中国人民银行就《中国人民银行业务领域数据安全管理办法(征求意见稿)》公开征求意见。人行表示,《办法》指导督促相关数据处理者依法依规开展人行业务领域处理活动,履行数据安全义务。专家认为,金融业属于数据密集型行业,数据对金融发展、金融创新和金融安全至关重要。《办法》细化明确人行业务领域数据安全合规底线要求,填补该数据安全管理制度保障空白,是贯彻《数据安全法》的举措之一,因此具有积极意义。\大公报记者 倪巍晨
人行表示,数据处理者在内地境内收集和产生的数据,法律、行政法规有境内存储要求的,应当在境内存储。非经人行和其他有关主管部门批准,数据处理者不得向国际组织和外国金融管理部门提供境内存储的数据。数据处理者不得有意拆分、缩减出境数据以规避申报数据出境安全评估。重要数据的数据处理者应自行或者委托检测机构,每年组织开展一次全面的数据安全风险评估工作。
另外,《办法》明确约束的数据处理活动主要包括货币政策业务、货币管理和数字人民币业务等范围。
关于办法条款设立原则,一是与现有制度有效衔接。“重要数据应当境内存储”、“规定情形下申报数据出境安全评估”等条款,均为已出台上位法所明确法定义务的再次重申,未额外增加合规要求。
数据处理范围包括数字人币
二是促进数据开发利用。明确提出鼓励数据处理者在保障安全合规前提下,积极促进数据高效流通和创新应用,并提出较敏感数据项加工后无法识别至特定个人、组织时,可降低敏感性层级,更好促进数据依法合规开发利用。
三是细化规范措施要求。对于上位法“采取相应的技术措施和必要措施”要求,既细化提出原则上应当采取的技术措施和管理措施,又明确特殊情形可通过内部审核审批、统一明确场景等方式弱化措施落实,避免合规义务“一刀切”。
此外,明确人行及其分支机构可对数据处理者数据安全保护义务落实情况开展执法检查,以及数据处理者违反规定时对应的法律责任。
招联首席研究员董希淼受访时表示,随着新一轮科技革命的发展,以“大数据”为代表的信息资源向生产要素形态演进。数据要素和其他要素一起融入社会生产过程中,成为全球发展数字经济的战略性资源,以及人类社会创新发展的重要推动力。金融机构在与第三方合作中,如何加强网络和信息数据的安全防护,相关机构如何依法合规获取数据进行训练,都需要进一步研究。人行此时起草《办法》正当其时。如何更好地保障数据安全、保护个人信息、引导数据向善,是金融业必须直面的重要课题。要加强排查,摸清数字生态场景合作的风险底数,以最严格的标准和最严密的措施确保个人信息安全。
未成年个人信息宜更严格保护
管理方面,董希淼建议,金融机构应建立个人信息数据库分级授权管理制度,依据个人信息重要程度、业务需要、敏感程度等,实行分级管理。他举例说,对未满18周岁的未成年人的个人信息,应作为敏感个人信息予以更严格保护;对需要向境外提供的个人信息,应通过国家相关部门的安全评估。此外,在个人信息处理过程中,应在技术上对客户信息覆製、查询有硬约束,如建立分级审批、双人控制等要求。