央行版資料安全管理辦法将出台 誰管業務，誰管業務資料，誰管資料安全

資料安全法金融行業的落地又進一步。

7月24日上午，中國人民銀行起草的《中國人民銀行業務領域資料安全管理辦法(征求意見稿)》（以下簡稱《辦法》）向社會公開征求意見。根據“誰管業務，誰管業務資料，誰管資料安全”基本原則，對境内央行承擔監管職責的各類業務相關資料處理活動提出監管。

《辦法》分為總則、資料分類分級、資料安全保護總體要求、資料安全保護管理措施、資料安全保護技術措施、風險監測評估審計與事件處置措施、法律責任、附則共八章，共五十七條。

具體來說，《辦法》限制的資料處理活動主要包括：貨币政策業務、跨境人民币業務、銀行間各類市場交易業務、金融業綜合統計業務、支付清算業務、貨币管理和數字人民币業務、經理國庫業務、征信業務、反洗錢業務等領域。

“隻要涉及到央行監管、開展中國人民銀行業務領域資料處理的機構都會受到規制。”大成律師事務所合夥人肖飒向記者表示，此次《辦法》與現有制度緊密銜接，又作出了金融領域的突破。

基本原則

“在金融科技安全治理方面，特别是資料安全治理，要堅持依法治理、堅持資料應用共享、堅持協同共治、堅持科學治理、關注金融科技倫理。”在《辦法》公開征求意見前四天，第十三屆全國政協經濟委員會委員，中國證券監督管理委員會原主席肖鋼公開表示。

“誰管業務，誰管業務資料，誰管資料安全”成為本次《辦法》的基本原則。

“這是國内金融行業首次明确在全行業範圍要求資料管理、資料安全管理和業務管理三位一體。”隐私科技和資料要素營運服務商藍象智聯創始人兼CEO徐敏告訴記者，這背後展現出了兩個最主要的變化：第一是資料價值的提升，第二是全行業資料管理和資料安全管理整體能力的提升。

作為央行業務領域的重要一環，多家支付清算機構人士向記者表示近年來已在資料安全管理方面采取相關措施。

一家頭部支付公司有關人士向記者表示，支付領域資料安全主要圍繞個人資訊及商戶/機構資料安全展開，包含客戶賬戶資訊保護、App個人資訊收集與使用、金融消保、反洗錢、支付結算業務等業務場景，并貫穿從資料采集到資料銷毀的全生命周期。

平安付相關專家告訴記者，其已經成立資料管理委員會，近年來在資料脫敏、資料防洩露、資料審計、分類分級、安全風險治理等方面着重發力。

“個人資訊保護與資料安全合規是銀行展業的底線。”某大行金融科技部門人士向記者表示，大多數銀行都已成立資料治理委員會，制定資料分類分級、消費者保護等相關管理辦法。

在落實資料安全管理職責之外，本次《辦法》還強調資料安全的監管協同，例如要求資料處理者向其他資料處理者提供核心資料前，還應當提請國家資料安全工作協調機制辦公室準許。

肖飒表示，《辦法》嚴格落實和加強了跨地區、跨部門綜合監管的有關要求，進一步強調協同監督管理，将更有效提高資料安全監管效率、彌補資料安全監管漏洞，更有利于大陸資料領域的安全發展。

繼承與突破

“與現有制度的銜接是《辦法》的一大亮點。”肖飒表示，《辦法》統合了資料安全法、個人資訊保護法以及其他法律法規的相關規定，基本上在已有法律法規的架構下開展，同時對于特定領域的法律法規，其明确讓位于該特定領域的相關規範。

在相關起草說明中，央行表示《辦法》一是注重與業務管理制度的銜接，二是注重與個人資訊保護管理制度的銜接，三是注重與涉密管理制度的銜接，四是注重與非網絡資料管理制度的銜接，五是注重與現行資料相關标準的銜接。

值得關注的是，《辦法》并不隻是上位法的延續，而是結合金融領域的相關要求進行細化明确，并在一定程度上作出突破。

此前記者在進行相關報道時，多位采訪對象都提到金融行業更具體、更細節的落實舉措需要等央行的個保法行業細則出台。

一位深耕金融數字化轉型服務多年的專家認為，随着本次《辦法》的出台，可能會進一步加大金融機構資料開放共享的意願。

思維世紀董事長章明珠告訴記者，《辦法》從監管、執行層面明确了相關部門、機關的職責，并對資料處理者進行量化要求，例如“每年組織更新資料資源目錄”“每年至少對資訊系統業務處理賬号、特權賬号實施一次核驗”“每年組織開展一次全面的資料安全風險評估工作”等。

特别是在生成式人工智能監管與利用個人資訊提供自動化決策方面，肖飒向記者提到，此前并未有針對金融行業相關業務的專門性規定，而此次規定多次提及自動化決策、算法風險評估等方面的規定，具有一定的突破性。

此外，在金融資料跨境流動方面，《辦法》在《資料出境安全評估辦法》的基礎上提出更高的要求。例如《辦法》第二十六條第一款要求“重要資料應當境記憶體儲”，第二款要求資料處理者在開展資料出境前進行風險自評估和申報資料出境安全評估，均為上位法所明确規定的法定義務，并且相關内容在資料出境安全評估辦法中有具體的操作的辦法。

新挑戰與新解法

《辦法》對金融領域相關細則的突破性規定，源于近年來相關業務開展過程中面臨的資料安全新挑戰。

一方面是涉及個人隐私敏感資訊，以及重要資料與核心資料的流通依然存在挑戰。

“支付清算機構涉及大量的使用者、商戶資訊與金融資訊，保障資料的安全性和隐私保護是重要任務，必須采取嚴格的資料加密與通路控制措施。”前述頭部支付機構人士告訴記者。

寶付支付技術研發中心負責人王峰告訴記者，如何確定個人隐私資料與敏感資料安全，又要滿足嚴格的合規要求，是目前面臨的一大難題，需要遵循“最小化”收集的基本原則，同時面對涉及大額資金流轉的行為，機構也需要進一步預防與識别欺詐行為。

另一方面，随着算法與AI技術的快速發展，特别是由于AI訓練決策的“黑箱化”，涉及巨大量級的多樣化資料、算法，帶來了更為複雜的資料安全管理要求。

章明珠也提到，目前的生成式AI發展浪潮下，金融領域應用算法等進行資料加工主要面臨法律合規性風險與加工過程中的安全風險兩方面問題。

為使得資料在合規背景下實作融合創新應用，隐私計算技術在《辦法》中被多次提及。

《辦法》第二十五條提到，資料處理者采用隐私計算等技術促進資料融合創新應用時，應當确認原始資料未離開自身控制範圍，且多個資料提供行為關聯後，暴露約定範圍外資訊的風險可控。在第三十七條資料提供保護技術措施要求方面，《辦法》要求機構在采用隐私計算技術提供資料時，應當建立統一的技術風險評估和控制政策，明确安全可驗證性、性能可接受性等風險對應的緩釋措施。

對此，徐敏認為，使資料“可用不可見”的隐私計算打開了資料應用的“一扇門”，但也對資料處理者提出了更多應用要求與管理要求。例如在跨機構合作時，需要精準配置和定義哪些資料分别支援哪些應用方式，隐私計算技術結合資料要素管理平台，對每一個未來有可能參與資料合作的資料項，都需要有資料上架的操作，對它的任何操作都必須得到資料所屬方的授權，并結合事後審計等手段來進行全流程控制。

更多内容請下載下傳21财經APP