央行拟规范数据进行分类 明确业务领域数据安全合规底线要求

7月24日，人民银行就《中国人民银行业务领域数据安全管理办法》征求意见。根据该征求意见显示，央行拟要求机构对于人民银行业务领域数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。同时还明确了业务领域数据安全合规底线要求。

人民银行在起草说明中指出，该《办法》约束的数据处理活动主要包括:货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。

“人民银行在过去一年充分调研总结行业数据安全成熟经验做法基础上，组织研究起草《办法》，全面衔接《中华人民共和国数据安全法》，细化明确中国人民银行业务领域数据安全合规底线要求，填补本领域数据安全管理制度保障空白。”人民银行表示，该《办法》将指导数据处理者优质高效合规开展中国人民银行业务领域数据处理活动，履行数据安全保护义务，保障消费者和企业用户的合法权益，促进数据要素市场高质量发展。

数据处理者应当建立数据分类分级制度规程

《办法》征求意见稿中拟规范数据分类分级要求。根据征求意见稿显示，数据处理者应当建立健全本单位数据分类分级实施制度，规范分类分级工作操作规程。数据分类分级过程实施和结果审批，应当严格遵循操作规程。

同时，征求意见稿中指出，数据处理者应当参考行业标准，根据业务开展情况建立业务分类，梳理细化数据资源目录，标识各数据项是否为个人信息、数据来源、存储该数据项的信息系统清单和应用的业务类别。

在人民银行的规划中，数据按照精度、规模和对国家安全的影响程度，分为一般、重要、核心三级。同时，在数据分级基础上，数据处理者应当参考行业标准，根据数据遭到泄露或者被非法获取、非法利用时，可能对个人、组织合法权益或者公共利益等造成的危害程度，将数据项敏感性从低至高进一步分为一至五共五个层级。

人民银行指出，该《办法》强调了数据处理者应当建立数据分类分级制度规程，梳理数据资源目录标识分类信息，在国家数据安全工作协调机制统筹协调下，根据中国人民银行制定的重要数据识别标准，统一对数据实施分级，严格落实网络安全等级保护和风险评估等义务，并在此基础上推动各数据处理者进一步做好数据敏感性、可用性层级划分，以便在全流程数据安全管理中更好采取精细化、差异化的安全保护管理和技术措施。

有业内人士表示，数据分类已经成为数据管理的基础。分类则是要摸清底数，分级分类，探索制作数据资产报表，摸清数据底数是实现资源价值化的基础。

招联金融首席研究员董希淼亦认为，金融机构在管理上应建立个人信息数据库分级授权管理制度。根据个人信息的重要程度、业务需要、敏感程度等，实行分级管理。

“例如，对未满十八周岁未成年人的个人信息，作为敏感个人信息予以更严格保护；对需要向境外提供的个人信息，应当通过国家相关部门的安全评估。”董希淼认为，在个人信息处理过程中，应在技术上对客户信息复制、查询有硬约束，比如建立分级审批、双人控制等要求。

数据处理者应当压实数据安全责任

征求意见稿中还明确了数据安全保护总体要求，强调数据处理者应当压实数据安全责任，建立数据安全问责处罚制度和数据处理活动全流程安全管理制度，制定数据安全培训计划。

“压实数据处理活动全流程安全合规底线。”征求意见稿中明确指出，针对收集、存储、使用、加工、传输、提供、公开和删除各环节，向数据处理者明确采取哪些安全保护管理和技术措施后，可视为总体满足尽职尽责的合规底线要求。

董希淼表示，对于金融机构而言，要高度重视数据安全管理。这既是维护金融消费者合法权益的重要内容，也是金融机构取信于社会和客户的基本义务和基础工作。

“特别是要在第三方合作中，要绷紧数据安全管理的弦。”董希淼表示，当前要加强排查，摸清数字生态场景合作的风险底数。应将保护个人信息的理念内化于金融机构血液中，以最严格的标准和最严密的措施确保个人信息安全。

董希淼还指出，在管理上，金融机构应建立个人信息数据库分级授权管理制度。同时在机制上，加强数据安全保护的宣传教育。

他认为，金融机构应全面加强内部培训，在工作中强化员工数据安全意识。同时金融机构也应当未雨绸缪，将加强信息数据安全保护等融入消费者教育内容，提高消费者金融素养和自我保护能力。

征求意见稿还细化了风险监测、评估审计、事件处置等合规要求。强调数据处理者应当建立数据处理活动安全风险监测和告警机制，加强数据安全风险情报监测、核查、处置与行业共享，制定数据安全事件定级判定标准和应急预案，规范应急演练、事件处置、风险评估和审计等工作。

鼓励数据处理者促进数据高效流通和创新应用

在此次征求意见稿中，人民银行有意促进数据开发利用。征求意见稿中明确提出，鼓励数据处理者在保障安全合规前提下，积极促进数据高效流通和创新应用，并提出较敏感数据项加工后无法识别至特定个人、组织时，可降低敏感性层级，更好促进数据依法合规开发利用。

有业内人士认为，当前我国数据价值正在持续释放，资本价值化进程仍需加快。数据在合规情况下高效流通和创新，让数据要素进一步价值化可以促进我国实现GDP总量持续增长，成为国家和地区经济增长的新动力和新引擎。

“数据要素价值化意义深远、大有可为，但是需要试点先行、审慎推进。”一位数据行业人士指出，通过审慎试点探索数据资产质押融资、数据资产保险、数据信托、数据资产证券化等金融创新工具，推动数据由货币性资产向可增值金融资产的转化，将会进一步放大数据资产和数据资本的规模和价值。但也应注重相关风险问题。

人民银行还指出，对于上位法“采取相应的技术措施和必要措施”要求，征求意见稿既细化提出原则上应当采取的技术措施和管理措施，又明确特殊情形可通过内部审核审批、统一明确场景等方式弱化措施落实，避免合规义务“一刀切”。

此外，征求意见稿还与现有制度有效衔接。人民银行表示，在征求意见稿中提及“重要数据应当境内存储”、“规定情形下申报数据出境安全评估”等条款，均为已出台上位法所明确法定义务的再次重申，未额外增加合规要求。