文/北京大學普惠金融與法律監管研究基地副主任顧雷
7月24日,為落實《中華人民共和國資料安全法》有關要求,加強中國人民銀行業務領域資料安全管理規範,中國人民銀行起草了《中國人民銀行業務領域資料安全管理辦法(征求意見稿)》(以下簡稱《辦法》),并面向社會公開征求意見。本文從三個方面分析和解讀《辦法》,有利于更好了解和執行。
政策背景與責任擔當
随着大陸數字經濟快速發展,資料安全問題逐漸凸顯,尤其在《資料安全法》頒布以後,明确了金融部門承擔資料安全監管的責任,網絡安全保障要求也越來越嚴格。今天,中國人民銀行起草的《辦法》就是為了進一步落實國家法律和要求,明确中國人民銀行作為業務監督管理機構的責任,細化資料安全管理制度保障,要求資料處理者遵守資料安全管理制度,建立資料安全問責處罰制度,在全流程資料安全管理中采取精細化、差異化的安全保護措施,處置資料處理活動中安全隐患,填補了金融業務領域資料安全管理制度空白。
法條解剖與要點分析
劃定資料适用範圍。根據“誰管業務,誰管業務資料,誰管資料安全”基本原則,《辦法》明确對境内央行承擔監管職責的各類業務相關資料處理活動劃定了适用範圍。具體講,中國人民銀行業務領域資料主要涉及公開政策市場操作資料、跨境人民币資料、銀行間各類市場交易資料、金融業綜合統計資料、支付清算資料、貨币管理資料和數字人民币資料、國庫收支資料、個人和企業征信資料、反洗錢相關資料等,這些資料處理者主要是各類金融機構和金融科技公司,也涉及到個人和企業。
從資料責任看,每個業務部門應該對自己的業務資料真實性負責,同時也要對資料的安全性負責,確定資料完整、準确和及時,避免出現資料洩露或被篡改的情況。
從資料特點來看,這些資料結構性強,不少資料是涉密、涉隐私資料,關鍵資料安全性能要求較高,其資料價值也較高,屬于國家金融行業或金融機構的無形财産。
分級分類規範資料。在規範資料分類分級方面,《辦法》強調資料處理者應當建立資料分類分級制度,梳理資料資源目錄、辨別分類資訊,統一對資料實施分級,落實網絡安全等級保護和風險評估義務,進一步做好資料敏感性、可用性層級劃分,以便在全流程資料安全管理中更優采取精細化、差異化的安全保護管理和技術措施,有效應對資料處理活動中各類安全隐患。
隐私與脫敏銜接呼應。今天,網際網路機構快速崛起,金融業務領域涉及大量使用者資訊、商戶資訊與市場資訊,特别是随着算法與AI技術的快速發展,AI訓練決策的“黑箱化”日漸增多,多樣化資料算法帶來了更為複雜的資料安全管理要求。是以,如何保障資料安全性和個人隐私保護,遵循“最小化”收集原則,提升機構預防與識别欺詐行為能力,就成為《辦法》立法者必須解決的一個問題。于是,《辦法》第二十五條規定,資料處理者采用隐私計算等技術促進資料融合創新應用時,應當确認原始資料未離開自身控制範圍,且多個資料提供行為關聯後,暴露約定範圍外資訊的風險可控。《辦法》第三十七條又要求機構在采用隐私計算技術提供資料時,應當建立統一的技術風險評估制度,明确安全可驗證性、性能可接受性的緩釋措施。
同時,資料流通、資料應用過程中還存在大量非公開敏感資訊和資料,涉及國家、企業、行業以及個人秘密。在這種情況下,資料脫敏就是一個不錯的選擇方案,也就是用匿名、隐名的方式,将資料和個人、企業的對應關系解除,讓資料可以進入資料流通市場,經過正規管道,被金融機構、金融科技公司用于市場創新活動。為此,《辦法》鼓勵資料處理者在保障安全合規前提下,遵循安全、有限和規範的原則,提出敏感資料加工後無法識别特定個人、組織,降低敏感性層級,更好達成資料流通,促進資料合規開發和創新應用。這既給資料流通應用企業帶來新的機遇,更有利于金融資料要素相關業務的持續健康發展。
跨境資料管理嚴格明确。《辦法》明确規定,資料處理者如果向境外提供資料,并涉及國家網信部門規定情形時,必須事前開展資料出境風險自評估,并申報資料出境安全評估。同時,《辦法》還規定資料處理者不得有意拆分、縮減出境資料規模以規避申報資料出境安全評估。
顯然,《辦法》加強了對跨境資料管理的監管力度,進一步強化了法規監管措施,旨在保障資料安全,防止資料出境可能造成的安全風險,確定金融領域資料安全,防止國内資料洩露風險,對確定大陸金融行業穩健運作提供了制度性保障。
繼承與突破相得益彰。與現有數字保護制度的銜接是《辦法》的一大亮點。《辦法》統合了《資料安全法》、《個人資訊保護法》以及其他法律法規,基本上在現行法律法規的架構下展開,呈現出5個注重特征:一是注重與業務管理制度的銜接;二是注重與個人資訊保護管理制度的銜接;三是注重與涉密管理制度的銜接;四是注重與非網絡資料管理制度的銜接;五是注重與現行資料相關标準的銜接。
在生成式人工智能算法與利用個人資訊提供自動化決策方面,過去我們從未有針對金融行業相關業務的專門性規定,此次《辦法》多次提及自動化決策、算法風險評估等方面内容,具有一定的突破性。此外,在金融資料跨境流動方面,《辦法》在《資料出境安全評估辦法》基礎上提出更高、更細的要求。《辦法》第二十六條第一款要求“重要資料應當境記憶體儲”,第二款要求“資料處理者在開展資料出境前進行風險自評估和申報資料出境安全評估”,均為上位法所明确規定的法定義務,并且有具體的操作條款,充分展示突破原有法律規範的制度創新一面。
立法影響與效力評估
有助于金融科技行業資料規範使用。在此之前,由于缺乏相關資料安全管理規定,金融機構、金融科技企業在使用資料時存在法律模糊地帶。《辦法》的出台,對于資料安全評估、資料技術規範将得到進一步完善,確定在今後正式執行階段,帶給金融科技闆塊以及傳統金融數字化轉型闆塊更多機遇。
形成資料保護良性互動。《辦法》的實施能夠及時與金融科技行業的最新發展同步,引導市場參與者積極遵循資料保護規則,踴躍加入有關行業協會或組織,積極分享資料安全合規建設中的實踐經驗,實時推進金融科技企業内部的合規建設,并促進行業協會作為傳達行業最新發展動态的重要媒介,與數字安全監管形成有益、信任和平等的良好互動。
鼓勵後續配套執行。《辦法》正式頒布以後,鼓勵各地出台具體的實施細則和指導手冊,確定相關管理規定得到切實執行。對于符合《辦法》規定的機構将得到推動和支援,而不符合《辦法》要求的機構自然要加緊整改,否則将面臨相關的法律處罰。同時,促使各級政府加強對資料處理者的監督管理,及時糾正存在的資料安全隐患問題,保障資料安全政策有效落實。這将有益于全國各地金融科技企業和金融機構遵守資料安全管理義務,確定金融領域資料安全措施得到切實貫徹。
本文經作者授權轉發
本文編輯:丁開豔
Review of Past Articles -
01
02