.png)
.png)
.png)
.png)
作者:张善奋
7月24日,央行发布了《中国人民银行业务领域数据安全管理办法(征求意见稿)》(以下简称《征求意见稿》),向社会公开征求意见。《征求意见稿》全面衔接《中华人民共和国数据安全法》,是对《数据安全法》第六条的具体落实,细化明确中国人民银行业务领域数据安全合规底线要求,填补金融领域数据安全管理制度保障空白,具有积极意义。
《征求意见稿》分成总则、数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施、法律责任、附则八章,共五十七条。《征求意见稿》涉及的内容很多,但纵观全文,笔者认为可以用“整体周全,兼顾差异”“一纵一横,齐头并进”来概括。
所谓“整体兼顾差异”,是指《征求意见稿》通过明确原则、目标、适用范围、协同管理职责、制度建设、安全培训、风险监测、评估审计、应急处理、法律责任等要求,对金融数据安全做出了整体性管理要求,适用范围囊括了信贷业务、货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务等领域的通用数据处理活动。但同时,《征求意见稿》兼顾了征信、反洗钱领域的差异化管理需求,也兼顾了实践中的灵活性。
所谓“一纵”,就是在原有《个人金融信息保护技术规范(JRT0171—2020)》《金融数据安全 数据安全分级指南(JR/T 0197—2020)》等行业推荐性标准基础上,进一步完善数据安全分级规则,将金融数据按照敏感性分为5层级,并在数据安全管理过程中,根据不同层级来提出具体活动要求。
所谓“一横”,则是在原有《金融数据安全 数据生命周期安全规范》(JR/T0223-2021)等金融业数据安全标准基础上,围绕着金融数据生命周期做出新的要求和改进,进一步规范了金融业务开展中的数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
金融行业一直走在数字化转型的前沿,长期以来产生和积累了庞大、丰富的数据。为了实现金融数据安全、合规地流动,促进金融行业的稳健发展,监管部门对数据安全及合规管理的重视程度日益提升。
在过去的几年中,金融行业监管部门出台了多个金融数据类标准,以推荐性标准的方式指导行业进行个人金融信息保护、开展数据治理和安全管理、引导行业合规使用和开发数据。
近些年,金融监管部门对数据合规工作的监管力度也在提高。2023年以来,多家银行及非银金融机构因未按规定处理部分消费者个人信息、数据治理机制不健全、违反信用信息采集、提供、查询及相关管理规定等原因被处罚。根据毕马威中国公开发布的报告显示,2022年全年央行和银保监公开处罚信息中,涉及数据合规类罚单136个,2023年一季度为42个。
本次,央行拟以部门规范性文件的方式对行业数据安全管理工作进行进一步完善和明确,不仅为后续监督提供了执法依据,更是体现了金融监管部门对数据安全管理工作的重视。鉴于此,笔者也有几点建议,供金融机构参考:
一、数据安全及合规管理工作不能仅停留在征信合规和消费者权益保护领域。目前的实践中,金融监管部门在数据合规上的检查比较侧重在征信合规和消费者权益保护领域,针对全周期的数据安全管理或数据合规管理检查还不多,所以金融机构的数据合规工作往往会有一定侧重性和针对性。但从《征求意见稿》适用范围可知,接下来金融监管部门会将关注点落到了全业务线的全生命周期的数据安全管理上,这也对金融机构合规工作提出了更大的挑战。
二、需全面梳理与所有业务合作方的数据往来关系,遵循“谁管业务,谁管业务数据,谁管数据安全”的基本原则,进一步明确与各方在数据安全管理上的权责分工。这里的合作方,不仅是指数据产品的提供方,也包括助贷机构、支付机构、代理机构、催收机构、数据技术提供方、委托处理方等。
三、建议重视其他主管部门开展的数据安全监督管理工作。目前,虽然也有一些地方银行因为APP违规收集个人信息等原因,收到过网信等部门的处罚单,但是银行的重视程度是不高的。但这种情况可能会在不久的将来发生变化。《征求意见稿》第四条明确,金融监管部门会在国家数据安全工作协调机制统筹协调下,依据本办法开展数据安全监督管理工作,积极支持其他有关主管部门依据职责开展数据安全监督管理工作,必要时可以与其他有关主管部门签署合作协议,进一步约定数据安全监督管理协作模式。
