加强数据安全管理规范助推金融科技健康发展 金融科技

产品概述：

 

  7月24日，为落实《中华人民共和国数据安全法》有关要求，加强中国人民银行业务领域数据安全管理规范，中国人民银行起草了《中国人民银行业务领域数据安全管理办法（征求意见稿）》（以下简称《办法》），并面向社会公开征求意见。本文从三个方面分析和解读《办法》，有利于更好理解和执行。

  随着我国数字化的经济加快速度进行发展，数据安全问题逐步凸显，尤其在《数据安全法》颁布以后，明确了金融部门承担数据安全监督管理的责任，网络安全保障要求也慢慢变得严格。今天，中国人民银行起草的《办法》就为了进一步落实国家法律和要求，明确中国人民银行作为业务监督管理机构的责任，细化数据安全管理制度保障，要求数据处理者遵守数据安全管理制度，建立数据安全问责处罚制度，在全流程数据安全管理中采取精细化、差异化的安全保护的方法，处置数据处理活动中安全风险隐患，填补了金融业务领域数据安全管理制度空白。

  划定数据适合使用的范围。根据“谁管业务，谁管业务数据，谁管数据安全”根本原则，《办法》明确对境内央行承担监管职责的各类业务相关数据处理活动划定了适合使用的范围。具体讲，中国人民银行业务领域数据主要涉及公开政策市场操作数据、跨境人民币数据、银行间各种类型的市场交易数据、金融业综合统计数据、支付清算数据、货币管理数据和数字人民币数据、国库收支数据、个人和企业征信数据、反洗钱有关数据等，这些数据处理者主要是各类金融机构和金融科技公司，也涉及到个人和企业。

  从数据责任看，每个业务部门应该对自己的业务数据真实性负责，同时也要对数据的安全性负责，确保数据完整、准确和及时，防止数据泄露或被篡改的情况。

  从数据特点来看，这一些数据结构性强，不少数据是涉密、涉隐私数据，关键数据安全性能要求比较高，其数据价值也较高，属于国家金融行业或金融机构的无形财产。

  分级分类规范数据。在规范数据分类分级方面，《办法》强调数据处理者应当建立数据分类分级制度，梳理数据资源目录、标识分类信息，统一对数据实施分级，落实网络安全等级保护和风险评估义务，进一步做好数据敏感性、可用性层级划分，以便在全流程数据安全管理中更优采取精细化、差异化的安全保护管理和技术措施，有效应对数据处理活动中各类安全隐患。

  隐私与脱敏衔接呼应。今天，互联网机构快速崛起，金融业务领域涉及大量用户个人信息、商户信息与市场信息，特别是随着算法与AI技术的加快速度进行发展，AI训练决策的“黑箱化”日渐增多，多样化数据算法带来了更复杂的数据安全管理要求。因此，如何保障数据安全性和个人隐私保护，遵循“最小化”收集原则，提升机构预防与识别欺诈行为能力，就成为《办法》立法者一定要解决的一个问题。于是，《办法》第二十五条规定，数据处理者采用隐私计算等技术促进数据融合创新应用时，应当确认原始数据未离开自身控制范围，且多个数据提供行为关联后，暴露约定范围外信息的风险可控。《办法》第三十七条又要求机构在采用隐私计算技术提供数据时，应当建立统一的技术风险评估制度，明确安全可验证性、性能可接受性的缓释措施。

  同时，数据流通、数据应用过程中还存在大量非公开敏感信息和数据，涉及国家、企业、行业及个人秘密。在这种情况下，数据脱敏就是一个不错的选择方案，也就是用匿名、隐名的方式，将数据和个人、企业的对应关系解除，让数据能进入数据流通市场，经过正规渠道，被金融机构、金融科技公司用于市场创新活动。为此，《办法》鼓励数据处理者在保障安全合规前提下，遵循安全、有限和规范的原则，提出敏感数据加工后没办法识别特定个人、组织，降低敏感性层级，更好达成数据流通，促进数据合规开发和创新应用。这既给数据流通应用公司能够带来新的机遇，更加有助于金融数据要素相关业务的持续健康发展。

  跨境数据管理严格明确。《办法》明确规定，数据处理者如果向境外提供数据，并涉及国家网信部门规定情形时，必须事前开展数据出境风险自评估，并申报数据出境安全评估。同时，《办法》还规定数据处理者不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估。

  显然，《办法》加强了对跨境数据管理的监督管理力度，进一步强化了法规监管措施，旨在保障数据安全，防止数据出境会造成的安全风险，确保金融领域数据安全，防止国内数据泄露风险，对确保我国金融行业稳健运行提供了制度性保障。

  继承与突破相得益彰。与现有数字保护制度的衔接是《办法》的一大亮点。《办法》统合了《数据安全法》、《个人隐私信息保护法》以及其他法律和法规，基本上在现行法律和法规的框架下展开，呈现出5个注重特征：一是注重与业务管理制度的衔接；二是注重与个人隐私信息保护管理制度的衔接；三是注重与涉密管理制度的衔接；四是注重与非网络数据管理制度的衔接；五是注重与现行数据有关标准的衔接。

  在生成式AI算法与利用个人隐私信息提供自动化决策方面，过去我们从未有针对金融行业相关业务的专门性规定，此次《办法》多次提及自动化决策、算法风险评估等方面内容，具有一定的突破性。此外，在金融数据跨境流动方面，《办法》在《数据出境安全评估办法》基础上提出更高、更细的要求。《办法》第二十六条第一款要求“重要数据应当境内存储”，第二款要求“数据处理者在开展数据出境前进行风险自评估和申报数据出境安全评估”，均为上位法所明确规定的法定义务，并且有具体的操作条款，充分展示突破原有法律规范的制度创新一面。

  有助于金融科技行业数据规范使用。在此之前，由于缺乏有关数据安全管理规定，金融机构、金融科技公司在使用数据时存在法律模糊地带。《办法》的出台，对于数据安全评估、数据技术规范将得到加强完善，确保在今后正式执行阶段，带给金融科学技术板块以及传统金融数字化转型板块更多机遇。

  形成数据保护良性互动。《办法》的实施能及时与金融科技行业的最新发展同步，引导市场参与者积极遵循数据保护规则，踊跃加入有关行业协会或组织，积极分享数据安全合规建设中的实践经验，实时推进金融科技公司内部的合规建设，并促进行业协会作为传达行业最新发展动态的重要媒介，与数字安全监管形成有益、信任和平等的良好互动。

  鼓励后续配套执行。《办法》正式颁布以后，鼓励各个地区出台具体的实施细则和指导手册，确保相关管理规定得到切实执行。对于符合《办法》规定的机构将得到推动和支持，而不符合《办法》要求的机构自然要加紧整改，否则将面临相关的法律处罚。同时，促使各级政府加强对数据处理者的监督管理，及时纠正存在的数据安全风险隐患问题，保障数据安全政策有效落实。这将有益于全国各地金融科技公司和金融机构遵守数据安全管理义务，确保金融领域数据安全措施得到切实贯彻。