解读央行版数据安全法规：细化数据分级，有望促进数据开发利用

银行业数据安全规范问题迎来首个针对性重磅法规。

中国人民银行近日发布《中国人民银行业务领域数据安全管理办法（征求意见稿）》（下称《管理办法》），并向社会公开征求意见。有业内人士指出，本办法填补了中国人民银行业务领域数据安全管理制度保障空白。

近两年，数据安全、信息保护成为金融领域关注的话题，也是监管重点关注的领域。

毕马威在《2022年度银行业监管处罚分析洞察》报告中指出，2022年人民银行、银保监会、国家外汇管理局（含总部及其派出机构）针对银行业金融机构及从业人员下发的罚单中，涉及“个人金融信息处理违规”的罚单共计160张，案由既涉及金融消费者信息管理机制建设，也涉及侵犯金融消费者个人信息的具体行为，包含“提供个人不良信息，未告知信息主体本人”“未按规定查询个人信息”“未按规定保存客户信息”等；罚没金额合计12139万元。

精细化数据分级分类

对数据分级分类制度提出精细化要求是《管理办法》的重要特点。

其中提出，数据处理者应当建立健全本单位数据分类分级实施制度，规范分类分级工作操作规程；参考行业标准，根据业务开展情况建立业务分类，梳理细化数据资源目录，标识各数据项是否为个人信息、数据来源（生产经营加工产生、外部收集产生等）、存储该数据项的信息系统清单和应用的业务类别。

金杜律师事务所认为，银行业机构应该首先依据识别标准报送重要数据目录内容，再由中国人民银行进行汇总并最终确认，形成双向的重要数据目录，在一定程度上可确保监管部门准确识别重要数据，既不会遗漏可能对国家安全造成严重影响的数据，也不会过分扩大重要数据的范畴，致使银行业机构在实践中开展业务时受到过多阻碍。

另一方面，在前述数据分级的基础上，《管理办法》还进一步提出了数据敏感性分层级、数据可用性分层级的具体分级要求。

在数据分级要求方面，数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。在数据分级基础上，数据处理者应当参考行业标准，将数据项敏感性从低至高进一步分为一至五共五个层级。

有业内人士指出，此处提到的参考“行业标准”正是《数据安全分级指南》，这份指南中指出，一级数据的安全性遭到破坏后的整体影响最小，五级数据的安全性遭到破坏后可能将对国家安全或对公众权益造成非常严重的影响。

金杜律师事务所认为，数据可用性分级有助于银行业机构为客户提供稳定、持续的服务。如银行业机构经评估后认为信息系统存储数据遭到篡改、破坏后可能对业务连续性造成的影响程度较高，可及时采取容灾备份的工作。

在数据分级分类的基础上，《管理办法》对不同敏感性分层级的数据规定了不同的保护要求，例如，针对可访问二级以上数据的账号，数据处理者应当支持身份验证；而针对可访问三级以上数据的账号，则应支持多因素认证或二次授权，并签署保密协议。

大成律师事务所合伙人肖飒表示，“后续的数据安全保护管理措施以及数据安全保护技术措施，都是在分类分级的基础上进行开展，因而理解此等分类分级制度至关重要。”

继承与突破

央行指出，《管理办法》全面衔接《中华人民共和国数据安全法》，细化明确中国人民银行业务领域数据安全合规底线要求，填补本领域数据安全管理制度保障空白，指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动，履行数据安全保护义务。

目前，《中华人民共和国网络安全法》《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法（草案）》是中国数据和网络安全的三部基础法律。

金杜研究院指出，一方面，这些数据保护与监管的上位法，多为概括性的原则或基本义务的规定，难以深入各领域精准治理；另一方面，银行业等金融领域虽存在具体指引，但相关指引行业标准，仍有待监管部门在正式立法或执法中予以确认。中国人民银行作为牵头部门起草《管理办法》，不仅是在积极履行《数据安全法》第六条规定的金融等主管部门“对本行业、本领域数据安全监管职责”，更为银行业等金融领域数据安全管理活动提供了切实的具体方向。

央行在《管理办法》的起草说明中指出，该办法的条款设立遵循几个原则：

一是与现有制度有效衔接。“重要数据应当境内存储”“规定情形下申报数据出境安全评估”等条款，均为已出台上位法所明确法定义务的再次重申，未额外增加合规要求。

二是促进数据开发利用。《管理办法》明确提出鼓励数据处理者在保障安全合规前提下，积极促进数据高效流通和创新应用，并提出较敏感数据项加工后无法识别至特定个人、组织时，可降低敏感性层级，更好促进数据依法合规开发利用。

三是细化规范措施要求。对于上位法“采取相应的技术措施和必要措施”要求，既细化提出原则上应当采取的技术措施和管理措施，又明确特殊情形可通过内部审核审批、统一明确场景等方式弱化措施落实，避免合规义务“一刀切”。

值得注意的是，在生成式AI火热发展的当下，《管理办法》首度提出了在金融行业相关业务的专门性规定。《管理办法》规定，对于银行业等相关主体对基于加工生成的数据项面向个人提供自动化决策服务时，应履行相应的算法透明度及算法审计义务。

金杜律师事务所建议，在本条基础上，监管部门或可考虑增加中国人民银行业务领域范围内生成式人工智能服务的训练数据安全要求，进一步与近日国家网信办发布的《生成式人工智能服务管理暂行办法》相衔接，完善和细化银行业等相关主体的算法规制要求，以便进一步构建银行业等金融领域算法与人工智能的监管要求，保障中国人民银行业务领域算法与人工智能服务的健康发展。（本文首发钛媒体App ，作者 | 蔡鹏程）