信息化觀察網

本文來自民主與法制時報。

3月22日，國家金融監(jiān)督管理總局發(fā)布《銀行保險機構數(shù)據(jù)安全管理辦法（公開征求意見稿）》（以下簡稱《征求意見稿》）對外公開征求意見，進一步規(guī)范銀行業(yè)保險業(yè)數(shù)據(jù)處理活動，保障數(shù)據(jù)安全、金融安全，促進數(shù)據(jù)合理開發(fā)利用，保護個人、組織的合法權益。

《征求意見稿》從數(shù)據(jù)安全治理、數(shù)據(jù)分類分級、數(shù)據(jù)安全技術保護、個人信息保護、數(shù)據(jù)安全風險監(jiān)測與處置等方面進一步規(guī)范銀行保險機構數(shù)據(jù)處理活動。

主要亮點

近年來，隨著金融領域數(shù)字化、智能化程度日益加深，商業(yè)銀行、保險公司等金融機構在與客戶業(yè)務往來中生成的大量數(shù)據(jù)能否得到有效管理，不僅涉及個人信息能否得到充分保護，更關系到金融體系乃至整個經濟社會的穩(wěn)定發(fā)展。同時，維護數(shù)據(jù)安全與金融安全屬于總體國家安全觀的重要內容，而金融領域特別是銀行業(yè)保險業(yè)的數(shù)據(jù)安全更是重中之重。面對實踐中時有發(fā)生的金融機構數(shù)據(jù)遭竊、侵犯個人隱私等現(xiàn)象，如何基于金融行業(yè)的特殊性構建具有針對性的數(shù)據(jù)安全管理機制，成為我國金融監(jiān)管部門亟待應對的挑戰(zhàn)之一。

因此，在《中華人民共和國網絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)相繼頒行大背景下，中國證監(jiān)會于2023年2月印發(fā)《證券期貨業(yè)網絡和信息安全管理辦法》、中國人民銀行于2023年7月發(fā)布《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》，金融監(jiān)管總局隨之發(fā)布《征求意見稿》，擬進一步規(guī)范銀行業(yè)保險業(yè)日常業(yè)務領域內的數(shù)據(jù)安全管理工作。

與數(shù)據(jù)安全法、商業(yè)銀行法等上位法相比，《征求意見稿》在以下幾個方面制度特色鮮明：

其一，基于銀行業(yè)保險業(yè)實際實施數(shù)據(jù)分類分級管理。銀行保險機構處理的數(shù)據(jù)體量十分龐大，既包括與個人信息密切相關的交易數(shù)據(jù)，又包括日常內部管理活動中的非敏感數(shù)據(jù)。根據(jù)一定標準對數(shù)據(jù)實施分類分級，使數(shù)據(jù)安全管理活動符合成本效益原則十分必要。《征求意見稿》在數(shù)據(jù)安全法規(guī)定的“在經濟社會發(fā)展中的重要程度”，以及“一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度”兩類標準的基礎上，將數(shù)據(jù)分類為客戶數(shù)據(jù)、業(yè)務數(shù)據(jù)、經營管理數(shù)據(jù)、系統(tǒng)運行和安全管理數(shù)據(jù)等，并將數(shù)據(jù)分級為核心數(shù)據(jù)、重要數(shù)據(jù)、一般數(shù)據(jù)。值得注意的是，“一般數(shù)據(jù)”并非不重要的數(shù)據(jù)，其包括敏感數(shù)據(jù)和其他一般數(shù)據(jù)，指一旦被泄露或者篡改、損毀，對經濟運行、社會穩(wěn)定、公共利益有一定影響，或者對組織自身或者公民個體造成重要影響的數(shù)據(jù)。此外，《征求意見稿》還規(guī)定了數(shù)據(jù)分類分級的動態(tài)調整制度，要求銀行保險機構應當加強數(shù)據(jù)安全級別的時效管理，建立動態(tài)調整審批機制，當數(shù)據(jù)的業(yè)務屬性、重要程度和可能造成的危害程度發(fā)生變化，導致原安全級別不再適用的，應當及時動態(tài)調整。

其二，從技術保護角度明確多道數(shù)據(jù)安全保護基線。法律與技術均為開展數(shù)據(jù)安全管理的重要手段。通過法律制度對特定主體施加必須采用特定技術的義務，有助于進一步通過技術手段實現(xiàn)管理目標。《征求意見稿》結合網絡安全法中網絡運營者應當履行的網絡安全保護義務、數(shù)據(jù)安全法中數(shù)據(jù)處理者應當履行的數(shù)據(jù)安全保護義務，要求銀行保險機構建立數(shù)據(jù)安全技術架構。即要求銀行保險機構應當筑牢信息系統(tǒng)保護、數(shù)據(jù)訪問控制、數(shù)據(jù)傳輸保護、數(shù)據(jù)存儲保護、數(shù)據(jù)銷毀管理等五大數(shù)據(jù)安全保護基線。以信息系統(tǒng)保護為例，銀行保險機構應當將敏感級及以上數(shù)據(jù)納入信息系統(tǒng)保護。在數(shù)據(jù)全生命周期內采取有效的訪問控制管理措施，對于不同區(qū)域流轉和共享中的數(shù)據(jù)，應實施同等水平的安全防護措施；多來源敏感級及以上數(shù)據(jù)匯聚集中后，銀行保險機構應加強安全措施或者采取至少不低于集中前最高級別數(shù)據(jù)保護強度的安全措施。

其三，兼顧金融領域的數(shù)據(jù)安全治理與個人信息保護?，F(xiàn)行語境下，“數(shù)據(jù)”指以電子或者其他方式對信息的記錄，而“個人信息”則指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息。在此概念基礎上，我國采取了數(shù)據(jù)安全法與個人信息保護法分別立法的模式，而《證券期貨業(yè)網絡和信息安全管理辦法》與《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》亦極少提及個人信息保護?！墩髑笠庖姼濉烦龢嫿▊鹘y(tǒng)邏輯下的數(shù)據(jù)安全管理機制外，還專章規(guī)定了銀行保險機構應當履行的個人信息保護義務。例如，《征求意見稿》規(guī)定銀行保險機構在開展涉及對個人權益有重大影響的個人信息處理活動時，應當進行個人信息保護影響評估，評估內容包括個人信息處理的合法性、必要性，對個人權益的影響及安全風險，所采取的保護措施合法性、有效性，以及是否與風險程度相適應。這不僅有助于補充、加強《銀行保險機構消費者權益保護管理辦法》中關于保護金融消費者信息安全權的條文內容，還有助于平衡數(shù)據(jù)安全管理與個人信息保護的利益。

完善建議

2023年10月30日至31日召開的中央金融工作會議提出，“要加快建設金融強國，全面加強金融監(jiān)管，完善金融體制，優(yōu)化金融服務，防范化解風險”“做好科技金融、綠色金融、普惠金融、養(yǎng)老金融、數(shù)字金融五篇大文章”。

為強化科技服務于金融、服務于實體經濟的能力，建議從以下幾方面進一步完善《征求意見稿》：

其一，強化與其他部門規(guī)章中涉及銀行保險機構數(shù)據(jù)安全管理的制度銜接與協(xié)調。《征求意見稿》采取類似于機構監(jiān)管方式規(guī)制銀行保險機構開展的數(shù)據(jù)處理活動，《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》采取類似于行為監(jiān)管方式規(guī)制與銀行業(yè)務相關的數(shù)據(jù)處理活動，這使得商業(yè)銀行等機構的業(yè)務可能均會受兩個部門規(guī)章的約束，因此，要進一步強化制度協(xié)調、減少監(jiān)管重疊或沖突。以數(shù)據(jù)分級分類制度為例，《中國人民銀行業(yè)務領域數(shù)據(jù)安全管理辦法（征求意見稿）》采用了差異較大的數(shù)據(jù)分級制度，該制度將數(shù)據(jù)按照精度、規(guī)模和對國家安全的影響程度分為一般、重要、核心三級，且根據(jù)數(shù)據(jù)遭到泄露或者被非法獲取、非法利用時，可能對個人、組織合法權益或者公共利益等造成的危害程度，將數(shù)據(jù)項敏感性從低至高分為五個層級。此外，該制度也需要與《個人金融信息保護技術規(guī)范》等行業(yè)標準進一步統(tǒng)籌協(xié)調。

其二，兼顧銀行保險數(shù)據(jù)的開發(fā)利用與個人數(shù)據(jù)權益保護。2022年12月印發(fā)的《關于構建數(shù)據(jù)基礎制度更好發(fā)揮數(shù)據(jù)要素作用的意見》提出，“探索數(shù)據(jù)產權結構性分置制度”，即充分考慮數(shù)據(jù)的生產、流通等環(huán)節(jié)，厘清數(shù)據(jù)上不同利益主體之間的關系，根據(jù)個人數(shù)據(jù)、企業(yè)數(shù)據(jù)和公共數(shù)據(jù)各自的特性進行合理權益界定。目前，《征求意見稿》主要側重于銀行業(yè)保險業(yè)數(shù)據(jù)的開發(fā)利用，特別是數(shù)據(jù)收集、外部數(shù)據(jù)采購、數(shù)據(jù)加工、數(shù)據(jù)資產管理等行為規(guī)范，雖然亦提及銀行保險機構開展敏感級及以上數(shù)據(jù)加工活動時，應當采用匿名化、去標識化或者其他必要安全措施保護數(shù)據(jù)主體權益，但其仍主要通過技術手段保護數(shù)據(jù)主體權益，建議探索個人與銀行保險機構的數(shù)據(jù)產權初步界定，以進一步平衡數(shù)據(jù)開發(fā)利用與個人信息權益保護問題。