分的各結構化數據項所對應最高層級,標識其層級。
第十條(數據可用性分層級)數據可用性分層級工作納入信息系統業務連續性分級保障體系統一考慮。數據處理者應當評估信息系統存儲數據遭到篡改、破壞後可能對業務連續性造成的影響程度,明確恢復點目標要求。恢復點目標越嚴格,數據的可用性層級越高。在此基礎上,鼓勵數據處理者識別用於支撐最基本業務運轉、無法承受徹底滅失風險、需要進一步進行容災備份的數據。
第十一條(動態更新要求)數據處理者應當根據數據和信息系統變化情況,每年組織更新數據資源目錄,避免信息系統所涉及數據項未在數據資源目錄中記錄、數據項標識信息不完整等情形發生。
第三章 數據安全保護總體要求
第十二條(責任落實總體要求)數據處理者應當明確其數據安全管理相關內設部門職責分工,配備足夠數量的數據安全管理人員,並細化各類違規數據處理活動的定責問責規程,壓實數據安全保護責任。重要數據的處理者還應當書面明確數據安全負責人和數據安全牽頭管理內設部門。
第十三條(全流程安全管理制度要求)數據處理者應當建立健全全流程數據安全管理制度,結合數據分類分級結果,明確差異化的安全保護管理和技術措施要求,並制定數據處理活動操作規程,規範各類內部審批和授權流程。第五層級數據項應當在第四層級數據項對應的安全保護管理和技術措施基礎上進一步從嚴管理。不同敏感性層級數據項在同一個數據處理活動中被處理,且難以採取差異化安全保護管理和技術措施的,應當統一採取最高敏感性層級數據項對應的安全保護管理和技術措施。與母公司、子公司、關聯公司或者附屬公司等具有關聯關係的數據處理者合作開展數據處理活動時,不得降低安全保護管理和技術措施要求。
第十四條(安全培訓總體要求)數據處理者應當根據崗位分工,制定數據安全年度培訓計畫,組織開展相關教育培訓,並對培訓結果進行評價。培訓內容應當包括:
(一) 數據安全相關法律、行政法規、部門規章、國家和金融行業標準、內部規定、行為準則和職業操守;
(二) 不同崗位的數據安全責任,失職失責或者違法違規數據處理活動應當承擔的後果;
(三) 針對性的數據安全保護管理和技術措施要求,以及對應的操作規程;
(四) 數據安全事件應急處置規程。
第十五條(鼓勵創新)鼓勵數據處理者積極開展數據安全技術創新套用,在保障安全合規前提下,積極促進數據的高效流通和創新套用,鼓勵優秀創新成果申報行業表彰獎勵。
第四章 數據安全保護管理措施
第十六條(人員管理要求)數據處理者應當按照最小必要和職責分離原則,嚴格管理信息系統各類業務處理賬號、資料庫管理員等特權賬號的設立和許可權,人員變動時應當及時調整許可權或者收回賬號。
數據處理者應當加強賬號身份認證管理,可使用第二層級以上數據項的賬號應當支持身份驗證。可使用第三層級以上數據項的賬號應當支持多因素認證或者實現二次授權,相關賬號使用人員應當簽署保密協定。
第十七條(數據收集保護管理措施要求)數據處理者收集數據應當遵循合法、正當原則,並採取下列安全保護管理措施:
(一)除法律、行政法規明確無需說明的情形外,應當在隱私政策協定或者契約協定中以顯著方式、清晰易懂的語言說明數據收集的目的、範圍、方式、存儲期限,以及數據來源不合法、數據不真實情形對應的違約責任;
(二)接受其他數據處理者委託協助收集數據時,應當通過契約協定與其約定,是否需要代其向相關個人、組織說明委託關係;
(三)非直接面向個人、組織收集數據時,應當要求數據提供方依照法律、行政法規取得個人、組織的同意,對於非書面同意情形,應當要求其出具數據來源說明材料,並依據材料評估其合法性、真實性;
(四)應當針對數據合法性、真實性存疑等情形,明確業務暫停使用相關數據時的應急處置方案;
(五)應當優先採用數據提供方直接錄入或者信息系統間互動的方式收集數據;
(六)因履行無障礙義務或者客觀條件限制,採用紙質檔案、影像或者代為手工錄入等方式收集數據時,應當採取自動識別、人工核驗等措施,保障數據錄入的及時性和準確性,並按照檔案管理要求保存原始數據收集憑證;
(七)停止提供其產品服務,契約協定履約終止或者回響個人、組織合法權益要求時,應當主動停止數據收集活動;
(八)保存數據收集行為對應的契約協定、內部審批記錄、數據提供方出具的數據來源說明材料和對應評估結論等信息至少三年。
第十八條(數據存儲保護管理措施要求)數據處理者應當根據業務需要,明確數據存儲期限。除履行法定職責或者法定義務所必需外,第三層級以上數據項原則上不得在終端設備和移動介質中存儲。確需存儲的,數據處理者在履行內部審批程式基礎上,應當統一明確需在終端設備和移動介質中存儲的特定場景、支持此類場景的必要性、應當採取的風險防範措施,並據此開展。風險防範措施至少應當包括僅在授權的終端設備和移動介質中存儲,存儲期限不得超過審批允許的期限。
數據處理者應當保存終端設備、移動介質中存儲第三層級以上數據項行為的目的說明、內部審批記錄、授權設備或者介質識別編號、允許存儲期限等信息至少三年。
第十九條(數據使用保護管理措施要求)第三層級數據項原則上不提供導出使用方式,第四層級以上數據項原則上僅提供核驗使用方式,確需提供其他使用方式時,應當說明相關必要性,經內部審批並明確對應的風險防範措施後,據此開展。涉及第三層級以上數據項導出使用的風險防範措施,原則上應當優先採取加密、數字水印或者脫敏處理等安全保護措施,確需未經安全保護即導出的,數據處理者應當統一明確相關導出需求場景,並據此開展。
除面向個人、組織展示其數據,履行法定職責或者法定義務必需展示數據的兩類情形外,信息系統界面展示第三層級以上數據項時,原則上應當優先實施脫敏處理後再展示。確需明文展示的,數據處理者應當統一明確相關展示需求場景、支持此類場景的必要性和應當採取的風險防範措施,並據此開展。
第二十條(數據加工保護管理措施要求)數據加工前,數據處理者應當審查加工目的與收集約定是否一致,確保數據加工不以壟斷經營和不正當競爭為目的,不發生誤導、欺詐、脅迫或者干擾等限制個人或者組織正當選擇與決策的行為,遵循社會公德倫理。第四層級以上數據項加工,應當經內部審批並明確對應的風險防範措施後,據此開展。
基於加工生成的數據項面向個人提供自動化決策服務時,應當以適當方式說明加工目的、加工依賴數據基本情況和加工基本邏輯,提升決策的透明度。
數據處理者應當保存數據加工行為目的說明、內部審查審批記錄、審查對應的加工應用程式原始碼、新產生數據項列表等信息至少三年。
第二十一條(促進數據開發利用)使用第三層級以上數據項加工後產生的數據項,經評估確認無法識別至特定個人、組織,或者反映信息敏感程度明顯低於原數據項時,數據處理者履行內部審批手續後,可視情降低敏感性層級,促進數據依法合規開發利用。
第二十二條(數據傳輸保護管理措施要求)除履行法定職責或者法定義務所必需外,數據處理者原則上不得採用網際網路郵件、即時通訊、線上檔案傳輸、互動性信息服務等網際網路信息服務或者通過移動介質交換傳輸第三層級以上數據項,確有需要的,數據處理者應當統一明確相關傳輸需求場景、支持此類場景的必要性和應當採取的風險防範措施,並據此開展。
第二十三條(一般性數據提供保護管理措施要求)數據處理者應當針對自身業務開展所需的數據提供行為採取下列安全保護管理措施:
(一)涉及個人信息的數據提供行為,應當評估確認遵守有關法律、行政法規的規定。其他數據提供行為,應當評估確認不違反與相關組織間事前約定的有關保守商業秘密要求;
(二)通過契約協定方式與數據接收方約定數據提供的目的、方式、範圍、規模、允許存儲時限、將數據再轉移提供至第三方的限定條件,要求接收方及時告知可能發生的數據泄露事件,明確各方數據安全保護責任和至少應當採取的安全保護措施;
(三)向個人、組織提供其數據時,可視情簡化契約協定簽訂和對應內部審批要求,但應當先行核實其身份的真實性;
(四)對於委託處理情形,在契約協定中進一步明確委託處理受託人重要事項報告、及時返還和刪除數據的實施方式、接受並配合數據處理者監督其委託處理活動等義務;
(五)有效監督委託處理受託人履約情況,定期評估確認其數據處理活動符合事前約定,並已採取承諾的全部安全保護措施;
(六)對於委託處理以外情形,第三層級數據項應當優先通過查詢、固定報表和核驗方式向其他數據處理者提供,第四層級以上數據項應當優先通過核驗方式向其他數據處理者提供,確需以其他方式提供的,在履行內部審批程式基礎上,數據處理者應當統一明確相關提供需求場景、支持此類場景的必要性和應當採取的風險防範措施,並據此開展;
(七)切實保障提供數據的質量,對提供數據真實性作必要核驗,按照約定格式做好數據清洗轉換,不得提供虛假數據誤導數據接收方、合作方;
(八)保存數據提供行為評估記錄、內部審批記錄、對應的契約協定內容、監督過程中識別的風險及整改處置情況等信息至少三年。
第二十四條(特殊性數據提供保護管理措施要求)數據處理者向其他數據處理者提供重要數據前,應當依照法律、行政法規要求,說明重要數據的具體信息,從數據接收方數據處理目的方式和範圍的合法正當必要性、潛在安全隱患、數據接收方誠信守法和背景情況、契約協定完備性和擬採取的安全保護管理和技術措施等方面做好風險評估並保存報告至少三年。在此基礎上,數據處理者還應當通過法律、行政法規明確規定的
安全評估。
數據處理者向其他數據處理者提供核心數據前,還應當提請國家數據安全工作協調機制辦公室批准。除履行法定職責或者法定義務所明確情形外,數據處理者不得通過
拆分等方式
規避上述義務。
數據處理者因合併、分立、解散、被宣告破產等原因需要轉移數據的,應當通過公告等方式將數據接收方信息告知相關個人、組織,並評估確認不違反與相關組織間事前約定的有關保守商業秘密要求。重要數據的處理者發生合併、分立、解散或者申請重整、和解以及破產清算等情況時,法律、行政法規有明確要求的,應當事前向中國人民銀行報告重要數據處置方案和數據接收方基本情況。
第二十五條(數據融合創新套用管理措施要求)數據處理者採用
隱私計算等技術促進數據融合創新套用時,應當確認原始數據未離開自身控制範圍,且多個數據提供行為關聯後,暴露約定範圍外信息的風險可控。
第二十六條(數據出境限制管理措施要求)數據處理者在中華人民共和國境內收集和產生的數據,法律、行政法規有境記憶體儲要求的,應當在境記憶體儲。
數據處理者因自身需要向境外提供數據,存在國家網信部門規定情形的,應當嚴格遵守其有關規定事前開展數據出境風險自評估並申報數據出境安全評估。數據處理者不得有意拆分、縮減出境數據規模以規避申報數據出境安全評估。
對於因自身需要的數據出境提供行為,數據處理者應當於每年 1 月底前測算或者估算其上兩年內累計出境數據規模與範圍,並保存測算估算結果和對應的境外接收方聯繫方式至少三年。涉及數據出境安全評估的,數據處理者還應當保存有效期內的數據出境風險自評估報告、數據出境安全評估申報書和評估結果。
第二十七條(國際組織和外國金融管理部門數據調取)中國人民銀行根據有關法律和中華人民共和國締結或者參加的國際條約、協定,或者按照平等
互惠原則,處理國際組織和外國金融管理部門關於提供數據的請求。非經中國人民銀行和其他有關主管部門批准,數據處理者不得向其提供境記憶體儲的數據。
第二十八條(數據公開保護管理措施要求)數據處理者應當履行內部審批手續,審核數據公開行為的目的、數據內容範圍、渠道、時限和脫敏處理情況,分析研判可能產生的負面影響,並核驗數據的合法性、真實性與有效性。數據公開渠道原則上應當為本單位統一明確的官方渠道。確有需要通過其他渠道公開的,應當經內部審批並明確對應的風險防範措施後,據此開展。
第二層級以上數據項公開時,數據處理者應當保存數據公開行為目的說明、日期、公開渠道、數據範圍和內部審批記錄等信息至少三年。
第三層級以上數據項原則上應當實施脫敏處理後再公開,數據處理者應當統一明確第三層級以上數據項確需未經脫敏處理即允許公開的特定需求場景、支持此類場景的必要性和應當採取的風險防範措施,並據此開展。
第二十九條(數據刪除保護管理措施要求)涉及個人信息的數據,滿足法律、行政法規規定應當刪除情形時,數據處理者應當主動刪除數據。其他數據已超過與組織約定的存儲時限,或者組織提出符合法律、行政法規規定的正當請求時,數據處理者應當主動刪除數據。刪除數據從技術上難以實現的,數據處理者應當停止除存儲和採取必要的安全保護措施之外的處理。數據處理者應當每年至少對信息系統業務處理賬號、特權賬號實施一次核驗,確認已停止除存儲和必要安全保護措施之外處理的數據,不可被訪問使用。
數據處理者發生解散、被宣告破產等情況時,合法合規完成自身需要的數據轉移處理後,應當及時銷毀全部數據存儲介質。中國人民銀行或其住所地分支機構依據法律、行政法規另有數據轉移要求的,還應當按照要求將數據轉移至指定接收方後再銷毀數據存儲介質。
第五章 數據安全保護技術措施
第三十條(賬號許可權保護技術措施要求)數據處理者應當採取有效技術措施,從嚴管控業務處理賬號的數據使用許可權,鼓勵建設技術平台,採取統一認證、統一授權策略進一步加強管控。
數據處理者應當統一明確特權賬號的使用場景,並通過內部審批授權,嚴格限定其使用。可使用第三層級以上數據項的特權賬號,涉及人工操作的資料庫表刪除、修改等操作應當逐一進行事前審查和事後審計。
第三十一條(數據處理活動日誌保護技術措施要求)數據處理者應當建立統一的日誌規範,明確數據處理活動日誌應當完整記錄的溯源所需信息。第三層級數據項如需在數據處理活動日誌中記錄原則上應當實施脫敏處理,第四層級以上數據項原則上不記錄。確有需要的,數據處理者應當統一明確相關日誌記錄需求場景、支持此類場景的必要性和應當採取的風險防範措施,並據此開展。
數據處理者應當將數據處理活動日誌納入數據分類分級管理,並落實對應的管理和技術措施要求。數據處理者應當妥善保存數據處理活動日誌至少六個月。向其他數據處理者提供涉及個人信息的數據或者重要數據的行為,相關日誌應當保存至少三年。
第三十二條(數據收集保護技術措施要求)採用直接錄入方式收集第二層級以上數據項,應當核驗錄入人身份。採用信息系統間互動方式收集第三層級以上數據項,應當對數據提供方身份進行認證,並保障收集數據的完整性。
數據處理者應當採取關聯信息交叉核驗等技術措施,識別並規避數據項同一內容不合理映射至多個個人或者組織、不同數據項信息相互矛盾等問題,儘可能保障收集數據的準確性,避免損害個人、組織的合法權益。
數據處理者面向個人直接錄入方式收集數據時,應當建立健全技術措施,識別法律、行政法規禁止發布或者傳輸的信息。
數據處理者採用自動化蒐集方式從其他數據處理者收集數據時,應當遵守其數據訪問控制協定,不得干擾其網路服務正常運行,不得侵害其原有網路服務合法運營權益。
第三十三條(數據存儲保護技術措施要求)數據處理者應當針對數據存儲行為採取下列安全保護技術措施:
(一)有效隔離開發測試環境與生產環境數據存儲設施設備;
(二)存儲重要數據或者一百萬人以上個人信息的信息系統應當落實三級以上網路安全等級保護要求,存儲核心數據的信息系統應當落實四級網路安全等級保護要求或者關鍵信息基礎設施保護要求;
(三)除因業務影響、產業制約,並可提供詳細分析報告情形外,應當優先採用商用密碼技術對信息系統中第三層級以上數據項實施加密存儲,結構化數據項在對資料庫檔案整體實施加密基礎上鼓勵進一步採用更細粒度的加密方式,非結構化數據項可僅對拆分的第三層級以上結構化數據項單獨實施加密;
(四)按照業務連續性保障等級,加強信息系統數據冗餘備份管理,對於恢復點目標要求小於十分鐘的信息系統,每天至少驗證一次最新冗餘備份數據可被正常載入使用;對於其他信息系統應當逐一明確驗證頻率要求,據此定期驗證最新冗餘備份數據可被正常載入使用。
鼓勵數據處理者針對需要進一步容災備份的數據,採取獨立於信息系統災難備份體系以外的備份技術措施。
第三十四條(數據使用保護技術措施要求)數據處理者應當統一明確第三層級以上數據項的脫敏處理策略,降低脫敏數據仍可識別至個人、組織的風險。
數據處理者應當採取數字水印等措施,標識信息系統當前數據使用賬號、時間等信息,並在展示後及時清除快取信息,提升數據展示、列印等使用過程的安全防護和溯源能力。
數據處理者應當建立終端設備安全管控策略,鼓勵針對使用第三層級以上數據項的終端,採取安全沙箱、終端行為管控等安全保護措施。
生產環境第二層級以上數據項原則上應當經授權並實施脫敏處理後才能用於開發測試,確需不經脫敏處理即用於開發測試的,數據處理者應當履行內部審批手續,並採取與生產環境一致的安全保護管理和技術措施,確保開發測試數據安全。
第三十五條(數據加工保護技術措施要求)數據處理者應當建立統一的加工算法風險評估和控制策略,明確可解釋性、脆弱性等風險對應的緩釋措施以及退出算法自動化決策的替代方案。
第三十六條(數據傳輸保護技術措施要求)數據處理者18應當針對數據傳輸行為採取下列安全保護技術措施:
(一)通過運營商網路傳輸第二層級以上數據項時,採取專用線路、虛擬專用網路、安全通信協定等安全保護措施;
(二)動態更新記錄不同網路安全區域間正常數據傳輸對應的網路地址、網路協定通信映射關係,加強安全隔離與終端設備準入控制;
(三)第三層級以上數據項傳輸至其他數據處理者、傳輸至不同數據中心或者傳輸至運營商網路時,應當優先使用商用密碼技術保障機密性,並根據業務需要使用商用密碼技術加強完整性和抗抵賴性保障,未使用商用密碼技術進行傳輸保護的,數據處理者應當統一明確相關傳輸需求場景、支持此類場景的必要性和應當採取的風險防範措施,並據此開展;
(四)在傳輸失敗或者傳輸完成後,及時刪除不必要的快取數據;
(五)及時評估調整網路線路的傳輸承載容量,加強網路線路和相關軟硬體設備的冗餘備份。
第三十七條(數據提供保護技術措施要求)數據處理者應當針對數據提供行為採取下列安全保護技術措施:
(一)針對持續性數據提供行為建設較為集中的技術平台,並採用前置網關或者應用程式接口方式向其他數據處理者提供數據;
(二)提供從其他數據處理者收集獲得的數據項,中國人民銀行有明確需公開數據來源要求的,應當以顯著方式標識來源;
(三)提供第三層級以上數據項時應當對數據接收方身份進行認證;
(四)採用隱私計算技術提供數據時,應當建立統一的技術風險評估和控制策略,明確安全可驗證性、性能可接受性等風險對應的緩釋措施;
(五)對於委託處理情形的數據提供行為,應當納入信息科技外包管理體系統一管理。
第三十八條(數據公開保護技術措施要求)數據處理者應當明確自身已公開數據是否可被自動化蒐集的數據訪問控制協定,並採取有效技術措施,保障公開數據不被篡改。
第三十九條(數據刪除保護技術措施要求)刪除數據涉及數據存儲介質銷毀工作時,數據處理者應當建立統一的數據存儲介質銷毀策略,明確銷毀技術方式和過程監督措施。存儲第三層級以上數據項的存儲介質不再使用並且離開數據處理者控制範圍時,應當及時銷毀。數據處理者應當保存數據存儲介質銷毀日期、銷毀介質識別編號、採取的銷毀技術方式、操作執行及覆核人等信息至少三年。
第六章 風險監測、評估審計與事件處置措施
第四十條(數據處理活動風險監測)數據處理者應當採取有效措施,強化數據處理活動安全風險監測和告警,推進違規數據處理活動阻斷技術措施建設,及時做好風險隱患的溯源排查處置,並核驗技術措施的有效性和可靠性。監測告警規則應當重點關注下列事項:
(一)收集、提供的數據存在惡意程式或者法律、行政法規禁止傳輸的信息;
(二)危害數據安全的漏洞;
(三)終端設備和移動介質未經授權存儲第三層級以上數據項;
(四)識別到不明用途的數據存儲網路地址;
(五)未授權的數據使用行為,發生時間、網路地址、頻率、總量存在明顯異常的數據使用行為;
(六)用戶身份認證強度較弱;
(七)開發測試環境中使用未授權或者未經脫敏處理的生產環境數據;
(八)對第四層級以上數據項實施加工、提供等行為;
(九)異常的網路通信行為和非授權終端設備接入內部網路的行為;
(十)未經商用密碼技術加密傳輸第三層級以上數據項;
(十一)終端設備使用網際網路郵件、公共即時通訊、網際網路檔案傳輸工具傳輸第三層級以上數據項或者列印第三層級以上數據項;
(十二)網路線路數據傳輸承載能力不足;
(十三)使用前置網關或者應用程式接口方式提供超出契約協定約定範圍數據的異常行為;
(十四)違反數據訪問控制協定的公開數據異常訪問行為。
第四十一條(數據安全風險情報監測)數據處理者應當加強數據安全風險情報的監測,及時核實並做好必要的數據安全防範處置工作。監測規則應當重點關注下列事項:
(一)本單位非公開數據泄漏至網際網路的情況;
(二)兜售本單位數據的情況;
(三)假冒本單位身份非法收集、公開數據,或者對本單位管理的數據進行造謠傳謠的情況;
(四)與本單位或者具有關聯關係的數據處理者相關的數據安全負面輿情信息;
(五)與本單位合作的數據接收方、委託處理受託人相關的數據安全負面輿情信息。
第四十二條(數據安全通報預警監測)數據處理者應當及時接收、核查和處置中國人民銀行或其分支機構通報的數22據安全風險情報,並根據要求按時反饋核查處置結果。鼓勵數據處理者積極向中國人民銀行或其分支機構提供可共享的數據安全風險情報,提升聯防聯控效能。
第四十三條(數據安全風險評估)重要數據的數據處理者應當自行或者委託檢測機構,每年組織開展一次全面的數據安全風險評估工作,於下年度一季度末前向中國人民銀行或其住所地分支機構報送風險評估報告,並按照行政法規要求向對應的網信部門報送。除法律、行政法規已明確的內容外,風險評估報告還應當重點評估下列風險,並提出改進應對措施:
(一)數據分類分級實施制度、違規數據處理活動定責規程和問責處罰措施、數據處理活動全流程數據安全管理制度和相關操作規程的建設情況;
(二)數據安全決策、管理、執行、監督各層面職責劃分和對應崗位設定是否明確、合理,實際職責落實情況;
(三)人員培訓和日常管理情況;
(四)重要數據識別判定情況,處理重要數據的目的、範圍、規模、方式、類型、存儲期限和存儲地點等情況;
(五)重要數據相關的數據處理活動記錄信息的真實性與完整性;
(六)重要數據相關的數據處理活動全流程管理和技術措施執行情況及其有效性;
(七)存儲重要數據信息系統的網路安全等級保護測評和問題整改落實情況;
(八)重要數據相關的數據處理活動風險監測預警和溯源排查情況;
(九)數據安全事件定級判定標準建設情況,應急預案、應急處置流程設計與演練實施情況,以及本年度發生的數據安全事件及處置情況;
(十)向其他數據處理者提供重要數據的風險評估報告。
第四十四條(數據安全審計)數據處理者應當圍繞全流程數據安全管理制度和相關操作規程執行情況、數據安全相關投訴處理情況,每年至少開展一次與數據安全相關的合規審計。發生重大以上數據安全事件後,應當及時開展專項審計,督促數據處理活動過程留痕,安全保障責任落實到人。
第四十五條(數據安全風險評估與審計的安全保障)數據處理者應當細化管控數據安全風險評估人員和審計人員使用數據的許可權,並採取有效措施確保實施過程安全。鼓勵數據處理者建立技術平台,統一建立數據安全風險評估與審計的安全管控策略。數據安全風險評估報告和審計報告不得記錄第四層級以上數據項。報告保存期限不得短於實施過程中使用數據的存儲期限,且最短不得低於三年。委託檢測機構、審計機構開展數據安全風險評估或者審計工作時,數據處理者應當在契約協定中明確其數據安全保護責任,並指定本單位人員全程參與評估。
第四十六條(數據安全事件定級判定)數據處理者應當按照國家網路安全事件應急預案有關事件分級要求,綜合考慮影響範圍和程度,細化明確各等級數據安全事件對應的定級判定標準:
(一)對於數據被篡改、破壞的事件,定級標準應當考慮不同業務連續性保障等級信息系統無法正常服務的時長、影響的業務筆數與金額、影響的個人或者組織數量、損失的各敏感性層級數據項情況和對應數據規模、帶來的輿情影響等;
(二)對於數據泄露事件,定級標準應當考慮涉及的個人或者組織數量、泄露的各敏感性層級數據項情況和對應數據規模、帶來的輿情影響等;
(三)涉及核心數據、重要數據的安全事件,應當分別定級為特別重大事件、重大事件。
第四十七條(數據安全事件回響處置)數據處理者應當將數據安全事件納入網路安全事件應急回響機制統一管理,制定相關應急預案,做好事件定級、處置、總結、報告、整改工作,按照規程向中國人民銀行或其住所地分支機構、其他有關主管部門報告事件信息。數據處理者應當每年至少開展一次針對數據安全事件的應急演練,確保應急處置措施的效率和效果。合作的數據接收方、委託處理受託人發生與本單位所提供數據相關的數據安全事件時,數據處理者應當立即開展調查評估,督促其及時採取補救措施。
第七章 法律責任
第四十八條(監督管理責任履行)中國人民銀行及其分支機構,按照管轄權對數據處理者數據安全保護義務落實情況開展執法檢查。必要時可以與其他有關主管部門聯合組織對數據處理者的執法檢查。中國人民銀行及其分支機構在執法檢查過程中發現數據處理者的數據處理活動存在較大安全風險時,依照《
中華人民共和國數據安全法》第四十四條予以處理;發現影響或者可能影響國家安全的數據處理活動線索時,應當及時報國家數據安全工作協調機制辦公室,研判是否啟動國家數據安全審查。
第四十九條(違反數據安全保護義務行為的處理)在本辦法適用範圍內,數據處理者未履行數據安全保護義務,有下列情形之一的,中國人民銀行及其分支機構依照《
中華人民共和國數據安全法》第四十五條規定予以處理:
(一)未按照本辦法第十二條規定,明確或者壓實數據26安全保護責任;
(二)未按照本辦法第十三條規定,建立健全全流程數據安全管理制度;
(三)未按照本辦法第十四條規定,制定數據安全年度培訓計畫,未組織開展相關教育培訓;
(四)除本辦法第五十條、第五十一條規定情形外,未對應採取本辦法第四章和第五章所規定的數據安全保護管理措施或者技術措施;
(五)未按照本辦法第四十條、第四十一條規定,做好數據處理活動風險監測或者數據安全風險情報監測;
(六)未按照本辦法第四十二條規定,接收、核查、處置和反饋中國人民銀行或其分支機構通報的數據安全風險情報;
(七)重要數據的處理者未按照本辦法第四十三條規定,每年組織開展一次全面的數據安全風險評估並按時報送風險評估報告;
(八)發生數據安全事件時,未按照本辦法第四十七條規定,做好回響處置各項工作。數據處理者未履行本辦法提出的數據安全保護義務,其他有關法律、行政法規作出規定的,中國人民銀行及其分支機構依照相關規定予以處理。
第五十條(違反規定數據出境行為的處理)中國人民銀行及其分支機構執法檢查發現數據處理者未履行本辦法第二十六條規定的數據境記憶體儲義務,按照《
中華人民共和國網路安全法》第六十六條規定和有關法律、行政法規的規定予以處理;發現數據處理者未履行本辦法第二十六條規定的數據出境安全評估申報義務,將相關案件信息移送同級網信部門,並配合其依法依規予以處理。
第五十一條(違反規定向國際組織或者外國金融管理部門提供數據行為的處理)數據處理者未履行本辦法第二十七條規定,未經中國人民銀行和其他有關主管部門批准,向國際組織或者外國金融管理部門提供境記憶體儲的數據時,中國人民銀行及其分支機構依照《
中華人民共和國數據安全法》第四十八條第二款規定予以處理;所提供數據涉及個人信息的,依照《
中華人民共和國個人信息保護法》第六十六條規定予以處理。
第五十二條(非法獲取數據行為的處理)中國人民銀行及其分支機構執法檢查發現數據處理者存在竊取或者以其他非法方式獲取數據的行為時,將相關案件信息移送同級公安機關、國家安全機關,並配合其依法依規予以處理。
第五十四條(監督管理人員違反規定行為的處理)中國人民銀行及其分支機構人員在監督管理過程中存在玩忽職守、濫用職權、徇私舞弊情形的,按照法律、行政法規規定給予處分;涉嫌犯罪的,依法移送監察機關或者司法機關處理。
第八章 附則
第五十五條(名詞定義)術語定義:
(一)
網路數據,是指通過網路收集、存儲、傳輸、處理和產生的各種電子數據,表現形式為由一條或者多條信息記錄組成的集合;
(二)
數據項,是指描述網路數據結構最基本的、不可分割的單位;
(三)結構化數據項,是指具有預定義的抽象描述數據類型,通常使用資料庫二維邏輯表中單一欄位指代的數據項;
(四)非結構化數據項,是指沒有預定義的抽象描述數據類型,並且不適宜用資料庫二維邏輯表展現的數據項,如圖像、視頻、音頻、文檔檔案等;
(五)數據處理活動,是指數據收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動;
(六)數據處理者,是指開展數據處理活動的金融機構和其他機構;
(七)本辦法所稱“以上”均含本級。
第五十七條(生效期)本辦法自2024 年××月××日起施行。
意見稿起草說明
《中國人民銀行業務領域數據安全管理辦法(徵求意見稿)》起草說明
為貫徹落實《
中華人民共和國數據安全法》等國家法律、行政法規,加快推動自身業務監督管理職責範圍內數據安全管理的法制化建設,中國人民銀行研究起草《中國人民銀行業務領域數據安全管理辦法》(以下簡稱《辦法》),指導督促相關數據處理者依法依規開展中國人民銀行業務領域數據處理活動,履行數據安全保護義務。
一、起草背景
《
中華人民共和國數據安全法》於2021 年9 月正式實施,第六條明確“工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責”,黨中央、國務院也要求認真落實國家法律,進一步細化數據分級分類保護、數據目錄管理、全流程數據安全管理、數據安全監測預警和應急處置相關制度。
為落實黨中央、國務院有關工作部署和國家法律有關要求,中國人民銀行在過去一年充分調研總結行業數據安全成熟經驗做法基礎上,組織研究起草《辦法》,全面銜接《
中華人民共和國數據安全法》,細化明確中國人民銀行業務領域數據安全合規底線要求,填補本領域數據安全管理制度保障空白,指導數據處理者優質高效合規開展中國人民銀行業務領域數據處理活動,履行數據安全保護義務,保障消費者和企業用戶的合法權益,促進
數據要素市場高質量發展。
二、主要內容
《辦法》分成總則、數據分類分級、數據安全保護總體要求、數據安全保護管理措施、數據安全保護技術措施、風險監測評估審計與事件處置措施、法律責任、附則八章,共五十七條,主要內容包括:
一是規範數據分類分級要求。
強調數據處理者應當建立數據分類分級制度規程,梳理數據資源目錄標識分類信息,在國家數據安全工作協調機制統籌協調下,根據中國人民銀行制定的重要數據識別標準,統一對數據實施分級,嚴格落實網路安全等級保護和風險評估等義務,並在此基礎上推動各數據處理者進一步做好數據敏感性、可用性層級劃分,以便在全流程數據安全管理中更好採取精細化、差異化的安全保護管理和技術措施。
二是提出數據安全保護總體要求。
強調數據處理者應當壓實數據安全責任,建立數據安全問責處罰制度和數據處理活動全流程安全管理制度,制定數據安全培訓計畫。
三是壓實數據處理活動全流程安全合規底線。
針對收集、存儲、使用、加工、傳輸、提供、公開和刪除各環節,向數據處理者明確採取哪些安全保護管理和技術措施後,可視為總體滿足盡職盡責的合規底線要求。
四是細化風險監測、評估審計、事件處置等合規要求。
強調數據處理者應當建立數據處理活動安全風險監測和告警機制,加強數據安全風險情報監測、核查、處置與行業共享,制定數據安全事件定級判定標準和應急預案,規範應急演練、事件處置、風險評估和審計等工作。
五是明確中國人民銀行及其分支機構可對數據處理者數據安全保護義務落實情況開展執法檢查,以及數據處理者違反規定時對應的法律責任。
三、重點問題說明
(一)關於辦法條款設立原則。
一是與現有制度有效銜接。
“重要數據應當境記憶體儲”、“規定情形下申報數據出境安全評估”等條款,均為已出台上位法所明確法定義務的再次重申,未額外增加合規要求。
二是促進數據開發利用。
明確提出鼓勵數據處理者在保障安全合規前提下,積極促進數據高效流通和創新套用,並提出較
敏感數據項加工後無法識別至特定個人、組織時,可降低敏感性層級,更好促進數據依法合規開發利用。
三是細化規範措施要求。
對於上位法“採取相應的技術措施和必要措施”要求,既細化提出原則上應當採取的技術措施和管理措施,又明確特殊情形可通過內部審核審批、統一明確場景等方式弱化措施落實,避免合規義務“一刀切”。
(二)關於辦法適用範圍。
根據“誰管業務,誰管業務數據,誰管數據安全”基本原則,《辦法》明確適用範圍為中華人民共和國境內開展的,中國人民銀行承擔監督管理職責各類業務相關的數據處理活動。此類業務涉及的數據處理者,開展對應數據處理活動時,應當遵守《辦法》提出的管理要求。當前,《辦法》約束的數據處理活動主要包括:
貨幣政策業務、跨境人民幣業務、銀行間各類市場交易業務、金融業綜合統計業務、支付清算業務、
貨幣管理和
數字人民幣業務、
經理國庫業務、
徵信業務、
反洗錢業務等領域的數據處理活動。
(三)關於與現有制度標準的銜接。
一是注重與業務管理制度的銜接。
《辦法》定位為其適用範圍內數據處理活動的一般性、兜底性安全合規底線,明確國家法律、行政法規和中國人民銀行另有規定的,從其規定,不改變和取代徵信、反洗錢等業務領域現有管理制度對數據安全的差異化管理要求。
二是注重與個人信息保護管理制度的銜接。
個人信息作為一類特殊數據,除需要做好分類分級和處理過程全流程安全管理外,還要遵守《
中華人民共和國民法典》、《
中華人民共和國個人信息保護法》有關
隱私權、
知情權、
決定權、查閱複製權、刪除權、解釋說明權等的特別規定。《辦法》明確國家法律、行政法規和中國人民銀行對個人信息相關的數據處理活動另有規定的,應當遵守其規定,既與現有國家法律做好銜接,也為後續出台中國人民銀行業務領域相關的個人信息保護部門規章預留了空間。
三是注重與涉密數據管理制度的銜接。
四是注重與非網路數據管理制度的銜接。
五是注重與現行數據相關標準的銜接。
中國人民銀行已相繼出台《
金融數據安全 數據安全分級指南》(JR/T01976—2020)、《
金融數據安全 數據生命周期安全規範》(JR/T0223-2021)等金融業數據安全標準,因數據安全管理要求不斷演進,相關標準在內容與術語定義方面,需要根據《辦法》作對應調整,後續中國人民銀行將加快組織上述標準的修訂工作,確保制度與標準適配統一。
(四)關於監督管理協同。
《
中華人民共和國數據安全法》在明確金融等主管部門承擔本行業、本領域數據安全監管責任同時,也明確公安機關、國家安全機關和國家網信等有關部門,在各自職責範圍內承擔數據安全監管職責。《辦法》嚴格落實加強跨部門綜合監管的有關指導意見的要求,進一步強調中國人民銀行及其分支機構積極支持其他有關部門依據職責開展數據安全監督管理工作,必要時可以與其他有關主管部門簽署合作協定,進一步約定數據安全監督管理協作模式,並可以與其他有關主管部門聯合組織中國人民銀行業務領域數據安全現場檢查,既有助於強化條塊結合、區域聯動的協同監督管理機制,也可有效避免重複檢查問題,提高監督管理效能。