浅谈《中国人民银行业务领域数据安全管理办法(征求意见稿)》

前言

在生产、生活以及社会治理方面不断发展的数字化大背景下，加强数据安全监督管理以及明确数据制度合规和监管底线对国家发展和国家安全尤为重要。就此，2021年颁布的《中华人民共和国数据安全法》第六条明确提出了“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”的要求，而2022年底《中共中央、国务院关于构建数据基础制度更好发挥数据要素作用的意见》中又再次强调了加快构架数据基础制度建设的指导思想。为落实此数据制度建设相关的党中央、国务院工作部署和国家法律要求，中国人民银行（以下简称“人民银行”或“人行”）起草并于近期发布了《中国人民银行业务领域数据安全管理办法(征求意见稿)》（以下简称“《办法》”）公开征求意见。

一、监管对象

监管的对象是数据处理者对在中华人民共和国境内开展的人行监督管理职责的各类业务活动中产生和收集的不涉及国家秘密网络数据的处理活动。

如下我们对该监管对象描述中涉及的几个关键词做进一步展开分析：

1. 数据处理者

《办法》第五十五条明确定义了“数据处理者”是指进行数据处理活动的金融机构和其他机构，而同一条中又定义了“数据处理活动”指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。

这里有两点值得大家注意：

（1）此处“金融机构”通常典型例子包括银行、保险机构或证券机构，均分别由国家金融监督管理总局（前银保监）以及证监会主管，而非人行直接管辖；

（2） “其他机构”的认定范围目前尚未明确，除了人行征信中心、人行清算中心或第三方支付公司等直接受人行管辖的机构外，存在“二清”问题的无支付牌照电商或线上平台、聚合支付等机构是否就此数据管理纳入人行管辖。

因此，值得思考的是，从《办法》和起草说明规定来看，其实质的监管重点似乎对标的是人行监管的业务领域内的上述数据处理活动，而非对标受人行监管的单位或机构。由于参与处理《办法》第二条下定义的“中国人民银行业务领域数据”的处理主体除了人行监管的单位外，还可能涉及由其他政府部门监管的单位。因此，即便数据处理者并非人行所监管的单位或机构，但只要其参与处理了上述数据，理论上应受限于《办法》下的监管要求并被纳入到人行监管体系中。人行就此和该情形下处理者原主管单位之间的权责划分或如何协调等事宜可能需要做进一步澄清。

2. 人行负责监管的业务活动

《办法》第二条规定了监管的对象中涉及的数据来源于“中国人民银行承担监督管理职责的各类业务活动”，但该描述较为宽泛并未明确具体范围。但从起草说明中可以看到，当前可能重点关注的是以下人行业务活动中的数据管理工作：货币政策业务、跨境人民币业务、银行间各类市场交易业务、金融业综合统计业务、 支付清算业务、货币管理和数字人民币业务、经理国库业务、征信业务、反洗钱业务等领域的数据处理活动。

3. 不涉及国家秘密的网络数据

《办法》遵从《数据安全法》第五十三条第一款的内容，将此处监管所涉及的数据限定在“不涉及国家秘密”的范畴，这更好地衔接和区分《保守国家秘密法》等规范涉及国家秘密数据的法律法规，避免了适用上的冲突。

此外，《办法》所监管的数据仅为网络数据。根据《办法》第五十五条定义，网络数据指通过网络收集、存储、传输、处理和产生的各种电子数据，表现形式为由一条或者多条信息记录组成的集合。因此，涉及纸质类非网络数据的处理活动不在《办法》的监管范畴内。结合《数据安全法》第五十三条第二款规定，如统计、档案工作涉及非网络数据处理的，则按照其他适用法律法规办理。

人行牵头编写的《金融数据安全 数据安全分级指南》（JR/T 0197 – 2020）中也明确提到了“...未经电子化的金融数据，依照档案文件等有关管理规范执行；涉及国家秘密的金融数据，依照国家有关法律法规执行...”。

二、监管主体

监管主体指以人民银行及其分支机构为主导、协同其他政府部门以及自律组织的多头联合监管架构。

《办法》及其起草说明明确了人民银行及其分支机构为核心监管单位，同时规定人行应当积极支持其他主管部门依其职权开展数据安全监督管理工作，并在必要时签署合作协议约定协同合作模式，联合各主管部门组织人行业务领域数据安全工作。《办法》及其起草说明中明确提到了该等其他主管部门，例如公安机关、国家安全机关、国家网信部门，此外还提及虽然《办法》解释权交由人行，但涉及国家外汇领域数据安全管理国家外汇管理局负责和另行制定规定。

结合上述有关数据处理者的讨论，由于人行负责监督管理的业务领域涉及的网络数据可能横跨多个监管体系或政府条线，且《办法》明确提出了“谁管业务，谁管业务数据，谁管数据安全”的基本原则，则在业务条线或者监管边际出现交叉或竞合过程中，如何恰当划分好各自权责范围以及更好发挥协同多头联动监管的效能，有待进一步思考和梳理。

另外，《办法》也提到了对中国银行间市场交易商协会、中国支付清算协会、中国互联网金融协会等金融行业协会自律组织的自律管理要求，但仅强调了投诉、举报和反映意见的功能，能否进一步融入上述政府主管部门的监管体系提高数据监督管理效能也有待进一步考虑。

三、监管方式

监管从分级分类、制度管理和技术措施等方面对数据处理活动全流程全周期进行管理，注重衔接现有立法，保持弹性、务实和创新。

监管方式主要从如下几个维度进行：分类分级；数据保护总体要求；根据数据处理活动各环节提出保护管理的制度支持要求；根据数据处理活动各环节提出保护管理的技术层面支持要求；数据风险监测、评估/审计、风险事件响应/处置；问责约束。

下面我们会对几个关注点做相应简析：

1. 分类分级制度

继《数据安全法》规定分类分级要求，《办法》第二章进一步明确了人行业务领域数据管理的分类分级标准，确立了人行负责组织制定行业标准，数据处理者接受人行指导、统筹安排和动态管理的框架。该第二章除了提出要求数据处理者根据行业特点建立业务分类和梳理数据资源目录的分类要求，同时提出了具体的分级标准指引。

下文我们会重点讨论该分级标准的要求：

（1）基础三级分类

《办法》第二章中的第八条提出了基本的分级基础概念，根据数据精度、规模和对国家安全的影响程度，分为“一般、重要、核心”三级。由于《办法》和起草说明明确起草目的和依据为《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等先前立法，则可以推断该基础三级概念原则上对标的是该等先前立法中的对应定义。

但需要注意以下两点：

(a) 先前立法中对“重要数据”和“核心数据”之间的区别标准似乎并非十分清晰，而存在“重要、核心”重合使用的情况。

人大制定的《网络安全法》和《数据安全法》中定义的“核心数据”指关系国家安全、国民经济命脉、重要民生、重大公共利益等数据，但对“重大数据”未做具体定义。

由于《数据安全法》中明确要求各主管部门落实其主管领域的数据安全监管，我们结合如下网信办和工信部的立法进展来进一步看下此基础分级标准制定的现状：

(i) 结合网信办制定的《数据出境安全评估办法》以及《网络数据安全管理条例(征求意见稿)》，可以看到“核心数据”采用了上述相同的定义。虽然“重要数据”在网信办的文件中得到了定义（即一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据）且通过举例形式列举了各种“重要数据”类别¹，但从描述总体来看性质上仍是涉及国计民生、公共安全和国家利益等需要重点管制或保护的数据，看上去似乎和核心数据的区分界线不是太清晰。

(ii) 而工信部在其已出台的《工业和信息化领域数据安全管理办法(试行)》中以详细列举的方式定义了“一般、重要、核心”三级数据²，对于“重大数据”和“核心数据”的定义上可以看到针对同一或类似情形立法者从威胁和影响等级上作了区分（比如“核心数据”强调必须是严重威胁或影响，而“重要数据”则只是威胁或影响即成立），同时也列举了其他不同场景以作区分。虽然“严重威胁”和“威胁”本身也存在模糊而可能更多留给监管自由裁量来判断，但总体上工信部目前的立法在这个基础分级标准上作了比较好的尝试和突破。

(b) 人民银行就数据分级的现有立法中并未明确做“一般、重要、核心”基础分级，而仅通过明确“重要数据”一个概念来涵盖影响国计民生和国家/公众安全等方面相对重要的数据类型。

而就人民银行现行立法来看，在《JR/T 0197-2020金融数据安全 数据安全分级指南》中就数据分级层面对“重要数据”作出了定义和列举³，但并未对“核心数据”明确定义或区分，且从该“重要数据”定义的内容和例子来看和上述人大和各主管部门文件中定义的“核心数据”性质上比较相似。

因此，在《办法》正式出台以及后续人行就其监管领域此类基础分级的概念和分级标准的进一步立法工作中，需要结合以及参考人大和其他主管部门的立法动态以及人行自身先前立法先例，厘定统一和清晰的该等基础分级标准。这同样意味着现有人行监管领域中执行的以《JR/T 0197-2020金融数据安全 数据安全分级指南》为代表的基础分级标准规定可能在这个后续立法过程中会有所调整。这在《办法》的起草说明中也已明确提到。

（2）敏感性五级分类

《办法》第九条并未对“敏感性”做具体定义，但规定在数据分级基础上，数据处理者应参考行业标准，按照数据出现问题时对个人、组织合法权益或公共利益等造成的危害程度将数据敏感性从低到高分成五个层级。结合《办法》中上述基础三级分类的标准描述（即按照精度、规模和对国家安全影响程度），从字面上来看该三级分级和此处五级分级的分级标准的区别更侧重于危害对象上。这个区别点符合上述人大以及网信办签发的文件中的描述，例如上述该等文件将“核心数据”和“重要数据”定义为关乎国家安全、国计民生和公共利益方面的数据。尽管在《网络数据安全管理条例（征求意见稿）》第五条提到按照对国家安全、公众利益、个人隐私和企业合法权益的影响和危害程度来区分了“一般、重要和核心”三级数据，此既包括了危害对象又包括了危害程度，但在其列举方式⁴定义中也仅是列明具体保护对象领域的数据，而均未对危害程度或影响程度纳入定义的描述中。

但值得注意的是上述工信部颁发的《工业和信息化领域数据安全管理办法(试行)》在定义“一般、重要和核心”三级数据中对标了危害对象和危害程度⁵，但并未按照 “敏感性”或其他标准划分五级或做其他级数的分级。因此，可以看到，区别于工信部的上述立法发生在《数据安全法》出台之后，在早先出台且现行有效的人行《JR/T 0197-2020金融数据安全 数据安全分级指南》中虽然并未作出“一般、重要和核心”三级分级，但在第5.3条已对数据做了五级分级，而该等分级标准的制定依据是数据安全出现问题时涉及的影响对象和影响程度。影响对象包括国家安全、公众利益、个人隐私和企业合法权益四个危害对象，而影响程度分为严重影响、一般损害、轻微损害和无损害四个程度。

由此可见，虽然上位法《数据安全法》并未明确要求必须采用何种具体分级分类方式，但《办法》目前已放入了网信办和工信部文件中的“一般、重要和核心”三级数据的分级概念，但同时似乎仍希望保留其现行的五级分级体制。由于分级的底层逻辑无外乎于对标危害对象和危害程度来制定分级标准制度，具体是否放弃或是修改现行人行《JR/T 0197-2020金融数据安全 数据安全分级指南》下的五级分级体系或是另行起草新的制度文件来和各主管机关标准进行统一更多是形式问题，更重要的是避免出现标准认定不清、多个标准之间冲突或不统一、发生执行障碍或困惑等因素。此外，也需考虑在对已执行一段时间的现有制度进行调整的调整成本问题。

（3）可用性/连续性层级分类

《办法》第十条提出了按照可用性分级的要求，以保障信息系统业务连续性以及避免出现因数据被篡改或破坏后无法持续和稳定开展业务，但并未明确具体要求或标准。此在网信办和工信部的文件中似乎也无具体的操作规定。

但请注意可用性评估或作为考量因素在人行的立法中并非第一次提出。在人行《JR/T 0197-2020金融数据安全 数据安全分级指南》第5条的安全定级中明确数据安全性包含保密性、完整性和可用性，且可用性评估⁶为安全性评估不可或缺的一部分，并应将该等安全性影响评估结果纳入上述人行现有制度下的五级层级评定工作中。是否沿用此现有可用性评估制度有待澄清。

此外，今年国家市场监督管理总局和国家标准化管理委员会联合发布的《GB/T 42581-2023 信息技术服务 数据中心业务连续性等级评价准则》中规定了涉及数据中心业务连续性等级评估制度，分为了初始级、发展级、稳健级、优秀级和卓越级五个层级。就人行领域对数据处理者规范中的可用性或连续性方面的分层级工作是否会参照上述近期发布的规范文件也有待确认。

2. 弹性务实保护原则

《办法》中几处规定覆盖了一些实践中不适合一刀切而需要保留弹性务实处理思路的相对复杂情形，给解决此类问题提供了统一的解决方案，例如：

（1）《办法》第九条对结构化数据和非结构化数据做了区别对待并给予了解决思路，即结构化数据应当逐一标识层级，而非结构化数据（例如图像、音频或视频等）由于可能存在可拆分和无法拆分的部分，则应优先按照可拆分的各结构化数据项所对应最高层级来标识其层级；

（2）实践中，在同一数据处理活动中可能存在需要处理不同敏感性层级的数据，而且可能难以采取差异化安全保护管理和技术措施（例如在同一采集信息和数据工作中需要在同一介质中录入不同层级的数据），则按照《办法》第十三条规定应当同一采取这些数据中最高敏感性层级数据项对应的安全保护管理和技术措施。当然，如果可在不同介质中录入不同层级数据或被合理认定为属于可采取差异化安全保护的情形则可不适用这一条规定。

（3）人行考虑到监管的目的在于守住底线而不能扼杀业务活性和发展机遇，因此在合理范围内也应适度降低监管压力，例如《办法》第二十一条中规定了使用第三层级以上数据项加工后产生的数据项，如经评估确认无法识别出特定个人或组织或者反映信息的敏感程度明显低于原数据项是，数据处理者在履行其内部审批后，可视情形减低敏感性层级，促进数据依法合规的开发利用。

3. 全周期数据安全保护措施

《办法》中较大篇幅从制度和技术角度规定了人行业务领域数据处理全流程全周期各个环节的保护措施，覆盖了收集、存储、使用、加工、开发利用、传输、融合创新、出境、调取、公开、删除等方面。

如下几点值得关注：

（1）此类保护措施用于压实人行监管业务领域的数据处理活动合规底线，《办法》起草说明中提到“向数据处理者明确采取哪些安全保护管理和技术措施后，可视为总体满足尽职尽责的合规底线要求”。但对于被监管的数据处理者来说，可能也期望了解：例如由于人行监管领域数据处理活动可能横跨多主管部门，其是否需要接受所有相关部门的监督检查（例如《网络数据安全管理条例（征求意见稿）》第五十七条中提及有关主管、监管部门可采取多类督查措施⁷）还是只需统一对接或汇报给其主管部门即可；是否存在落实该数据保护合规和接受主管部门审查的时间表或截止日；是否也会有比如数据合规年检制度等。

（2）人行现行《JR/T 0223-2021 金融数据安全 数据生命周期安全规范》已对全流程提出了各个环节的具体要求，但《办法》出台后，将随着技术革新和监管方式的演进对现有的全流程保护体系做出调整，例如《办法》第二十五条提到了新型的“隐私计算”技术（即通常所说的“数据不出库、可用不可见”，但在《办法》中并未明确定义），但由于该技术尚存在不尽如人意的地方，立法者在鼓励数据融合创新应用的同时，限定了“原始数据未离开自身控制范围，且多个数据提供行为关联后，暴露约定范围外信息的风险可控”这样一个大前提。

（3）《办法》对现有立法的部分内容进行了衔接，以起到补充和避免冲突的作用，例如尽管上述讨论的《办法》可能影响人行现有几个标准文件而需要调整现有框架，《办法》起草说明中也同时明确提到不改变和取代征信、反洗钱等业务领域现有管理制度对数据安全的差异化管理要求；也对信息出境和个人信息保护等方面和人行监管领域数据管理规则衔接或重申进行了规定。但值得注意的是，虽然《办法》中多处提及层级的部分应对标上述敏感性五级概念，但对于涉及“网络安全等级保护”层级（例如《办法》第三十三条）部分可能对标公安部网络安全保护体系下的五级保护制度⁸，可考虑在后续正式出台时加以明确。

1.《网络数据安全管理条例（征求意见稿）》第七十三条第（三）项列明了“重要数据”具体包括如下：1.未公开的政务数据、工作秘密、情报数据和执法司法数据；2.出口管制数据，出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据，密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据；3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等；4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据，关键系统组件、设备供应链数据；5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据；6.国家基础设施、关键信息基础设施建设运行及其安全数据，国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据；7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 

2.《工业和信息化领域数据安全管理办法(试行)》第九条、第十条和第十一条中列明了：危害程度符合下列条件之一的数据为“一般数据”：（一）对公共利益或者个人、组织合法权益造成较小影响，社会负面影响小；（二）受影响的用户和企业数量较少、生产生活区域范围较小、持续时间较短，对企业经营、行业发展、技术进步和产业生态等影响较小；（三）其他未纳入重要数据、核心数据目录的数据。危害程度符合下列条件之一的数据为“重要数据”：（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；（二）对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；（三）造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；（四）引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；（五）经工业和信息化部评估确定的其他重要数据。危害程度符合下列条件之一的数据为“核心数据”：（一）对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成严重威胁，严重影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；（二）对工业和信息化领域及其重要骨干企业、关键信息基础设施、重要资源等造成重大影响；（三）对工业生产运营、电信网络和互联网运行服务、无线电业务开展等造成重大损害，导致大范围停工停产、大面积无线电业务中断、大规模网络与服务瘫痪、大量业务处理能力丧失等；（四）经工业和信息化部评估确定的其他核心数据。

3.《JR/T 0197-2020金融数据安全 数据安全分级指南》附录C：“重要数据”指我国政府、企业、个人在境内收集、产生的不涉及国家秘密，但与国家安全、经济发展以及公共利益密切相关的数据〈包括原始数据和衍生数据〉，一旦未经授权披露、丢失 、滥用、篡改或销毁，或汇聚 、登台、分析后，可能造成以下后果：危害国家安全、国防利益，破坏国际关系。损害国家财产、 社会公共利益和个人合法利益；影响国家预防和打击经济与军事间谍、政治渗透、 有组织犯罪等；影响行政机关依法调查处理违法、 渎职或涉嫌违法、渎职行为；干扰政府部门依法开展监督、管理、检查、审计等行政活动，妨碍政府部门履行职责；危害国家关键基础设施、关键信息基础设施、政府系统信息系统安全；影响或危害国家经济秩序和金融安全；可分析出国家秘密或敏感信息；影响或危害国家政治、国土、军事、经济、文化、社会、科技、信息、生态、资源、核设施等其他国家安全事项。 

4. 请见上述脚注1。 

5. 请见上述脚注2。 

6.《JR/T 0197-2020金融数据安全 数据安全分级指南》第5.2条规定：可用性评估：通过评价数据及其经组合／融合后形成的各类数据出现访问或使用中断所造成的影响，以及机构无法正常使用这些缺据可能产生的影响，进行数据可用性评估。评估的内容包括但不限于：数据的访问或使用中断，可能对国家安全、公众权益、个人隐私及企业合法权能造成的损害，以及损害的严重程度；数据的访问或使用中断，可能对机构职能、公信力造成的损害，以及损害的严重程度；数据的访问或使用中断，可能对其他组织或个人造成的损害，以及损害的严重程度；数据的访问或使用中断是否违反国家法律法规、行业主管部门有关规定或机构内部管理规定。

7.《网络数据安全管理条例（征求意见稿）》第五十七条：有关主管、监管部门可以采取以下措施对数据安全进行监督检查：（一）要求数据处理者相关人员就监督检查事项作出说明；（二）查阅、调取与数据安全有关的文档、记录；（三）按照规定程序，利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测；（四）核验数据出境类型、范围等；（五）法律、行政法规、规章规定的其他必要方式。有关主管、监管部门开展数据安全监督检查，应当客观公正，不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要，不得用于其他用途。数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合，包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明，开放安全相关数据访问、提供必要技术支持等。

8.《网络安全等级保护条例(征求意见稿)》第十五条：根据网络在国家安全、经济建设、社会生活中的重要程度，以及其一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及相关公民、法人和其他组织的合法权益的危害程度等因素，网络分为五个安全保护等级：（一）第一级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益的一般网络；（二）第二级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全的一般网络；（三）第三级，一旦受到破坏会对相关公民、法人和其他组织的合法权益造成特别严重损害，或者会对社会秩序和社会公共利益造成严重危害，或者对国家安全造成危害的重要网络；（四）第四级，一旦受到破坏会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害的特别重要网络；（五）第五级，一旦受到破坏后会对国家安全造成特别严重危害的极其重要网络。