谁管业务谁管数据!央行新规拟细化数据分级,要求合规审计

时间:2023-07-27 12:42 作者:

7月24日,中国人民银行官网发布《中国人民银行业务领域w66国际数据安全管理办法(征求意见稿)》(下称《征求意见稿》)并面向社会公开征求意见,反馈截止时间为8月24日。

《征求意见稿》遵循“谁管业务,谁管业务数据,谁管数据安全”的基本原则,其约束的数据处理活动主要包括货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。

有专家对南都记者表示,根据数据项敏感性从低至高分为五级的数据分级规则是《征求意见稿》最大的亮点之一。这不仅对《数据安全法》中有关数据分级的原则性规定作出了进一步细化,还对于相关合规主体有效设计自身的合规体系具有关键性意义。

2021年,我国《数据安全法》正式施行。《数据安全法》第六条明确规定,工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

为了贯彻落实《数据安全法》等法律法规,加快推动金融领域数据安全管理的法制化建设,中国人民银行(下称“央行”)起草了《中国人民银行业务领域数据安全管理办法(征求意见稿)》。这是继工信部之后,又一部由行业、领域主管部门制定发布的数据安全相关法规。

《征求意见稿》共57条,包括数据分类分级、数据安全保护总体要求、数据安全保护管理措施、数据安全保护技术措施、风险监测评估审计与事件处置措施等八个章节。其制定依据为《网络安全法》《数据安全法》《中国人民银行法》等法律法规,适用范围为数据处理者在中华人民共和国境内开展的中国人民银行业务领域数据相关的处理活动。

南都记者注意到,《征求意见稿》规定数据安全工作以“谁管业务,谁管业务数据,谁管数据安全”为遵循的基本原则。

对此,浙江理工大学数据法治研究院副院长郭兵认为,这一原则明确了央行监管体系下的监管主体,有利于解决“九龙治水”的问题。北京师范大学法学院博士生导师、中国互联网协会研究中心副主任吴沈括进一步解释,其重点体现了“业、权、责一致”,有利于解决实务中权责不清、责任主体不明等问题。

针对法律责任,《征求意见稿》规定,中国人民银行及其分支机构,按照管辖权对数据处理者数据安全保护义务落实情况开展执法检查,必要时可以与其他有关主管部门联合组织对数据处理者的执法检查;发现影响或者可能影响国家安全的数据处理活动线索时,应当及时报国家数据安全工作协调机制办公室。

中国人民银行及其分支机构在执法检查过程中发现数据处理者的数据处理活动存在较大安全风险,以及发现数据处理者未履行数据安全保护义务时,可予以处理。涉及犯罪行为的,将相关案件信息移送其他部门机关并配合予以处理。

吴沈括指出,这不仅明确了央行的处罚权,而且强调了在发挥行业主管部门监管职责的同时,最大限度地实现不同执法部门之间的协同监管。

作为一部由行业领域主管部门制定发布的数据安全相关法规,《征求意见稿》不仅延续了多部上位法的规定,还结合金融领域的相关要求有所突破。

《征求意见稿》的核心内容之一是规范数据分类分级要求。其中提出,数据处理者应当建立健全本单位数据分类分级实施制度,规范分类分级工作操作规程;参考行业标准,根据业务开展情况建立业务分类,梳理细化数据资源目录,标识各数据项是否为个人信息、数据来源(生产经营加工产生、外部收集产生等)、存储该数据项的信息系统清单和应用的业务类别。

在数据分级要求方面,数据按照精度、规模和对国家安全的影响程度,分为一般、重要、核心三级。同时,在数据分级基础上,数据处理者应当参考行业标准,根据数据遭到泄露或者被非法获取、非法利用时,可能对个人、组织合法权益或者公共利益等造成的危害程度,将数据项敏感性从低至高进一步分为一至五共五个层级。

在郭兵看来,根据数据项敏感性分为五级是《征求意见稿》最大的亮点之一,其对《数据安全法》中有关数据分级的规定作出了进一步细化。同时,该规定中提到的“参考行业标准”指2020年施行的安全标准《金融数据安全 数据安全分级指南》,“它本来是一部推荐性标准,写进《征求意见稿》提高了其法律效力。”

吴沈括指出,央行作为金融监管部门,对于本领域的数据分类分级要求进行细化符合其职能定位。目前,数据分类分级要求在国家层面尚无统一标准,因此《征求意见稿》在具体的业务领域中作出细化规定,对于相关合规主体有效设计自身的合规体系具有关键性意义。

近年来,算法、人工智能一直是科技圈产业界的最热词,《征求意见稿》专门针对自动化决策、生成式人工智能技术作出规定。

基于加工生成的数据项面向个人提供自动化决策服务时,应当以适当方式说明加工目的、加工依赖数据基本情况和加工基本逻辑,提升决策的透明度。数据处理者应当建立统一的加工算法风险评估和控制策略,明确可解释性、脆弱性等风险对应的缓释措施以及退出算法自动化决策的替代方案。

不仅如此,数据处理者采用自动化搜集方式从其他数据处理者收集数据时,应当遵守其数据访问控制协议,不得干扰其网络服务正常运行,不得侵害其原有网络服务合法运营权益。数据处理者应当明确自身已公开数据是否可被自动化搜集的数据访问控制协议,并采取有效技术措施,保障公开数据不被篡改。

吴沈括认为,在人工智能技术被越来越广泛地应用于金融领域的背景下,针对这类问题作出规定具有现实性。

具体而言,一方面,这对于提高算法应用的透明度具有直接的指导意义,另一方面,“在金融领域,数据的敏感性、数据的量级决定了当数据和算法问题融汇之后,它的复杂性和风险性会更高。因此,有效的业务指引有利于将风险管理的门槛前移,提高算法、人工智能技术等方面风险治理的有效性。”

郭兵则指出,上述要求“保障公开数据不被篡改”与生成式人工智能的固有属性存在冲突,可能难以实现。

央行在《起草说明》中提到,《征求意见稿》注重五个方面的“衔接”,分别为与业务管理制度的衔接,与个人信息保护管理制度的衔接,与涉密数据管理制度的衔接,与非网络数据管理制度的衔接,与现行数据相关标准的衔接。

南都记者观察到,《征求意见稿》针对数据收集、存储、使用、加工、传输、提供、公开和删除各环节中,数据处理者应采取的安全保护管理和技术措施分设章节提出要求,其中安全保护管理措施相关规定与上位法衔接尤为紧密。

以数据出境为例,数据处理者在境内收集和产生的数据,法律、行政法规有境内存储要求的,应当在境内存储;向境外提供数据应当事前开展数据出境风险自评估并申报数据出境安全评估。数据处理者不得有意拆分、缩减出境数据规模以规避申报数据出境安全评估。

不过,《征求意见稿》还有更高要求——对于因自身需要的数据出境提供行为,数据处理者应当于每年1月底前测算或者估算其上两年内累计出境数据规模与范围,并保存测算估算结果和对应的境外接收方联系方式至少三年。非经中国人民银行和其他有关主管部门批准,数据处理者不得向其提供境内存储的数据。

在安全保护技术措施方面,《征求意见稿》规定数据处理者在采用隐私计算技术提供数据时,应当建立统一的技术风险评估和控制策略,明确安全可验证性、性能可接受性等风险对应的缓释措施。此外,数据处理者采用隐私计算等技术促进数据融合创新应用时,应当确认原始数据未离开自身控制范围,且多个数据提供行为关联后,暴露约定范围外信息的风险可控。

值得关注的是,《征求意见稿》还细化了风险监测、评估审计与事件处置措施等要求,包括要求开展数据安全风险评估和审计。

具体而言,数据处理者应当围绕全流程数据安全管理制度和相关操作规程执行情况、数据安全相关投诉处理情况,每年至少开展一次与数据安全相关的合规审计。重要数据的数据处理者则应当自行或者委托检测机构,每年组织开展一次全面的数据安全风险评估工作,于下年度一季度末前向中国人民银行或其住所地分支机构报送风险评估报告,并按照行政法规要求向对应的网信部门报送。

采写:南都记者樊文扬

编辑:李玲